Rhode Island
Derechos del Consumidor bajo la RIDTPPA en Rhode Island Explicados

La Ley de Transparencia y Protección de Datos y Privacidad de Rhode Island (RIDTPPA), R.I. Gen. Laws cap. 6-48.1, otorga a los residentes de Rhode Island cinco derechos de datos fundamentales a partir de su fecha de vigencia del 1 de enero de 2026: el derecho a confirmar y acceder a sus datos personales, corregir inexactitudes, eliminar datos, obtener una copia portátil, y optar por no participar en publicidad dirigida, la venta de datos personales, y cierto tipo de perfilado. Estos derechos se encuentran en la sección 6-48.1-5, y el proceso para ejercerlos está en la sección 6-48.1-6.
Un controlador debe responder a una solicitud de derechos dentro de 45 días, con una posible extensión de 45 días adicionales, y debe proporcionar la información sin costo una vez por período de 12 meses. Si un controlador rechaza una solicitud, el cliente puede apelar, y el controlador tiene 60 días para responder a esa apelación. La aplicación de la ley corresponde exclusivamente al Fiscal General de Rhode Island; no existe un derecho de acción privado conforme a la sección 6-48.1-8.
Alcance jurisdiccional: Esto cubre la Ley de Transparencia y Protección de Datos y Privacidad de Rhode Island (R.I. Gen. Laws cap. 6-48.1). Es información legal general, no asesoría legal.
Los cinco derechos fundamentales del consumidor bajo la RIDTPPA
La sección 6-48.1-5 establece los derechos que los clientes de Rhode Island pueden ejercer frente a un controlador cubierto. El estatuto usa el término cliente, definido en la sección 6-48.1-2 como una persona que reside en Rhode Island y actúa en un contexto individual o doméstico. Los datos sobre personas que actúan en un contexto comercial o de empleo generalmente quedan fuera de esa definición.
El primer derecho es la confirmación y el acceso. Un cliente puede confirmar si un controlador está procesando sus datos personales y acceder a esos datos. Este es el punto de entrada para los demás derechos, porque le permite a una persona ver qué información posee una empresa antes de decidir qué hacer al respecto.
El segundo y tercer derecho son la corrección y la eliminación. Un cliente puede corregir inexactitudes en sus datos personales, teniendo en cuenta la naturaleza de los datos y los propósitos del procesamiento, y puede eliminar los datos personales proporcionados por, u obtenidos sobre, el cliente. El derecho de eliminación alcanza tanto los datos que un cliente proporcionó directamente como los datos que el controlador recopiló de otras fuentes.
El cuarto derecho es la portabilidad de datos. Un cliente puede obtener una copia de los datos personales que el controlador procesa en un formato portátil y, en la medida técnicamente factible, fácilmente utilizable, que le permita al cliente transmitir los datos a otro controlador sin obstáculos.
Los derechos de exclusión: publicidad, venta, y perfilado
El quinto derecho conforme a la sección 6-48.1-5 es la exclusión (opt-out), y tiene tres partes. Un cliente puede optar por no participar en el procesamiento de datos personales con fines de publicidad dirigida. Un cliente puede optar por no participar en la venta de datos personales. Y un cliente puede optar por no participar en el perfilado en apoyo de decisiones exclusivamente automatizadas que produzcan efectos legales o de importancia similar para el cliente.
La definición de venta importa para la segunda exclusión. Conforme a la sección 6-48.1-2, una venta es el intercambio de datos personales por consideración monetaria u otra consideración de valor por parte del controlador a un tercero. El lenguaje de otra consideración de valor significa que una venta no se limita a transacciones en efectivo, aunque el estatuto enumera exclusiones para transferencias a procesadores, afiliados, y ciertas transacciones.
El perfilado que activa la tercera exclusión es limitado. Se aplica a decisiones exclusivamente automatizadas que producen efectos legales o de importancia similar, el tipo de toma de decisiones automatizada que determina el acceso a cosas como crédito, vivienda, empleo, seguros, o servicios esenciales. La personalización rutinaria que no produce un efecto legalmente significativo queda fuera de esta exclusión.
Rhode Island difiere de varias leyes estatales más recientes en un aspecto: no exige a los controladores honrar una señal universal de preferencia de exclusión. La sección 6-48.1-6 permite que un cliente use un agente autorizado para presentar una solicitud de exclusión, pero el estatuto no exige el reconocimiento de una señal a nivel de navegador, como el Control de Privacidad Global. Los clientes ejercen las exclusiones mediante el mecanismo que el controlador proporcione.

Cómo ejercer sus derechos: el proceso de solicitud
La sección 6-48.1-6 rige cómo un cliente presenta una solicitud y cómo debe responder un controlador. Un controlador debe establecer un medio seguro y confiable para que los clientes presenten solicitudes, y ese método debe tener en cuenta las formas en que los clientes normalmente interactúan con el controlador y la necesidad de una autenticación segura.
