District of Columbia
Leyes de Notificación de Violaciones de Datos del Distrito de Columbia: Reglas y Plazos para Reportar (2026)

Las empresas que recopilan información personal de residentes del Distrito de Columbia deben notificar a las personas afectadas en el tiempo más expedito posible y sin demora injustificada después de una violación de datos que cumpla los requisitos, conforme al Código de DC 28-3852. Las organizaciones que alcancen 50 o más residentes de DC afectados también deben notificar al Fiscal General.
El Distrito de Columbia tiene una de las leyes de notificación de violaciones de datos más estrictas del país. Mientras que muchos estados fijan los umbrales de reporte al Fiscal General en 250, 500 o incluso 1,000 residentes afectados, DC activa esa obligación con apenas 50 personas. Combinado con un derecho de acción privada que permite a los consumidores buscar el triple de los daños y un requisito obligatorio de protección contra robo de identidad de 18 meses para violaciones que involucren números de Seguro Social, el Distrito otorga a sus residentes herramientas reales para exigir responsabilidad a las organizaciones.
Esta guía cubre cada disposición clave del marco de notificación de violaciones de DC, desde quién debe cumplir y qué activa una notificación hasta los mecanismos de aplicación y los remedios para el consumidor. Para el panorama más amplio de las protecciones de privacidad de DC, consulte la guía principal sobre Leyes de Privacidad de Datos del Distrito de Columbia.
El Estatuto que Rige: Código de DC 28-3851 al 28-3853
Los requisitos de notificación de violaciones de DC se encuentran en el Subcapítulo II del Capítulo 38 del Título 28 del Código de DC. La ley original se promulgó en 2007 y se fortaleció significativamente mediante la Ley de Enmienda de Protección contra Violaciones de Seguridad de 2020 (Ley de DC 23-98), que entró en vigor el 17 de junio de 2020.
El subcapítulo ahora contiene seis secciones:
- Código de DC 28-3851: Definiciones
- Código de DC 28-3852: Notificación de violación de seguridad
- Código de DC 28-3852.01: Requisitos de seguridad
- Código de DC 28-3852.02: Remedios (protección contra robo de identidad)
- Código de DC 28-3852.03: Facultad reglamentaria
- Código de DC 28-3853: Aplicación de la ley
La enmienda de 2020 amplió la definición de información personal, agregó requisitos de seguridad obligatorios, creó la obligación de notificar al Fiscal General y estableció remedios para violaciones que involucren números de Seguro Social.
Quién Debe Cumplir
La ley aplica a cualquier persona o entidad que realice negocios en el Distrito de Columbia y sea propietaria o tenga licencia sobre datos computarizados u otros datos electrónicos que incluyan información personal de residentes de DC. También aplica a las entidades que mantienen, manejan o de otro modo poseen dichos datos en nombre del propietario de los datos.
Las agencias del gobierno de DC están excluidas de la definición de "persona o entidad" bajo el estatuto, aunque pueden estar sujetas a requisitos de protección de datos independientes.
Si usted es un proveedor de servicios externo que posee información personal en nombre de otra organización, debe notificar al propietario o licenciatario de los datos cuando descubra una violación. El propietario de los datos entonces asume la responsabilidad de notificar a los residentes afectados.
Qué Cuenta como Información Personal

El Código de DC 28-3851 define la información personal de manera amplia. Incluye el nombre de pila o inicial y apellido de una persona, o su número de teléfono, o su dirección, combinados con cualquiera de los siguientes elementos de datos:
- Número de Seguro Social
- Número de licencia de conducir o tarjeta de identificación de DC
- Número de pasaporte
- Número de identificación fiscal
- Número de identificación militar
- Número de cuenta financiera (número de tarjeta de crédito o débito con cualquier código de seguridad, código de acceso o contraseña requerida)
- Información médica (cualquier dato sobre tratamiento o diagnóstico dental, médico o de salud mental por un proveedor de atención médica)
- Información genética (según se define en la HIPAA en 45 C.F.R. 160.103)
- Información de seguro médico (número de póliza o de suscriptor combinado con un identificador único usado por la aseguradora)
- Datos biométricos (huellas dactilares, huellas de voz, imágenes de retina o iris, u otras características biológicas únicas usadas para autenticación)
- Dirección de correo electrónico combinada con una contraseña, respuesta a una pregunta de seguridad u otro dato de autenticación
Esta es una de las definiciones más amplias entre las jurisdicciones de EE. UU. La inclusión de datos biométricos, información genética, registros médicos y credenciales de correo electrónico va mucho más allá del modelo de nombre más número de Seguro Social que usaban las leyes estatales más antiguas.
