Cómo Presentar una Queja de Privacidad de Datos (2026)

Presentar una queja de privacidad de datos no cuesta nada, toma tan solo quince minutos, y le da a los reguladores el detonante de aplicación de la ley que necesitan para investigar a las empresas que ignoran de manera rutinaria los derechos del consumidor. El canal de presentación correcto depende por completo de qué ley se infringió y dónde vive usted.
Paso 1: Identifique Qué Ley se Infringió
Antes de elegir un portal de presentación, averigüe qué marco legal aplica. La pregunta no es dónde tiene su sede la empresa, sino qué ley rige los datos en cuestión y qué regulador tiene autoridad para actuar.
Residentes de California y CCPA/CPRA. Si usted es residente de California y una empresa cubierta por la Ley de Privacidad del Consumidor de California o sus enmiendas CPRA de 2020 no honró una solicitud de derechos, divulgó sus datos después de que usted optó por no participar, o procesó su información personal sensible sin la autorización adecuada, los principales encargados de hacer cumplir la ley son la Agencia de Protección de la Privacidad de California (CPPA) y la Fiscalía General de California.
Datos de salud y HIPAA. Si un médico, hospital, plan de salud, cámara de compensación de datos de salud, o sus asociados de negocio manejaron mal sus registros médicos o divulgaron su información de salud protegida sin autorización, la ley que rige es la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA). El único canal federal de aplicación es la Oficina de Derechos Civiles de la HHS (OCR). Esta también es la vía más sensible al tiempo: usted tiene solo 180 días desde que se enteró de la infracción.
Residentes de estados con leyes integrales (Virginia, Colorado, Connecticut, Texas y otros). Si usted vive en un estado con una ley integral de privacidad de datos del consumidor y una empresa cubierta rechazó su solicitud de acceso, eliminación, corrección u opción de exclusión, su queja va a la Fiscalía General de ese estado. A mediados de 2026, los estados con portales activos de quejas del consumidor incluyen Virginia (VCDPA), Colorado (CPA), Connecticut (CTDPA) y Texas (TDPSA). Vea cómo se comparan estas leyes para un resumen de qué derechos otorga cada estado.
Cualquier práctica de datos engañosa o injusta y la FTC. La Comisión Federal de Comercio hace cumplir la Sección 5 de la Ley de la FTC, que prohíbe las prácticas injustas o engañosas en la mayoría de las industrias con fines de lucro. Si una empresa prometió una práctica de datos en su política de privacidad y ofreció otra, o si no protegió sus datos de una manera que causó daño, un reporte a ReportFraud.ftc.gov siempre es apropiado como presentación paralela sin importar qué otro canal use usted.
Residentes de la UE y el EEE y el RGPD. Si usted se encuentra en un país de la Unión Europea o del Espacio Económico Europeo y una empresa sujeta al Reglamento General de Protección de Datos violó sus derechos (incluido el derecho de acceso, supresión u objeción), usted presenta su reclamo bajo el Artículo 77 del RGPD ante su Autoridad de Protección de Datos (APD) nacional. Para más antecedentes sobre cómo funciona el RGPD, consulte Leyes de Privacidad de Datos de la UE.
Cuando las infracciones se superponen entre varios marcos, presente su queja ante cada autoridad aplicable por separado. Las quejas paralelas están expresamente permitidas, y una empresa que ve investigaciones simultáneas tanto de la FTC como de una fiscalía estatal tiende a responder más rápido.
California: Presentar Quejas ante la CPPA y la Fiscalía General de California
California opera un sistema de aplicación de dos organismos que es único entre los estados de EE. UU. Entender qué organismo maneja su queja evita perder tiempo.
La Agencia de Protección de la Privacidad de California (CPPA) es el principal encargado de hacer cumplir las infracciones de la CCPA y la CPRA que ocurrieron a partir del 1 de julio de 2023. La CPPA es una agencia independiente creada específicamente para administrar y hacer cumplir las enmiendas de la CPRA. Su portal de quejas en línea está en cppa.ca.gov/webapplications/complaint. También hay disponible un formulario en papel en cppa.ca.gov/pdf/paper-complaint.pdf para quienes prefieran una presentación no digital.
