New York
Leyes de Notificación de Violaciones de Datos de Nueva York: Reglas y Plazos de Reporte (2026)

Nueva York exige a las empresas notificar a los residentes afectados dentro de los 30 días posteriores al descubrimiento de una violación de datos bajo N.Y. Gen. Bus. Law 899-aa, según fue enmendada por la Ley SHIELD. El acceso no autorizado a información privada computarizada activa la obligación, y las empresas también deben alertar al Fiscal General de Nueva York, al Departamento de Estado, a la Policía Estatal y a las principales agencias de informes crediticios.
La ley de notificación de violaciones de datos de Nueva York es una de las más exigentes del país. La combinación de la Sección 899-aa de la GBL y la Ley SHIELD (Sección 899-bb de la GBL) crea un marco de dos partes: usted debe notificar con prontitud cuando ocurren violaciones, y debe mantener seguridad razonable para prevenirlas desde un principio. Una enmienda de diciembre de 2024 endureció aún más las reglas al añadir un plazo firme de notificación de 30 días y eliminar las demoras por investigación de alcance.
Esta guía cubre cada obligación bajo las leyes de notificación de violaciones de datos y seguridad de datos de Nueva York, incluidas las enmiendas de 2024 y 2025, quién debe cumplir, qué activa la notificación, las salvaguardas requeridas, las sanciones, y cómo la ley interactúa con la regulación de ciberseguridad del NYDFS.
Qué Activa una Notificación de Violación de Datos en Nueva York
Bajo la Sección 899-aa de la GBL, se requiere notificación cuando ha habido acceso no autorizado a, o adquisición de, datos computarizados que comprometen la seguridad, confidencialidad o integridad de información privada mantenida por una empresa.
La Ley SHIELD amplió significativamente este criterio en 2019. Antes de la Ley SHIELD, una "violación" requería la adquisición efectiva de los datos. Ahora, el mero acceso no autorizado es suficiente para activar las obligaciones de notificación, incluso si los datos no fueron físicamente tomados.
Qué Cuenta como Información Privada
Nueva York define la "información privada" como el nombre de una persona (nombre o inicial más apellido) combinado con cualquiera de los siguientes elementos de datos:
- Número de Seguro Social
- Número de licencia de conducir o número de tarjeta de identificación de no conductor
- Número de cuenta financiera, número de tarjeta de crédito o de débito, con o sin cualquier código de seguridad, código de acceso o contraseña requerida
- Información biométrica (huella dactilar, huella de voz, imagen de retina, u otra representación física única)
- Nombre de usuario o dirección de correo electrónico combinado con una contraseña o pregunta y respuesta de seguridad
Desde el 21 de marzo de 2025, la definición también incluye:
- Información médica (historial médico, condición mental o física, o tratamiento/diagnóstico por parte de un profesional de la salud)
- Información de seguro médico (número de póliza, identificación de suscriptor, identificador único de la aseguradora, o historial de solicitudes/reclamaciones)
Un número de Seguro Social por sí solo, sin un nombre que lo acompañe, también califica como información privada y activa los requisitos de notificación.
El Plazo de Notificación de 30 Días

La enmienda de diciembre de 2024 (S2659B) introdujo dos cambios fundamentales en el momento de la notificación.
Primero, estableció un plazo firme de 30 días. Las empresas deben notificar a los residentes de Nueva York afectados "en el tiempo más expedito posible y sin demora injustificada", pero en ningún caso más tarde de 30 días después de descubrir la violación. Esto reemplazó el estándar anterior de "el tiempo más expedito posible", que no tenía un plazo fijo.
Segundo, la enmienda eliminó la posibilidad de retrasar la notificación mientras se evalúa el alcance de una violación o se restaura la integridad del sistema. Bajo la ley anterior, las empresas podían tomarse tiempo adicional para determinar cuántas personas se vieron afectadas o para corregir la vulnerabilidad antes de notificar a alguien. Esa flexibilidad ya no existe. La única excepción restante es para necesidades legítimas de aplicación de la ley, cuando las autoridades pueden solicitar una breve demora para preservar evidencia.
Estos cambios entraron en vigor de inmediato con la firma del gobernador el 21 de diciembre de 2024.
Plazos para Proveedores y Terceros
El plazo de 30 días también se aplica a proveedores y terceros. Si una empresa procesa o mantiene información privada en nombre de otra compañía, debe notificar al propietario de los datos dentro de los 30 días posteriores al descubrimiento de la violación. El propietario de los datos entonces tiene su propio plazo de 30 días para notificar a las personas afectadas.
