North Carolina
Leyes de Privacidad de Datos de Carolina del Norte: Derechos y Protecciones del Consumidor (2026)

Carolina del Norte no cuenta con una ley integral de privacidad de datos del consumidor a partir de mayo de 2026. Las protecciones de datos personales del estado provienen de un conjunto de estatutos sectoriales: la Ley de Protección contra el Robo de Identidad (Identity Theft Protection Act) (N.C. Gen. Stat. Capítulo 75, Artículo 2A) es la base, y cubre la notificación de violaciones, el manejo del número de Seguro Social, los congelamientos de crédito y la disposición de datos. Leyes separadas abordan la privacidad estudiantil, la información de seguros, los registros públicos y los datos de salud. Tres proyectos de ley presentados en la sesión legislativa 2025-2026 cambiarían este panorama, pero ninguno ha sido promulgado.
En 2025, las empresas y agencias gubernamentales de Carolina del Norte reportaron 2,349 violaciones de datos ante el Departamento de Justicia, un máximo histórico, exponiendo la información personal de aproximadamente 9.3 millones de residentes de Carolina del Norte. El Fiscal General Jeff Jackson, quien asumió el cargo en enero de 2025, ha impulsado una aplicación agresiva de la ley utilizando la autoridad existente de notificación de violaciones, lanzando investigaciones contra PowerSchool y 23andMe, y obteniendo una orden judicial que bloquea el intercambio ilegal de datos federales con DOGE.
Esta guía cubre cada estatuto importante de privacidad de datos vigente en Carolina del Norte, el estado de la legislación integral de privacidad pendiente, los derechos que actualmente tienen los residentes de Carolina del Norte, las obligaciones que deben cumplir las empresas, y cómo el Fiscal General hace cumplir estas leyes.
Panorama General del Marco de Privacidad de Datos de Carolina del Norte
Carolina del Norte adopta un enfoque sectorial de la privacidad de datos en lugar de depender de una única ley integral de privacidad del consumidor. A diferencia de California, Virginia, Colorado y más de una docena de otros estados que han promulgado estatutos integrales de protección de datos del consumidor, las protecciones de Carolina del Norte se distribuyen entre estatutos específicos que abordan el robo de identidad, las violaciones de datos, las salvaguardas del número de Seguro Social, la privacidad estudiantil, la seguridad de datos de seguros y la confidencialidad de los registros públicos.
El más importante de estos estatutos es la Ley de Protección contra el Robo de Identidad (N.C. Gen. Stat. Capítulo 75, Artículo 2A), promulgada en 2005 y modificada sustancialmente por última vez en 2021. Sigue siendo la piedra angular del marco de protección de datos del estado.

El Departamento de Tecnología de la Información de Carolina del Norte (NCDIT) mantiene el programa de privacidad del estado y ha adoptado los Principios de Prácticas Justas de Información (FIPPs) como un marco que guía la forma en que las agencias estatales recolectan, usan y protegen la información personal. La Oficina de Privacidad y Protección de Datos dentro del NCDIT proporciona orientación, políticas modelo y asistencia técnica a las agencias estatales.
El marco de privacidad de datos de Carolina del Norte cubre estas áreas distintas mediante estatutos separados:
- Notificación de violaciones de datos: G.S. 75-65
- Protecciones del número de Seguro Social: G.S. 75-62
- Requisitos de disposición de datos: G.S. 75-64
- Protecciones de privacidad estudiantil: G.S. 115C-401.2 y G.S. 115C-402.5
- Seguridad de datos de seguros: G.S. Capítulo 58, Artículo 39
- Registros de personal de empleados estatales: G.S. Capítulo 126, Artículo 7
- Números de Seguro Social en registros gubernamentales: G.S. 132-1.10
Tres proyectos de ley presentados en la sesión legislativa 2025-2026 establecerían la primera ley integral de privacidad del consumidor del estado, pero todos permanecían en comité a mayo de 2026.
Ley de Protección contra el Robo de Identidad (N.C. Gen. Stat. 75-60 a 75-66)
La Ley de Protección contra el Robo de Identidad es el estatuto de protección de datos más integral de Carolina del Norte. Aborda múltiples aspectos de la protección de la información personal: definiciones de datos cubiertos, restricciones del número de Seguro Social, congelamientos de crédito, obligaciones de disposición de datos, notificación de violaciones y restricciones de publicación.
Qué Califica como Información Personal
Conforme a G.S. 75-61, la información personal significa el nombre o la inicial del nombre y el apellido de una persona combinados con cualquiera de los siguientes: números de Seguro Social, números de licencia de conducir, números de tarjeta de identificación estatal, números de pasaporte, números de cuentas corrientes o de ahorro, números de tarjetas de crédito o débito, códigos de identificación personal (PIN), números de identificación electrónica o códigos de enrutamiento, firmas digitales, datos biométricos y huellas dactilares.
La información personal no incluye directorios disponibles públicamente que contengan información que una persona haya consentido voluntariamente en divulgar públicamente, como el nombre, la dirección y el número de teléfono. Tampoco incluye información legalmente disponible para el público en general a partir de registros gubernamentales federales, estatales o locales.
