Alabama
Leyes de Privacidad de Datos de Alabama: Notificación de Violaciones y Derechos del Consumidor (2026)

Alabama regula la privacidad de datos del consumidor mediante dos leyes: la Ley de Notificación de Violación de Datos de 2018 (Ala. Code 8-38-1), que exige notificar la violación dentro de 45 días, y la Ley de Protección de Datos Personales de Alabama (HB 351), promulgada el 17 de abril de 2026 y vigente a partir del 1 de mayo de 2027, que otorga a los residentes derechos de acceso, corrección y eliminación de datos personales.
Alabama se convirtió en el vigésimo primer estado en promulgar una ley integral de privacidad de datos del consumidor cuando la gobernadora Kay Ivey firmó el Proyecto de Ley de la Cámara 351, la Ley de Protección de Datos Personales de Alabama (ALDPA), el 17 de abril de 2026. La legislatura aprobó el proyecto por unanimidad: 104 a 0 en la Cámara y 34 a 0 en el Senado, el 7 de abril de 2026. La ley entra en vigor el 1 de mayo de 2027.
Antes de esa firma, la única ley de protección de datos dedicada de Alabama era la Ley de Notificación de Violación de Datos de 2018 (Ala. Code 8-38-1 a 8-38-12), que convirtió a Alabama en el último de los 50 estados en aprobar una ley de notificación de violación de datos cuando la gobernadora Ivey la firmó el 28 de marzo de 2018. Esa ley sigue vigente junto con la nueva ALDPA y continúa rigiendo las obligaciones de notificación de violaciones.
Esta guía cubre ambas leyes en su totalidad, junto con la Ley de Seguridad de Datos de Seguros de Alabama (Ala. Code 27-62), las principales acciones de aplicación, las leyes federales aplicables en Alabama y los pasos prácticos para empresas y residentes antes de la fecha de vigencia de mayo de 2027.
Alabama también mantiene protecciones penales contra el robo de identidad bajo la Ley de Protección de Identidad del Consumidor (Ala. Code 13A-8-190 a 13A-8-201) y un mecanismo de aplicación complementario en la Ley de Prácticas Comerciales Engañosas de Alabama (Ala. Code 8-19-1 y siguientes).

La Ley de Protección de Datos Personales de Alabama (ALDPA)
La gobernadora Ivey promulgó la HB 351 el 17 de abril de 2026. La ALDPA es una ley integral de privacidad del consumidor basada en el marco de responsable/encargado del tratamiento utilizado en Virginia, Texas y la mayoría de las demás leyes estatales de privacidad de la segunda ola. Entra en vigor el 1 de mayo de 2027, lo que da a las empresas aproximadamente un año para cumplir.
Quién debe cumplir
La ALDPA se aplica a cualquier persona que realice negocios en Alabama o produzca productos o servicios dirigidos a los residentes de Alabama, y que cumpla con al menos uno de dos umbrales:
- Controla o procesa los datos personales de más de 25,000 consumidores de Alabama en un año calendario (excluyendo los datos procesados únicamente para completar una transacción de pago); o
- Obtiene más del 25% de sus ingresos brutos de la venta de datos personales, independientemente del número de consumidores cuyos datos se procesen.
El umbral de 25,000 consumidores es el piso numérico más bajo entre todas las leyes estatales integrales de privacidad promulgadas. La prueba de ingresos por ventas también se aplica independientemente del volumen de procesamiento, una combinación que ninguna otra ley estatal utiliza. Ambos factores harán que más empresas queden dentro del alcance de la ley en comparación con leyes estatales similares con umbrales más altos.
Exenciones
La ALDPA exime a varias categorías de entidades y datos:
- Instituciones financieras y datos sujetos a la Ley Gramm-Leach-Bliley (GLBA)
- Entidades cubiertas por la HIPAA e información de salud protegida
- Instituciones de educación superior
- Datos de empleados y datos entre empresas (B2B)
- Pequeñas empresas con menos de 500 empleados que no venden datos personales
- Organizaciones sin fines de lucro con menos de 100 empleados que no venden datos personales
Las exenciones para pequeñas empresas y organizaciones sin fines de lucro son condicionales: si la entidad vende datos personales, las exenciones no se aplican. Esta es una distinción importante para los corredores de datos organizados como pequeñas empresas.
