Delaware
Leyes de Notificación de Violación de Datos de Delaware: Reglas de Reporte y Plazos (2026)

Delaware exige que las empresas notifiquen a los residentes afectados sobre una violación de datos dentro de los 60 días posteriores a determinar que ocurrió la violación, conforme al Del. Code tit. 6, 12B-102. El plazo de 60 días comienza cuando la empresa tiene evidencia suficiente de que ocurrió una violación, no en el momento de la violación misma.
Cuando una empresa sufre una violación de datos que expone información personal de residentes de Delaware, la ley estatal impone obligaciones estrictas de notificación. La ley de Violaciones de Seguridad Informática de Delaware, Del. Code tit. 6, Ch. 12B, exige la notificación pronta a las personas afectadas y, en violaciones mayores, al Fiscal General. Promulgada originalmente en 2005, la ley recibió una revisión importante mediante la HB 180 (81 Del. Laws, c. 129) en 2017, que endureció los plazos, amplió la definición de información personal y añadió el requisito de notificación al Fiscal General.
Esta guía cubre quién debe cumplir, qué activa la notificación, los requisitos de plazo y contenido, la aplicación de la ley, y cómo la Ley de Privacidad de Datos Personales de Delaware (DPDPA) de 2025 interactúa con las obligaciones de violación de datos.
Quién Debe Cumplir con la Ley de Notificación de Violación de Datos de Delaware
La ley se aplica a toda persona que realiza negocios en Delaware y posee, licencia o mantiene datos computarizados que contienen información personal de residentes de Delaware. El término "persona" se define ampliamente conforme a la Sección 12B-101(6) e incluye a personas físicas, corporaciones, sociedades de responsabilidad limitada, sociedades, fideicomisos, empresas conjuntas, agencias gubernamentales y cualquier otra entidad legal o comercial.
Delaware utiliza dos niveles distintos de cumplimiento. Los propietarios y licenciatarios de datos tienen el deber directo de notificación. Los encargados de datos de terceros (como proveedores de alojamiento en la nube o procesadores de pagos) deben notificar y cooperar con el propietario de los datos inmediatamente después de descubrir una violación, compartiendo toda la información relevante sobre el incidente.
Entidades con Marcos de Cumplimiento Separados
La Sección 12B-103 establece que las entidades reguladas bajo la ley federal, incluidas las sujetas a HIPAA o a la Ley Gramm-Leach-Bliley, satisfacen los requisitos de Delaware si siguen los procedimientos de notificación de violaciones de su regulador federal y notifican en consecuencia a los residentes afectados de Delaware.
De manera similar, cualquier empresa que mantenga sus propios procedimientos de notificación de violaciones como parte de una política de seguridad de la información puede cumplir siguiendo esos procedimientos internos, siempre que el plazo coincida con el límite de 60 días de Delaware.
Qué Califica como una Violación de Seguridad

Conforme a la Sección 12B-101(1), una violación de seguridad es la adquisición no autorizada de datos computarizados que compromete la seguridad, confidencialidad o integridad de la información personal.
El estatuto incluye una excepción de buena fe. Si un empleado o agente adquiere información personal como parte de sus funciones laborales legítimas, eso no constituye una violación, siempre que los datos no se usen para un propósito no autorizado ni se divulguen posteriormente sin autorización.
El Puerto Seguro de Cifrado
Delaware ofrece un puerto seguro claro para los datos cifrados. Una violación no activa las obligaciones de notificación si la información personal comprometida estaba cifrada, a menos que la parte no autorizada también haya adquirido (o se crea razonablemente que adquirió) la clave de cifrado.
Esto significa que las empresas que cifran la información personal tanto en reposo como en tránsito pueden evitar los requisitos de notificación, pero solo si las claves de cifrado permanecen seguras. Si tanto los datos cifrados como la clave son comprometidos, se aplican todas las obligaciones de notificación.
Información Personal que Activa la Notificación de Violación de Datos
Delaware tiene una de las definiciones más completas de información personal entre las leyes estatales de notificación de violaciones. Conforme a la Sección 12B-101(7), información personal significa el nombre o la inicial del nombre y el apellido de un residente de Delaware combinados con uno o más de los siguientes elementos:
- Número de Seguro Social
- Número de licencia de conducir o número de tarjeta de identificación estatal o federal
- Número de cuenta financiera, número de tarjeta de crédito o número de tarjeta de débito, combinado con cualquier código de seguridad, código de acceso o contraseña requerida que permitiría el acceso a la cuenta
- Número de pasaporte
- Nombre de usuario o dirección de correo electrónico, combinado con una contraseña o pregunta y respuesta de seguridad que permitiría el acceso a una cuenta en línea
- Historial médico, tratamiento médico por parte de un profesional de la salud, diagnóstico de una condición mental o física, o perfil de ADN
- Seguro médico: número de póliza, número de identificación de suscriptor, u otro identificador único de la aseguradora de salud
- Datos biométricos únicos generados a partir de mediciones o análisis de las características del cuerpo humano con fines de autenticación
- Número de identificación individual del contribuyente
La información personal no incluye información disponible públicamente obtenida legalmente de registros gubernamentales federales, estatales o locales, ni de medios de difusión amplia.