Un controlador debe responder a una solicitud sin demora indebida, pero a más tardar 45 días después de recibirla. El controlador puede extender el período de respuesta por 45 días adicionales cuando sea razonablemente necesario, teniendo en cuenta la complejidad y el número de solicitudes, y debe informar al cliente sobre cualquier extensión dentro de la ventana inicial de 45 días junto con la razón del retraso.
La información proporcionada en respuesta a una solicitud debe ser gratuita una vez por cliente durante cualquier período de 12 meses. Si las solicitudes de un cliente son manifiestamente infundadas, excesivas, o repetitivas, el controlador puede cobrar una tarifa razonable para cubrir los costos administrativos o negarse a actuar, pero el controlador tiene la carga de demostrar que la solicitud cumple con ese estándar.
La autenticación está integrada en el proceso. Si un controlador no puede autenticar una solicitud usando esfuerzos comercialmente razonables, no está obligado a cumplir y puede pedirle al cliente que proporcione información adicional. Una excepción es importante: un controlador no está obligado a autenticar una solicitud de exclusión, lo que mantiene esa vía de bajo esfuerzo.
El derecho de apelación
Si un controlador se niega a actuar sobre una solicitud, el cliente no se queda sin recurso. La sección 6-48.1-6 exige que un controlador establezca un proceso para que un cliente apele el rechazo del controlador a tomar acción dentro de un período razonable después de que el cliente reciba la decisión. El proceso de apelación debe estar disponible de manera visible y ser similar al proceso para presentar la solicitud original.
A más tardar 60 días después de recibir una apelación, el controlador debe informar al cliente por escrito sobre cualquier acción tomada o no tomada en respuesta, junto con una explicación escrita de las razones que respaldan la decisión. Si el controlador niega la apelación, debe proporcionarle al cliente un mecanismo en línea u otro método para contactar al Fiscal General de Rhode Island y presentar una queja.
Esta vía de apelación al regulador es cómo llegan las quejas individuales al ente que aplica la ley. Debido a que no existe un derecho de acción privado conforme a la sección 6-48.1-8, el canal de quejas ante el Fiscal General es la ruta práctica para un cliente que considera que un controlador manejó incorrectamente su solicitud.

Las divulgaciones de transparencia en las que los consumidores pueden confiar
Más allá de los derechos de solicitud, los clientes de Rhode Island se benefician del deber distintivo de transparencia de la RIDTPPA en la sección 6-48.1-3. Cualquier sitio web comercial o aplicación de servicio de internet que opere en Rhode Island o sirva a clientes de Rhode Island y recopile datos personales debe publicar tres cosas que los clientes puedan leer antes de decidir si ejercer sus derechos.
El controlador debe identificar todas las categorías de datos personales que recopila a través del sitio o la aplicación. El controlador debe identificar a todos los terceros a quienes ha vendido o pueda vender la información de identificación personal de los clientes. Y el controlador debe proporcionar un medio activo para que un cliente lo contacte sobre sus prácticas de datos.
La segunda divulgación es inusual. La mayoría de las leyes estatales de privacidad piden solo las categorías de terceros con quienes un controlador comparte datos. El texto de Rhode Island va más allá, exigiendo que un controlador identifique a todos los terceros a quienes ha vendido o pueda vender datos, una divulgación más granular que le da a los clientes una imagen más clara de hacia dónde puede ir su información. Un controlador que vende datos personales o los procesa para publicidad dirigida también debe divulgar ese procesamiento de manera clara y visible conforme a la sección 6-48.1-3.
Datos sensibles y derechos de consentimiento
Los clientes también cuentan con protección basada en el consentimiento para los datos sensibles. Conforme a la sección 6-48.1-4, un controlador no puede procesar los datos sensibles de un cliente sin obtener su consentimiento, y no puede procesar los datos sensibles de un menor conocido salvo con consentimiento y de conformidad con la Ley federal de Protección de la Privacidad Infantil en Línea.
Los datos sensibles se definen ampliamente en la sección 6-48.1-2. Incluyen datos que revelan origen racial o étnico, creencias religiosas, una condición o diagnóstico de salud mental o física, vida sexual, orientación sexual, o estatus de ciudadanía o inmigración, así como datos genéticos o biométricos utilizados para identificar a una persona, datos personales recopilados de un menor conocido, y datos de geolocalización precisa.
El consentimiento debe ser revocable. La sección 6-48.1-4 exige que un controlador proporcione a los clientes un mecanismo para otorgar y revocar el consentimiento que sea al menos tan fácil como el mecanismo mediante el cual se otorgó el consentimiento, y el controlador debe dejar de procesar los datos dentro de 15 días de recibida la revocación. Eso hace que el derecho de consentimiento para datos sensibles sea continuo, en lugar de una elección única.