Derechos del consumidor conforme a la ALDPA
La ALDPA otorga a los residentes de Alabama los siguientes derechos frente a los responsables del tratamiento:
| Derecho | Descripción |
|---|---|
| Confirmación | Saber si un responsable del tratamiento está procesando sus datos personales |
| Acceso | Obtener una copia de los datos personales que se están procesando |
| Corrección | Solicitar la corrección de datos personales inexactos |
| Eliminación | Solicitar la eliminación de datos personales proporcionados por el consumidor o recopilados por el responsable |
| Portabilidad | Recibir una copia portátil en un formato de uso común y legible por máquina |
| Exclusión de publicidad dirigida | Detener el procesamiento con fines de publicidad dirigida |
| Exclusión de venta de datos | Detener la venta de datos personales a terceros |
| Exclusión de la elaboración de perfiles | Detener el procesamiento para la elaboración de perfiles que respalde decisiones significativas totalmente automatizadas |
Las "decisiones significativas" conforme a la ALDPA son aquellas que resultan en la provisión o denegación de servicios críticos, incluidos el crédito, los préstamos, la vivienda, los seguros, la inscripción educativa, el empleo o la atención médica. Los consumidores pueden excluirse de la elaboración de perfiles que alimenta esos resultados sin ninguna revisión humana.
Una ausencia notable: la ALDPA no exige a los responsables del tratamiento reconocer las señales universales de preferencia de exclusión (como el Control de Privacidad Global). Una enmienda del Senado eliminó ese requisito antes de la aprobación final. Los consumidores de Alabama deben presentar solicitudes individuales de exclusión; no existe reconocimiento automático de señales a partir de la fecha de vigencia de mayo de 2027.
Datos sensibles
La ALDPA define los datos sensibles para incluir:
- Datos personales que revelen el origen racial o étnico, las creencias religiosas, un diagnóstico de salud mental o física, la orientación sexual, o el estatus de ciudadanía o inmigración
- Datos genéticos o biométricos procesados para identificar de manera única a una persona
- Datos personales recopilados de un menor conocido de menos de 13 años
- Datos de geolocalización precisa
Los responsables del tratamiento deben obtener el consentimiento del consumidor antes de procesar datos sensibles. Para los consumidores entre 13 y 15 años, se requiere consentimiento para la publicidad dirigida y la venta de datos.

Obligaciones del responsable y del encargado del tratamiento
Los responsables del tratamiento (entidades que determinan la finalidad y los medios del procesamiento) deben:
- Limitar la recopilación de datos a lo adecuado, pertinente y razonablemente necesario para la finalidad de procesamiento declarada (minimización de datos)
- Implementar prácticas razonables de seguridad de datos administrativas, técnicas y físicas
- Establecer un aviso de privacidad claro y accesible que describa qué datos se procesan, por qué, con quién se comparten y cómo los consumidores pueden ejercer sus derechos
- Obtener el consentimiento antes de procesar datos sensibles
- Celebrar acuerdos de procesamiento de datos (DPA) con los encargados que los vinculen a requisitos de confidencialidad, seguridad y alcance del procesamiento
- Realizar y documentar evaluaciones de impacto en la protección de datos (DPA) para las actividades de procesamiento de alto riesgo, incluidas la publicidad dirigida, la venta de datos, el procesamiento de datos sensibles, la elaboración de perfiles para decisiones significativas y cualquier procesamiento que presente riesgos elevados
Los consumidores tienen 45 días para recibir una respuesta a una solicitud de derechos. Los responsables del tratamiento pueden extender ese plazo por 45 días adicionales, notificando al consumidor.
Aplicación y sanciones
El Fiscal General de Alabama tiene autoridad exclusiva de aplicación conforme a la ALDPA. No existe un derecho de acción privado. Antes de presentar una demanda, el Fiscal General debe emitir un aviso de infracción y otorgar al responsable del tratamiento 45 días para subsanarla. El período de subsanación es permanente y no vence, lo cual es más favorable para las empresas que en los estados que han eliminado o limitado los períodos de subsanación.
Si un responsable del tratamiento no subsana la infracción dentro de 45 días, o si la infracción no puede subsanarse, el Fiscal General puede solicitar sanciones civiles de hasta $15,000 por infracción. La ALDPA no especifica un límite agregado por investigación o por incidente, lo que significa que la exposición puede acumularse a través de múltiples infracciones.
La ley también autoriza al Fiscal General a solicitar medidas cautelares, recuperar los costos de investigación y solicitar honorarios de abogados razonables.
Lo que la ALDPA no incluye
La ALDPA omite notablemente varias características presentes en algunas otras leyes estatales de privacidad:
- Ningún requisito de señal universal de exclusión (eliminado por enmienda del Senado)
- Ningún marco específico de registro o exclusión para corredores de datos
- Ningún derecho de acción privado para los consumidores
- Ninguna agencia estatal de privacidad dedicada (la aplicación permanece con el Fiscal General)
- Ningún requisito específico sobre avisos de transparencia de la toma de decisiones automatizada más allá del derecho de exclusión
La Ley de Notificación de Violación de Datos de Alabama de 2018
La Ley de Notificación de Violación de Datos (Ala. Code 8-38-1 a 8-38-12, Ley 2018-396) entró en vigor el 1 de junio de 2018. La gobernadora Ivey firmó el Proyecto de Ley del Senado 318 el 28 de marzo de 2018, después de que fuera aprobado por unanimidad en ambas cámaras: 101 a 0 en la Cámara y 30 a 0 en el Senado. Alabama fue el estado número 50 y último en promulgar una ley de notificación de violación de datos.
