Idaho
Leyes de Notificación de Violación de Datos de Idaho: Reglas y Plazos de Reporte (2026)

Idaho exige que las empresas, agencias gubernamentales e individuos notifiquen a los residentes afectados tan pronto como sea posible después de determinar que el uso indebido de información personal ha ocurrido o es razonablemente probable, sin un plazo fijo en días, según el Idaho Code § 28-51-105.
La ley de notificación de violación de datos de Idaho exige que las empresas, agencias gubernamentales e individuos alerten a los residentes de Idaho cuando su información personal haya sido comprometida. Promulgada originalmente en 2006 y modificada por última vez en 2014, la ley se destaca por su estricto requisito de reporte de 24 horas a la agencia del Fiscal General y por su definición comparativamente limitada de información personal protegida.
Para conocer el marco de privacidad más amplio de Idaho, consulte la guía principal de Leyes de Privacidad de Datos de Idaho.
A Quién Cubre la Ley
Bajo el Idaho Code § 28-51-105, los requisitos de notificación de violaciones se aplican a cualquier ciudad, condado o agencia estatal, individuo o entidad comercial que realice negocios en Idaho y posea o tenga licencia sobre datos computarizados que contengan información personal de residentes de Idaho.
La ley también alcanza a las entidades que mantienen información personal en nombre de otra organización pero que no son dueñas de los datos. Estos custodios de datos de terceros deben notificar y cooperar con el dueño o licenciatario de los datos inmediatamente después de descubrir una violación en la que el uso indebido sea razonablemente probable.
El Idaho Code § 28-51-104 define a una entidad comercial de manera amplia. Incluye corporaciones, fideicomisos comerciales, sucesiones, sociedades, sociedades limitadas, compañías de responsabilidad limitada, asociaciones, organizaciones, empresas conjuntas y cualquier otra entidad legal, ya sea que opere con o sin fines de lucro.
Qué Califica como Violación de Seguridad
Idaho define una violación de la seguridad del sistema como la adquisición ilegal de datos computarizados no cifrados que compromete materialmente la seguridad, confidencialidad o integridad de la información personal de una o más personas mantenida por una agencia, individuo o entidad comercial.
Deben cumplirse dos condiciones clave para que una violación active la notificación:
- Los datos deben estar sin cifrar en el momento de la adquisición ilegal
- El compromiso debe ser material, no trivial ni incidental
El estatuto incluye una excepción de buena fe. Si un empleado o agente de la entidad adquiere información personal de buena fe para un propósito comercial legítimo, y la información no se utiliza para un propósito no autorizado ni se somete a una divulgación no autorizada adicional, esa adquisición no constituye una violación.
La Definición Limitada de Información Personal en Idaho
Uno de los aspectos más notables de la ley de Idaho es lo limitada que es su definición de información personal. Bajo el § 28-51-104, la información personal significa el nombre o la inicial del primer nombre y el apellido de un residente de Idaho combinado con uno o más de los siguientes elementos de datos, cuando ni el nombre ni los elementos de datos estén cifrados:
- Número de Seguro Social
- Número de licencia de conducir o número de tarjeta de identificación estatal
- Número de cuenta, número de tarjeta de crédito o número de tarjeta de débito, en combinación con cualquier código de seguridad, código de acceso o contraseña requerida que permita el acceso a la cuenta financiera de un residente
Esa es la lista completa. A diferencia de muchos otros estados que han ampliado sus definiciones a lo largo de los años, la ley de Idaho no cubre:
- Datos biométricos (huellas dactilares, reconocimiento facial, escaneos de retina)
- Información médica o de seguro de salud
- Números de pasaporte
- Números de identificación fiscal
- Direcciones de correo electrónico o credenciales de cuentas en línea
La información disponible públicamente que es legalmente accesible desde registros gubernamentales federales, estatales o locales también está excluida de la definición.
Este alcance limitado significa que una violación que involucre únicamente expedientes médicos, datos biométricos o credenciales de correo electrónico no activaría las obligaciones de notificación bajo la ley actual de Idaho.
