Arkansas
Leyes de Privacidad de Datos de Arkansas: Notificación de Filtraciones y Derechos del Consumidor (2026)

Arkansas protege los datos del consumidor bajo dos leyes estatales: la Ley de Protección de Datos Personales (Personal Data Protection Act), vigente desde el 1 de julio de 2025, que otorga a los residentes derechos de acceso, corrección, eliminación y exclusión voluntaria de la venta de datos, y la Ley de Protección de Información Personal (Ark. Code 4-110-101), que exige la notificación de filtraciones y la seguridad de los datos.
Arkansas ahora cuenta con una ley integral de privacidad del consumidor. La Ley de Protección de Datos Personales de Arkansas, firmada el 11 de abril de 2023 y vigente desde el 1 de julio de 2025, otorga a los residentes derechos sobre sus datos personales e impone obligaciones a las empresas que operan en el estado. Se suma al estatuto existente de notificación de filtraciones, las protecciones de datos estudiantiles y la autoridad de cumplimiento de protección al consumidor del Fiscal General.
Esta guía cubre todas las leyes de privacidad de datos de Arkansas significativas actualmente vigentes, las protecciones que tiene como consumidor, las obligaciones que deben cumplir las empresas y las sanciones por incumplimiento.
Ley de Protección de Datos Personales de Arkansas
La Ley de Protección de Datos Personales de Arkansas (APDPA), firmada por la gobernadora Sarah Huckabee Sanders el 11 de abril de 2023 y vigente desde el 1 de julio de 2025, es la ley integral de privacidad del consumidor de Arkansas. Sigue el marco establecido por la Ley de Protección de Datos del Consumidor de Virginia y otorga a los residentes de Arkansas cinco derechos fundamentales sobre sus datos personales.

A Quién Cubre la APDPA
La APDPA se aplica a las personas que realizan negocios en Arkansas o que producen productos o servicios dirigidos a los residentes de Arkansas, y que en un año calendario:
- Controlan o procesan datos personales de 25,000 o más consumidores de Arkansas, o
- Derivan más del 50% de sus ingresos brutos de la venta de datos personales y controlan o procesan datos personales de 10,000 o más consumidores de Arkansas
La ley exime a las entidades cubiertas por HIPAA, a las instituciones financieras y sus afiliados regulados conforme a la Ley Gramm-Leach-Bliley, a las organizaciones sin fines de lucro, a las instituciones de educación superior y a los datos regulados por FERPA, HIPAA o la GLBA.
Derechos del Consumidor Bajo la APDPA
Los residentes de Arkansas tienen los siguientes derechos bajo la APDPA, y los responsables del tratamiento (controllers) deben responder dentro de los 45 días (prorrogables por otros 45 días con aviso):
- Derecho de acceso: confirmar si un responsable del tratamiento procesa sus datos personales y obtener una copia de esos datos.
- Derecho de corrección: solicitar la corrección de datos personales inexactos que el responsable del tratamiento tenga sobre usted.
- Derecho de eliminación: solicitar la eliminación de los datos personales que usted haya proporcionado o que el responsable del tratamiento haya obtenido sobre usted.
- Derecho a la portabilidad de datos: obtener una copia de sus datos personales en un formato portátil y fácilmente utilizable.
- Derecho de exclusión voluntaria (opt out): excluirse de la publicidad dirigida, la venta de sus datos personales y ciertos perfilamientos automatizados que produzcan efectos legales o de importancia similar. Los responsables del tratamiento deben atender las solicitudes de exclusión dentro de los 15 días.
Para ejercer estos derechos, los consumidores presentan una solicitud al responsable del tratamiento. Los responsables del tratamiento no pueden exigir a los consumidores crear una cuenta ni verificar su identidad más allá de lo razonablemente necesario para autenticar la solicitud.
Datos Sensibles
Los responsables del tratamiento deben obtener el consentimiento de inclusión voluntaria (opt-in) antes de procesar datos personales sensibles. Los datos sensibles bajo la APDPA incluyen:
- Origen racial o étnico
- Creencias religiosas
- Diagnósticos de salud mental o física
- Orientación sexual o identidad de género
- Ciudadanía o estatus migratorio
- Datos genéticos
- Datos biométricos procesados con el propósito de identificar de manera única a una persona
Responsables y Encargados del Tratamiento
La APDPA distingue entre responsables del tratamiento (entidades que determinan el propósito y los medios del procesamiento) y encargados del tratamiento (entidades que procesan datos en nombre de un responsable). Los encargados deben seguir las instrucciones del responsable y ayudar a responder a las solicitudes de derechos del consumidor. Los contratos entre responsables y encargados deben especificar el propósito, la duración y las categorías de datos del procesamiento, y exigir que los encargados eliminen o devuelvan los datos al finalizar la relación.