Para una visión general del marco de privacidad más amplio del estado, consulte la guía principal de Leyes de Privacidad de Datos de Alabama.
La Ley se aplica a cualquier "entidad cubierta" que adquiera o use información personal sensible identificable (SPII, por sus siglas en inglés), incluidas corporaciones, organizaciones sin fines de lucro, entidades gubernamentales, empresas unipersonales y agentes externos que mantengan o procesen datos en nombre de entidades cubiertas.
¿Qué es la información personal sensible identificable?
Conforme al Ala. Code 8-38-2, la SPII significa el nombre o la inicial del nombre de un residente de Alabama junto con el apellido, combinado con uno o más de los siguientes:
| Elemento | Qué cuenta |
|---|---|
| Número de Seguro Social | SSN sin truncar |
| Identificación emitida por el gobierno | Licencia de conducir, identificación estatal, pasaporte, identificación militar |
| Datos de cuentas financieras | Número de cuenta o tarjeta más el código de acceso, contraseña, PIN o fecha de vencimiento necesarios para acceder a la cuenta |
| Información médica | Historial médico, condición física o mental, diagnóstico de un profesional de la salud |
| Información de seguro médico | Número de póliza, identificación de suscriptor o identificador único del asegurador |
| Nombre de usuario o correo electrónico más contraseña | Credenciales de inicio de sesión que permiten el acceso a una cuenta en línea |
La información que ha sido efectivamente encriptada, truncada o inutilizada queda excluida. Si la propia clave de encriptación fue vulnerada, la exclusión no se aplica.
El estándar de daño sustancial
Alabama utiliza un umbral de "daño sustancial": la notificación solo es obligatoria cuando una entidad cubierta determina, tras una investigación de buena fe y oportuna, que la violación es razonablemente probable que cause un daño sustancial a las personas afectadas. Las entidades que concluyan que no es probable un daño sustancial deben documentar ese hallazgo por escrito y conservarlo durante al menos cinco años.
Este estándar es más permisivo que el de los estados que exigen la notificación ante cualquier acceso no autorizado, independientemente del daño probable.
Cronograma de notificación y destinatarios
Cuando es razonablemente probable un daño sustancial, las entidades cubiertas deben notificar a:
-
Residentes afectados de Alabama: Dentro de los 45 días posteriores a determinar que ocurrió la violación y que es probable que cause un daño sustancial. La notificación debe describir la fecha de la violación (o el rango estimado), la SPII expuesta, las medidas tomadas para restaurar la seguridad, cualquier servicio gratuito ofrecido (como monitoreo de crédito) y un contacto para preguntas adicionales.
-
El Fiscal General de Alabama: Si se ven afectadas más de 1,000 personas, la notificación por escrito debe presentarse dentro de 45 días. El Fiscal General mantiene un portal de notificación de violaciones para las presentaciones.
-
Agencias de informes crediticios: Si más de 1,000 personas reciben la notificación simultáneamente, la entidad cubierta también debe notificar a todas las agencias nacionales de informes crediticios (según se definen en la FCRA) sin demora injustificada.
La notificación sustitutiva (publicación en el sitio web más cobertura mediática) está disponible cuando la notificación directa no es viable debido a que el costo supera los $500,000, la información de contacto es insuficiente, o el número de personas afectadas supera las 100,000.
Obligaciones de los agentes externos
Si un agente externo determina que ha ocurrido una violación que involucra datos que mantiene en nombre de una entidad cubierta, debe notificar a esa entidad cubierta dentro de los 10 días posteriores a determinar que ocurrió una violación o tener razones para creer que ocurrió.
Sanciones
El Fiscal General de Alabama tiene autoridad exclusiva de aplicación. Una entidad cubierta que no notifique oportunamente enfrenta sanciones civiles de hasta $5,000 por cada día consecutivo de incumplimiento, con un límite de $500,000 por violación. No existe un derecho de acción privado conforme a la ley de notificación de violaciones, aunque los consumidores pueden presentar reclamos conforme a la Ley de Prácticas Comerciales Engañosas de Alabama.
Eliminación de registros
El Ala. Code 8-38-10 exige a las entidades cubiertas tomar medidas razonables para eliminar los registros que contengan SPII cuando ya no sean necesarios para fines legales o comerciales. La eliminación debe hacer que la información sea ilegible o indescifrable por cualquier medio razonable, conforme a los estándares de la industria. Esto se aplica igualmente a los registros en papel y electrónicos.