Antes de presentar su queja, sepa lo que la CPPA puede y no puede hacer por usted personalmente. La agencia no representa a los consumidores individuales y no puede actuar como su abogado. Su misión es sistémica: usa las quejas de los consumidores para monitorear las tendencias de cumplimiento de la industria, identificar empresas que infringen la ley repetidamente, e iniciar investigaciones o auditorías formales. Usted puede presentar su queja de forma anónima (una queja no jurada), pero si lo hace, la agencia no puede darle seguimiento sobre el resultado. Si desea mantenerse informado sobre lo que sucede con su queja, proporcione su nombre e información de contacto y presente una queja jurada. Para un resumen de los derechos específicos que puede hacer valer antes de presentar su queja, consulte Derechos de Exclusión de la CCPA.
La Fiscalía General de California maneja las quejas de la CCPA relacionadas con infracciones que ocurrieron antes del 1 de julio de 2023, y retiene jurisdicción concurrente sobre ciertas categorías de infracciones incluso después de que la CPPA asumió la autoridad principal. El portal de quejas del consumidor de la Fiscalía General está en oag.ca.gov/contact/consumer-complaint-against-business-or-company. La oficina de la Fiscalía General cubre una amplia gama de infracciones de la CCPA: no responder a las solicitudes de derechos del consumidor, negación indebida de solicitudes de acceso o eliminación, discriminación contra los consumidores por ejercer sus derechos, avisos de privacidad faltantes o deficientes, y continuar vendiendo o compartiendo datos después de que usted presentó una solicitud de exclusión.
El derecho de acción privado de la CCPA: la excepción limitada. La Sección 1798.150 del Código Civil de California le otorga un derecho directo a demandar, pero solo en una situación muy específica: la falla de una empresa en mantener prácticas de seguridad razonables debe haber permitido que su información personal no encriptada y no redactada quedara expuesta en una violación. Si eso ocurrió, usted puede buscar daños estatutarios de $100 a $750 por consumidor por incidente, o sus daños reales si son mayores. Antes de poder presentar una demanda, debe dar a la empresa un aviso escrito de 30 días y la oportunidad de corregir la situación. Todas las demás infracciones de la CCPA (solicitudes de acceso fallidas, exclusiones ignoradas, políticas de privacidad faltantes) se aplican exclusivamente por la CPPA o la Fiscalía General, no por los consumidores individuales en los tribunales.
Otras Leyes Estatales de Privacidad: Presentar Quejas ante su Fiscalía General Estatal
Virginia, Colorado, Connecticut y Texas tienen cada uno leyes integrales de privacidad de datos del consumidor, y cada ley designa a la fiscalía estatal como la única autoridad de aplicación. Ninguna de estas leyes proporciona un derecho de acción privado, lo que significa que usted no puede demandar directamente a una empresa cubierta.
Virginia (VCDPA). Presente su queja ante la Unidad de Privacidad del Consumidor de la Fiscalía General de Virginia en oag.state.va.us/consumer-protection/index.php/file-a-complaint. A partir de febrero de 2026, la oficina de la Fiscalía General está aplicando la ley activamente sin períodos de gracia adicionales. La Fiscalía General puede buscar sanciones civiles de hasta $7,500 por infracción. Para una descripción completa de sus derechos antes de presentar su queja, consulte Derechos del Consumidor bajo la VCDPA.
Colorado (CPA). Presente su queja en coag.gov/file-a-complaint/data-privacy-data-breach/ o llame a la línea directa del consumidor de la Fiscalía General de Colorado al 800-222-4444. La oficina de la Fiscalía General pide que identifique qué derecho de la CPA cree que fue violado, proporcione el nombre e información de contacto de la empresa, e incluya las fechas relevantes de su solicitud y cualquier negación. Para más información sobre lo que la CPA exige a las empresas, consulte Derechos del Consumidor bajo la CPA.
