California
Leyes de Notificación de Violación de Datos en California: Reglas de Reporte y Plazos (2026)

Conforme al Cal. Civ. Code 1798.82, California exige que las empresas notifiquen a los residentes afectados dentro de los 30 días calendario posteriores al descubrimiento de una violación de datos. Cuando una violación afecta a 500 o más residentes, las empresas también deben notificar a la Fiscalía General de California dentro de los 15 días calendario posteriores al envío de los avisos a los consumidores.
La ley de notificación de violación de datos de California es la original. Cuando un pirata informático robó información personal de 265,000 empleados estatales en 2002, California respondió aprobando la SB 1386, la primera ley del país que exige a las empresas informar a los consumidores cuando sus datos han sido comprometidos. Con el tiempo, todos los demás estados siguieron el ejemplo de California.
Más de dos décadas después, California sigue marcando la pauta. La SB 446, firmada por el Gobernador el 3 de octubre de 2025 y vigente desde el 1 de enero de 2026, agregó lo único que le faltaba a la ley original: un plazo fijo. Las empresas ahora tienen exactamente 30 días calendario para notificar a los californianos afectados después de descubrir una violación. Para un análisis más profundo de todas las protecciones de privacidad de California, consulte nuestra guía general de Leyes de Privacidad de Datos de California.
Quién Debe Cumplir
La ley de notificación de violaciones de California se aplica a dos grupos bajo estatutos separados pero paralelos.
El Cal. Civ. Code 1798.82 cubre a cualquier persona o empresa que realice negocios en California y sea propietaria o tenga licencia de datos computarizados que contengan información personal. No es necesario tener sede en California. Si usted posee datos personales pertenecientes a residentes de California, la ley se aplica a usted.
El Cal. Civ. Code 1798.29 impone los mismos requisitos a las agencias gubernamentales estatales y locales.
Ambos estatutos fueron enmendados por la SB 446 con requisitos de plazo idénticos.
Qué Activa una Notificación
Se requiere notificación cuando información personal no cifrada ha sido "adquirida, o razonablemente se cree que fue adquirida, por una persona no autorizada". California no exige demostrar ningún daño. Si ocurrió un acceso no autorizado a información personal, la notificación es obligatoria.
Esto distingue a California de aproximadamente otros 30 estados que exigen un análisis de riesgo de daño antes de que se active la notificación.
Qué Se Considera Información Personal
California define la información personal de manera amplia bajo la Sección 1798.82(h). La ley cubre dos categorías.
Categoría 1: Nombre Más un Elemento de Datos
El nombre o la inicial del nombre y el apellido de una persona combinados con cualquiera de los siguientes:
- Número de Seguro Social
- Número de licencia de conducir o de identificación de California
- Número de cuenta financiera, número de tarjeta de crédito o de débito (combinado con cualquier código de seguridad, código de acceso o contraseña requeridos)
- Información médica
- Información de seguro de salud
- Datos biométricos únicos generados a partir de mediciones de características corporales humanas (huellas dactilares, imágenes de retina, escaneos de iris) utilizados para autenticar la identidad
- Información recopilada mediante un sistema automatizado de reconocimiento de placas
- Número de identificación fiscal
- Número de pasaporte
- Número de identificación militar
- Número de identificación único emitido en un documento gubernamental utilizado para verificar la identidad
- Datos genéticos
Categoría 2: Credenciales de Cuentas en Línea
Un nombre de usuario o dirección de correo electrónico combinado con una contraseña o una pregunta de seguridad y su respuesta que permitiría el acceso a una cuenta en línea.
El estatuto excluye específicamente la información disponible públicamente obtenida legalmente de registros gubernamentales.
El Plazo de 30 Días para la Notificación de Violación de Datos
Antes de la SB 446, California exigía la notificación "en el tiempo más expedito posible y sin demora injustificada". Ese estándar vago permitía que algunas empresas esperaran meses, o incluso más de un año, antes de informar a los consumidores afectados.
