Arizona
Leyes de Notificación de Violación de Datos de Arizona: Reglas de Reporte y Plazos (2026)

Arizona exige a las empresas notificar a las personas afectadas dentro de los 45 días posteriores a determinar que ocurrió una filtración, conforme a A.R.S. 18-552. Cuando más de 1,000 residentes están afectados, la ley también exige notificar al Fiscal General de Arizona, al Director del Departamento de Seguridad Nacional de Arizona y a las tres agencias de informes crediticios más grandes a nivel nacional.
Si su empresa maneja datos personales pertenecientes a residentes de Arizona, la ley estatal le exige actuar rápidamente cuando ocurre una filtración. El estatuto de notificación de filtraciones de datos de Arizona establece un plazo firme de 45 días para la notificación e impone sanciones civiles por incumplimiento.
La ley se promulgó originalmente en 2006 y se actualizó significativamente mediante la HB 2146 en 2022, que añadió los datos biométricos a la lista de información protegida, redujo el plazo de notificación y amplió los requisitos de reporte gubernamental para incluir al Departamento de Seguridad Nacional de Arizona.
Para una visión general del marco de privacidad más amplio de Arizona, consulte la guía principal sobre las Leyes de Privacidad de Datos de Arizona.
Qué Se Considera una Violación del Sistema de Seguridad
Conforme a A.R.S. § 18-551, una violación del sistema de seguridad significa la adquisición no autorizada y el acceso no autorizado que compromete materialmente la seguridad o confidencialidad de la información personal computarizada no cifrada y no redactada mantenida como parte de una base de datos de información personal.
Deben existir dos condiciones para que una filtración sea reportable. Los datos deben estar no cifrados y no redactados, y el compromiso debe ser material y no trivial.
El estatuto incluye una excepción de buena fe. Si un empleado o agente de la empresa adquiere información personal para fines comerciales legítimos, y los datos no se usan para un propósito no relacionado ni se someten a una divulgación no autorizada adicional, ese acceso no cuenta como una filtración.
Información Personal Protegida
Arizona define la información personal de manera amplia. La ley cubre el nombre de pila o la inicial del nombre y el apellido de una persona, combinados con cualquiera de los siguientes elementos de datos:
- Número de Seguro Social
- Número de licencia de conducir o número de tarjeta de identificación estatal
- Clave privada única de una persona utilizada para autenticar o firmar un registro electrónico
- Número de cuenta financiera o número de tarjeta de crédito/débito, combinado con cualquier código de seguridad, código de acceso o contraseña requeridos que permitan el acceso a la cuenta
- Número de identificación de seguro médico
- Información de tratamiento médico o de salud mental
- Número de pasaporte
- Número de identificación fiscal
- Datos biométricos únicos generados a partir de una medición o análisis de las características del cuerpo humano con fines de autenticación
La ley también cubre una categoría independiente: el nombre de usuario o la dirección de correo electrónico de una persona combinado con una contraseña o pregunta y respuesta de seguridad que permite el acceso a una cuenta en línea. Esta categoría no requiere un nombre para activar la notificación.
La información disponible públicamente que se haya puesto legalmente a disposición a través de registros gubernamentales federales, estatales o locales queda excluida de la definición.
El Plazo de Notificación de 45 Días
Cuando una empresa que realiza negocios en Arizona y que posee, mantiene o tiene licencia sobre información personal computarizada no cifrada toma conocimiento de un incidente de seguridad, debe realizar una investigación razonable para determinar si ocurrió una filtración.
Una vez que la investigación confirma una filtración, comienza a correr el plazo. Conforme a A.R.S. § 18-552, la empresa debe notificar a las personas afectadas dentro de los 45 días posteriores a la determinación de que ocurrió una filtración.

Las fuerzas del orden pueden solicitar un retraso si la notificación impediría una investigación criminal. Una vez que las fuerzas del orden autorizan la notificación, el plazo de 45 días se aplica a partir de la fecha de esa autorización.
Quién Debe Ser Notificado
Los requisitos de notificación de Arizona se extienden a múltiples partes según el tamaño de la filtración.
Personas Afectadas
Toda persona cuya información personal no cifrada haya sido comprometida debe recibir un aviso directo. El aviso debe incluir:
- La fecha aproximada de la filtración
- Una descripción de la información personal involucrada
- Información de contacto de las tres agencias de informes crediticios más grandes a nivel nacional
- Información de contacto de la Comisión Federal de Comercio, junto con una declaración de que la persona puede obtener información de la FTC sobre la prevención del robo de identidad
Fiscal General y Departamento de Seguridad Nacional
Si una filtración afecta a más de 1,000 residentes de Arizona, la empresa también debe notificar al Fiscal General de Arizona y al Director del Departamento de Seguridad Nacional de Arizona. Estas notificaciones son confidenciales y están exentas de la divulgación de registros públicos.
La oficina del Fiscal General ofrece un formulario de notificación de filtraciones de datos que las empresas deben completar al reportar una filtración.

