Vermont
Leyes de Privacidad de Datos de Vermont: Registro de Corredores de Datos y Derechos del Consumidor (2026)

Vermont exige que todos los corredores de datos se registren anualmente ante el Secretario de Estado conforme a 9 V.S.A. 2446, lo que la convierte en el primer estado del país en exigir esta transparencia cuando la Ley 171 entró en vigor en 2018. Vermont promulgó una ley integral de privacidad de datos del consumidor en 2026 (S.71, Ley 145, vigente a partir del 1 de enero de 2028); su marco también cubre el registro de corredores de datos, la notificación de violaciones, la privacidad estudiantil y las protecciones del número de Seguro Social.
Vermont se ha ganado una reputación nacional en un área específica de la privacidad de datos: la regulación de los corredores de datos. En 2018, Vermont se convirtió en el primer estado del país en exigir que los corredores de datos se registraran ante el gobierno, creando un registro público que brinda a los consumidores visibilidad sobre qué empresas compran y venden su información personal.
Vermont ahora cuenta con una ley integral de privacidad de datos del consumidor. Un proyecto de ley de privacidad de gran alcance anterior (H.121) fue aprobado por la legislatura en 2024, pero fue vetado por el gobernador Phil Scott. La legislatura revivió el esfuerzo con el S.71 en la sesión 2025-2026, que el Senado aprobó en marzo de 2025. El gobernador Phil Scott firmó el S.71 como ley el 16 de junio de 2026 bajo el nombre de Ley de Privacidad de Datos y Vigilancia en Línea de Vermont (Ley 145); sus disposiciones principales entran en vigor el 1 de enero de 2028.
Lo que Vermont sí tiene es un mosaico creciente de protecciones específicas: una ley de notificación de violaciones de datos con plazos estrictos, el pionero registro de corredores de datos, nuevos requisitos de código de diseño enfocados en menores, protecciones de privacidad estudiantil y salvaguardas del número de Seguro Social. Esta guía cubre todos los estatutos principales de privacidad de datos de Vermont actualmente vigentes, los proyectos de ley clave pendientes en 2026 y lo que las empresas y los consumidores necesitan saber.

La Ley de Registro de Corredores de Datos de Vermont (9 V.S.A. 2446-2447)
Vermont hizo historia el 22 de mayo de 2018, cuando entró en vigor la Ley 171 (H.764). La ley creó el primer requisito de registro obligatorio del país para los corredores de datos, codificado en 9 V.S.A. 2446. A partir del ciclo de registro 2025-2026, 283 empresas corredoras de datos figuran en el registro público. Una revisión de junio de 2025 realizada por el Privacy Rights Clearinghouse identificó aproximadamente 309 empresas adicionales registradas como corredores de datos en otros estados que no se habían registrado en Vermont, señalando una brecha de cumplimiento que la Fiscal General Charity Clark está en posición de abordar.
Antes de que Vermont actuara, los corredores de datos operaban en un punto ciego regulatorio. Estas empresas recopilaban y vendían información personal sobre millones de consumidores, pero ningún estado les exigía identificarse públicamente. Vermont cambió eso.
¿Qué Es un Corredor de Datos Según la Ley de Vermont?
Vermont define a un corredor de datos como una empresa que "recopila y vende o licencia a terceros de manera consciente la información personal intermediada de un consumidor con quien la empresa no tiene una relación directa", según 9 V.S.A. 2430.
La frase clave es "sin relación directa". Si usted compra algo de un minorista y ese minorista comparte sus datos con un socio de marketing, el minorista no es un corredor de datos según la ley de Vermont porque usted tiene una relación directa con él. Un corredor de datos es una empresa que recopila su información a partir de registros públicos, rastreo en línea, conjuntos de datos comprados y otras fuentes indirectas, sin interactuar nunca directamente con usted.
"La información personal intermediada" incluye elementos de datos computarizados organizados para su divulgación a terceros, tales como nombre, dirección, fecha de nacimiento, número de Seguro Social y datos biométricos.
Requisitos de Registro
Todo corredor de datos que cumpla con la definición legal debe registrarse anualmente ante el Secretario de Estado de Vermont antes del 31 de enero de cada año. La tarifa de registro actual es de $100 por año.
