Rhode Island
¿Qué Es la RIDTPPA? La Ley de Privacidad de Datos de Rhode Island

La Ley de Transparencia y Protección de Datos y Privacidad de Rhode Island (RIDTPPA), codificada en R.I. Gen. Laws cap. 6-48.1, es la primera ley integral de privacidad de datos del consumidor de Rhode Island. Fue promulgada en 2024 mediante los proyectos de ley complementarios H 7787 y S 2500, se convirtió en ley en junio de 2024 sin la firma del gobernador, y entra en vigencia el 1 de enero de 2026. La ley otorga a los residentes de Rhode Island derechos para acceder, corregir, eliminar, y transferir sus datos personales, y para optar por no participar en publicidad dirigida, ventas de datos, y cierto tipo de perfilado.
A partir de 2026, la RIDTPPA es aplicada exclusivamente por el Fiscal General de Rhode Island, y las infracciones se tratan como prácticas comerciales engañosas bajo R.I. Gen. Laws cap. 6-13.1. No existe un derecho de acción privado ni un derecho legal de subsanación, por lo que una empresa cubierta no obtiene un período de gracia garantizado para corregir una infracción antes de que el Fiscal General pueda actuar.
Alcance jurisdiccional: Esto cubre la Ley de Transparencia y Protección de Datos y Privacidad de Rhode Island (R.I. Gen. Laws cap. 6-48.1). Es información legal general, no asesoría legal.
Qué es la RIDTPPA: estatuto, promulgación, y fecha de vigencia
La Ley de Transparencia y Protección de Datos y Privacidad de Rhode Island es el primer estatuto integral de privacidad del consumidor de Rhode Island. Está codificada en las Leyes Generales en el capítulo 6-48.1, y la sección 6-48.1-1 establece que el capítulo se conocerá y podrá citarse como la Ley de Transparencia y Protección de Datos y Privacidad de Rhode Island. El nombre mismo señala el enfoque de la ley en la transparencia sobre el intercambio de datos.
El capítulo fue creado durante la sesión legislativa de 2024 mediante dos proyectos de ley complementarios, H 7787 en la Cámara y S 2500 en el Senado. La legislación fue aprobada por la Asamblea General en junio de 2024 y se convirtió en ley ese mismo mes. La sección 6-48.1-4 establece una única fecha de vigencia del 1 de enero de 2026, dando a las empresas cubiertas aproximadamente dieciocho meses para prepararse antes de que comiencen sus obligaciones.
A partir de 2026, esa fecha de vigencia ya llegó y la ley está operativa. Rhode Island se une a un gran grupo de estados con estatutos integrales de privacidad basados libremente en el marco adoptado por primera vez en Virginia y Connecticut. La RIDTPPA comparte gran parte de esa estructura, incluyendo los roles de controlador y procesador, un catálogo de derechos del consumidor, y consentimiento previo (opt-in) para datos sensibles. Para conocer todas las obligaciones de controladores y procesadores, consulte la página principal de leyes de privacidad de datos de Rhode Island.
Por qué se considera a la RIDTPPA una ley de enfoque más ligero
Los profesionales de privacidad describen ampliamente a la RIDTPPA como una de las leyes estatales de privacidad redactadas de forma más ligera, y vale la pena explicar ese matiz con claridad. El estatuto toma prestado el familiar catálogo de derechos y la regla de consentimiento previo para datos sensibles, pero omite varias salvaguardas que incluyen las leyes más nuevas y usa una redacción más laxa en algunos puntos.
Dos omisiones destacan. Primero, la RIDTPPA no exige a los controladores honrar una señal universal de preferencia de exclusión, como el Control de Privacidad Global, un mecanismo que Colorado, Connecticut, y un número creciente de estados ahora exigen. La sección 6-48.1-6 describe cómo los clientes ejercen sus derechos y permite agentes autorizados, pero no contiene una obligación de señal universal de exclusión. Segundo, la ley no ofrece un derecho legal de subsanación, aunque tampoco incluye el andamiaje detallado de minimización de datos y contratación que algunos estatutos hermanos detallan extensamente.