Los responsables del tratamiento deben realizar y documentar evaluaciones de protección de datos antes de participar en un procesamiento que presente un riesgo elevado, incluida la publicidad dirigida, la venta de datos, el procesamiento de datos sensibles y el perfilamiento.
Cumplimiento y Sanciones
El Fiscal General de Arkansas tiene autoridad exclusiva para hacer cumplir la APDPA. No existe un derecho de acción privado. El Fiscal General puede iniciar acciones civiles de cumplimiento buscando:
- Sanciones civiles de hasta $10,000 por infracción
- Medidas cautelares
- Restitución para los consumidores
Hasta el 1 de enero de 2027, las empresas que reciban un aviso de infracción del Fiscal General tienen 60 días para corregir (cure) la infracción antes de que el Fiscal General proceda con el cumplimiento formal. Este período de corrección expira el 1 de enero de 2027, después del cual el Fiscal General puede proceder sin ofrecer una oportunidad de corrección.
Hasta mayo de 2026, el Fiscal General aún no ha anunciado ninguna acción formal de cumplimiento de la APDPA, ya que la ley entró en vigor recién en julio de 2025.
Ley de Protección de Información Personal de Arkansas
La Ley de Protección de Información Personal (PIPA) es la piedra angular del marco de notificación de filtraciones y seguridad de datos de Arkansas, y opera de manera independiente de la APDPA. Promulgada originalmente en 2005 mediante la Ley 1526, la ley fue modificada significativamente en 2019 por la Ley 1030 para ampliar la definición de información personal y reforzar los requisitos de notificación.
Qué Califica como Información Personal
Conforme a Ark. Code 4-110-103, información personal significa el nombre de pila o la inicial del nombre y el apellido de una persona, combinados con uno o más de los siguientes elementos de datos, cuando el nombre o el elemento de datos no estén cifrados ni redactados:
- Número de Seguro Social
- Número de licencia de conducir o número de tarjeta de identificación estatal
- Número de cuenta, número de tarjeta de crédito o número de tarjeta de débito, combinado con cualquier código de seguridad, código de acceso o contraseña requeridos que permitan el acceso a una cuenta financiera
- Información médica, incluida cualquier información sobre el historial médico, la condición mental o física, o el tratamiento o diagnóstico médico realizado por un profesional de la salud
- Número de póliza de seguro médico o número de identificación de suscriptor, combinado con cualquier identificador único utilizado por una aseguradora de salud para identificar a la persona
- Datos biométricos, definidos como datos generados por mediciones automáticas de las características biológicas de una persona utilizados para autenticar de manera única su identidad
La enmienda de 2019 mediante la Ley 1030 añadió la información médica, la información de seguro médico y los datos biométricos a esta definición. Antes de esa enmienda, la ley cubría únicamente los números de Seguro Social, los números de licencia de conducir y la información de cuentas financieras.
Requisitos de Seguridad de Datos
Conforme a Ark. Code 4-110-104, cualquier persona o empresa que adquiera, posea o tenga licencia sobre información personal de un residente de Arkansas debe implementar y mantener procedimientos y prácticas de seguridad razonables, apropiados para la naturaleza de la información. Estas medidas deben proteger la información personal contra el acceso, la destrucción, el uso, la modificación o la divulgación no autorizados.
El estatuto no define qué constituyen "procedimientos de seguridad razonables." Esto brinda a las empresas flexibilidad para diseñar programas de seguridad adecuados a su tamaño y a la sensibilidad de los datos que manejan, pero también significa que la idoneidad se juzga caso por caso si ocurre una filtración.
Requisitos de Destrucción de Registros
Ark. Code 4-110-104 también exige que cualquier persona o empresa tome todas las medidas razonables para destruir o disponer la destrucción de los registros de un cliente que contengan información personal que ya no deba conservarse. Los métodos de destrucción aceptables incluyen triturar, borrar o modificar de otra manera la información personal para hacerla ilegible o indescifrable por cualquier medio.
