Connecticut
Leyes de Notificación de Violaciones de Datos de Connecticut: Reglas y Plazos de Reporte (2026)

La ley de Connecticut exige que las empresas que descubran una violación de datos notifiquen a los residentes afectados y al Fiscal General del estado sin demora injustificada y a más tardar 60 días después de su descubrimiento, según Conn. Gen. Stat. 36a-701b. Los datos cifrados que sean vulnerados no generan esta obligación a menos que la clave de cifrado también haya sido comprometida.
Connecticut tiene una de las leyes de notificación de violaciones de datos más detalladas de Estados Unidos. Codificada en Conn. Gen. Stat. 36a-701b, la ley exige que toda persona o empresa que sea propietaria, licencie o mantenga datos informatizados que contengan información personal notifique a los residentes afectados de Connecticut y al Fiscal General del estado tras descubrir una violación de seguridad.
La ley ha sido enmendada varias veces desde su promulgación original en 2005; la más reciente amplió la definición de información personal para incluir datos de geolocalización precisa (vigente desde el 1 de octubre de 2023). Un plazo firme de notificación de 60 días, el monitoreo de crédito obligatorio y un puerto seguro de cifrado convierten a esta ley en uno de los estatutos de notificación de violaciones de datos más exigentes del país.
Para una visión más amplia del marco general de privacidad de Connecticut, consulte la guía principal sobre las Leyes de Privacidad de Datos de Connecticut.
Quién Debe Cumplir con la Ley

El estatuto se aplica a toda persona que realice negocios en Connecticut y sea propietaria, licencie o mantenga datos informatizados que incluyan información personal de residentes de Connecticut. Esto abarca corporaciones, LLC, propietarios únicos, organizaciones sin fines de lucro y agencias gubernamentales.
Los proveedores de servicios externos que mantienen datos en nombre de otra entidad tienen una obligación separada. Deben notificar al propietario de los datos inmediatamente al descubrir una violación, para que este pueda cumplir con sus deberes de notificación.
Los contratistas estatales que manejan información confidencial de agencias gubernamentales enfrentan requisitos adicionales según un estatuto complementario, Conn. Gen. Stat. 4e-70, que impone estándares mínimos de seguridad y sus propias obligaciones de reporte de violaciones tanto a la agencia contratante como al Fiscal General.
Qué Califica Como Información Personal
Connecticut define la información personal en dos categorías que generan obligaciones de notificación.
Categoría 1: Nombre Más un Elemento de Datos Sensibles
El nombre o la inicial del nombre y el apellido de una persona, combinados con uno o más de los siguientes:
- Número de Seguro Social o número de identificación fiscal
- PIN de protección de identidad del IRS
- Número de licencia de conducir, número de identificación estatal, número de pasaporte, identificación militar u otra identificación emitida por el gobierno comúnmente utilizada para verificar la identidad
- Número de tarjeta de crédito o débito
- Número de cuenta financiera en combinación con cualquier código de seguridad, código de acceso o contraseña requeridos
- Información médica, incluida cualquier información sobre el historial médico, la condición mental o física, o el tratamiento o diagnóstico médico de una persona
- Número de póliza de seguro de salud o número de identificación de suscriptor y cualquier identificador único utilizado por una aseguradora de salud
- Datos biométricos generados por mediciones electrónicas de las características físicas únicas de una persona, como huellas dactilares, huellas de voz o imágenes de retina e iris
- Datos de geolocalización precisa (agregado el 1 de octubre de 2023)
Categoría 2: Credenciales de Cuentas en Línea
Un nombre de usuario o dirección de correo electrónico combinado con una contraseña o una pregunta y respuesta de seguridad que permitiría el acceso a una cuenta en línea. No se requiere el nombre para que esta categoría genere la obligación de notificar.
Exclusiones
La información disponible públicamente y puesta a disposición legalmente a partir de registros gubernamentales federales, estatales o locales queda excluida de la definición de información personal.
Qué Constituye una Violación de Seguridad
Según el estatuto, una "violación de seguridad" significa el acceso no autorizado a, o la adquisición no autorizada de, archivos electrónicos, medios, bases de datos o datos informatizados que contengan información personal, cuando el acceso a dicha información no haya estado protegido mediante cifrado o cualquier otro método o tecnología que la vuelva ilegible o inutilizable.
Esta definición tiene dos características importantes. Primero, se centra en el acceso o la adquisición no autorizados, no solo en la adquisición. Segundo, incorpora directamente el puerto seguro de cifrado, lo que significa que los datos cifrados que sean vulnerados no generan la obligación de notificar a menos que la clave de cifrado también haya sido comprometida.
