Arizona
Leyes de Privacidad de Datos de Arizona: Reglas de Filtraciones y Derechos del Consumidor (2026)

Arizona no cuenta con una ley integral de privacidad de datos del consumidor a partir de 2026, pero las empresas deben notificar a los residentes afectados por una filtración dentro de los 45 días conforme a A.R.S. § 18-552, con sanciones civiles que alcanzan los $500,000 por infracciones intencionales. Existen protecciones sectoriales específicas que cubren datos genéticos, registros estudiantiles e información de seguros.
Arizona no cuenta con un estatuto integral de privacidad de datos del consumidor comparable a la Ley de Privacidad del Consumidor de California o la Ley de Protección de Datos del Consumidor de Virginia. A partir de mayo de 2026, el estado ha presentado la SB 1815 en la segunda sesión ordinaria de la 57.ª Legislatura, pero no se ha aprobado ningún proyecto de ley integral de privacidad.
Los residentes de Arizona no carecen de protección. El estado hace cumplir una sólida ley de notificación de filtraciones de datos con un plazo fijo de 45 días, estatutos de privacidad sectoriales que cubren datos genéticos, registros estudiantiles e información de seguros, una ley de fraude al consumidor que el Fiscal General ha utilizado para emprender importantes acciones de cumplimiento, y marcos federales que cubren vacíos clave en materia de datos de salud y financieros.
Esta guía cubre todas las protecciones de privacidad de datos específicas de Arizona actualmente vigentes, las obligaciones que enfrentan las empresas y los derechos que los residentes pueden ejercer cuando su información personal se ve comprometida. Para conocer las reglas de consentimiento de grabación en Arizona, consulte Leyes de Grabación de Arizona.
Ley de Notificación de Violación de Datos de Arizona (A.R.S. § 18-552)
La piedra angular del marco de privacidad de datos de Arizona es el estatuto de notificación de filtraciones de datos en A.R.S. §§ 18-551 y 18-552. Promulgada originalmente en 2006 y significativamente reforzada por la HB 2146 en 2022, esta ley establece plazos y sanciones claros para las empresas que sufren filtraciones de seguridad que involucran información personal. Las enmiendas de 2022 añadieron el plazo obligatorio de notificación de 45 días, ampliaron la definición de información personal e introdujeron requisitos de notificación al Departamento de Seguridad Nacional de Arizona.

Quién Debe Cumplir
La ley se aplica a cualquier persona o entidad que realice negocios en Arizona y que posea, mantenga o tenga licencia sobre información personal computarizada no cifrada y no redactada. Esto incluye corporaciones, sociedades, propietarios únicos, agencias gubernamentales y organizaciones sin fines de lucro.
La frase clave es "realiza negocios en Arizona." Una empresa no necesita tener su sede en el estado. Cualquier empresa que recopile o procese los datos personales de residentes de Arizona debe cumplir con los requisitos de notificación si ocurre una filtración.
Qué Se Considera Información Personal
Conforme a A.R.S. § 18-551, información personal significa el nombre de pila o la inicial del nombre y el apellido de una persona, combinados con uno o más de los siguientes elementos de datos específicos:
- Número de Seguro Social
- Número de licencia de conducir o de identificación no operativa emitido conforme a A.R.S. § 28-3166 o § 28-3165
- Número de cuenta financiera o número de tarjeta de crédito o débito combinado con cualquier código de seguridad, código de acceso o contraseña requeridos
- Número de identificación de seguro médico
- Información de tratamiento médico o de salud mental
- Número de identificación fiscal o número de identificación personal de protección de identidad emitido por el IRS
- Datos biométricos únicos generados a partir de mediciones de una característica biológica (huella dactilar, retina, iris)
- Una clave privada única de una persona utilizada para autenticar o firmar un registro electrónico
- Número de pasaporte
- Un nombre de usuario o dirección de correo electrónico combinado con una contraseña o pregunta y respuesta de seguridad que permitiría el acceso a una cuenta en línea
El estatuto especifica que la información personal no incluye información disponible públicamente que se haya puesto legalmente a disposición del público en general a través de registros gubernamentales federales, estatales o locales.
El Plazo de Notificación de 45 Días
Cuando una persona que realiza negocios en Arizona toma conocimiento de un incidente de seguridad, debe investigar de inmediato para determinar si ocurrió una violación del sistema de seguridad. Si la investigación confirma una filtración, la persona que posee o tiene licencia sobre los datos debe notificar a las personas afectadas dentro de los 45 días posteriores a esa determinación.
