¿Cuándo entra en vigor la Ley de Privacidad de Datos y Vigilancia de Vermont?

La ley entra en vigor el 1 de enero de 2028, tras ser promulgada el 16 de junio de 2026.

¿Qué hace que esta ley de Vermont sea más estricta que otras leyes estatales de privacidad?

Exige el consentimiento explícito (opt-in) para procesar datos sensibles, otorga a los consumidores un derecho de acción privada para demandar y restringe la publicidad dirigida y la elaboración de perfiles de comportamiento sin consentimiento explícito.

¿Qué empresas están sujetas a la Ley de Privacidad de Datos y Vigilancia de Vermont?

Las empresas que controlan o procesan los datos personales de 25.000 o más consumidores de Vermont al año, o aquellas que obtienen el 25% o más de sus ingresos brutos de la venta de datos personales y procesan los datos de al menos 12.500 consumidores.

¿Qué categorías de datos requieren consentimiento previo según esta ley?

La geolocalización precisa, los datos de salud, los datos financieros y los datos de menores de edad requieren consentimiento explícito antes de su procesamiento.

¿Pueden los consumidores individuales presentar demandas por infracciones de esta ley?

Sí, la ley incluye un derecho de acción privada que otorga a los consumidores individuales legitimación para demandar por ciertas infracciones, en lugar de dejar la aplicación exclusivamente en manos de los reguladores estatales.

Ley de Privacidad de Datos y Vigilancia de Vermont: Qué Significa en 2028

El gobernador de Vermont promulgó la ley S.71, la Ley de Privacidad de Datos y Vigilancia en Línea de Vermont, el 16 de junio de 2026, convirtiendo a Vermont en uno de los estados más estrictos del país en protección de datos de los consumidores. La ley no entra en vigor hasta el 1 de enero de 2028, pero la cuenta regresiva ya ha comenzado para que las empresas pongan en orden sus prácticas. Para los consumidores, las disposiciones sobre vigilancia de la ley de privacidad de datos de Vermont representan uno de los intentos más ambiciosos hasta la fecha de un estado de EE. UU. por controlar cómo las empresas recopilan, usan y comparten información personal.

Lo que Realmente Exige la Ley de Privacidad de Datos y Vigilancia en Línea de Vermont

En esencia, la ley otorga a los residentes de Vermont un control significativo sobre sus datos personales. Exige que las empresas obtengan el consentimiento explícito (opt-in) antes de procesar categorías sensibles de información, incluidos la geolocalización precisa, los datos de salud, los datos financieros y los datos de menores de edad. Este requisito de consentimiento previo es notablemente más estricto que los modelos de exclusión voluntaria (opt-out) que se encuentran en muchas otras leyes estatales.

Las empresas también deben proporcionar avisos de privacidad claros y accesibles, realizar evaluaciones de protección de datos para actividades de procesamiento de mayor riesgo y atender las solicitudes de los consumidores para acceder, corregir, eliminar y transferir sus datos. La ley incluye un derecho de acción privada para ciertas infracciones, lo que otorga a los consumidores individuales legitimación para demandar, no solo a los reguladores estatales. Esta característica por sí sola distingue a Vermont de la mayoría de los marcos de privacidad estatales de EE. UU., donde la aplicación se deja completamente en manos de los fiscales generales.

La parte de "vigilancia en línea" de la ley es particularmente destacable. Impone restricciones específicas al uso de datos personales para publicidad dirigida a los consumidores y limita la forma en que las empresas pueden elaborar perfiles de comportamiento sin consentimiento explícito.

Quiénes Están Cubiertos y la Amplia Red que Atrapa a Más Empresas de las que Cabría Esperar

Muchas leyes estatales de privacidad incluyen umbrales de ingresos o volumen de datos que dejan fuera a las empresas más pequeñas. Los umbrales de Vermont son comparativamente bajos. La ley se aplica a las empresas que controlan o procesan los datos personales de 25.000 o más consumidores de Vermont al año, o a aquellas que obtienen el 25 por ciento o más de sus ingresos brutos de la venta de datos personales y procesan los datos de al menos 12.500 consumidores.

Vermont tiene una población de aproximadamente 650.000 habitantes. Eso significa que el umbral de 25.000 consumidores representa solo alrededor del cuatro por ciento de los residentes del estado. Las empresas que operan a nivel nacional y tienen bases de usuarios de Vermont incluso modestas podrían cruzar fácilmente ese límite. Los intermediarios de datos, en particular, enfrentan obligaciones reforzadas en virtud de la ley, incluidos límites más estrictos a la venta de datos sensibles y el requisito de registrarse en el estado.