Esto se aplica tanto a los registros en papel como a los electrónicos. El objetivo es evitar que la información personal pueda recuperarse de los registros descartados.
Requisitos de Notificación de Filtraciones de Datos
Las disposiciones de notificación de filtraciones en Ark. Code 4-110-105 son la parte más detallada y significativa de la Ley de Protección de Información Personal.
Quién Debe Notificar
Cualquier persona o empresa que adquiera, posea o tenga licencia sobre datos computarizados que incluyan información personal debe divulgar cualquier violación de la seguridad del sistema a cualquier residente de Arkansas cuya información personal no cifrada haya sido, o se crea razonablemente que fue, adquirida por una persona no autorizada.
Esta obligación se extiende a los terceros que mantienen datos en nombre de otra empresa. Si un proveedor de servicios externo sufre una filtración que involucra datos pertenecientes a los clientes de otra entidad, el proveedor de servicios debe notificar al propietario de los datos, quien luego debe notificar a las personas afectadas.
Definición de una Filtración
Una "violación de la seguridad del sistema" significa la adquisición no autorizada de datos computarizados que compromete la seguridad, confidencialidad o integridad de la información personal mantenida por una persona o empresa. La palabra clave es "adquisición." No necesariamente ha ocurrido una filtración por el simple hecho de que se accedió a un sistema sin autorización. Debe existir evidencia de que la información personal fue efectivamente obtenida o de que razonablemente se cree que fue obtenida.
Plazo de Notificación
La notificación debe realizarse de la manera y en el tiempo más expedito posible y sin demora injustificada, de acuerdo con las necesidades legítimas de las fuerzas del orden o cualquier medida necesaria para determinar el alcance de la filtración y restaurar la integridad razonable del sistema de datos.
Notificación al Fiscal General
Si una filtración afecta la información personal de más de 1,000 personas, la persona o empresa también debe notificar al Fiscal General de Arkansas. Esta notificación debe realizarse al mismo tiempo que el aviso a las personas afectadas, o dentro de los 45 días posteriores a que la persona o empresa determine que existe una probabilidad razonable de daño a los clientes, lo que ocurra primero.
La notificación al Fiscal General debe presentarse a través del Formulario de Reporte de Filtraciones de Datos en el sitio web del Fiscal General de Arkansas.
Métodos de Notificación
La notificación puede proporcionarse mediante uno de los siguientes métodos:
- Aviso por escrito enviado a la dirección postal que figura en los registros de la persona o empresa
- Aviso electrónico si la persona o empresa tiene una dirección de correo electrónico de la persona afectada y el aviso es consistente con las disposiciones de la ley federal Electronic Signatures in Global and National Commerce Act (Ley E-SIGN)
- Aviso sustitutivo si se cumplen ciertas condiciones
Aviso Sustitutivo
El aviso sustitutivo se permite si la persona o empresa demuestra que el costo de proporcionar un aviso directo superaría los $250,000, que la clase afectada de personas supera las 500,000 personas, o que la persona o empresa no cuenta con información de contacto suficiente para proporcionar el aviso.
El aviso sustitutivo debe incluir todo lo siguiente:
- Aviso por correo electrónico a todas las personas afectadas para las cuales la empresa tenga una dirección de correo electrónico
- Publicación visible del aviso en el sitio web de la empresa
- Notificación a través de medios de comunicación estatales
Retraso por las Fuerzas del Orden
La notificación puede retrasarse si una agencia de las fuerzas del orden determina que la notificación impediría una investigación criminal. Una vez que la agencia de las fuerzas del orden determina que la notificación no comprometerá la investigación, la notificación debe realizarse.
Sanciones por Infringir la Ley de Protección de Información Personal
Conforme a Ark. Code 4-110-108, las infracciones a la Ley de Protección de Información Personal son sancionables mediante la acción del Fiscal General conforme a la Ley de Prácticas Comerciales Engañosas de Arkansas (Ark. Code 4-88-101 y siguientes).
Esto significa que el Fiscal General puede buscar toda la gama de recursos disponibles bajo la DTPA, incluidos:
- Sanciones civiles de hasta $10,000 por infracción
- Medidas cautelares que ordenen a la empresa cambiar sus prácticas de seguridad
- Restitución a los consumidores que sufrieron pérdidas determinables
- Honorarios de abogados y costos de investigación
Las infracciones intencionales y deliberadas de la Ley de Protección de Información Personal constituyen un delito menor de Clase A conforme a la ley de Arkansas, que conlleva posibles sanciones penales, incluidas multas y hasta un año de cárcel.
