District of Columbia
Leyes de Privacidad de Datos del Distrito de Columbia: Reglas de Violaciones y Derechos del Consumidor (2026)

El Distrito de Columbia no tiene una ley integral de privacidad del consumidor. Las obligaciones de notificación de violaciones caen bajo las Secciones 28-3851 a 28-3853 del Código de DC, ampliadas por la Ley de Enmienda de Protección contra Violaciones de Seguridad de 2020 (D.C. Law 23-98), y el Fiscal General de DC hace cumplir las infracciones como prácticas comerciales injustas bajo la Ley de Procedimientos de Protección al Consumidor.
Panorama General de la Privacidad de Datos en el Distrito de Columbia
El Distrito de Columbia ha construido un marco de privacidad de datos enfocado que aborda la notificación de violaciones, la protección al consumidor, los datos estudiantiles y la información de salud. A diferencia de muchos estados que han promulgado leyes integrales de privacidad del consumidor, DC se basa en una combinación de estatutos específicos que en conjunto crean protecciones significativas para los residentes del Distrito.

DC ocupa una posición única en el panorama legal estadounidense. Como distrito federal en lugar de un estado, sus residentes viven en la intersección de la legislación local del Consejo de DC y la autoridad regulatoria federal. Agencias federales como la Comisión Federal de Comercio, ubicada en el propio DC, ejercen supervisión directa sobre las prácticas de privacidad que afectan a los residentes del Distrito junto con las propias facultades de aplicación del Fiscal General de DC.
El enfoque del Distrito hacia la privacidad de datos ha evolucionado significativamente en los últimos años. La emblemática Ley de Enmienda de Protección contra Violaciones de Seguridad de 2020 modernizó los requisitos de notificación de violaciones de DC, mientras que los esfuerzos legislativos en curso del 26.º Consejo continúan ampliando las protecciones hacia áreas como los datos de salud del consumidor.
Ley de Notificación de Violaciones de DC: Secciones 28-3851 a 28-3853 del Código de DC
La piedra angular del marco de privacidad de datos de DC es su ley de Notificación de Violaciones de Seguridad al Consumidor, que se encuentra en el Subcapítulo II del Capítulo 38, Título 28 del Código de DC. Promulgada originalmente en 2007, esta ley sufrió una revisión importante con la Ley de Enmienda de Protección contra Violaciones de Seguridad de 2020.
Qué Califica como Información Personal Bajo la Ley de DC
La Sección 28-3851 del Código de DC define la información personal de manera amplia. La definición incluye el nombre o la inicial del nombre y el apellido de una persona, o cualquier otro identificador personal, combinado con cualquiera de estos elementos de datos:
- Número de Seguro Social o Número de Identificación Individual del Contribuyente
- Número de pasaporte o número de licencia de conducir
- Número de tarjeta de identificación de DC o número de identificación militar
- Otros números de identificación únicos emitidos en documentos gubernamentales comúnmente usados para verificar la identidad
- Números de cuentas financieras, números de tarjetas de crédito o números de tarjetas de débito, combinados con cualquier código de seguridad, código de acceso o contraseña requerida
- Información médica, definida como cualquier información sobre el tratamiento o diagnóstico dental, médico o de salud mental de un consumidor por parte de un profesional de la salud
- Información de seguro médico, incluidos números de póliza, números de información de suscriptor, o identificadores únicos usados por las aseguradoras de salud
- Datos biométricos generados por mediciones automáticas de características biológicas como huellas dactilares, impresiones de voz, huellas genéticas, imágenes de retina o iris, u otras características biológicas únicas usadas para autenticar la identidad
- Cualquier combinación de elementos de datos que permitiría a una persona cometer robo de identidad sin hacer referencia al nombre o la inicial del nombre y el apellido de una persona
La enmienda de 2020 amplió notablemente esta definición más allá del alcance original que se enfocaba principalmente en los números de Seguro Social y los datos de cuentas financieras. La inclusión de datos biométricos, información médica y detalles de seguro médico reflejó la creciente variedad de datos sensibles que las organizaciones recopilan y almacenan.
Quién Debe Cumplir
La ley de notificación de violaciones de DC se aplica a cualquier persona o entidad que posea, licencie, mantenga, maneje o de otro modo tenga en su posesión datos computarizados u otros datos electrónicos que incluyan información personal de un residente de DC. Este amplio alcance abarca empresas de todos los tamaños, organizaciones sin fines de lucro, instituciones educativas y otras organizaciones.
Existe una exclusión importante: el propio gobierno del Distrito de Columbia y sus agencias o instrumentalidades no están cubiertos por esta definición de "persona o entidad". Sin embargo, las agencias del gobierno de DC están sujetas a requisitos separados de gobernanza de datos y privacidad bajo la política del Distrito.
Requisitos de Notificación Después de una Violación
La Sección 28-3852 del Código de DC establece las obligaciones de notificación que se aplican cuando ocurre una violación. Cualquier persona o entidad que descubra una violación de seguridad que involucre información personal debe notificar a los residentes afectados de DC en el tiempo más expedito posible y sin demora injustificada.