Más Leyes de Rhode Island
- Leyes de Grabación de Reuniones con IA de Rhode Island
- Leyes de Pensión Alimenticia de Rhode Island
- Leyes de Empleo a Voluntad de Rhode Island
- Leyes de Accidentes Automovilísticos de Rhode Island
- Leyes de Asientos de Auto para Niños de Rhode Island
- Leyes de Custodia de Menores de Rhode Island
- Leyes de Manutención Infantil de Rhode Island
- Leyes de Matrimonio de Hecho de Rhode Island
- Leyes sobre Deepfakes de Rhode Island
- Leyes de Divorcio de Rhode Island
- Leyes sobre Mordeduras de Perro de Rhode Island
- Leyes de Emancipación de Rhode Island
- Leyes de Eliminación de Antecedentes Penales de Rhode Island
- Leyes de Fuga del Lugar del Accidente de Rhode Island
- Leyes de Arrendador-Inquilino de Rhode Island
- Ley del Limón de Rhode Island
Guías relacionadas
Preguntas frecuentes
¿Qué derechos tengo bajo la RIDTPPA?
Conforme a R.I. Gen. Laws 6-48.1-5, los clientes de Rhode Island pueden confirmar y acceder a sus datos personales, corregir inexactitudes, eliminar datos proporcionados por ellos u obtenidos sobre ellos, obtener una copia portátil de sus datos, y optar por no participar en publicidad dirigida, la venta de datos personales, y el perfilado en apoyo de decisiones exclusivamente automatizadas que produzcan efectos legales o de importancia similar. Estos derechos entraron en vigencia el 1 de enero de 2026.
¿Cuánto tiempo tiene una empresa para responder a mi solicitud bajo la RIDTPPA?
Conforme a la sección 6-48.1-6, un controlador debe responder sin demora indebida y a más tardar 45 días después de recibir la solicitud. Puede extender ese período una vez por 45 días adicionales cuando sea razonablemente necesario, y debe notificarle sobre la extensión y la razón dentro de los primeros 45 días.
¿Hay algún costo por ejercer mis derechos de [privacidad de datos](/us-laws/data-privacy-laws) en Rhode Island?
No, en la mayoría de los casos. La sección 6-48.1-6 exige que un controlador proporcione la información solicitada sin costo una vez por cliente durante cualquier período de 12 meses. Un controlador puede cobrar una tarifa razonable o negarse solo si puede demostrar que la solicitud es manifiestamente infundada, excesiva, o repetitiva.
¿Puedo apelar si una empresa rechaza mi solicitud bajo la RIDTPPA?
Sí. La sección 6-48.1-6 exige que los controladores proporcionen un proceso de apelación. El controlador debe responder a su apelación por escrito dentro de 60 días, explicando su decisión. Si niega la apelación, debe darle una forma de presentar una queja ante el Fiscal General de Rhode Island.
¿Puedo optar por que no se vendan mis datos bajo la RIDTPPA?
Sí. La sección 6-48.1-5 le otorga el derecho a optar por no participar en la venta de sus datos personales, junto con el derecho a optar por no participar en publicidad dirigida y cierto tipo de perfilado automatizado. Conforme a la sección 6-48.1-2, una venta es el intercambio de datos personales por consideración monetaria u otra consideración de valor, por lo que no se limita a transacciones en efectivo.
¿Rhode Island reconoce una señal universal de exclusión como Global Privacy Control?
No. A partir de 2026, la RIDTPPA no exige a los controladores honrar una señal universal de preferencia de exclusión. La sección 6-48.1-6 le permite usar un agente autorizado para presentar una solicitud de exclusión, pero usted debe usar el mecanismo de exclusión que proporcione el controlador en lugar de depender de una señal a nivel de navegador.
¿Qué debe decirme un sitio web sobre con quién comparte mis datos?
Conforme a la sección 6-48.1-3, un sitio web comercial o una aplicación de servicio de internet que recopile datos personales debe identificar todas las categorías de datos personales que recopila e identificar a todos los terceros a quienes ha vendido o pueda vender su información de identificación personal, además de darle una forma activa de contactar al controlador. Este deber de nombrar a terceros es más específico que el de la mayoría de las demás leyes estatales de privacidad.
¿Qué puedo hacer si una empresa ignora mis derechos bajo la RIDTPPA?
La RIDTPPA no tiene derecho de acción privado conforme a la sección 6-48.1-8, por lo que usted no puede demandar directamente a la empresa. En su lugar, después de agotar el proceso de apelación del controlador, usted puede presentar una queja ante el Fiscal General de Rhode Island, quien tiene la autoridad exclusiva para hacer cumplir la ley y tratar las infracciones como prácticas comerciales engañosas.
Fuentes y referencias
- R.I. Gen. Laws 6-48.1-5: Derechos del cliente(webserver.rilegislature.gov).gov
- R.I. Gen. Laws 6-48.1-6: Ejercicio de los derechos del cliente(webserver.rilegislature.gov).gov
- R.I. Gen. Laws 6-48.1-3: Prácticas de intercambio de información(webserver.rilegislature.gov).gov
- R.I. Gen. Laws 6-48.1-4: Procesamiento de información(webserver.rilegislature.gov).gov
- R.I. Gen. Laws 6-48.1-2: Definiciones(webserver.rilegislature.gov).gov
- R.I. Gen. Laws 6-48.1-8: Infracciones(webserver.rilegislature.gov).gov
- Oficina del Fiscal General de Rhode Island(riag.ri.gov).gov