Hawaii
Leyes de Notificación de Violación de Datos de Hawai: Reglas y Plazos para Reportar (2026)

Hawai exige a las empresas y agencias gubernamentales notificar a los residentes afectados de una violación de datos sin demora injustificada bajo el HRS 487N-2. Cuando una violación afecta a 1,000 o más residentes de Hawai, la entidad también debe enviar un aviso por escrito a la Oficina de Protección al Consumidor.
Hawai exige a las empresas y agencias gubernamentales notificar a los residentes cuando su información personal se ve comprometida en una violación de datos. La ley de Violación de Seguridad de Información Personal del estado, codificada en el HRS Capítulo 487N, se promulgó originalmente en 2006 y se ha actualizado para reflejar las preocupaciones modernas de seguridad de datos.
La ley de Hawai se destaca por dos razones. Primero, cubre tanto los registros electrónicos como los registros en papel, no solo los datos computarizados. Segundo, otorga a las personas afectadas un derecho de acción privado, permitiéndoles demandar por daños reales y recuperar honorarios de abogados. Estas disposiciones hacen que el marco de notificación de violaciones de Hawai sea más sólido que el de muchos otros estados.
Esta guía cubre los requisitos de notificación, los plazos, las sanciones y los mecanismos de aplicación bajo la ley de Hawai.
Para un contexto más amplio sobre el marco general de privacidad de Hawai, consulte la guía principal sobre las Leyes de Privacidad de Datos de Hawai.
Quién Debe Cumplir
La ley de notificación de violaciones de Hawai se aplica a tres categorías de entidades bajo el HRS 487N-2:
Las empresas que poseen o tienen licencia sobre información personal de residentes de Hawai deben notificar a las personas afectadas cuando ocurre una violación.
Las empresas que realizan negocios en Hawai y poseen o tienen licencia sobre información personal en cualquier forma, ya sea computarizada, en papel o de otro tipo, también deben cumplir.
Las agencias gubernamentales que recopilan información personal para propósitos gubernamentales específicos tienen las mismas obligaciones de notificación.
Esta amplia aplicabilidad significa que cualquier empresa que maneje información personal de residentes de Hawai, sin importar dónde esté ubicada la empresa, debe cumplir con los requisitos de notificación.
Qué Califica como Información Personal
Bajo el HRS 487N-1, "información personal" significa el primer nombre o la inicial del primer nombre y el apellido de una persona combinados con uno o más de los siguientes elementos de datos:
- Número de Seguro Social
- Número de licencia de conducir o número de tarjeta de identificación estatal
- Número de cuenta, número de tarjeta de crédito o débito, o código de acceso o contraseña que permitiría el acceso a una cuenta financiera
- Información de seguro médico, incluidos los números de identificación de póliza o de suscriptor combinados con cualquier identificador único usado por una aseguradora de salud para identificar a la persona
- Información médica o de salud, incluido el historial médico, la condición mental o física, o el tratamiento o diagnóstico médico por parte de un profesional de la salud
La definición excluye la información disponible públicamente que se pone legalmente a disposición del público en general a partir de registros gubernamentales federales, estatales o locales.
Definición Ampliada Bajo el SB 1038
En 2025, Hawai presentó el SB 1038, que propone actualizar y ampliar la definición de información personal. El proyecto de ley agregaría nuevas categorías de "identificadores" y "elementos de datos específicos", incluidas las direcciones de correo electrónico combinadas con contraseñas, datos biométricos y códigos de seguridad. Esta expansión refleja las recomendaciones del Grupo de Trabajo de Ley de Privacidad del Siglo XXI para alinear las definiciones de Hawai con leyes de privacidad estatales más integrales.
Qué Activa una Notificación
Una "violación de seguridad" bajo la ley de Hawai significa un incidente de acceso no autorizado y adquisición de registros o datos no encriptados o no redactados que contienen información personal, en el que ha ocurrido, o es razonablemente probable que ocurra, un uso ilegal de la información personal, y que crea un riesgo de daño a una persona.
Dos puntos clave distinguen el detonante de Hawai:
Se requiere riesgo de daño. No todo acceso no autorizado requiere notificación. La entidad debe determinar que ha ocurrido un uso ilegal o es razonablemente probable que ocurra, y que la violación crea un riesgo de daño.
Excepción de datos encriptados. Si los registros violados estaban encriptados, no se requiere notificación a menos que la clave de encriptación o el proceso confidencial también se haya visto comprometido en el mismo incidente.
Plazo y Requisitos de Notificación
Plazo
Hawai no establece un número específico de días para la notificación. En cambio, la ley exige la divulgación "sin demora injustificada", de manera consistente con las necesidades legítimas de la aplicación de la ley y cualquier medida necesaria para determinar el alcance de la violación y restaurar la integridad, seguridad y confidencialidad razonables del sistema de datos.
Este estándar flexible da a las empresas cierto margen para investigar la violación antes de notificar, pero también significa que la Oficina de Protección al Consumidor de Hawai o un tribunal pueden determinar después del hecho si una demora fue injustificada.
Métodos de Notificación
Las empresas pueden proporcionar el aviso a través de:
- Aviso escrito enviado a la última dirección postal conocida
- Aviso electrónico de conformidad con los requisitos federales de la Ley E-SIGN
- Aviso sustituto si el costo del aviso directo excedería $100,000, la clase afectada supera las 200,000 personas, o la empresa no tiene suficiente información de contacto. El aviso sustituto requiere aviso por correo electrónico (si está disponible), publicación visible en el sitio web de la empresa, y notificación a los principales medios de comunicación a nivel estatal.
Contenido de la Notificación
El aviso debe incluir una descripción de las categorías de información personal que estuvieron sujetas al acceso y adquisición no autorizados.

