North Dakota
Leyes de Notificación de Violaciones de Datos de Dakota del Norte: Reglas y Plazos de Reporte (2026)

Dakota del Norte exige que las empresas que sufran una violación de datos notifiquen a los residentes afectados en el tiempo más expedito posible y sin demora injustificada conforme a N.D. Cent. Code 51-30. Cuando se ven afectados 250 o más residentes, el Fiscal General también debe recibir notificación.
Si su empresa maneja información personal perteneciente a residentes de Dakota del Norte, una violación de datos genera obligaciones legales específicas conforme a la ley estatal de Aviso de Violación de Seguridad para Información Personal. El N.D. Cent. Code Capítulo 51-30 establece a quién se debe notificar, qué información activa el deber de notificar y con qué rapidez se debe actuar. Promulgado originalmente en 2005, el estatuto ha sido enmendado varias veces, más notablemente en 2015 para agregar el requisito de notificación al Fiscal General y ampliar la definición de información personal.
Esta guía cubre el alcance completo de los requisitos de notificación de violaciones de datos de Dakota del Norte, incluyendo qué información personal activa la ley, a quién se debe notificar, el plazo, las sanciones de aplicación, las exenciones y cómo la ley se relaciona con el marco más amplio de privacidad de datos del estado.
Quién Debe Cumplir con la Ley de Notificación de Violaciones de Datos de Dakota del Norte
La ley de notificación de violaciones de datos de Dakota del Norte se aplica a cualquier persona que realice negocios en el estado y posea o tenga licencia sobre datos computarizados que incluyan información personal. El término "persona" abarca individuos, corporaciones, fideicomisos comerciales, sucesiones, sociedades, asociaciones y cualquier otra entidad legal.
La ley también se aplica a cualquier persona que administre datos computarizados pertenecientes a otra entidad. Si un tercero descubre una violación de los datos que administra en nombre de un propietario, debe notificar al propietario de los datos tan pronto como sea posible. El propietario de los datos asume entonces la responsabilidad de notificar a los consumidores afectados y al Fiscal General.
Qué Califica como una Violación de Seguridad
Conforme al N.D. Cent. Code 51-30-01, una violación del sistema de seguridad significa la adquisición no autorizada de datos computarizados cuando el acceso a la información personal no ha sido asegurado mediante cifrado o cualquier otro método o tecnología que haga que los archivos electrónicos, medios o bases de datos sean ilegibles o inutilizables.
El término clave es "adquisición no autorizada". El mero acceso no autorizado, sin la adquisición real de datos, no activa el estatuto.
Excepción de Buena Fe
La adquisición de buena fe de información personal por parte de un empleado o agente de la persona propietaria de los datos no constituye una violación, siempre que la información personal no se utilice para un propósito ajeno al negocio ni esté sujeta a una divulgación no autorizada adicional.
La Excepción de Puerto Seguro por Cifrado

Dakota del Norte ofrece una de las excepciones de puerto seguro por cifrado más claras entre las leyes estatales de notificación de violaciones. Si la información personal estaba protegida mediante cifrado o cualquier otro método que la haga ilegible o inutilizable, el incidente no califica como una violación y no se requiere notificación. A diferencia de otros estados, no existe una excepción que exija que la clave de cifrado haya permanecido sin comprometer.
Qué Información Personal Activa la Ley
Conforme al N.D. Cent. Code 51-30-01, información personal significa el nombre o la inicial del nombre y el apellido de una persona, combinados con cualquiera de los siguientes elementos de datos:
- Número de Seguro Social
- Número de licencia de conducir o tarjeta de identificación estatal
- Número de cuenta de institución financiera, número de tarjeta de crédito o número de tarjeta de débito, combinado con cualquier código de seguridad, código de acceso o contraseña requerido
- Fecha de nacimiento
- Apellido de soltera de la madre
- Información médica
- Información de seguro médico (número de póliza, identificación de suscriptor o cualquier identificador único utilizado por una aseguradora de salud)
- Un número de identificación asignado por un empleador, combinado con cualquier código de seguridad requerido
- Firma digitalizada u otra firma electrónica
- Número de identificación militar
La definición de información personal de Dakota del Norte es notablemente más amplia que la de muchos estados. La inclusión de números de identificación asignados por el empleador, números de identificación militar e información de seguro médico refleja enmiendas que ampliaron la ley más allá de su alcance original.
