Georgia
Leyes de Notificación de Violaciones de Datos de Georgia: Reglas de Reporte y Plazos (2026)

Georgia exige que los recolectores de datos y los corredores de información notifiquen a los residentes afectados de una violación de seguridad en el tiempo más expedito posible y sin demora injustificada bajo el O.C.G.A. 10-1-912. La ley no establece un plazo específico en días y no impone sanciones por notificación tardía.

La ley de notificación de violaciones de datos de Georgia, parte de la Ley de Protección de la Identidad Personal del estado (Código de Georgia 10-1-910 a 10-1-912), se ha mantenido en gran parte sin cambios desde su promulgación en 2005. Si bien los 50 estados ahora cuentan con leyes de notificación de violaciones de datos, la de Georgia destaca por lo que le falta: sin plazo de notificación fijo, sin requisito de reporte al Fiscal General, sin sanciones específicas, y sin derecho de acción privado para los consumidores afectados.
Para las empresas que operan en Georgia, esto significa que las obligaciones de notificación son relativamente ligeras en comparación con los estados vecinos. Para los residentes de Georgia, significa menos protecciones legales cuando sus datos personales se ven comprometidos. Esta guía desglosa exactamente qué exige la ley, dónde queda corta, y cómo han sido los esfuerzos de reforma.
Quién debe cumplir
La ley de notificación de violaciones de datos de Georgia se aplica a dos categorías de entidades definidas bajo el Código de Georgia 10-1-911:
Los corredores de información son personas o entidades que recopilan y transmiten información personal sobre personas a terceros para fines no relacionados con la transacción. Piense en corredores de datos, empresas de informes de crédito al consumidor y servicios de verificación de antecedentes.
Los recolectores de datos son agencias gubernamentales estatales y locales que mantienen datos computarizados que contienen información personal de personas. Ciertas agencias gubernamentales enfocadas en la seguridad vial, la aplicación de la ley o las licencias están excluidas de esta definición.
Cualquier persona o empresa que mantenga datos computarizados en nombre de un corredor de información o recolector de datos también tiene obligaciones bajo la ley. Estos proveedores de servicios externos deben notificar al propietario de los datos dentro de las 24 horas posteriores al descubrimiento de una violación.
Qué activa una notificación
Una "violación de la seguridad del sistema" significa la adquisición no autorizada de los datos electrónicos de una persona que compromete la seguridad, la confidencialidad o la integridad de la información personal mantenida por un corredor de información o un recolector de datos.
La palabra clave es "adquisición". El acceso de buena fe por parte de un empleado o agente del corredor de información o del recolector de datos no cuenta como una violación, siempre que la información personal no se use para un fin no autorizado ni se divulgue a un tercero no autorizado.
Definición de información personal
Bajo el Código de Georgia 10-1-911(6), la información personal protegida significa el nombre o la inicial del nombre y el apellido de una persona combinados con uno o más de:
- Número de Seguro Social
- Número de licencia de conducir o de identificación estatal
- Número de cuenta financiera, número de tarjeta de crédito o de débito, si es utilizable sin información de identificación adicional, códigos de acceso o contraseñas
- Contraseñas de cuentas, PIN u otros códigos de acceso
La definición también cubre elementos de datos independientes (sin el nombre) si la información comprometida fuera suficiente para cometer o intentar el robo de identidad.
La definición de Georgia es notablemente estrecha. A diferencia de estados como Delaware o California, Georgia no incluye los registros médicos, la información de seguro médico, los datos biométricos, los números de pasaporte, o los números de identificación fiscal como elementos de datos protegidos.
La información disponible públicamente a partir de registros gubernamentales está excluida.
Plazo de notificación
Georgia exige la notificación "en el tiempo más expedito posible y sin demora injustificada". La ley no establece un número específico de días.
Este estándar impreciso le da flexibilidad a las empresas, pero también le da poco recurso al consumidor si una empresa se demora. Compare esto con Alabama (45 días), Florida (30 días), o Colorado (30 días), que establecen plazos firmes.