La referencia a la "vigilancia en línea" en el título de la ley deja claras sus ambiciones. Las plataformas y las empresas de tecnología publicitaria que dependen del seguimiento generalizado para crear perfiles de consumidores están completamente dentro de su ámbito de aplicación.

Cómo se Compara la Ley de Vermont con Otras Legislaciones Estatales de Privacidad de EE. UU.

Vermont se encuentra ahora entre aproximadamente dos docenas de estados con una legislación integral de privacidad del consumidor, pero su ley se sitúa en el extremo más estricto del espectro. La CPRA de California se cita a menudo como el estándar de oro de EE. UU., pero el requisito de consentimiento explícito de Vermont para el procesamiento de datos sensibles y su derecho de acción privada van más allá de lo que California exige actualmente.

Estados como Texas y Florida han promulgado leyes con exenciones empresariales más amplias y sin derechos de acción privada, lo que deja la aplicación prácticamente sin fuerza en la práctica. El enfoque de Vermont se asemeja más al espíritu de los principios europeos de protección de datos, sin copiar directamente el RGPD. La combinación de umbrales de aplicabilidad bajos, un consentimiento previo por defecto para datos sensibles y derechos de demanda individuales crea una presión real de responsabilidad sobre las empresas.

La ley también traza un círculo más estrecho en torno a la actividad de los intermediarios de datos que la mayoría de los marcos estatales, lo cual es significativo dado que gran parte de la economía de vigilancia comercial opera a través de intermediarios de datos y no de las empresas con las que los consumidores interactúan directamente.

Lo que Esto Significa para tus Derechos sobre los Datos Incluso si no Vives en Vermont

Las leyes estatales de privacidad tienen una tendencia bien documentada a producir cambios en las políticas a nivel nacional. Cuando las empresas actualizan sus prácticas de datos para cumplir con una ley estatal estricta, a menudo aplican esos cambios de manera generalizada en lugar de mantener sistemas separados para diferentes estados. La ley de privacidad de California produjo exactamente este efecto, con empresas implementando nuevos flujos de consentimiento y herramientas de eliminación de datos para todos los usuarios de EE. UU., no solo para los californianos.

La ley de Vermont podría desencadenar una dinámica similar, especialmente en torno a los intermediarios de datos. Si las empresas deben ofrecer a los residentes de Vermont el derecho de excluirse de la venta de sus datos, muchas encontrarán operativamente más sencillo extender esa opción a todas partes. Para los consumidores fuera de Vermont, esto representa una ganancia significativa en derechos sobre los datos que de otro modo no tendrían.

También vale la pena observar las disposiciones específicas sobre vigilancia en un contexto más amplio. La legislación dirigida al seguimiento del comportamiento y la vigilancia en línea forma cada vez más parte del debate político a nivel federal. El enfoque de Vermont podría influir en la forma en que los legisladores federales planteen futuras propuestas.

Por supuesto, las protecciones legales solo llegan hasta cierto punto. Las leyes establecen mínimos, no máximos, y su aplicación lleva tiempo. El uso de herramientas técnicas de privacidad junto con los derechos legales ofrece a los consumidores una perspectiva más completa. Una VPN, por ejemplo, limita lo que terceros pueden observar sobre tu actividad de navegación a nivel de red, complementando los derechos que una ley estatal otorga en materia de almacenamiento e intercambio de datos.

Conclusiones Prácticas

Si tienes un negocio: Comienza a revisar tu inventario de datos ahora. Enero de 2028 puede parecer lejano, pero crear flujos de consentimiento que cumplan con la ley, procesos de evaluación y sistemas para atender las solicitudes de los titulares de los datos lleva tiempo.
Si resides en Vermont: Tus derechos en virtud de esta ley serán exigibles a partir del 1 de enero de 2028. Conserva registros de las solicitudes de datos que presentes y de las respuestas que recibas.
Si vives fuera de Vermont: Observa cómo responden las empresas nacionales a esta ley. Las nuevas herramientas de exclusión voluntaria u opciones de consentimiento que se implementen para los usuarios de Vermont podrían estar disponibles también para ti.
Para todos: Las protecciones legales y las prácticas técnicas de privacidad funcionan mejor juntas. Mantenerse informado sobre la legislación de vigilancia estatal y federal es un primer paso para comprender qué derechos tienes realmente.

La ley de Vermont es un hito importante en el esfuerzo continuo por acercar los estándares de privacidad de EE. UU. a lo que los consumidores de otras partes del mundo ya esperan. Que produzca un efecto dominó a nivel nacional dependerá de la agresividad con que se aplique y de la disposición de las empresas a construir prácticas de datos verdaderamente conformes en lugar de soluciones mínimas.