New Mexico
Leyes de Privacidad de Datos de Nuevo México: Notificación de Violaciones, Aplicación de la Fiscalía General y Legislación 2026

Nuevo México no cuenta con una ley integral de privacidad de datos del consumidor a partir de mayo de 2026. La protección principal del estado es la Ley de Notificación de Violaciones de Datos (NMSA 57-12C), que exige que las empresas notifiquen a los residentes afectados dentro de los 45 días calendario posteriores al descubrimiento de una violación. La Ley de Prácticas Desleales (NMSA 57-12) otorga autoridad de aplicación a la Fiscalía General.
Los residentes y las empresas de Nuevo México operan bajo un mosaico de protecciones de privacidad estatales y federales, en lugar de un único estatuto integral de privacidad de datos. Mientras que estados como California, Colorado y Virginia han promulgado leyes amplias de privacidad del consumidor, Nuevo México ha adoptado un enfoque más incremental, centrado en la notificación de violaciones, las protecciones sectoriales y la aplicación de la protección al consumidor.
La principal herramienta de protección de datos del estado es la Ley de Notificación de Violaciones de Datos, codificada como NMSA 57-12C-1 a 57-12C-12. Esta ley establece requisitos estrictos sobre cómo las empresas deben manejar las violaciones de seguridad que involucran la información personal de identificación de los residentes de Nuevo México. La Ley de Prácticas Desleales proporciona protecciones adicionales al consumidor que la Fiscalía General ha utilizado contra plataformas tecnológicas con efectos significativos.
Esta guía cubre todas las protecciones de privacidad de datos disponibles para los residentes de Nuevo México, las obligaciones que deben seguir las empresas, y los desarrollos legislativos y de aplicación que han transformado el panorama de privacidad de Nuevo México en 2025 y 2026.
Ley de Notificación de Violaciones de Datos de Nuevo México (NMSA 57-12C)
La Ley de Notificación de Violaciones de Datos es el estatuto fundamental de privacidad de datos de Nuevo México. La gobernadora Susana Martinez firmó el Proyecto de Ley de la Cámara 15 durante la sesión regular de 2017, y la ley entró en vigor el 16 de junio de 2017. Nuevo México fue el estado número 48 en adoptar una ley de notificación de violaciones.

La ley está organizada en 12 secciones que cubren definiciones, requisitos de seguridad, obligaciones de eliminación, procedimientos de notificación, mecanismos de aplicación y exenciones.
Quién debe cumplir
La Ley de Notificación de Violaciones de Datos se aplica a cualquier persona que posea o tenga licencia sobre datos computarizados que incluyan la información personal de identificación de un residente de Nuevo México. Conforme a NMSA 57-12C-2, una "persona" incluye a cualquier individuo, corporación, sociedad, asociación, firma o cualquier otra entidad legal.
Esta definición amplia significa que la ley cubre a empresas de todos los tamaños, organizaciones sin fines de lucro, contratistas gubernamentales y cualquier otra entidad que maneje datos personales pertenecientes a residentes de Nuevo México. No existe un umbral mínimo de tamaño ni un requisito de ingresos para el cumplimiento.
Qué se considera información personal de identificación
La definición de información personal de identificación de Nuevo México conforme a NMSA 57-12C-2 requiere el nombre o la inicial del primer nombre y el apellido de una persona, combinados con uno o más de los siguientes elementos de datos sin cifrar:
- Número de Seguro Social
- Número de licencia de conducir o número de identificación emitido por el estado
- Número de cuenta, número de tarjeta de crédito o número de tarjeta de débito en combinación con cualquier código de seguridad, código de acceso o contraseña requerida que permitiera el acceso a una cuenta financiera
- Datos biométricos (huellas dactilares, huellas de voz, patrones de iris o retina, características faciales o geometría de la mano utilizados para autenticar la identidad)
La definición excluye la información obtenida lícitamente de fuentes disponibles al público o de registros gubernamentales federales, estatales o locales que se ponen lícitamente a disposición del público en general.
Los datos protegidos mediante cifrado, redacción o que de otro modo se vuelven ilegibles o inutilizables no califican como información personal de identificación bajo este estatuto. Este puerto seguro de cifrado le da a las empresas un fuerte incentivo para cifrar los datos personales almacenados.
Protecciones de datos biométricos
Nuevo México incluye los datos biométricos en su desencadenante de notificación de violaciones. Conforme a NMSA 57-12C-2, los "datos biométricos" se definen como un registro generado por mediciones automáticas de las huellas dactilares, la huella de voz, los patrones de iris o retina, las características faciales o la geometría de la mano de una persona identificada.