Ley de Protección de Información Personal Estudiantil en Línea

La Ley de Protección de Información Personal Estudiantil en Línea, codificada en Ark. Code 6-18-109 a 6-18-114, protege los datos de los estudiantes de K-12 que utilizan plataformas de tecnología educativa.
A Quién Cubre la Ley
La ley se aplica a los "operadores," definidos como los propietarios de sitios web, servicios en línea, aplicaciones en línea o aplicaciones móviles que tengan conocimiento efectivo de que el sitio web, servicio o aplicación se utiliza para fines escolares de K-12. La ley no se aplica a la División de Educación Primaria y Secundaria de Arkansas, a los distritos escolares ni a las escuelas chárter públicas de inscripción abierta.
Actividades Prohibidas
A los operadores cubiertos por la Ley de Protección de Información Personal Estudiantil en Línea se les prohíbe:
- Publicidad dirigida basada en información cubierta obtenida a través de la plataforma educativa K-12 del operador
- Compilar perfiles sobre los estudiantes utilizando información cubierta, excepto para promover fines escolares de K-12
- Vender información cubierta sobre los estudiantes, a menos que la transacción sea parte de una fusión corporativa, adquisición o bancarrota, y la entidad sucesora permanezca sujeta a las mismas restricciones
- Divulgar información cubierta, excepto en circunstancias limitadas y específicas
Requisitos de Seguridad y Eliminación
Los operadores deben implementar y mantener medidas de seguridad razonables apropiadas para la naturaleza de la información cubierta. Cuando una escuela o distrito escolar solicita la eliminación de la información cubierta de un estudiante, el operador debe eliminar los datos dentro de un plazo razonable.
Proveedores de Servicios de Terceros
Si un operador comparte información cubierta con un proveedor de servicios, el operador debe exigir contractualmente que el proveedor de servicios:
- Use la información únicamente para proporcionar el servicio contratado
- Se abstenga de divulgar la información a terceros adicionales, salvo que esté expresamente permitido
- Implemente y mantenga procedimientos y prácticas de seguridad razonables
Ley de Protección de la Privacidad en Línea de Niños y Adolescentes de Arkansas
En abril de 2025, Arkansas promulgó la Ley de Protección de la Privacidad en Línea de Niños y Adolescentes mediante la HB 1717, convertida en ley como la Ley 952. Esta ley entra en vigor el 1 de julio de 2026.
Arkansas es el primer estado en extender protecciones similares a COPPA específicamente a los adolescentes. Mientras que la ley federal Children's Online Privacy Protection Act (COPPA) solo cubre a los niños menores de 13 años, esta ley de Arkansas crea un marco de dos niveles que cubre tanto a niños como a adolescentes.
Marco de Consentimiento de Dos Niveles
La ley establece diferentes requisitos de consentimiento según la edad:
- Niños menores de 13 años: los operadores deben obtener el consentimiento parental verificable antes de recopilar información personal, de acuerdo con los requisitos federales de COPPA.
- Adolescentes de 13 a 16 años: ya sea el adolescente o su padre o madre puede otorgar el consentimiento para la recopilación, el uso y la divulgación de información personal, después de recibir un aviso claro de las prácticas de datos del operador.
Requisitos para los Operadores
Los operadores cubiertos por la ley deben:
- Proporcionar un aviso claro y visible de sus prácticas de recopilación, uso y divulgación de datos
- Atender las solicitudes de eliminación y corrección de los padres o los adolescentes
- Implementar medidas de seguridad razonables para proteger la información personal recopilada
- Evitar recopilar más información personal de la razonablemente necesaria
Quién Está Cubierto
La ley se aplica a los sitios web, servicios en línea, aplicaciones y aplicaciones móviles con fines de lucro dirigidos a niños o adolescentes, o que tengan conocimiento efectivo de que están recopilando información personal de estos grupos de edad. La definición de "operador" cubre a cualquier persona que, con fines comerciales, opere o proporcione un servicio en línea y recopile o mantenga información personal de los usuarios.