Los corredores de datos deben divulgar lo siguiente en su registro:
- Nombre de la empresa, dirección física, dirección de correo electrónico y URL del sitio web
- Una descripción de los métodos de exclusión disponibles para los consumidores, si los hay
- Qué actividades de recopilación o venta de datos los consumidores no pueden excluir
- Si el corredor utiliza acreditación de compradores (verificando quién compra los datos)
- El número de violaciones de seguridad de datos experimentadas en el año anterior
- El número total de consumidores afectados por esas violaciones
- Si el corredor recopila datos de menores y, de ser así, las prácticas de recopilación y exclusión para esos datos
Esta información pasa a formar parte de un registro público mantenido por el Secretario de Estado de Vermont.
Sanciones por No Registrarse
Un corredor de datos que no se registre enfrenta una sanción civil de $50 por día, con un tope de $10,000 anuales por cada año de incumplimiento. El corredor también debe pagar todas las tarifas de registro atrasadas adeudadas durante el período de incumplimiento. El Fiscal General de Vermont puede buscar medidas civiles adicionales y medidas cautelares.
Requisitos de Seguridad para los Corredores de Datos (9 V.S.A. 2447)
Más allá del registro, Vermont impone obligaciones de seguridad detalladas a los corredores de datos. Conforme a 9 V.S.A. 2447, todo corredor de datos debe "desarrollar, implementar y mantener un programa integral de seguridad de la información" con salvaguardas apropiadas al tamaño, los recursos, el volumen de datos y la sensibilidad de la información almacenada de la empresa.
La ley especifica diez requisitos mínimos del programa:
- Designar a uno o más empleados responsables de mantener el programa de seguridad
- Realizar evaluaciones de riesgo que identifiquen amenazas internas y externas
- Establecer políticas para empleados sobre el almacenamiento y transporte de registros fuera de las instalaciones de la empresa
- Implementar procedimientos disciplinarios para las infracciones de la política de seguridad
- Impedir que los empleados despedidos accedan a los datos personales
- Seleccionar proveedores de servicios externos capaces de mantener salvaguardas adecuadas y exigir obligaciones de seguridad contractuales
- Mantener controles de seguridad física, incluido el almacenamiento bajo llave de los registros
- Realizar un monitoreo regular para garantizar la eficacia del programa
- Realizar revisiones anuales del alcance del programa de seguridad
- Documentar todas las respuestas a violaciones y realizar revisiones posteriores al incidente
La ley también exige protecciones técnicas específicas: protocolos de autenticación seguros, controles de acceso que limitan los datos a los empleados que los necesitan, cifrado de todos los datos transmitidos a través de redes externas y almacenados en dispositivos portátiles, protección de cortafuegos y parches de seguridad actualizados, software de detección de malware y capacitación de empleados.
Las infracciones de estos requisitos de seguridad constituyen "actos desleales y engañosos" según la ley de protección al consumidor de Vermont, aplicables por el Fiscal General.
H.211: La Ley de Eliminación de Vermont (Pendiente a Partir de Mayo de 2026)
En marzo de 2026, la Cámara de Representantes de Vermont aprobó el H.211, inspirado en la Ley de Eliminación de California de 2023. El H.211 fue aprobado por la Cámara el 25 de marzo de 2026 y remitido al Comité de Desarrollo Económico, Vivienda y Asuntos Generales del Senado. A partir de mayo de 2026, no había sido promulgado como ley.
De promulgarse, el H.211:
- Exigiría que los corredores de datos atiendan las solicitudes de eliminación de los consumidores, eliminando la información personal a petición
- Aumentaría la tarifa de registro anual de $100 a $900 para financiar costos administrativos
- Asignaría $50,000 en el año fiscal 2027 para que el Secretario de Estado estudie la viabilidad de un portal centralizado de exclusión donde los consumidores puedan presentar una única solicitud de eliminación que cubra a todos los corredores registrados
- Exigiría que los corredores de datos certifiquen que la información que recopilan se utiliza para fines legítimos y que proporcionen notificación de violaciones conforme a la ley vigente de Vermont
El portal centralizado de eliminación, de ser financiado y construido, representaría la expansión más significativa de la ley de corredores de datos de Vermont desde 2018.

La Ley de Aviso de Violación de Seguridad de Vermont (9 V.S.A. 2430, 2435)
La ley de notificación de violación de datos de Vermont está codificada en 9 V.S.A. 2435. La ley se aplica a todo "recopilador de datos", que el estatuto define de manera amplia como cualquier persona o entidad que maneje, recopile o divulgue información de identificación personal, incluidas empresas, agencias gubernamentales, universidades y minoristas.
