Colorado
Leyes de Notificacion de Violacion de Datos en Colorado: Reglas y Plazos de Notificacion (2026)

Bajo C.R.S. 6-1-716, Colorado exige que las empresas notifiquen a los residentes afectados dentro de 30 dias despues de determinar que ha ocurrido una violacion de datos. Las organizaciones tambien deben reportar a la Fiscalia General de Colorado dentro de ese mismo plazo cuando 500 o mas residentes de Colorado estan afectados.
Colorado tiene una de las leyes de notificacion de violacion de datos mas exigentes de Estados Unidos. El plazo de notificacion de 30 dias del estado le da a las organizaciones menos tiempo para responder que casi cualquier otra jurisdiccion, y su definicion de informacion personal protegida es una de las mas amplias a nivel nacional.
La ley actual tomo forma a traves del Proyecto de Ley de la Camara 18-1128, firmado como ley en 2018 y vigente desde el 1 de septiembre de 2018. Esa legislacion reformo las reglas anteriores de notificacion de violaciones de Colorado al acortar el plazo de notificacion, ampliar lo que se considera informacion personal y agregar un requisito de reporte a la Fiscalia General.
Para una vision mas amplia del marco de privacidad de Colorado, incluyendo la Ley de Privacidad de Colorado, consulte la guia principal sobre las Leyes de Privacidad de Datos de Colorado.
Quien Debe Cumplir
Las obligaciones de notificacion de violacion de Colorado aplican a dos categorias de entidades.
Las entidades privadas caen bajo C.R.S. 6-1-716. Esto cubre a cualquier persona o entidad comercial que mantenga, sea propietaria o tenga licencia sobre datos computarizados que contengan informacion personal de residentes de Colorado en el curso de sus negocios.
Las entidades gubernamentales caen bajo C.R.S. 24-73-103. Esto cubre agencias estatales, condados, municipios, distritos escolares y otros organismos gubernamentales que mantienen informacion personal.
Ambos estatutos imponen el mismo plazo de notificacion de 30 dias y las mismas definiciones de informacion personal. La distincion clave es el mecanismo de cumplimiento: las infracciones de entidades privadas se tratan como practicas comerciales enganosas, mientras que las entidades gubernamentales enfrentan una rendicion de cuentas separada bajo el Titulo 24.
Los proveedores de servicios externos tambien estan cubiertos. Si una entidad divulga informacion personal a un tercero no afiliado, debe proporcionar sus propias protecciones de seguridad o exigir contractualmente que el proveedor de servicios implemente y mantenga procedimientos de seguridad razonables.
Que Califica Como Informacion Personal
La definicion de informacion personal de Colorado es una de las mas amplias del pais. La ley protege el nombre o la inicial del nombre y el apellido de un residente de Colorado combinados con cualquiera de los siguientes elementos de datos no cifrados:
- Numero de Seguro Social
- Numero de licencia de conducir o numero de tarjeta de identificacion estatal
- Numero de identificacion estudiantil
- Numero de identificacion militar
- Numero de pasaporte
- Numero de identificacion de empleador, contribuyente o dispositivo de transaccion financiera
- Informacion medica
- Numero de identificacion de seguro medico
- Datos biometricos usados con fines de autenticacion

La ley tambien protege dos categorias independientes que no requieren coincidencia con un nombre:
- Un nombre de usuario o direccion de correo electronico combinado con una contrasena o preguntas y respuestas de seguridad que permitirian el acceso a una cuenta en linea
- Un numero de cuenta o numero de tarjeta de credito o debito combinado con cualquier codigo de seguridad, codigo de acceso o contrasena requerido
La inclusion de numeros de pasaporte, identificaciones estudiantiles, identificaciones militares y numeros de identificacion de empleador distingue a Colorado de la mayoria de los otros estados, que generalmente limitan sus definiciones a numeros de Seguro Social, licencias de conducir y datos de cuentas financieras.
La informacion personal no incluye datos que esten legalmente disponibles a partir de registros gubernamentales o medios ampliamente distribuidos.
Que Activa el Requisito de Notificacion
Una violacion de seguridad bajo la ley de Colorado es la adquisicion no autorizada de datos computarizados no cifrados que compromete la seguridad, confidencialidad o integridad de la informacion personal mantenida por una entidad cubierta.
