Illinois
Leyes de Notificación de Violación de Datos de Illinois: Reglas y Plazos de Reporte (2026)

Bajo la Ley de Protección de Información Personal de Illinois, 815 ILCS 530/10, cualquier recolector de datos que sufra una violación de seguridad debe notificar a los residentes de Illinois afectados en el tiempo más expedito posible y sin demora injustificada. No se aplica un conteo fijo de días; el estándar es la razonabilidad.
Si su empresa maneja datos personales pertenecientes a residentes de Illinois, una violación de seguridad activa obligaciones de notificación bajo la ley estatal. La Ley de Protección de Información Personal (815 ILCS 530), a menudo llamada PIPA, exige un aviso pronto a las personas afectadas y, en muchos casos, al Fiscal General de Illinois. Illinois se destaca entre los estados porque su amplia definición de información personal incluye datos biométricos, y una ley separada, la Ley de Privacidad de Información Biométrica (BIPA), agrega obligaciones adicionales para los incidentes relacionados con datos biométricos.
Esta guía explica quién debe cumplir, qué activa la notificación, cómo reportar y qué sanciones se aplican bajo la ley de privacidad de datos actual de Illinois.
Quién Debe Cumplir con la Ley de Notificación de Violación de Illinois
La ley se aplica a cualquier "recolector de datos" que sea dueño de o tenga licencia sobre datos computarizados que contengan información personal de residentes de Illinois. La Sección 5 de 815 ILCS 530 define al recolector de datos de manera amplia. Incluye agencias gubernamentales estatales y locales, universidades, corporaciones, instituciones financieras, operadores minoristas y cualquier otra entidad que maneje, recopile, difunda o de otro modo trate información personal no pública.
Los proveedores de servicios externos que mantienen datos en nombre de otra entidad deben notificar al dueño o licenciatario de los datos inmediatamente después de descubrir una violación. El dueño de los datos entonces asume la obligación directa de notificar a los residentes afectados.
Entidades con Marcos de Cumplimiento Independientes
La Sección 50 de 815 ILCS 530 establece que las entidades sujetas a la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) y a la Ley de Tecnología de la Información de Salud para la Salud Económica y Clínica (HITECH) se consideran en cumplimiento de la Ley si siguen sus procedimientos federales de notificación de violaciones. Estas entidades aún deben notificar al Fiscal General de Illinois dentro de los cinco días hábiles posteriores a notificar al Secretario de Salud y Servicios Humanos de EE. UU.
Las instituciones financieras reguladas bajo la Ley Gramm-Leach-Bliley que mantienen sus propios procedimientos de notificación de violaciones también satisfacen los requisitos de Illinois cuando siguen los estándares de su regulador federal.
Qué Califica como Violación de Seguridad
Bajo la Sección 5 de 815 ILCS 530, una "violación de la seguridad de los datos del sistema" significa la adquisición no autorizada de datos computarizados que compromete la seguridad, confidencialidad o integridad de la información personal mantenida por el recolector de datos.
El estatuto se centra en la adquisición no autorizada más que en el mero acceso no autorizado. Un empleado que se encuentra con información personal durante sus funciones normales de trabajo no ha activado una violación, siempre que la información no se use para un propósito no autorizado ni se comparta sin autorización.
El Puerto Seguro de Cifrado
Illinois ofrece un puerto seguro de cifrado. Si la información personal comprometida estaba cifrada y la clave de cifrado no fue adquirida por la parte no autorizada, el recolector de datos no está obligado a enviar notificaciones de violación.
Esto significa que las organizaciones que cifran los datos personales tanto en reposo como en tránsito pueden evitar las obligaciones de notificación, pero solo si las claves de cifrado permanecen seguras. Si un atacante obtiene tanto los datos cifrados como la clave de descifrado, se aplican los requisitos completos de notificación.
Información Personal que Activa la Notificación
Illinois define la información personal en dos categorías bajo la Sección 5 de 815 ILCS 530.
La Categoría 1 requiere el nombre o la inicial del primer nombre y el apellido del individuo combinados con uno o más de los siguientes elementos de datos:
- Número de Seguro Social
- Número de licencia de conducir o número de tarjeta de identificación estatal
- Número de cuenta financiera, número de tarjeta de crédito o número de tarjeta de débito, combinado con cualquier código de seguridad, código de acceso o contraseña requerida que permita el acceso a la cuenta
- Información médica, incluidos los datos sobre el historial médico, la condición mental o física, o el diagnóstico o tratamiento por parte de un profesional de la salud de un individuo
- Información de seguro de salud, incluidos números de póliza o de suscriptor, identificadores únicos, y cualquier información médica en solicitudes, historiales de reclamos o registros de apelaciones
- Datos biométricos únicos generados a partir de mediciones o análisis de características del cuerpo humano usados para autenticación, incluidas huellas dactilares, imágenes de retina o iris, y otras representaciones físicas o digitales únicas de datos biométricos

