Leyes estatales sobre notificación de violaciones de datos

Aunque la mayoría de las leyes estatales sobre notificación de violaciones de datos contienen componentes similares, existen diferencias importantes, lo que significa que un enfoque único para la notificación no será suficiente. Es más, a medida que las violaciones de datos siguen aumentando, los estados están respondiendo con cambios cada vez más frecuentes y divergentes en sus leyes, lo que plantea retos para el cumplimiento. Las organizaciones deben dar prioridad al seguimiento de estos cambios para prepararse y responder a las violaciones de datos.

Para obtener un resumen de los requisitos básicos de notificación estatales que se aplican a las entidades que «poseen» datos, descarguela tabla de leyes estatales sobre notificación de violaciones de datos de Foley. Esta tabla está actualizada a fecha de 17 de octubre de 2025 y debe utilizarse únicamente con fines informativos, ya que las medidas recomendadas que debe tomar una entidad si sufre un evento, incidente o violación de seguridad varían en función de los hechos y circunstancias específicos.

Este cuadro no incluye a quienes no son propietarios de los datos. Si usted no es propietario de los datos en cuestión, consulte las leyes aplicables y póngase en contacto con un asesor jurídico. Este cuadro tampoco incluye:

• Excepciones basadas en el cumplimiento de otras leyes, como la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) o la Ley Gramm-Leach-Bliley (GLBA).
• Excepciones relativas a la adquisición de buena fe de información de identificación personal (PII) por parte de un empleado o agente de una entidad con fines legítimos de la entidad, siempre que no se produzca un uso o divulgación no autorizados de la PII.
• Excepciones relativas a lo que constituye información de identificación personal, como datos públicos, cifrados, censurados, ilegibles o inutilizables. El cuadro indica si puede existir un puerto seguro para los datos que se consideran públicos, cifrados, censurados, ilegibles o inutilizables, pero las directrices específicas variarán en función de las circunstancias. Por ejemplo, algunos estados solo tienen un puerto seguro para los datos cifrados, mientras que otros pueden tener un puerto seguro para los datos cifrados o públicos.
• La forma en que una entidad proporciona una notificación real o sustitutiva (por ejemplo, por correo electrónico, correo postal de EE. UU., etc.).
• Requisitos para el contenido del aviso.
• Cualquier material orientativo publicado por organismos federales y estatales.
• Una evaluación exhaustiva de todas las leyes aplicables a las violaciones de información que no sea información de identificación personal.

Para obtener más información sobre las leyes estatales de notificación de violaciones de datos u otros asuntos relacionados con la seguridad de los datos, póngase en contacto con una de las personas que se indican a continuación o con otro miembro del departamento de Ciberseguridad de Foley.