Protecciones del Número de Seguro Social (G.S. 75-62)

G.S. 75-62 impone restricciones específicas sobre cómo las empresas manejan los números de Seguro Social. Las empresas que operan en Carolina del Norte no pueden comunicar intencionalmente ni poner a disposición del público en general el número de Seguro Social de una persona. Las prohibiciones adicionales incluyen:
- Imprimir o incrustar un número de Seguro Social en cualquier tarjeta requerida para acceder a productos o servicios
- Exigir a las personas que transmitan su número de Seguro Social por internet, a menos que la conexión sea segura o el número esté cifrado
- Exigir el uso de un número de Seguro Social para acceder a un sitio web, a menos que también se requiera una contraseña o un número de identificación personal único
- Imprimir números de Seguro Social en materiales enviados por correo a las personas, a menos que la ley estatal o federal lo exija
- Vender, arrendar, prestar, intercambiar, alquilar o divulgar intencionalmente de otro modo un número de Seguro Social a un tercero sin consentimiento por escrito, cuando la parte que divulga sabe o debería razonablemente saber que el tercero carece de un propósito legítimo
Se aplican excepciones cuando los números de Seguro Social se incluyen en solicitudes o documentos de inscripción, o cuando se utilizan para establecer, modificar o rescindir una cuenta, contrato o póliza.
Derechos de Congelamiento de Seguridad (G.S. 75-63)
Conforme a G.S. 75-63, los consumidores de Carolina del Norte tienen derecho a colocar un congelamiento de seguridad en su informe crediticio. Cuando un congelamiento está en vigor, una agencia de informes al consumidor no puede divulgar información del informe crediticio a un tercero sin la autorización expresa previa del consumidor.
Un congelamiento de seguridad puede solicitarse por escrito mediante correo de primera clase, por teléfono o electrónicamente. Las agencias de informes al consumidor deben eliminar un congelamiento de seguridad dentro de los 15 minutos posteriores a recibir una solicitud electrónica de eliminación, o dentro de tres días hábiles después de recibir una solicitud escrita o telefónica.
Si se solicita un congelamiento por teléfono o correo, la agencia de informes al consumidor puede cobrar una tarifa que no exceda los tres dólares. No se puede cobrar ninguna tarifa a los consumidores mayores de 62 años, a las víctimas de robo de identidad que hayan presentado un reporte ante las autoridades, ni al cónyuge de una víctima calificada de robo de identidad. No se puede cobrar ninguna tarifa adicional por levantar temporalmente, restablecer o eliminar un congelamiento. La ley federal, bajo la Ley de Crecimiento Económico, Alivio Regulatorio y Protección al Consumidor, también garantiza congelamientos de crédito gratuitos a nivel nacional a través de las tres principales agencias de informes al consumidor.
Requisitos de Disposición de Datos (G.S. 75-64)
G.S. 75-64 exige que toda empresa que realice negocios en Carolina del Norte y mantenga información personal de residentes de Carolina del Norte tome medidas razonables para proteger contra el acceso o uso no autorizado de esa información en relación con su disposición o después de ella.
Las medidas razonables deben incluir la implementación y supervisión del cumplimiento de políticas y procedimientos que exijan la quema, pulverización o trituración de papeles que contengan información personal. Para los medios electrónicos, las empresas deben garantizar la destrucción o borrado de los medios de modo que la información no pueda ser leída o reconstruida de manera práctica. Las empresas también deben describir estos procedimientos de disposición como política oficial en sus registros escritos.
Una empresa puede contratar a un tercero para la destrucción de registros después de realizar la debida diligencia. La debida diligencia normalmente debe incluir la revisión de una auditoría independiente de las operaciones de la empresa de disposición, la obtención de referencias o la exigencia de certificación por parte de una asociación comercial reconocida, o la revisión de las políticas de seguridad de la información de la empresa de disposición.
Requisitos de Notificación de Violaciones de Datos (G.S. 75-65)
La ley de notificación de violaciones de datos de Carolina del Norte, bajo G.S. 75-65, establece requisitos de notificación obligatorios cuando se compromete la información personal. En 2025, el alcance de esta ley fue puesto a prueba por un año récord: la oficina del Fiscal General recibió 2,349 reportes de violaciones que afectaron a 9.3 millones de residentes de Carolina del Norte, la mayor cifra desde que la ley entró en vigor en 2006.
Quién Debe Cumplir
Cualquier empresa que posea u otorgue licencias de información personal de residentes de Carolina del Norte, o cualquier empresa que realice negocios en Carolina del Norte y posea u otorgue licencias de información personal en cualquier formato, ya sea computarizado, en papel o de otro tipo, debe cumplir con la ley de notificación de violaciones.
Qué Activa la Notificación
Una violación de seguridad es el acceso o adquisición no autorizados de registros o datos no cifrados o no redactados que contengan información personal, cuando ha ocurrido o es razonablemente probable que ocurra un uso ilegal de la información personal, o que crea un riesgo material de daño para la persona afectada.
Cronograma de Notificación
La notificación debe realizarse sin demora injustificada. La ley permite demoras compatibles con las necesidades legítimas de las autoridades y cualquier medida necesaria para determinar información de contacto suficiente, determinar el alcance de la violación y restaurar la integridad, seguridad y confidencialidad razonables del sistema de datos.
Carolina del Norte no especifica un número fijo de días para la notificación, a diferencia de algunos estados que imponen plazos de 30 o 60 días. El estándar de "sin demora injustificada" otorga a las empresas cierta flexibilidad, pero también las expone a acciones de aplicación si el Fiscal General determina que la demora fue injustificada.
Reporte al Fiscal General
Las empresas deben notificar a la División de Protección al Consumidor de la Oficina del Fiscal General sobre la naturaleza de la violación, el número de consumidores afectados, las medidas tomadas para investigar la violación, las medidas tomadas para prevenir una violación similar en el futuro, y el momento, la distribución y el contenido del aviso al consumidor.
Violaciones a Gran Escala
Cuando una empresa notifica a más de 1,000 personas a la vez, también debe notificar a todas las agencias de informes al consumidor que recopilan y mantienen archivos sobre los consumidores a nivel nacional (según se define en 15 U.S.C. 1681a(p)) sobre el momento, la distribución y el contenido del aviso.