Connecticut (CTDPA). Presente su queja a través del formulario de e-queja de la Fiscalía General en dir.ct.gov/ag/complaint/, seleccionando "Consumer Data Privacy" en el menú desplegable de asunto para que la queja se dirija a la unidad correcta. En 2025, la oficina de la Fiscalía General de Connecticut procesó cerca de 70 quejas formales de la CTDPA; el problema más común fue que las empresas rechazaban u obstaculizaban las solicitudes de eliminación de los consumidores. La oficina también emitió 63 cartas de advertencia ese año. Si usted es residente de Connecticut y hace valer sus derechos, consulte Derechos del Consumidor bajo la CTDPA antes de presentar su queja.
Texas (TDPSA). La Ley de Privacidad y Seguridad de Datos de Texas entró en vigor el 1 de julio de 2024, y la Fiscalía General de Texas opera un portal de quejas dedicado en texasattorneygeneral.gov/consumer-protection/file-consumer-complaint/consumer-privacy-rights/texas-data-privacy-and-security-act. Desde que se lanzó el portal, ha recibido más de 2,000 quejas. Complete el formulario en una sola sesión: el portal no permite guardar un borrador y regresar más tarde. Tenga listo el nombre completo, la dirección y la información de contacto de la empresa antes de comenzar. Para un desglose de lo que exige la TDPSA, consulte Derechos del Consumidor bajo la TDPSA.
Si usted vive en un estado que no aparece arriba, revise el sitio web de la fiscalía de su estado para encontrar un formulario general de quejas del consumidor. Muchos estados sin una ley dedicada de privacidad de datos aún pueden actuar sobre prácticas comerciales engañosas o injustas bajo los estatutos estatales de protección al consumidor, y un reporte a la FTC sigue estando disponible sin importar el estado.
Federal: Reportar a la FTC
La Comisión Federal de Comercio es el regulador general de privacidad de datos del gobierno federal. Su autoridad proviene de la Sección 5 de la Ley de la FTC, que prohíbe las prácticas injustas o engañosas. Una empresa que recopila mucha más información de la que reveló en su política de privacidad, comparte datos con terceros con los que dijo que no lo haría, o no protege los datos de una manera que expone a los consumidores a daños, puede enfrentar todas ellas una acción de la FTC.
Envíe reportes en ReportFraud.ftc.gov. La FTC no investiga cada reporte individual, y no le otorga dinero de sus acciones de aplicación de la ley. Lo que sí hace es construir una base de datos de Consumer Sentinel buscable a partir de millones de reportes individuales, que sus investigadores usan para identificar patrones, priorizar objetivos y construir casos. Ejemplos recientes de aplicación de la ley de privacidad de datos por parte de la FTC incluyen la acción contra Kochava en mayo de 2026 por vender datos de ubicación sensibles, y contra Illuminate Education en junio de 2026 por no proteger adecuadamente los datos de los estudiantes.
La jurisdicción de la FTC tiene exclusiones importantes. No cubre a los transportistas comunes (regulados por la FCC), a las organizaciones sin fines de lucro, a las instituciones financieras sujetas a la Ley Gramm-Leach-Bliley, ni a las entidades de atención médica sujetas a HIPAA. Si su queja involucra a un banco, una compañía de seguros o un proveedor de atención médica, el canal principal es un regulador específico del sector, no la FTC. Dicho esto, presentar una queja ante la FTC en paralelo a su queja principal no cuesta nada y puede ser útil si la misma empresa participa en prácticas de datos engañosas en múltiples contextos.
Datos de Salud: Presentar una Queja de HIPAA ante la HHS OCR
Si su queja involucra a un proveedor de atención médica, un plan de salud, un administrador de beneficios de farmacia, u otra entidad cubierta por HIPAA que manejó mal su información de salud protegida, el canal de presentación es la Oficina de Derechos Civiles de la HHS. Esta vía tiene el plazo más importante en todo el panorama de quejas de privacidad de datos.