El aviso a las personas afectadas debe incluir información específica sobre la violación, los tipos de información personal comprometida, y los pasos que la persona puede tomar para protegerse. La ley exige una comunicación clara y en lenguaje sencillo en lugar de divulgaciones legalistas.
Notificación al Fiscal General
Cuando una violación afecta a 50 o más residentes del Distrito, la entidad también debe proporcionar prontamente un aviso por escrito a la Oficina del Fiscal General del Distrito de Columbia. Este aviso debe hacerse a más tardar cuando se proporciona el aviso a los residentes afectados.
El aviso escrito al Fiscal General debe incluir:
- El nombre e información de contacto de la entidad que reporta
- El nombre e información de contacto de la entidad que sufrió la violación
- La naturaleza de la violación de seguridad
- Los tipos de información personal comprometida
- El número de residentes del Distrito afectados
- La causa de la violación, si se conoce
- Las acciones correctivas tomadas por la entidad
- La fecha y el marco temporal de la violación, si se conoce
- La dirección y ubicación de la sede corporativa, si está fuera del Distrito
- Cualquier conocimiento de la participación de un país extranjero en la violación
Este detallado requisito de notificación al Fiscal General, añadido por la enmienda de 2020, brinda al gobierno de DC visibilidad sobre los patrones de violaciones y permite una aplicación proactiva de la ley.
Servicios de Protección Contra el Robo de Identidad
Cuando una violación incluye o razonablemente se cree que incluye un número de Seguro Social o número de identificación de contribuyente, la entidad afectada debe ofrecer servicios de protección contra el robo de identidad sin costo a cada residente afectado de DC. Estos servicios deben proporcionarse durante un mínimo de 18 meses, y la entidad debe suministrar toda la información necesaria para que los residentes se inscriban.
Este requisito, también añadido en la enmienda de 2020, va más allá de la simple notificación y coloca una obligación financiera afirmativa en las entidades afectadas para ayudar a las personas afectadas a protegerse.
Requisitos de Seguridad: Sección 28-3852.01 del Código de DC
La enmienda de 2020 añadió una sección completamente nueva a la ley de DC: la Sección 28-3852.01 del Código de DC, que exige medidas proactivas de seguridad de datos.
Cualquier persona o entidad que posea, licencie, mantenga, maneje o de otro modo tenga en su posesión información personal de un residente de DC debe implementar y mantener salvaguardas de seguridad razonables. Estas salvaguardas deben incluir procedimientos y prácticas que sean:
- Apropiados para la naturaleza de la información personal que se protege
- Apropiados para la naturaleza y tamaño de la entidad o sus operaciones
- Diseñados para proteger la información personal contra el acceso no autorizado, el uso, la modificación, la divulgación, o un peligro o amenaza razonablemente anticipado
La ley usa un estándar de "razonabilidad" en lugar de prescribir medidas técnicas específicas. Este enfoque permite flexibilidad según el tamaño de la organización y la sensibilidad de los datos involucrados.
Puerto Seguro de la Ley Federal
Las entidades que están sujetas y cumplen con los requisitos de seguridad de las siguientes leyes federales se consideran conformes con la Sección 28-3852.01 del Código de DC:
- La Ley Gramm-Leach-Bliley (GLBA), que rige a las instituciones financieras
- La Ley de Portabilidad y Responsabilidad del Seguro Médico de 1996 (HIPAA)
- La Ley de Tecnología de Información de Salud para la Salud Económica y Clínica (HITECH)
Esta disposición de puerto seguro evita imponer requisitos duplicados a las organizaciones que ya cumplen con estándares federales rigurosos de seguridad de datos. Sin embargo, solo se aplica al requisito de seguridad en sí. Estas entidades aún deben cumplir con las obligaciones de notificación de violaciones de DC.
Aplicación de la Ley y Sanciones

Clasificación como Práctica Comercial Injusta
La Sección 28-3853 del Código de DC establece que cualquier infracción del subcapítulo de notificación de violaciones, o cualquier regla emitida bajo su autoridad, constituye una práctica comercial injusta o engañosa bajo la Sección 28-3904 del Código de DC.
Esta clasificación es significativa porque trae todo el peso del aparato de aplicación de protección al consumidor de DC para abordar las infracciones de privacidad de datos.
Sanciones Civiles
El Fiscal General de DC puede buscar sanciones civiles bajo la Sección 28-3909 del Código de DC:
- Hasta $5,000 por infracción para una primera ofensa
- Hasta $10,000 por infracción para ofensas subsecuentes
Dado que una sola violación puede afectar a miles de residentes de DC, la estructura de sanciones por infracción puede resultar en multas agregadas sustanciales.
Remedios Adicionales
Más allá de las sanciones monetarias, el Fiscal General puede buscar:
- Medidas cautelares temporales o permanentes que prohíban infracciones continuas
- Órdenes que exijan acciones correctivas afirmativas
- Restitución de dinero o propiedad a los consumidores afectados
- El Fiscal General no está obligado a probar daños para obtener medidas cautelares
La Sección 28-3852.02 del Código de DC especifica además que los derechos y remedios disponibles son acumulativos, lo que significa que pueden combinarse entre sí y con cualquier otro derecho y remedio disponible bajo la ley.