Poseedores de Datos de Terceros
Cualquier empresa que mantenga o posea registros o datos que contengan información personal de residentes de Carolina del Norte, pero que no sea propietaria ni tenga licencia de esa información, debe notificar al propietario o titular de la licencia de la información inmediatamente después de descubrir la violación.
Publicación de Información Personal (G.S. 75-66)
G.S. 75-66 establece restricciones adicionales sobre el uso y la divulgación de información personal sensible, incluidos los números de Seguro Social, los números de identificación fiscal de empleadores, los números de licencia de conducir, los números de tarjeta de identificación estatal y los números de pasaporte.
La ley no se aplica a la recolección, uso o divulgación de información personal para un propósito permitido, autorizado o exigido por cualquier ley, reglamento u ordenanza federal, estatal o local. Cualquier persona cuya propiedad o persona resulte perjudicada por una violación de esta sección puede demandar por daños civiles conforme a G.S. 1-539.2C.
Sanciones Penales por Robo de Identidad (G.S. 14-113.20)
Carolina del Norte tipifica como delito el robo de identidad bajo G.S. 14-113.20. Una persona que a sabiendas obtiene, posee o utiliza información de identificación de otra persona, viva o fallecida, con la intención de hacerse pasar fraudulentamente por esa persona en transacciones financieras o de crédito, para obtener algo de valor, o para evadir consecuencias legales, es culpable de un delito grave.
Una infracción estándar se sanciona como delito grave de Clase G bajo las pautas de sentencia estructurada de Carolina del Norte. El delito se eleva a un delito grave de Clase F si la víctima sufre arresto, detención o condena como resultado próximo del delito, o si la persona posee información de identificación de tres o más personas distintas.
Conforme a G.S. 14-113.20A, el tráfico de identidades robadas conlleva sanciones adicionales. Los tribunales pueden ordenar a los infractores condenados pagar restitución por las pérdidas financieras, incluidas las pérdidas reales, los salarios perdidos, los honorarios de abogados y los costos incurridos por la víctima al corregir su historial crediticio o en relación con cualquier procedimiento penal, civil o administrativo iniciado en su contra.
Protecciones de Privacidad de Datos Estudiantiles
Carolina del Norte ha promulgado múltiples estatutos que protegen los datos estudiantiles, lo que refleja un fuerte compromiso con la protección de la información de los niños en entornos educativos.

Protección de Privacidad en Línea de Estudiantes (G.S. 115C-401.2)
La Ley de Protección de Privacidad en Línea de Estudiantes (G.S. 115C-401.2) regula la forma en que los operadores de plataformas de tecnología educativa manejan la información estudiantil. Un operador se define como el operador de un sitio web, servicio en línea, aplicación en línea o aplicación móvil con conocimiento real de que se utiliza principalmente para fines escolares K-12 y fue diseñado y comercializado con ese propósito.
La información cubierta incluye una amplia gama de datos personalmente identificables: nombre y apellido, dirección residencial, número de teléfono, dirección de correo electrónico, registros disciplinarios, resultados de pruebas, datos de educación especial, registros de dependencia juvenil, registros médicos y de salud, números de Seguro Social, información biométrica, información socioeconómica, compras de alimentos, afiliaciones políticas, información religiosa, mensajes de texto, identificadores estudiantiles, actividad de búsqueda, grabaciones de voz e información de geolocalización.
A los operadores se les prohíbe realizar publicidad dirigida basada en información adquirida mediante el uso de su plataforma para fines escolares K-12. No pueden utilizar la información recopilada a través de su plataforma para acumular un perfil sobre un estudiante, salvo en beneficio de fines escolares K-12. No pueden vender ni alquilar la información de un estudiante.
Seguridad del Sistema de Datos Estudiantiles (G.S. 115C-402.5)
G.S. 115C-402.5 establece requisitos de seguridad para los sistemas de datos estudiantiles y prohíbe la recolección de ciertas categorías de información. Los siguientes datos sobre un estudiante o su familia no pueden ser recolectados dentro del sistema de datos estudiantiles ni reportados como parte de este: información biométrica, afiliación política e historial de votación.
Ley de Protección de Nuestros Estudiantes (SB 49 / Ley de Sesión 2023-106)
La Ley de Protección de Nuestros Estudiantes (Protect Our Students Act), promulgada en 2023, fortaleció los derechos parentales respecto a los datos estudiantiles. Las escuelas deben proporcionar a los padres información sobre sus derechos bajo la ley estatal y federal en relación con los registros estudiantiles, incluidas las oportunidades de exclusión (opt-out) de la divulgación de información de directorio bajo FERPA. La ley restringe la recolección de datos sobre las afiliaciones políticas, creencias, comportamiento o actitudes sexuales, y comportamiento ilegal o degradante de los estudiantes.
La relevancia de estos estatutos quedó demostrada en diciembre de 2024, cuando PowerSchool, una empresa que vende productos de software utilizados por escuelas en todo el país, sufrió un ataque cibernético. La violación potencialmente expuso números de Seguro Social, direcciones e información médica y disciplinaria de aproximadamente 4 millones de residentes de Carolina del Norte. El Fiscal General Jeff Jackson abrió una investigación formal y emitió una Solicitud de Investigación Civil a PowerSchool a principios de 2025.
Seguridad de Datos de Seguros (G.S. Capítulo 58, Artículo 39)
Carolina del Norte regula el manejo de información personal por parte de las compañías de seguros a través de la Ley de Privacidad de Información del Consumidor y del Cliente (G.S. Capítulo 58, Artículo 39). Este artículo contiene dos componentes clave.