Puerto Seguro de Cifrado
La ley de Idaho ofrece un claro puerto seguro de cifrado. Las definiciones tanto de información personal como de violación de seguridad especifican que los datos deben estar sin cifrar para caer dentro del alcance del estatuto.
Si una organización mantiene la información personal en un formato cifrado y las claves de cifrado no se ven comprometidas durante una violación, no se requiere notificación. Los datos cifrados simplemente quedan fuera de las definiciones estatutarias.
Este puerto seguro brinda a las organizaciones un fuerte incentivo para cifrar la información personal tanto en reposo como en tránsito. El cifrado adecuado efectivamente elimina los datos de los requisitos de notificación de Idaho por completo.
Requisitos y Plazos de Notificación
El marco de notificación de Idaho difiere significativamente según si la entidad afectada es una agencia gubernamental o una entidad comercial.
Investigación Primero
Cuando una entidad toma conocimiento de una posible violación, primero debe realizar una investigación de buena fe, razonable y pronta para determinar si la información personal ha sido o será utilizada indebidamente.
La notificación solo es requerida si la investigación determina que el uso indebido ha ocurrido o es razonablemente probable que ocurra. Una violación que no presente una probabilidad razonable de uso indebido no activa el requisito de notificación.
Notificación a las Personas Afectadas
Si se determina que el uso indebido ha ocurrido o es razonablemente probable, la entidad debe notificar a los residentes afectados de Idaho tan pronto como sea posible. La ley no establece un número específico de días. En cambio, el estándar de tiempo es que la notificación debe ocurrir sin demora injustificada, en consonancia con:
- Las necesidades legítimas de las fuerzas del orden
- Cualquier medida necesaria para determinar el alcance de la violación
- Cualquier medida necesaria para restaurar la integridad razonable del sistema

La Regla de las 24 Horas para el Reporte a la Agencia
La disposición más distintiva de Idaho se aplica a las agencias gubernamentales. Cuando una ciudad, condado o agencia estatal toma conocimiento de una violación, debe notificar a la División de Protección al Consumidor del Fiscal General de Idaho dentro de las 24 horas posteriores al descubrimiento.
Esta ventana de 24 horas es uno de los plazos obligatorios de reporte gubernamental más cortos del país. Comienza en el momento en que la agencia descubre la violación, no cuando concluye la investigación.
Las agencias estatales enfrentan un requisito adicional. También deben reportar la violación al director de información dentro del Departamento de Administración de Idaho, de acuerdo con las políticas establecidas por la Autoridad de Tecnología de Idaho.
Las entidades comerciales no están obligadas a notificar al Fiscal General bajo la ley de Idaho. Pueden hacerlo voluntariamente, pero no existe una obligación de reporte obligatorio al Fiscal General para las violaciones del sector privado, independientemente del número de personas afectadas.
Métodos de Notificación

Bajo el § 28-51-104, la notificación puede proporcionarse a través de cualquiera de los siguientes métodos:
- Notificación escrita enviada por correo
- Notificación telefónica
- Notificación electrónica (si la entidad cuenta con una dirección de correo electrónico válida y la notificación es coherente con los requisitos de la Ley federal E-SIGN)
La notificación sustitutiva está disponible cuando el costo de la notificación directa excede los $25,000, cuando se debe notificar a más de 50,000 residentes de Idaho, o cuando la entidad carece de información de contacto suficiente. La notificación sustitutiva requiere las tres condiciones siguientes:
- Notificación por correo electrónico a todas las personas afectadas para quienes la entidad tenga una dirección de correo electrónico
- Publicación visible en el sitio web de la entidad
- Notificación a través de los principales medios de comunicación estatales
Retraso por las Fuerzas del Orden
La notificación a las personas puede retrasarse si una agencia de las fuerzas del orden indica que la notificación impediría una investigación penal. Una vez que las fuerzas del orden determinan que la notificación ya no comprometerá la investigación, la entidad debe proceder con la notificación sin demora injustificada.