El Plazo de Notificación de 60 Días

Connecticut impone un plazo estricto de 60 días. Las entidades deben notificar a los residentes afectados sin demora injustificada y a más tardar 60 días después de descubrir la violación. Si la ley federal establece un plazo más corto, prevalece el requisito federal.
Cuándo Comienza a Correr el Plazo
El período de 60 días comienza en el momento en que la entidad descubre la violación, no cuando finaliza su investigación. Esto es más estricto que en los estados donde el plazo comienza a correr una vez concluida la investigación.
Víctimas Descubiertas Tardíamente
Si se identifican residentes afectados adicionales después del plazo inicial de 60 días, la entidad debe notificar a esas personas "tan pronto como sea posible" y de buena fe. No existe un segundo plazo específico, pero el estándar de "tan pronto como sea posible" tiene peso real bajo la aplicación de la CUTPA.
Retraso por Solicitud de las Autoridades
El plazo de notificación puede extenderse si una agencia de las fuerzas del orden determina que la notificación obstaculizaría una investigación criminal o pondría en riesgo la seguridad nacional. El retraso dura solo el tiempo que las autoridades lo soliciten.
Notificación al Fiscal General
Toda entidad que descubra una violación debe notificar al Fiscal General de Connecticut a más tardar en el momento en que se notifica a los residentes afectados. No existe un número mínimo de personas afectadas para que se active la obligación de notificar al Fiscal General. Incluso una violación que afecte a un solo residente de Connecticut requiere notificación al Fiscal General.
La oficina del Fiscal General ofrece un formulario en línea para el envío de reportes de violaciones como el método preferido de reporte. Tras el envío, la entidad que reporta recibe un correo electrónico de confirmación seguido de un número de caso con el formato PR más siete dígitos. Las actualizaciones o complementos a una violación previamente reportada deben enviarse por correo electrónico a ag.breach@ct.gov junto con el número de caso.
Monitoreo de Crédito y Servicios de Protección Contra el Robo de Identidad

Connecticut va más allá de la simple notificación al exigir servicios activos de protección de identidad. Cuando una violación involucra números de Seguro Social o números de identificación fiscal, la entidad afectada debe:
- Ofrecer servicios de prevención de robo de identidad sin costo para el residente afectado
- Ofrecer servicios de mitigación de robo de identidad, si corresponde
- Proporcionar estos servicios durante un mínimo de 24 meses
- Incluir información sobre cómo el residente puede colocar un congelamiento de crédito en su expediente crediticio
Este mandato de monitoreo de crédito de 24 meses es más extenso que lo que exigen muchos otros estados. Varios estados imponen mínimos de 12 meses, y otros dejan la decisión enteramente a discreción de la entidad afectada.
Cómo Debe Proporcionarse la Notificación
El estatuto permite varios métodos de notificación directa:
- Notificación escrita enviada a la dirección postal de la persona
- Notificación telefónica entregada directamente a la persona
- Notificación electrónica que cumpla con la Ley federal E-SIGN (15 U.S.C. 7001 y siguientes)
En el caso de violaciones que involucren credenciales de cuentas en línea (nombre de usuario o correo electrónico más contraseña), la entidad debe indicar al residente que cambie su contraseña y sus preguntas de seguridad. Si la violación involucró la cuenta de correo electrónico de la persona, la notificación no puede enviarse a esa dirección comprometida. La entidad debe usar otro método de contacto verificado.
Notificación Sustitutiva
La notificación sustitutiva está disponible cuando el costo de la notificación directa superaría los $250,000, el grupo afectado supera las 500,000 personas, o la entidad carece de información de contacto suficiente. La notificación sustitutiva requiere las tres acciones siguientes:
- Notificación por correo electrónico a todas las personas afectadas de las que la entidad tenga una dirección de correo electrónico
- Publicación visible en el sitio web de la entidad
- Notificación a los principales medios de comunicación estatales
Puerto Seguro de Cifrado
Connecticut ofrece un puerto seguro de cifrado claro. Si la información personal involucrada en la violación estaba cifrada o protegida por otro método que la vuelve ilegible o inutilizable, no se aplican los requisitos de notificación de violaciones. Sin embargo, si la clave de cifrado también fue comprometida en la violación, el puerto seguro no protege a la entidad y se requiere la notificación.