Quién Debe Ser Notificado
Nueva York exige la notificación a múltiples partes. Las obligaciones se aplican independientemente del número de personas afectadas.
Personas Afectadas
Todo residente de Nueva York cuya información privada haya sido comprometida debe recibir notificación directa. Los métodos aceptables incluyen:
- Notificación escrita (correo)
- Notificación electrónica (si la persona consintió a las comunicaciones electrónicas)
- Notificación telefónica
Notificación Sustitutiva
La notificación sustitutiva está disponible cuando el costo de la notificación directa supera los $250,000, la violación afecta a más de 500,000 personas, o la empresa carece de información de contacto suficiente. La notificación sustitutiva requiere las tres opciones siguientes:
- Aviso por correo electrónico a todas las direcciones disponibles
- Publicación visible en el sitio web de la empresa
- Notificación a los principales medios de comunicación estatales
Agencias Gubernamentales
Las empresas deben notificar a las siguientes agencias estatales sobre el momento, contenido y distribución de los avisos de violación, además del número aproximado de personas afectadas:
- Fiscal General de Nueva York (formulario de reporte en línea)
- Departamento de Estado de Nueva York, División de Protección al Consumidor
- Policía Estatal de Nueva York
Agencias de Informes Crediticios
Si la violación involucra números de Seguro Social, la empresa también debe notificar a las tres principales agencias de informes crediticios de consumo (Equifax, Experian y TransUnion).
Notificación al NYDFS (Entidades de Servicios Financieros)
La enmienda de diciembre de 2024 inicialmente agregó al Departamento de Servicios Financieros de Nueva York a la lista de notificación para todas las empresas. Una corrección de febrero de 2025 (S804) aclaró que la notificación al NYDFS se requiere únicamente para entidades que califican como "entidades cubiertas" bajo el 23 NYCRR Parte 500. Esas entidades deben cumplir con el requisito separado de notificación de 72 horas bajo la regulación de ciberseguridad del NYDFS.
Puerto Seguro de Cifrado

Nueva York ofrece un puerto seguro para los datos cifrados. Si la información privada estaba cifrada y la clave de cifrado no fue comprometida durante la violación, no se requiere notificación.
Sin embargo, si la persona no autorizada también obtuvo la clave de cifrado, o si hay razones para creer que se accedió a ella, se aplican las obligaciones completas de notificación. Esto significa que las empresas deben almacenar las claves de cifrado por separado de los datos que protegen.
El puerto seguro también cubre los datos que han sido convertidos en ilegibles o inutilizables mediante otros métodos de seguridad, siempre que el método utilizado para proteger los datos tampoco haya sido comprometido.
Requisitos de Seguridad de Datos de la Ley SHIELD

La Ley SHIELD (Sección 899-bb de la GBL) va más allá de la notificación. Exige que toda persona o empresa que posea u otorgue licencias de información privada de residentes de Nueva York "desarrolle, implemente y mantenga salvaguardas razonables para proteger la seguridad, confidencialidad e integridad de la información privada".
Esta obligación se aplica a empresas de todo el país, no solo a las ubicadas en Nueva York. Si usted posee información privada de cualquier residente de Nueva York, debe cumplir.
Salvaguardas Administrativas
La Ley SHIELD exige medidas administrativas que incluyen:
- Designar a uno o más empleados para coordinar el programa de seguridad
- Identificar riesgos internos y externos razonablemente previsibles
- Evaluar si las salvaguardas existentes controlan los riesgos identificados
- Capacitar y gestionar a los empleados en prácticas y procedimientos de seguridad
- Seleccionar proveedores de servicios capaces de mantener salvaguardas apropiadas y exigir esas protecciones por contrato
- Ajustar el programa de seguridad conforme a cambios comerciales o nuevas circunstancias
Salvaguardas Técnicas
Las medidas técnicas requeridas incluyen:
- Evaluar riesgos en el diseño de red y software
- Evaluar riesgos en el procesamiento, transmisión y almacenamiento de información
- Detectar, prevenir y responder a ataques o fallas del sistema
- Probar y monitorear regularmente la efectividad de los controles, sistemas y procedimientos clave
Salvaguardas Físicas
Las medidas físicas requeridas incluyen:
- Evaluar riesgos de almacenamiento y disposición de información
- Detectar, prevenir y responder a intrusiones
- Proteger contra el acceso no autorizado durante o después de la recopilación, transporte y destrucción de información
- Desechar la información privada dentro de un tiempo razonable después de que ya no sea necesaria, borrando los medios electrónicos para que la información no pueda leerse ni reconstruirse
Cumplimiento para Pequeñas Empresas
La Ley SHIELD incluye una opción de cumplimiento escalonada para pequeñas empresas, definidas como aquellas con menos de 50 empleados, menos de $3 millones en ingresos brutos anuales durante los últimos tres ejercicios fiscales, o menos de $5 millones en activos totales al cierre del año. Una pequeña empresa satisface los requisitos de salvaguarda si su programa de seguridad es apropiado para el tamaño y la complejidad de la empresa, la naturaleza y el alcance de sus actividades, y la sensibilidad de la información que recopila.