La regla de los 180 días. HIPAA exige que usted presente su queja ante la OCR dentro de los 180 días posteriores a cuando supo que ocurrió el acto u omisión. La OCR puede extender este plazo por causa justificada, pero la causa justificada no es automática y requiere que usted explique la demora. Si pierde el plazo sin una exención, la OCR no puede procesar su queja. No espere.
Cómo presentar la queja. El método más rápido es el Portal de Quejas de la OCR en línea en ocrportal.hhs.gov. También puede enviarla por correo electrónico a OCRComplaint@hhs.gov o por correo postal a: Centralized Case Management Operations, U.S. Department of Health and Human Services, 200 Independence Avenue SW, Washington, DC 20201.
Qué incluir. Identifique a la entidad cubierta (médico, hospital, plan de salud) por nombre y dirección, describa la infracción y cuándo ocurrió, y describa cómo se violó la Regla de Privacidad o la Regla de Seguridad de HIPAA. Adjunte cualquier comunicación relevante: la carta que su proveedor le envió sobre una violación, una negación de su solicitud de registros médicos, o evidencia de una divulgación no autorizada.
Resultados realistas para HIPAA. HIPAA no crea un derecho de acción privado. Usted no puede demandar directamente a una entidad cubierta por HIPAA por una infracción de HIPAA en un tribunal federal. La OCR puede imponer sanciones monetarias civiles que van desde $100 por infracción para infracciones no intencionales hasta $50,000 o más por infracción por negligencia deliberada, y el Departamento de Justicia de EE. UU. maneja las remisiones penales para infracciones conscientes e intencionales. Esas sanciones van al gobierno, no a usted. Algunos estados tienen leyes de privacidad de salud separadas que sí permiten demandas privadas (la Ley de Confidencialidad de Información Médica de California, o CMIA, es un ejemplo), pero HIPAA en sí no lo hace.
HIPAA también prohíbe la represalia contra cualquier persona que presente una queja. Si usted experimenta una acción adversa por parte de una entidad cubierta porque presentó una queja ante la OCR, esa represalia es en sí misma una infracción de HIPAA que puede reportar.
Residentes de la UE: Presentar una Queja Bajo el RGPD ante su APD Nacional
Toda persona en la UE y el EEE tiene un derecho estatutario bajo el Artículo 77 del RGPD a presentar una queja ante una autoridad de supervisión nacional, llamada Autoridad de Protección de Datos (APD). Usted puede presentar su queja ante la APD de su país de residencia habitual, su país de empleo, o el país donde ocurrió la presunta infracción.
Cómo encontrar su APD. El Comité Europeo de Protección de Datos (CEPD) mantiene un directorio completo de todas las APD nacionales en edpb.europa.eu/about-edpb/about-edpb/members_en. Las autoridades clave incluyen:
- Irlanda: Comisión de Protección de Datos (dataprotection.ie). La APD principal para la mayoría de las grandes empresas tecnológicas de EE. UU. con sede europea en Irlanda, incluidas Meta, Google, Apple y LinkedIn.
- Francia: Comisión Nacional de Informática y Libertades (cnil.fr). Una de las APD más activas de Europa y la principal para las empresas domiciliadas en Francia.
- Alemania: Comisionado Federal de Protección de Datos y Libertad de Información (bfdi.bund.de). Alemania también tiene APD a nivel estatal con jurisdicción sobre ciertos asuntos.
- Reino Unido: Oficina del Comisionado de Información (ico.org.uk). El Reino Unido salió de la UE, por lo que el RGPD del Reino Unido ahora es una ley doméstica separada aplicada por la ICO de manera independiente del CEPD.
El mecanismo de ventanilla única. Bajo el Artículo 60 del RGPD, cuando una empresa procesa datos en múltiples estados miembros de la UE, la APD donde el responsable tiene su sede principal actúa como la Autoridad Principal de Supervisión (LSA) y coordina la respuesta con las demás Autoridades de Supervisión Interesadas (CSA). En términos prácticos, si usted es residente francés y presenta una queja sobre una empresa cuya sede europea está en Irlanda, puede presentar su queja ante la CNIL, pero la DPC de Irlanda probablemente liderará la investigación. Nunca se le exige presentar su queja directamente ante una APD extranjera; su APD local acepta su queja y maneja la coordinación.