Acciones Recientes de Aplicación de la Ley
La Oficina del Fiscal General de DC ha aplicado activamente las leyes de privacidad de datos y protección al consumidor. En diciembre de 2022, el entonces Fiscal General Karl Racine aseguró un acuerdo de $9.5 millones con Google por prácticas engañosas de rastreo de ubicación que manipulaban a los consumidores para que compartieran datos de ubicación en contra de sus deseos.
En diciembre de 2023, el Fiscal General Brian Schwalb anunció un acuerdo multiestatal de $700 millones con Google por prácticas anticompetitivas en la distribución de aplicaciones de Android y el procesamiento de pagos dentro de aplicaciones. El tribunal otorgó la aprobación preliminar del acuerdo el 20 de noviembre de 2025.
En 2024, el Fiscal General Schwalb aseguró más de $355,000 de la firma de software Blackbaud por prácticas deficientes de seguridad de datos relacionadas con un ataque de ransomware de 2020. Bajo el acuerdo, Blackbaud aceptó revisar sus prácticas de seguridad de datos y notificación de violaciones además del pago monetario.
El caso del Fiscal General de DC contra Meta por Cambridge Analytica, presentado originalmente por el Fiscal General Racine en 2018, fue desestimado por el Tribunal Superior de DC en junio de 2023. La Corte de Apelaciones de DC revivió el caso en agosto de 2025. A partir de mayo de 2026, un juez del Tribunal Superior de DC denegó la moción de desestimación de Mark Zuckerberg en la demanda personal que lo acompaña, encontrando que el Distrito alegó hechos suficientes para demostrar que Zuckerberg contribuyó directamente a las tergiversaciones sobre la privacidad y el intercambio de datos. Ese caso continúa hacia el juicio.
El Informe de Impacto 2025 del Fiscal General de DC reportó $906.8 millones en ahorros y beneficios totales asegurados para los residentes de DC, lo que refleja una postura agresiva de aplicación de la ley en materia de protección al consumidor, antimonopolio y seguridad de datos.
Ley de Procedimientos de Protección al Consumidor de DC y Privacidad
La Ley de Procedimientos de Protección al Consumidor de DC (CPPA), codificada en el Capítulo 39 del Título 28 del Código de DC, sirve como el vehículo de aplicación más amplio para las infracciones relacionadas con la privacidad en el Distrito.
Cómo la CPPA Respalda la Aplicación de la Privacidad
Promulgada originalmente como la D.C. Law 1-76, la CPPA establece un derecho exigible a información veraz de los comerciantes sobre bienes y servicios de consumo. Aunque no es un estatuto de privacidad per se, la amplia prohibición de la CPPA sobre prácticas comerciales injustas o engañosas se ha convertido en una herramienta esencial para la aplicación de la privacidad.
La CPPA proporciona el marco procesal a través del cual se enjuician las infracciones de notificación de violaciones. Cuando la Sección 28-3853 del Código de DC clasifica las fallas de notificación de violaciones como prácticas comerciales injustas, conecta esas infracciones directamente con el mecanismo de aplicación establecido de la CPPA.
Facultades del Fiscal General Bajo la CPPA
Las facultades de investigación del Fiscal General bajo la CPPA son sustanciales. El Fiscal General puede:
- Emitir citaciones para documentos y testimonios durante las investigaciones
- Iniciar acciones civiles de aplicación en el Tribunal Superior de DC
- Buscar medidas cautelares, sanciones civiles, restitución al consumidor y otros remedios equitativos
- Aceptar garantías de cumplimiento voluntario de las empresas
Estas facultades convierten al Fiscal General de DC en una autoridad formidable de aplicación de la ley para las infracciones de privacidad de datos, incluso en ausencia de una ley estatal integral de privacidad.
Derecho de Acción Privado
La CPPA también proporciona un derecho de acción privado para los consumidores perjudicados por prácticas comerciales injustas o engañosas. Los residentes individuales de DC pueden presentar demandas contra empresas que violen los estándares de protección al consumidor, incluidos los requisitos de privacidad de datos vinculados a la CPPA a través de la Sección 28-3853 del Código de DC.
Este mecanismo de aplicación privada complementa la aplicación pública del Fiscal General y brinda a los consumidores individuales una vía directa para buscar compensación por infracciones de privacidad.
Ley de Protección de la Privacidad Digital de los Estudiantes de 2016
La Ley de Protección de la Privacidad Digital de los Estudiantes de 2016 (D.C. Law 21-218) aborda el creciente uso de la tecnología en las escuelas de DC y las implicaciones de privacidad para los estudiantes. Esta ley entró en vigor el 1 de agosto de 2017.