Los datos biométricos deben utilizarse para "autenticar de manera única y duradera la identidad de una persona cuando accede a una ubicación física, dispositivo, sistema o cuenta". Los datos biométricos recopilados con propósitos distintos a la autenticación, como el análisis agregado, pueden quedar fuera de esta definición específica.
Nuevo México no cuenta con una ley independiente de privacidad biométrica comparable a la Ley de Privacidad de Información Biométrica de Illinois. No existen requisitos separados para obtener consentimiento antes de recopilar datos biométricos, ni plazos específicos de retención y destrucción, fuera de los requisitos generales de eliminación establecidos en la Ley de Notificación de Violaciones de Datos.
Qué constituye una violación de seguridad
Conforme a NMSA 57-12C-2, una "violación de seguridad" es la adquisición no autorizada de datos computarizados sin cifrar, o de datos computarizados cifrados junto con el proceso confidencial o la clave utilizada para descifrarlos, que comprometa la seguridad, confidencialidad o integridad de la información personal de identificación.
La adquisición de buena fe de información personal de identificación por parte de un empleado o agente con un propósito comercial legítimo no constituye una violación de seguridad, siempre que la información no esté sujeta a divulgación adicional no autorizada.
Requisitos de seguridad y eliminación
La Ley de Notificación de Violaciones de Datos va más allá de la notificación. Impone obligaciones continuas sobre cómo las empresas almacenan y eliminan la información personal de identificación.
Medidas de seguridad razonables
Conforme a NMSA 57-12C-4, cualquier persona que posea o tenga licencia sobre información personal de identificación de un residente de Nuevo México debe implementar y mantener procedimientos y prácticas de seguridad razonables, apropiados a la naturaleza de la información. Estas medidas deben proteger la información personal de identificación contra el acceso, la destrucción, el uso, la modificación o la divulgación no autorizados.
El estatuto utiliza un estándar de "razonabilidad", que permite flexibilidad según el tamaño de la organización, la sensibilidad de los datos y el estado actual de la tecnología. Los tribunales y la Fiscalía General evalúan el cumplimiento según lo que se consideraría razonable bajo las circunstancias.
Requisitos de eliminación de datos
Cuando la información personal de identificación ya no es razonablemente necesaria para fines comerciales, NMSA 57-12C-3 exige su eliminación adecuada. La eliminación adecuada significa triturar, borrar o modificar de otro modo la información personal de identificación para hacerla ilegible o indescifrable. Esto se aplica tanto a los registros físicos como a los electrónicos; los datos deben quedar genuinamente inutilizables, no simplemente eliminados de una manera recuperable.
Obligaciones de los proveedores de servicios
NMSA 57-12C-5 aborda a los proveedores de servicios que reciben, almacenan, mantienen, tienen licencia, procesan o de otro modo acceden a información personal de identificación en nombre de otra entidad. Los proveedores de servicios deben implementar y mantener medidas de seguridad razonables y deben notificar a la entidad propietaria de los datos sobre cualquier violación de seguridad tan pronto como se descubra.
Esto crea una cadena de responsabilidad. Una empresa que subcontrata el procesamiento de datos a un tercero sigue siendo responsable de garantizar que ese proveedor mantenga una seguridad adecuada.
Requisitos de notificación

Plazo de notificación
Conforme a NMSA 57-12C-6, la notificación debe proporcionarse a los residentes afectados de Nuevo México en el tiempo más expedito posible, pero a más tardar 45 días calendario después del descubrimiento de la violación de seguridad.
Este plazo de 45 días se encuentra entre los más moderados a nivel nacional. Algunos estados exigen la notificación dentro de los 30 días, mientras que otros tienen estándares más flexibles de "sin demora injustificada". El plazo fijo de Nuevo México proporciona certeza a las empresas mientras garantiza una divulgación razonablemente rápida.
Excepción a la notificación
No se requiere notificación si, después de una investigación adecuada, la entidad determina que la violación de seguridad no genera un riesgo significativo de robo de identidad o fraude. Esta evaluación de riesgo debe documentarse y realizarse de buena fe. Las empresas no deben utilizar esta excepción a la ligera, ya que la Fiscalía General puede posteriormente impugnar una decisión de no notificar.