Se excluye la información disponible públicamente y accesible legalmente a través de registros gubernamentales federales, estatales o locales.
Qué Activa una Notificación
Surge una obligación de notificación cuando ocurre una "violación de la seguridad del sistema", definida como la adquisición no autorizada de datos computarizados u otros datos electrónicos, o de cualquier equipo o dispositivo que almacene dichos datos, que comprometa la seguridad, confidencialidad o integridad de la información personal.
Tres situaciones están excluidas de la definición:
- Acceso de buena fe por parte de un empleado. Si un empleado o agente accede a información personal en el curso de sus funciones y no la usa ni la divulga de forma no autorizada, eso no constituye una violación.
- Datos cifrados o redactados. La adquisición de datos que hayan sido asegurados mediante cifrado o redacción no constituye una violación, a menos que las claves de cifrado o los métodos de redacción también hayan sido comprometidos.
- Sin riesgo de daño. Después de una investigación de buena fe, si la entidad determina razonablemente que es poco probable que la información adquirida cause daño a las personas afectadas, no se requiere notificación.
El puerto seguro del cifrado es significativo. Si su organización cifra la información personal en reposo y en tránsito, y una parte no autorizada obtiene acceso a los datos cifrados pero no a las claves de descifrado, no está obligado a notificar.
Cronograma y Requisitos de Notificación
Cuándo Notificar
El Código de DC 28-3852 exige la notificación "en el tiempo más expedito posible y sin demora injustificada". El estatuto no establece un plazo fijo medido en días calendario, a diferencia de los estados que especifican 30, 45 o 60 días.
El cronograma debe ser compatible con:
- Las necesidades legítimas de las fuerzas del orden (la notificación puede retrasarse si las autoridades determinan que impediría una investigación penal)
- Las medidas necesarias para determinar el alcance de la violación y restaurar la integridad razonable del sistema de datos
Una vez que se levante cualquier demora solicitada por las fuerzas del orden, la notificación debe proceder lo antes posible.
Qué Debe Incluir el Aviso
Las notificaciones escritas de violación a los residentes afectados de DC deben contener:
- Una descripción de las categorías de información personal que fueron, o que razonablemente se cree que fueron, comprometidas
- Información de contacto de la entidad que notifica
- Números de teléfono de las principales agencias de informes de crédito al consumidor
- Información sobre cómo colocar un bloqueo de seguridad en los informes de crédito
- Información de contacto de la Comisión Federal de Comercio y de la Oficina del Fiscal General de DC
- Orientación sobre la prevención del robo de identidad de la FTC y del Fiscal General
Métodos de Notificación
La notificación puede entregarse mediante:
- Aviso escrito enviado a la última dirección postal conocida de la persona afectada
- Aviso electrónico si la entidad tiene una dirección de correo electrónico válida y la persona ha consentido a la comunicación electrónica
- Aviso sustitutivo si el costo de la notificación directa superaría los $50,000, el grupo afectado supera las 100,000 personas, o la entidad carece de información de contacto suficiente (el aviso sustitutivo requiere correo electrónico a las direcciones conocidas, publicación visible en el sitio web y notificación a los principales medios de comunicación del área de DC)
El Umbral de 50 Residentes para Notificar al Fiscal General

Una de las disposiciones más distintivas de DC es su bajo umbral para notificar al Fiscal General. Conforme al Código de DC 28-3852(b-1), cuando una violación afecta a 50 o más residentes del Distrito, la entidad debe enviar aviso escrito a la Oficina del Fiscal General.
En comparación, muchos estados fijan este umbral en 250 o 500, y algunos no tienen ningún requisito de notificación al Fiscal General. El bajo umbral de DC significa que incluso una violación relativamente pequeña que involucre información personal de residentes de DC requerirá un reporte formal al Fiscal General.