Obligaciones del Operador Bajo la Sección 38-831.02 del Código de DC
La Sección 38-831.02 del Código de DC impone obligaciones específicas a los operadores de sitios web, servicios en línea y aplicaciones usados con fines educativos de prejardín de infantes hasta el grado 12:
Requisitos de Seguridad de Datos:
- Los operadores deben implementar y mantener políticas y procedimientos razonables de seguridad apropiados para la naturaleza de la información de identificación personal de los estudiantes
- Las medidas de seguridad deben proteger los datos de los estudiantes contra el acceso no autorizado, la destrucción, el uso, la modificación o la divulgación
- Los operadores deben tener disposiciones para notificar a las instituciones educativas y a las Agencias Educativas Locales (LEA) en caso de acceso no autorizado
Restricciones sobre el Uso de Datos:
- Los operadores no pueden usar la información de identificación personal de los estudiantes para publicidad dirigida basada en información adquirida a través del uso educativo de la plataforma
- Los operadores no pueden crear perfiles de los estudiantes con fines comerciales no educativos
- El uso de datos se limita a promover fines educativos de prejardín de infantes hasta el grado 12 o a mejorar la operatividad de la plataforma
Control y Eliminación de Datos:
- La información de identificación personal de los estudiantes proporcionada a los operadores se considera bajo el control de la LEA, no del operador
- Los operadores deben eliminar los datos de los estudiantes dentro de un período razonable después de la terminación o finalización de los servicios, a menos que la LEA solicite lo contrario
- Cualquier intercambio de datos con terceros debe incluir requisitos de que los destinatarios prohíban el uso adicional para otros fines e implementen medidas de seguridad razonables
Privacidad de Dispositivos y Cuentas de los Estudiantes
La Sección 38-831.04 del Código de DC proporciona protecciones directas para las cuentas digitales personales y los dispositivos de los estudiantes. Las instituciones educativas y el personal escolar tienen prohibido:
- Exigir o solicitar que los estudiantes divulguen nombres de usuario, contraseñas u otra información de autenticación de cuenta para cuentas de medios personales o dispositivos personales
- Exigir a los estudiantes que accedan a cuentas personales en presencia del personal escolar
- Obligar a los estudiantes a agregar al personal escolar u otras personas a cuentas personales
- Tomar medidas disciplinarias, incluida la expulsión o la prohibición de participar en actividades escolares, contra los estudiantes que rechacen cualquiera de estas solicitudes
Programas de Dispositivos 1 a 1
La Sección 38-831.03 del Código de DC aborda los programas en los que las escuelas proporcionan dispositivos individuales a los estudiantes para uso en el hogar. Las instituciones educativas que operan programas 1 a 1 deben proporcionar aviso por escrito a los padres y tutores sobre los tipos de datos que pueden ser recopilados, almacenados o transmitidos a través del dispositivo, y cualquier capacidad de monitoreo o rastreo.
Ley de Grabación e Intercepción de DC: § 23-542 del Código de DC

DC es una jurisdicción de consentimiento de una sola parte para grabar conversaciones. El § 23-542 del Código de DC prohíbe la intercepción, divulgación o uso intencional de comunicaciones alámbricas u orales sin consentimiento, pero establece una excepción clave para los participantes de una comunicación.
La Regla de Consentimiento de Una Sola Parte
Bajo el § 23-542(b)(3), una persona que no actúa bajo el color de la ley puede interceptar legalmente una comunicación alámbrica u oral cuando esa persona es parte de la comunicación, o cuando una de las partes de la comunicación ha dado su consentimiento previo. Esto significa que un residente de DC puede grabar una llamada telefónica o una conversación en persona en la que participa sin decirle a las otras partes, siempre que la grabación no se haga con el propósito de cometer un delito, un acto ilícito civil, u otro acto perjudicial.
La excepción de propósito ilícito es significativa. Si una grabación se hace para facilitar el acoso, el chantaje, u otro agravio civil bajo la ley de DC o federal, la defensa de consentimiento de una sola parte no se aplica.
Sanciones por Grabación Ilegal
Las sanciones penales bajo el § 23-542 incluyen una multa no mayor a la cantidad establecida en el § 22-3571.01 del Código de DC o prisión no mayor a cinco años, o ambas. La responsabilidad civil por intercepción, divulgación o uso ilegal es la mayor entre los daños reales, $100 por día por cada día de infracción, o $1,000, más daños punitivos, honorarios de abogados y costos de litigio.
Cómo se Cruza el Estatuto de Intercepción con la Ley de Privacidad
La regla de consentimiento de una sola parte de DC moldea las expectativas de privacidad de los residentes del Distrito de maneras que van más allá de los simples escenarios de grabación. Los empleadores que monitorean las comunicaciones de los empleados, los propietarios que graban áreas comunes, y los periodistas que graban a sus fuentes están todos sujetos al marco del § 23-542. Las organizaciones sujetas a la ley de notificación de violaciones de datos de DC que recopilan datos de audio o comunicaciones también deben evaluar si sus prácticas de recopilación y almacenamiento implican el § 23-542 y la prohibición más amplia de prácticas comerciales injustas de la CPPA.
Para más información sobre las reglas de consentimiento de grabación de DC en escenarios específicos, consulte la subpágina de leyes de grabación del Distrito de Columbia en este sitio.