Contenido requerido de la notificación
Conforme a NMSA 57-12C-7, las notificaciones de violaciones deben incluir todo lo siguiente:
- El nombre y la información de contacto de la persona o entidad que notifica
- Una lista de los tipos de información personal de identificación que razonablemente se cree que fueron comprometidos
- La fecha de la violación de seguridad, o una fecha estimada o rango de fechas si se desconoce la fecha exacta
- Una descripción general del incidente de violación de seguridad
- Los números de teléfono gratuitos y las direcciones de las principales agencias de reporte de crédito al consumidor
- Recomendaciones que orienten al destinatario a revisar los estados de cuenta personales y los reportes de crédito en busca de actividad no autorizada
- Recomendaciones que informen al destinatario sobre sus derechos bajo la Ley Federal de Informe Justo de Crédito
Notificación sustituta
Si los métodos de notificación estándar resultan poco prácticos, la NMSA 57-12C-6 permite la notificación sustituta cuando el costo de la notificación excedería los $100,000, la clase afectada supera los 50,000 residentes de Nuevo México, o la entidad no cuenta con información de contacto suficiente para las personas que deben ser notificadas.
La notificación sustituta requiere enviar un aviso electrónico a las personas para las cuales la entidad tiene una dirección de correo electrónico válida, y enviar notificación por escrito a la oficina de la Fiscalía General de Nuevo México y a los principales medios de comunicación que sirven al estado.
Notificación a la Fiscalía General y a las agencias de crédito
Conforme a NMSA 57-12C-10, cualquier violación que afecte a más de 1,000 residentes de Nuevo México activa requisitos de notificación adicionales. La entidad debe notificar a la Oficina de la Fiscalía General y a las principales agencias de reporte de crédito al consumidor en el tiempo más expedito posible, y a más tardar 45 días calendario después del descubrimiento de la violación.
Notificación retrasada para la aplicación de la ley
NMSA 57-12C-9 permite retrasar la notificación si una agencia de aplicación de la ley determina que la notificación impediría una investigación criminal. Una vez que la agencia indica que la notificación ya no comprometerá la investigación, la entidad debe proceder con la notificación lo más rápido posible.
Aplicación por la Fiscalía General y sanciones
Conforme a NMSA 57-12C-11, la aplicación de la Ley de Notificación de Violaciones de Datos recae exclusivamente en la Fiscalía General de Nuevo México. No existe un derecho de acción privado, lo que significa que los consumidores individuales no pueden demandar directamente a las entidades por infracciones a este estatuto.
La Fiscalía General puede presentar una acción en nombre de las personas y en nombre del estado cuando exista una creencia razonable de que ha ocurrido una infracción.
Sanciones civiles
Si un tribunal determina que una persona infringió la Ley de Notificación de Violaciones de Datos de manera deliberada o imprudente, el tribunal puede imponer una sanción civil por el monto mayor entre:
- $25,000, o
- $10 por cada instancia de notificación fallida
Para violaciones a gran escala que afectan a decenas de miles de residentes, la sanción por instancia puede superar rápidamente el piso de $25,000. Una violación que afecte a 50,000 residentes en la que no se proporcionó notificación podría resultar en sanciones de $500,000.
Exenciones
NMSA 57-12C-8 proporciona exenciones para las entidades sujetas y en cumplimiento con ciertas regulaciones federales que ofrecen una protección de datos equivalente o superior. Las entidades reguladas bajo la Ley Gramm-Leach-Bliley (GLBA) o la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) pueden calificar para una exención de ciertas disposiciones si mantienen el cumplimiento con esos estándares federales.
La Ley de Prácticas Desleales y la privacidad de datos
Mientras que la Ley de Notificación de Violaciones de Datos se enfoca específicamente en las violaciones de seguridad, la Ley de Prácticas Desleales (NMSA 57-12-1 a 57-12-26) proporciona un marco más amplio que la Fiscalía General y los consumidores pueden utilizar para impugnar prácticas de datos engañosas.
Cómo se aplica la UPA a la privacidad
Conforme a NMSA 57-12-3, las prácticas comerciales desleales o engañosas y las prácticas comerciales abusivas en el ejercicio de cualquier comercio son ilegales. Esto incluye declaraciones falsas o engañosas hechas en relación con la venta de bienes o servicios.
En el contexto de la privacidad de datos, una empresa que promete proteger los datos de sus clientes en su política de privacidad, pero que no implementa salvaguardas adecuadas, podría enfrentar responsabilidad bajo la UPA. Una empresa que recopila datos de maneras que contradicen sus prácticas de privacidad declaradas puede estar incurriendo en una práctica comercial engañosa.