Reporte a la Agencia Gubernamental
Cuando una violación afecta a más de 1,000 residentes de Hawai, las empresas también deben proporcionar un aviso por escrito a la Oficina de Protección al Consumidor del Departamento de Comercio y Asuntos del Consumidor.
Obligaciones de Agentes Terceros
Las empresas ubicadas en Hawai que mantienen o poseen registros que contienen información personal que no les pertenece ni tienen licencia sobre ella deben notificar al propietario o licenciatario de la información inmediatamente después de descubrir la violación.
Sanciones y Aplicación de la Ley
Sanciones Civiles
Cualquier empresa que infrinja cualquier disposición del Capítulo 487N enfrenta sanciones de hasta $2,500 por infracción bajo el HRS 487N-3. El Fiscal General o el director ejecutivo de la Oficina de Protección al Consumidor pueden presentar acciones de aplicación de la ley.

Derecho de Acción Privado
Hawai es uno de los pocos estados que otorga a las personas un derecho de acción privado por infracciones de notificación de violación de datos. Cualquier empresa que infrinja el Capítulo 487N es responsable ante la parte perjudicada por los daños reales sufridos como resultado de la infracción. Los tribunales pueden otorgar honorarios razonables de abogados a la parte ganadora.
Esta disposición otorga a los residentes de Hawai un recurso significativo. A diferencia de los estados donde solo el Fiscal General puede actuar, las personas afectadas en Hawai pueden presentar sus propios reclamos ante los tribunales.
Prohibición de Renuncia
Cualquier renuncia a las disposiciones del Capítulo 487N es contraria a la política pública y es nula e inaplicable. Esto significa que las empresas no pueden incluir cláusulas en contratos o términos de servicio que intenten renunciar a los derechos de un consumidor bajo la ley de notificación de violaciones.
Puerto Seguro de HIPAA
Los proveedores de atención médica y los planes de salud que cumplen con los estándares de privacidad y seguridad de la Ley de Portabilidad y Responsabilidad del Seguro Médico de 1996 (HIPAA) se consideran en cumplimiento con los requisitos de notificación de Hawai. Esto evita obligaciones duplicadas para las entidades cubiertas por HIPAA que ya mantienen procedimientos de notificación de violaciones bajo la ley federal.

Cómo se Compara Hawai con Otros Estados
La ley de notificación de violaciones de Hawai tiene varias características que la distinguen de muchos otros estados.
Cubre los registros en papel. Muchos estados solo requieren notificación por violaciones de datos computarizados. Hawai cubre la información personal "en cualquier forma", incluidos los registros en papel.
Derecho de acción privado. La mayoría de los estados limitan la aplicación al fiscal general. Hawai permite a las personas demandar directamente por daños reales y honorarios de abogados.
Sin un número específico de días. A diferencia de los estados que establecen plazos de 30, 45 o 60 días, Hawai usa el estándar de "sin demora injustificada". Esto proporciona flexibilidad pero también genera incertidumbre.
Se incluye la información de salud. La definición de información personal de Hawai incluye el historial médico, las condiciones mentales y físicas, y la información de seguro médico, que algunos estados no incluyen.
Sanción por infracción más baja. Con $2,500 por infracción, la sanción de Hawai es más baja que la de estados como California ($7,500 por infracción intencional) o los límites de $500,000 que se encuentran en Alabama y Arizona.
Más Leyes de Hawai
- Leyes de Grabación de Reuniones con IA de Hawai
- Leyes de Pensión Alimenticia de Hawai
- Leyes de Empleo a Voluntad de Hawai
- Leyes de Accidentes de Auto de Hawai
- Leyes de Asientos de Auto para Niños de Hawai
- Leyes de Custodia de Menores de Hawai
- Leyes de Manutención de Menores de Hawai
- Leyes de Matrimonio de Hecho de Hawai
- Leyes de Deepfakes de Hawai
- Leyes de Divorcio de Hawai
- Leyes sobre Mordeduras de Perro de Hawai
- Leyes de Emancipación de Hawai
- Leyes de Eliminación de Antecedentes de Hawai
- Leyes de Choque y Fuga de Hawai
- Leyes de Propietario e Inquilino de Hawai
- Leyes del Limón de Hawai
Este artículo proporciona información legal general sobre las leyes de notificación de violación de datos de Hawai. No es asesoría legal. Las leyes y regulaciones cambian con frecuencia, y este contenido puede no reflejar los desarrollos más recientes. Consulte a un abogado calificado con licencia en Hawai para obtener asesoría sobre su situación específica.
¿Afectado por una filtración de datos o una violación de privacidad biométrica?
Si sus datos personales quedaron expuestos en una filtración, o si su huella dactilar o escaneo facial se recopiló sin su consentimiento, podría ser elegible para unirse a un reclamo por compensación. Averígüelo gratis y sin compromiso.
Fuentes y referencias
- HRS Capítulo 487N Violación de Seguridad de Información Personal(capitol.hawaii.gov).gov
- HRS 487N-1 definiciones que incluyen información personal(capitol.hawaii.gov).gov
- HRS 487N-2 requisitos de aviso de violación de seguridad(capitol.hawaii.gov).gov
- HRS 487N-3 sanciones y derecho de acción privado(capitol.hawaii.gov).gov
- Oficina de Protección al Consumidor de Hawai avisos de violación de seguridad(cca.hawaii.gov).gov
- SB 1038 que amplía la definición de información personal(capitol.hawaii.gov).gov
- Regla de Privacidad de HIPAA(hhs.gov).gov