Exenciones federales
Las entidades ya sujetas a los requisitos federales de notificación de violaciones están exentas de la ley estatal conforme al Ala. Code 8-38-11, siempre que cumplan con la ley federal aplicable y proporcionen una copia de cualquier notificación de violación requerida al Fiscal General de Alabama cuando se vean afectadas más de 1,000 personas. Esta exención cubre principalmente a las entidades reguladas por la HIPAA y las instituciones financieras reguladas por la GLBA.

Acciones de aplicación
Blackbaud (octubre de 2023)
El Fiscal General Steve Marshall anunció la participación de Alabama en un acuerdo multiestatal de $49.5 millones con Blackbaud, una empresa de software en la nube. Un ataque de ransomware en 2020 expuso datos sensibles de millones de consumidores en organizaciones sin fines de lucro y de atención médica en todo el mundo. Alabama recibió $1.6 millones del acuerdo. La coalición determinó que Blackbaud no implementó medidas de seguridad razonables y retrasó la provisión de información precisa sobre el alcance de la violación a sus clientes.
Marriott (octubre de 2024)
Alabama se unió a una coalición de fiscales generales estatales en un acuerdo multiestatal de $52 millones con Marriott International, resolviendo reclamos derivados de múltiples violaciones de datos entre 2014 y 2018. Las violaciones expusieron colectivamente los datos personales de cientos de millones de huéspedes en todo el mundo, incluidos nombres, números de tarjetas de pago, números de pasaporte y fechas de nacimiento.
Equifax (2019)
Alabama participó en el acuerdo multiestatal de $600 millones con Equifax luego de la violación de 2017 que expuso los datos personales y financieros de aproximadamente 147 millones de estadounidenses.
Ley de Seguridad de Datos de Seguros de Alabama
La Ley de Seguridad de Datos de Seguros de Alabama (Ala. Code 27-62, Ley No. 2019-98) fue promulgada en 2019 y se basa en la Ley Modelo de Seguridad de Datos de Seguros de la NAIC. Se aplica a los titulares de licencias de seguros regulados por el Departamento de Seguros de Alabama.
Las obligaciones clave incluyen:
- Implementar y mantener un programa escrito de seguridad de la información basado en una evaluación de riesgos
- Ejercer la debida diligencia al seleccionar y supervisar a los proveedores de servicios
- Desarrollar un plan escrito de respuesta a incidentes que cubra roles, responsabilidades, pasos de remediación y documentación
- Notificar al Comisionado de Seguros dentro de tres días hábiles posteriores a determinar que ocurrió un evento de ciberseguridad
- Conservar la documentación de los eventos de ciberseguridad durante al menos cinco años
Los titulares de licencias domiciliados en Alabama deben certificar el cumplimiento por escrito anualmente. Los titulares de licencias sujetos a la HIPAA que mantengan un programa de seguridad de la información conforme se consideran que cumplen con los requisitos de la Ley de Seguridad de Datos de Seguros, siempre que presenten una certificación por escrito.
Ley de Protección de Identidad del Consumidor de Alabama
La Ley de Protección de Identidad del Consumidor (Ala. Code 13A-8-190 a 13A-8-201) convierte el robo de identidad en un delito penal. Usar a sabiendas la información identificativa de otra persona sin autorización y con intención de defraudar constituye un delito grave de Clase C cuando el valor del beneficio financiero obtenido o intentado supera los $500. El tráfico de identidades robadas (posesión de información identificativa de tres o más personas con intención de defraudar) también es un delito grave de Clase C.
La Ley incluye disposiciones de restitución, órdenes judiciales para corregir registros y mecanismos para bloquear información falsa en los informes de crédito.
Ley de Prácticas Comerciales Engañosas de Alabama
La Ley de Prácticas Comerciales Engañosas de Alabama (Ala. Code 8-19-1 y siguientes) prohíbe los actos engañosos o abusivos en el comercio. Aunque no es una ley de privacidad dedicada, se aplica a las afirmaciones engañosas en las políticas de privacidad, las declaraciones falsas sobre la seguridad de los datos y el incumplimiento de los compromisos de privacidad divulgados.
A diferencia de la ley de notificación de violaciones, la Ley de Prácticas Comerciales Engañosas proporciona un derecho de acción privado para los consumidores. El Fiscal General y los fiscales de distrito también pueden solicitar medidas cautelares y sanciones civiles.
Ley de Escuchas Telefónicas de Alabama y Consentimiento para Grabar
Alabama sigue un estándar de consentimiento de una parte para grabar conversaciones conforme al Ala. Code 13A-11-30 y siguientes. Una persona puede grabar legalmente una conversación en la que participa, o con el consentimiento de al menos una de las partes. Grabar una conversación sin el consentimiento de ninguna de las partes constituye una infracción penal. Para más detalles, consulte la página de Leyes de Grabación de Alabama.