El resultado es una ley que otorga derechos reales al consumidor, pero que generalmente se considera menos prescriptiva que los modelos de Connecticut o Colorado. Las empresas que ya cumplen con una ley estatal más estricta usualmente superarán el estándar de Rhode Island con poco trabajo adicional. El único lugar donde Rhode Island pide algo distintivo es su deber de divulgación de terceros en el sitio web, que se analiza a continuación.

La característica distintiva: divulgación de terceros del sitio web
El requisito más distintivo de la RIDTPPA se encuentra en la sección 6-48.1-3, titulada Prácticas de intercambio de información. Se aplica a cualquier sitio web comercial o aplicación de servicio de internet que opere en Rhode Island o sirva a clientes de Rhode Island y que recopile datos personales. Ese controlador debe, en su divulgación dirigida al cliente, hacer tres cosas.
Debe identificar todas las categorías de datos personales que el controlador recopila a través del sitio web o la aplicación. Debe identificar a todos los terceros a quienes el controlador ha vendido o pueda vender la información de identificación personal de los clientes. Y debe proporcionar un medio activo por el cual un cliente pueda contactar al controlador sobre sus prácticas de datos.
El segundo elemento es la peculiaridad. La mayoría de las leyes estatales de privacidad piden solo las categorías de terceros con quienes un controlador comparte datos. El texto de Rhode Island va más allá, exigiendo que un controlador identifique a todos los terceros a quienes ha vendido o pueda vender datos personales. Leído literalmente, esto es un deber de identificación más amplio que las divulgaciones a nivel de categoría en otras partes, y es la característica que le da al acta su nombre de transparencia. La sección 6-48.1-3 también exige que un controlador que vende datos personales o los procesa para publicidad dirigida divulgue ese procesamiento de manera clara y visible.
A quién cubre la RIDTPPA: umbrales de aplicabilidad
La prueba de aplicabilidad se encuentra en la sección 6-48.1-4. La ley alcanza a una persona que realiza negocios en Rhode Island, o que produce productos o servicios dirigidos a residentes de Rhode Island, y que durante un año calendario controló o procesó los datos personales de uno de dos grupos.
El primer desencadenante es 35,000 o más clientes, excluyendo los datos personales controlados o procesados únicamente con el fin de completar una transacción de pago. La exclusión de pagos significa que un minorista no cuenta las transacciones rutinarias con tarjeta hacia el umbral cuando los únicos datos involucrados son los necesarios para completar esa compra individual.
El segundo desencadenante es 10,000 o más clientes, pero solo cuando la empresa derivó más del veinte por ciento (20%) de sus ingresos brutos de la venta de datos personales. Este umbral menor de clientes captura a las empresas basadas en datos cuyos ingresos dependen de la venta de información personal. La cifra del 20 por ciento es notable, porque varias otras leyes estatales fijan la prueba comparable de ingresos en el 25 por ciento, por lo que el desencadenante de venta de datos de Rhode Island es ligeramente más fácil de alcanzar.
Un término definido importa aquí. El estatuto usa el término cliente en lugar de consumidor, y la sección 6-48.1-2 define a un cliente como una persona que reside en Rhode Island y actúa en un contexto individual o doméstico. Los datos sobre personas que actúan en un contexto comercial o de empleo generalmente quedan fuera de esa definición.

Datos sensibles y la regla de consentimiento previo
Los datos sensibles ocupan un lugar central en la RIDTPPA porque procesarlos requiere consentimiento previo. Conforme a la sección 6-48.1-4, un controlador no procesará datos sensibles relacionados con un cliente sin obtener su consentimiento, y no puede procesar los datos sensibles de un menor conocido salvo con consentimiento y de conformidad con la Ley federal de Protección de la Privacidad Infantil en Línea. El consentimiento debe ser un acto afirmativo claro, no una casilla premarcada ni algo inferido de la inacción.
La definición de datos sensibles en la sección 6-48.1-2 es amplia. Incluye datos personales que revelan origen racial o étnico, creencias religiosas, una condición o diagnóstico de salud mental o física, vida sexual, orientación sexual, o estatus de ciudadanía o inmigración. También incluye datos genéticos o biométricos procesados para identificar de manera única a una persona, datos personales recopilados de un menor conocido, y datos de geolocalización precisa.
