North Carolina
Leyes de Notificación de Violaciones de Datos de Carolina del Norte: Reglas y Plazos de Reporte (2026)

Carolina del Norte exige que las empresas notifiquen a los residentes afectados sobre una violación de datos sin demora injustificada conforme a la Ley de Protección contra el Robo de Identidad (Identity Theft Protection Act), N.C. Gen. Stat. 75-65. No existe un plazo fijo en días. La División de Protección al Consumidor de la Oficina del Fiscal General también debe recibir notificación de cada violación que califique.
Si su empresa maneja información personal perteneciente a residentes de Carolina del Norte, una violación de datos genera obligaciones legales específicas conforme a la Ley de Protección contra el Robo de Identidad del estado. N.C. Gen. Stat. 75-61 a 75-66 establece a quién se debe notificar, qué información activa el deber de notificar y con qué rapidez se debe actuar. Promulgada en 2005 y enmendada más recientemente en 2009, la ley se destaca por su mecanismo de aplicación: las infracciones se tratan como prácticas comerciales desleales y engañosas, lo que expone a las empresas a daños triples.
Esta guía cubre el alcance completo de los requisitos de notificación de violaciones de datos de Carolina del Norte, incluyendo qué información personal activa la ley, a quién se debe notificar, el plazo, las sanciones de aplicación, las exenciones y cómo la ley se relaciona con el marco más amplio de privacidad de datos del estado.
Quién Debe Cumplir con la Ley de Notificación de Violaciones de Datos de Carolina del Norte
La ley de notificación de violaciones de datos de Carolina del Norte se aplica a cualquier empresa que posea o tenga licencia sobre información personal de residentes de Carolina del Norte. También se aplica a cualquier empresa que realice negocios en Carolina del Norte y que posea o tenga licencia sobre información personal en cualquier formato, ya sea computarizado, en papel o de otro tipo.
La ley distingue entre los propietarios de datos y los administradores de datos. Si un tercero administra información personal que no posee ni tiene bajo licencia, ese tercero debe notificar al propietario o licenciatario de los datos sobre cualquier violación de seguridad inmediatamente después de descubrirla. El propietario de los datos asume entonces la responsabilidad de notificar a los consumidores afectados y al Fiscal General.
Esto significa que las empresas de fuera del estado que poseen datos de residentes de Carolina del Norte están completamente sujetas a la ley. No existe una exención basada en la ubicación del negocio.
Qué Califica como una Violación de Seguridad de Datos
Conforme a N.C. Gen. Stat. 75-61(14), una violación de seguridad se define como un incidente de acceso no autorizado y adquisición de registros o datos sin cifrar y sin redactar que contengan información personal, cuando:
- Se haya producido, o sea razonablemente probable que se produzca, el uso ilegal de la información personal, o
- El incidente cree un riesgo material de daño para un consumidor
Se trata de un criterio de dos vertientes. Se requiere notificación si se cumple cualquiera de las condiciones, no solo cuando se ha confirmado el uso indebido real.
Excepción de Buena Fe
La adquisición de buena fe de información personal por parte de un empleado o agente de la empresa con un propósito legítimo no constituye una violación de seguridad, siempre que la información personal no se utilice para un propósito no autorizado y no esté sujeta a una divulgación no autorizada adicional.
La Excepción de Puerto Seguro por Cifrado

Carolina del Norte ofrece una excepción de puerto seguro para los datos cifrados, pero con una limitación importante. Si los datos comprometidos estaban cifrados y la clave de cifrado no también se vio comprometida, el incidente no califica como una violación de seguridad. Sin embargo, si se accedió a la clave de cifrado o esta fue adquirida durante la misma violación, la excepción no se aplica y se requiere la notificación completa.
El cifrado se define conforme a N.C. Gen. Stat. 75-61(6) como el uso de un proceso algorítmico para transformar los datos en una forma en la que resulten ilegibles o inutilizables sin el uso de un proceso o clave confidencial.