Leyes federales aplicables en Alabama
Debido a que la ALDPA no entra en vigor hasta el 1 de mayo de 2027, y a que exime a sectores importantes, la ley federal sigue siendo una capa crítica de protección de la privacidad para los residentes de Alabama.
HIPAA
La Ley de Portabilidad y Responsabilidad del Seguro Médico se aplica a las entidades cubiertas (proveedores de atención médica, planes de salud, cámaras de compensación de salud) y sus asociados comerciales. La Regla de Privacidad de la HIPAA rige el uso y la divulgación de información de salud protegida. La Regla de Notificación de Violaciones exige a las entidades cubiertas notificar a las personas afectadas, al HHS y (para violaciones que afecten a 500 o más residentes de un estado) a los medios de comunicación dentro de los 60 días posteriores al descubrimiento de una violación.
GLBA
La Ley Gramm-Leach-Bliley se aplica a las instituciones financieras y les exige explicar sus prácticas de intercambio de datos, salvaguardar la información financiera del consumidor y proteger la información personal no pública (NPI). La Regla de Salvaguardas actualizada de la FTC (vigente desde el 9 de junio de 2023) fortaleció los requisitos técnicos de seguridad para las entidades cubiertas por la GLBA.
FCRA
La Ley de Informe Crediticio Justo rige a las agencias de informes crediticios y el uso de la información crediticia del consumidor. Los residentes de Alabama pueden disputar información inexacta en sus archivos de crédito, colocar congelamientos de seguridad y solicitar informes de crédito anuales gratuitos conforme a la FCRA y la FACTA.
COPPA
La Ley de Protección de la Privacidad Infantil en Línea exige a los operadores de sitios web y servicios en línea dirigidos a menores de 13 años obtener el consentimiento parental verificable antes de recopilar información personal. La FTC hace cumplir la COPPA y ha impuesto sanciones sustanciales por infracciones.
Sección 5 de la Ley de la FTC
La autoridad de la FTC conforme a la Sección 5 de la Ley de la FTC para prohibir prácticas desleales o engañosas se aplica ampliamente a las fallas de seguridad de datos y las declaraciones de privacidad engañosas. Las empresas que no implementan medidas de seguridad razonables o hacen declaraciones falsas en sus políticas de privacidad han enfrentado acciones de aplicación de la FTC, órdenes de consentimiento y, en algunos casos, sanciones civiles.
Ley TAKE IT DOWN (2025)
La Ley TAKE IT DOWN (Pub. L. 119-12, firmada el 19 de mayo de 2025) creó una prohibición penal federal sobre las imágenes íntimas no consentidas (NCII), incluidos los deepfakes generados por IA. La Sección 2 (prohibición penal) entró en vigor inmediatamente al firmarse. La Sección 3 (obligaciones de las plataformas) se volvió exigible por la FTC el 19 de mayo de 2026. Las plataformas cubiertas ahora deben proporcionar un proceso para las solicitudes de eliminación y eliminar el contenido que califique dentro de las 48 horas posteriores a una solicitud válida. Las infracciones están sujetas a sanciones civiles de la FTC de hasta $53,088 por infracción. Los residentes de Alabama que sean víctimas de NCII pueden reportar plataformas que no cumplan en TakeItDown.ftc.gov.
Estado de la APRA
La Ley de Derechos de Privacidad de Estados Unidos (APRA), un proyecto de ley federal bipartidista integral de privacidad, se presentó en 2024, pero no fue aprobada. Una versión revisada (a veces llamada APRA 2.0) se presentó en 2025. Hasta mayo de 2026, no se ha promulgado ninguna ley federal integral de privacidad.

Cómo se compara Alabama con otros estados
Con la firma de la ALDPA, Alabama se une a una mayoría creciente de estados con protecciones integrales de privacidad. Varias distinciones se destacan:
Umbral más bajo: El umbral de 25,000 consumidores es el más bajo de cualquier ley estatal integral de privacidad promulgada, lo que significa que incluso las empresas medianas que se dirigen a los residentes de Alabama probablemente estarán cubiertas.
Sin señal universal de exclusión: La mayoría de los estados promulgados después de 2023 exigen a los responsables del tratamiento respetar las señales de exclusión basadas en el navegador, como el Control de Privacidad Global. Alabama no lo hace.
Período de subsanación permanente: El período de subsanación de 45 días no vence. Estados como Virginia y Connecticut se han movido hacia la eliminación o limitación de los períodos de subsanación. El período de subsanación permanente de Alabama está entre las disposiciones más favorables para las empresas en la generación de leyes de privacidad de 2026.
