Arkansas
Leyes de Notificación de Violación de Datos de Arkansas: Reglas y Plazos de Reporte (2026)

Arkansas exige que las empresas y las agencias gubernamentales notifiquen a los residentes cuando una violación de datos expone su información personal. La Ley de Protección de Información Personal del estado (Ark. Code Ann. § 4-110-101 y siguientes) establece las reglas sobre quién debe reportar, qué activa una notificación y con qué rapidez se debe informar a las personas afectadas.
La ley se aplica a cualquier persona, empresa o agencia estatal que adquiera, posea o tenga licencia sobre datos computarizados que contengan información personal de residentes de Arkansas. Si ocurre una violación y existe una probabilidad razonable de daño, el reloj comienza a correr.
Qué Cubre la Ley de Protección de Información Personal de Arkansas
Arkansas promulgó su ley de notificación de violación de datos en 2005 como parte de la Ley de Protección de Información Personal (PIPA, por sus siglas en inglés). La ley ha sido enmendada varias veces desde entonces, más significativamente mediante la Ley 1030 de 2019, que amplió la definición de información personal para incluir datos biométricos y otras categorías.
PIPA cumple dos funciones principales. Primero, exige que cualquier entidad que maneje la información personal de residentes de Arkansas implemente procedimientos y prácticas de seguridad razonables (Ark. Code Ann. § 4-110-104). Segundo, exige la notificación a las personas afectadas y, en ciertos casos, al Fiscal General, cuando una violación compromete esos datos.
La ley cubre únicamente datos computarizados. Los registros en papel no están incluidos en el alcance del estatuto.
Cómo Define Arkansas la Información Personal
Según Ark. Code Ann. § 4-110-103, información personal significa el primer nombre (o la inicial del primer nombre) y el apellido de una persona combinados con uno o más de los siguientes elementos de datos, cuando ni el nombre ni el elemento de datos estén encriptados o redactados:
- Número de Seguro Social
- Número de licencia de conducir o de tarjeta de identificación de Arkansas
- Número de cuenta financiera, número de tarjeta de crédito o número de tarjeta de débito en combinación con cualquier código de seguridad, código de acceso o contraseña requerido que permitiera el acceso a la cuenta
- Información médica, es decir, información individualmente identificable sobre el historial médico de una persona, su condición mental o física, o su tratamiento o diagnóstico médico por parte de un profesional de la salud
- Datos biométricos, es decir, datos generados por mediciones automáticas de características biológicas, como huellas dactilares, huellas faciales, escaneos de retina o iris, geometría de la mano, análisis de huella de voz, ADN, o cualquier otra característica biológica única utilizada para autenticar la identidad de una persona
La Ley 1030 de 2019 agregó los datos biométricos a esta lista. La misma enmienda también agregó los números de póliza de seguro médico o los números de identificación de suscriptor en combinación con cualquier identificador único utilizado por una aseguradora de salud.
Las credenciales de cuentas en línea también califican como información personal cuando una dirección de correo electrónico se combina con una contraseña o una pregunta y respuesta de seguridad que permitiría el acceso a una cuenta en línea.
Qué Activa una Notificación de Violación de Datos
Una "violación de la seguridad del sistema" bajo la ley de Arkansas significa la adquisición no autorizada de datos computarizados que compromete la seguridad, confidencialidad o integridad de la información personal mantenida por una persona o empresa (Ark. Code Ann. § 4-110-103).
No todo incidente de seguridad activa una notificación. La ley incluye dos excepciones clave:
Excepción de buena fe. Si un empleado o agente de la empresa adquiere información personal de buena fe para fines comerciales legítimos, y los datos no se usan indebidamente ni están sujetos a divulgación no autorizada adicional, no se requiere notificación.
Umbral de daño. Una empresa no está obligada a notificar a las personas afectadas si, tras una investigación razonable, determina que no existe una probabilidad razonable de daño a los consumidores. Esta investigación debe documentarse, y la entidad debe conservar un registro escrito de su determinación durante cinco años.
Plazo y Requisitos de Notificación
Cuándo Notificar
Arkansas no establece un número específico de días para la notificación. En cambio, el estatuto exige la divulgación "en el tiempo y la manera más expeditos posibles y sin demora injustificada" (Ark. Code Ann. § 4-110-105). El plazo tiene en cuenta el tiempo necesario para determinar el alcance de la violación y restaurar la integridad razonable del sistema de datos.
Las autoridades policiales pueden solicitar un retraso en la notificación si la divulgación inmediata pudiera obstaculizar una investigación criminal. La notificación debe enviarse tan pronto como las autoridades determinen que la divulgación ya no comprometerá la investigación.