Debido a que los datos sensibles activan una barrera de consentimiento previo, la amplitud de la definición tiene un peso operativo. Una empresa que procesa información de salud, estatus migratorio, identificadores biométricos, o ubicación precisa debe obtener consentimiento afirmativo antes de que comience ese procesamiento. La sección 6-48.1-4 también exige que un controlador les dé a los clientes una forma de otorgar y revocar el consentimiento, y de honrar una revocación dentro de 15 días de recibida.
RIDTPPA vs. CCPA: las diferencias clave
La RIDTPPA de Rhode Island y la CCPA de California suelen compararse por empresas que operan a nivel nacional. La página de comparación de leyes estatales de privacidad de datos cubre el panorama multiestatal más amplio, pero varias diferencias entre la RIDTPPA y la CCPA de California destacan.
| Característica | RIDTPPA de Rhode Island | CCPA/CPRA de California |
|---|---|---|
| Umbral de cobertura | 35,000 clientes, o 10,000 más el 20% de ingresos por venta de datos; sin piso de ingresos en dólares | $25M de ingresos, 100,000 consumidores, o 50% de ingresos por venta de datos |
| Divulgación de terceros | Debe identificar a todos los terceros a quienes vende o pueda vender (6-48.1-3) | Categorías de terceros divulgadas |
| Datos sensibles | Se requiere consentimiento previo (6-48.1-4) | Derecho a limitar el uso; modelo de exclusión |
| Señal universal de exclusión | No requerida | Requerida (se reconoce GPC) |
| Derecho de acción privado | Ninguno (6-48.1-8) | Limitado, para ciertas violaciones de datos |
La diferencia más consecuente es la red de cobertura. El umbral de 35,000 clientes de Rhode Island y la ausencia de un piso de ingresos en dólares atraen a empresas que el desencadenante de $25 millones de ingresos de California dejaría fuera, aunque la ley de California a menudo se describe como la más estricta del país en otras dimensiones.
Las dos leyes también difieren en la señal universal de exclusión y en los datos sensibles. California exige el reconocimiento de señales de preferencia de exclusión, como el Global Privacy Control, y usa un derecho a limitar el uso de información personal sensible. Rhode Island no exige una señal universal de exclusión y, en cambio, exige consentimiento previo antes de que se puedan procesar datos sensibles. Donde Rhode Island va más lejos que California es en su deber de divulgación de terceros nombrados conforme a 6-48.1-3.
Más Leyes de Rhode Island
- Leyes de Grabación de Reuniones con IA de Rhode Island
- Leyes de Pensión Alimenticia de Rhode Island
- Leyes de Empleo a Voluntad de Rhode Island
- Leyes de Accidentes Automovilísticos de Rhode Island
- Leyes de Asientos de Auto para Niños de Rhode Island
- Leyes de Custodia de Menores de Rhode Island
- Leyes de Manutención Infantil de Rhode Island
- Leyes de Matrimonio de Hecho de Rhode Island
- Leyes sobre Deepfakes de Rhode Island
- Leyes de Divorcio de Rhode Island
- Leyes sobre Mordeduras de Perro de Rhode Island
- Leyes de Emancipación de Rhode Island
- Leyes de Eliminación de Antecedentes Penales de Rhode Island
- Leyes de Fuga del Lugar del Accidente de Rhode Island
- Leyes de Arrendador-Inquilino de Rhode Island
- Ley del Limón de Rhode Island
Guías relacionadas
Preguntas frecuentes
¿Qué es la RIDTPPA?
La RIDTPPA, o Ley de Transparencia y Protección de Datos y Privacidad de Rhode Island, es la ley integral de privacidad de datos del consumidor de Rhode Island, codificada en R.I. Gen. Laws cap. 6-48.1. Fue promulgada en 2024 mediante los proyectos de ley H 7787 y S 2500, se convirtió en ley en junio de 2024, y entra en vigencia el 1 de enero de 2026. Otorga a los residentes de Rhode Island derechos sobre sus datos personales y exige a las empresas cubiertas divulgar cómo recopilan, usan, y comparten esos datos.
¿Cuándo entra en vigencia la Ley de Transparencia y Protección de Datos y Privacidad de Rhode Island?
La RIDTPPA entra en vigencia el 1 de enero de 2026, la única fecha de vigencia establecida en la sección 6-48.1-4. La ley fue aprobada en junio de 2024, por lo que las empresas cubiertas tuvieron aproximadamente dieciocho meses para prepararse. A partir de 2026, la ley está operativa y el Fiscal General tiene autoridad de aplicación.