Ley de Información de Seguros y Protección de la Privacidad
Las instituciones de seguros, agentes y organizaciones de apoyo a seguros no pueden divulgar información personal o privilegiada recolectada en relación con una transacción de seguros, a menos que la divulgación esté autorizada por ley o reglamento.
Conforme a G.S. 58-39-25, las instituciones de seguros deben proporcionar un aviso de prácticas de información a todos los solicitantes o titulares de pólizas. Para los titulares de pólizas, este aviso debe proporcionarse al menos una vez durante cualquier período de 12 meses consecutivos en que la póliza esté vigente.
Ley de Salvaguardas de Información del Cliente
La Ley de Salvaguardas de Información del Cliente exige que las compañías de seguros mantengan políticas que protejan la confidencialidad y la seguridad de la información personal no pública y que salvaguarden esa información contra el acceso no autorizado.
Registros Públicos y Protección de Datos Gubernamentales
Números de Seguro Social en Registros Públicos (G.S. 132-1.10)
G.S. 132-1.10 protege los números de Seguro Social y otra información personal identificable en los registros gubernamentales. La información de identificación es confidencial y no se considera un registro público bajo el Capítulo 132. Un registro con la información de identificación eliminada o redactada sigue siendo un registro público.
Las agencias gubernamentales no pueden dejar de separar los números de Seguro Social en una página distinta del resto del registro cuando los recolectan. A solicitud, deben proporcionar una declaración del propósito para el cual se está recolectando y utilizando el número de Seguro Social. Los registros del registrador de escrituras, el Departamento de la Secretaría de Estado o los tribunales no pueden incluir el número de Seguro Social de ninguna persona, a menos que la ley o una orden judicial lo exijan expresamente.
Registros de Personal de Empleados Estatales (G.S. Capítulo 126, Artículo 7)
G.S. Capítulo 126, Artículo 7 protege la privacidad de los registros de personal de los empleados estatales. Conforme a G.S. 126-22, los archivos de personal no están sujetos a inspección pública general.
Privacidad de Información de Salud
Carolina del Norte alinea sus protecciones de privacidad de información de salud con los estándares federales de HIPAA, manteniendo al mismo tiempo disposiciones adicionales específicas del estado. G.S. 143-518 aborda la confidencialidad de la información del paciente en los registros médicos mantenidos por los hospitales estatales y el Departamento de Salud y Servicios Humanos.
La Autoridad de Intercambio de Información de Salud de Carolina del Norte garantiza que las salvaguardas de privacidad y seguridad para los datos de salud intercambiados electrónicamente cumplan o superen los requisitos federales, estatales y locales, incluida la Regla de Privacidad de HIPAA, la Regla de Seguridad de HIPAA y la Ley HITECH. El Departamento de Instrucción Pública de Carolina del Norte mantiene orientación separada de privacidad y política de datos para el contexto educativo K-12.
Leyes Federales de Privacidad que Cubren a los Residentes de Carolina del Norte
Debido a que Carolina del Norte carece de una ley integral de privacidad de datos del consumidor a nivel estatal, los estatutos federales proporcionan una protección básica significativa para los residentes de Carolina del Norte.

TAKE IT DOWN Act (Pub. L. 119-12, promulgada el 19 de mayo de 2025). Esta ley federal tipifica como delito la publicación no consentida de imágenes íntimas, incluidos los deepfakes generados por IA (imágenes íntimas no consentidas, o NCII). Las prohibiciones penales entraron en vigor inmediatamente al momento de la promulgación. Las plataformas en línea cubiertas debían establecer procesos de aviso y retiro a más tardar el 19 de mayo de 2026, con la aplicación de la FTC comenzando en esa fecha. Los residentes de Carolina del Norte que sean víctimas de NCII cuentan tanto con un recurso penal federal como con la posibilidad de reportar ante la FTC.
Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA). HIPAA regula la forma en que los proveedores de atención médica, las aseguradoras y sus asociados comerciales manejan la información de salud protegida. La Regla de Privacidad de HIPAA y la Regla de Seguridad se aplican a las entidades cubiertas en Carolina del Norte, independientemente de que la ley estatal imponga requisitos adicionales.
Ley Gramm-Leach-Bliley (GLBA). La GLBA exige que las instituciones financieras expliquen sus prácticas de intercambio de información y protejan los datos sensibles. Las instituciones financieras de Carolina del Norte que operan bajo estatutos federales o licencias estatales deben cumplir con los avisos de privacidad y los requisitos de seguridad de datos de la GLBA.
Ley de Informe Justo de Crédito (FCRA) y FACTA. La FCRA regula la forma en que las agencias de informes al consumidor recolectan, acceden, usan y distribuyen información crediticia. La regla de disposición de FACTA exige que las empresas dispongan de la información de informes al consumidor de manera segura. El G.S. 75-64 de Carolina del Norte es paralelo a la regla de disposición de FACTA para la información personal en general.
Ley de Protección de la Privacidad Infantil en Línea (COPPA). COPPA restringe la recolección de información personal de niños menores de 13 años por parte de operadores de sitios web. Los operadores que atienden a niños de Carolina del Norte deben obtener el consentimiento parental verificable antes de recolectar, usar o divulgar información personal.
Sección 5 de la Ley de la FTC. La autoridad de la Comisión Federal de Comercio para prevenir actos o prácticas desleales o engañosas en el comercio se extiende a las fallas de seguridad de datos. La FTC ha tomado acciones de aplicación contra empresas que hicieron declaraciones falsas materiales sobre su seguridad de datos o que no mantuvieron salvaguardas razonables, sin que se requiera una ley integral de privacidad estatal.
