Louisiana
Leyes de Notificación de Violación de Datos de Luisiana: Reglas y Plazos para Reportar (2026)

La Ley de Notificación de Violación de Seguridad de Bases de Datos de Luisiana exige que las empresas y agencias gubernamentales que posean o mantengan información personal computarizada notifiquen a los residentes afectados dentro de los 60 días posteriores a descubrir una violación, conforme a La. R.S. 51:3074. Un aviso por escrito separado al Fiscal General debe seguir dentro de los 10 días posteriores al envío de las notificaciones a los residentes.
La Ley de Notificación de Violación de Seguridad de Bases de Datos de Luisiana exige que cualquier persona o agencia que posea, tenga licencia o mantenga información personal computarizada notifique a los residentes afectados de Luisiana cuando esos datos se vean comprometidos. Promulgada originalmente en 2005, la ley se fortaleció significativamente en 2018 mediante el Proyecto de Ley del Senado 361, que agregó un plazo estricto de notificación de 60 días, amplió la definición de información personal para incluir datos biométricos y números de pasaporte, y creó obligaciones obligatorias de reporte al fiscal general.
Si su organización maneja datos que pertenecen a residentes de Luisiana, comprender estos requisitos no es opcional. El estado trata cada día de retraso en la notificación al Fiscal General como una infracción separada con sanciones de hasta $5,000.
Para un contexto más amplio sobre el marco general de privacidad de Luisiana, consulte la guía principal de Leyes de Privacidad de Datos de Luisiana.
Qué Activa el Requisito de Notificación
La ley de Luisiana define una "violación de la seguridad del sistema" como el compromiso de la seguridad, confidencialidad o integridad de los datos computarizados que resulta en la adquisición no autorizada de información personal. La palabra clave es "adquisición". El simple acceso no autorizado a un sistema no necesariamente activa la ley. La información personal debe haber sido realmente adquirida, o creerse razonablemente que fue adquirida, por una persona no autorizada.
Existe una excepción legal: la adquisición de buena fe de información personal por parte de un empleado o agente del titular de los datos no cuenta como una violación, siempre que la información no se utilice para fines no autorizados ni esté sujeta a divulgación no autorizada adicional.
La ley se aplica a tres categorías de entidades bajo La. R.S. 51:3074:
- Cualquier persona que realice negocios en Luisiana y posea o tenga licencia de datos computarizados que contengan información personal
- Cualquier agencia gubernamental que posea o tenga licencia de dichos datos
- Cualquier persona o agencia que mantenga datos computarizados que contengan información personal que no le pertenezca (estas entidades deben notificar al propietario o licenciatario de los datos)
Qué Cuenta como Información Personal Protegida
Bajo La. R.S. 51:3073, "información personal" significa el primer nombre o la inicial del primer nombre y el apellido de una persona combinados con uno o más de los siguientes elementos de datos:
- Número de Seguro Social
- Número de licencia de conducir o número de tarjeta de identificación estatal
- Número de cuenta financiera, número de tarjeta de crédito o número de tarjeta de débito, en combinación con cualquier código de seguridad, código de acceso o contraseña requerido que permitiera el acceso a la cuenta
- Número de pasaporte
- Datos biométricos, definidos como datos generados por mediciones automáticas de las características biológicas de una persona (como huellas dactilares, huellas de voz, retina o iris del ojo, u otras características biológicas únicas) utilizados para autenticar de manera única la identidad de una persona al acceder a un sistema o cuenta
El elemento de datos no debe estar cifrado ni redactado para calificar. Si los datos comprometidos estaban cifrados en el momento de la violación, el requisito de notificación no se aplica. Este es el puerto seguro (safe harbor) de cifrado de Luisiana.
La información disponible públicamente en registros gubernamentales federales, estatales o locales está excluida de la definición de información personal.

El Plazo de Notificación de 60 Días
La notificación debe realizarse "en el tiempo más expedito posible y sin demora injustificada", pero a más tardar 60 días desde la fecha en que se descubre la violación. Este plazo estricto fue agregado por las enmiendas del SB 361 de 2018 y reemplazó el estándar anterior, más abierto, de "el tiempo más expedito posible".