Cuando una entidad se entera de que puede haber ocurrido una violacion, debe realizar una investigacion pronta y de buena fe para determinar si la informacion personal ha sido o sera objeto de uso indebido. La investigacion debe evaluar la naturaleza y el alcance del incidente.
La notificacion solo se requiere cuando la investigacion determina que el uso indebido de la informacion personal ha ocurrido o es razonablemente probable que ocurra. Si la entidad determina que no hay una probabilidad razonable de uso indebido, no se requiere notificacion, pero la entidad debe documentar su analisis.
El Plazo de Notificacion de 30 Dias
Colorado exige la notificacion en el tiempo mas expedito posible y sin demora injustificada, pero a mas tardar 30 dias despues de que la entidad determine que ha ocurrido una violacion.
Este plazo de 30 dias comienza cuando la entidad determina que ocurrio una violacion, no cuando la violacion en si ocurrio o cuando la entidad se entero por primera vez de actividad sospechosa. Sin embargo, la investigacion en si debe ser pronta. Retrasar una investigacion para evitar activar el plazo probablemente violaria el requisito de buena fe del estatuto.
El plazo de 30 dias es notablemente mas corto que el de la mayoria de los estados. Muchos estados permiten 45 o 60 dias, y algunos no tienen un plazo especifico mas alla de "sin demora injustificada".
Las autoridades policiales pueden solicitar un retraso en la notificacion si esta pudiera obstaculizar una investigacion criminal. La entidad debe proporcionar la notificacion tan pronto como la agencia de aplicacion de la ley determine que la notificacion ya no comprometera la investigacion.
Que Debe Incluir el Aviso
Colorado especifica el contenido que las cartas de notificacion de violacion deben contener. Los avisos enviados a los residentes afectados deben incluir:
- La fecha o el rango de fechas estimado de la violacion de seguridad
- Una descripcion de la informacion personal que fue adquirida o que razonablemente se cree que fue adquirida
- Informacion de contacto de la entidad que proporciona el aviso
- Informacion de contacto de la Comision Federal de Comercio y de las agencias de informes crediticios
- Numeros gratuitos, direcciones y sitios web de las agencias de informes al consumidor
- Una declaracion de que el residente puede obtener informacion de la FTC y de las agencias de informes crediticios sobre alertas de fraude y congelamientos de seguridad
Si la violacion involucro credenciales de inicio de sesion (nombre de usuario o correo electronico con contrasena), el aviso debe indicarle al residente que cambie de inmediato su contrasena y sus preguntas de seguridad para la cuenta afectada y para cualquier otra cuenta que use las mismas credenciales.
Reporte a la Fiscalia General
Cuando se cree razonablemente que una violacion ha afectado a 500 o mas residentes de Colorado, la entidad debe notificar a la oficina de la Fiscalia General de Colorado dentro del mismo plazo de 30 dias.
La notificacion a la Fiscalia General se presenta a traves de un Formulario de Reporte de Violacion de Datos en linea que mantiene la Seccion de Proteccion al Consumidor. Si el formulario en linea no esta disponible, las entidades pueden enviar un correo electronico a databreach@coag.gov.
El formulario de reporte requiere:
- Nombre, tipo, direccion y datos de contacto de la entidad
- Tipos de informacion personal comprometida
- Numero de residentes de Colorado afectados y total de personas afectadas en todos los estados
- Fechas en que comenzo, termino, fue descubierta y en que se determino la violacion
- Fechas planificadas de notificacion a los residentes afectados
- Si los datos estaban cifrados
- Tipo de violacion (hackeo, phishing, malware, equipo perdido, uso indebido interno, etc.)
- Descripcion del incidente
- Metodo de notificacion a los residentes
Los formularios presentados y los ejemplos de avisos al consumidor pueden estar sujetos a divulgacion bajo la Ley de Registros Abiertos de Colorado, lo que significa que miembros del publico podrian solicitar copias.

Notificacion a Agencias de Informes al Consumidor
Si se cree razonablemente que la violacion ha afectado a 1,000 o mas residentes de Colorado, la entidad tambien debe notificar a las agencias nacionales de informes al consumidor (Equifax, Experian y TransUnion).
Este aviso debe incluir la fecha anticipada de notificacion a los residentes afectados y el numero aproximado de residentes que seran notificados. El proposito es preparar a las agencias de credito para un aumento en las solicitudes de alertas de fraude y congelamientos de credito.