El plazo de notificación puede tomar en cuenta:
- Las medidas necesarias para determinar el alcance de la violación
- Los pasos necesarios para restaurar la integridad razonable del sistema de datos
- Las necesidades legítimas de la aplicación de la ley (la notificación puede retrasarse si la aplicación de la ley determina que impediría una investigación criminal)
Cómo debe proporcionarse la notificación
Las entidades pueden notificar a los residentes afectados de Georgia mediante cualquiera de estos métodos bajo el Código de Georgia 10-1-912:
- Notificación escrita enviada a la persona
- Notificación telefónica a la persona
- Notificación electrónica que cumpla con la Ley federal E-SIGN (15 U.S.C. 7001)
Notificación sustitutiva
La notificación sustitutiva está disponible cuando la notificación directa es poco práctica porque:
- El costo de proporcionar la notificación supera los $50,000
- El número de personas afectadas supera las 100,000
- La entidad no cuenta con información de contacto suficiente
La notificación sustitutiva exige los tres pasos siguientes:
- Notificación por correo electrónico a las personas afectadas (si hay direcciones disponibles)
- Publicación visible en el sitio web de la entidad (si mantiene uno)
- Notificación a través de los principales medios de comunicación estatales
Contenido del aviso
El estatuto de Georgia no especifica qué información debe contener la notificación. Este es otro vacío. Muchos estados exigen que las notificaciones incluyan una descripción de la violación, los tipos de datos expuestos, las medidas que el consumidor puede tomar, e información de contacto de la empresa. Georgia deja el contenido enteramente a discreción de la entidad notificadora.
Notificación a agencias gubernamentales
Georgia no exige la notificación al Fiscal General ni a ninguna otra agencia estatal bajo el estatuto general de notificación de violaciones de datos. Este es un vacío significativo. La mayoría de los estados ahora exigen alguna forma de notificación gubernamental, ya sea al Fiscal General o a una agencia estatal designada, para que los reguladores puedan monitorear las tendencias de violaciones de datos y llevar a cabo acciones de cumplimiento cuando sea justificado.
El único requisito de notificación relacionado con el gobierno es a las agencias de informes de crédito al consumidor (Equifax, Experian, TransUnion) cuando una violación afecta a 10,000 o más residentes de Georgia. En ese caso, la entidad debe notificar a las agencias con prontitud sobre el momento, la distribución y el contenido de las notificaciones individuales.
Puerto seguro de cifrado
Georgia establece un puerto seguro de cifrado claro. El requisito de notificación no se aplica a los datos que estaban cifrados o redactados al momento de la violación. Si la información personal estaba adecuadamente cifrada, incluso una adquisición no autorizada confirmada no activa las obligaciones de notificación.
El estatuto no aborda los escenarios en los que la propia clave de cifrado se ve comprometida. Algunos estados, como Delaware, establecen explícitamente que el puerto seguro no se aplica si la clave de cifrado también fue adquirida. La ley de Georgia guarda silencio sobre este punto.
Sanciones y cumplimiento
Aquí es donde la ley de Georgia es más débil.
El estatuto general de notificación de violaciones de datos (Código de Georgia 10-1-912) no contiene sanciones específicas por no notificar. Tampoco proporciona ningún mecanismo de cumplimiento regulatorio ni ningún derecho de acción privado para las personas afectadas.
Algunos análisis legales señalan que una infracción podría potencialmente tratarse como una práctica injusta o engañosa bajo la Ley de Prácticas Comerciales Justas de Georgia (Código de Georgia 10-1-390 y siguientes), que conlleva sanciones de hasta $100 por infracción por consumidor. Sin embargo, el propio estatuto de notificación de violaciones de datos no incorpora explícitamente este recurso, y el historial práctico de cumplimiento es mínimo.
Sin un derecho de acción privado, los residentes de Georgia no pueden demandar directamente a una empresa por no proporcionar una notificación oportuna de violación de datos. Sin la notificación obligatoria al Fiscal General, la oficina del Fiscal General podría ni siquiera enterarse de las violaciones que afectan a los residentes de Georgia. Esto crea un vacío de cumplimiento significativo.
La excepción de telecomunicaciones: Código de Georgia 46-5-214
Georgia tiene una disposición de notificación de violaciones de datos separada, ligeramente más estricta, para las empresas de telecomunicaciones. Bajo el Código de Georgia 46-5-214, los proveedores de telecomunicaciones deben notificar a los residentes de Georgia cuando ocurra una violación de los registros telefónicos que sea "razonablemente probable que cause daño cuantificable".