La notificación puede proporcionarse de una de tres maneras:
- Aviso por escrito enviado a la dirección postal de la persona
- Notificación telefónica directamente a la persona afectada
- Aviso por correo electrónico si la persona ha proporcionado previamente una dirección de correo electrónico
Existe una opción de aviso sustitutivo si el costo de la notificación estándar supera los $50,000, la clase afectada supera las 100,000 personas, o la entidad no cuenta con información de contacto suficiente. El aviso sustitutivo requiere enviar una carta al Fiscal General de Arizona demostrando la necesidad y publicar el aviso de manera visible en el sitio web de la entidad durante al menos 45 días.
Requisitos de Reporte para Filtraciones Grandes
Si una filtración requiere la notificación de más de 1,000 personas, la entidad también debe proporcionar aviso por escrito a:
- Las tres agencias de informes crediticios más grandes a nivel nacional (Equifax, Experian y TransUnion)
- El Fiscal General de Arizona
- El Director del Departamento de Seguridad Nacional de Arizona
La notificación al Fiscal General debe seguir el formulario prescrito por norma u orden del Fiscal General, o la entidad puede proporcionar una copia de la notificación enviada a las personas afectadas. Todas las notificaciones al Director del Departamento de Seguridad Nacional se tratan como confidenciales.
Cuándo No Se Requiere Notificación
Una entidad cubierta no está obligada a enviar notificaciones de filtración si un auditor forense independiente o una agencia de las fuerzas del orden determina, tras una investigación razonable, que la filtración no ha resultado ni es razonablemente probable que resulte en una pérdida económica sustancial para las personas afectadas.
Las fuerzas del orden pueden retrasar la notificación si determinan que la notificación impediría una investigación criminal. El retraso debe solicitarse por escrito y dura solo el tiempo que requiera la investigación.
Sanciones por Infracciones
Una infracción intencional y deliberada de A.R.S. § 18-552 se clasifica como una práctica ilegal conforme a A.R.S. § 44-1522 de la Ley de Fraude al Consumidor de Arizona. Solo el Fiscal General de Arizona puede hacer cumplir estas infracciones.
El Fiscal General puede solicitar:
- Sanciones civiles que no superen la menor cantidad entre $10,000 por persona afectada o la pérdida económica total sufrida por las personas afectadas, con un tope de $500,000 por filtración o serie de filtraciones relacionadas
- Restitución a las personas afectadas
- Medidas cautelares (injunctive relief) para prevenir infracciones en curso
No existe un derecho de acción privado conforme al estatuto de notificación de filtraciones. Los consumidores individuales no pueden demandar directamente a las empresas por no proporcionar una notificación oportuna.
Exenciones de HIPAA y GLBA
Las entidades ya reguladas por ciertas leyes federales están exentas de los requisitos de notificación de filtraciones de Arizona:
- Entidades cubiertas por HIPAA: los proveedores de atención médica, los planes de salud y las cámaras de compensación de atención médica sujetos a la Ley Federal de Portabilidad y Responsabilidad del Seguro Médico no necesitan cumplir con la ley estatal, siempre que sigan las reglas federales de notificación de filtraciones
- Entidades reguladas por la GLBA: las instituciones financieras sujetas al Título V de la Ley Gramm-Leach-Bliley están exentas del estatuto de Arizona
Estas exenciones existen porque la ley federal ya impone requisitos de notificación de filtraciones a estas industrias que cumplen o superan el estándar estatal.
Preempción Estatal
El estatuto de notificación de filtraciones de Arizona reemplaza (preempts) explícitamente todas las leyes, estatutos, ordenanzas y normas municipales y del condado relacionadas con la notificación de violaciones del sistema de seguridad. Ciudades como Phoenix, Tucson y Mesa no pueden imponer requisitos locales adicionales de notificación de filtraciones.
Requisitos de Seguridad Razonable
Aunque Arizona no cuenta con una ley independiente de seguridad de datos, A.R.S. § 18-552 impone a las empresas el deber de implementar y mantener procedimientos y prácticas de seguridad razonables, apropiados para la naturaleza de la información personal que manejan.