Cómo Notificar
El estatuto permite dos métodos principales de notificación directa:
- Aviso escrito enviado a la última dirección postal conocida de la persona
- Aviso electrónico conforme a los requisitos de la ley federal Electronic Signatures in Global and National Commerce Act (Ley E-SIGN)
Notificación Sustitutiva
Cuando la notificación directa no es factible, la notificación sustitutiva está disponible si se cumple alguna de las siguientes condiciones:
- El costo de proporcionar la notificación superaría los $250,000
- El número de personas afectadas supera las 500,000
- La empresa no cuenta con información de contacto suficiente para las personas afectadas
La notificación sustitutiva requiere los tres pasos siguientes:
- Notificación por correo electrónico a las direcciones disponibles
- Publicación visible en el sitio web de la empresa
- Notificación a los medios de comunicación de todo el estado
Notificación al Fiscal General
Cuando una violación afecta a más de 1,000 residentes de Arkansas, la empresa debe notificar al Fiscal General de Arkansas. Esta notificación debe ocurrir al mismo tiempo que las notificaciones individuales o dentro de los 45 días posteriores a que la empresa determine que existe una probabilidad razonable de daño a los clientes, lo que ocurra primero.
El Fiscal General también puede solicitar una copia de la determinación escrita sobre la violación y toda la documentación de respaldo. Si el Fiscal General hace esta solicitud, la empresa debe proporcionar los materiales dentro de los 30 días.

Puerto Seguro de Encriptación
Arkansas ofrece un puerto seguro claro para los datos encriptados. Si la información personal involucrada en la violación estaba encriptada o redactada en el momento del incidente, el estatuto no exige notificación. Esto se aplica independientemente del número de registros afectados o del tipo de datos involucrado.
La ley no especifica normas o algoritmos de encriptación particulares. Sin embargo, la encriptación debe hacer que los datos sean ilegibles o inutilizables. Si una clave de encriptación también se ve comprometida en la violación, es probable que el puerto seguro no se aplique, ya que los datos dejarían de estar efectivamente protegidos.
Requisitos de Seguridad Razonable
Más allá de la notificación de violaciones, Ark. Code Ann. § 4-110-104 exige que todas las empresas y personas que adquieran, posean o tengan licencia sobre información personal de residentes de Arkansas:
- Implementen y mantengan procedimientos y prácticas de seguridad razonables apropiados para la naturaleza de la información
- Protejan la información personal contra el acceso, destrucción, uso, modificación o divulgación no autorizados
- Destruyan adecuadamente los registros que contengan información personal que ya no sea necesaria, mediante trituración, borrado u otro medio que haga que los datos sean ilegibles
El estatuto no define qué constituye medidas de seguridad "razonables", dejando esto para ser evaluado según las circunstancias.
Sanciones y Cumplimiento
Cumplimiento Civil
El Fiscal General de Arkansas puede hacer cumplir las infracciones de la Ley de Protección de Información Personal conforme a la Ley de Prácticas Comerciales Engañosas de Arkansas (Ark. Code Ann. § 4-88-101 y siguientes), según lo especificado en Ark. Code Ann. § 4-110-108. Los recursos disponibles incluyen:
- Sanciones civiles de hasta $10,000 por infracción
- Medidas cautelares para detener infracciones en curso
- Restitución para los consumidores que sufrieron daños financieros
- Recuperación de honorarios de abogados y costos de investigación
Sanciones Penales
Las infracciones intencionales y con conocimiento de causa de la Ley de Protección de Información Personal constituyen un delito menor de Clase A bajo la ley de Arkansas. Un delito menor de Clase A conlleva hasta un año de cárcel y multas de hasta $2,500.
Entidades Aseguradoras
Las empresas que operan en la industria de seguros enfrentan consecuencias adicionales. Las infracciones pueden resultar en sanciones de hasta $5,000 por infracción o en la suspensión o revocación de la licencia de seguros de la entidad.
Sin Derecho de Acción Privada Explícito
El estatuto no crea un derecho de acción privada explícito para las personas afectadas por una violación de datos. Los consumidores no pueden demandar directamente a las empresas bajo PIPA por no notificarles. Sin embargo, las personas afectadas pueden tener reclamos bajo otras teorías legales, como negligencia, si pueden demostrar un daño real derivado de la violación.
Acciones Recientes de Cumplimiento del Fiscal General
La oficina del Fiscal General de Arkansas se ha vuelto cada vez más activa en el cumplimiento de las normas sobre violaciones de datos en los últimos años.
En 2024, el Fiscal General Tim Griffin inició una investigación contra Change Healthcare (una unidad de UnitedHealth Group) después de que un ciberataque masivo comprometiera información médica y personal. El Fiscal General citó específicamente la Ley de Protección de Información Personal y la Ley de Prácticas Comerciales Engañosas en la investigación, señalando que Change Healthcare no había proporcionado un aviso individual oportuno a los consumidores afectados.
Arkansas también participó en un acuerdo multiestatal con Marriott International en octubre de 2024 por violaciones de datos que afectaron a millones de huéspedes. Arkansas recibió $804,965 como parte de ese acuerdo.
Interacción con las Leyes Federales
La ley de notificación de violaciones de Arkansas incluye exenciones para las entidades ya sujetas a requisitos federales o estatales más protectores:
- Las entidades cubiertas por HIPAA que cumplen con los requisitos de notificación de violaciones de la Health Insurance Portability and Accountability Act generalmente se consideran en cumplimiento con la ley de Arkansas, siempre que las protecciones federales sean iguales o mayores que los requisitos estatales.