A diferencia del estatuto general, las infracciones del 46-5-214 se clasifican explícitamente como prácticas injustas o engañosas bajo la Ley de Prácticas Comerciales Justas, lo que otorga al Fiscal General una autoridad de cumplimiento más clara sobre las violaciones de telecomunicaciones.
Cómo se compara Georgia con los estados vecinos
La ley de notificación de violaciones de datos de Georgia está entre las más débiles del sureste. Así se compara con sus vecinos:
| Requisito | Georgia | Alabama | Florida | Carolina del Sur | Tennessee |
|---|---|---|---|---|---|
| Plazo de notificación | Sin plazo específico | 45 días | 30 días | Sin demora injustificada | 45 días |
| Notificación al Fiscal General | No requerida | Requerida | Requerida (500+) | Requerida (1,000+) | No requerida |
| Sanciones específicas | Ninguna | Hasta $500,000/violación | $1,000/día | $1,000/infracción | No especificadas |
| Derecho de acción privado | No | No | No | No | No |
| Definición amplia de información personal | No | Sí | Sí | No | No |
La ley de Alabama, promulgada en 2018, es particularmente instructiva. La Ley de Notificación de Violaciones de Datos de Alabama incluye un plazo de 45 días, notificación obligatoria al Fiscal General, sanciones de hasta $500,000 por violación más $5,000 por día por notificación tardía, y una definición más amplia de información personal. La ley de Georgia de 2005 no ha visto actualizaciones comparables.
Esfuerzos de reforma: el SB 111 y el camino a seguir
La legislatura de Georgia ha intentado modernizar el marco de privacidad de datos del estado, pero el progreso se ha estancado.
En la sesión legislativa de 2025, el Proyecto de Ley del Senado 111, la Ley de Protección de la Privacidad del Consumidor de Georgia, fue aprobado por el Senado de Georgia por una votación de 53 a 2. El proyecto de ley habría creado un marco integral de privacidad de datos del consumidor basado en el enfoque de Virginia, aplicándose a entidades con más de $25 millones en ingresos anuales que procesen datos de al menos 175,000 residentes de Georgia.
Sin embargo, el proyecto de ley nunca salió de la Cámara de Georgia. La Cámara retiró y volvió a remitir el proyecto de ley el 27 de marzo de 2025, y el SB 111 murió cuando la Asamblea General concluyó el 4 de abril de 2025.
Los defensores de la privacidad fueron críticos del proyecto de ley incluso antes de que fracasara. El Centro de Información de Privacidad Electrónica (EPIC) le dio al proyecto de ley una calificación de 6 sobre 10, y la ACLU de Georgia lo calificó como potencialmente "la peor ley de protección al consumidor del país".
Si una versión revisada del SB 111 o un proyecto de ley sucesor será presentado en la sesión de 2026 sigue siendo una pregunta abierta. Por ahora, la ley de notificación de violaciones de datos de 2005 de Georgia continúa operando sin actualizaciones significativas.
Pasos prácticos para los residentes de Georgia

Si recibe una notificación de violación de datos, la División de Protección al Consumidor del Fiscal General de Georgia recomienda estos pasos:
- Coloque una congelación de crédito con las tres agencias de crédito principales (Equifax: 1-888-766-0008, Experian: 1-888-397-3742, TransUnion: 1-800-680-7289)
- Establezca alertas de fraude en sus expedientes de crédito
- Monitoree sus cuentas financieras de cerca en busca de transacciones no autorizadas
- Cambie las contraseñas de cualquier cuenta que pueda haberse visto afectada
- Presente un reporte de robo de identidad en identitytheft.gov si sospecha de fraude
Puede presentar una queja ante el Fiscal General de Georgia al (404) 651-8600 o de forma gratuita al (800) 869-1123.
Para una visión más amplia del panorama de privacidad de datos de Georgia, incluido el enfoque del estado sobre los derechos de privacidad del consumidor y la protección de datos más allá de la notificación de violaciones, consulte nuestra guía de Leyes de Privacidad de Datos de Georgia.