Qué Activa una Notificación
Se requiere una notificación cuando ocurre una "violación de seguridad", definida en 9 V.S.A. 2430 como la adquisición no autorizada de datos electrónicos que compromete la seguridad, confidencialidad o integridad de la información de identificación personal de un consumidor.
"Información de identificación personal" según la ley de Vermont significa el primer nombre o la inicial de un consumidor combinado con su apellido, más uno o más de los siguientes elementos de datos:
- Número de Seguro Social
- Número de licencia de conducir o de identificación estatal
- Número de cuenta financiera, número de tarjeta de crédito o número de tarjeta de débito (combinado con cualquier código de seguridad o contraseña necesaria para acceder a la cuenta)
- Contraseñas o números de identificación personal para cuentas financieras
- Datos biométricos (huella dactilar, escaneo de retina u otro identificador similar)
- Registros de salud o registros de programas de bienestar
- Número de identificación individual del contribuyente
Las credenciales de inicio de sesión (nombre de usuario combinado con contraseña o pregunta de seguridad) también están cubiertas, aunque los requisitos de notificación son ligeramente diferentes.
Cronograma de Notificación
Vermont exige la notificación "en el tiempo más expedito posible y sin demora injustificada, pero no más tarde de 45 días después del descubrimiento o notificación" de la violación.
El recopilador de datos también debe notificar al Fiscal General de Vermont (o al Departamento de Regulación Financiera en el caso de instituciones financieras reguladas) dentro de los 14 días hábiles posteriores al descubrimiento de la violación. Este aviso preliminar debe incluir una descripción de la violación.
Si la violación afecta a más de 1,000 consumidores, el recopilador de datos también debe notificar a las agencias de informes crediticios del consumidor.
Qué Debe Incluir el Aviso
Las notificaciones de violación deben ser "claras y visibles" e incluir:
- Una descripción general del incidente de seguridad
- Los tipos de información personal que fueron comprometidos
- Las medidas de protección que la empresa ha implementado en respuesta
- Un número de contacto gratuito para consultas de los consumidores
- Consejos sobre cómo monitorear las cuentas y los informes crediticios
- La fecha aproximada de la violación
Cómo Se Puede Entregar el Aviso
Los recopiladores de datos pueden proporcionar el aviso mediante métodos directos: correo postal, correo electrónico (bajo ciertas condiciones) o teléfono. Si el costo del aviso directo superara los $10,000, o si no se dispone de la información de contacto de los consumidores afectados, el recopilador de datos puede usar un aviso sustituto mediante una publicación destacada en el sitio web de la empresa y la notificación a los principales medios de comunicación estatales.
Exenciones
Las entidades cubiertas por HIPAA que cumplen con las reglas federales de notificación de violaciones de privacidad de salud se consideran en cumplimiento de la ley de Vermont. Las entidades que puedan demostrar ante el Fiscal General que el uso indebido de la información comprometida "no es razonablemente posible" también pueden evitar la notificación al consumidor, aunque deben seguir notificando a las autoridades.
Aplicación
El Fiscal General de Vermont y los Fiscales Estatales aplican la ley de notificación de violaciones. El Departamento de Regulación Financiera se encarga de la aplicación para las instituciones financieras reguladas.
Prohibiciones sobre la Información Personal Intermediada (9 V.S.A. 2431)
Aparte del registro de corredores de datos, la ley de Vermont conforme a 9 V.S.A. 2431 prohíbe usos perjudiciales específicos de la información personal intermediada.
En Vermont es ilegal:
- Adquirir información personal intermediada mediante medios fraudulentos
- Usar información personal intermediada para acecho, acoso, fraude o discriminación ilegal
Las infracciones se tratan como prácticas comerciales desleales y engañosas, aplicables por el Fiscal General conforme a la Ley de Protección al Consumidor de Vermont (Capítulo 63 del Título 9).
Protección del Número de Seguro Social (9 V.S.A. 2440)
La Ley de Protección del Número de Seguro Social de Vermont conforme a 9 V.S.A. 2440 restringe la forma en que las empresas y las agencias estatales pueden manejar los números de Seguro Social.