Este estándar de seguridad razonable no es prescriptivo. El estatuto no enumera controles técnicos específicos ni marcos de seguridad que las empresas deban adoptar. En cambio, vincula la obligación a la naturaleza y sensibilidad de los datos, el tamaño y la complejidad de la empresa, y el costo de las herramientas disponibles para mejorar la seguridad.
Las empresas que no mantengan una seguridad razonable y que, como resultado, sufran una filtración, enfrentan acciones de cumplimiento por parte del Fiscal General.
Ley de Fraude al Consumidor de Arizona y la Privacidad de Datos
La Ley de Fraude al Consumidor de Arizona (A.R.S. § 44-1522) declara ilegal emplear engaño, actos engañosos o desleales, fraude, falsas apariencias, tergiversación u ocultamiento de hechos materiales en relación con la venta o publicidad de mercancías. El Fiscal General ha utilizado este estatuto para emprender importantes acciones de cumplimiento en materia de privacidad de datos.
La Ley de Fraude al Consumidor otorga al Fiscal General la autoridad para investigar y procesar a las empresas que:
- Hagan declaraciones falsas sobre cómo recopilan, usan o comparten datos personales
- No divulguen a los consumidores prácticas materiales de recopilación de datos
- Tergiversen las medidas de seguridad que protegen la información del consumidor
- Violen sus propias políticas de privacidad publicadas

Acuerdo por Rastreo de Ubicación de Google (2022)
En octubre de 2022, el entonces Fiscal General de Arizona, Mark Brnovich, obtuvo un acuerdo de $85 millones con Google por prácticas engañosas de rastreo de ubicación. La demanda de Arizona siguió a una investigación que mostró que Google continuaba rastreando la ubicación de los dispositivos Android incluso después de que los usuarios desactivaran la configuración de Historial de Ubicaciones, apoyándose en una configuración separada de Actividad Web y de Aplicaciones para acceder a los datos de ubicación con fines de publicidad dirigida. El acuerdo de $85 millones fue el mayor acuerdo de privacidad per cápita de su tipo en ese momento, y constituyó una recuperación independiente para Arizona además de un acuerdo multiestatal separado de $391.5 millones con 40 estados anunciado el mismo mes.
Demanda contra Temu (Diciembre de 2025)
El 2 de diciembre de 2025, la Fiscal General de Arizona, Kris Mayes, presentó una demanda contra Temu y su empresa matriz PDD Holdings ante la Corte Superior del Condado de Maricopa, alegando infracciones a la Ley de Fraude al Consumidor de Arizona. La demanda alega que la aplicación de Temu está diseñada para recopilar datos sensibles de los usuarios sin su conocimiento ni consentimiento, incluida la ubicación física precisa, el acceso al micrófono y la cámara, y la actividad privada en otras aplicaciones instaladas en el dispositivo. Presuntamente, la aplicación utiliza múltiples capas de cifrado para evadir la revisión de seguridad de front-end. La demanda también alega prácticas comerciales engañosas, incluida publicidad falsa, apropiación indebida de propiedad intelectual y un patrón de negarse a participar en el arbitraje de consumidores. Hasta mayo de 2026, el litigio sigue pendiente.
Ley de Delitos Informáticos de Arizona (A.R.S. § 13-2316)
La Ley de Delitos Informáticos de Arizona, en A.R.S. § 13-2316, prohíbe el acceso no autorizado a sistemas informáticos con la intención de interrumpir, alterar, dañar, eliminar o destruir datos o programas. El estatuto abarca la manipulación informática, la posesión ilegal de un dispositivo de acceso y la divulgación no autorizada de información de seguridad informática confidencial o de propiedad exclusiva.
Las infracciones se clasifican como delitos graves (felonies) de clase 3 o clase 4, según la naturaleza de la conducta. Aunque el estatuto aborda la conducta contra la piratería informática en lugar de la privacidad del consumidor directamente, establece responsabilidad penal por el acceso no autorizado a datos personales en poder de empresas y agencias gubernamentales. Los fiscales han utilizado A.R.S. § 13-2316 en casos que involucran acceso no autorizado a bases de datos que contienen información personal.
Voyerismo e Imágenes Íntimas No Consentidas (A.R.S. § 13-1424)
El estatuto de voyerismo de Arizona, en A.R.S. § 13-1424, prohíbe invadir a sabiendas la privacidad de otra persona sin su conocimiento con el propósito de estimulación sexual. El estatuto cubre fotografiar o filmar a una persona en un estado privado, así como divulgar, exhibir, distribuir o publicar dichas imágenes. La infracción es un delito grave de clase 5.