Notificacion Sustituta
Colorado permite la notificacion sustituta cuando la notificacion directa no es viable. Una entidad puede usar la notificacion sustituta si demuestra que:
- El costo de proporcionar el aviso superaria los $250,000
- La clase afectada supera los 250,000 residentes de Colorado
- La entidad no cuenta con informacion de contacto suficiente
La notificacion sustituta debe incluir notificacion por correo electronico (si hay direcciones de correo electronico disponibles) y una publicacion visible en el sitio web de la entidad.
Puerto Seguro de Cifrado
Colorado ofrece un puerto seguro de cifrado. La informacion personal que esta cifrada, redactada o protegida por cualquier otro metodo que la haga ilegible o inutilizable no se considera que haya sido violada.
Esto significa que si los datos comprometidos estaban debidamente cifrados en el momento del acceso no autorizado, los requisitos de notificacion no aplican. El cifrado debe haber estado en vigor antes de la violacion, no aplicado despues.
Requisitos de Seguridad Razonable y Disposicion de Datos
Mas alla de la notificacion de violacion, la ley de Colorado impone obligaciones continuas de proteccion de datos a traves de C.R.S. 6-1-713.
Las entidades cubiertas deben implementar y mantener procedimientos de seguridad razonables apropiados a la naturaleza de la informacion personal que poseen. El estandar es flexible y considera factores como el tamano y la complejidad del negocio y la sensibilidad de los datos.
Las entidades tambien deben desarrollar y mantener una politica escrita para la destruccion y disposicion adecuada de documentos en papel y electronicos que contengan informacion personal. Cuando los documentos ya no son necesarios, la entidad debe hacer ilegible la informacion personal.

Interaccion con Regulaciones Federales y Estatales
Las entidades que cumplen con los requisitos de notificacion de violacion bajo marcos regulatorios federales o estatales, como HIPAA para el sector de salud o la Ley Gramm-Leach-Bliley para instituciones financieras, se consideran en cumplimiento de las disposiciones de notificacion de Colorado.
Sin embargo, hay dos excepciones importantes. Incluso las entidades reguladas por HIPAA y GLBA todavia deben:
- Notificar a la Fiscalia General de Colorado cuando 500 o mas residentes de Colorado esten afectados
- Seguir el plazo de notificacion de 30 dias de Colorado, que puede ser mas corto que su plazo federal
La ley de notificacion de violacion de Colorado tambien existe junto a la Ley de Privacidad de Colorado (CPA), que entro en vigor el 1 de julio de 2023. La CPA aborda derechos de privacidad de datos mas amplios (acceso, eliminacion, exclusion voluntaria), mientras que el estatuto de notificacion de violacion se enfoca especificamente en incidentes de seguridad. Son complementarios, y las empresas que manejan datos de consumidores de Colorado deben cumplir con ambos.
Cumplimiento y Sanciones
La Fiscalia General de Colorado hace cumplir la ley de notificacion de violacion. No existe un derecho de accion privado, lo que significa que los consumidores individuales no pueden demandar directamente por fallas de notificacion.
Las infracciones cometidas por entidades privadas se tratan como practicas comerciales enganosas bajo la Ley de Proteccion al Consumidor de Colorado. Las sanciones civiles pueden alcanzar hasta $20,000 por infraccion, y no hay un limite en la sancion total para una serie relacionada de infracciones.
La Fiscalia General ha aplicado activamente estas disposiciones. Acciones notables incluyen:
- Savory Spice Shop (2022): Una empresa de Denver pago $30,000 despues de que dos violaciones expusieran datos de tarjetas de pago de 13,888 clientes de Colorado. La empresa no mantuvo seguridad adecuada y retraso la notificacion durante nueve meses a pesar de un compromiso de politica de 30 dias.
- Impact MHC (2021): Una empresa de gestion de parques de casas moviles pago $25,000 (con $30,000 adicionales suspendidos en espera de cumplimiento) despues de que un ataque de phishing expusiera numeros de Seguro Social y datos financieros de mas de 700 residentes de Colorado. La empresa retraso la notificacion durante 10 meses.
Ambos casos resultaron en requisitos para implementar politicas escritas de seguridad de la informacion, desarrollar planes de respuesta a incidentes y mantener programas de cumplimiento continuo.