Los casos transfronterizos que involucran la ventanilla única pueden tardar años en resolverse debido a los requisitos de coordinación entre las autoridades nacionales. Presentar su queja localmente sigue valiendo la pena: su queja entra al sistema, se comparte con la LSA, y contribuye al registro de aplicación de la ley que el CEPD usa al publicar los resultados de casos transfronterizos.
Qué Incluir en su Queja
Cada portal de quejas importante (CPPA, Fiscalía General de California, Fiscalía General de Colorado, Fiscalía General de Connecticut, Fiscalía General de Texas, FTC, HHS OCR y las APD nacionales) requiere esencialmente la misma información. Reúna lo siguiente antes de comenzar:
Su información de contacto. Nombre, dirección postal, dirección de correo electrónico y número de teléfono. Si presenta su queja de forma anónima, entienda que la agencia generalmente no puede darle seguimiento.
La información de la empresa. Nombre legal completo, URL del sitio web, dirección postal, y cualquier correo electrónico o número de teléfono de servicio al cliente que haya usado. Si se está quejando de un corredor de datos con el que nunca ha interactuado directamente, intente identificar a la empresa a través del registro de corredores de datos de su estado, si existe uno.
Una descripción específica de la infracción. Describa qué derecho fue negado o qué práctica ilegal ocurrió. "Violaron mi privacidad" no es suficiente. Identifique la acción específica: "Presenté una solicitud de eliminación el [fecha] a través de [portal], la empresa no respondió dentro de los 45 días, y nunca recibí una confirmación ni una negación."
Fechas. ¿Cuándo ocurrió la infracción? ¿Cuándo se enteró por primera vez? ¿Cuándo presentó una solicitud de derechos? ¿Cuándo respondió la empresa o no respondió?
Documentación. Adjunte o cargue copias de la solicitud de derechos que envió y cualquier respuesta que haya recibido. Si la empresa negó o ignoró su solicitud, una captura de pantalla de su confirmación de envío y prueba de que el plazo pasó es evidencia valiosa. Tome capturas de pantalla de la política de privacidad de la empresa antes de presentar su queja, ya que las empresas a veces actualizan sus políticas después de que se presenta una queja.
El resultado deseado. Muchos portales preguntan qué resultado está buscando. "Investigación", "acción de aplicación de la ley" o "exigir que la empresa honre mi solicitud de eliminación" son respuestas apropiadas.
Resultados Realistas: Qué Pueden y No Pueden Hacer los Reguladores
Presentar una queja de privacidad de datos es un acto cívico tanto como personal. Establezca expectativas realistas antes de presentar su queja para que el proceso no se sienta como un fracaso si no recibe una compensación directa.
Lo que pueden hacer los reguladores. La CPPA, las fiscalías estatales, la FTC, la HHS OCR y las APD nacionales pueden todas: abrir investigaciones formales, exigir documentos y testimonios de las empresas, emitir demandas de investigación civil, imponer sanciones monetarias civiles (hasta $7,500 por infracción para las fiscalías estatales, hasta $50,000 por infracción para HIPAA, cantidades sustanciales para el RGPD), ordenar a las empresas que cambien sus prácticas de datos, exigir programas de notificación al consumidor, y publicar acciones de aplicación de la ley públicamente. La publicación importa porque nombra a las empresas que violaron la ley, crea presión reputacional, y alerta a otros consumidores.
Lo que generalmente no pueden hacer los reguladores. Los reguladores no le otorgan daños personales a partir de sus acciones administrativas de aplicación de la ley. Cuando la FTC o una fiscalía llega a un acuerdo con una empresa que violó los derechos de privacidad del consumidor, los fondos resultantes generalmente van al gobierno o, en algunos casos, a un fondo de restitución al consumidor. Si existe un fondo de restitución, los consumidores afectados pueden recibir un aviso y un formulario de reclamo, pero este proceso toma años y los pagos por consumidor suelen ser nominales.