La Ley federal TAKE IT DOWN (que se analiza más adelante) ahora complementa la ley estatal de voyerismo al añadir sanciones penales por imágenes íntimas no consentidas, incluidos los deepfakes generados por IA, e imponer obligaciones de eliminación a las plataformas.
Ley de Privacidad de Información Genética (HB 2069)
Arizona promulgó una de las leyes de privacidad de datos genéticos más detalladas del país cuando la HB 2069 entró en vigor el 29 de septiembre de 2021. La ley está dirigida a las empresas de pruebas genéticas directas al consumidor que recopilan y procesan ADN, cromosomas, genes o productos génicos.
Requisitos Clave para las Empresas de Pruebas
Avisos de privacidad. Las empresas deben proporcionar un aviso de privacidad claro y disponible públicamente que describa sus prácticas de recopilación de datos, consentimiento, uso, acceso, divulgación, transferencia, seguridad, retención y eliminación. También debe estar disponible un resumen de política de privacidad de alto nivel.
Consentimiento expreso. Las empresas deben obtener el consentimiento expreso del consumidor antes de recopilar, usar o divulgar datos genéticos. El consentimiento debe describir claramente los usos previstos y especificar quién tendrá acceso a los resultados de las pruebas.
Consentimiento separado para investigación. Si la empresa desea usar los datos genéticos para investigación, desarrollo de productos o compartirlos con terceros, debe obtener un consentimiento de exclusión voluntaria (opt-in) separado, más allá del consentimiento inicial para la prueba.
Seguridad de datos. Las empresas deben desarrollar, implementar y mantener un programa de seguridad integral para proteger los datos genéticos contra el acceso, uso o divulgación no autorizados.
Restricciones para las fuerzas del orden. Las empresas no pueden divulgar datos genéticos a las fuerzas del orden o agencias gubernamentales sin el consentimiento expreso y por escrito del consumidor, a menos que reciban un proceso legal válido, como una orden de allanamiento o una orden judicial.
Derechos del Consumidor Bajo la Ley de Privacidad Genética
Los residentes de Arizona que utilizan servicios de pruebas genéticas directas al consumidor tienen derecho a:
- Acceder a sus datos genéticos en poder de la empresa
- Eliminar su cuenta y todos los datos genéticos asociados
- Solicitar la destrucción de sus muestras biológicas
Divulgaciones Prohibidas
La ley prohíbe específicamente que las empresas de pruebas genéticas divulguen los datos genéticos del consumidor a:
- Compañías de seguro médico
- Compañías de seguro de vida
- Compañías de seguro de cuidado a largo plazo
- Empleadores del consumidor
Las infracciones pueden resultar en sanciones civiles de hasta $2,500 por infracción, además de los daños, costos y honorarios de abogados del Fiscal General.
Protecciones de Privacidad de Datos Estudiantiles
Arizona ha promulgado protecciones específicas para los datos estudiantiles a través de A.R.S. § 15-1046 y estatutos relacionados.
Datos Biométricos en las Escuelas
Conforme a la ley de Arizona, las escuelas de los distritos escolares y las escuelas chárter no pueden recopilar información biométrica de un estudiante a menos que el padre, madre o tutor del estudiante otorgue permiso por escrito. Las escuelas deben proporcionar un aviso por escrito a los padres al menos 30 días antes de recopilar información biométrica.
Los datos estudiantiles protegidos por la ley de Arizona incluyen nombre y apellido, dirección residencial, número de teléfono, dirección de correo electrónico, registros disciplinarios, calificaciones, resultados de exámenes, evaluaciones, datos de educación especial, registros médicos y de salud, número de Seguro Social, información biométrica, registros de dependencia juvenil, información socioeconómica, fotografías, grabaciones de voz e información geográfica.
Estas protecciones complementan la Ley Federal de Derechos Educativos y Privacidad Familiar (FERPA), que otorga a los padres el derecho a acceder a los registros educativos y limita la divulgación sin consentimiento.
Privacidad de Datos de Seguros (A.R.S. § 20-2104)
Arizona exige a las aseguradoras y a los productores de seguros que proporcionen avisos de privacidad a los solicitantes y titulares de pólizas conforme a A.R.S. § 20-2104. Las compañías de seguros deben entregar un aviso de prácticas de información a más tardar cuando entreguen la póliza de seguro o cuando recopilen por primera vez información personal de una fuente distinta al solicitante o a los registros públicos.