Ley Estadounidense de Derechos de Privacidad (APRA). Un proyecto de ley federal integral de privacidad, bipartidista, la APRA, fue presentado en el 118.º Congreso en 2024, pero no fue aprobado. El proyecto expiró cuando el 118.º Congreso terminó en enero de 2025 y no ha sido vuelto a promulgar a mayo de 2026. Actualmente no existe una ley federal integral de privacidad del consumidor en vigor.
Legislación Pendiente: El Camino de Carolina del Norte hacia una Ley Integral de Privacidad
Tres proyectos de ley presentados en la sesión legislativa 2025-2026 crearían las primeras protecciones integrales de privacidad de datos del consumidor de Carolina del Norte. Ninguno había sido promulgado a mayo de 2026.

Proyecto de Ley 462 de la Cámara: Ley de Privacidad de Datos Personales de NC y Ley de Seguridad en Redes Sociales
El Proyecto de Ley 462 de la Cámara (House Bill 462), presentado en la sesión 2025-2026, contiene dos partes sustantivas. La Parte I promulgaría la Ley de Privacidad de Datos Personales de Carolina del Norte, creando un nuevo Capítulo 75F de los Estatutos Generales. La Parte II promulgaría la Ley de Seguridad en Redes Sociales, exigiendo que las plataformas de redes sociales utilicen sistemas comerciales de verificación de edad antes de permitir que los menores de Carolina del Norte abran cuentas.
Derechos del consumidor bajo la Parte I. El proyecto otorgaría a los consumidores de Carolina del Norte seis derechos clave: el derecho a confirmar si un controlador está procesando sus datos personales y a acceder a esos datos; el derecho a corregir inexactitudes; el derecho a eliminar datos personales; el derecho a obtener una copia portátil de sus datos; el derecho a excluirse (opt out) de la publicidad dirigida, la venta de datos y la elaboración de perfiles; y el derecho a que un agente autorizado ejerza estos derechos en su nombre.
Umbrales de aplicabilidad. El proyecto se aplicaría a las entidades que realicen negocios en Carolina del Norte o dirijan productos o servicios a residentes de Carolina del Norte y que, además, controlen o procesen los datos personales de al menos 35,000 consumidores (excluyendo los datos procesados únicamente para transacciones de pago), o controlen o procesen los datos personales de al menos 10,000 consumidores y obtengan más del 20 por ciento de sus ingresos brutos de la venta de datos personales.
Aplicación. La autoridad exclusiva de aplicación recaería en el Fiscal General de Carolina del Norte, con un período de subsanación de 60 días antes de iniciar una acción de aplicación.
Estado. A mayo de 2026, el HB 462 fue reasignado al Comité de Comercio y Desarrollo Económico el 29 de abril de 2025. No ha avanzado a una votación en el pleno.
Proyecto de Ley 757 del Senado: Ley de Privacidad del Consumidor
El Proyecto de Ley 757 del Senado (Senate Bill 757), presentado en marzo de 2025, es un proyecto de ley integral de privacidad del consumidor separado en el Senado. El proyecto establecería la Ley de Privacidad del Consumidor y otorgaría a los residentes derechos de acceso, corrección, eliminación y exclusión de ventas y publicidad dirigida. El SB 757 permanecía en comité a mayo de 2026.
Proyecto de Ley 963 del Senado: Seguridad y Privacidad de Chatbots de IA
El Proyecto de Ley 963 del Senado (Senate Bill 963) aborda las obligaciones de privacidad y seguridad específicas de los operadores de chatbots de IA, incluidos los requisitos de verificación de edad, divulgación y manejo de datos. El proyecto permanecía en comité a mayo de 2026.
Seguimiento de la legislación pendiente. Los residentes y empresas de Carolina del Norte deben monitorear ncleg.gov para conocer las actualizaciones de los tres proyectos de ley. La sesión 2025-2026 es una sesión larga; la legislación puede avanzar rápidamente una vez que un proyecto llega al pleno.
Aplicación por el Fiscal General
La División de Protección al Consumidor del Fiscal General de Carolina del Norte desempeña un papel central en la aplicación de las protecciones de privacidad de datos. El Fiscal General Jeff Jackson asumió el cargo en enero de 2025 y ha convertido la aplicación de la privacidad de datos en una prioridad desde sus primeros meses en el cargo.
Estadísticas Récord de Violaciones en 2025
El Reporte de Violaciones de Datos de Carolina del Norte 2025 registró 2,349 violaciones de datos reportadas al Departamento de Justicia, la cifra más alta desde que comenzó el reporte en 2006, exponiendo aproximadamente a 9.3 millones de residentes de Carolina del Norte. Los incidentes relacionados con piratería informática causaron el 77 por ciento de todas las violaciones reportadas. Desde 2006, las empresas han reportado un total de 19,318 violaciones que han afectado a más de 40 millones de personas en total.
Investigación de PowerSchool (2025)
En diciembre de 2024, PowerSchool, una empresa que vende productos de software utilizados por escuelas en todo el país, sufrió un ataque cibernético que potencialmente expuso números de Seguro Social, direcciones e información médica y disciplinaria de 62.4 millones de estudiantes y maestros actuales y anteriores a nivel nacional, incluidos casi 4 millones de personas en Carolina del Norte. El Fiscal General Jackson emitió una Solicitud de Investigación Civil a PowerSchool para obtener información detallada sobre la causa de la violación y las prácticas de seguridad de datos de la empresa. La investigación seguía en curso a la fecha de publicación.
Demanda por Datos Genéticos de 23andMe
El Fiscal General Jackson presentó una demanda en 2025 contra 23andMe ante un tribunal de quiebras para evitar la venta de información genética sensible de residentes de Carolina del Norte sin su conocimiento o consentimiento. Jackson obtuvo una orden de consentimiento que designó a un defensor del consumidor en materia de privacidad para representar los intereses de privacidad y seguridad de los clientes durante todo el proceso de venta. El caso planteó interrogantes sobre la adecuación del marco de privacidad existente en Carolina del Norte para proteger datos genéticos y relacionados con la salud fuera del alcance de HIPAA.