Exenciones para HIPAA e Instituciones Financieras
El estatuto ofrece exenciones de cumplimiento para ciertas entidades reguladas:
- Entidades cubiertas por HIPAA: El cumplimiento de la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) y de la Ley de Tecnología de la Información de Salud para la Economía y la Salud Clínica (HITECH) satisface los requisitos de notificación de violaciones de Connecticut. Sin embargo, la entidad debe notificar de todos modos al Fiscal General de Connecticut a más tardar cuando notifique a los residentes afectados, y debe ofrecer servicios de protección contra el robo de identidad cuando se comprometan números de Seguro Social.
- Instituciones financieras: Las entidades que cumplen con las directrices interinstitucionales federales sobre programas de respuesta ante el acceso no autorizado a la información de los clientes (emitidas conforme a la Ley Gramm-Leach-Bliley) se consideran en cumplimiento con el estatuto estatal, sujetas a los mismos requisitos de notificación al Fiscal General y de protección contra el robo de identidad.
Aplicación de la Ley Bajo la CUTPA
El incumplimiento de cualquier disposición de la sección 36a-701b constituye una práctica comercial desleal según la Ley de Prácticas Comerciales Desleales de Connecticut (CUTPA, Conn. Gen. Stat. 42-110a y siguientes). Esto significa que el Fiscal General puede buscar:
- Sanciones civiles de hasta $5,000 por infracción intencional
- Medidas cautelares que ordenen a la entidad cumplir
- Restitución a los consumidores afectados
- Recuperación de las ganancias obtenidas mediante la infracción
Las sanciones civiles recaudadas se destinan a una cuenta de protección de la privacidad administrada por la oficina del Fiscal General.
No existe un derecho de acción privada bajo el estatuto de notificación de violaciones. Los consumidores individuales no pueden demandar directamente por fallas en la notificación. La aplicación de la ley recae exclusivamente en el Fiscal General.
Actividad Reciente de Aplicación de la Ley
El Fiscal General de Connecticut ha aplicado activamente las obligaciones de seguridad de datos y privacidad. En 2025, la oficina finalizó un acuerdo de $200,000 con PharMerica por una violación que afectó a 105,000 residentes de Connecticut, y un acuerdo de $200,000 con WebTPA Employer Services. Aunque estas acciones se presentaron bajo el marco más amplio de la CTDPA, demuestran la disposición del Fiscal General a buscar sanciones significativas por fallas en la seguridad de datos.
Cómo Interactúa Esta Ley con la CTDPA
El estatuto de notificación de violaciones de Connecticut (36a-701b) y la Ley de Privacidad de Datos de Connecticut (CTDPA, Conn. Gen. Stat. 42-515 y siguientes) son leyes separadas pero complementarias.
El estatuto de notificación de violaciones regula lo que sucede después de un incidente de seguridad. Indica a las entidades cuándo notificar, a quién notificar y qué servicios ofrecer. La CTDPA regula las obligaciones continuas de privacidad de datos, incluidos los requisitos de consentimiento, los derechos del consumidor, la minimización de datos y las evaluaciones de protección de datos.
Un solo incidente de datos podría generar obligaciones bajo ambas leyes. Por ejemplo, una violación de datos biométricos requeriría notificación según la sección 36a-701b (porque los datos biométricos son información personal) y también podría exponer infracciones de la CTDPA si la entidad carecía de un consentimiento adecuado o de medidas de seguridad apropiadas para esos datos biométricos desde un principio.
Enmiendas Propuestas para 2026: Reporte Forense Obligatorio
La sesión legislativa de 2026 de Connecticut presentó el Proyecto de Ley del Senado 117, que enmendaría la sección 36a-701b para exigir un examen forense y un reporte obligatorios en el caso de violaciones a gran escala. Las disposiciones clave del proyecto propuesto incluyen:
- Una nueva categoría denominada "violación masiva de seguridad" que afecte a 100,000 o más residentes de Connecticut
- Contratación obligatoria de un examinador forense externo calificado inmediatamente después del descubrimiento
- Presentación del reporte forense al Fiscal General dentro de los 90 días posteriores al descubrimiento
- Si la entidad no cumple, el Fiscal General puede contratar directamente a una firma forense y facturar el costo a la entidad
- Sanciones civiles de hasta $500,000 (o $100,000 para pequeñas empresas), además de las sanciones existentes de la CUTPA
Hasta marzo de 2026, el SB 117 fue remitido al Comité de Legislación General y recibió una audiencia pública el 18 de febrero de 2026. Si se promulga con la fecha de vigencia propuesta del 1 de octubre de 2026, Connecticut se convertiría en el primer estado en exigir un reporte forense basado en un umbral numérico de violación.
