La ley de privacidad aprobada de Vermont hace que el cumplimiento modular sea mejor que las listas de verificación estatales

La señal no es la ceremonia de firma. Es el gerente de producto preguntando si Vermont necesita su propio interruptor, su propia cola de eliminación, su propio anexo para proveedores y su propio texto de aviso. Vermont ha puesto ahora otra ley integral de privacidad en el mapa de Estados Unidos, y la lección práctica no es que todo el mundo necesite una lista de verificación nueva. La lección es que el cumplimiento de la privacidad estatal se ha convertido en un problema de sistema de controles.

La nueva fecha en el calendario de cumplimiento

Hunton Andrews Kurth informa que el gobernador de Vermont, Phil Scott, firmó el Proyecto de Ley del Senado S.71, la Ley de Privacidad de Datos y Vigilancia en Línea de Vermont, el 16 de junio de 2026. Hunton describe a Vermont como el estado número 23 con una ley integral de privacidad del consumidor, mientras que Koley Jessen lo describe como el estado número 24 en promulgar una. Esa discrepancia es un recordatorio útil de que contar leyes de privacidad no es donde los equipos de desarrollo deberían invertir su limitado tiempo de cumplimiento. La fecha que importa es menos discutible: tanto Hunton como Koley Jessen informan que la ley entra en vigor el 1 de enero de 2028.

Koley Jessen añade una nota políticamente relevante: el gobernador Scott había vetado previamente una versión más estricta en junio de 2024. Troutman Pepper dice que la versión promulgada también se apartó de una estructura de aplicabilidad escalonada anterior y la sustituyó por un único umbral uniforme. Traducción: la ley final no es simplemente una repetición de la propuesta anterior con una nueva página de firma. Si tu hoja de ruta de privacidad todavía dice “monitorear Vermont”, ese elemento ahora puede pasar a la planificación de implementación.

Quién está dentro del alcance y

quién no debería relajarse demasiado Pearl Cohen resume la prueba central de alcance de esta manera: la Ley se aplica a una persona que hace negocios en Vermont, o produce productos o servicios dirigidos a residentes de Vermont, y cumplió uno de tres umbrales durante el año calendario anterior. Esos umbrales son controlar o procesar datos personales de al menos 35.000 consumidores, controlar o procesar datos sensibles de al menos 3.000 consumidores, u ofrecer a la venta datos personales de al menos 3.000 consumidores, excluyendo en cada caso los datos procesados únicamente para completar una transacción de pago. Esa es la parte que debe responder tu inventario de datos, no tu equipo de marca.

Pearl Cohen también señala la importante excepción a esa manta de tranquilidad: las disposiciones sobre datos de salud del consumidor se aplican sin tener en cuenta esos umbrales. Covington’s Global Policy Watch informa por separado que Vermont promulgó dos proyectos de ley de privacidad para regular información relacionada con la salud, incluido H.639, un proyecto de ley de privacidad genética que regula a las empresas de pruebas genéticas directas al consumidor. Para quienes construyen productos, esto significa que las superficies de producto relacionadas con la salud merecen su propia revisión incluso cuando el recuento general de consumidores parezca pequeño. Una función de bienestar, un cuestionario de síntomas, una integración con un rastreador de fertilidad o un flujo de trabajo con datos genéticos no deberían esperar a que alguien declare que la empresa es lo bastante grande como para preocuparse.

Las obligaciones parecen conocidas, hasta que dejan de serlo

Hunton dice que la VDPOSA sigue el marco conocido de responsable del tratamiento, encargado del tratamiento y derechos del consumidor que se ve en muchas leyes estatales integrales de privacidad de datos del consumidor, con ciertas diferencias. En lenguaje sencillo, eso significa que las partes reutilizables de tu programa de privacidad siguen importando: saber qué datos recopilas, saber por qué, saber quién los recibe, asignar funciones de responsable y encargado, y enrutar solicitudes de derechos del consumidor sin clasificar manualmente cada buzón. Si eso suena aburrido, felicidades: es la parte que suele sobrevivir al contacto con los auditores.

Las diferencias son donde el diseño modular se paga solo. Pearl Cohen dice que los datos personales se definen de manera amplia para incluir datos derivados e identificadores únicos razonablemente vinculables a una persona identificada o identificable, o a un dispositivo. Pearl Cohen también dice que los datos sensibles incluyen datos de salud del consumidor, datos genéticos y biométricos, geolocalización precisa, datos neuronales y datos que revelan raza u origen étnico, creencias religiosas y otras categorías. Koley Jessen destaca rasgos distintivos que incluyen disposiciones amplias sobre datos de salud del consumidor, un requisito de aviso sobre entrenamiento de IA y una definición ampliada de información personal sensible. Esto no es el artículo 52, pero el trabajo contractual y de producto tiene el mismo sabor: los avisos, la clasificación de datos, las instrucciones para proveedores y el manejo de excepciones deben poder configurarse.

La trampa de la lista de verificación El relato de Troutman Pepper sobre

la estructura escalonada abandonada es la parte que los equipos de cumplimiento deberían pegar en el monitor. Si un estado puede cambiar la arquitectura de alcance entre la propuesta y la promulgación, una lista estática de Vermont ya es el artefacto equivocado. El mejor artefacto es una capa de reglas sobre controles comunes: umbrales de elegibilidad, manejo de datos sensibles, recepción de derechos del consumidor, indicadores de venta o compartición, indicadores de datos de salud, términos para encargados del tratamiento y módulos de divulgación.

Ese enfoque también maneja sin drama la discrepancia entre el estado 23 y el 24. Ya sea que Vermont se cuente de una manera por Hunton y Troutman Pepper o de otra por Koley Jessen, la realidad operativa es la misma: la ley de privacidad en Estados Unidos es acumulativa. Cada nuevo estado añade variaciones, pero no un universo de privacidad completamente nuevo. Las empresas que mejor se adapten no serán las que tengan la carpeta más gruesa para Vermont. Serán las que puedan cambiar un umbral, añadir un aviso, etiquetar una categoría de datos y actualizar un flujo de trabajo de proveedores sin reconstruir el programa.

El siguiente paso útil no es entrar en pánico, y tampoco es una publicación celebratoria sobre cuánta certeza ha llegado. Es una revisión de brechas frente al 1 de enero de 2028, con especial atención a los datos de salud del consumidor, las definiciones de datos sensibles, las divulgaciones sobre entrenamiento de IA y si tu flujo de trabajo de derechos puede absorber una jurisdicción más. Vermont es otra ley estatal. Trátala como otro módulo, no como otro monumento.