Conforme a NMSA 57-12-2, una "práctica comercial abusiva" incluye cualquier acto que se aproveche de la falta de conocimiento de una persona de manera groseramente injusta. Las prácticas de recolección masiva de datos que explotan la falta de comprensión técnica de los consumidores podrían potencialmente caer bajo esta definición.
Veredicto contra Meta: $375 millones (marzo de 2026)
La aplicación de la UPA en Nuevo México alcanzó un hito en marzo de 2026. El 24 de marzo de 2026, un jurado de Santa Fe encontró a Meta responsable de infracciones deliberadas a la Ley de Prácticas Desleales y ordenó a la empresa pagar $375 millones en sanciones civiles. El jurado determinó que Meta engañó al público sobre la seguridad de Facebook e Instagram para los menores y no logró prevenir el contacto depredador con menores en sus plataformas.
El jurado aplicó la sanción máxima de $5,000 por infracción deliberada conforme a NMSA 57-12-11, lo que resultó en 75,000 infracciones contabilizadas. Nuevo México se convirtió en el primer estado en prevalecer en juicio contra una plataforma tecnológica importante por daños a los jóvenes. La oficina de la Fiscalía General también está buscando una orden de cese de molestia pública que exigiría a Meta implementar verificación de edad y cambios en el algoritmo.
Sanciones y aplicación de la UPA
A diferencia de la Ley de Notificación de Violaciones de Datos, la Ley de Prácticas Desleales ofrece tanto la aplicación pública por parte de la Fiscalía General como un derecho de acción privado para los consumidores. Conforme a NMSA 57-12-10, una persona que sufre una pérdida debido a una práctica comercial desleal o engañosa puede presentar una acción civil para recuperar los daños reales o $100, lo que sea mayor, más honorarios razonables de abogados.
La Fiscalía General también puede buscar sanciones civiles conforme a NMSA 57-12-11 y medidas cautelares para detener las prácticas engañosas en curso.
Ley de No Divulgación de Información Personal Sensible (SB 36, 2025)

En abril de 2025, la gobernadora Michelle Lujan Grisham firmó el Proyecto de Ley del Senado 36, la Ley de No Divulgación de Información Personal Sensible, codificada en NMSA 10-16I-1 a 10-16I-4, vigente desde el 1 de julio de 2025.
La ley se dirige a los empleados de agencias estatales y no a las empresas privadas. Prohíbe que cualquier empleado estatal divulgue intencionalmente la información personal sensible de una persona, excepto en circunstancias definidas. Conforme a la Ley, la "información personal sensible" incluye:
- El estatus de receptor de asistencia pública o de víctima de un delito
- La orientación sexual o la identidad de género
- La discapacidad física o mental o la condición médica
- El estatus migratorio, el origen nacional o la religión
- El número de Seguro Social o el número de identificación fiscal
La divulgación se permite cuando es necesaria para las funciones oficiales de la agencia, cuando lo exige una orden judicial, cuando se necesita para satisfacer las obligaciones de registros públicos, cuando lo exige un contrato, o cuando se realiza con el consentimiento por escrito de la persona.
La Fiscalía General, los fiscales de distrito y la Comisión Estatal de Ética pueden hacer cumplir la Ley mediante una acción civil. La sanción es de $250 por infracción, sin exceder los $5,000. La Ley también modifica la Sección 66-2-7.1 del Código de Vehículos Motorizados de Nuevo México para reforzar la confidencialidad de los registros de licencias de conducir y de matrícula de vehículos.
Esta ley no crea el tipo de derechos integrales de privacidad del consumidor disponibles en los estados con estatutos de privacidad a gran escala. Se aplica únicamente a la conducta de los empleados estatales y no otorga a las personas privadas un derecho de acción directo contra las agencias estatales.
Leyes federales de privacidad que protegen a los residentes de Nuevo México
Debido a que Nuevo México carece de una ley estatal integral de privacidad de datos, los estatutos federales desempeñan un papel importante en la protección de la información personal de los residentes en sectores específicos.
HIPAA (Ley de Portabilidad y Responsabilidad del Seguro Médico)
HIPAA protege la privacidad y la seguridad de la información de salud identificable individualmente que mantienen las entidades cubiertas (proveedores de atención médica, planes de salud y cámaras de compensación de atención médica) y sus asociados comerciales. Los registros médicos, las reclamaciones de seguro médico y otra información de salud protegida de los residentes de Nuevo México se rigen por la Regla de Privacidad y la Regla de Seguridad de HIPAA.