DC como Distrito Federal: Panorama Único de Privacidad y Superposición Federal
El estatus del Distrito de Columbia como distrito federal, en lugar de un estado, crea un entorno regulatorio de privacidad distintivo que afecta tanto a los residentes como a las muchas organizaciones con sede o que operan en el Distrito.
Supervisión del Congreso
A diferencia de las legislaturas estatales que pueden promulgar legislación libremente, el Consejo de DC opera bajo un sistema en el que el Congreso retiene la autoridad final sobre los asuntos del Distrito a través de la Ley de Autonomía. Toda la legislación de DC debe pasar por un período de revisión del Congreso antes de entrar en vigor. La Ley de Enmienda de Protección contra Violaciones de Seguridad de 2020, por ejemplo, fue transmitida al Congreso para su revisión después de su aprobación por el Consejo de DC.
Esta estructura significa que las leyes de privacidad de DC existen dentro de un marco de supervisión federal que ningún estado experimenta. Aunque el Congreso rara vez ha anulado la legislación de DC, esta dinámica moldea el proceso legislativo y el cronograma.
Concentración de Agencias Federales
DC alberga a las principales agencias federales responsables de la aplicación de la privacidad a nivel nacional:
- La Comisión Federal de Comercio hace cumplir los estándares de privacidad bajo la Sección 5 de la Ley de la FTC y las leyes federales de privacidad específicas de sector
- Los reguladores financieros federales hacen cumplir las disposiciones de privacidad de la GLBA desde sus sedes en DC
- El Departamento de Salud y Servicios Humanos hace cumplir HIPAA desde Washington
- El Departamento de Educación supervisa el cumplimiento de FERPA
Las organizaciones con sede en DC, particularmente los contratistas gubernamentales y las entidades que hacen negocios con agencias federales, a menudo enfrentan requisitos federales de privacidad más estrictos que se superponen a los estatutos locales de DC.
La TAKE IT DOWN Act (Pub. L. 119-12): Aplicación de la FTC Vigente desde Mayo de 2026
La TAKE IT DOWN Act, firmada con apoyo bipartidista y codificada como Pub. L. 119-12, es la primera ley federal integral que aborda las imágenes íntimas no consensuadas (NCII) en plataformas en línea. La ley penaliza la publicación de representaciones visuales íntimas no consensuadas, incluidos los deepfakes generados por IA. El plazo de cumplimiento para las plataformas fue el 19 de mayo de 2026, momento en el cual la aplicación de la FTC entró en vigor.
Las plataformas cubiertas deben: (1) establecer un proceso para que las víctimas soliciten la eliminación de NCII; (2) proporcionar un aviso claro de ese proceso; y (3) eliminar el contenido marcado dentro de las 48 horas posteriores a recibir una solicitud válida. La FTC puede imponer sanciones civiles de hasta $53,088 por infracción.
Los residentes de DC que son víctimas de NCII ahora pueden solicitar la eliminación directamente a las plataformas cubiertas bajo la ley federal, con la aplicación de la FTC disponible para las plataformas que no cumplan. Esta protección federal se aplica además de cualquier remedio disponible de protección al consumidor de DC.
Consideraciones de Preferencia Federal
La ley de notificación de violaciones de DC incluye un puerto seguro para las entidades que cumplen con los estándares federales de seguridad bajo GLBA, HIPAA o HITECH. Esto refleja un reconocimiento práctico de que muchas organizaciones con sede en DC, especialmente en el sector de la salud y los servicios financieros, ya operan bajo regímenes federales rigurosos de privacidad.
Sin embargo, el cumplimiento federal no exime a las organizaciones de los requisitos de notificación de violaciones de DC. Incluso las entidades que satisfacen el puerto seguro de seguridad deben proporcionar notificación a los residentes afectados y al Fiscal General cuando ocurren violaciones.
Organizaciones de Cabildeo y Defensa
DC alberga a miles de asociaciones comerciales, organizaciones de defensa y firmas de cabildeo que recopilan y procesan datos personales. Estas organizaciones pueden no estar cubiertas por leyes federales de privacidad específicas de sector como HIPAA o GLBA, lo que hace que la Ley de Procedimientos de Protección al Consumidor de DC y los requisitos de notificación de violaciones sean particularmente relevantes para sus operaciones.
Legislación Emergente de Privacidad en DC

El Distrito continúa desarrollando su marco de privacidad. A partir de mayo de 2026, DC no tiene una ley integral de privacidad del consumidor. Varios proyectos de ley en las sesiones actuales y anteriores del Consejo reflejan la dirección de la legislación de privacidad de DC.
Ley de Protección de la Privacidad de la Información de Salud del Consumidor (CHIPPA): 25.º Consejo, No Aprobada
En 2024, el Fiscal General Brian Schwalb presentó la CHIPPA, Proyecto de Ley B25-0930, para proteger los datos de salud en poder de entidades fuera del alcance de HIPAA, incluidas las empresas de aplicaciones de fitness y los grupos de apoyo a pacientes. El proyecto de ley recibió una audiencia pública ante el Comité de Salud del Consejo de DC el 17 de octubre de 2024. EPIC y la ACLU de DC testificaron a favor. La CHIPPA no fue aprobada en la sesión del 25.º Consejo (2023-2024) y murió en comité al final de ese período legislativo.