Las excepciones: derechos de acción privados. Cuando la ley específicamente crea un derecho de acción privado, usted puede demandar a la empresa directamente (o unirse a una demanda colectiva). El ejemplo más significativo es la Sección 1798.150 del Código Civil de California, que permite a los californianos individuales demandar por daños de violación de datos de $100 a $750 por incidente. Algunas leyes estatales de escuchas telefónicas y privacidad electrónica también incluyen derechos de acción privados, pero las leyes estatales integrales modernas de privacidad de datos (VCDPA, CPA, CTDPA, TDPSA) no lo hacen.
Por qué presentar la queja sigue siendo importante incluso sin una indemnización. Las agencias de aplicación de la ley se guían por las quejas. Una sola queja rara vez desencadena una investigación, pero los patrones sí lo hacen. Cuando una empresa recibe cientos de quejas sobre la misma práctica, la CPPA o la oficina de una fiscalía lo nota. Algunos de los acuerdos de consentimiento más grandes de la FTC y de las fiscalías estatales de la última década comenzaron con un grupo de reportes de consumidores que los analistas notaron que describían el mismo comportamiento ilegal. Presentar su queja lo convierte en parte de esa señal.
Guías Relacionadas
Preguntas frecuentes
¿Puedo presentar una queja de privacidad de datos ante varias agencias al mismo tiempo?
Sí, y a menudo debería hacerlo. Presentar una queja ante la fiscalía de su estado y la FTC simultáneamente es una práctica común. Los residentes de California pueden presentar quejas tanto ante la CPPA como ante la Fiscalía General de California. Presentar quejas cruzadas ante varias agencias no está prohibido, no se considera duplicado, y aumenta la probabilidad de que se abra una investigación. Cada agencia mantiene su propio registro de quejas de forma independiente.
¿Qué sucede después de que envío una queja a la CPPA o a una fiscalía estatal?
La agencia revisa su queja, puede solicitarle información adicional, y puede contactar a la empresa sobre la que se quejó. Pueden abrir una investigación, emitir una advertencia o carta de exigencia, o iniciar una aplicación formal de la ley. No están obligados a actuar sobre cada queja, y no garantizan una respuesta hacia usted (particularmente si presenta su queja de forma anónima). Si desea actualizaciones de estado, proporcione su información de contacto y presente una queja con nombre.
¿Recibiré dinero si la FTC o la HHS toman medidas basadas en mi queja?
Generalmente no. Las sanciones civiles de HIPAA y las multas de la FTC van al gobierno, no a los denunciantes individuales. En casos raros donde un acuerdo crea un fondo de restitución al consumidor, los consumidores elegibles pueden recibir avisos de reclamo y pagos nominales, aunque esto no está garantizado y típicamente toma varios años. Para la recuperación monetaria directa, necesita consultar a un abogado privado sobre si existe un derecho de acción privado bajo la ley aplicable.
Estoy en California y la empresa rechazó mi solicitud de eliminación, no una violación de datos. ¿Puedo demandar?
No. La Sección 1798.150 del Código Civil de California limita el derecho de acción privado de la CCPA estrictamente a escenarios de violación de datos donde se expuso información personal no encriptada y no redactada debido a una seguridad inadecuada. Para todas las demás infracciones de la CCPA (solicitudes de eliminación rechazadas, exclusiones negadas, avisos de privacidad faltantes, venta continua de datos después de la exclusión), su único remedio formal es presentar una queja ante la CPPA o la Fiscalía General de California. Un abogado privado puede asesorarle sobre si algún otro estatuto de California aplica a su situación.
Estoy en Europa y una empresa de EE. UU. violó mis derechos bajo el RGPD. ¿Presento mi queja en Europa o en EE. UU.?
