Leyes estatales de notificación de violaciones de datos

Aunque la mayoría de las leyes estatales de notificación de violaciones de datos contienen componentes similares, existen diferencias importantes, lo que significa que un enfoque único de la notificación no será suficiente. Además, a medida que aumentan las violaciones de datos, los estados responden con cambios cada vez más frecuentes y divergentes en sus estatutos, lo que crea desafíos para el cumplimiento. Las organizaciones deben dar prioridad a la supervisión de estos cambios para prepararse y responder a las violaciones de datos.

Para obtener un resumen de los requisitos básicos de notificación estatales que se aplican a las entidades que "poseen" datos, descargue el Cuadro de leyes estatales de Foley sobre notificación de violaciones de datos. Este cuadro está actualizado al 17 de octubre de 2025 y debe utilizarse únicamente con fines informativos, ya que las medidas recomendadas que debe tomar una entidad si experimenta un evento, incidente o violación de seguridad varían en función de los hechos y circunstancias específicos.

Esta tabla no cubre a los no propietarios de los datos. Si usted no es el propietario de los datos en cuestión, consulte la legislación aplicable y póngase en contacto con un asesor jurídico. Esta tabla tampoco incluye:

• Excepciones basadas en el cumplimiento de otras leyes, como la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) o la Ley Gramm-Leach-Bliley (GLBA).
• Excepciones relativas a la obtención de buena fe de información personal identificable (IPI) por parte de un empleado o agente de una entidad para un fin legítimo de la entidad, siempre que no se produzca un uso o divulgación posterior no autorizado de la IPI.
• Excepciones relativas a lo que constituye IIP, como datos públicos, cifrados, redactados, ilegibles o inutilizables. El cuadro indica si puede existir un puerto seguro para los datos que se consideran públicos, cifrados, redactados, ilegibles o inutilizables, pero la orientación específica variará en función de las circunstancias. Por ejemplo, algunos Estados sólo tienen un puerto seguro para los datos encriptados, mientras que otros Estados pueden tener un puerto seguro para los datos encriptados o públicos.
• La forma en que una entidad proporciona la notificación real o sustitutiva (por ejemplo, por correo electrónico, correo postal de EE.UU., etc.).
• Requisitos del contenido del anuncio.
• Cualquier material de orientación publicado por organismos federales y estatales.
• Una evaluación exhaustiva de todas las leyes aplicables a las violaciones de información distinta de la IIP.

Para obtener más información sobre las leyes estatales de notificación de violación de datos u otros asuntos de seguridad de datos, póngase en contacto con una de las siguientes personas que figuran a continuación o con otro miembro de la práctica de Ciberseguridad de Foley.