Para las relaciones continuas, el aviso debe proporcionarse al menos anualmente mientras continúe la relación con el titular de la póliza. Los avisos de privacidad de seguros deben cumplir con la Sección 503 de la Ley Federal Gramm-Leach-Bliley o incluir las divulgaciones específicas requeridas por el estatuto de Arizona.
Leyes Federales de Privacidad Aplicables en Arizona
Debido a que Arizona carece de una ley integral de privacidad, varios estatutos federales sirven como el marco principal de privacidad para sectores específicos.

Ley TAKE IT DOWN (Mayo de 2025)
La Tools to Address Known Exploitation by Immobilizing Technological Deepfakes on Websites and Networks Act (Ley TAKE IT DOWN), Pub. L. 119-12, fue firmada por el presidente Trump el 19 de mayo de 2025. La prohibición penal de publicar imágenes íntimas no consentidas (NCII, por sus siglas en inglés), incluidos los deepfakes generados por IA, entró en vigor de inmediato. Las obligaciones de las plataformas conforme a la Sección 3 de la ley, que exigen a las plataformas cubiertas implementar un proceso de aviso y eliminación para las solicitudes de NCII y eliminar el contenido señalado dentro de las 48 horas posteriores a una solicitud válida, se volvieron exigibles el 19 de mayo de 2026, cuando la FTC comenzó a aplicarlas activamente. Las plataformas que no cumplan razonablemente enfrentan acciones de cumplimiento de la FTC, con sanciones civiles de hasta $53,088 por infracción.
Los residentes de Arizona que son víctimas de la difusión de imágenes íntimas no consentidas ahora pueden enviar solicitudes de eliminación directamente a las plataformas cubiertas conforme al marco federal, lo cual complementa el estatuto estatal de voyerismo en A.R.S. § 13-1424.
Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA)
HIPAA protege la privacidad de la información de salud individualmente identificable en poder de entidades cubiertas (proveedores de atención médica, planes de salud, cámaras de compensación de atención médica) y sus asociados comerciales. Las organizaciones de atención médica de Arizona deben cumplir con la Regla de Privacidad, la Regla de Seguridad y la Regla de Notificación de Filtraciones de HIPAA.
La importancia de las protecciones de HIPAA para los residentes de Arizona quedó subrayada en junio de 2025, cuando la Fiscal General Mayes se unió a una coalición de 19 estados que demandó a la administración Trump por la transferencia masiva del HHS de registros personales de salud de Medicaid al Departamento de Seguridad Nacional, alegando infracciones a HIPAA, la Ley de Seguro Social, la Ley de Privacidad y la Ley de Procedimiento Administrativo.
Ley Gramm-Leach-Bliley (GLBA)
Las instituciones financieras que operan en Arizona deben cumplir con la GLBA, que exige políticas escritas de protección de datos, capacitación de los empleados en seguridad de datos y avisos de privacidad a los consumidores que expliquen cómo se recopila, comparte y protege su información financiera.
Ley de Protección de la Privacidad Infantil en Línea (COPPA)
Los sitios web y servicios en línea dirigidos a niños menores de 13 años que operen en Arizona o lleguen a sus residentes deben cumplir con los requisitos de consentimiento parental y minimización de datos de COPPA.
Ley de Derechos Educativos y Privacidad Familiar (FERPA)
FERPA protege los registros educativos de los estudiantes en instituciones que reciben fondos federales. Las escuelas, colegios y universidades de Arizona deben cumplir con los requisitos de FERPA sobre derechos de acceso y limitaciones de divulgación.
Ley de Informe Justo de Crédito (FCRA)
La FCRA regula la recopilación, difusión y uso de la información crediticia del consumidor. Las agencias de informes crediticios, los usuarios de informes de crédito y los proveedores de datos crediticios en Arizona deben cumplir con los requisitos de la FCRA.
Sección 5 de la Ley de la FTC
La FTC hace cumplir la prohibición de actos o prácticas desleales o engañosas conforme a la Sección 5 de la Ley de la FTC (15 U.S.C. § 45). Esto proporciona un respaldo federal para las infracciones de privacidad de datos no cubiertas por estatutos sectoriales específicos, incluidas las políticas de privacidad engañosas y las prácticas de seguridad de datos inadecuadas.