La Categoría 2 cubre el nombre de usuario o la dirección de correo electrónico de un residente combinada con una contraseña o una pregunta y respuesta de seguridad que permitiría el acceso a una cuenta en línea. Esta categoría no requiere el nombre del individuo.
La información personal no incluye datos disponibles públicamente obtenidos legalmente de registros gubernamentales federales, estatales o locales.
Superposición entre Datos Biométricos y la BIPA
Illinois es uno de los pocos estados que incluye los datos biométricos en su desencadenante de notificación de violación. Esto crea obligaciones duales cuando se compromete información biométrica. Una violación que involucre huellas dactilares, escaneos faciales o imágenes de iris activa la notificación bajo 815 ILCS 530, y también puede exponer a la organización a un derecho de acción privado bajo la BIPA (740 ILCS 14) si los datos se recopilaron sin el consentimiento adecuado.
En agosto de 2024, el gobernador Pritzker firmó el SB 2979, que modificó la BIPA para aclarar que las múltiples violaciones que involucran los datos biométricos de la misma persona constituyen una sola violación, limitando los daños por persona. Esto redujo la exposición bajo la BIPA, pero no cambió los requisitos de notificación de violación bajo 815 ILCS 530.
Plazo y Requisitos de Notificación
Cuándo Notificar
La Sección 10 de 815 ILCS 530 exige la notificación "en el tiempo más expedito posible y sin demora injustificada". A diferencia de muchos estados que establecen un conteo específico de días (como 30 o 60 días), Illinois usa un estándar de razonabilidad.
El reloj comienza después de que el recolector de datos descubre la violación o es notificado de ella. El estatuto permite un retraso solo para determinar el alcance de la violación y restaurar la integridad del sistema, o cuando las fuerzas del orden presentan una solicitud por escrito indicando que la notificación interferiría con una investigación penal.
Quién Recibe la Notificación

Los residentes afectados deben recibir un aviso individual sin costo. La notificación debe incluir:
- Una descripción de la violación
- Números gratuitos de las agencias de reporte de crédito al consumidor
- Información de contacto de la FTC
- Orientación sobre cómo colocar alertas de fraude y congelamientos de seguridad
Para las violaciones que involucren nombres de usuario y contraseñas, el aviso puede indicar a los residentes que cambien sus credenciales de inmediato y tomen medidas para proteger las cuentas vinculadas.

Fiscal General de Illinois: Los recolectores de datos privados deben notificar al Fiscal General cuando una violación afecte a 500 o más residentes de Illinois. Las agencias estatales deben notificar al Fiscal General cuando se vean afectados 250 o más residentes. La notificación al Fiscal General debe incluir la naturaleza de la violación, el número de residentes de Illinois afectados y las medidas tomadas o planificadas en respuesta.
Agencias de reporte de crédito: Las agencias estatales deben notificar a todas las agencias de reporte de crédito al consumidor a nivel nacional cuando se vean afectadas 1,000 o más personas.
Cómo Notificar
La ley permite tres métodos de notificación individual bajo la Sección 10(c):
- Notificación escrita enviada a la última dirección conocida del residente
- Notificación electrónica que cumpla con la Ley federal de Firmas Electrónicas en el Comercio Global y Nacional (E-SIGN)
- Notificación sustitutiva cuando el costo de la notificación directa exceda los $250,000, se vean afectados más de 500,000 residentes de Illinois, o el recolector de datos carezca de información de contacto suficiente. La notificación sustitutiva requiere correo electrónico (si está disponible), publicación visible en el sitio web del recolector de datos y notificación a los medios de comunicación estatales
Para reportar una violación al Fiscal General, las empresas usan el Sistema de Notificación de Violación de Datos de la Oficina del Fiscal General o envían un correo electrónico a Datasecurity@ilag.gov.
Requisitos para las Agencias Estatales
La Sección 12 de 815 ILCS 530 impone requisitos adicionales a las agencias estatales de Illinois. Además del umbral más bajo de notificación al Fiscal General de 250 residentes, las agencias estatales deben:
- Reportar las violaciones a la Asamblea General dentro de los 5 días hábiles posteriores al descubrimiento
- Presentar reportes anuales detallando todas las violaciones y las medidas correctivas tomadas
- Notificar al Fiscal General dentro de los 45 días posteriores a descubrir una violación
Las agencias estatales también deben identificar al actor de la amenaza, si se conoce, al reportar a la Asamblea General. Estas capas adicionales de reporte reflejan la mayor rendición de cuentas que se espera de los custodios de datos gubernamentales.
Aplicación y Sanciones