- Las instituciones financieras reguladas bajo la Gramm-Leach-Bliley Act (GLBA) pueden satisfacer sus obligaciones conforme a la ley federal, aunque deben confirmar el cumplimiento de cualquier requisito adicional específico del estado.
- Las entidades con sus propios procedimientos de notificación que mantienen una política de seguridad de la información consistente con los requisitos de plazo del estatuto se consideran en cumplimiento si notifican a las personas afectadas conforme a sus políticas internas.
Cómo se Compara Arkansas con los Estados Vecinos
El estándar de "tiempo más expedito" de Arkansas contrasta con los estados que establecen plazos fijos. Missouri, por ejemplo, no exige la notificación al Fiscal General para violaciones grandes de la manera en que lo hace Arkansas. Tennessee y Mississippi tienen estándares similares de "tiempo más expedito", pero difieren en sus definiciones de información personal.
La inclusión por parte de Arkansas de datos biométricos, información médica e identificadores de seguro médico la coloca entre las definiciones estatales más completas, aunque todavía queda por debajo de estados como Illinois, que cuenta con una ley independiente de privacidad biométrica (BIPA) con derecho de acción privada.
Para una visión más amplia de cómo Arkansas protege los datos de los consumidores, consulte la guía principal sobre las Leyes de Privacidad de Datos de Arkansas.
Más Leyes de Arkansas
- Arkansas AI Meeting Recording Laws
- Arkansas Alimony Laws
- Arkansas At-Will Employment Laws
- Arkansas Car Accident Laws
- Arkansas Car Seat Laws
- Arkansas Child Custody Laws
- Arkansas Child Support Laws
- Arkansas Common Law Marriage Laws
- Arkansas Deepfake Laws
- Arkansas Divorce Laws
- Arkansas Dog Bite Laws
- Arkansas Emancipation Laws
- Arkansas Expungement Laws
- Arkansas Hit and Run Laws
- Arkansas Landlord-Tenant Laws
- Arkansas Lemon Laws
Este artículo proporciona información legal general sobre los requisitos de notificación de violación de datos de Arkansas bajo la Ley de Protección de Información Personal. No constituye asesoría legal. Si su empresa ha sufrido una violación de datos o cree que su información personal ha sido comprometida, consulte a un abogado para obtener asesoría específica a su situación.
Preguntas frecuentes
¿Qué tan rápido debe una empresa de Arkansas reportar una violación de datos?
Arkansas no establece un número específico de días. La ley exige la notificación en el tiempo y la manera más expeditos posibles y sin demora injustificada (Ark. Code Ann. § 4-110-105). El plazo permite tiempo para investigar el alcance de la violación y restaurar la integridad del sistema.
¿Exige Arkansas la notificación al Fiscal General?
Sí, cuando una violación afecta a más de 1,000 residentes de Arkansas. La notificación debe enviarse al Fiscal General al mismo tiempo que los avisos individuales, o dentro de los 45 días posteriores a determinar una probabilidad razonable de daño, lo que ocurra primero.
¿Se requiere notificación si los datos violados estaban encriptados?
No. Arkansas ofrece un puerto seguro de encriptación. Si la información personal estaba encriptada o redactada en el momento de la violación, no se requiere notificación, siempre que la clave de encriptación no también se haya visto comprometida.
¿Pueden las personas demandar a una empresa por una violación de datos bajo la ley de Arkansas?
La Ley de Protección de Información Personal no crea un derecho de acción privada explícito. Las personas no pueden demandar directamente bajo este estatuto. Sin embargo, las personas afectadas pueden presentar reclamos bajo otras teorías legales, como negligencia, si pueden demostrar un daño real.
¿Qué califica como información personal bajo la ley de notificación de violaciones de Arkansas?
La información personal incluye el nombre de una persona combinado con su número de Seguro Social, número de licencia de conducir, datos de cuenta financiera con códigos de acceso, información médica, datos biométricos (agregados por la Ley 1030 de 2019), identificadores de seguro médico o credenciales de inicio de sesión de cuentas en línea.
¿Afectado por una filtración de datos o una violación de privacidad biométrica?
Si sus datos personales quedaron expuestos en una filtración, o si su huella dactilar o escaneo facial se recopiló sin su consentimiento, podría ser elegible para unirse a un reclamo por compensación. Averígüelo gratis y sin compromiso.
Fuentes y referencias
- Ark. Code Ann. § 4-110-101 y siguientes (Ley de Protección de Información Personal)(arkleg.state.ar.us).gov
- Ley 1030 de 2019 (HB1943) - Ampliación de la Definición de Información Personal(arkleg.state.ar.us).gov
- Fiscal General de Arkansas - Reporte de Violación de Datos(arkansasag.gov).gov
- Investigación del Fiscal General sobre el Ciberataque a Change Healthcare(arkansasag.gov).gov
- Acuerdo del Fiscal General con Marriott International por Violación de Datos(arkansasag.gov).gov
- Información del Proyecto de Ley HB1943 - Legislatura de Arkansas(arkleg.state.ar.us).gov