Sin derecho de acción privado: Solo el Fiscal General puede demandar. Los residentes individuales no pueden presentar reclamos civiles conforme a la ALDPA, a diferencia de los residentes de California bajo el derecho privado limitado de la CCPA para violaciones de datos.
Aplicación exclusiva del Fiscal General: Similar a Virginia, Texas, Indiana y la mayoría de los demás estados fuera de California.
Para comparar con las leyes de otros estados, consulte el centro de Leyes de Privacidad de Datos.
Pasos de cumplimiento para las empresas
Para las empresas que estarán sujetas a la ALDPA a partir del 1 de mayo de 2027:
-
Determine si la ley se aplica: Evalúe si procesa datos de más de 25,000 consumidores de Alabama, o si más del 25% de sus ingresos brutos provienen de la venta de datos.
-
Realice un inventario de datos: Mapee qué datos personales recopila, por qué y a dónde van. Esta es la base para el cumplimiento de la minimización de datos y las evaluaciones de protección de datos requeridas.
-
Actualice los avisos de privacidad: La ALDPA exige la divulgación clara de los propósitos de procesamiento, las categorías de datos, el intercambio con terceros y los derechos del consumidor.
-
Cree un proceso de solicitud de derechos: Establezca un mecanismo para recibir y responder a las solicitudes de acceso, corrección, eliminación, portabilidad y exclusión dentro del plazo de 45 días.
-
Audite los acuerdos de procesamiento de datos: Asegúrese de que todos los encargados del tratamiento con los que trabaja hayan celebrado DPA que cumplan con los requisitos de la ALDPA.
-
Complete las evaluaciones de protección de datos: Documente las evaluaciones para la publicidad dirigida, la venta de datos, el procesamiento de datos sensibles, la elaboración de perfiles y cualquier procesamiento que presente un riesgo elevado.
-
Verifique los procedimientos de notificación de violaciones: La Ley de Notificación de Violación de Datos ya está en vigor. Confirme que cuenta con un flujo de trabajo de notificación de 45 días y un mecanismo para reportar al Fiscal General cuando se vean afectados más de 1,000 residentes.
-
Verifique el cumplimiento de la Seguridad de Datos de Seguros: Si posee una licencia de seguros de Alabama, verifique que su programa escrito de seguridad de la información y su plan de respuesta a incidentes cumplan con el Ala. Code 27-62.
Cómo pueden los residentes de Alabama ejercer sus derechos
Hasta el 1 de mayo de 2027, los derechos del consumidor bajo la ALDPA aún no son exigibles. Después de esa fecha, los residentes podrán:
- Presentar solicitudes de derechos directamente a los responsables del tratamiento a través de sus canales de privacidad designados (generalmente un formulario web o una dirección de correo electrónico indicada en la política de privacidad)
- Esperar una respuesta dentro de 45 días, con una posible extensión de hasta 45 días adicionales
- Presentar una queja ante la Sección de Protección al Consumidor del Fiscal General de Alabama si un responsable del tratamiento no cumple con una solicitud
Derechos actualmente exigibles:
- Notificación de violación de datos: Reporte un incumplimiento de notificación de violación a la oficina del Fiscal General
- Derechos sobre el archivo de crédito: Solicite un congelamiento de crédito gratuito o dispute datos inexactos con Equifax, Experian y TransUnion conforme a la FCRA
- Quejas de HIPAA: Presente una queja ante la Oficina de Derechos Civiles del HHS
- Eliminación de NCII: Reporte plataformas que no cumplan a la FTC en TakeItDown.ftc.gov
- Quejas ante la FTC: Presente una queja en ReportFraud.ftc.gov por prácticas de privacidad engañosas
Para conocer las leyes de grabación y el consentimiento para escuchas telefónicas en Alabama, consulte Leyes de Grabación de Alabama. Para conocer las leyes de privacidad de datos en todos los estados, visite el centro de Leyes de Privacidad de Datos.
Más leyes de Alabama
- Leyes de Grabación de Reuniones con IA de Alabama
- Leyes de Pensión Alimenticia de Alabama
- Leyes de Empleo a Voluntad de Alabama
- Leyes de Accidentes de Auto de Alabama
- Leyes de Asientos de Seguridad para Niños de Alabama
- Leyes de Custodia de los Hijos de Alabama
- Leyes de Manutención de los Hijos de Alabama
- Leyes de Matrimonio de Hecho de Alabama
- Leyes de Deepfake de Alabama
- Leyes de Divorcio de Alabama
- Leyes de Mordedura de Perro de Alabama
- Leyes de Emancipación de Alabama
- Leyes de Eliminación de Antecedentes de Alabama
- Leyes de Atropello y Fuga de Alabama
- Leyes de Propietarios e Inquilinos de Alabama
- Leyes Limón de Alabama
Este artículo es solo para fines informativos y no constituye asesoría legal. Consulte a un abogado calificado con licencia en Alabama para obtener orientación sobre su situación específica. Las leyes y regulaciones pueden cambiar; verifique toda la información con fuentes estatales oficiales.