A partir del 1 de enero de 2026, la ley ahora exige la notificación dentro de 30 días calendario posteriores al descubrimiento de la violación o a ser notificado de esta.

Dos Excepciones a la Regla de 30 Días
El plazo puede extenderse en dos situaciones:
- Retraso por aplicación de la ley. Si una agencia de aplicación de la ley determina que la notificación impediría una investigación criminal, la empresa puede retrasar la notificación hasta que la agencia indique lo contrario.
- Evaluación de alcance e integridad. Una empresa puede tomar tiempo adicional "según sea necesario para determinar el alcance de la violación y restaurar la integridad razonable del sistema de datos".
Estas excepciones existían bajo la ley anterior y se mantienen en el nuevo plazo. Sin embargo, las empresas deben esperar que la Fiscalía General examine con mayor rigor las alegaciones de plazos de investigación extendidos, ahora que existe un plazo fijo.
Notificación a la Fiscalía General
Cuando una violación afecta a más de 500 residentes de California, la empresa debe enviar electrónicamente una copia de muestra de la notificación de la violación a la Fiscalía General de California. Esta muestra debe excluir información de identificación personal.
La SB 446 agregó un plazo específico: 15 días calendario después de notificar a los consumidores afectados. Anteriormente, no existía un plazo específico para la notificación a la Fiscalía General.
La Fiscalía General mantiene una base de datos consultable de notificaciones de violaciones de acceso público. Este reporte público genera responsabilidad adicional y consecuencias reputacionales para las organizaciones que sufren violaciones.
Contenido Requerido de los Avisos de Violación
California establece el formato y contenido de las cartas de notificación de violación con mayor especificidad que la mayoría de los estados. Los avisos deben redactarse en lenguaje claro, con un tamaño de letra de al menos 10 puntos, y titularse "Aviso de Violación de Datos". El aviso debe presentar la información bajo los siguientes encabezados obligatorios:
- Qué Sucedió (descripción del incidente de violación y fechas)
- Qué Información Estuvo Involucrada (tipos de información personal comprometida)
- Qué Estamos Haciendo (medidas que la organización está tomando en respuesta)
- Qué Puede Hacer Usted (acciones que el consumidor puede tomar para protegerse)
- Para Más Información (datos de contacto de la entidad notificante)
Los requisitos de contenido adicionales incluyen:
- Números de teléfono gratuitos y direcciones de las principales agencias de reporte crediticio (cuando se involucran números de Seguro Social o de licencia de conducir)
- Si la entidad fue el origen de la violación, una oferta de servicios de prevención y mitigación de robo de identidad sin costo durante al menos 12 meses
- El nombre y la información de contacto de la entidad que proporciona el aviso
Métodos de Notificación
Las organizaciones pueden notificar a las personas afectadas mediante:
- Aviso escrito enviado a la última dirección postal conocida
- Aviso electrónico conforme a la ley federal E-SIGN Act
Aviso Sustitutivo
Si el costo de la notificación directa excede los $250,000, el grupo afectado supera las 500,000 personas, o la organización no cuenta con suficiente información de contacto, se permite el aviso sustitutivo. El aviso sustitutivo requiere los tres elementos siguientes:
- Aviso por correo electrónico a las personas afectadas de quienes la organización tiene una dirección
- Publicación visible en el sitio web de la organización
- Notificación a los principales medios de comunicación estatales
Puerto Seguro de Cifrado
California ofrece un puerto seguro para los datos cifrados. No se requiere notificación si la información personal vulnerada estaba cifrada mediante una metodología de cifrado "generalmente aceptada", a menos que la clave de cifrado o la credencial de seguridad también haya sido adquirida y pudiera hacer que los datos sean legibles o utilizables.
Este puerto seguro ofrece a las organizaciones un incentivo concreto para cifrar la información personal tanto en reposo como en tránsito. Si el cifrado se implementa correctamente y las claves se gestionan por separado, una violación de los datos cifrados por sí sola no activa la notificación.
Aplicación y Sanciones
California no incluye una disposición de sanción específica en el propio estatuto de notificación de violaciones. En cambio, la aplicación proviene de múltiples frentes.