Esta disposición no afecta el requisito de notificación de 24 horas al Fiscal General para las agencias gubernamentales. Ese plazo corre de manera independiente a cualquier retraso de las fuerzas del orden.
Puertos Seguros de Cumplimiento
El Idaho Code § 28-51-106 ofrece dos puertos seguros de cumplimiento.
Primero, una entidad que mantiene sus propios procedimientos de notificación como parte de una política de seguridad de la información se considera en cumplimiento con la ley de Idaho, siempre que esos procedimientos sean coherentes con los requisitos de tiempo del § 28-51-105 y que la entidad los siga cuando ocurra una violación.
Segundo, una entidad regulada por la ley estatal o federal que mantiene procedimientos de notificación de violaciones bajo las reglas, regulaciones o directrices establecidas por su regulador principal se considera en cumplimiento. Esto significa que las organizaciones que siguen la HIPAA, la Ley Gramm-Leach-Bliley u otros marcos federales de notificación de violaciones pueden confiar en esos procedimientos para satisfacer los requisitos de Idaho.
Sanciones y Aplicación
Sanciones Civiles

Bajo el Idaho Code § 28-51-107, cualquier entidad que intencionalmente incumpla con proporcionar la notificación requerida enfrenta una multa civil de hasta $25,000 por violación de la seguridad del sistema.
La palabra intencionalmente es significativa. Una entidad que hace un esfuerzo de buena fe para cumplir pero que se queda corta puede no enfrentar sanciones. La multa se dirige a los incumplimientos deliberados de notificación, no a los retrasos accidentales o errores honestos al determinar si se requería la notificación.
Las acciones de aplicación son emprendidas por el regulador principal de la entidad. Para la mayoría de las entidades comerciales, el regulador principal es el Fiscal General de Idaho. Para las entidades reguladas por agencias federales, el Departamento de Finanzas o el Departamento de Seguros, esos reguladores se encargan de la aplicación.
Sanciones Penales para Empleados Gubernamentales
La ley de Idaho incluye una disposición penal que se dirige específicamente a los empleados gubernamentales. Bajo el § 28-51-105, cualquier empleado gubernamental que divulgue intencionalmente información personal que no esté sujeta a divulgación bajo la ley aplicable es culpable de un delito menor.
Las sanciones por este delito menor incluyen:
- Una multa de hasta $2,000
- Prisión en una cárcel del condado por hasta un año
- O ambas
Esta disposición penal es independiente de la estructura de multas civiles y se aplica exclusivamente a los empleados gubernamentales que comparten información protegida de manera deliberada.
Sin Derecho de Acción Privado
La ley de notificación de violaciones de Idaho no crea un derecho de acción privado. Los residentes individuales no pueden demandar directamente a las entidades bajo este estatuto por no notificar. La aplicación queda enteramente en manos de los reguladores principales y del Fiscal General.
Cómo Reportar una Violación al Fiscal General de Idaho
Las agencias gubernamentales deben reportar las violaciones a la División de Protección al Consumidor del Fiscal General de Idaho dentro de las 24 horas. Los reportes pueden enviarse por correo electrónico a consumer_protection@ag.idaho.gov o por correo postal a:
Office of the Idaho Attorney General Consumer Protection Division P.O. Box 83720 Boise, ID 83720-0010
Para preguntas sobre la ley de notificación de violaciones de Idaho, comuníquese con el Fiscal General Adjunto Corbin Schamber al 208-334-4135.
La oficina del Fiscal General mantiene un registro público de notificaciones de violaciones recibidas desde el 1 de enero de 2021.

Cambios Legislativos Pendientes
La ley de notificación de violación de datos de Idaho no ha sido actualizada de manera significativa desde 2014, pero ha habido esfuerzos recientes para modernizarla.