Cumplimiento Presunto
Las empresas que ya están sujetas a, y cumplen con, ciertas regulaciones federales se consideran en cumplimiento con los requisitos de salvaguarda de la Ley SHIELD. Esto incluye a las entidades reguladas bajo HIPAA, la Ley Gramm-Leach-Bliley, o la regulación de ciberseguridad del NYDFS (23 NYCRR Parte 500).
Regulación de Ciberseguridad del NYDFS: Capa Adicional para Servicios Financieros
Las entidades de servicios financieros reguladas por el Departamento de Servicios Financieros de Nueva York enfrentan obligaciones adicionales bajo el 23 NYCRR Parte 500. Las diferencias clave respecto a la Ley SHIELD incluyen:
- Un plazo más estricto de notificación de 72 horas al NYDFS (comparado con los 30 días bajo la GBL 899-aa)
- Políticas de ciberseguridad escritas obligatorias
- Pruebas de penetración anuales requeridas y evaluaciones de vulnerabilidad semestrales
- Designación de un Director de Seguridad de la Información (CISO)
- Certificación anual de cumplimiento ante el NYDFS
La enmienda de noviembre de 2023 a la Parte 500 fortaleció aún más estos requisitos. Las entidades cubiertas deben cumplir tanto con la Ley SHIELD como con la Parte 500, aplicándose el estándar más estricto en cualquier área de superposición.
Sanciones y Aplicación de la Ley

El Fiscal General de Nueva York tiene autoridad exclusiva para hacer cumplir tanto la ley de notificación de violaciones como los requisitos de salvaguarda de la Ley SHIELD.
Violaciones de Notificación
Por no proporcionar notificación oportuna, los tribunales pueden imponer una sanción civil del mayor entre $5,000 o $20 por cada instancia de notificación fallida, con un tope de $250,000. Si el tribunal determina que la violación fue consciente o imprudente, pueden aplicarse sanciones mayores.
Violaciones de Salvaguarda
Por no mantener salvaguardas razonables bajo la Ley SHIELD, los tribunales pueden imponer sanciones de hasta $5,000 por violación. No existe un tope estatutario sobre el monto total.
Plazo de Prescripción
El Fiscal General debe iniciar acciones de aplicación dentro de los tres años posteriores al descubrimiento de la violación. Ninguna acción puede iniciarse más de seis años después de que ocurrió la violación, a menos que la empresa haya tomado medidas para ocultarla.
Derecho de Acción Privado
La ley de notificación de violaciones de datos de Nueva York otorga un derecho de acción privado limitado. Las personas pueden presentar reclamos, pero únicamente por daños reales. No existe una disposición de daños estatutarios ni la posibilidad de recuperar honorarios de abogados bajo la ley de notificación de violaciones.
Acciones de Aplicación Recientes
El Fiscal General ha aplicado activamente estas leyes:
- Root Insurance (2025): Pagó $975,000 después de que una vulnerabilidad expusiera aproximadamente los números de licencia de conducir de 45,000 neoyorquinos, que fueron utilizados para reclamaciones fraudulentas de desempleo.
- Wojeski & Company (2025): Pagó $60,000 después de que un ataque de ransomware expusiera datos de clientes y la firma esperara 18 meses para notificar a las víctimas.
- National Amusements (2024): Pagó $250,000 por no proteger la información personal de sus empleados.
- Albany ENT & Allergy Services (2024): Pagó $500,000 más $2.25 millones por prácticas de seguridad inadecuadas que expusieron datos médicos de pacientes.
Estos acuerdos demuestran que el Fiscal General persigue sanciones que superan ampliamente los mínimos estatutarios, combinando violaciones de notificación con fallas de salvaguarda y buscando medidas cautelares.