Aplicación por la Fiscalía General
La Fiscalía General de California puede presentar acciones civiles por violaciones a la ley de notificación de violaciones bajo los estatutos estatales de prácticas comerciales desleales. La Fiscalía General ha sido activa en esta área. Las acciones de aplicación destacadas incluyen un acuerdo de $6.75 millones con Blackbaud en 2024 por una violación de datos que expuso información perteneciente a millones de consumidores, incluidos estudiantes de 49 distritos escolares de California.

Derecho de Acción Privada de la CCPA (Cal. Civ. Code 1798.150)
El mecanismo de aplicación más significativo proviene de la Ley de Privacidad del Consumidor de California (CCPA). La Sección 1798.150 otorga a los consumidores individuales el derecho de demandar cuando su información personal no cifrada o no redactada queda expuesta en una violación resultante de que una empresa "no implementó ni mantuvo procedimientos y prácticas de seguridad razonables".
Los consumidores pueden recuperar:
- Daños estatutarios de $100 a $750 por consumidor por incidente
- Daños reales si superan el monto estatutario
- Recursos de mandato judicial o declaratorio
- Cualquier otro recurso que el tribunal considere apropiado
Antes de presentar una demanda por daños estatutarios, los consumidores deben proporcionar a la empresa un aviso escrito de 30 días. Si la empresa subsana la violación dentro de ese plazo y proporciona confirmación por escrito, los daños estatutarios quedan prohibidos. Sin embargo, las reclamaciones por daños reales no requieren aviso previo.
Estos daños estatutarios se acumulan rápidamente en litigios de acción colectiva. Una violación que afecte a 100,000 consumidores podría exponer a una empresa a entre $7.5 millones y $75 millones solo en daños estatutarios. Desde que la CCPA entró en vigor en 2020, las demandas colectivas por violación de datos en California han aumentado sustancialmente. Según análisis de la industria, el valor mediano de los acuerdos en casos de violación bajo la CCPA ha sido de aproximadamente $2.6 millones.
Recursos Generales de Notificación de Violación
Independientemente de la CCPA, los consumidores perjudicados por la falta de una notificación oportuna de la violación pueden buscar daños reales mediante litigio civil conforme al propio estatuto de notificación de violaciones.
Cómo Se Compara California con Otros Estados
La ley de notificación de violaciones de California se destaca de varias maneras:
| Característica | California | Muchos Otros Estados |
|---|---|---|
| Promulgada por primera vez | 2002 (primera en el país) | 2003 a 2018 |
| Plazo de notificación | 30 días (a partir del 1 de enero de 2026) | Varía de 30 a 90 días; algunos no tienen plazo |
| Umbral de daño | No se requiere | Aproximadamente 30 estados exigen demostrar riesgo de daño |
| Derecho de acción privada | Sí, mediante CCPA 1798.150 | La mayoría de los estados carecen de derecho de acción privada por violaciones |
| Daños estatutarios | $100 a $750 por consumidor | Pocos estados prevén daños estatutarios |
| Formato de contenido del aviso | Encabezados y formato prescritos | Muchos estados tienen reglas de contenido mínimas |
| Servicios de robo de identidad | Mínimo 12 meses, gratuitos | No se exige universalmente |
| Plazo de reporte a la Fiscalía General | 15 días después del aviso al consumidor | Varía ampliamente |
La combinación de la ausencia de un umbral de daño, un derecho de acción privada con daños estatutarios y un contenido de aviso prescrito hace que la ley de California sea una de las más protectoras del país. Para las empresas, esto también significa que las violaciones en California conllevan una mayor exposición legal y financiera que las violaciones bajo la mayoría de las demás leyes estatales.
Pasos Prácticos para el Cumplimiento
Las organizaciones que manejan información personal de residentes de California deben tomar varias medidas para prepararse para el plazo de 30 días bajo la SB 446:
Elabore un plan de respuesta a incidentes. Treinta días transcurren rápido si se considera la investigación forense, la revisión legal y la redacción de avisos. Las organizaciones deben tener un plan de respuesta a violaciones listo antes de que ocurra una.