La información personal no incluye información disponible al público que haya sido puesta legalmente a disposición del público en general a partir de registros gubernamentales federales, estatales o locales.
Plazo de Notificación
Dakota del Norte exige la notificación "en el tiempo más expedito posible y sin demora injustificada". El estatuto permite demoras que sean:
- Coherentes con las necesidades legítimas de las fuerzas del orden
- Coherentes con cualquier medida necesaria para determinar el alcance de la violación
- Necesarias para restaurar la integridad del sistema de datos
No existe un plazo fijo medido en días. Sin embargo, la frase "tiempo más expedito posible" establece un estándar más alto que el de los estados que usan únicamente "sin demora injustificada".
Las fuerzas del orden pueden solicitar una demora si la notificación comprometería una investigación penal.
A Quién Se Debe Notificar
Personas Afectadas
Todo residente de Dakota del Norte cuya información personal sin cifrar haya sido adquirida por una persona no autorizada debe recibir notificación. El aviso debe incluir:
- Una descripción del incidente en términos generales
- El tipo de información personal sujeta a la violación
- Las medidas generales tomadas por la empresa para proteger la información personal contra violaciones adicionales
- Información de contacto de la empresa, incluido un número de teléfono

Fiscal General
Conforme al N.D. Cent. Code 51-30-02, se debe notificar al Fiscal General de Dakota del Norte cuando una violación afecte a 250 o más personas. La divulgación al Fiscal General debe incluir:
- La naturaleza de la violación
- El número de consumidores de Dakota del Norte afectados
- Los pasos que la entidad ha tomado para investigar y remediar
- El momento, la distribución y el contenido del aviso proporcionado a los consumidores
El umbral de 250 personas es relativamente bajo en comparación con muchos estados, lo que refleja el enfoque de Dakota del Norte de garantizar que el Fiscal General tenga visibilidad sobre violaciones más pequeñas.
Métodos de Notificación
Las empresas pueden proporcionar la notificación a través de:
- Aviso escrito enviado a la última dirección conocida de la persona
- Aviso electrónico conforme a la Ley federal de Firmas Electrónicas en el Comercio Global y Nacional (Ley E-SIGN)
- Aviso telefónico directamente a la persona afectada
Aviso Sustitutivo
El aviso sustitutivo está disponible si la empresa demuestra que:
- El costo de proporcionar el aviso excedería los $250,000, o
- La clase afectada excede las 500,000 personas, o
- La empresa no cuenta con información de contacto suficiente
El aviso sustitutivo debe incluir: aviso por correo electrónico (cuando esté disponible), publicación visible en el sitio web de la empresa y notificación a los principales medios de comunicación estatales.

Aplicación y Sanciones
La ley de notificación de violaciones de datos de Dakota del Norte es aplicada exclusivamente por el Fiscal General. Conforme al N.D. Cent. Code 51-30-07, el Fiscal General tiene todas las facultades y puede buscar todos los recursos disponibles conforme al NDCC Capítulo 51-15, el estatuto estatal de fraude al consumidor.
Sanciones
- Sanciones civiles de hasta $5,000 por infracción
- Cada falla en notificar a una persona puede constituir una infracción separada
- Medidas cautelares temporales o permanentes
- Honorarios de abogados, costos y gastos de investigación
Sin Derecho de Acción Privado
No existe un derecho de acción privado conforme a la ley de notificación de violaciones de datos de Dakota del Norte. Solo el Fiscal General puede iniciar acciones de aplicación. Las personas afectadas no pueden demandar directamente a las empresas conforme a este estatuto por fallas en la notificación de violaciones.