La Ley de Notificación de Violaciones de Datos de Nuevo México exime a las entidades que están sujetas y cumplen con los requisitos de notificación de violaciones de HIPAA, evitando obligaciones duplicadas.
FERPA (Ley de Derechos Educativos y Privacidad Familiar)
La Ley de Derechos Educativos y Privacidad Familiar protege la privacidad de los registros educativos de los estudiantes en las instituciones que reciben fondos federales. En Nuevo México, esto cubre a todas las escuelas públicas, la mayoría de los colegios y universidades, y cualquier otra institución educativa que participe en programas federales de ayuda financiera. Los padres y los estudiantes elegibles tienen derecho a acceder a los registros educativos y solicitar correcciones.
COPPA (Ley de Protección de la Privacidad en Línea de los Niños)
La Ley de Protección de la Privacidad en Línea de los Niños restringe la recopilación en línea de información personal de menores de 13 años. Los sitios web y servicios en línea dirigidos a menores, o que recopilan a sabiendas información de menores, deben obtener el consentimiento verificable de los padres. Esta ley federal se aplica a todos los sitios web y servicios accesibles para los menores de Nuevo México.
Ley Gramm-Leach-Bliley (GLBA)
La GLBA exige que las instituciones financieras expliquen sus prácticas de intercambio de información y protejan los datos sensibles. Los bancos, las cooperativas de crédito, las firmas de valores y las compañías de seguros que sirven a los residentes de Nuevo México deben proporcionar avisos de privacidad anuales e implementar programas de seguridad de datos.
Ley Federal de Informe Justo de Crédito (FCRA)
La FCRA regula la recopilación, difusión y uso de la información crediticia del consumidor. Los residentes de Nuevo México tienen derecho a saber qué contiene su expediente de crédito, a impugnar información inexacta y a limitar quién puede acceder a sus reportes de crédito. La FCRA se menciona directamente en los requisitos de notificación de violaciones de Nuevo México.
Ley TAKE IT DOWN (2025)

La Ley TAKE IT DOWN (Ley de Herramientas para Abordar la Explotación Conocida mediante la Inmovilización de Deepfakes Tecnológicos en Sitios Web y Redes, Pub. L. 119-12) fue firmada como ley el 19 de mayo de 2025. Crea responsabilidad penal federal por publicar imágenes íntimas no consentidas (NCII, por sus siglas en inglés), incluidos los deepfakes generados por IA.
La Ley exige que las plataformas en línea cubiertas establezcan un proceso de aviso y eliminación para las NCII. Cuando una plataforma recibe una solicitud de eliminación válida, debe retirar el contenido y cualquier copia idéntica conocida dentro de las 48 horas. La aplicación de las obligaciones de eliminación de contenido por parte de las plataformas por parte de la FTC entró en vigor el 19 de mayo de 2026. Los residentes de Nuevo México que sean víctimas de NCII pueden presentar avisos de eliminación a las plataformas cubiertas y reportar a las plataformas que no cumplan ante la FTC.
Legislación de privacidad: sesiones de 2025 y 2026
Múltiples esfuerzos legislativos han intentado establecer protecciones integrales de privacidad de datos del consumidor en Nuevo México. Ninguno ha sido promulgado a partir de mayo de 2026.
Sesión de 2025: tres proyectos de ley, ninguno promulgado
Se presentaron tres proyectos de ley integrales de privacidad en la sesión regular de 2025 y ninguno avanzó.
El Proyecto de Ley de la Cámara 307 (Ley de Privacidad y Seguridad en Internet, presentado el 5 de febrero de 2025) habría establecido derechos de datos del consumidor, prohibido las represalias por ejercer derechos de privacidad, y exigido evaluaciones de protección de datos antes de transferir datos personales a terceros fuera de Nuevo México. Las sanciones civiles habrían alcanzado $2,500 por consumidor afectado por infracción negligente y $7,500 por infracción intencional, con un derecho de acción privado. El HB 307 fue remitido al Comité de Comercio y Desarrollo Económico de la Cámara y no avanzó más allá de ahí.
El Proyecto de Ley de la Cámara 410 (Ley de Información del Consumidor y Protección de Datos) fue el enfoque respaldado por la Fiscalía General. Las disposiciones clave incluían definiciones para los datos de salud del consumidor y los datos sensibles, protecciones especiales para los datos de menores, un período de corrección de 30 días, sanciones civiles de hasta $10,000 por infracción, y la aplicación exclusiva por parte de la Fiscalía General sin derecho de acción privado. Una versión sustituta fue aprobada por el comité de manera unánime en marzo de 2025, pero posteriormente fue pospuesta indefinidamente y no avanzó.