En 2025, el Senado de Idaho aprobó el Proyecto de Ley del Senado 1066 por un voto de 27-6. El proyecto habría ampliado la definición de información personal para incluir números de pasaporte, direcciones de correo electrónico, historiales médicos, datos biométricos y números de identificación fiscal. También habría exigido a las entidades ofrecer a las personas afectadas 12 meses de monitoreo de crédito gratuito después de una violación.
El S.B. 1066 fue aprobado por el Senado y remitido al Comité de Negocios de la Cámara, que recomendó su aprobación. Sin embargo, el proyecto se estancó en la agenda general de la Cámara (General Orders) y no fue promulgado antes de que terminara la sesión.
Por separado, en 2026, se presentó el Proyecto de Ley de la Cámara 744 para abordar la privacidad biométrica en Idaho, exigiendo el consentimiento informado antes de la recopilación comercial de identificadores biométricos. Aunque no modifica directamente el estatuto de notificación de violaciones, este proyecto señala un creciente interés legislativo en ampliar las protecciones de datos más allá del marco limitado actual.
Hasta marzo de 2026, la ley de notificación de violaciones de Idaho permanece sin cambios respecto a su versión de 2014.
Más Leyes de Idaho
- Leyes de Grabación con IA en Reuniones de Idaho
- Leyes de Pensión Alimenticia de Idaho
- Leyes de Empleo a Voluntad de Idaho
- Leyes de Accidentes Automovilísticos de Idaho
- Leyes de Asientos de Auto para Niños de Idaho
- Leyes de Custodia de Menores de Idaho
- Leyes de Manutención Infantil de Idaho
- Leyes de Matrimonio de Hecho de Idaho
- Leyes sobre Deepfakes de Idaho
- Leyes de Divorcio de Idaho
- Leyes sobre Mordeduras de Perro de Idaho
- Leyes de Emancipación de Idaho
- Leyes de Eliminación de Antecedentes Penales de Idaho
- Leyes sobre Choque y Fuga de Idaho
- Leyes de Propietarios e Inquilinos de Idaho
- Leyes del Limón de Idaho
Fuentes y Referencias
Este artículo hace referencia a los estatutos de Idaho y a publicaciones oficiales del gobierno estatal. Para el texto completo de la ley de notificación de violaciones, visite el sitio web de la Legislatura de Idaho. Para obtener orientación sobre cómo reportar una violación o presentar una queja, visite la página de Violaciones de Seguridad del Fiscal General de Idaho.
Este artículo proporciona información legal general sobre las leyes de notificación de violación de datos de Idaho. No constituye asesoría legal. Consulte a un abogado calificado para obtener orientación sobre su situación específica. Las leyes y regulaciones cambian con frecuencia. Verifique los requisitos actuales a través de las fuentes oficiales del gobierno de Idaho.
¿Afectado por una filtración de datos o una violación de privacidad biométrica?
Si sus datos personales quedaron expuestos en una filtración, o si su huella dactilar o escaneo facial se recopiló sin su consentimiento, podría ser elegible para unirse a un reclamo por compensación. Averígüelo gratis y sin compromiso.
Fuentes y referencias
- Idaho Code § 28-51-104 (Definiciones)(legislature.idaho.gov).gov
- Idaho Code § 28-51-105 (Requisitos de notificación de violación)(legislature.idaho.gov).gov
- Idaho Code § 28-51-106 (Procedimientos de cumplimiento)(legislature.idaho.gov).gov
- Idaho Code § 28-51-107 (Sanciones)(legislature.idaho.gov).gov
- Idaho Code Título 28, Capítulo 51 (Robo de Identidad)(legislature.idaho.gov).gov
- Fiscal General de Idaho - Protección al Consumidor - Violaciones de Seguridad(ag.idaho.gov).gov
- Proyecto de Ley del Senado 1066 (2025) - Violaciones de datos, monitoreo de crédito(legislature.idaho.gov).gov
- Proyecto de Ley de la Cámara 744 (2026) - Identificadores biométricos(legislature.idaho.gov).gov