Mandato Judicial Contra el Intercambio de Datos con DOGE
En febrero de 2025, un juez federal bloqueó al gobierno federal de compartir los datos financieros de los residentes de Carolina del Norte con el Departamento de Eficiencia Gubernamental (DOGE), tras una demanda presentada por el Fiscal General Jackson. El tribunal sostuvo que el intercambio de datos planeado planteaba serias preocupaciones sobre el uso lícito de información personal y financiera sensible.
Grupo de Trabajo sobre IA
En 2025, el Fiscal General Jackson formó un grupo de trabajo bipartidista sobre IA a nivel nacional, junto con el Fiscal General de Utah, Derek Brown. El grupo de trabajo colabora con desarrolladores líderes de IA, incluidos OpenAI y Microsoft, para identificar riesgos emergentes de privacidad derivados del uso indebido habilitado por la IA, promover la innovación responsable y desarrollar salvaguardas de protección al consumidor.
Principales Acuerdos de Aplicación Previos
Dos importantes acuerdos multiestatales de la administración anterior siguen siendo un precedente para la postura de aplicación de violaciones de datos de Carolina del Norte. Un acuerdo de $52 millones con Marriott International resolvió investigaciones sobre una violación de datos de varios años que afectó a cientos de millones de huéspedes, y Carolina del Norte recibió $2,059,176. Un acuerdo de $49.5 millones con Blackbaud abordó prácticas deficientes de seguridad de datos y la respuesta de la empresa a un ataque de ransomware de 2020 que expuso información personal de millones de donantes de organizaciones sin fines de lucro y organizaciones de atención médica.
Prácticas Comerciales Desleales y Engañosas
El Fiscal General puede perseguir violaciones de privacidad de datos bajo la Ley de Prácticas Comerciales Desleales y Engañosas de Carolina del Norte (G.S. Capítulo 75, Artículo 1), que prohíbe los actos desleales o engañosos en el comercio. Una empresa que tergiverse sus prácticas de seguridad de datos o que no proteja los datos del consumidor puede enfrentar acciones de aplicación bajo este estatuto, independientemente de una violación específica de notificación de violaciones.
Pasos Prácticos para los Residentes de Carolina del Norte
Los residentes de Carolina del Norte pueden tomar varias medidas para proteger su información personal bajo la ley vigente.
Usted tiene derecho a colocar un congelamiento de seguridad gratuito o de bajo costo en su informe crediticio con cada una de las tres principales agencias de crédito. No se puede cobrar ninguna tarifa si usted es mayor de 62 años o es víctima de robo de identidad y ha presentado un reporte ante las autoridades. Monitoree sus informes crediticios en busca de cuentas no autorizadas o aperturas de cuentas nuevas.
Si usted es víctima de robo de identidad, presente un reporte ante su agencia local de aplicación de la ley y ante la oficina del Fiscal General de Carolina del Norte. La oficina del Fiscal General ofrece un portal de reporte de violaciones y recursos sobre robo de identidad en ncdoj.gov.
Los padres de estudiantes K-12 deben revisar las políticas de privacidad de datos de la escuela y ejercer los derechos de exclusión (opt-out) para la información de directorio. Solicite información sobre qué proveedores de tecnología educativa tienen acceso a los datos de su hijo. La violación de PowerSchool en 2025, que expuso los registros estudiantiles de 4 millones de residentes de Carolina del Norte, subraya que los proveedores de software escolar son una superficie de ataque significativa.
Si recibe una notificación de violación de datos, tómela en serio. Cambie las contraseñas de las cuentas afectadas, monitoree los estados de cuenta financieros y considere colocar una alerta de fraude o un congelamiento de seguridad en su archivo crediticio. Si la violación involucró datos genéticos o médicos (similar a la situación de 23andMe), contacte a la oficina del Fiscal General para reportar cualquier sospecha de mal uso.
Pasos Prácticos para Empresas que Operan en Carolina del Norte

Las empresas que recolectan información personal de residentes de Carolina del Norte tienen varias obligaciones legales bajo la ley actual, independientemente de que se promulgue o no un estatuto integral de privacidad.
Desarrolle e implemente una política escrita de disposición de datos que incluya la trituración de registros en papel y la destrucción de medios electrónicos conforme a G.S. 75-64. Establezca un plan de respuesta a violaciones que incluya la notificación a los consumidores afectados y al Fiscal General sin demora injustificada conforme a G.S. 75-65.
Revise su manejo de números de Seguro Social para garantizar el cumplimiento de G.S. 75-62. Nunca transmita números de Seguro Social a través de conexiones de internet no seguras. No los imprima en materiales enviados por correo, a menos que la ley lo exija.
Si utiliza plataformas de tecnología educativa en entornos K-12, asegúrese de que sus proveedores cumplan con las restricciones de G.S. 115C-401.2 sobre publicidad dirigida, elaboración de perfiles y venta de datos. Mantenga contratos escritos con los proveedores que aborden las obligaciones de notificación de violaciones.
Monitoree el estado del HB 462, el SB 757 y el SB 963 en la sesión legislativa 2025-2026. Si alguno de estos proyectos se aprueba, las empresas que cumplan con los umbrales aplicables deberán implementar procesos de derechos del consumidor, acuerdos de procesamiento de datos, evaluaciones de protección de datos y avisos de privacidad antes de la fecha de vigencia.