Preguntas frecuentes
¿Alabama tiene una ley integral de privacidad de datos del consumidor?
Sí, desde el 17 de abril de 2026. La gobernadora Kay Ivey promulgó ese día la Ley de Protección de Datos Personales de Alabama (ALDPA, HB 351), convirtiendo a Alabama en el vigésimo primer estado con una ley integral de privacidad del consumidor. La ley no entra en vigor hasta el 1 de mayo de 2027, por lo que los derechos del consumidor conforme a la ALDPA aún no son exigibles. Hasta entonces, la Ley de Notificación de Violación de Datos de 2018 (Ala. Code 8-38-1 a 8-38-12) sigue siendo la principal ley estatal de protección de datos en vigor.
¿A quién cubre la Ley de Protección de Datos Personales de Alabama?
La ALDPA se aplica a cualquier persona que realice negocios en Alabama o se dirija a los residentes de Alabama que (1) procese los datos personales de más de 25,000 consumidores de Alabama al año, excluyendo los datos procesados únicamente para completar una transacción de pago, o (2) obtenga más del 25% de sus ingresos brutos de la venta de datos personales, independientemente del volumen de procesamiento. Las instituciones financieras sujetas a la GLBA, las entidades cubiertas por la HIPAA, las instituciones de educación superior y las pequeñas empresas con menos de 500 empleados que no venden datos están exentas.
¿Cuánto tiempo tiene una empresa para notificarme una violación de datos en Alabama?
Conforme a la Ley de Notificación de Violación de Datos de Alabama (Ala. Code 8-38-5), las empresas deben notificar a los residentes afectados de Alabama dentro de los 45 días posteriores a determinar que ocurrió una violación y que es razonablemente probable que cause un daño sustancial. La notificación debe incluir la fecha o fecha estimada de la violación, una descripción de la información expuesta, las medidas que la empresa está tomando para restaurar la seguridad, cualquier servicio gratuito como monitoreo de crédito que se ofrezca, y la información de contacto de un representante que pueda responder preguntas.
¿Qué sanciones puede imponer Alabama a las empresas que violan las leyes de privacidad de datos?
Conforme a la Ley de Notificación de Violación de Datos, no notificar conlleva sanciones civiles de hasta $5,000 por cada día consecutivo de incumplimiento, con un límite de $500,000 por violación. Conforme a la ALDPA (vigente a partir del 1 de mayo de 2027), las infracciones conllevan sanciones de hasta $15,000 por infracción, aplicadas por el Fiscal General después de un período de subsanación obligatorio de 45 días. Ninguna de las dos leyes proporciona un derecho de acción privado para los consumidores individuales.
¿Alabama reconoce el Control de Privacidad Global u otras señales universales de exclusión?
No. La ALDPA, tal como fue promulgada, no exige a los responsables del tratamiento reconocer las señales universales de preferencia de exclusión como el Control de Privacidad Global (GPC). Una disposición que habría exigido el reconocimiento del GPC fue eliminada por una enmienda del Senado antes de la aprobación final del proyecto en abril de 2026. Los consumidores de Alabama deben presentar solicitudes individuales de exclusión a cada responsable del tratamiento.
¿Qué categorías de datos sensibles requieren consentimiento según la ley de Alabama?
La ALDPA exige el consentimiento del responsable del tratamiento antes de procesar datos personales sensibles, definidos para incluir datos que revelen el origen racial o étnico, las creencias religiosas, diagnósticos de salud mental o física, la orientación sexual, el estatus de ciudadanía o inmigración, datos genéticos o biométricos procesados para identificar de manera única a una persona, datos de geolocalización precisa, y datos personales recopilados de un menor conocido de menos de 13 años. Para los consumidores de 13 a 15 años, se requiere consentimiento específicamente para la publicidad dirigida y la venta de datos.
¿Qué es la Ley de Seguridad de Datos de Seguros de Alabama?
La Ley de Seguridad de Datos de Seguros de Alabama (Ala. Code 27-62, Ley No. 2019-98) se aplica a los titulares de licencias de seguros regulados por el Departamento de Seguros de Alabama. Exige un programa escrito de seguridad de la información, un proceso de evaluación de riesgos, debida diligencia en la supervisión de proveedores de servicios, un plan escrito de respuesta a incidentes y la notificación al Comisionado de Seguros dentro de tres días hábiles posteriores a la detección de un evento de ciberseguridad. Se basa en la Ley Modelo de Seguridad de Datos de Seguros de la NAIC.
¿Cómo afecta la Ley TAKE IT DOWN a los residentes de Alabama?