Restricciones para las Empresas
Las empresas que operan en Vermont no pueden:
- Poner intencionalmente a disposición del público en general el número de Seguro Social de una persona
- Imprimir números de Seguro Social en tarjetas de acceso o de identificación
- Exigir la transmisión de un número de Seguro Social por una conexión de internet no segura sin cifrado
- Exigir un número de Seguro Social como la única credencial de inicio de sesión para el acceso en línea sin autenticación adicional
- Imprimir números de Seguro Social en materiales enviados por correo, salvo que la ley lo exija, y nunca pueden aparecer en tarjetas postales ni a través de ventanas visibles de sobres
- Vender o divulgar números de Seguro Social a terceros sin consentimiento por escrito, a menos que la divulgación sirva a un propósito comercial legítimo
Restricciones para las Agencias Estatales
Las entidades del gobierno estatal enfrentan prohibiciones similares sobre la recopilación, exhibición, transmisión y divulgación pública de números de Seguro Social. Las agencias estatales deben proporcionar declaraciones de divulgación que expliquen por qué recopilan números de Seguro Social y deben segregar esa información en sus registros.
Exenciones
Las restricciones no se aplican cuando los números de Seguro Social forman parte de documentación de inscripción, se usan para verificación administrativa o investigación de fraude, son requeridos para informes crediticios conforme a la ley federal, son ordenados por un tribunal o las fuerzas del orden, se obtienen de registros públicos, o se usan bajo acuerdos preexistentes continuos desde antes del 1 de enero de 2007.
Ley del Código de Diseño Apropiado para la Edad de Vermont (S.69, Ley 63)

El gobernador Phil Scott firmó la Ley del Código de Diseño Apropiado para la Edad de Vermont (S.69) el 12 de junio de 2025, como Ley 63. La ley entra en vigor el 1 de enero de 2027. La Oficina del Fiscal General de Vermont está llevando a cabo un proceso formal de reglamentación en la primavera de 2026 para desarrollar las regulaciones de implementación.
A Quién Cubre la Ley
El AADC se aplica a las "empresas cubiertas" que operan plataformas, productos o servicios en línea a los que es probable que accedan menores. Refleja leyes similares promulgadas en California y otros estados, a la vez que incorpora prioridades de aplicación específicas de Vermont.
Requisitos Principales
Las empresas cubiertas deben:
- Configurar de manera predeterminada todos los ajustes de privacidad en el nivel más alto disponible cuando el usuario sea, o probablemente sea, un menor
- Abstenerse de recopilar o compartir los datos personales de un menor más allá de lo estrictamente necesario para proporcionar el servicio solicitado
- Evitar el uso de funciones de diseño que fomenten que los menores pasen un tiempo excesivo en la plataforma o compartan más datos personales de los necesarios
- Realizar evaluaciones de impacto en la protección de datos para productos y servicios a los que probablemente accedan menores antes de lanzarlos o modificarlos significativamente
Aplicación
El Fiscal General de Vermont aplica el AADC. Las infracciones están sujetas a sanciones civiles conforme a la ley de protección al consumidor de Vermont. Dado que el proceso de reglamentación está en curso en la primavera de 2026, las empresas tienen tiempo para evaluar sus obligaciones de cumplimiento antes de la fecha de vigencia del 1 de enero de 2027.
Protecciones de Privacidad Estudiantil (9 V.S.A. 2443-2443a)
Vermont añadió protecciones de privacidad estudiantil en 2019, codificadas en 9 V.S.A. 2443 (definiciones) y 9 V.S.A. 2443a (prohibiciones para operadores). Estas protecciones se aplican a los operadores de tecnología educativa de PreK-12 y complementan los requisitos más amplios del AADC para menores en línea.
A Quién Cubre la Ley
La ley se aplica a los "operadores", definidos como entidades que administran sitios web, servicios en línea o aplicaciones con conocimiento real de que su producto se usa principalmente para fines escolares de PreK-12 y que fue diseñado y comercializado para fines escolares de PreK-12.
Qué Incluye la "Información Cubierta"
La información cubierta se define de manera amplia e incluye datos personales en cualquier formato que sean no públicos o que se divulguen conforme a la FERPA. Abarca registros disciplinarios, resultados de exámenes, datos de educación especial, registros de dependencia juvenil, calificaciones, evaluaciones, antecedentes penales, registros médicos, registros de salud, números de Seguro Social, información biométrica, estado de discapacidad, información socioeconómica, compras de alimentos, afiliaciones políticas e información religiosa.