Exenciones
Exención por Cumplimiento de HIPAA
Toda entidad cubierta, asociado comercial o subcontratista sujeto a los requisitos de notificación de violaciones conforme a 45 CFR Parte 164, Subparte D (la Regla de Notificación de Violaciones de HIPAA) se considera en cumplimiento con la ley de Dakota del Norte, siempre que cumpla con los requisitos federales.
Exención para Instituciones Financieras
Las instituciones financieras sujetas a las directrices interinstitucionales federales de la Ley Gramm-Leach-Bliley sobre notificación de violaciones, y que las cumplen, también están exentas del cumplimiento separado del estatuto estatal.
Cumplimiento Alternativo
Conforme al N.D. Cent. Code 51-30-06, toda entidad que mantenga sus propios procedimientos de notificación como parte de una política de privacidad o seguridad de la información se considera en cumplimiento, siempre que dichos procedimientos sean coherentes con los requisitos de plazo de la ley estatal.
Obligaciones de los Administradores de Datos de Terceros
Conforme al N.D. Cent. Code 51-30-03, toda persona que administre datos computarizados pertenecientes a otra entidad debe notificar al propietario de los datos sobre cualquier violación de seguridad inmediatamente después de descubrirla. Esta obligación se suma a cualquier requisito de notificación contractual. El propietario de los datos asume entonces la responsabilidad de notificar a los consumidores afectados y al Fiscal General.
Más Leyes de Dakota del Norte
- Leyes de Grabación de Reuniones con IA de Dakota del Norte
- Leyes de Pensión Alimenticia Conyugal de Dakota del Norte
- Leyes de Empleo a Voluntad de Dakota del Norte
- Leyes de Accidentes Automovilísticos de Dakota del Norte
- Leyes de Asientos para Automóvil de Dakota del Norte
- Leyes de Custodia de Menores de Dakota del Norte
- Leyes de Manutención de Menores de Dakota del Norte
- Leyes de Matrimonio de Hecho de Dakota del Norte
- Leyes sobre Deepfakes de Dakota del Norte
- Leyes de Divorcio de Dakota del Norte
- Leyes de Mordeduras de Perro de Dakota del Norte
- Leyes de Emancipación de Dakota del Norte
- Leyes de Eliminación de Antecedentes Penales de Dakota del Norte
- Leyes de Choque y Fuga de Dakota del Norte
- Leyes de Propietarios e Inquilinos de Dakota del Norte
- Leyes del Limón de Dakota del Norte
Este artículo proporciona información legal general sobre las leyes de privacidad de datos de Dakota del Norte y los requisitos de notificación de violaciones de datos. No constituye asesoría legal y no crea una relación abogado-cliente. La respuesta ante una violación de datos implica obligaciones sujetas a plazos. Consulte a un abogado calificado con licencia en Dakota del Norte para obtener orientación específica sobre su situación.
¿Afectado por una filtración de datos o una violación de privacidad biométrica?
Si sus datos personales quedaron expuestos en una filtración, o si su huella dactilar o escaneo facial se recopiló sin su consentimiento, podría ser elegible para unirse a un reclamo por compensación. Averígüelo gratis y sin compromiso.
Fuentes y referencias
- N.D. Cent. Code Capítulo 51-30 - Aviso de Violación de Seguridad(ndlegis.gov).gov
- NDCC Capítulo 51-30 (PDF)(ndlegis.gov).gov
- Fiscal General de Dakota del Norte - Avisos de Violaciones de Datos(attorneygeneral.nd.gov).gov
- Fiscal General de Dakota del Norte - Prevención del Robo de Identidad(attorneygeneral.nd.gov).gov
- NDCC Capítulo 51-15 - Fraude al Consumidor(ndlegis.gov).gov