Las protecciones propuestas clave de la CHIPPA incluían: exigir consentimiento antes de recopilar o compartir datos de salud del consumidor; otorgar a los consumidores el derecho de acceder y eliminar sus datos de salud; prohibir el geocercado alrededor de las ubicaciones de proveedores de servicios de salud; y exigir la divulgación de cómo se comparten los datos de salud con terceros.
26.º Consejo: Proyectos de Ley Activos de Privacidad de Salud y de Datos Gubernamentales
En la sesión actual del 26.º Consejo (2025-2026), hay dos proyectos de ley relevantes pendientes:
B26-0525 (Ley de Enmienda de Seguridad de Datos de Salud Personal de 2025) fue presentada el 1 de diciembre de 2025 y remitida al Comité de Salud. Se celebró una audiencia de mesa redonda el 23 de marzo de 2026. El proyecto de ley prohibiría el geocercado alrededor de instalaciones de salud, exigiría consentimiento antes de recopilar o compartir datos de salud personal, establecería derechos de acceso y eliminación, y exigiría políticas de privacidad claras. A partir de mayo de 2026, el proyecto de ley permanece en comité y no ha sido aprobado.
B26-0670 (Ley de Privacidad y Protección de Datos del Gobierno del Distrito de Columbia de 2026) fue presentada el 27 de abril de 2026 y remitida al Comité de Obras Públicas y Operaciones. A partir de mayo de 2026, el proyecto de ley se encuentra en etapa de introducción inicial.
Ambos proyectos de ley señalan un impulso legislativo continuo hacia protecciones de privacidad ampliadas en DC, aunque ninguno ha sido promulgado.
Legislación Federal Integral de Privacidad
A nivel federal, la SECURE Data Act (HR 8413) fue presentada en abril de 2026 por miembros del Comité de Energía y Comercio de la Cámara de Representantes. El proyecto de ley establecería un estándar nacional uniforme de privacidad del consumidor y anularía las leyes estatales integrales de privacidad, aunque permanece en etapas legislativas iniciales. Los residentes y las organizaciones de DC deben monitorear esta legislación, ya que la preferencia federal afectaría significativamente el panorama de privacidad estado por estado.
Lista de Verificación de Cumplimiento para Organizaciones que Operan en DC
Las organizaciones que manejan información personal de residentes de DC deben tomar estos pasos para garantizar el cumplimiento de la ley de privacidad vigente de DC:
Seguridad de Datos:
- Implementar y mantener salvaguardas de seguridad razonables apropiadas para la naturaleza y sensibilidad de la información personal recopilada
- Documentar las políticas, procedimientos y prácticas de seguridad
- Realizar evaluaciones de seguridad periódicas y abordar las vulnerabilidades identificadas
- Si está sujeta a GLBA, HIPAA o HITECH, mantener el cumplimiento de esos estándares federales para satisfacer el puerto seguro de seguridad de DC
Planificación de Respuesta a Violaciones:
- Desarrollar un plan de respuesta a incidentes por escrito que aborde los requisitos específicos de notificación de DC
- Establecer procesos para identificar rápidamente cuándo una violación afecta a residentes de DC
- Preparar plantillas para cartas de notificación individual e informes al Fiscal General
- Identificar proveedores capaces de proporcionar servicios de protección contra el robo de identidad de 18 meses cuando se comprometan números de Seguro Social o de identificación de contribuyente
Procedimientos de Notificación:
- Notificar a los residentes afectados de DC en el tiempo más expedito posible y sin demora injustificada
- Proporcionar aviso por escrito al Fiscal General de DC cuando se vean afectados 50 o más residentes
- Incluir todos los elementos requeridos en las notificaciones al Fiscal General, incluida la causa de la violación, las acciones correctivas y cualquier participación de un país extranjero
- Ofrecer protección gratuita contra el robo de identidad cuando se involucren números de Seguro Social o de identificación de contribuyente
TAKE IT DOWN Act (para operadores de plataformas):
- Establecer y publicar un proceso para que los usuarios soliciten la eliminación de imágenes íntimas no consensuadas
- Construir un flujo de trabajo de eliminación de 48 horas para solicitudes válidas de NCII
- Revisar la guía de la FTC sobre cumplimiento; las sanciones civiles alcanzan $53,088 por infracción
Datos de Estudiantes (para Operadores de Tecnología Educativa):
- Limitar el uso de la información de los estudiantes a fines educativos
- Nunca usar los datos de los estudiantes para publicidad dirigida
- Implementar medidas de seguridad para la información de los estudiantes
- Eliminar los datos de los estudiantes después de que finalicen los servicios, a menos que la LEA solicite su retención
- Proporcionar aviso sobre las prácticas de recopilación de datos para los programas de dispositivos 1 a 1
Preguntas frecuentes
¿DC tiene una ley integral de privacidad de datos del consumidor como California o Virginia?