Aplicación Bajo la Ley de Fraude al Consumidor
La Sección 20 de 815 ILCS 530 declara que cualquier violación de la Ley de Protección de Información Personal constituye una práctica ilegal bajo la Ley de Fraude al Consumidor y Prácticas Comerciales Engañosas (815 ILCS 505). Esto otorga al Fiscal General de Illinois una amplia autoridad de aplicación.
Bajo la Sección 7 de 815 ILCS 505, el Fiscal General puede buscar:
- Medidas cautelares para detener las violaciones en curso
- Sanciones civiles de hasta $50,000 por violación
- Sanciones adicionales de hasta $50,000 por violación cuando el demandado actuó con la intención de defraudar
- Sanciones adicionales de hasta $10,000 por violación cuando la víctima tiene 65 años o más
- Restitución para los consumidores afectados, que tiene prioridad sobre las sanciones civiles
Derecho de Acción Privado
La Ley de Protección de Información Personal no crea un derecho de acción privado directo. Las personas no pueden demandar a un recolector de datos únicamente por no notificarles sobre una violación. Sin embargo, los consumidores pueden presentar reclamos bajo la Ley de Fraude al Consumidor y Prácticas Comerciales Engañosas si pueden demostrar daños reales resultantes de la violación.
Cuando una violación involucra datos biométricos, las personas afectadas pueden tener una causa de acción separada bajo la BIPA (740 ILCS 14), que sí proporciona un derecho de acción privado con daños estatutarios de $1,000 por violación negligente y $5,000 por violación intencional o imprudente.
Sanciones por Eliminación de Datos
La Sección 40 de 815 ILCS 530 exige que la información personal se vuelva ilegible e indescifrable al desecharse, mediante trituración, incineración, pulverización o destrucción electrónica. Las violaciones conllevan sanciones civiles de hasta $100 por cada persona afectada, con un máximo de $50,000 por instancia de eliminación.
Acciones Notables de Aplicación de Violaciones en Illinois
La oficina del Fiscal General de Illinois ha aplicado activamente los requisitos de violación de datos a través de acciones multiestatales y a nivel estatal.
En un acuerdo notable, el Fiscal General Kwame Raoul se unió a una coalición de 50 estados que llegó a un acuerdo de $52 millones con Marriott International por la violación de la base de datos de reservas de Starwood. De 2014 a 2018, intrusos accedieron a aproximadamente 131.5 millones de registros de huéspedes. Illinois recibió $2.1 millones del acuerdo. Marriott acordó implementar un programa integral de seguridad de la información con principios de confianza cero, auditorías obligatorias de terceros cada dos años durante 20 años, y protecciones al consumidor que incluyen opciones de eliminación de datos.
Requisitos de Seguridad de Datos
Más allá de la notificación de violaciones, la Sección 45 de 815 ILCS 530 exige que todos los recolectores de datos implementen y mantengan medidas de seguridad razonables para proteger la información personal contra el acceso, la adquisición, la destrucción, el uso, la modificación o la divulgación no autorizados. Aunque el estatuto no prescribe estándares técnicos específicos, no mantener una seguridad razonable y sufrir posteriormente una violación fortalece la posición de aplicación del Fiscal General.
Más Leyes de Illinois
- Leyes de Grabación con IA en Reuniones de Illinois
- Leyes de Pensión Alimenticia de Illinois
- Leyes de Empleo a Voluntad de Illinois
- Leyes de Accidentes Automovilísticos de Illinois
- Leyes de Asientos de Auto para Niños de Illinois
- Leyes de Custodia de Menores de Illinois
- Leyes de Manutención Infantil de Illinois
- Leyes de Matrimonio de Hecho de Illinois
- Leyes sobre Deepfakes de Illinois
- Leyes de Divorcio de Illinois
- Leyes sobre Mordeduras de Perro de Illinois
- Leyes de Emancipación de Illinois
- Leyes de Eliminación de Antecedentes Penales de Illinois
- Leyes sobre Choque y Fuga de Illinois
- Leyes de Propietarios e Inquilinos de Illinois
- Leyes del Limón de Illinois
Este artículo proporciona información legal general sobre los requisitos de notificación de violación de datos de Illinois. No constituye asesoría legal. Consulte a un abogado calificado con licencia en Illinois para obtener orientación sobre situaciones específicas.
¿Afectado por una filtración de datos o una violación de privacidad biométrica?
Si sus datos personales quedaron expuestos en una filtración, o si su huella dactilar o escaneo facial se recopiló sin su consentimiento, podría ser elegible para unirse a un reclamo por compensación. Averígüelo gratis y sin compromiso.
Fuentes y referencias
- Ley de Protección de Información Personal(ilga.gov).gov
- Reporte de Violación de Datos al Fiscal General de Illinois(illinoisattorneygeneral.gov).gov
- Ley de Fraude al Consumidor y Prácticas Comerciales Engañosas(ilga.gov).gov
- Ley de Fraude al Consumidor, Sección 7 - Sanciones(ilga.gov).gov
- Ley de Privacidad de Información Biométrica (740 ILCS 14)(ilga.gov).gov
- SB 2979 - Enmienda de la BIPA(ilga.gov).gov
- Acuerdo por Violación de Datos de Marriott(illinoisattorneygeneral.gov).gov