Actividades Prohibidas
Los operadores de tecnología educativa no pueden:
- Realizar publicidad dirigida basada en información adquirida a través del uso escolar de PreK-12 de su plataforma
- Crear perfiles de estudiantes utilizando identificadores persistentes o datos recopilados fuera de fines educativos
- Vender, intercambiar o alquilar la información cubierta de un estudiante
- Divulgar información cubierta salvo para fines específicos autorizados
Divulgaciones Permitidas
Los operadores pueden compartir información cubierta únicamente para: promover fines educativos (con restricciones sobre cómo los destinatarios pueden usar los datos), cumplir con requisitos legales o regulatorios, responder a un proceso judicial, proteger la seguridad del usuario, o para fines solicitados por el estudiante o el padre/madre. Los operadores pueden usar libremente la información para "mantener, desarrollar, respaldar, mejorar o diagnosticar" su propia plataforma.
Marco Federal de Protección de Datos en Vermont
Debido a que Vermont carece de una ley estatal integral de privacidad del consumidor, varios estatutos federales brindan protecciones básicas importantes para los residentes de Vermont.

Ley TAKE IT DOWN (Pub. L. 119-12, 2025)
El presidente Trump firmó la Ley TAKE IT DOWN el 19 de mayo de 2025. La ley crea prohibiciones penales federales sobre la publicación de imágenes íntimas no consentidas (NCII, por sus siglas en inglés), incluidos los deepfakes generados por IA. Las sanciones penales entraron en vigor de inmediato al momento de la firma. Las obligaciones para las plataformas (las plataformas cubiertas deben establecer un proceso de aviso y eliminación, y retirar las NCII señaladas dentro de las 48 horas posteriores a la recepción de un aviso válido) entraron en vigor el 19 de mayo de 2026 y son aplicadas por la Comisión Federal de Comercio. Los residentes de Vermont que son víctimas de NCII pueden solicitar la eliminación en las plataformas cubiertas conforme a este marco federal, independientemente de la ausencia de una ley estatal integral de privacidad.
HIPAA (Ley de Portabilidad y Responsabilidad del Seguro Médico)
La HIPAA protege la información de salud en poder de entidades cubiertas, como hospitales, aseguradoras y proveedores de atención médica. La ley de notificación de violaciones de Vermont reconoce explícitamente el cumplimiento de la HIPAA como suficiente para satisfacer los requisitos estatales en caso de violaciones de datos de atención médica.
FERPA (Ley de Derechos Educativos y Privacidad Familiar)
La FERPA protege los registros educativos de los estudiantes en instituciones que reciben fondos federales. La ley de privacidad estudiantil de Vermont (9 V.S.A. 2443) hace referencia a la FERPA y amplía las protecciones a los operadores de tecnología educativa que la FERPA no regula directamente.
COPPA (Ley de Protección de la Privacidad Infantil en Línea)
La COPPA exige que los sitios web y servicios en línea obtengan el consentimiento parental verificable antes de recopilar información personal de niños menores de 13 años. Esta ley federal se aplica en Vermont y complementa las protecciones de privacidad estudiantil del estado y el nuevo AADC.
Ley Gramm-Leach-Bliley (GLBA)
La GLBA exige que las instituciones financieras expliquen sus prácticas de intercambio de información y protejan los datos sensibles. La ley de notificación de violaciones de Vermont se coordina con la GLBA al dirigir los informes de violaciones de instituciones financieras a través del Departamento de Regulación Financiera en lugar del Fiscal General.
Sección 5 de la Ley de la FTC
La Comisión Federal de Comercio aplica prohibiciones contra prácticas desleales o engañosas, incluidas las infracciones de privacidad de datos. La FTC ha emprendido acciones de aplicación contra empresas que manejan indebidamente los datos de los consumidores, proporcionando un respaldo federal en estados como Vermont que carecen de estatutos integrales de privacidad.
Legislación Integral de Privacidad del Consumidor Pendiente
Después de dos ciclos legislativos, Vermont promulgó una ley integral de privacidad de datos del consumidor en 2026.
H.121 (2024): Vetado. La legislatura de Vermont aprobó el H.121 en 2024, un proyecto de ley titulado "Una ley relacionada con la mejora de la privacidad del consumidor y el código de diseño apropiado para la edad". El gobernador Phil Scott lo vetó el 17 de junio de 2024, objetando principalmente su disposición de derecho de acción privado. El Senado mantuvo el veto.