Presente su queja ante la Autoridad de Protección de Datos de su país de residencia habitual o donde ocurrió la infracción, no en los Estados Unidos. Las empresas de EE. UU. que procesan datos de residentes de la UE están sujetas al RGPD, y su APD nacional tiene jurisdicción sobre su queja. Para las grandes empresas tecnológicas de EE. UU. con sede europea en Irlanda, la DPC irlandesa a menudo actuará como la Autoridad Principal de Supervisión y coordinará la respuesta. El directorio de APD del CEPD en edpb.europa.eu/about-edpb/about-edpb/members_en enumera cada autoridad nacional.
¿Hay un plazo para presentar una queja de privacidad de datos estatal ante la CPPA o una fiscalía estatal?
La CPPA y las fiscalías estatales (Virginia, Colorado, Connecticut, Texas) no publican un plazo estatutario de queja del consumidor equivalente a la regla de los 180 días de HIPAA. Sin embargo, presentar su queja con prontitud preserva la evidencia, asegura que la infracción sea lo suficientemente reciente para investigarse, y mejora su credibilidad como denunciante. Documente la fecha de la infracción, guarde todas las comunicaciones relevantes, y presente su queja tan pronto como haya reunido su documentación.
¿Qué debo hacer si la empresa ignora mi queja o deja de responder?
Documente cada paso: conserve copias de cada solicitud que envió, cada respuesta o falta de respuesta, y cada plazo que pasó sin acción. Cuando presente su queja ante el regulador, este historial documental es su evidencia principal. Incluya las fechas de cada comunicación y adjunte copias. La falla de una empresa en responder a una solicitud verificada de derechos del consumidor dentro del plazo estatutario es en sí misma una infracción sobre la que los reguladores pueden actuar.
Mi médico divulgó mi información de salud a mi empleador. ¿Es un problema de HIPAA o de la ley estatal?
Si la divulgación fue hecha por una entidad cubierta (médico, hospital, plan de salud) sin su autorización y sin una excepción válida de HIPAA, es una infracción de HIPAA. Presente su queja ante la HHS OCR dentro de los 180 días posteriores a cuando se enteró de la divulgación. Algunos estados también tienen leyes separadas de privacidad de salud (la CMIA de California, por ejemplo) que pueden otorgarle derechos adicionales, incluida una causa de acción privada. Un abogado puede asesorarle sobre opciones específicas del estado junto con su queja ante la HHS OCR.
Fuentes y referencias
- CPPA: Portal de quejas del consumidor(cppa.ca.gov)
- CPPA: Formulario de queja en papel(cppa.ca.gov)
- CPPA: Preguntas frecuentes(cppa.ca.gov)
- Fiscalía General de California: Panorama de la CCPA(oag.ca.gov)
- Fiscalía General de California: Queja del consumidor contra una empresa(oag.ca.gov)
- Código Civil de California Sección 1798.150(leginfo.legislature.ca.gov)
- Fiscalía General de Virginia: Recordatorio de derechos de privacidad de datos(oag.state.va.us)
- Fiscalía General de Virginia: Presentar una queja(oag.state.va.us)
- Fiscalía General de Colorado: Presentar una queja de privacidad de datos(coag.gov)
- Fiscalía General de Colorado: Preguntas frecuentes para consumidores(coag.gov)
- Fiscalía General de Connecticut: Formulario de e-queja(dir.ct.gov)
- Fiscalía General de Connecticut: Informe sobre la Ley de Privacidad de Datos(portal.ct.gov)
- Fiscalía General de Texas: Portal de quejas de la TDPSA(texasattorneygeneral.gov)
- FTC: Aplicación de la ley de privacidad y seguridad del consumidor(ftc.gov)
- FTC: Portal para reportar fraude(reportfraud.ftc.gov)
- HHS: Presentar una queja de HIPAA(hhs.gov)
- HHS: Proceso de queja de HIPAA(hhs.gov)
- Portal de Quejas de la OCR de la HHS(ocrportal.hhs.gov)
- CEPD: Cómo presentar una queja ante una Autoridad de Protección de Datos(edpb.europa.eu)
- CEPD: Cooperación y aplicación del RGPD(edpb.europa.eu)
- CEPD: Directorio de autoridades nacionales miembro(edpb.europa.eu)