New Mexico
Leyes de Notificación de Violaciones de Datos de Nuevo México: Reglas y Plazos de Reporte (2026)

Bajo la Ley de Notificación de Violaciones de Datos de Nuevo México (Data Breach Notification Act), N.M. Stat. Ann. 57-12C-1 y siguientes, las empresas deben notificar a los residentes afectados dentro de los 45 días calendario posteriores al descubrimiento de una violación de datos. El plazo comienza en la fecha del descubrimiento, no en la fecha en que ocurrió la violación. El Fiscal General de Nuevo México también debe ser notificado ante cualquier violación que afecte incluso a un solo residente.
Si su empresa maneja información personal perteneciente a residentes de Nuevo México, una violación de datos activa obligaciones legales específicas bajo la Ley de Notificación de Violaciones de Datos de Nuevo México. N.M. Stat. 57-12C-1 y siguientes establece quién debe notificar, qué activa el deber de notificación y con qué rapidez se requiere actuar. Nuevo México fue uno de los últimos estados en adoptar una ley de notificación de violaciones de datos, promulgando el estatuto en 2017. Sin embargo, la ley incluye disposiciones modernas como la cobertura de datos biométricos y un plazo firme de notificación de 45 días.
Esta guía cubre el alcance completo de los requisitos de notificación de violaciones de datos de Nuevo México, incluyendo qué información personal activa la ley, quién debe ser notificado, el cronograma, las sanciones, las exenciones y cómo el marco más amplio de privacidad de datos del estado interactúa con las obligaciones de notificación de violaciones.
Quién Debe Cumplir con la Ley de Notificación de Violaciones de Datos de Nuevo México
La ley de Nuevo México se aplica a cualquier persona, empresa o agencia gubernamental que posea u otorgue licencias de información personal identificable de residentes de Nuevo México. El estatuto utiliza el término "persona" de manera amplia para incluir corporaciones, sociedades, LLC, asociaciones y otras entidades.
La ley también se aplica a los procesadores de datos externos. Cuando una persona o empresa que mantiene datos en nombre de otra entidad descubre una violación, debe notificar al propietario de los datos dentro de las 24 horas posteriores al descubrimiento. Este requisito de notificación a terceros en 24 horas es más rápido que lo que exigen la mayoría de los estados y garantiza que el propietario de los datos pueda comenzar de inmediato el plazo de notificación de 45 días.
Las empresas ubicadas fuera del estado que manejan información personal de residentes de Nuevo México están sujetas a esta ley.
Qué Califica como una Violación de Seguridad de Datos
Bajo N.M. Stat. 57-12C-2, una "violación de seguridad" significa la adquisición no autorizada de datos informáticos no cifrados, o de datos informáticos cifrados junto con el proceso confidencial o la clave, que compromete la seguridad, confidencialidad o integridad de la información personal identificable mantenida por una persona.
Excepción de Buena Fe
La adquisición de buena fe de información personal identificable por parte de un empleado o agente de la persona para un propósito comercial legítimo no constituye una violación de seguridad, siempre que la información personal identificable no se utilice para un propósito no autorizado ni esté sujeta a divulgación no autorizada adicional.
Puerto Seguro de Cifrado (Encryption Safe Harbor)
Nuevo México ofrece un puerto seguro para los datos cifrados. Si la información personal identificable comprometida estaba cifrada y la clave de cifrado o el proceso confidencial no también fueron adquiridos, no se requiere notificación. Si tanto los datos cifrados como la clave fueron comprometidos, el puerto seguro no aplica.
Información Personal que Activa la Notificación
La definición de información personal identificable de Nuevo México es notablemente amplia para un estado que promulgó su ley en 2017. Bajo N.M. Stat. 57-12C-2, la información personal identificable significa el nombre o la inicial del nombre y el apellido de una persona combinados con uno o más de los siguientes elementos:
- Número de Seguro Social
- Número de licencia de conducir
- Número de identificación emitido por el gobierno
- Número de cuenta, número de tarjeta de crédito o de débito combinado con cualquier código de seguridad, código de acceso o contraseña requerida que permitiera el acceso a la cuenta financiera
- Datos biométricos (huella dactilar, huella de voz, imagen de retina o iris, u otras características biológicas únicas utilizadas para autenticar a una persona específica)
La inclusión de datos biométricos coloca a Nuevo México entre los estados con protección más integral, reconociendo que los identificadores biométricos no pueden cambiarse una vez comprometidos.