S.71 (sesión 2025-2026): Promulgada (Ley 145). La legislatura revivió la legislación integral de privacidad del consumidor como S.71, titulada "Una ley relacionada con la privacidad de datos del consumidor y la vigilancia en línea". El Senado aprobó por unanimidad una versión enmendada en marzo de 2025 después de eliminar el derecho de acción privado que había condenado al H.121. El proyecto de ley otorgaría a los residentes de Vermont derechos de acceso, corrección y eliminación de sus datos personales, así como el derecho a excluirse de ciertas actividades de procesamiento de datos. Después de que la Cámara aprobara una versión enmendada, el gobernador Phil Scott vetó el S.71 el 8 de junio de 2026, pero luego cambió de postura y lo firmó como ley el 16 de junio de 2026 bajo el nombre de Ley 145. La mayoría de las disposiciones entran en vigor el 1 de enero de 2028, con aplicación por parte del Fiscal General y sin derecho de acción privado. Una vez vigente, la ley otorgará a los residentes de Vermont derechos de acceso, corrección y eliminación de sus datos personales, así como el derecho a excluirse de ciertos procesamientos.
Nota sobre el H.342: El H.342 de la sesión 2025-2026 es un proyecto de ley más limitado que aborda la información personal de ciertos servidores públicos, no una medida integral de privacidad del consumidor.
Cómo Se Compara Vermont con Otros Estados
Vermont ocupa una posición inusual en el panorama nacional de la privacidad de datos. Fue un verdadero pionero con el registro de corredores de datos y el AADC, pero todavía carece del marco integral de derechos del consumidor que muchos otros estados han adoptado.

Fortalezas del enfoque de Vermont:
- Primer estado en exigir el registro de corredores de datos, creando transparencia pública desde 2018
- Requisitos de seguridad sólidos para los corredores de datos con estándares técnicos detallados conforme a 9 V.S.A. 2447
- Plazo de notificación de violaciones relativamente estricto de 45 días, con un requisito de notificación al Fiscal General de 14 días
- Protecciones de privacidad estudiantil que van más allá de los requisitos federales de la FERPA
- Protecciones del número de Seguro Social con restricciones de uso específicas
- Código de Diseño Apropiado para la Edad (Ley 63) promulgado en junio de 2025, vigente en enero de 2027
- La Ley de Eliminación H.211 (de ser firmada) añadiría derechos de eliminación para los consumidores respecto a los datos intermediados
Brechas en el marco de Vermont:
- Aún no hay una ley integral de privacidad de datos del consumidor en vigor (S.71/Ley 145 promulgada el 16 de junio de 2026; vigente el 1 de enero de 2028)
- No existe actualmente un derecho universal de exclusión vigente para la venta de información personal
- No hay derecho de acción privado por infracciones de privacidad de datos (solo aplicación por el Fiscal General)
- Las sanciones por registro de corredores de datos son modestas ($50/día, con un tope de $10,000/año)
- No existe un estatuto específico de privacidad biométrica más allá de los contextos de notificación de violaciones y del AADC
Más leyes de Vermont
- Leyes de Grabación de Reuniones con IA de Vermont
- Leyes de Pensión Alimenticia de Vermont
- Leyes de Empleo a Voluntad de Vermont
- Leyes de Accidentes de Auto de Vermont
- Leyes de Asientos de Seguridad para Niños de Vermont
- Leyes de Custodia de los Hijos de Vermont
- Leyes de Manutención de los Hijos de Vermont
- Leyes de Matrimonio de Hecho de Vermont
- Leyes de Deepfake de Vermont
- Leyes de Divorcio de Vermont
- Leyes de Mordedura de Perro de Vermont
- Leyes de Emancipación de Vermont
- Leyes de Eliminación de Antecedentes de Vermont
- Leyes de Atropello y Fuga de Vermont
- Leyes de Propietarios e Inquilinos de Vermont
- Leyes Limón de Vermont
Este artículo es solo para fines informativos y no constituye asesoría legal. Las leyes de privacidad de datos cambian con frecuencia, y las interpretaciones de aplicación evolucionan con el tiempo. Consulte a un abogado con licencia en Vermont para obtener asesoría sobre su situación específica. Última revisión: junio de 2026.