Qué Información Personal Activa la Ley
Conforme a N.C. Gen. Stat. 75-61(10), información personal significa el nombre o la inicial del nombre y el apellido de una persona, combinados con cualquiera de los siguientes:
- Número de Seguro Social
- Número de licencia de conducir, tarjeta de identificación estatal o pasaporte
- Número de cuenta corriente
- Número de cuenta de ahorros
- Número de tarjeta de crédito
- Número de tarjeta de débito
- Código de identificación personal (PIN)
- Firmas digitales
- Datos biométricos (huellas dactilares y otros elementos de datos identificativos)
- Cualquier otro número o información que se pueda utilizar para acceder a los recursos financieros de una persona
La definición también incluye números de identificación electrónica, direcciones de correo electrónico o números de cuentas de internet, combinados con contraseñas, preguntas de seguridad u otras credenciales que permitirían el acceso a una cuenta en línea.
La información personal no incluye directorios disponibles al público ni información puesta legalmente a disposición del público en general.
Plazo de Notificación
Carolina del Norte no impone un plazo fijo medido en días. En cambio, N.C. Gen. Stat. 75-65(a) exige la notificación "sin demora injustificada". El estatuto permite demoras que sean:
- Coherentes con las necesidades legítimas de las fuerzas del orden
- Necesarias para determinar información de contacto suficiente
- Necesarias para determinar el alcance de la violación
- Necesarias para restaurar la integridad, seguridad y confidencialidad razonables del sistema de datos
Las fuerzas del orden pueden solicitar una demora si la notificación obstaculizaría una investigación penal. La solicitud debe provenir de una agencia de las fuerzas del orden, y la empresa puede retrasar la notificación por un período razonable de tiempo.
A Quién Se Debe Notificar
Personas Afectadas
Toda persona cuya información personal haya sido comprometida debe recibir notificación. El aviso debe ser claro y visible, e incluir:
- Una descripción del incidente
- El tipo de información personal involucrada
- Los pasos que la empresa ha tomado o planea tomar con respecto a la violación
- Números gratuitos, direcciones y direcciones de sitios web de la Comisión Federal de Comercio y de la Oficina del Fiscal General de Carolina del Norte
- Una declaración de que la persona puede obtener información de estas fuentes sobre cómo prevenir el robo de identidad

Fiscal General
Se debe notificar a la División de Protección al Consumidor del Departamento de Justicia de Carolina del Norte de cada violación que afecte a residentes de Carolina del Norte. La notificación al Fiscal General debe incluir:
- La naturaleza de la violación
- El número de consumidores afectados
- Los pasos tomados para investigar la violación
- Los pasos tomados para prevenir una violación similar en el futuro
- Información sobre el momento, la distribución y el contenido del aviso al consumidor
Agencias de Informes Crediticios al Consumidor
Cuando una violación afecta a más de 1,000 personas a la vez, la empresa también debe notificar a todas las agencias de informes crediticios al consumidor que compilan y mantienen archivos sobre los consumidores a nivel nacional. La notificación a las agencias debe incluir el momento, la distribución y el contenido del aviso enviado a las personas afectadas.
Métodos de Notificación
Las empresas pueden proporcionar la notificación a través de varios métodos:
- Aviso escrito enviado a la última dirección postal conocida
- Aviso por correo electrónico si la persona afectada ha dado su consentimiento para recibir comunicaciones electrónicas
- Aviso telefónico proporcionado directamente a la persona afectada
Aviso Sustitutivo
El aviso sustitutivo está disponible si la empresa puede demostrar que:
- El costo de proporcionar aviso directo excedería los $250,000, o
- La clase afectada excede las 500,000 personas, o
- La empresa carece de información de contacto suficiente
El aviso sustitutivo debe consistir en todo lo siguiente: aviso por correo electrónico (cuando la empresa tenga una dirección de correo electrónico), publicación visible en el sitio web de la empresa y notificación a los principales medios de comunicación estatales.

Aplicación y Sanciones
El mecanismo de aplicación de Carolina del Norte es notablemente agresivo en comparación con la mayoría de los estados. Conforme a N.C. Gen. Stat. 75-66, una infracción de la Ley de Protección contra el Robo de Identidad constituye una infracción de N.C. Gen. Stat. 75-1.1, que prohíbe las prácticas comerciales desleales o engañosas (UDTP).
Esta clasificación tiene consecuencias importantes:
Derecho de Acción Privado
Conforme a N.C. Gen. Stat. 75-16, cualquier persona perjudicada por una infracción del Capítulo 75 puede presentar una demanda civil. Si se determinan daños, el tribunal debe otorgar el triple del monto de los daños reales. Esto significa que los consumidores afectados pueden demandar directamente a las empresas por fallas en la notificación de violaciones de datos.