Ley de Derechos de Privacidad Estadounidense (APRA)
La American Privacy Rights Act se presentó en el Congreso en 2024 como un proyecto de ley federal integral de privacidad bipartidista. No fue aprobada. En 2025 circuló una versión revisada bajo el nombre APRA 2.0. Hasta mayo de 2026, no se ha promulgado ninguna ley federal integral de privacidad de datos del consumidor. Hasta que se apruebe una, las reglas estado por estado siguen siendo el marco principal para los derechos de privacidad del consumidor.
Legislación Pendiente en Arizona
Arizona no ha logrado aprobar de manera constante legislación integral de privacidad del consumidor. El intento integral más reciente fue la HB 2790, presentada en febrero de 2022, que no avanzó más allá del comité.
En la segunda sesión ordinaria de la 57.ª Legislatura (2026), la SB 1815, titulada "Personal data; consumers; controllers; requirements," se presentó el 10 de febrero de 2026 y recibió una segunda lectura en el Senado. El proyecto de ley no ha sido aprobado hasta mayo de 2026 y actualmente ninguna ley integral de privacidad está en camino de promulgarse en esta sesión.
La Cámara de Representantes de Arizona aprobó la HB 2861 (protecciones de redes sociales para menores) durante la primera sesión ordinaria de la 57.ª Legislatura en 2025. Ese proyecto de ley, que exigiría a las plataformas de redes sociales habilitar protecciones de privacidad de alto nivel de manera predeterminada para los usuarios menores de edad, pasó al Senado, pero su estado final de promulgación no se confirmó en los registros legislativos disponibles al momento de esta actualización.
La tendencia nacional hacia la legislación estatal de privacidad, combinada con la aplicación activa por parte del Fiscal General bajo la autoridad existente de fraude al consumidor, sugiere una actividad legislativa continua en futuras sesiones.
Cómo Reportar una Filtración de Datos en Arizona
Si usted es una empresa u organización que ha sufrido una filtración de datos que afecta a residentes de Arizona:
- Investigue de inmediato para determinar si ocurrió una violación del sistema de seguridad
- Notifique a las personas afectadas dentro de los 45 días posteriores a la determinación de que ocurrió una filtración, mediante aviso por escrito, teléfono o correo electrónico
- Notifique al Fiscal General si más de 1,000 personas están afectadas, utilizando el formulario de notificación del Fiscal General
- Notifique al Director del Departamento de Seguridad Nacional de Arizona si más de 1,000 personas están afectadas
- Notifique a las tres principales agencias de informes crediticios (Equifax, Experian, TransUnion) si más de 1,000 personas están afectadas
Si Usted Es un Consumidor Afectado por una Filtración
Los residentes de Arizona que crean que su información personal ha sido comprometida pueden:
- Presentar una queja de consumidor ante la Oficina del Fiscal General de Arizona
- Colocar una alerta de fraude o un congelamiento de crédito con las tres principales agencias de informes crediticios
- Supervisar las cuentas financieras y los informes de crédito en busca de actividad no autorizada
- Reportar el robo de identidad a la Comisión Federal de Comercio en IdentityTheft.gov
Pasos de Cumplimiento para las Empresas de Arizona
Las empresas de Arizona que recopilan información personal deben tomar estos pasos prácticos:

Mapee sus datos. Sepa qué información personal posee, dónde reside y quién tiene acceso a ella. La definición de información personal conforme a A.R.S. § 18-551 es específica; asegúrese de que su inventario cubra todas las categorías protegidas.
Implemente seguridad razonable. Aunque Arizona no prescribe controles específicos, el Fiscal General puede iniciar acciones de cumplimiento contra las empresas que sufran una filtración debido a una seguridad inadecuada. Alinearse con un marco reconocido, como el Marco de Ciberseguridad del NIST o los Controles del CIS, proporciona una base defendible.
Prepare un plan de respuesta a incidentes. El reloj de notificación de 45 días comienza el día en que usted determina que ocurrió una filtración. Sin un plan probado, ese plazo es difícil de cumplir. Incluya en su plan a asesores legales, investigadores forenses y proveedores de notificación.
Revise su política de privacidad. La Ley de Fraude al Consumidor alcanza a las empresas que violan sus propias políticas de privacidad publicadas. Asegúrese de que su política describa con precisión sus prácticas de datos.