La DPDPA Amplía las Protecciones Biométricas
La Ley de Privacidad de Datos Personales de Delaware (DPDPA), vigente desde el 1 de enero de 2025, clasifica los datos biométricos como datos personales sensibles conforme a la Sección 12D-102(30). Esto significa que las empresas deben obtener el consentimiento afirmativo antes de recopilar datos biométricos, y una violación que involucre dichos datos activa tanto la notificación bajo el Capítulo 12B como una posible acción de cumplimiento bajo la DPDPA. Para más información sobre cómo Delaware regula los datos biométricos, consulte nuestra guía sobre la ley de privacidad biométrica de Delaware.
Cronograma de Notificación de Violación de Datos y Requisitos

El Plazo de 60 Días
Delaware impone un plazo firme de notificación de 60 días. Conforme a la Sección 12B-102(c), la notificación debe proporcionarse sin demora injustificada y a más tardar 60 días después de que la empresa determine que ocurrió una violación.
El plazo comienza en la "determinación de la violación", que la Sección 12B-101(2) define como el momento en que el poseedor de los datos tiene evidencia suficiente para concluir que ocurrió una violación. El período de investigación previo a esa determinación no cuenta dentro de los 60 días.
Excepciones a la Regla de 60 Días
Tres situaciones pueden modificar el plazo:
-
La ley federal exige un plazo más corto. Si otra normativa federal aplicable exige una notificación más rápida, la empresa debe cumplir con ese plazo más estricto.
-
Retraso por las fuerzas del orden. Una agencia policial puede solicitar un retraso si la notificación pudiera obstaculizar una investigación criminal. La empresa debe notificar a las personas afectadas tan pronto como las fuerzas del orden confirmen que la notificación ya no comprometerá la investigación.
-
Período de identificación extendido. Si una empresa no puede identificar a todos los residentes afectados de Delaware dentro de los 60 días a pesar de la diligencia razonable, debe notificar a esas personas tan pronto como sea posible después de identificarlas, o proporcionar una notificación sustituta mientras tanto.
Métodos de Notificación
La Sección 12B-101(5) permite cuatro métodos de notificación:
- Notificación escrita enviada a la persona afectada
- Notificación telefónica entregada directamente
- Notificación electrónica, si es congruente con los requisitos de la ley federal E-SIGN o si el correo electrónico es el canal principal de comunicación con la persona
- Notificación sustituta, disponible cuando los costos de notificación superan los $75,000, se ven afectados más de 100,000 residentes de Delaware, o la empresa carece de información de contacto suficiente
La notificación sustituta requiere las tres condiciones siguientes: notificación por correo electrónico (si hay direcciones disponibles), publicación visible en el sitio web de la empresa, y notificación a los principales medios de comunicación a nivel estatal, incluidos periódicos, radio, televisión y las principales plataformas de redes sociales de la empresa.
Regla Especial para Violaciones de Credenciales de Correo Electrónico
Cuando una violación involucra credenciales de inicio de sesión de una cuenta de correo electrónico proporcionada por la entidad afectada, la empresa no puede enviar la notificación a esa dirección de correo comprometida. En su lugar, debe usar otro método aprobado o entregar un aviso claro y visible cuando el residente inicie sesión en la cuenta desde una dirección IP o ubicación reconocida.
Notificación al Fiscal General
Conforme a la Sección 12B-102(d), cuando una violación afecta a 500 o más residentes de Delaware, la empresa debe notificar al Fiscal General de Delaware a más tardar en el momento en que se envían las notificaciones individuales. La notificación al Fiscal General se dirige a la División de Fraude y Protección al Consumidor, que mantiene una página pública con el registro de las violaciones reportadas.
Monitoreo de Crédito para Violaciones de Número de Seguro Social
Cuando una violación involucra números de Seguro Social, la Sección 12B-102(e) exige que la entidad afectada ofrezca servicios gratuitos de monitoreo de crédito durante un año a cada residente afectado. La empresa también debe proporcionar instrucciones sobre cómo colocar un congelamiento de crédito. Esta obligación no se aplica si una investigación adecuada determina que es poco probable que la violación cause daño.