El reloj de 60 días comienza en la fecha de descubrimiento, no en la fecha en que realmente ocurrió la violación. El descubrimiento significa el momento en que la entidad se percata de que ha ocurrido una violación.
Retrasos Permitidos
Dos circunstancias permiten extender el período de notificación más allá de los 60 días:
Retraso por las fuerzas del orden. Si una agencia de las fuerzas del orden determina que la notificación impediría una investigación criminal, la notificación puede retrasarse hasta que las fuerzas del orden determinen que ya no comprometerá la investigación.
Retraso por alcance y remediación. Si la entidad determina que se necesita tiempo adicional para determinar el alcance de la violación, prevenir divulgaciones adicionales o restaurar la integridad razonable del sistema de datos, puede retrasar la notificación. Sin embargo, la entidad debe proporcionar al Fiscal General las razones por escrito del retraso dentro del período original de 60 días. El Fiscal General entonces otorga una extensión razonable.
En ambos casos, la entidad debe proporcionar justificación por escrito al Fiscal General dentro de los 60 días. No existe una excepción general que permita un retraso indefinido.

Requisitos de Notificación al Fiscal General
Luisiana impone una notificación obligatoria y separada a la oficina del Fiscal General. Bajo el Código Administrativo de Luisiana, Título 16, Parte III, Sección 701, las entidades deben:
- Enviar aviso por escrito a la Sección de Protección al Consumidor del Fiscal General dentro de 10 días posteriores a la distribución de los avisos de violación a los residentes de Luisiana
- Incluir los nombres de todos los ciudadanos de Luisiana afectados por la violación en la notificación
- Enviar la notificación a la Sección de Protección al Consumidor del Departamento de Justicia de Luisiana
El aviso se puede presentar a través del Formulario de Reporte en Línea de Violación de Seguridad de Bases de Datos de Luisiana o enviarse por correo a:
Departamento de Justicia de Luisiana Oficina del Fiscal General Sección de Protección al Consumidor 1885 N. Third Street Baton Rouge, LA 70802
No proporcionar una notificación oportuna al Fiscal General conlleva multas de hasta $5,000 por infracción, contando cada día de aviso tardío como una infracción separada.
Métodos de Notificación a las Personas
Luisiana permite tres métodos para notificar a las personas afectadas bajo La. R.S. 51:3074(G):
Notificación por escrito. Una carta física enviada a la persona afectada.
Notificación electrónica. Notificación por correo electrónico, siempre que cumpla con la ley federal E-SIGN Act (15 U.S.C. 7001).
Notificación sustitutiva. Disponible cuando el costo de la notificación directa superaría los $100,000, la clase afectada supera las 100,000 personas, o la entidad carece de información de contacto suficiente. La notificación sustitutiva requiere los tres elementos siguientes:
- Notificación por correo electrónico a las personas para quienes la entidad tiene direcciones de correo electrónico
- Publicación visible en el sitio web de la entidad
- Notificación a los principales medios de comunicación estatales
Las entidades que ya mantienen un procedimiento de notificación como parte de su política de seguridad de la información pueden usar ese procedimiento en su lugar, siempre que sea consistente con los requisitos de tiempo del estatuto.

Exención Basada en el Daño
No se requiere notificación si, tras una investigación razonable, la entidad determina que no existe una probabilidad razonable de daño a los residentes de Luisiana como resultado de la violación.
Esta exención conlleva requisitos de documentación. La entidad debe conservar una copia escrita de su determinación y la documentación de respaldo durante cinco años a partir de la fecha de descubrimiento. Si el Fiscal General solicita esta documentación por escrito, la entidad debe proporcionarla dentro de los 30 días.
Requisitos de Seguridad
Más allá de la notificación, la ley de Luisiana impone obligaciones afirmativas de seguridad de datos. Bajo La. R.S. 51:3074(A), cualquier entidad que realice negocios en Luisiana o posea o tenga licencia de información personal computarizada debe implementar y mantener "procedimientos y prácticas de seguridad razonables apropiados para la naturaleza de la información" para proteger la información personal del acceso, destrucción, uso, modificación o divulgación no autorizados.