Revise los contratos con sus proveedores. Los procesadores externos que manejan información personal en su nombre pueden activar sus obligaciones de notificación si sufren una filtración. Los contratos deben exigir una notificación oportuna y especificar sus estándares de seguridad.
Conozca sus obligaciones federales. Si usted es una entidad cubierta por HIPAA, una institución financiera regulada por la GLBA, o una empresa que se dirige a menores, la ley federal rige sus obligaciones de privacidad y de notificación de filtraciones. Estos requisitos federales complementan, y en muchos casos reemplazan, la ley estatal de notificación de filtraciones de Arizona.
More Arizona Laws
- Arizona AI Meeting Recording Laws
- Arizona Alimony Laws
- Arizona At-Will Employment Laws
- Arizona Car Accident Laws
- Arizona Car Seat Laws
- Arizona Child Custody Laws
- Arizona Child Support Laws
- Arizona Common Law Marriage Laws
- Arizona Deepfake Laws
- Arizona Divorce Laws
- Arizona Dog Bite Laws
- Arizona Emancipation Laws
- Arizona Expungement Laws
- Arizona Hit and Run Laws
- Arizona Landlord-Tenant Laws
- Arizona Lemon Laws
Preguntas frecuentes
¿Arizona tiene una ley integral de privacidad de datos como California o Virginia?
No. Hasta mayo de 2026, Arizona no cuenta con una ley integral de privacidad de datos del consumidor. El estado se apoya en su estatuto de notificación de filtraciones de datos (A.R.S. § 18-552), la Ley de Fraude al Consumidor, leyes sectoriales específicas como la Ley de Privacidad de Información Genética, y las leyes federales aplicables, incluidas HIPAA y GLBA. La SB 1815, presentada en la segunda sesión ordinaria de la 57.ª Legislatura en febrero de 2026, no ha sido aprobada. Varios intentos anteriores, incluida la HB 2790 en 2022, tampoco lograron avanzar.
¿Con qué rapidez debe una empresa notificarme sobre una filtración de datos en Arizona?
Conforme a A.R.S. § 18-552, las empresas deben notificar a las personas afectadas dentro de los 45 días posteriores a determinar que ocurrió una violación del sistema de seguridad. La notificación debe proporcionarse por escrito, por teléfono o por correo electrónico. Si la filtración afecta a más de 1,000 residentes de Arizona, la empresa también debe notificar al Fiscal General de Arizona, al Departamento de Seguridad Nacional y a las tres principales agencias de informes crediticios dentro del mismo plazo de 45 días.
¿Puedo demandar a una empresa por una filtración de datos en Arizona?
El estatuto de notificación de filtraciones de Arizona no ofrece un derecho de acción privado. Solo el Fiscal General puede iniciar acciones de cumplimiento conforme a A.R.S. § 18-552, buscando sanciones civiles de hasta $500,000 más restitución. Sin embargo, los consumidores pueden tener reclamos conforme a la Ley de Fraude al Consumidor de Arizona (A.R.S. § 44-1522) si una empresa hizo declaraciones engañosas sobre sus prácticas de seguridad de datos, o mediante teorías de derecho consuetudinario de negligencia e incumplimiento de contrato.
¿Los proveedores de atención médica y los bancos están exentos de la ley de notificación de filtraciones de datos de Arizona?
Sí. Las entidades sujetas a HIPAA (proveedores de atención médica, planes de salud, cámaras de compensación de atención médica) y las entidades reguladas conforme al Título V de la Ley Gramm-Leach-Bliley (instituciones financieras) están exentas de los requisitos estatales de notificación de filtraciones de Arizona. Estas entidades aún deben cumplir con sus respectivas obligaciones federales de notificación de filtraciones y seguridad de datos, que generalmente cumplen o superan el estándar estatal.
¿Cuáles son mis derechos respecto a los datos de pruebas genéticas en Arizona?
Conforme a la Ley de Privacidad de Información Genética de Arizona (HB 2069, vigente desde septiembre de 2021), los consumidores que utilizan servicios de pruebas genéticas directas al consumidor tienen derecho a acceder a sus datos genéticos, eliminar su cuenta y sus datos genéticos, y solicitar la destrucción de las muestras biológicas. Las empresas de pruebas no pueden compartir datos genéticos con aseguradoras de salud, de vida, de cuidado a largo plazo, ni con empleadores. Las empresas deben obtener el consentimiento expreso antes de recopilar o usar datos genéticos y no pueden divulgarlos a las fuerzas del orden sin un proceso legal válido.