Si es una compañía de seguros o una entidad relacionada con seguros, revise sus obligaciones conforme a G.S. Capítulo 58, Artículo 39, en relación con los avisos de privacidad y las salvaguardas de información del cliente.
Considere si la ley federal TAKE IT DOWN Act (Pub. L. 119-12) afecta su plataforma. Si opera un servicio interactivo en línea que permite a los usuarios publicar contenido, la aplicación por parte de la FTC de las obligaciones de retiro de contenido de las plataformas comenzó el 19 de mayo de 2026.
Más Leyes de Carolina del Norte
- Leyes de Grabación de Reuniones con IA de Carolina del Norte
- Leyes de Pensión Conyugal de Carolina del Norte
- Leyes de Empleo a Voluntad de Carolina del Norte
- Leyes de Accidentes Automovilísticos de Carolina del Norte
- Leyes de Sillas de Auto para Niños de Carolina del Norte
- Leyes de Custodia de Menores de Carolina del Norte
- Leyes de Manutención Infantil de Carolina del Norte
- Leyes de Matrimonio de Hecho de Carolina del Norte
- Leyes sobre Deepfakes de Carolina del Norte
- Leyes de Divorcio de Carolina del Norte
- Leyes sobre Mordeduras de Perro de Carolina del Norte
- Leyes de Emancipación de Carolina del Norte
- Leyes de Eliminación de Antecedentes Penales de Carolina del Norte
- Leyes sobre Accidentes con Fuga de Carolina del Norte
- Leyes de Propietarios e Inquilinos de Carolina del Norte
- Leyes del Limón de Carolina del Norte
Preguntas frecuentes
¿Carolina del Norte tiene una ley integral de privacidad de datos del consumidor?
No. A mayo de 2026, Carolina del Norte no tiene una ley integral de privacidad de datos del consumidor comparable a la CCPA de California o la VCDPA de Virginia. El estado depende de un conjunto de estatutos específicos, principalmente la Ley de Protección contra el Robo de Identidad (G.S. 75-60 a 75-66). Tres proyectos de ley presentados en la sesión 2025-2026 cambiarían esto: el Proyecto de Ley 462 de la Cámara (Ley de Privacidad de Datos Personales de NC más la Ley de Seguridad en Redes Sociales), el Proyecto de Ley 757 del Senado (Ley de Privacidad del Consumidor) y el Proyecto de Ley 963 del Senado (seguridad y privacidad de chatbots de IA). Ninguno había sido promulgado a mayo de 2026.
¿Con qué rapidez deben las empresas notificar a los residentes de Carolina del Norte sobre una violación de datos?
La ley de Carolina del Norte exige la notificación 'sin demora injustificada' conforme a G.S. 75-65, pero no establece un número específico de días. Se permiten demoras por necesidades de aplicación de la ley y para determinar el alcance de la violación. Las empresas también deben reportar los detalles de la violación a la División de Protección al Consumidor del Fiscal General. Para violaciones que afecten a más de 1,000 personas, también deben notificarse las tres principales agencias de informes al consumidor.
¿Cuáles son las sanciones por robo de identidad en Carolina del Norte?
El robo de identidad es un delito grave de Clase G bajo G.S. 14-113.20. Si la víctima sufre arresto, detención o condena como resultado, o si el infractor posee información de identificación de tres o más personas, el delito se eleva a Clase F. El tráfico de identidades robadas conlleva sanciones adicionales bajo G.S. 14-113.20A. Los tribunales también pueden ordenar restitución por pérdidas financieras, honorarios de abogados y costos de corrección del historial crediticio.
¿Puedo colocar un congelamiento de seguridad en mi informe crediticio en Carolina del Norte de forma gratuita?
Si solicita un congelamiento por teléfono o correo, la agencia de informes al consumidor puede cobrar hasta $3.00. Sin embargo, no se puede cobrar ninguna tarifa a los consumidores mayores de 62 años, a las víctimas de robo de identidad que hayan presentado un reporte ante las autoridades, ni a sus cónyuges. Las solicitudes electrónicas de congelamiento y cualquier solicitud para levantar temporalmente, restablecer o eliminar un congelamiento son gratuitas. La ley federal, bajo la Ley de Crecimiento Económico, Alivio Regulatorio y Protección al Consumidor, también garantiza congelamientos de crédito gratuitos a través de las principales agencias de informes.
¿Cómo protege Carolina del Norte la privacidad de los datos estudiantiles?
Carolina del Norte cuenta con múltiples protecciones de privacidad de datos estudiantiles. G.S. 115C-401.2 prohíbe a los operadores de plataformas de tecnología educativa realizar publicidad dirigida basada en datos estudiantiles, elaborar perfiles no educativos de los estudiantes o vender información estudiantil. G.S. 115C-402.5 prohíbe la recolección de datos biométricos, afiliaciones políticas e historial de votación en los sistemas de datos estudiantiles. La Ley de Protección de Nuestros Estudiantes de 2023 (SB 49) fortaleció los derechos parentales para inspeccionar registros y excluirse de la divulgación de información de directorio.
¿Qué ha hecho el Fiscal General Jeff Jackson en materia de privacidad de datos desde que asumió el cargo en enero de 2025?
El Fiscal General Jeff Jackson ha impulsado varias acciones importantes de aplicación en materia de privacidad de datos. Investigó a PowerSchool por una violación que expuso registros de 4 millones de residentes de Carolina del Norte. Presentó una demanda para evitar que 23andMe vendiera los datos genéticos de residentes de Carolina del Norte durante su quiebra, obteniendo una orden de consentimiento que designó a un defensor de privacidad. Ganó una orden de restricción temporal que bloqueó a DOGE el acceso a los datos financieros de los residentes de Carolina del Norte. También formó un grupo de trabajo bipartidista sobre IA con el Fiscal General de Utah para abordar los riesgos de privacidad habilitados por la IA. En 2025, su oficina reportó un récord de 2,349 violaciones de datos que afectaron a 9.3 millones de residentes de Carolina del Norte.