El Proyecto de Ley del Senado 420 (Ley de Privacidad y Seguridad Comunitaria) adoptó el enfoque más protector para el consumidor: configuraciones de privacidad predeterminadas al nivel máximo de protección, un requisito de consentimiento previo (opt-in) para la publicidad dirigida, y salvaguardas adicionales para los menores, incluidas restricciones sobre las notificaciones nocturnas. El SB 420 fue pospuesto indefinidamente el 28 de febrero de 2025.
Sesión de 2026: el SB 53 (CHISPA) no avanzó
El Proyecto de Ley del Senado 53 (Ley de Seguridad y Privacidad de Información Comunitaria y de Salud, o CHISPA) fue el principal proyecto de ley integral de privacidad de la sesión regular de 2026. El SB 53 se habría aplicado a las entidades que procesan datos de tan solo 15,000 consumidores, muy por debajo del umbral de 100,000 consumidores común en otras leyes estatales, y habría exigido un estándar afirmativo de "necesidad" para la mayoría del procesamiento de datos. También incluía un derecho de acción privado con sanciones de $2,500 por infracción negligente y $7,500 por infracción intencional por cada consumidor afectado.
El SB 53 recibió una recomendación de aprobación por parte del Comité de Salud y Asuntos Públicos del Senado en febrero de 2026, pero no recibió una votación en el pleno antes de que la sesión de 30 días concluyera el 19 de febrero de 2026. Grupos de la industria, incluidos CCIA y BSA, se opusieron al proyecto de ley por apartarse de los marcos adoptados en más de 20 otros estados.
Se espera que Nuevo México retome la legislación integral de privacidad. Las empresas que operan en Nuevo México deben monitorear de cerca las futuras sesiones. Cuando eventualmente se promulgue una ley integral, es probable que incluya derechos del consumidor de acceder, eliminar y optar por no participar en la venta de datos personales, junto con nuevas obligaciones para los responsables y encargados del tratamiento de datos.
Pasos prácticos para las empresas que operan en Nuevo México
Incluso sin una ley integral de privacidad, las empresas que manejan datos de residentes de Nuevo México deben cumplir con varios requisitos.
Lista de verificación de cumplimiento
- Implemente medidas de seguridad razonables apropiadas a la sensibilidad de la información personal de identificación que mantiene (NMSA 57-12C-4)
- Establezca una política de eliminación de datos para triturar, borrar o volver ilegible la información personal de identificación que ya no se necesita para fines comerciales (NMSA 57-12C-3)
- Cree un plan de respuesta a incidentes que garantice la notificación de violaciones dentro del plazo legal de 45 días (NMSA 57-12C-6)
- Incluya todo el contenido requerido en las cartas de notificación de violaciones, según lo especificado en NMSA 57-12C-7
- Conozca sus umbrales de reporte: las violaciones que afectan a 1,000 o más residentes requieren notificación a la Fiscalía General y a las agencias de crédito (NMSA 57-12C-10)
- Evalúe a los proveedores de servicios para garantizar que mantengan medidas de seguridad razonables y que reporten las violaciones con prontitud (NMSA 57-12C-5)
- Revise las políticas de privacidad para verificar su precisión y evitar responsabilidad bajo la Ley de Prácticas Desleales por declaraciones engañosas sobre el manejo de datos
- Cifre la información personal de identificación para aprovechar el puerto seguro de cifrado en las definiciones de notificación de violaciones
- Si su plataforma aloja contenido de usuarios, implemente un proceso de aviso y eliminación conforme a la Ley TAKE IT DOWN para las imágenes íntimas no consentidas (aplicado por la FTC a partir del 19 de mayo de 2026)
- Cumpla con las leyes federales aplicables, incluidas HIPAA, GLBA, FERPA y COPPA, según sean relevantes para su industria
Cómo reportar una violación de datos
Para reportar una violación de datos a la Fiscalía General de Nuevo México, las empresas deben comunicarse directamente con la Oficina de la Fiscalía General. Para las violaciones que afectan a más de 1,000 residentes de Nuevo México, se requiere notificación a la Fiscalía General y a las principales agencias de crédito conforme a NMSA 57-12C-10.