Noticias relacionadas
Preguntas frecuentes
¿Tiene Vermont una ley integral de privacidad de datos del consumidor?
Sí. Vermont promulgó la Ley de Privacidad de Datos y Vigilancia en Línea (S.71, Ley 145), que el gobernador Phil Scott firmó el 16 de junio de 2026. Crea amplios derechos del consumidor para acceder, corregir y eliminar datos personales, y para excluirse de ciertos procesamientos, aplicados por el Fiscal General y sin derecho de acción privado. La mayoría de las disposiciones entran en vigor el 1 de enero de 2028, por lo que los residentes de Vermont obtendrán estos derechos legales una vez que la ley esté vigente. Las protecciones de privacidad actualmente vigentes en Vermont son específicas: registro de corredores de datos, notificación de violaciones, privacidad estudiantil, salvaguardas del número de Seguro Social y el Código de Diseño Apropiado para la Edad.
¿Qué es el registro de corredores de datos de Vermont y por qué es significativo?
El registro de corredores de datos de Vermont, creado por la Ley 171 en 2018 y codificado en 9 V.S.A. 2446, exige que toda empresa que recopile y venda de manera consciente información personal sobre consumidores con quienes no tiene una relación directa se registre anualmente ante el Secretario de Estado de Vermont. La tarifa de registro es de $100 por año y requiere la divulgación de las políticas de exclusión, el historial de violaciones y las prácticas relacionadas con los datos de menores. Vermont fue el primer estado del país en crear este requisito. A partir de 2025-2026, hay 283 corredores de datos registrados. Una revisión de junio de 2025 identificó aproximadamente 309 empresas adicionales que se habían registrado en otros estados pero no en Vermont, señalando una oportunidad de aplicación de cumplimiento.
¿Con qué rapidez debe una empresa notificarme sobre una violación de datos en Vermont?
Conforme a 9 V.S.A. 2435, una empresa debe notificar a los consumidores de Vermont afectados en el tiempo más expedito posible y sin demora injustificada, pero no más tarde de 45 días después de descubrir la violación. La empresa también debe notificar al Fiscal General de Vermont dentro de los 14 días hábiles con una descripción preliminar de la violación. Si la violación afecta a más de 1,000 consumidores, la empresa debe además notificar a las agencias de informes crediticios del consumidor.
¿Qué es la Ley del Código de Diseño Apropiado para la Edad de Vermont?
La Ley del Código de Diseño Apropiado para la Edad de Vermont (S.69, Ley 63) fue firmada por el gobernador Phil Scott el 12 de junio de 2025 y entra en vigor el 1 de enero de 2027. Exige que las plataformas en línea cubiertas a las que probablemente accedan menores configuren de manera predeterminada los ajustes de privacidad más altos disponibles, recopilen únicamente los datos personales necesarios para proporcionar el servicio solicitado y eviten funciones de diseño que fomenten un intercambio excesivo de datos o un tiempo excesivo en la plataforma. El Fiscal General de Vermont está llevando a cabo un proceso de reglamentación en 2026 para desarrollar las regulaciones de implementación. Las empresas que operan plataformas probablemente utilizadas por menores deben monitorear el proceso de reglamentación.
¿Qué es el H.211 y cómo cambiaría la ley de corredores de datos de Vermont?
El H.211, conocido informalmente como la Ley de Eliminación de Vermont, fue aprobado por la Cámara de Representantes de Vermont el 25 de marzo de 2026 y estaba en el Senado a partir de mayo de 2026. De promulgarse como ley, exigiría que los corredores de datos registrados atiendan las solicitudes de los consumidores para eliminar su información personal, aumentaría la tarifa de registro anual de $100 a $900 y financiaría un estudio para construir un portal centralizado donde los residentes de Vermont puedan presentar una única solicitud de eliminación a todos los corredores registrados a la vez. Aún no ha sido firmado por el gobernador Scott.
¿Existen sanciones para los corredores de datos que no se registran en Vermont?
Sí. Conforme a 9 V.S.A. 2446, un corredor de datos que no se registre enfrenta una sanción civil de $50 por día de incumplimiento, con un tope de $10,000 por año. El corredor también debe pagar todas las tarifas de registro impagas correspondientes al período de incumplimiento. El Fiscal General de Vermont puede buscar medidas civiles adicionales y solicitar medidas cautelares. Las infracciones de los requisitos de seguridad para corredores de datos conforme a 9 V.S.A. 2447 se tratan como prácticas comerciales desleales y engañosas, que conllevan sanciones adicionales.