¿Qué es la TAKE IT DOWN Act y cómo afecta a los residentes de Carolina del Norte?
La TAKE IT DOWN Act (Pub. L. 119-12) es una ley federal promulgada el 19 de mayo de 2025 que tipifica como delito la publicación no consentida de imágenes íntimas, incluidos los deepfakes generados por IA. Las prohibiciones penales entraron en vigor inmediatamente al momento de la promulgación. Las plataformas en línea debían establecer procesos de aviso y retiro a más tardar el 19 de mayo de 2026, con la aplicación de la FTC comenzando en esa fecha. Los residentes de Carolina del Norte que sean víctimas de la publicación no consentida de imágenes íntimas pueden reportar violaciones a la FTC y pueden contar con recursos penales disponibles a nivel federal.
¿Carolina del Norte tiene una ley de privacidad de datos biométricos?
Carolina del Norte no tiene una ley independiente de privacidad de datos biométricos comparable a la BIPA de Illinois. Sin embargo, los datos biométricos están incluidos en la definición de información personal bajo G.S. 75-61, lo que significa que la adquisición no autorizada de datos biométricos puede activar obligaciones de notificación de violaciones bajo G.S. 75-65. Los estatutos de datos estudiantiles (G.S. 115C-402.5) prohíben expresamente la recolección de información biométrica en el sistema de datos estudiantiles. Si el HB 462 o el SB 757 se aprueban, las definiciones de datos sensibles en esos proyectos probablemente incluirían los datos biométricos con protecciones reforzadas.
Fuentes y referencias
- Ley de Protección contra el Robo de Identidad de Carolina del Norte (G.S. Capítulo 75, Artículo 2A)(ncleg.gov).gov
- G.S. 75-65: Protección contra Violaciones de Seguridad(ncleg.gov).gov
- G.S. 75-62: Protección del Número de Seguro Social(ncleg.gov).gov
- G.S. 75-61: Definiciones(ncleg.gov).gov
- G.S. 75-63: Congelamiento de Seguridad(ncleg.gov).gov
- G.S. 75-64: Destrucción de Registros de Información Personal(ncleg.gov).gov
- G.S. 75-66: Publicación de Información Personal(ncleg.gov).gov
- G.S. 14-113.20: Robo de Identidad(ncleg.gov).gov
- G.S. 14-113.20A: Tráfico de Identidades Robadas(ncleg.gov).gov
- G.S. 115C-401.2: Protección de Privacidad en Línea de Estudiantes(ncleg.gov).gov
- G.S. 115C-402.5: Seguridad del Sistema de Datos Estudiantiles(ncleg.gov).gov
- Ley de Protección de Nuestros Estudiantes (SB 49 / SL 2023-106)(ncleg.gov).gov
- G.S. Capítulo 58, Artículo 39: Privacidad de Datos de Seguros(ncleg.gov).gov
- G.S. 58-39-25: Aviso de Prácticas de Información de Seguros(ncleg.gov).gov
- G.S. 132-1.10: Números de Seguro Social en Registros Públicos(ncleg.gov).gov
- G.S. Capítulo 126, Artículo 7: Registros de Personal de Empleados Estatales(ncleg.gov).gov
- Fiscal General de NC: Información sobre Violaciones de Seguridad(ncdoj.gov).gov
- Fiscal General de NC: Reportar una Violación de Seguridad(ncdoj.gov).gov
- Acuerdo del Fiscal General con Marriott ($52M)(ncdoj.gov).gov
- Acuerdo del Fiscal General con Blackbaud ($49.5M)(ncdoj.gov).gov
- NCDIT: Leyes, Políticas y Orientación de Privacidad(it.nc.gov).gov
- NCDIT: Oficina de Privacidad y Protección de Datos(it.nc.gov).gov
- Proyecto de Ley 462 de la Cámara: Ley de Privacidad de Datos Personales de NC (2025-2026)(ncleg.gov).gov
- G.S. 143-518: Confidencialidad de la Información del Paciente(ncleg.gov).gov
- Autoridad de Intercambio de Información de Salud de NC: Privacidad y Seguridad(hiea.nc.gov).gov
- NC DPI: Privacidad y Política de Datos(dpi.nc.gov).gov
- Fiscal General de NC: Reporte de Violaciones de Datos 2025 (Récord de 2,349 Violaciones)(ncdoj.gov).gov
- El Fiscal General Jeff Jackson Investiga la Violación de Datos de PowerSchool (4M de Residentes de NC)(ncdoj.gov).gov
- El Fiscal General Jeff Jackson Demanda a 23andMe por la Venta de Datos Genéticos(ncdoj.gov).gov
- El Fiscal General Jeff Jackson Gana Orden de Restricción Temporal que Bloquea el Acceso de DOGE a Datos(ncdoj.gov).gov
- Proyecto de Ley 757 del Senado: Ley de Privacidad del Consumidor (2025-2026)(ncleg.gov).gov
- Proyecto de Ley 963 del Senado: Seguridad y Privacidad de Chatbots de IA (2025-2026)(ncleg.gov).gov
- TAKE IT DOWN Act, Pub. L. 119-12 (promulgada el 19 de mayo de 2025)(congress.gov).gov
- FTC: La Aplicación de la TAKE IT DOWN Act Comienza el 19 de Mayo de 2026(ftc.gov).gov
- 15 U.S.C. 1681a: Definiciones de la FCRA(law.cornell.edu)