¿Qué es la Ley TAKE IT DOWN y protege a los residentes de Arizona?
La Ley TAKE IT DOWN (Pub. L. 119-12, firmada el 19 de mayo de 2025) es una ley federal que penaliza la publicación de imágenes íntimas no consentidas, incluidos los deepfakes generados por IA. La prohibición penal entró en vigor de inmediato al momento de la firma. Las obligaciones de eliminación de las plataformas conforme a la Sección 3 de la ley, que exigen a las plataformas cubiertas eliminar el contenido señalado dentro de las 48 horas posteriores a una solicitud válida, se volvieron exigibles el 19 de mayo de 2026. La FTC hace cumplir el cumplimiento de las plataformas. Los residentes de Arizona pueden enviar solicitudes de eliminación a las plataformas cubiertas conforme al marco federal, además de buscar recursos estatales conforme a A.R.S. § 13-1424 (voyerismo).
¿Cómo ha aplicado el Fiscal General de Arizona las reglas de privacidad de datos?
El Fiscal General de Arizona, Mark Brnovich, obtuvo un acuerdo de $85 millones con Google en octubre de 2022 por prácticas engañosas de rastreo de ubicación conforme a la Ley de Fraude al Consumidor. La Fiscal General Kris Mayes presentó una demanda contra Temu en diciembre de 2025 por presunta recopilación no autorizada de datos y prácticas comerciales engañosas. Mayes también se unió a una coalición de 19 estados en junio de 2025 para demandar a la administración Trump por la transferencia masiva de registros de salud de Medicaid al DHS, alegando infracciones a HIPAA. La oficina del Fiscal General acepta activamente quejas de consumidores sobre filtraciones de datos y notificaciones de filtraciones de las empresas.
¿Arizona tiene una ley contra la piratería informática?
Sí. A.R.S. § 13-2316 (Ley de Delitos Informáticos de Arizona) prohíbe el acceso no autorizado a sistemas informáticos con la intención de interrumpir, alterar, dañar, eliminar o destruir datos o programas. Las infracciones se clasifican como delitos graves de clase 3 o clase 4. El estatuto se aplica al acceso no autorizado a bases de datos que contienen información personal y complementa el marco de cumplimiento civil conforme a los estatutos de notificación de filtraciones y fraude al consumidor.
Fuentes y referencias
- A.R.S. § 18-552: Notificación de Violaciones del Sistema de Seguridad(azleg.gov).gov
- A.R.S. § 18-551: Definiciones(azleg.gov).gov
- Privacidad de Datos y Reporte de Filtraciones de Datos(azag.gov).gov
- Preguntas Frecuentes sobre la Ley de Notificación de Filtraciones de Datos de Arizona(azag.gov).gov
- HB 2146: Enmiendas a la Notificación de Violaciones de Seguridad de Datos (2022)(azleg.gov).gov
- HB 2069: Ley de Privacidad de Información Genética (2021)(azleg.gov).gov
- A.R.S. § 44-1522: Ley de Fraude al Consumidor(azleg.gov).gov
- A.R.S. § 15-1046: Privacidad de Datos Estudiantiles(azleg.gov).gov
- A.R.S. § 20-2104: Prácticas de Información de Seguros(azleg.gov).gov
- Formulario de Notificación de Filtración de Datos(azag.gov).gov
- A.R.S. § 13-2316: Manipulación Informática (Ley de Delitos Informáticos de Arizona)(azleg.gov).gov
- A.R.S. § 13-1424: Voyerismo(azleg.gov).gov
- La Fiscal General Mayes Demanda a Temu por Robar Datos de Residentes de Arizona (Diciembre de 2025)(azag.gov).gov
- Fiscal General Brnovich: Acuerdo de $85 Millones con Google (2022)(azag.gov).gov
- La Fiscal General Mayes Demanda a la Administración Trump por la Transferencia de Datos de Salud de Medicaid (2025)(azag.gov).gov
- Ley TAKE IT DOWN (Pub. L. 119-12) -- Biblioteca Legal de la FTC(ftc.gov).gov
- La FTC Comienza a Aplicar la Ley TAKE IT DOWN (Mayo de 2026)(ftc.gov).gov
- Ley TAKE IT DOWN: Resumen del Servicio de Investigación del Congreso(congress.gov).gov