Más Leyes de Connecticut
- Leyes de Grabación de Reuniones con IA de Connecticut
- Leyes de Pensión Alimenticia Conyugal de Connecticut
- Leyes de Empleo a Voluntad de Connecticut
- Leyes de Accidentes de Auto de Connecticut
- Leyes de Asientos de Auto para Niños de Connecticut
- Leyes de Custodia de Menores de Connecticut
- Leyes de Manutención Infantil de Connecticut
- Leyes de Matrimonio de Hecho de Connecticut
- Leyes sobre Deepfakes de Connecticut
- Leyes de Divorcio de Connecticut
- Leyes sobre Mordeduras de Perro de Connecticut
- Leyes de Emancipación de Connecticut
- Leyes de Eliminación de Antecedentes Penales de Connecticut
- Leyes de Choque y Fuga de Connecticut
- Leyes de Propietarios e Inquilinos de Connecticut
- Leyes del Limón de Connecticut
Aviso Legal
Este artículo proporciona información legal general sobre los requisitos de notificación de violaciones de datos de Connecticut y no constituye asesoría legal. Las leyes y regulaciones cambian con frecuencia, y su aplicación varía según las circunstancias específicas. Consulte a un abogado calificado con licencia en Connecticut para obtener orientación sobre su situación particular.
Preguntas frecuentes
¿Qué tan rápido debe una empresa reportar una violación de datos en Connecticut?
Connecticut exige la notificación a los residentes afectados y al Fiscal General dentro de los 60 días posteriores al descubrimiento de la violación. Se trata de un plazo estricto según Conn. Gen. Stat. 36a-701b. La única excepción es que las autoridades soliciten un retraso porque la notificación obstaculizaría una investigación criminal.
¿Exige Connecticut monitoreo de crédito después de una violación de datos?
Sí, pero solo cuando la violación involucra números de Seguro Social o números de identificación fiscal. En esos casos, la entidad afectada debe ofrecer al menos 24 meses de servicios gratuitos de prevención de robo de identidad y monitoreo de crédito. La entidad también debe proporcionar información sobre cómo colocar un congelamiento de crédito.
¿Existe un puerto seguro de cifrado bajo la ley de notificación de violaciones de Connecticut?
Sí. Si la información personal estaba cifrada o se volvió ilegible o inutilizable mediante otro método al momento de la violación, no se requiere notificación. Sin embargo, si la clave de cifrado también fue comprometida, el puerto seguro no se aplica y la entidad debe notificar a los residentes afectados y al Fiscal General.
¿Pueden las personas demandar por fallas en la notificación de violaciones en Connecticut?
No. Connecticut no otorga un derecho de acción privada bajo su estatuto de notificación de violaciones. Solo el Fiscal General puede hacer cumplir la ley. Las infracciones se tratan como prácticas comerciales desleales según la CUTPA, y el Fiscal General puede buscar sanciones civiles de hasta $5,000 por infracción intencional, medidas cautelares y restitución.
¿Incluye Connecticut los datos de geolocalización en su ley de notificación de violaciones?
Sí. Desde el 1 de octubre de 2023, los datos de geolocalización precisa están incluidos en la definición de información personal según Conn. Gen. Stat. 36a-701b. Connecticut es uno de los pocos estados que incluye específicamente los datos de geolocalización como factor desencadenante de la notificación de violaciones. Una violación que involucre el nombre de un residente combinado con sus datos de geolocalización precisa requiere la misma notificación que una violación que involucre números de Seguro Social o información de cuentas financieras.
¿Afectado por una filtración de datos o una violación de privacidad biométrica?
Si sus datos personales quedaron expuestos en una filtración, o si su huella dactilar o escaneo facial se recopiló sin su consentimiento, podría ser elegible para unirse a un reclamo por compensación. Averígüelo gratis y sin compromiso.
Fuentes y referencias
- Conn. Gen. Stat. 36a-701b(cga.ct.gov).gov
- Fiscal General de CT: Cómo Reportar una Violación de Datos(portal.ct.gov).gov
- Formulario de Reporte de Violaciones de Datos del Fiscal General de CT(portal.ct.gov).gov
- Fiscal General de CT: Privacidad y Seguridad de Datos(portal.ct.gov).gov
- Conn. Gen. Stat. 4e-70(cga.ct.gov).gov
- Reporte de Aplicación de la CTDPA 2025 del Fiscal General de CT(portal.ct.gov).gov
- SB 117 (2026)(cga.ct.gov).gov