No. A partir de mayo de 2026, el Distrito de Columbia no tiene una ley integral de privacidad de datos del consumidor comparable a la Ley de Privacidad del Consumidor de California o la Ley de Protección de Datos del Consumidor de Virginia. DC se basa en una combinación de su ley de notificación de violaciones (Secciones 28-3851 a 28-3853 del Código de DC), la Ley de Procedimientos de Protección al Consumidor (Capítulo 39 del Título 28 del Código de DC), y la Ley de Protección de la Privacidad Digital de los Estudiantes (D.C. Law 21-218), junto con leyes federales de privacidad. Hay legislación pendiente en la sesión del 26.º Consejo, incluidos el B26-0525 (Ley de Enmienda de Seguridad de Datos de Salud Personal) y el B26-0670 (Ley de Privacidad y Protección de Datos del Gobierno de DC de 2026), pero ninguno ha sido aprobado a partir de mayo de 2026.
¿Con qué rapidez deben las empresas notificar a los residentes de DC y al Fiscal General después de una violación de datos?
La ley de DC exige la notificación en el tiempo más expedito posible y sin demora injustificada. El estatuto no establece un número específico de días. Se requiere un aviso por escrito al Fiscal General de DC cuando una violación afecta a 50 o más residentes del Distrito, y ese aviso debe enviarse a más tardar cuando se proporciona el aviso a las personas afectadas. La notificación al Fiscal General debe incluir la naturaleza del incidente, los tipos de información personal comprometida, el número de residentes afectados, las acciones correctivas tomadas, y cualquier conocimiento de la participación de un país extranjero.
¿Qué tipos de datos están cubiertos bajo la ley de notificación de violaciones de DC después de las enmiendas de 2020?
La Ley de Enmienda de Protección contra Violaciones de Seguridad de 2020 (D.C. Law 23-98) amplió significativamente la definición de información personal de DC. Los datos cubiertos ahora incluyen números de Seguro Social, números de identificación de contribuyente, números de pasaporte, números de licencia de conducir o de identificación de DC, números de identificación militar, números de cuentas financieras con credenciales de acceso, información médica sobre tratamiento dental, médico o de salud mental, números de póliza de seguro médico e identificadores de suscriptor, y datos biométricos como huellas dactilares, impresiones de voz, huellas genéticas, e imágenes de retina o iris usadas para la autenticación de identidad.
¿Las agencias del gobierno de DC están sujetas a las mismas reglas de notificación de violaciones de datos que las empresas privadas?
No. La Sección 28-3851 del Código de DC excluye específicamente al gobierno del Distrito de Columbia y a sus agencias e instrumentalidades de la definición de 'persona o entidad' sujeta a la ley de notificación de violaciones. Las agencias del gobierno de DC están sujetas en cambio a políticas separadas de gobernanza de datos y privacidad establecidas por la Oficina del Director de Tecnología de DC y otras agencias del Distrito. Sin embargo, los contratistas privados que manejan datos personales en nombre de las agencias del gobierno de DC pueden seguir estando sujetos a los requisitos de notificación de violaciones para los datos que mantienen, manejan o poseen.
¿Qué sanciones puede imponer el Fiscal General de DC por infracciones de las leyes de privacidad de datos?
Las infracciones de la ley de notificación de violaciones de DC se clasifican como prácticas comerciales injustas o engañosas bajo la Sección 28-3904 del Código de DC. El Fiscal General de DC puede buscar sanciones civiles de hasta $5,000 por la primera infracción y hasta $10,000 por infracciones subsecuentes bajo la Sección 28-3909 del Código de DC. El Fiscal General también puede obtener medidas cautelares temporales o permanentes, órdenes que exijan acciones correctivas, y restitución al consumidor sin necesidad de probar daños. El acuerdo de 2024 con Blackbaud, en el que el Fiscal General aseguró más de $355,000 más compromisos de revisión de seguridad de datos, ilustra cómo se aplican estas herramientas de aplicación de la ley en la práctica.
¿DC es un estado de consentimiento de una sola parte o de dos partes para grabar conversaciones?
DC es una jurisdicción de consentimiento de una sola parte bajo el § 23-542 del Código de DC. Usted puede grabar legalmente una llamada telefónica o una conversación en persona en la que participa sin notificar a las otras partes. Sin embargo, la excepción de consentimiento de una sola parte no se aplica si la grabación se hace con el propósito de cometer un delito, un acto ilícito civil, u otro acto perjudicial bajo la ley federal o de DC. Violar el § 23-542 puede resultar en sanciones penales de hasta cinco años de prisión y responsabilidad civil por la mayor cantidad entre los daños reales, $100 por día, o $1,000, más daños punitivos y honorarios de abogados.
¿Qué exige la TAKE IT DOWN Act, y se aplica a los residentes de DC?