¿Quién debe cumplir con la RIDTPPA?
Conforme a la sección 6-48.1-4, la RIDTPPA se aplica a una empresa que realiza negocios en Rhode Island o dirige sus productos a residentes de Rhode Island y que, durante un año calendario, controla o procesa los datos personales de 35,000 o más clientes, o de 10,000 o más clientes mientras deriva más del 20 por ciento de sus ingresos brutos de la venta de datos personales. El primer umbral excluye los datos procesados únicamente para completar una transacción de pago.
¿Cuál es el requisito de divulgación de terceros de la RIDTPPA?
La sección 6-48.1-3 exige que cualquier sitio web comercial o aplicación de servicio de internet que recopile datos personales divulgue las categorías de datos personales que recopila e identifique a todos los terceros a quienes el controlador ha vendido o pueda vender la información de identificación personal de los clientes, junto con un medio activo de contacto. El deber de nombrar a los terceros, en lugar de solo divulgar categorías, es la característica distintiva de la ley y la razón por la que se le llama ley de transparencia.
¿La RIDTPPA exige una señal universal de exclusión?
No. A partir de 2026, la RIDTPPA no exige a los controladores reconocer una señal universal de preferencia de exclusión, como el Global Privacy Control. La sección 6-48.1-6 describe cómo los clientes ejercen los derechos de exclusión y permite agentes autorizados, pero no contiene un mandato de mecanismo universal de exclusión. Esta es una de las razones por las que la ley se considera menos estricta que los modelos de Colorado o Connecticut.
¿Qué se considera dato sensible bajo la RIDTPPA?
Conforme a la sección 6-48.1-2, los datos sensibles incluyen datos que revelan origen racial o étnico, creencias religiosas, una condición o diagnóstico de salud mental o física, vida sexual, orientación sexual, o estatus de ciudadanía o inmigración. También incluyen datos genéticos o biométricos usados para identificar a una persona, datos personales recopilados de un menor conocido, y datos de geolocalización precisa. Procesar datos sensibles requiere consentimiento previo conforme a la sección 6-48.1-4.
¿En qué se diferencia la RIDTPPA de la CCPA?
Diferencias clave: el umbral de cobertura de Rhode Island es de 35,000 clientes sin piso en dólares, mientras que la CCPA de California usa un desencadenante de $25 millones de ingresos entre sus pruebas; Rhode Island exige consentimiento previo para datos sensibles mientras que California usa un derecho de exclusión para limitar el uso; Rhode Island no exige una señal universal de exclusión mientras que California sí; Rhode Island exige de manera única que los controladores identifiquen a todos los terceros a quienes venden o pueden vender datos; y California tiene un derecho de acción privado limitado para ciertas violaciones de datos mientras que Rhode Island no tiene ninguno.
¿Quién aplica la RIDTPPA?
El Fiscal General de Rhode Island tiene la autoridad exclusiva de aplicación conforme a la sección 6-48.1-8. Las infracciones se tratan como prácticas comerciales engañosas bajo R.I. Gen. Laws cap. 6-13.1, y el estatuto establece una multa civil de no menos de $100 y no más de $500 por cada divulgación intencional de datos personales en violación del capítulo. No existe un derecho de acción privado ni un derecho legal de subsanación.
Fuentes y referencias
- R.I. Gen. Laws Capítulo 6-48.1: Ley de Transparencia y Protección de Datos y Privacidad de Rhode Island (Índice de Secciones)(webserver.rilegislature.gov).gov
- R.I. Gen. Laws 6-48.1-1: Título abreviado(webserver.rilegislature.gov).gov
- R.I. Gen. Laws 6-48.1-2: Definiciones(webserver.rilegislature.gov).gov
- R.I. Gen. Laws 6-48.1-3: Prácticas de intercambio de información(webserver.rilegislature.gov).gov
- R.I. Gen. Laws 6-48.1-4: Procesamiento de información(webserver.rilegislature.gov).gov
- R.I. Gen. Laws 6-48.1-8: Infracciones(webserver.rilegislature.gov).gov
- Oficina del Fiscal General de Rhode Island(riag.ri.gov).gov