Exenciones
La ley exime a las organizaciones sin fines de lucro, a las plataformas de juegos interactivos que ya cumplen con la COPPA federal, a las entidades gubernamentales de Arkansas y a las entidades educativas públicas de Arkansas.
Cumplimiento
El Fiscal General de Arkansas tiene autoridad exclusiva para hacer cumplir la ley. No existe un derecho de acción privado. Esto significa que los consumidores individuales no pueden demandar directamente a las empresas por infracciones, pero el Fiscal General puede iniciar acciones de cumplimiento en nombre de los residentes de Arkansas.
Cumplimiento del Fiscal General
El Fiscal General Tim Griffin ha llevado a cabo acciones de cumplimiento relacionadas con la privacidad conforme a la Ley de Prácticas Comerciales Engañosas de Arkansas y la Ley de Protección de Información Personal, sin esperar a que la APDPA entrara en vigor.
En marzo de 2023, Griffin demandó a TikTok y a su empresa matriz ByteDance ante el Tribunal de Circuito del Condado de Cleburne, alegando prácticas engañosas relacionadas con la recopilación y el uso de la información personal de los usuarios de Arkansas. La demanda superó las mociones de desestimación anticipada.
En junio de 2024, Griffin demandó a Temu, la plataforma china de comercio electrónico, calificándola como "un negocio de robo de datos que vende productos en línea como un medio para un fin." La demanda alegaba infracciones a la ADTPA y la PIPA basadas en el presunto acceso de Temu a los datos del dispositivo, incluidos la cámara, la ubicación, los contactos y los mensajes de texto. Hasta principios de 2026, la demanda permanecía activa.
Estas acciones de cumplimiento indican que el Fiscal General utilizará toda la gama de estatutos estatales disponibles, incluida ahora la APDPA, para abordar las infracciones de privacidad de datos que afectan a los residentes de Arkansas.
Leyes Federales de Privacidad que Protegen a los Residentes de Arkansas
Los estatutos federales proporcionan importantes protecciones de privacidad para los residentes de Arkansas en sectores específicos.

Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA)
La Regla de Privacidad de HIPAA establece estándares nacionales para la protección de la información de salud individualmente identificable. HIPAA se aplica a las entidades cubiertas, incluidos los planes de salud, los proveedores de atención médica y las cámaras de compensación de atención médica, así como a sus asociados comerciales.
En 2023, el Departamento de Salud y Servicios Humanos de EE. UU. resolvió una acción de cumplimiento de HIPAA con el asociado comercial con sede en Arkansas, MedEvolve, por $350,000, después de que la empresa expusiera información de salud protegida en un servidor sin protección.
Ley Gramm-Leach-Bliley (GLBA)
La Ley Gramm-Leach-Bliley exige a las instituciones financieras explicar sus prácticas de intercambio de información a los clientes y proteger los datos sensibles. Los residentes de Arkansas que hacen negocios con bancos, cooperativas de crédito, compañías de seguros y firmas de valores están protegidos por las disposiciones de privacidad y seguridad de datos de la GLBA.
Ley de Protección de la Privacidad Infantil en Línea (COPPA)
La ley federal COPPA exige a los operadores de sitios web y servicios en línea dirigidos a niños menores de 13 años obtener el consentimiento parental verificable antes de recopilar información personal. A partir del 1 de julio de 2026, la Ley de Protección de la Privacidad en Línea de Niños y Adolescentes de Arkansas extenderá protecciones similares a los adolescentes de 13 a 16 años.
Ley de Informe Justo de Crédito (FCRA)
La FCRA regula la recopilación, difusión y uso de la información crediticia del consumidor. Esta ley otorga a los consumidores de Arkansas el derecho a acceder a sus informes de crédito, disputar información inexacta y limitar quién puede acceder a sus datos crediticios.
Ley TAKE IT DOWN (2025)
El Congreso promulgó la Ley TAKE IT DOWN (Pub. L. 119-12) el 19 de mayo de 2025. La ley prohíbe la publicación no consentida de representaciones visuales íntimas, incluidos los deepfakes generados por IA. Las plataformas cubiertas (incluidos los principales sitios de redes sociales, aplicaciones de citas y servicios de alojamiento de imágenes) debían implementar un proceso de aviso y eliminación a más tardar el 19 de mayo de 2026, con la obligación de eliminación que requiere actuar dentro de las 48 horas posteriores a una solicitud válida. La FTC comenzó a aplicar sanciones contra las plataformas que no cumplían en mayo de 2026.