Sí, la TAKE IT DOWN Act (Pub. L. 119-12) se aplica a nivel nacional, incluidos los residentes de DC. Firmada con apoyo bipartidista, la ley penaliza la publicación de representaciones visuales íntimas no consensuadas, incluidos los deepfakes generados por IA. A partir del 19 de mayo de 2026, las plataformas en línea cubiertas deben operar un proceso de solicitud de eliminación y eliminar el contenido marcado dentro de las 48 horas posteriores a una solicitud válida. La FTC hace cumplir estas obligaciones de las plataformas y puede imponer sanciones civiles de hasta $53,088 por infracción. Los residentes de DC que son víctimas de imágenes íntimas no consensuadas ahora pueden enviar solicitudes de eliminación directamente a las plataformas cubiertas bajo esta ley federal.
¿Cómo pueden los residentes de DC presentar una queja de privacidad o de violación de datos?
Los residentes de DC pueden presentar quejas de protección al consumidor y privacidad de datos directamente ante la Oficina del Fiscal General de DC en oag.dc.gov. El Equipo de Respuesta al Consumidor e Inquilinos de la OAG maneja las quejas y ha asegurado millones en restitución al consumidor a través de la mediación. Para infracciones federales de privacidad, los residentes también pueden presentar quejas ante la FTC en ftc.gov/complaint. Para infracciones de privacidad relacionadas con la salud que involucren entidades cubiertas por HIPAA, las quejas se dirigen a la Oficina de Derechos Civiles del HHS en hhs.gov/hipaa. Para infracciones de privacidad de datos estudiantiles, contacte a la Oficina del Superintendente de Estado de Educación de DC (OSSE).
¿Cuál es el estado de los proyectos de ley pendientes de privacidad de datos de salud de DC?
A partir de mayo de 2026, hay dos proyectos de ley de privacidad de datos de salud pendientes en el 26.º Consejo de DC. El B26-0525 (Ley de Enmienda de Seguridad de Datos de Salud Personal de 2025), presentado el 1 de diciembre de 2025, prohibiría el geocercado cerca de instalaciones de salud, exigiría consentimiento para la recopilación e intercambio de datos de salud, y establecería derechos de eliminación. Recibió una audiencia de mesa redonda el 23 de marzo de 2026, y permanece en comité. Un proyecto de ley anterior, la CHIPPA (B25-0930), murió en el 25.º Consejo sin ser aprobado. Ninguno de los dos proyectos ha sido promulgado como ley.
Fuentes y referencias
- Sección 28-3851 del Código de DC: Definiciones(code.dccouncil.gov).gov
- Sección 28-3852 del Código de DC: Notificación de Violación de Seguridad(code.dccouncil.gov).gov
- Sección 28-3852.01 del Código de DC: Requisitos de Seguridad(code.dccouncil.gov).gov
- Sección 28-3852.02 del Código de DC: Remedios(code.dccouncil.gov).gov
- Sección 28-3853 del Código de DC: Aplicación de la Ley(code.dccouncil.gov).gov
- D.C. Law 23-98: Ley de Enmienda de Protección contra Violaciones de Seguridad de 2020(code.dccouncil.gov).gov
- Capítulo 39 del Código de DC: Ley de Procedimientos de Protección al Consumidor(code.dccouncil.gov).gov
- Sección 28-3909 del Código de DC: Restricción de Actos Prohibidos(code.dccouncil.gov).gov
- D.C. Law 21-218: Ley de Protección de la Privacidad Digital de los Estudiantes de 2016(code.dccouncil.gov).gov
- Sección 38-831.02 del Código de DC: Obligaciones del Operador(code.dccouncil.gov).gov
- Sección 38-831.04 del Código de DC: Privacidad de Cuentas Estudiantiles(code.dccouncil.gov).gov
- Fiscal General de DC: Alerta al Consumidor sobre Privacidad en Línea(oag.dc.gov).gov
- Fiscal General de DC: Acuerdo con Blackbaud(oag.dc.gov).gov
- Fiscal General de DC: Presentación de la CHIPPA(oag.dc.gov).gov
- OSSE: Política de Privacidad Estudiantil(osse.dc.gov).gov
- FTC: Aplicación de Privacidad y Seguridad(ftc.gov).gov
- § 23-542 del Código de DC: Prohibición de Intercepción, Divulgación y Uso de Comunicaciones Alámbricas u Orales(code.dccouncil.gov).gov
- Fiscal General de DC: El Fiscal General Racine Anuncia que Google Debe Pagar $9.5 Millones por Rastreo de Ubicación Engañoso (2022)(oag.dc.gov).gov
- Fiscal General de DC: Schwalb Anuncia un Acuerdo Multiestatal de $700 Millones con Google (2023)(oag.dc.gov).gov
- Fiscal General de DC: El Fiscal General Racine Demanda a Mark Zuckerberg por Fallas de Privacidad de Cambridge Analytica(oag.dc.gov).gov
- Fiscal General de DC: Informe de Impacto 2025(oag.dc.gov).gov
- LIMS del Consejo de DC: B25-0930 Ley de Protección de la Privacidad de la Información de Salud del Consumidor (25.º Consejo)(lims.dccouncil.gov).gov