Mas Leyes de Colorado
- Leyes de grabacion de reuniones con IA en Colorado
- Leyes de pension alimenticia en Colorado
- Leyes de empleo a voluntad en Colorado
- Leyes de accidentes automovilisticos en Colorado
- Leyes de asientos de seguridad para ninos en Colorado
- Leyes de custodia de menores en Colorado
- Leyes de manutencion infantil en Colorado
- Leyes de matrimonio de hecho en Colorado
- Leyes sobre deepfakes en Colorado
- Leyes de divorcio en Colorado
- Leyes sobre mordeduras de perro en Colorado
- Leyes de emancipacion en Colorado
- Leyes de eliminacion de antecedentes penales en Colorado
- Leyes sobre atropello y fuga en Colorado
- Leyes de propietarios e inquilinos en Colorado
- Leyes del limon en Colorado
Preguntas frecuentes
Que tan rapido debe una empresa de Colorado notificar a los residentes sobre una violacion de datos?
Colorado exige la notificacion dentro de 30 dias despues de que la entidad determine que ha ocurrido una violacion de seguridad. Este es uno de los plazos mas cortos del pais. El plazo de 30 dias comienza cuando la entidad hace su determinacion, no cuando ocurrio la violacion en si. La entidad debe realizar una investigacion pronta y de buena fe antes de hacer esa determinacion.
Cuando se debe notificar a la Fiscalia General de Colorado sobre una violacion de datos?
Las entidades deben notificar a la Fiscalia General de Colorado dentro de 30 dias cuando se cree razonablemente que una violacion ha afectado a 500 o mas residentes de Colorado. La notificacion se presenta a traves de un formulario de reporte en linea en coag.gov. Si la violacion afecta a 1,000 o mas residentes, la entidad tambien debe notificar a las agencias nacionales de informes al consumidor (Equifax, Experian, TransUnion).
La ley de Colorado exige notificacion si los datos violados estaban cifrados?
No. Colorado ofrece un puerto seguro de cifrado. Si la informacion personal estaba cifrada, redactada o de otro modo hecha ilegible o inutilizable en el momento de la violacion, no se requiere notificacion. El cifrado debe haber estado en vigor antes de que ocurriera el acceso no autorizado.
Pueden las personas demandar por infracciones de notificacion de violacion de datos en Colorado?
No. Colorado no ofrece un derecho de accion privado para infracciones de notificacion de violacion. Solo la Fiscalia General de Colorado puede hacer cumplir la ley. Las infracciones se tratan como practicas comerciales enganosas bajo la Ley de Proteccion al Consumidor de Colorado, con sanciones de hasta $20,000 por infraccion. Las personas que sufran robo de identidad o fraude pueden tener otros recursos legales disponibles.
Como interactua la [ley de notificacion de violacion](/us-laws/hipaa/reporting-hipaa-breaches) de Colorado con HIPAA y la Ley de Privacidad de Colorado?
Las entidades de salud reguladas por HIPAA y las instituciones financieras reguladas por GLBA que cumplen con sus requisitos federales de notificacion generalmente se consideran en cumplimiento de la ley de Colorado. Sin embargo, todavia deben notificar a la Fiscalia General de Colorado cuando 500 o mas residentes esten afectados y deben seguir el plazo de 30 dias de Colorado. La Ley de Privacidad de Colorado (CPA) es una ley separada que aborda derechos de privacidad mas amplios como el acceso y la eliminacion de datos. Las empresas deben cumplir tanto con el estatuto de notificacion de violacion como con la CPA.
¿Afectado por una filtración de datos o una violación de privacidad biométrica?
Si sus datos personales quedaron expuestos en una filtración, o si su huella dactilar o escaneo facial se recopiló sin su consentimiento, podría ser elegible para unirse a un reclamo por compensación. Averígüelo gratis y sin compromiso.
Fuentes y referencias
- Colorado Consumer Data Protection Laws FAQ(coag.gov).gov
- HB 18-1128 Protections for Consumer Data Privacy(leg.colorado.gov).gov
- Colorado AG Data Breach Reporting Form(coag.gov).gov
- Colorado AG Data Privacy Complaints(coag.gov).gov
- Colorado Privacy Act(coag.gov).gov
- Colorado AG Data Security Best Practices(coag.gov).gov
- Savory Spice Shop Settlement(coag.gov).gov
- Impact MHC Settlement(coag.gov).gov
- HIPAA Information(hhs.gov).gov
- Gramm-Leach-Bliley Act(ftc.gov).gov