Cifre la información personal. El puerto seguro de cifrado ofrece una defensa significativa. Implemente cifrado generalmente aceptado para los datos personales en reposo y en tránsito, y almacene las claves de cifrado por separado.
Mantenga medidas de seguridad razonables. El derecho de acción privada de la CCPA se aplica solo cuando una violación resulta de no mantener medidas de seguridad razonables. Documentar sus prácticas de seguridad puede marcar la diferencia entre enfrentar o evitar una demanda colectiva.
Prepare plantillas de avisos. El formato de aviso prescrito por California permite redactar plantillas de avisos con anticipación. Tener plantillas listas ahorra tiempo valioso durante el plazo de 30 días.
Conozca sus obligaciones de reporte a la Fiscalía General. Si su organización atiende a más de 500 residentes de California, incorpore el plazo de 15 días de reporte a la Fiscalía General en su cronograma de respuesta desde el primer día.
Para conocer las protecciones relacionadas que cubren los datos biométricos en California, consulte nuestra guía sobre las leyes de privacidad biométrica de California.
Más Leyes de California
- Leyes de Grabación de Reuniones con IA de California
- Leyes de Pensión Alimenticia de California
- Leyes de Empleo a Voluntad de California
- Leyes de Accidentes Automovilísticos de California
- Leyes de Asientos de Seguridad para Niños de California
- Leyes de Custodia de Menores de California
- Leyes de Manutención Infantil de California
- Leyes de Matrimonio de Hecho de California
- Leyes de Deepfake de California
- Leyes de Divorcio de California
- Leyes de Mordedura de Perro de California
- Leyes de Emancipación de California
- Leyes de Eliminación de Antecedentes de California
- Leyes de Choque y Fuga de California
- Leyes de Propietario e Inquilino de California
- Leyes del Limón de California
Fuentes y Referencias
Este artículo hace referencia a estatutos de California y publicaciones oficiales del gobierno. Para el texto completo de la ley de notificación de violaciones, visite Cal. Civ. Code 1798.82 y Cal. Civ. Code 1798.29 en el sitio web de Información Legislativa de California. Para el texto y el historial del proyecto de ley SB 446, consulte SB-446 Data breaches: customer notification. Para los requisitos de reporte de violaciones de la Fiscalía General, visite la página OAG Data Security Breach Reporting. Para el derecho de acción privada de la CCPA, consulte Cal. Civ. Code 1798.150.
Este artículo proporciona información legal general sobre los requisitos de notificación de violaciones de datos en California. No constituye asesoría legal. Consulte a un abogado calificado para obtener orientación sobre su situación específica. Las leyes y regulaciones cambian con frecuencia. Verifique los requisitos vigentes a través de fuentes oficiales del gobierno de California.
¿Afectado por una filtración de datos o una violación de privacidad biométrica?
Si sus datos personales quedaron expuestos en una filtración, o si su huella dactilar o escaneo facial se recopiló sin su consentimiento, podría ser elegible para unirse a un reclamo por compensación. Averígüelo gratis y sin compromiso.
Fuentes y referencias
- Cal. Civ. Code 1798.82 - Notificación de violación para empresas(leginfo.legislature.ca.gov).gov
- Cal. Civ. Code 1798.29 - Notificación de violación para agencias gubernamentales(leginfo.legislature.ca.gov).gov
- SB 446 - Violaciones de datos: notificación al cliente (2025)(leginfo.legislature.ca.gov).gov
- SB 1386 - Ley original de notificación de violaciones (2002)(leginfo.legislature.ca.gov).gov
- Cal. Civ. Code 1798.150 - Derecho de acción privada de la CCPA(leginfo.legislature.ca.gov).gov
- Reporte de Violaciones de Seguridad de Datos de la OAG(oag.ca.gov).gov
- Base de Datos Consultable de Violaciones de la OAG(oag.ca.gov).gov
- Acuerdo de $6.75M con Blackbaud(oag.ca.gov).gov