Cómo Ejercen los Consumidores Sus Derechos
Los residentes de Arkansas ahora tienen dos conjuntos distintos de derechos de privacidad, según quién tenga sus datos.
Bajo la APDPA, los consumidores pueden presentar solicitudes directamente a las empresas cubiertas para acceder, corregir, eliminar u obtener una copia de sus datos personales, y para excluirse de la venta de datos o la publicidad dirigida. Las empresas deben responder dentro de los 45 días. Si una empresa niega una solicitud, debe proporcionar una razón. Los consumidores pueden apelar una negativa, y si la apelación falla, pueden comunicarse con la División de Protección al Consumidor del Fiscal General de Arkansas.
Bajo HIPAA, los pacientes pueden solicitar sus registros médicos, pedir correcciones y recibir un Aviso de Prácticas de Privacidad que explique cómo se utiliza su información de salud.
Bajo la FCRA, los consumidores pueden solicitar informes de crédito anuales gratuitos de cada una de las tres agencias principales y disputar entradas inexactas.
Los consumidores que crean que una empresa ha infringido las leyes de privacidad de datos de Arkansas pueden presentar una queja ante la División de Protección al Consumidor de la oficina del Fiscal General de Arkansas.
More Arkansas Laws
- Arkansas AI Meeting Recording Laws
- Arkansas Alimony Laws
- Arkansas At-Will Employment Laws
- Arkansas Car Accident Laws
- Arkansas Car Seat Laws
- Arkansas Child Custody Laws
- Arkansas Child Support Laws
- Arkansas Common Law Marriage Laws
- Arkansas Deepfake Laws
- Arkansas Divorce Laws
- Arkansas Dog Bite Laws
- Arkansas Emancipation Laws
- Arkansas Expungement Laws
- Arkansas Hit and Run Laws
- Arkansas Landlord-Tenant Laws
- Arkansas Lemon Laws
Este artículo tiene fines exclusivamente informativos y no constituye asesoría legal. Las leyes de privacidad de datos cambian con frecuencia, y las interpretaciones de cumplimiento evolucionan con el tiempo. Consulte a un abogado con licencia en Arkansas para obtener asesoría sobre su situación específica. Última revisión: mayo de 2026.
Preguntas frecuentes
¿Arkansas tiene una ley integral de privacidad de datos del consumidor?
Sí. La Ley de Protección de Datos Personales de Arkansas (APDPA) entró en vigor el 1 de julio de 2025. Otorga a los residentes de Arkansas el derecho a acceder, corregir, eliminar y obtener una copia portátil de sus datos personales, y a excluirse de la publicidad dirigida y la venta de su información personal. La ley se aplica a las empresas que procesan datos personales de 25,000 o más consumidores de Arkansas, o que derivan más del 50% de sus ingresos brutos de la venta de datos mientras procesan datos de al menos 10,000 consumidores.
¿Qué debe hacer una empresa si sufre una filtración de datos que afecta a residentes de Arkansas?
Una empresa debe notificar a los residentes afectados de Arkansas en el tiempo más expedito posible y sin demora injustificada. Si la filtración afecta a más de 1,000 personas, la empresa también debe notificar al Fiscal General de Arkansas dentro de los 45 días posteriores a determinar que existe una probabilidad razonable de daño, o al mismo tiempo que notifica a las personas afectadas, lo que ocurra primero. La notificación al Fiscal General debe presentarse a través del Formulario oficial de Reporte de Filtraciones de Datos en el sitio web del Fiscal General.
¿Qué tipos de información personal están protegidos bajo la ley de Arkansas?
La Ley de Protección de Información Personal cubre el nombre de una persona combinado con su número de Seguro Social, número de licencia de conducir, números de cuentas financieras con códigos de seguridad o contraseñas, información médica, números de póliza de seguro médico o de identificación de suscriptor con identificadores únicos, y datos biométricos. La APDPA define de manera separada los datos sensibles de forma más amplia, incluyendo el origen racial o étnico, las creencias religiosas, los diagnósticos de salud, la orientación sexual, el estatus migratorio y los datos genéticos o biométricos utilizados para la identificación.
¿Qué sanciones pueden enfrentar las empresas por infringir las leyes de privacidad de datos de Arkansas?