Agencias de Informes Crediticios
Cuando se debe notificar a más de 1,000 personas, la empresa también debe notificar a las tres agencias de informes crediticios más grandes a nivel nacional sobre el momento, la distribución y el contenido de los avisos individuales.
Cómo Debe Entregarse la Notificación
Arizona permite varios métodos de notificación conforme a A.R.S. § 18-552:
- Aviso por escrito enviado a la dirección postal de la persona
- Aviso por correo electrónico si la empresa tiene direcciones de correo electrónico registradas
- Aviso telefónico mediante conversación directa (no mensajes pregrabados)
Aviso Sustitutivo
Una empresa puede usar el aviso sustitutivo si demuestra que la notificación directa costaría más de $50,000, que se necesita notificar a más de 100,000 personas, o que la empresa no cuenta con información de contacto suficiente.
El aviso sustitutivo requiere dos pasos:
- Una carta por escrito al Fiscal General explicando los hechos que justifican el uso del aviso sustitutivo
- Publicación visible del aviso en el sitio web de la empresa durante al menos 45 días
Puerto Seguro de Cifrado
La ley de notificación de filtraciones de Arizona solo se aplica a la información personal no cifrada y no redactada. Si los datos comprometidos estaban correctamente cifrados o si elementos de datos como los números de Seguro Social fueron redactados (truncados para mostrar solo los últimos cuatro dígitos), no se requiere notificación.

Este puerto seguro brinda a las empresas un fuerte incentivo para cifrar la información personal tanto en reposo como en tránsito.
Exenciones
Varias categorías de entidades están exentas de la ley de notificación de filtraciones de Arizona:
- Entidades cubiertas por HIPAA y asociados comerciales que mantienen procedimientos de notificación conforme a HIPAA y la Ley HITECH
- Instituciones financieras sujetas a la Ley Gramm-Leach-Bliley que cumplen con las directrices interinstitucionales federales sobre programas de respuesta ante el acceso no autorizado
- Empresas con políticas internas que sean consistentes con los requisitos de plazos del estatuto de Arizona
La exención para las políticas internas exige que dichas políticas cumplan o superen el estándar de notificación de 45 días y otros requisitos establecidos por la ley estatal.
Sanciones y Cumplimiento
Solo el Fiscal General de Arizona puede hacer cumplir las infracciones de la ley de notificación de filtraciones de datos. Una infracción intencional y deliberada se trata como una práctica ilegal conforme a la Ley de Fraude al Consumidor de Arizona (Título 44, Capítulo 10, Artículo 7).
La estructura de sanciones funciona de la siguiente manera:
- Sanción por persona: hasta $10,000 por persona afectada, o el monto total de la pérdida económica sufrida por las personas afectadas, lo que sea menor
- Tope máximo: $500,000 por filtración o serie de filtraciones relacionadas
- Restitución: el Fiscal General también puede solicitar restitución para las personas afectadas
No existe un derecho de acción privado. Los consumidores individuales no pueden demandar directamente a las empresas por no proporcionar una notificación oportuna de la filtración. El cumplimiento se realiza exclusivamente a través de la oficina del Fiscal General.
Historial de Cumplimiento del Fiscal General de Arizona
El Fiscal General de Arizona ha participado activamente en importantes acuerdos multiestatales por filtraciones de datos. Los casos notables incluyen:
- Equifax (2019): Arizona se unió a otros 49 estados para asegurar un acuerdo de $600 millones tras la filtración de 2017 que expuso datos personales de aproximadamente 147 millones de estadounidenses
- Uber (2018): el Fiscal General aseguró $148 millones en un acuerdo a nivel nacional después de que Uber ocultara una filtración de datos de 2016 que afectó a 57 millones de usuarios, y Arizona recibió aproximadamente $2.7 millones
- Blackbaud (2024): la Fiscal General Kris Mayes se unió a un acuerdo multiestatal de $49.5 millones con la empresa de software por un ataque de ransomware en 2020
Estos casos demuestran que, aunque las sanciones individuales por estado tienen un tope de $500,000, la participación en acciones multiestatales puede generar resultados significativamente mayores.
Excepción de Pérdida Económica Sustancial
Arizona incluye una excepción notable a los requisitos de notificación. Si la persona que sufrió la filtración, una agencia de las fuerzas del orden o un auditor forense independiente determina que la filtración no ha resultado ni es razonablemente probable que resulte en una pérdida económica sustancial para las personas afectadas, no se requiere notificación.
Esta determinación debe estar documentada y ser defendible. Las Preguntas Frecuentes del Fiscal General de Arizona dejan claro que esta excepción no elimina la obligación de investigar cada incidente de seguridad.
Requisitos para Entidades Gubernamentales
Las enmiendas de 2022 añadieron requisitos específicos para las entidades gubernamentales de Arizona. Los departamentos de seguridad pública, las oficinas de los alguaciles del condado, los departamentos de policía municipales, las agencias de fiscalía y los tribunales deben establecer y mantener políticas y procedimientos de seguridad razonables. Estas políticas deben incluir un componente de notificación de filtraciones.