La ley también exige a las entidades tomar "todas las medidas razonables" para destruir los registros que contengan información personal que ya no sea necesaria. Los métodos de destrucción aceptables incluyen triturar, borrar o hacer que la información sea ilegible e indescifrable de otro modo.
Aplicación de la Ley y Sanciones
Las infracciones a la Ley de Notificación de Violación de Seguridad de Bases de Datos constituyen actos o prácticas desleales bajo la Ley de Prácticas Comerciales Desleales y Protección al Consumidor de Luisiana (La. R.S. 51:1405). Esto significa que el Fiscal General puede iniciar acciones de aplicación utilizando toda la gama de recursos de protección al consumidor.
Para las fallas en la notificación al Fiscal General específicamente, las multas pueden alcanzar los $5,000 por infracción por día.
Bajo La. R.S. 51:3075, las personas también pueden presentar una acción civil para recuperar daños reales resultantes del incumplimiento de proporcionar una notificación oportuna de la violación. Sin embargo, Luisiana no proporciona un derecho de acción privado amplio por la violación en sí. La causa de acción privada se limita a los daños causados por el incumplimiento de notificar, no por la violación misma.
Historia Legislativa Notable
La ley de notificación de violaciones de Luisiana se ha modificado varias veces desde su promulgación en 2005:
Ley 499 (2005). Estableció la Ley de Notificación de Violación de Seguridad de Bases de Datos original, vigente desde el 1 de enero de 2006. Exigía la notificación en "el tiempo más expedito posible" sin un plazo estricto.
Ley 382 / SB 361 (2018). La revisión más significativa. Agregó el plazo de notificación de 60 días, amplió la información personal para incluir datos biométricos y números de pasaporte, creó la exención basada en el daño con retención de documentación de cinco años, exigió justificación por escrito al Fiscal General para notificaciones retrasadas, y agregó el requisito de procedimientos de seguridad razonables.
Propuesta de Ley de Privacidad de Datos de Luisiana (SB 386, 2026)
Luisiana está considerando una ley integral de privacidad de datos a través del Proyecto de Ley del Senado 386 en la Sesión Regular de 2026, patrocinado por el senador Connick. De promulgarse, la Ley de Privacidad de Datos de Luisiana crearía derechos de privacidad del consumidor más amplios más allá de la notificación de violaciones.
Las disposiciones clave de la ley propuesta incluyen:
- Se aplica a las empresas que realizan negocios en Luisiana, procesan o venden datos personales, y no son pequeñas empresas
- Prohíbe la venta de datos personales sensibles sin el consentimiento previo del consumidor
- Autoriza al Fiscal General a aplicar las infracciones con un período de subsanación de 30 días
- Sanciones civiles de hasta $7,500 por infracción no subsanada
- Exime a las agencias estatales, instituciones financieras, organizaciones sin fines de lucro, instituciones de educación superior y entidades ya reguladas por HIPAA o la GLBA
Hasta marzo de 2026, el proyecto está pendiente en la Legislatura de Luisiana. Su aprobación convertiría a Luisiana en el último estado en adoptar un marco integral de privacidad del consumidor, complementando los requisitos existentes de notificación de violaciones.
Más leyes de Luisiana
- Leyes de Grabación de Reuniones con IA de Luisiana
- Leyes de Pensión Alimenticia de Luisiana
- Leyes de Empleo a Voluntad de Luisiana
- Leyes de Accidentes de Auto de Luisiana
- Leyes de Asientos de Seguridad para Niños de Luisiana
- Leyes de Custodia de los Hijos de Luisiana
- Leyes de Manutención de los Hijos de Luisiana
- Leyes de Matrimonio de Hecho de Luisiana
- Leyes de Deepfake de Luisiana
- Leyes de Divorcio de Luisiana
- Leyes de Mordedura de Perro de Luisiana
- Leyes de Emancipación de Luisiana
- Leyes de Eliminación de Antecedentes de Luisiana
- Leyes de Atropello y Fuga de Luisiana
- Leyes de Propietarios e Inquilinos de Luisiana
- Leyes Limón de Luisiana
Este artículo ofrece información legal general sobre las leyes de notificación de violación de datos de Luisiana. No constituye asesoría legal. Las leyes y regulaciones cambian con frecuencia, y este contenido puede no reflejar los desarrollos más recientes. Consulte a un abogado calificado con licencia en Luisiana para obtener asesoría sobre su situación específica.