Más Leyes de Georgia
- Leyes de Grabación en Reuniones con IA de Georgia
- Leyes de Pensión Alimenticia Conyugal de Georgia
- Leyes de Empleo a Voluntad de Georgia
- Leyes de Accidentes Automovilísticos de Georgia
- Leyes de Asientos de Auto para Niños de Georgia
- Leyes de Custodia de Menores de Georgia
- Leyes de Manutención Infantil de Georgia
- Leyes de Matrimonio de Hecho de Georgia
- Leyes sobre Deepfakes de Georgia
- Leyes de Divorcio de Georgia
- Leyes sobre Mordeduras de Perro de Georgia
- Leyes de Emancipación de Georgia
- Leyes de Eliminación de Antecedentes Penales de Georgia
- Leyes sobre Choque y Fuga de Georgia
- Leyes de Propietarios e Inquilinos de Georgia
- Leyes de Vehículos Defectuosos (Lemon Law) de Georgia
Este artículo proporciona información legal general sobre los requisitos de notificación de violaciones de datos de Georgia. No constituye asesoría legal, y no crea una relación abogado-cliente. La respuesta a una violación de datos implica obligaciones sensibles al tiempo. Consulte a un abogado calificado con licencia en Georgia para obtener orientación específica sobre su situación.
Preguntas frecuentes
¿Georgia tiene un plazo específico para las notificaciones de violaciones de datos?
No. Georgia exige la notificación 'en el tiempo más expedito posible y sin demora injustificada', pero el estatuto no establece un número específico de días. Esto contrasta con estados como Florida (30 días) y Alabama (45 días), que imponen plazos firmes.
¿Las empresas deben notificar al Fiscal General de Georgia sobre una violación de datos?
No. El estatuto general de notificación de violaciones de datos de Georgia no exige la notificación al Fiscal General ni a ninguna agencia estatal. El único requisito relacionado con el gobierno es notificar a las agencias de informes de crédito al consumidor cuando se ven afectados 10,000 o más residentes de Georgia.
¿Qué sanciones impone Georgia por no notificar a los consumidores sobre una violación de datos?
El estatuto de notificación de violaciones de datos de Georgia no contiene sanciones específicas por incumplimiento. No existe un derecho de acción privado para los consumidores ni un mecanismo de cumplimiento designado. Algunos análisis legales sugieren que una infracción podría tratarse como una práctica injusta bajo la Ley de Prácticas Comerciales Justas, pero el historial práctico de cumplimiento es mínimo.
¿La ley de notificación de violaciones de datos de Georgia cubre los registros médicos o los datos biométricos?
No. La definición de información personal de Georgia se limita al nombre combinado con números de Seguro Social, números de licencia de conducir, datos de cuenta financiera con códigos de acceso, y contraseñas de cuentas. Los registros médicos, la información de seguro médico, los identificadores biométricos, y los números de pasaporte no están cubiertos.
¿Los datos cifrados están exentos del requisito de notificación de violaciones de datos de Georgia?
Sí. Georgia establece un puerto seguro de cifrado. Si la información personal estaba cifrada o redactada al momento de la violación, el requisito de notificación no se aplica. Sin embargo, a diferencia de algunos estados, la ley de Georgia no aborda si el puerto seguro sigue aplicando si la clave de cifrado también fue comprometida.
¿Afectado por una filtración de datos o una violación de privacidad biométrica?
Si sus datos personales quedaron expuestos en una filtración, o si su huella dactilar o escaneo facial se recopiló sin su consentimiento, podría ser elegible para unirse a un reclamo por compensación. Averígüelo gratis y sin compromiso.
Fuentes y referencias
- Código de Georgia 10-1-910 a 10-1-912 (Ley de Protección de la Identidad Personal)(law.justia.com)
- Código de Georgia 10-1-912 (Notificación Requerida Tras una Violación)(law.justia.com)
- Código de Georgia 10-1-911 (Definiciones)(law.justia.com)
- Código de Georgia 46-5-214 (Seguridad de Registros Telefónicos)(law.justia.com)
- Fiscal General de Georgia: Violaciones de Datos(consumer.georgia.gov).gov
- Educación al Consumidor del Fiscal General de Georgia: Notificación de Violaciones(consumered.georgia.gov).gov
- SB 111 de Georgia (sesión 2025-2026)(legis.ga.gov).gov
- EPIC: Calificación Reprobatoria para el Proyecto de Ley de Privacidad de Georgia(epic.org)
- ACLU de Georgia: Informe sobre el Proyecto de Ley de Privacidad del Consumidor(acluga.org)
- Davis Wright Tremaine: Resumen de Violaciones de Datos de Georgia(dwt.com)
- Perkins Coie: Cuadro de Notificación de Violaciones de Seguridad de Georgia(perkinscoie.com)