Obligación de Seguridad de Datos
Más allá de la notificación, la Sección 12B-100 impone un deber independiente a toda persona que realiza negocios en Delaware de implementar y mantener procedimientos y prácticas razonables para prevenir la adquisición, uso, modificación, divulgación o destrucción no autorizada de información personal. Este requisito de seguridad se aplica independientemente de cualquier evento de violación.
Aplicación de la Ley y Sanciones

Aplicación por el Fiscal General
El Fiscal General de Delaware hace cumplir el Capítulo 12B a través de la División de Protección al Consumidor conforme a la Sección 12B-104. El Fiscal General puede iniciar una acción legal o de equidad para abordar las infracciones y recuperar los daños económicos directos resultantes del incumplimiento.
No Existe un Derecho de Acción Privado
La ley de notificación de violaciones de Delaware no crea un derecho de acción privado. Los consumidores individuales no pueden demandar directamente a las empresas por no cumplir con los requisitos de notificación. Sin embargo, la Sección 12B-104(b) preserva cualquier derecho existente que las personas puedan tener bajo el derecho consuetudinario, otros estatutos u otras teorías legales.
Superposición de la Aplicación de la DPDPA
La DPDPA, vigente desde el 1 de enero de 2025, otorga al Fiscal General autoridad adicional de aplicación sobre las infracciones de privacidad de datos. Si una violación resulta de prácticas inadecuadas de protección de datos, el Fiscal General podría iniciar acciones tanto bajo el Capítulo 12B (notificación de violaciones) como bajo el Capítulo 12D (infracciones de privacidad), con sanciones de la DPDPA que alcanzan hasta $10,000 por infracción.
Cómo se Compara Delaware con los Estados Vecinos
El plazo de notificación de 60 días de Delaware lo ubica en un punto intermedio a nivel nacional. Algunos estados, como Florida, imponen plazos de 30 días. Otros no tienen un plazo específico y solo exigen que la notificación ocurra en un tiempo "razonable".
Delaware se distingue por su amplia definición de información personal, que incluye nueve categorías de datos protegidos. El requisito de monitoreo de crédito para violaciones de números de Seguro Social también va más allá de lo que exigen muchos estados.
Para una visión más amplia de cómo Delaware maneja la privacidad de datos, consulte nuestro resumen de las Leyes de Privacidad de Datos de Delaware.
Más Leyes de Delaware
- Leyes de Grabación de Reuniones con IA de Delaware
- Leyes de Pensión Alimenticia de Delaware
- Leyes de Empleo a Voluntad de Delaware
- Leyes de Accidentes Automovilísticos de Delaware
- Leyes de Asientos de Seguridad para Niños de Delaware
- Leyes de Custodia de Menores de Delaware
- Leyes de Manutención Infantil de Delaware
- Leyes de Matrimonio de Hecho de Delaware
- Leyes sobre Deepfakes de Delaware
- Leyes de Divorcio de Delaware
- Leyes sobre Mordeduras de Perro de Delaware
- Leyes de Emancipación de Delaware
- Leyes de Eliminación de Antecedentes Penales de Delaware
- Leyes de Atropello y Fuga de Delaware
- Leyes de Propietarios e Inquilinos de Delaware
- Leyes del Limón de Delaware
Este artículo proporciona información legal general sobre los requisitos de notificación de violación de datos de Delaware. No constituye asesoría legal ni crea una relación abogado-cliente. La respuesta ante una violación de datos implica obligaciones sensibles al tiempo. Consulte a un abogado calificado con licencia en Delaware para obtener orientación específica sobre su situación.
¿Afectado por una filtración de datos o una violación de privacidad biométrica?
Si sus datos personales quedaron expuestos en una filtración, o si su huella dactilar o escaneo facial se recopiló sin su consentimiento, podría ser elegible para unirse a un reclamo por compensación. Averígüelo gratis y sin compromiso.
Fuentes y referencias
- Del. Code tit. 6, Cap. 12B - Violaciones de Seguridad Informática(delcode.delaware.gov).gov
- Del. Code tit. 6, Cap. 12D - Ley de Privacidad de Datos Personales de Delaware(delcode.delaware.gov).gov
- Fiscal General de Delaware - Violaciones de Seguridad de Datos(attorneygeneral.delaware.gov).gov
- 81 Del. Laws, c. 129 (HB 180, Enmienda de 2017)(legis.delaware.gov).gov
- 81 Del. Laws, c. 425(legis.delaware.gov).gov