Exenciones y Casos Especiales
Varias situaciones reciben trato especial bajo la ley de Nueva York:
- Acceso de buena fe por parte de un empleado: Una divulgación inadvertida por parte de un empleado autorizado no activa la notificación, siempre que no se espere que la información privada sea utilizada indebidamente y la empresa tome medidas razonables para prevenir un acceso no autorizado adicional.
- Demoras por aplicación de la ley: La notificación puede retrasarse a solicitud de la aplicación de la ley si un aviso temprano obstaculizaría una investigación criminal.
- Entidades ya reguladas: Las empresas que cumplen con los requisitos de notificación de violaciones bajo otros marcos regulatorios (HIPAA, GLBA, NYDFS) pueden satisfacer parcial o totalmente las obligaciones de notificación, aunque deben verificar que sus procedimientos cumplan con todos los requisitos específicos de la Sección 899-aa de la GBL.
Cómo se Compara Nueva York con Otros Estados
El plazo de notificación de 30 días de Nueva York lo coloca entre los estados más estrictos. Para comparar:
- Varios estados, incluidos Alabama y Colorado, también exigen notificación dentro de 30 días
- Florida exige notificación dentro de 30 días
- El plazo más estricto es el de Maine, con 30 días
- Estados como Ohio permiten 45 días, e Indiana permite 45 días
- Algunos estados aún no tienen un plazo específico y solo exigen la notificación "sin demora injustificada"
Nueva York se destaca por los requisitos de salvaguarda separados de la Ley SHIELD, su definición ampliada de información privada (que incluye datos biométricos y, ahora, datos médicos), y su historial de aplicación activa.
Más Leyes de Nueva York
- Leyes de Grabación de Reuniones con IA de Nueva York
- Leyes de Pensión Conyugal de Nueva York
- Leyes de Empleo a Voluntad de Nueva York
- Leyes de Accidentes Automovilísticos de Nueva York
- Leyes de Sillas de Auto para Niños de Nueva York
- Leyes de Custodia de Menores de Nueva York
- Leyes de Manutención Infantil de Nueva York
- Leyes de Matrimonio de Hecho de Nueva York
- Leyes sobre Deepfakes de Nueva York
- Leyes de Divorcio de Nueva York
- Leyes sobre Mordeduras de Perro de Nueva York
- Leyes de Emancipación de Nueva York
- Leyes de Eliminación de Antecedentes Penales de Nueva York
- Leyes sobre Accidentes con Fuga de Nueva York
- Leyes de Propietarios e Inquilinos de Nueva York
- Leyes del Limón de Nueva York
Este artículo ofrece información legal general sobre las leyes de privacidad de datos de Nueva York y los requisitos de notificación de violaciones de datos. No constituye asesoría legal ni crea una relación abogado-cliente. La respuesta ante una violación de datos implica obligaciones sujetas a plazos estrictos. Consulte a un abogado calificado con licencia en Nueva York para obtener orientación específica sobre su situación.
¿Afectado por una filtración de datos o una violación de privacidad biométrica?
Si sus datos personales quedaron expuestos en una filtración, o si su huella dactilar o escaneo facial se recopiló sin su consentimiento, podría ser elegible para unirse a un reclamo por compensación. Averígüelo gratis y sin compromiso.
Fuentes y referencias
- Sección 899-aa de la GBL - Estatuto de Notificación de Violaciones de NY(nysenate.gov).gov
- Sección 899-bb de la GBL - Requisitos de Seguridad de Datos de la Ley SHIELD(nysenate.gov).gov
- Fiscal General de NY - Guía de la Ley SHIELD(ag.ny.gov).gov
- Formulario de Reporte de Violaciones de Datos del Fiscal General de NY(formsnym.ag.ny.gov).gov
- S2659B - Enmienda de Diciembre de 2024 (Plazo de 30 Días)(nysenate.gov).gov
- S804 - Aclaración de Notificación al NYDFS de Febrero de 2025(nysenate.gov).gov
- Departamento de Estado de NY - Gestión de Violaciones de Seguridad de Datos(dos.ny.gov).gov
- NYDFS 23 NYCRR Parte 500 - Regulación de Ciberseguridad(dfs.ny.gov).gov
- NY OIT - Notificación de Violaciones y Reporte de Incidentes(its.ny.gov).gov
- Fiscal General James - Acuerdo de $975K con Root Insurance(ag.ny.gov).gov
- Fiscal General James - Acuerdo de $60K con Wojeski & Company(ag.ny.gov).gov
- Fiscal General James - Acuerdo de $250K con National Amusements(ag.ny.gov).gov