Los consumidores que crean que sus datos han sido comprometidos pueden presentar quejas ante la División de Protección al Consumidor de la Fiscalía General de Nuevo México.
More New Mexico Laws
- New Mexico AI Meeting Recording Laws
- New Mexico Alimony Laws
- New Mexico At-Will Employment Laws
- New Mexico Car Accident Laws
- New Mexico Car Seat Laws
- New Mexico Child Custody Laws
- New Mexico Child Support Laws
- New Mexico Common Law Marriage Laws
- New Mexico Deepfake Laws
- New Mexico Divorce Laws
- New Mexico Dog Bite Laws
- New Mexico Emancipation Laws
- New Mexico Expungement Laws
- New Mexico Hit and Run Laws
- New Mexico Landlord-Tenant Laws
- New Mexico Lemon Laws
Este artículo proporciona información legal general sobre las leyes de privacidad de datos de Nuevo México. No constituye asesoría legal ni crea una relación abogado-cliente. Las leyes de privacidad de datos cambian con frecuencia. Consulte a un abogado calificado con licencia en Nuevo México para obtener asesoría sobre su situación específica.
Preguntas frecuentes
¿Nuevo México tiene una ley integral de privacidad de datos del consumidor?
No. A partir de mayo de 2026, Nuevo México no cuenta con una ley integral de privacidad de datos del consumidor similar a la CCPA/CPRA de California, la CDPA de Virginia o la CPA de Colorado. El estado se apoya en su Ley de Notificación de Violaciones de Datos (NMSA 57-12C), la Ley de Prácticas Desleales (NMSA 57-12) y las leyes federales aplicables como HIPAA, FERPA y COPPA. Se presentaron múltiples proyectos de ley integrales de privacidad en la sesión de 2025 (HB 307, HB 410 y SB 420) y en la sesión de 2026 (SB 53/CHISPA), pero ninguno logró avanzar. Se esperan esfuerzos similares en futuras sesiones.
¿Con qué rapidez debe una empresa notificar a los residentes de Nuevo México sobre una violación de datos?
Conforme a NMSA 57-12C-6, las empresas deben notificar a los residentes afectados de Nuevo México dentro de los 45 días calendario posteriores al descubrimiento de una violación de seguridad. Esta notificación debe realizarse en el tiempo más expedito posible dentro de ese plazo. No se requiere notificación si una investigación determina que la violación no genera un riesgo significativo de robo de identidad o fraude. Las violaciones que afectan a más de 1,000 residentes también requieren notificación a la Fiscalía General y a las principales agencias de reporte de crédito al consumidor.
¿Los datos biométricos están protegidos bajo la ley de Nuevo México?
Los datos biométricos están incluidos en la definición de información personal de identificación de Nuevo México bajo la Ley de Notificación de Violaciones de Datos (NMSA 57-12C-2). Una violación que involucre datos biométricos como huellas dactilares, huellas de voz, patrones de iris, características faciales o geometría de la mano activa los requisitos de notificación. Sin embargo, Nuevo México no cuenta con una ley independiente de privacidad biométrica como la BIPA de Illinois, que exigiría consentimiento antes de recopilar datos biométricos o establecería plazos específicos de retención y destrucción.
¿Qué sanciones puede imponer la Fiscalía General de Nuevo México por infracciones a la notificación de violaciones de datos?
Conforme a NMSA 57-12C-11, si un tribunal determina que una persona infringió la Ley de Notificación de Violaciones de Datos de manera deliberada o imprudente, puede imponer una sanción civil por el monto mayor entre $25,000 o $10 por cada instancia de notificación fallida. Para las violaciones grandes, el cálculo por instancia puede producir sanciones sustancialmente más altas. La autoridad de aplicación recae exclusivamente en la Fiscalía General. No existe un derecho de acción privado bajo la Ley de Notificación de Violaciones de Datos, aunque los consumidores pueden tener reclamos separados bajo la Ley de Prácticas Desleales por el manejo engañoso de datos.
¿Nuevo México exige que las empresas cifren los datos personales?
Nuevo México no exige el cifrado. Sin embargo, la Ley de Notificación de Violaciones de Datos crea un fuerte incentivo para cifrar. Conforme a NMSA 57-12C-2, la información personal de identificación que está protegida mediante cifrado o redacción, y que de otro modo se vuelve ilegible o inutilizable, queda fuera de la definición que activa los requisitos de notificación de violaciones. Si los datos cifrados son comprometidos pero la clave de cifrado no lo es, las obligaciones de notificación de violaciones no se aplican. Además, NMSA 57-12C-4 exige que las empresas implementen medidas de seguridad razonables, y el cifrado se considera ampliamente una práctica razonable.