La información personal identificable no incluye información disponible públicamente que se pone legalmente a disposición del público en general a partir de registros gubernamentales federales, estatales o locales.
El Plazo de Notificación de 45 Días

Nuevo México impone un plazo firme de 45 días para la notificación de violaciones de datos bajo N.M. Stat. 57-12C-6. La notificación debe realizarse a más tardar 45 días calendario después del descubrimiento de la violación de seguridad.
El plazo comienza a partir de la fecha del descubrimiento, no de la fecha en que ocurrió la violación. Esta distinción importa porque las violaciones a menudo se descubren semanas o meses después del acceso no autorizado inicial.
Cuándo se Permite una Demora
La notificación puede retrasarse más allá del plazo de 45 días únicamente si:
- Una agencia de aplicación de la ley determina que la notificación obstaculizará una investigación criminal y solicita una demora. La notificación debe realizarse con prontitud después de que la agencia determine que la divulgación ya no compromete la investigación.
- La entidad necesita tiempo para determinar el alcance de la violación y restaurar la integridad razonable del sistema de datos, aunque esto debe seguir ocurriendo dentro del plazo de 45 días, a menos que aplique una demora solicitada por la aplicación de la ley.
La excepción de aplicación de la ley es la única base para extender el plazo de 45 días. Una investigación interna por sí sola no es justificación suficiente para excederlo.
Quién Debe Ser Notificado
Personas Afectadas
Todo residente de Nuevo México cuya información personal identificable no cifrada haya sido, o se crea razonablemente que haya sido, adquirida por una persona no autorizada debe ser notificado. La notificación debe incluir:
- La fecha, fecha estimada o rango de fechas estimado de la violación de seguridad
- Una descripción de la información personal identificable que formó parte de la violación
- Información de contacto de la persona o empresa que envía el aviso
- Información de contacto de las agencias de informes crediticios
- Recomendaciones para que la persona revise los estados de cuenta, monitoree los informes crediticios y considere colocar un congelamiento de seguridad (security freeze) en sus archivos crediticios
Fiscal General de Nuevo México
El Fiscal General de Nuevo México debe ser notificado de cualquier violación de seguridad que afecte a residentes de Nuevo México. El estatuto exige la notificación al Fiscal General cuando uno o más residentes de Nuevo México se ven afectados, lo que lo convierte en uno de los criterios de notificación al Fiscal General más amplios.
La notificación al Fiscal General debe incluir:
- Una descripción de la violación de seguridad
- El número aproximado de residentes de Nuevo México afectados
- Una copia de la notificación proporcionada a las personas afectadas
- Las medidas tomadas para abordar la violación
Agencias de Informes Crediticios
Cuando una violación afecta a más de 1,000 residentes de Nuevo México, la entidad también debe notificar a las agencias de informes crediticios a nivel nacional. La notificación debe incluir el momento, la distribución y el contenido de la notificación enviada a las personas afectadas.
Cómo Proporcionar la Notificación
Nuevo México permite los siguientes métodos de notificación:
- Notificación escrita enviada por correo a la última dirección conocida de la persona
- Notificación electrónica, si el medio principal de comunicación de la entidad con la persona es electrónico, conforme a la Ley E-SIGN (15 U.S.C. 7001)
- Notificación telefónica
Notificación Sustitutiva
La notificación sustitutiva está disponible cuando:
- El costo de proporcionar la notificación superaría los $50,000
- La clase afectada supera los 100,000 residentes de Nuevo México
- La entidad no cuenta con información de contacto suficiente
La notificación sustitutiva debe incluir todo lo siguiente:
- Notificación por correo electrónico a las personas de las que la entidad tenga una dirección de correo electrónico
- Publicación visible del aviso en el sitio web de la entidad
- Notificación a los principales medios de comunicación estatales
Los umbrales de notificación sustitutiva de Nuevo México ($50,000 de costo y 100,000 personas afectadas) son moderados, ubicándose entre los umbrales bajos de estados como New Hampshire y los umbrales altos de estados como California.
Aplicación de la Ley y Sanciones
La ley de notificación de violaciones de datos de Nuevo México es aplicada por el Fiscal General de Nuevo México bajo la Ley de Prácticas Injustas (Unfair Practices Act) (N.M. Stat. 57-12-1 y siguientes). Una violación de la Ley de Notificación de Violaciones de Datos constituye una práctica injusta.