Preguntas frecuentes
¿Con qué rapidez debe una empresa notificar a los residentes de Luisiana sobre una violación de datos?
La ley de Luisiana exige la notificación en el tiempo más expedito posible y a más tardar 60 días desde la fecha en que se descubre la violación. Si una investigación de las fuerzas del orden o la necesidad de determinar el alcance de la violación requiere tiempo adicional, la entidad debe proporcionar razones por escrito al Fiscal General dentro del plazo de 60 días. El Fiscal General puede entonces otorgar una extensión razonable.
¿Exige Luisiana la notificación al Fiscal General después de una violación de datos?
Sí. Las entidades deben enviar aviso por escrito a la Sección de Protección al Consumidor del Fiscal General dentro de los 10 días posteriores a la distribución de los avisos a los residentes afectados de Luisiana. El aviso debe incluir los nombres de todos los ciudadanos de Luisiana afectados. La notificación tardía al Fiscal General conlleva multas de hasta $5,000 por infracción, contando cada día de retraso por separado.
¿Están exentos los datos cifrados de los requisitos de notificación de violaciones de Luisiana?
Sí. La ley de Luisiana solo se aplica a la información personal que no está cifrada ni redactada. Si los datos comprometidos estaban debidamente cifrados en el momento de la violación, el requisito de notificación no se aplica. Este puerto seguro de cifrado es una de las formas más sencillas para que las empresas limiten sus obligaciones de notificación de violaciones.
¿Pueden las personas demandar por una violación de datos en Luisiana?
Las personas pueden presentar una acción civil bajo La. R.S. 51:3075 para recuperar daños reales causados por el incumplimiento de proporcionar una notificación oportuna de la violación. Sin embargo, no existe un derecho de acción privado amplio por la violación en sí. La demanda debe basarse en el incumplimiento de la entidad en notificar, no en el acceso no autorizado a los datos. El Fiscal General maneja la aplicación más amplia bajo la Ley de Prácticas Comerciales Desleales.
¿La ley de notificación de violaciones de Luisiana cubre los datos biométricos?
Sí, desde las enmiendas de 2018 a través del SB 361. Luisiana define los datos biométricos como información generada por mediciones automáticas de características biológicas, como huellas dactilares, huellas de voz y escaneos de retina o iris, utilizados para autenticar la identidad de una persona al acceder a un sistema o cuenta. Si los datos biométricos combinados con el nombre de una persona se ven comprometidos en una violación, se aplican los requisitos de notificación.
¿Afectado por una filtración de datos o una violación de privacidad biométrica?
Si sus datos personales quedaron expuestos en una filtración, o si su huella dactilar o escaneo facial se recopiló sin su consentimiento, podría ser elegible para unirse a un reclamo por compensación. Averígüelo gratis y sin compromiso.
Fuentes y referencias
- Ley de Notificación de Violación de Seguridad de Bases de Datos de Luisiana (La. R.S. 51:3071 y siguientes)(legis.la.gov).gov
- La. R.S. 51:3073 definiciones de información personal y violación(legis.la.gov).gov
- La. R.S. 51:3074 requisitos de notificación y obligaciones de seguridad(legis.la.gov).gov
- La. R.S. 51:3075 acción civil por daños derivados de fallas de notificación(legis.la.gov).gov
- Ley de Prácticas Comerciales Desleales y Protección al Consumidor de Luisiana (La. R.S. 51:1405)(legis.la.gov).gov
- SB 361 (2018) versión promulgada que amplía los requisitos de notificación de violaciones(legis.la.gov).gov
- Código Administrativo de Luisiana, Título 16, Parte III, Sección 701, requisitos de reporte al Fiscal General(law.cornell.edu)
- Página de reporte de violación de datos del Fiscal General de Luisiana(ag.state.la.us).gov
- SB 386 (2026) propuesta de Ley de Privacidad de Datos de Luisiana(legis.la.gov).gov