La Ley TAKE IT DOWN (Pub. L. 119-12, firmada el 19 de mayo de 2025) es una ley federal que prohíbe las imágenes íntimas no consentidas, incluidos los deepfakes generados por IA. La prohibición penal entró en vigor inmediatamente en mayo de 2025. Las obligaciones de eliminación de las plataformas entraron en vigor el 19 de mayo de 2026, y la FTC ahora las hace cumplir. Las plataformas cubiertas deben procesar las solicitudes de eliminación y eliminar el contenido que califique dentro de las 48 horas. Los residentes de Alabama pueden reportar plataformas que no cumplan en TakeItDown.ftc.gov.
¿Alabama es un estado de consentimiento de una parte o de ambas partes para grabar?
Alabama es un estado de consentimiento de una parte. Conforme al Ala. Code 13A-11-30 y siguientes, una persona puede grabar legalmente una conversación en la que participa, o con el consentimiento de al menos una de las partes de la conversación. Grabar sin el consentimiento de ninguna de las partes constituye una infracción penal. La ley federal de escuchas telefónicas conforme a la Ley de Privacidad de las Comunicaciones Electrónicas (ECPA) también establece un piso de consentimiento de una parte para las llamadas interestatales.
¿Están exentas las entidades cubiertas por la HIPAA de la ley de notificación de violaciones de Alabama?
Sí. Conforme al Ala. Code 8-38-11, las entidades ya sujetas a los [requisitos federales de notificación de violaciones, incluidas las entidades cubiertas por la HIPAA](/us-laws/hipaa/reporting-hipaa-breaches) y las instituciones financieras reguladas por la GLBA, están exentas de la Ley de Notificación de Violación de Datos de Alabama, siempre que cumplan con los requisitos federales aplicables. Sin embargo, cuando una violación afecta a más de 1,000 residentes de Alabama, aún deben proporcionar una copia de cualquier notificación requerida al Fiscal General de Alabama.
Fuentes y referencias
- Ley de Notificación de Violación de Datos de Alabama de 2018 (Texto Completo)(alabamaag.gov).gov
- Notificación de Violación de Datos - Fiscal General de Alabama(alabamaag.gov).gov
- Código de Alabama, Título 8, Capítulo 38(alisondb.legislature.state.al.us).gov
- Sección 8-38-2: Definiciones(alisondb.legislature.state.al.us).gov
- El Fiscal General Anuncia la Aprobación Final de la Ley de Notificación de Violación de Datos(alabamaag.gov).gov
- La Gobernadora Ivey Firma la Ley de Notificación de Violación de Datos(alabamaag.gov).gov
- Acuerdo de $49.5M con Blackbaud - Fiscal General de Alabama(alabamaag.gov).gov
- Sección 8-38-10: Eliminación de Registros(alisondb.legislature.state.al.us).gov
- Ley de Protección de Identidad del Consumidor(law.justia.com)
- HB 351: Ley de Protección de Datos Personales de Alabama(alison.legislature.state.al.us).gov
- Regla de Privacidad de la HIPAA - HHS(hhs.gov).gov
- Ley Gramm-Leach-Bliley - FTC(ftc.gov).gov
- HB 351 Texto Definitivo - Ley de Protección de Datos Personales de Alabama (2026)(alison.legislature.state.al.us).gov
- Ley de Seguridad de Datos de Seguros de Alabama (Ley No. 2019-98) - Texto Completo(aldoi.gov).gov
- Ley de Informe Crediticio Justo - Comisión Federal de Comercio(ftc.gov).gov
- La FTC Comienza a Aplicar la Ley TAKE IT DOWN (mayo de 2026)(ftc.gov).gov
- Ley TAKE IT DOWN - Biblioteca Legal de la Comisión Federal de Comercio(ftc.gov).gov
- Regla de Protección de la Privacidad Infantil en Línea (COPPA) - Comisión Federal de Comercio(ftc.gov).gov
- Alabama se Convierte en el Vigésimo Primer Estado con una Ley Integral de Privacidad del Consumidor - Hunton Andrews Kurth(hunton.com)
- Alabama se Convierte en el Vigésimo Primer Estado en Promulgar una Ley Integral de Privacidad - DLA Piper Privacy Matters(privacymatters.dlapiper.com)
- Alabama Promulga una Ley Integral de Privacidad - Inside Privacy (Covington)(insideprivacy.com)
- Ley de Protección de Datos Personales de Alabama - Future of Privacy Forum(fpf.org)
- Lo que las Empresas Deben Saber Sobre la Ley de Protección de Datos Personales de Alabama - Davis Wright Tremaine(dwt.com)
- Alabama se Prepara para Añadir Variación al Mosaico de Leyes Estatales de Privacidad de EE. UU. - IAPP(iapp.org)