El aviso al Fiscal General debe proporcionarse "en la forma más expedita posible, sin demora injustificada" y a más tardar en el momento en que se envía el aviso a los residentes afectados. El aviso al Fiscal General debe incluir:
- La naturaleza de la violación
- Los tipos de información personal comprometida
- El número de residentes de DC afectados
- La causa de la violación, si se conoce
- Las medidas correctivas tomadas o planificadas
- La fecha y el marco temporal de la violación
- La dirección de la sede corporativa si la entidad está ubicada fuera del Distrito
Cuando se notifica a 1,000 o más personas, la entidad también debe informar a las agencias de informes de crédito al consumidor a nivel nacional sobre el momento, la distribución y el contenido de las notificaciones.
Protección Obligatoria contra Robo de Identidad

El Código de DC 28-3852.02 exige que, cuando una violación incluya o razonablemente se crea que incluye un número de Seguro Social o número de identificación fiscal, la entidad debe ofrecer a cada residente de DC afectado servicios de protección contra robo de identidad sin costo durante al menos 18 meses.
La entidad también debe proporcionar toda la información necesaria para que los residentes se inscriban en esos servicios. Esto no es opcional ni discrecional. Cualquier violación que involucre números de Seguro Social o identificaciones fiscales activa automáticamente esta obligación.
Este requisito de 18 meses es más largo que el estándar de 12 meses que usan muchos estados, lo que otorga a los residentes de DC un período extendido de monitoreo después de que se comprometan sus identificadores más sensibles.
Requisitos de Seguridad de Datos
La enmienda de 2020 agregó el Código de DC 28-3852.01, que impone obligaciones afirmativas de seguridad. Cualquier entidad que posea información personal de residentes de DC debe "implementar y mantener salvaguardas de seguridad razonables, incluyendo procedimientos y prácticas apropiadas a la naturaleza de la información personal".
Este estándar exige que las organizaciones consideren la sensibilidad de los datos y el tamaño y complejidad de sus operaciones al diseñar las medidas de seguridad. La ley no prescribe controles técnicos específicos; en su lugar, utiliza el estándar de "razonabilidad" común en la regulación de seguridad de datos.
Proveedores de Servicios Externos
Cuando las entidades contratan a proveedores de servicios externos que manejarán información personal, deben ejecutar acuerdos escritos que exijan a esos proveedores mantener procedimientos y prácticas de seguridad razonables apropiados a la naturaleza de los datos.
Destrucción de Registros
Al destruir registros físicos o digitales que contengan información personal, las entidades deben tomar medidas razonables para prevenir el acceso no autorizado. Los factores a considerar incluyen la sensibilidad de los registros, el tamaño del negocio, la tecnología disponible y el costo de los métodos de destrucción.
Puerto Seguro de Cumplimiento Federal
Las organizaciones que cumplen con los requisitos de seguridad de datos de la Ley Gramm-Leach-Bliley (Título V), la HIPAA o la Ley HITECH se consideran que cumplen automáticamente con los requisitos de seguridad de DC. Este puerto seguro aplica únicamente a las disposiciones de seguridad. No exime a las organizaciones de los requisitos de notificación independientes, y las entidades que califican para el puerto seguro de seguridad aún deben notificar al Fiscal General cuando 50 o más residentes de DC se vean afectados por una violación.
Aplicación de la Ley y Sanciones
Clasificación como Práctica Comercial Injusta o Engañosa
El Código de DC 28-3853 clasifica cualquier infracción del subcapítulo de notificación de violaciones como una práctica comercial injusta o engañosa conforme al Código de DC 28-3904(kk). Este es un mecanismo de aplicación poderoso porque habilita todos los remedios disponibles bajo la Ley de Procedimientos de Protección al Consumidor de DC.
Derecho de Acción Privada
Los residentes de DC tienen un derecho de acción privada conforme al Código de DC 28-3905(k). Los consumidores perjudicados por una infracción de la ley de notificación de violaciones pueden presentar una demanda en la Corte Superior de DC y recuperar:
- El triple de los daños o $1,500 por infracción, lo que sea mayor
- Honorarios razonables de abogado
- Daños punitivos en los casos apropiados
- Medidas cautelares para detener infracciones en curso
- Cualquier otro remedio que el tribunal determine apropiado
Para infracciones de los requisitos de seguridad de datos específicamente (Sección 28-3852.01), los consumidores pueden recuperar daños reales. La disposición del triple de daños aplica a las infracciones de notificación bajo la Sección 28-3852.