Daños Triples
La disposición de daños triples conforme a G.S. 75-16 se aplica automáticamente cuando un tribunal determina una infracción de la UDTP y evalúa daños. Esto triplica cualquier monto de daños compensatorios que otorgue el jurado.
Existe una excepción limitada: los daños causados por actos u omisiones de empleados que no ocupan puestos gerenciales no se triplican, a menos que la empresa haya sido negligente en la capacitación, supervisión o monitoreo de esos empleados.
Honorarios de Abogados
Conforme a N.C. Gen. Stat. 75-16.1, el tribunal puede otorgar honorarios de abogados razonables a la parte ganadora. Esto aumenta aún más la exposición financiera para las empresas que no cumplen.
Aplicación por el Fiscal General
El Fiscal General de Carolina del Norte también puede iniciar acciones de aplicación conforme al estatuto de la UDTP, buscando medidas cautelares, sanciones civiles y restitución.
Exenciones
Exención por Cumplimiento Federal
Las instituciones financieras que mantienen procedimientos de notificación de violaciones conformes a las directrices interinstitucionales federales sobre programas de respuesta ante el acceso no autorizado a información de clientes conforme a la Ley Gramm-Leach-Bliley están exentas de los requisitos estatales de notificación de violaciones, siempre que notifiquen al Fiscal General según lo requerido.
Entidades Sujetas a HIPAA
Las entidades sujetas a los requisitos de notificación de violaciones de HIPAA y que los cumplen también están exentas, siempre que notifiquen al Fiscal General.
Requisitos de Destrucción de Datos
Carolina del Norte también impone obligaciones para la destrucción de registros de información personal. Conforme a N.C. Gen. Stat. 75-64, las empresas deben tomar medidas razonables para proteger contra el acceso o uso no autorizado de información personal al destruir registros. Los métodos aceptables incluyen triturar, borrar o hacer que la información sea ilegible o indescifrable de otra manera.
Más Leyes de Carolina del Norte
- Leyes de Grabación de Reuniones con IA de Carolina del Norte
- Leyes de Pensión Alimenticia Conyugal de Carolina del Norte
- Leyes de Empleo a Voluntad de Carolina del Norte
- Leyes de Accidentes Automovilísticos de Carolina del Norte
- Leyes de Asientos para Automóvil de Carolina del Norte
- Leyes de Custodia de Menores de Carolina del Norte
- Leyes de Manutención de Menores de Carolina del Norte
- Leyes de Matrimonio de Hecho de Carolina del Norte
- Leyes sobre Deepfakes de Carolina del Norte
- Leyes de Divorcio de Carolina del Norte
- Leyes de Mordeduras de Perro de Carolina del Norte
- Leyes de Emancipación de Carolina del Norte
- Leyes de Eliminación de Antecedentes Penales de Carolina del Norte
- Leyes de Choque y Fuga de Carolina del Norte
- Leyes de Propietarios e Inquilinos de Carolina del Norte
- Leyes del Limón de Carolina del Norte
Este artículo proporciona información legal general sobre las leyes de privacidad de datos de Carolina del Norte y los requisitos de notificación de violaciones de datos. No constituye asesoría legal y no crea una relación abogado-cliente. La respuesta ante una violación de datos implica obligaciones sujetas a plazos. Consulte a un abogado calificado con licencia en Carolina del Norte para obtener orientación específica sobre su situación.
¿Afectado por una filtración de datos o una violación de privacidad biométrica?
Si sus datos personales quedaron expuestos en una filtración, o si su huella dactilar o escaneo facial se recopiló sin su consentimiento, podría ser elegible para unirse a un reclamo por compensación. Averígüelo gratis y sin compromiso.
Fuentes y referencias
- N.C. Gen. Stat. 75-65 - Protección contra Violaciones de Seguridad(ncleg.gov).gov
- N.C. Gen. Stat. 75-61 - Definiciones(ncleg.gov).gov
- Capítulo 75 Artículo 2A de Carolina del Norte - Ley de Protección contra el Robo de Identidad(ncleg.gov).gov
- Capítulo 75 Artículo 1 de Carolina del Norte - Ley de UDTP(ncleg.gov).gov
- Departamento de Justicia de Carolina del Norte - Información sobre Violaciones de Seguridad(ncdoj.gov).gov
- Departamento de Justicia de Carolina del Norte - Reportar una Violación de Seguridad(ncdoj.gov).gov