¿Cómo protege Vermont la privacidad de los datos estudiantiles?
Vermont protege los datos estudiantiles conforme a 9 V.S.A. 2443 y 2443a, promulgados en 2019. La ley se aplica a los operadores de tecnología educativa cuyos productos se usan principalmente para fines escolares de PreK-12. A estos operadores se les prohíbe usar los datos estudiantiles para publicidad dirigida, crear perfiles no educativos utilizando información estudiantil, vender o alquilar datos estudiantiles, y divulgar información cubierta salvo para fines específicos autorizados. La información cubierta incluye calificaciones, resultados de exámenes, registros disciplinarios, registros de salud, datos biométricos y números de Seguro Social. La Ley del Código de Diseño Apropiado para la Edad de 2025 (Ley 63) añade una capa adicional para las plataformas en línea utilizadas por menores de manera más amplia.
¿La Ley federal TAKE IT DOWN protege a los residentes de Vermont?
Sí. La Ley TAKE IT DOWN (Pub. L. 119-12), firmada el 19 de mayo de 2025, se aplica a nivel nacional, incluido Vermont. Crea responsabilidad penal federal por la publicación de imágenes íntimas no consentidas, incluidos los deepfakes generados por IA. A partir del 19 de mayo de 2026, las plataformas en línea cubiertas también deben mantener un proceso de aviso y eliminación, y retirar las imágenes señaladas dentro de las 48 horas posteriores a la recepción de una solicitud válida. La Comisión Federal de Comercio aplica las obligaciones de las plataformas. Los residentes de Vermont que son víctimas de la difusión no consentida de imágenes íntimas pueden usar este marco federal independientemente de la falta de una ley integral de privacidad del estado.
Fuentes y referencias
- 9 V.S.A. Capítulo 62: Protección de la Información Personal (Capítulo Completo)(legislature.vermont.gov).gov
- 9 V.S.A. 2430: Definiciones para la Protección de la Información Personal(legislature.vermont.gov).gov
- 9 V.S.A. 2431: Prohibiciones sobre la Información Personal Intermediada(legislature.vermont.gov).gov
- 9 V.S.A. 2435: Aviso de Violaciones de Seguridad(legislature.vermont.gov).gov
- 9 V.S.A. 2440: Protección del Número de Seguro Social(legislature.vermont.gov).gov
- 9 V.S.A. 2443: Definiciones de Privacidad Estudiantil(legislature.vermont.gov).gov
- 9 V.S.A. 2443a: Prohibiciones para Operadores de Privacidad Estudiantil(legislature.vermont.gov).gov
- 9 V.S.A. 2446: Registro Anual de Corredores de Datos(legislature.vermont.gov).gov
- 9 V.S.A. 2447: Deber del Corredor de Datos de Proteger la Información(legislature.vermont.gov).gov
- H.764 (Ley 171, 2018): Ley de Registro de Corredores de Datos(legislature.vermont.gov).gov
- H.121 (2024): Privacidad del Consumidor y Código de Diseño Apropiado para la Edad (Vetado)(legislature.vermont.gov).gov
- S.71 (Ley 145, 2026): Ley de Privacidad de Datos y Vigilancia en Línea de Vermont (Promulgada el 16 de junio de 2026)(legislature.vermont.gov).gov
- H.211 (2026): Ley Relacionada con los Corredores de Datos y la Información Personal (Ley de Eliminación, Pendiente)(legislature.vermont.gov).gov
- S.69 (Ley 63, 2025): Ley del Código de Diseño Apropiado para la Edad de Vermont(legislature.vermont.gov).gov
- Ley 63 Promulgada: Código de Diseño Apropiado para la Edad de Vermont(legislature.vermont.gov).gov
- Oficina del Fiscal General de Vermont: Reglamentación del Código de Diseño Apropiado para la Edad(ago.vermont.gov).gov
- Ley TAKE IT DOWN, Pub. L. 119-12 (S.146, 119.º Congreso)(congress.gov).gov
- Oficina del Gobernador Phil Scott: Medidas Adoptadas sobre Legislación, 16 de junio de 2026 (S.71 firmado como Ley 145)(governor.vermont.gov).gov