Las infracciones a la Ley de Protección de Información Personal se hacen cumplir a través de la Ley de Prácticas Comerciales Engañosas de Arkansas, con sanciones civiles de hasta $10,000 por infracción, medidas cautelares y restitución. Las infracciones intencionales constituyen un delito menor de Clase A. Las infracciones a la APDPA conllevan la misma sanción civil de $10,000 por infracción bajo el cumplimiento del Fiscal General. Las empresas tienen un período de corrección de 60 días bajo la APDPA hasta el 1 de enero de 2027. No existe un derecho de acción privado bajo ninguno de los dos estatutos.
¿Cómo afecta a mi hijo adolescente la nueva Ley de Protección de la Privacidad en Línea de Niños y Adolescentes de Arkansas?
A partir del 1 de julio de 2026, la Ley de Protección de la Privacidad en Línea de Niños y Adolescentes de Arkansas (Ley 952 de 2025) exige a los sitios web y aplicaciones comerciales dirigidos a adolescentes de 13 a 16 años obtener el consentimiento del adolescente o de su padre o madre antes de recopilar información personal. Los operadores deben proporcionar un aviso claro de sus prácticas de datos, atender las solicitudes de eliminación e implementar medidas de seguridad razonables. La ley es aplicada exclusivamente por el Fiscal General de Arkansas.
¿Puedo demandar directamente a una empresa por infringir mis derechos de privacidad de datos en Arkansas?
No. Ni la APDPA ni la Ley de Protección de Información Personal crean un derecho de acción privado. Solo el Fiscal General de Arkansas puede iniciar acciones de cumplimiento conforme a estos estatutos. Si cree que se han infringido sus derechos, presente una queja ante la División de Protección al Consumidor de la oficina del Fiscal General de Arkansas en arkansasag.gov.
¿Qué es la Ley TAKE IT DOWN y cómo protege a los residentes de Arkansas?
La Ley TAKE IT DOWN, promulgada como ley federal el 19 de mayo de 2025, exige a las plataformas en línea cubiertas eliminar las imágenes íntimas no consentidas, incluidos los deepfakes generados por IA, dentro de las 48 horas posteriores a una solicitud válida. Las obligaciones de eliminación de las plataformas entraron en vigor el 19 de mayo de 2026, y la FTC hace cumplir el cumplimiento. La ley se aplica a nivel nacional, incluidos los residentes de Arkansas.
Fuentes y referencias
- Ley de Protección de Información Personal de Arkansas (Ark. Code 4-110-101 y siguientes)(law.justia.com)
- Fiscal General de Arkansas - Reporte de Filtraciones de Datos(arkansasag.gov).gov
- Ark. Code 4-110-103 - Definiciones(law.justia.com)
- Ark. Code 4-110-104 - Protección de la Información Personal(law.justia.com)
- Ark. Code 4-110-105 - Divulgación de Violaciones de Seguridad(law.justia.com)
- Ley 1030 de 2019 - Enmiendas a la PIPA(arkleg.state.ar.us).gov
- Ley 1526 de 2005 - PIPA Original(arkleg.state.ar.us).gov
- Ley de Protección de Información Personal Estudiantil en Línea (Ark. Code 6-18-109)(law.justia.com)
- HB 1717 - Ley de Protección de la Privacidad en Línea de Niños y Adolescentes(arkleg.state.ar.us).gov
- Ley 952 de 2025 - Texto Completo(arkleg.state.ar.us).gov
- Fiscal General de Arkansas - División de Protección al Consumidor(arkansasag.gov).gov
- NCSL - Leyes de Notificación de Violaciones de Seguridad(ncsl.org)
- HHS - Resumen de la Regla de Privacidad de HIPAA(hhs.gov).gov
- HHS - Acuerdo de HIPAA con MedEvolve (Arkansas)(hhs.gov).gov
- NCSL - Legislación de Privacidad del Consumidor 2025(ncsl.org)
- DESE de Arkansas - Recursos de Privacidad de Datos(dese.ade.arkansas.gov).gov
- El Fiscal General Griffin Demanda a Temu por sus Prácticas de Datos (Junio de 2024)(arkansasag.gov).gov
- Fiscal General Griffin - Fallo de la Demanda contra TikTok (2024)(arkansasag.gov).gov
- FTC - Comienza la Aplicación de la Ley TAKE IT DOWN (Mayo de 2026)(ftc.gov).gov