¿Qué es la Ley TAKE IT DOWN y cómo afecta a los residentes de Nuevo México?
La Ley TAKE IT DOWN (Pub. L. 119-12) es una ley federal firmada el 19 de mayo de 2025. Penaliza la publicación de imágenes íntimas no consentidas (NCII), incluidos los deepfakes generados por IA, y exige que las plataformas en línea cubiertas eliminen dicho contenido dentro de las 48 horas posteriores a recibir un aviso válido. La aplicación de las obligaciones de eliminación de contenido por parte de las plataformas por parte de la FTC comenzó el 19 de mayo de 2026. Los residentes de Nuevo México que sean víctimas de NCII pueden presentar avisos de eliminación directamente a las plataformas cubiertas. Las plataformas que no cumplan están sujetas a la acción de aplicación de la FTC.
¿Qué sucedió en la demanda de Nuevo México contra Meta?
El Fiscal General Raúl Torrez presentó una demanda contra Meta bajo la Ley de Prácticas Desleales, alegando que la empresa engañó al público sobre la seguridad de Facebook e Instagram para los menores y no logró proteger a los menores del contacto depredador. El 24 de marzo de 2026, un jurado de Santa Fe encontró a Meta responsable de infracciones deliberadas y ordenó a la empresa pagar $375 millones en sanciones civiles, aplicando la tasa máxima de $5,000 por infracción conforme a NMSA 57-12-11 a lo largo de 75,000 infracciones contabilizadas. Nuevo México fue el primer estado en prevalecer en juicio contra una plataforma tecnológica importante por daños a los jóvenes. La oficina de la Fiscalía General también está buscando una orden de cese de molestia pública que busca reformas a nivel de plataforma.
Fuentes y referencias
- Ley de Notificación de Violaciones de Datos de Nuevo México (HB 15, Sesión 2017)(nmlegis.gov).gov
- NMSA 57-12C-2: Definiciones (Información Personal de Identificación, Datos Biométricos)(law.justia.com)
- NMSA 57-12C-6: Notificación de Violación de Seguridad(law.justia.com)
- NMSA 57-12C-7: Contenido Requerido de la Notificación(law.justia.com)
- Ley de Prácticas Desleales de Nuevo México (Capítulo 57, Artículo 12)(law.justia.com)
- HB 307: Ley de Privacidad y Seguridad en Internet (Sesión 2025)(nmlegis.gov).gov
- HB 410: Ley de Información del Consumidor y Protección de Datos (Sesión 2025)(nmlegis.gov).gov
- SB 420: Ley de Privacidad y Seguridad Comunitaria (Sesión 2025)(nmlegis.gov).gov
- Información de Privacidad y Seguridad de HIPAA(hhs.gov).gov
- Guía General de FERPA(www2.ed.gov).gov
- FTC: Regla COPPA(ftc.gov).gov
- FTC: Ley Federal de Informe Justo de Crédito(ftc.gov).gov
- Oficina de la Fiscalía General de Nuevo México(nmoag.gov).gov
- NMSA 57-12C-3: Eliminación de Información Personal de Identificación(law.justia.com)
- NMSA 57-12C-4: Medidas de Seguridad para el Almacenamiento de Información Personal de Identificación(law.justia.com)
- NMSA 57-12C-10: Notificación a la Fiscalía General y a las Agencias de Reporte de Crédito(law.justia.com)
- NMSA 57-12C-11: Aplicación, Sanciones Civiles(law.justia.com)
- NMSA 57-12-3: Prohibición de Prácticas Comerciales Desleales, Engañosas y Abusivas(law.justia.com)
- Departamento de Justicia de Nuevo México: Veredicto Histórico Contra Meta (Marzo 2026)(nmdoj.gov).gov
- El Fiscal General Torrez Presenta Demanda Contra Snap Inc. (Septiembre 2024)(nmdoj.gov).gov
- SB 36: No Divulgación de Información Personal Sensible (Sesión 2025)(nmlegis.gov).gov
- SB 53: Ley de Seguridad y Privacidad de Información Comunitaria y de Salud (Sesión 2026)(nmlegis.gov).gov
- FTC: Aplicación de la Ley TAKE IT DOWN (Mayo 2026)(ftc.gov).gov
- FTC: Ley Gramm-Leach-Bliley(ftc.gov).gov