Esta combinación de daños triplicados y recuperación de honorarios de abogado crea un incentivo significativo para la aplicación privada, incluso cuando las pérdidas individuales de una violación son relativamente pequeñas.
Aplicación por el Fiscal General
El Fiscal General de DC puede iniciar acciones de aplicación en la Corte Superior de DC buscando medidas cautelares y restitución. No se exige al Fiscal General probar daños para obtener una medida cautelar, y no se requiere fianza. La oficina del Fiscal General ha perseguido activamente acciones de aplicación por violaciones de datos.
Las acciones de aplicación recientes incluyen un acuerdo de más de $350,000 contra la firma de software Blackbaud en una acción multiestatal relacionada con un ataque de ransomware que expuso información personal de organizaciones sin fines de lucro y escuelas. DC también participó en el acuerdo de $600 millones con Equifax y en un acuerdo de $148 millones con Uber por notificación tardía de una violación.
Remedios Acumulativos
El estatuto especifica que los derechos y remedios disponibles bajo la ley de notificación de violaciones son acumulativos entre sí y con cualquier otro derecho y remedio disponible bajo la ley. Esto significa que los consumidores pueden presentar reclamos tanto bajo el estatuto de notificación de violaciones como bajo cualquier otra ley aplicable simultáneamente.
Cumplimiento Federal y Preempción
Las entidades que cumplen con las disposiciones de notificación de violaciones de la Ley Gramm-Leach-Bliley o la HIPAA se consideran en cumplimiento con los requisitos de notificación a residentes de DC conforme al Código de DC 28-3852. Sin embargo, este puerto seguro no exime a esas entidades del requisito de notificación al Fiscal General. Incluso las entidades cubiertas por HIPAA deben notificar al Fiscal General de DC cuando una violación afecte a 50 o más residentes de DC.
No existe preempción federal de la ley de notificación de violaciones de DC. Las disposiciones federales de puerto seguro son aditivas, no preemptivas, lo que significa que las organizaciones aún deben cumplir con los requisitos específicos de DC que van más allá de los mandatos federales.
Este artículo ofrece información legal general sobre las leyes de notificación de violaciones de datos del Distrito de Columbia y no constituye asesoría legal. Los requisitos de notificación de violaciones de datos implican obligaciones sensibles al tiempo y posibles sanciones. Consulte a un abogado con licencia en el Distrito de Columbia para obtener orientación sobre su situación específica.
¿Afectado por una filtración de datos o una violación de privacidad biométrica?
Si sus datos personales quedaron expuestos en una filtración, o si su huella dactilar o escaneo facial se recopiló sin su consentimiento, podría ser elegible para unirse a un reclamo por compensación. Averígüelo gratis y sin compromiso.
Fuentes y referencias
- Código de DC 28-3851 - Definiciones(code.dccouncil.gov).gov
- Código de DC 28-3852 - Notificación de violación de seguridad(code.dccouncil.gov).gov
- Código de DC 28-3852.01 - Requisitos de seguridad(code.dccouncil.gov).gov
- Código de DC 28-3852.02 - Remedios(code.dccouncil.gov).gov
- Código de DC 28-3853 - Aplicación de la ley(code.dccouncil.gov).gov
- Código de DC 28-3904 - Prácticas comerciales injustas o engañosas(code.dccouncil.gov).gov
- Código de DC 28-3905 - Procedimientos de queja(code.dccouncil.gov).gov
- Ley de DC 23-98 - Ley de Enmienda de Protección contra Violaciones de Seguridad de 2020(code.dccouncil.gov).gov
- Información de Privacidad del Consumidor de la Oficina del Fiscal General de DC(oag.dc.gov).gov
- Acuerdo del Fiscal General Schwalb por la Violación de Datos de Blackbaud(oag.dc.gov).gov
- Acuerdo por la Violación de Datos de Equifax(oag.dc.gov).gov
- Acuerdo por la Violación de Datos de Uber(oag.dc.gov).gov