Las entidades gubernamentales que manejan información personal están sujetas al mismo plazo de notificación de 45 días que las empresas privadas.
Cómo Se Compara Arizona con Otros Estados
El plazo de notificación de 45 días de Arizona lo coloca entre los estados con plazos estatutarios específicos, junto con estados como Florida (30 días) y Colorado (30 días). Muchos estados aún usan un estándar menos específico de "el tiempo más expedito posible."
El requisito dual de notificación gubernamental tanto al Fiscal General como al Departamento de Seguridad Nacional es relativamente inusual entre las leyes estatales de notificación de filtraciones. La mayoría de los estados que exigen notificación gubernamental solo exigen la notificación al Fiscal General.
La inclusión por parte de Arizona de datos biométricos, números de pasaporte y números de identificación fiscal en su definición de información personal refleja la modernización del estatuto en 2022. Estas categorías no están cubiertas de manera universal en todas las leyes estatales de notificación de filtraciones.
Pasos a Seguir Después de una Filtración en Arizona
Si su organización descubre una posible filtración que involucra a residentes de Arizona, siga esta secuencia:
- Investigue de inmediato. Determine si el incidente constituye una violación del sistema de seguridad conforme a A.R.S. § 18-551.
- Documente el alcance. Identifique qué elementos de datos fueron comprometidos y cuántos residentes de Arizona fueron afectados.
- Verifique el estado del cifrado. Si todos los datos comprometidos estaban cifrados o redactados, el puerto seguro puede aplicarse.
- Evalúe el impacto económico. Si es poco probable que la filtración cause una pérdida económica sustancial, documente esa determinación exhaustivamente.
- Notifique dentro de los 45 días. Si se requiere notificación, proporcione el aviso a las personas afectadas utilizando un método aprobado.
- Reporte al Fiscal General y al DHS. Si más de 1,000 personas están afectadas, envíe el formulario de notificación del Fiscal General y notifique al Director del Departamento de Seguridad Nacional de Arizona.
- Notifique a las agencias de informes crediticios. Si se notifica a más de 1,000 personas, informe a las tres agencias de informes crediticios más grandes a nivel nacional.
More Arizona Laws
- Arizona AI Meeting Recording Laws
- Arizona Alimony Laws
- Arizona At-Will Employment Laws
- Arizona Car Accident Laws
- Arizona Car Seat Laws
- Arizona Child Custody Laws
- Arizona Child Support Laws
- Arizona Common Law Marriage Laws
- Arizona Deepfake Laws
- Arizona Divorce Laws
- Arizona Dog Bite Laws
- Arizona Emancipation Laws
- Arizona Expungement Laws
- Arizona Hit and Run Laws
- Arizona Landlord-Tenant Laws
- Arizona Lemon Laws
Fuentes y Referencias
Este artículo hace referencia a los estatutos de Arizona y a publicaciones oficiales del gobierno estatal. Para consultar el texto completo de la ley de notificación de filtraciones, visite el sitio web de la Legislatura de Arizona. Para obtener orientación sobre cómo reportar una filtración o presentar una queja, visite la página de Filtraciones de Datos del Fiscal General de Arizona.
Este artículo ofrece información legal general sobre las leyes de notificación de filtraciones de datos de Arizona. No constituye asesoría legal. Consulte a un abogado calificado para obtener orientación sobre su situación específica. Las leyes y regulaciones cambian con frecuencia. Verifique los requisitos vigentes a través de fuentes oficiales del gobierno de Arizona.
¿Afectado por una filtración de datos o una violación de privacidad biométrica?
Si sus datos personales quedaron expuestos en una filtración, o si su huella dactilar o escaneo facial se recopiló sin su consentimiento, podría ser elegible para unirse a un reclamo por compensación. Averígüelo gratis y sin compromiso.
Fuentes y referencias
- A.R.S. § 18-551 (Definiciones)(azleg.gov).gov
- A.R.S. § 18-552 (Requisitos de notificación)(azleg.gov).gov
- HB 2146 - Capítulo 81, Leyes de 2022(azleg.gov).gov
- Preguntas Frecuentes sobre Filtraciones de Datos del Fiscal General de Arizona(azag.gov).gov
- Formulario de Notificación de Filtraciones de Datos del Fiscal General de Arizona(azag.gov).gov
- Formulario de Presentación de Filtraciones de Datos del Fiscal General de Arizona (PDF)(azag.gov).gov
- Comunicado de Prensa del Acuerdo de $600 Millones con Equifax(azag.gov).gov
- Comunicado de Prensa del Acuerdo de $148 Millones con Uber(azag.gov).gov
- Comunicado de Prensa del Acuerdo de $49.5 Millones con Blackbaud(azag.gov).gov
- Ley Gramm-Leach-Bliley de la FTC(ftc.gov).gov
- Ley de Fraude al Consumidor de Arizona (Título 44)(azleg.gov).gov