El Fiscal General puede solicitar:
- Medidas cautelares para detener violaciones en curso
- Sanciones civiles según lo dispuesto en la Ley de Prácticas Injustas
- Restitución para los consumidores afectados
No existe un derecho de acción privado por violaciones de la ley de notificación de violaciones de datos. Solo el Fiscal General puede iniciar acciones de aplicación bajo el estatuto. Las personas pueden presentar reclamos de derecho consuetudinario (common law), como negligencia, pero no bajo la propia ley de notificación de violaciones.
Exenciones
Nuevo México otorga exenciones significativas a las entidades que cumplen con marcos federales equivalentes de notificación de violaciones de datos:
Instituciones Financieras Reguladas por la GLBA
Las instituciones financieras que mantienen procedimientos de notificación como parte de un programa de seguridad de la información establecido bajo la Ley Gramm-Leach-Bliley están exentas de los requisitos de notificación de violaciones de Nuevo México, siempre que dichos procedimientos sean al menos tan rigurosos como el estatuto estatal.
Entidades Cubiertas por HIPAA
Las entidades de atención médica y sus asociados comerciales que cumplen con los requisitos de notificación de violaciones de HIPAA (según se describe en la Ley HITECH) se consideran en cumplimiento con la ley de Nuevo México.
Estas exenciones son más amplias que las que ofrecen algunos estados y excluyen por completo a las entidades calificadas del estatuto estatal, en lugar de exigir un cumplimiento paralelo.
Obligaciones de Seguridad de Datos
Más allá de la notificación de violaciones, Nuevo México exige que toda persona que posea u otorgue licencias de información personal identificable de residentes de Nuevo México implemente y mantenga procedimientos y prácticas de seguridad razonables, apropiados a la naturaleza de la información, para protegerla contra el acceso, destrucción, uso, modificación o divulgación no autorizados. Este mandato general de seguridad de datos se aplica independientemente de si ocurre o no una violación.
Las empresas que recopilan información personal identificable también deben tomar medidas razonables para destruir, o disponer la destrucción, de los registros que contengan información personal identificable que ya no sea necesaria, mediante trituración, borrado u otra modificación de la información para hacerla ilegible o indescifrable.
Más Leyes de Nuevo México
- Leyes de Grabación de Reuniones con IA de Nuevo México
- Leyes de Pensión Conyugal de Nuevo México
- Leyes de Empleo a Voluntad de Nuevo México
- Leyes de Accidentes Automovilísticos de Nuevo México
- Leyes de Sillas de Auto para Niños de Nuevo México
- Leyes de Custodia de Menores de Nuevo México
- Leyes de Manutención Infantil de Nuevo México
- Leyes de Matrimonio de Hecho de Nuevo México
- Leyes sobre Deepfakes de Nuevo México
- Leyes de Divorcio de Nuevo México
- Leyes sobre Mordeduras de Perro de Nuevo México
- Leyes de Emancipación de Nuevo México
- Leyes de Eliminación de Antecedentes Penales de Nuevo México
- Leyes sobre Accidentes con Fuga de Nuevo México
- Leyes de Propietarios e Inquilinos de Nuevo México
- Leyes del Limón de Nuevo México
Este artículo ofrece información legal general sobre las leyes de privacidad de datos de Nuevo México y los requisitos de notificación de violaciones de datos. No constituye asesoría legal ni crea una relación abogado-cliente. La respuesta ante una violación de datos implica obligaciones sujetas a plazos estrictos. Consulte a un abogado calificado con licencia en Nuevo México para obtener orientación específica sobre su situación.
¿Afectado por una filtración de datos o una violación de privacidad biométrica?
Si sus datos personales quedaron expuestos en una filtración, o si su huella dactilar o escaneo facial se recopiló sin su consentimiento, podría ser elegible para unirse a un reclamo por compensación. Averígüelo gratis y sin compromiso.
Fuentes y referencias
- N.M. Stat. 57-12C - Data Breach Notification Act(nmonesource.com).gov
- Fiscal General de Nuevo México (New Mexico Attorney General)(nmag.gov).gov
- N.M. Stat. 57-12-1 et seq. (Unfair Practices Act)(nmonesource.com)