Ohio
Leyes de Privacidad de Datos de Ohio: Puerto Seguro y Derechos del Consumidor (2026)

Ohio no cuenta con una ley integral de privacidad de datos del consumidor, lo que deja a los residentes sin los derechos de acceso, eliminación y exclusión (opt-out) disponibles en más de 20 estados. La Ley de Protección de Datos de Ohio (Ohio Data Protection Act) (ORC Capítulo 1354) es un puerto seguro voluntario de ciberseguridad para las empresas. La ley de notificación de violaciones (ORC 1349.19) exige notificación dentro de 45 días.
Ohio adopta un enfoque fragmentado de la privacidad de datos. En lugar de promulgar un único estatuto integral de privacidad del consumidor, el estado depende de una combinación de leyes específicas: un puerto seguro voluntario de ciberseguridad pionero a nivel nacional, un requisito de notificación de violaciones de datos, reglas de prácticas de datos gubernamentales, estándares de seguridad de datos de seguros, y la aplicación de la protección al consumidor a través de la Ley de Prácticas de Venta al Consumidor de Ohio.
Este enfoque coloca a Ohio por detrás de la creciente mayoría de estados. A mayo de 2026, más de 20 estados han promulgado leyes integrales de privacidad del consumidor que otorgan a los residentes derechos de acceso, corrección, eliminación y exclusión de la venta de sus datos personales. Los residentes de Ohio no tienen ninguno de esos derechos frente a las empresas privadas bajo la ley estatal.
Lo que Ohio sí tiene es sustancial. La Ley de Protección de Datos de 2018 sigue siendo única a nivel nacional, y las agencias de aplicación del estado han obtenido acuerdos significativos por violaciones de datos en nombre de los residentes. Comprender qué cubre la ley, y hasta dónde no llega, es esencial tanto para las empresas que operan en Ohio como para los residentes que intentan proteger su información.
Esta guía cubre cada estatuto importante de Ohio que afecta la privacidad de datos, qué protecciones existen actualmente, cómo funciona la aplicación de la ley, qué añade la ley federal, y dónde se encuentra la legislación pendiente a mayo de 2026.
Ley de Protección de Datos de Ohio: Un Puerto Seguro Voluntario, No Derechos del Consumidor (ORC Capítulo 1354)
La Ley de Protección de Datos de Ohio (Ohio Data Protection Act), promulgada mediante el Proyecto de Ley 220 del Senado (Senate Bill 220) y firmada el 3 de agosto de 2018, se caracteriza con frecuencia de manera errónea como una ley de privacidad de Ohio. No es un estatuto de derechos del consumidor. No otorga a los residentes de Ohio el derecho a acceder, corregir o eliminar sus datos. No restringe qué datos pueden recolectar las empresas.
La ley crea un beneficio legal para las empresas. Una entidad cubierta que crea, mantiene y cumple con un programa escrito de ciberseguridad que califica obtiene una defensa afirmativa contra demandas civiles que alegan que la falta de implementación de controles razonables de seguridad de la información resultó en una violación de datos. La ley entró en vigor el 2 de noviembre de 2018 y fue la primera de su tipo en los Estados Unidos.
Qué Cubre el Puerto Seguro
Conforme a ORC 1354.02, la defensa afirmativa está disponible frente a causas de acción de responsabilidad civil (tort) que se presenten bajo la ley de Ohio y que aleguen que una ciberseguridad inadecuada causó una violación de datos. La defensa cubre tanto la información personal como la información restringida.
El puerto seguro es una defensa que se plantea en el tribunal, no una inmunidad. Una empresa que sufre una violación no puede simplemente invocarlo para evitar todas las consecuencias. Debe demostrar el cumplimiento de los requisitos estatutarios. La defensa no bloquea las acciones de aplicación regulatoria, las obligaciones de notificación de violaciones ni los reclamos derivados de otros estatutos.
Qué Requiere un Programa de Ciberseguridad que Califica
Para calificar para el puerto seguro, una entidad cubierta debe mantener un programa escrito de ciberseguridad con salvaguardas administrativas, técnicas y físicas diseñadas para lograr tres objetivos. Primero, proteger la seguridad y confidencialidad de la información personal y la información restringida. Segundo, proteger contra amenazas o peligros previstos a la seguridad o integridad de esa información. Tercero, proteger contra el acceso y la adquisición no autorizados que probablemente resulten en un riesgo material de robo de identidad u otro fraude.
El programa debe estar escalado adecuadamente. Los factores relevantes incluyen el tamaño y la complejidad de la entidad cubierta, la naturaleza y el alcance de sus actividades, la sensibilidad de la información protegida, el costo y la disponibilidad de herramientas de seguridad, y los recursos disponibles.
Marcos de Ciberseguridad Reconocidos
ORC 1354.02 enumera marcos específicos en los que una empresa puede basarse para calificar para el puerto seguro.
Marco de Ciberseguridad del NIST. El Marco para Mejorar la Ciberseguridad de la Infraestructura Crítica del Instituto Nacional de Estándares y Tecnología.
FedRAMP. El Marco de Evaluación de Seguridad del Programa Federal de Gestión de Riesgos y Autorizaciones.
Controles del CIS. Los Controles Críticos de Seguridad del Centro para la Seguridad de Internet para una Defensa Cibernética Efectiva.
ISO/IEC 27000. La familia de estándares internacionales de Sistemas de Gestión de Seguridad de la Información.
Las entidades reguladas por industria también pueden utilizar sus marcos específicos del sector. Las entidades cubiertas por HIPAA y HITECH pueden basarse en el cumplimiento de esas reglas. Las instituciones financieras reguladas por la GLBA pueden basarse en el cumplimiento del Título V. Las agencias federales y contratistas sujetos a FISMA califican mediante ese cumplimiento. Las entidades que cumplen con el PCI DSS también deben ajustarse a al menos otro de los marcos enumerados.
El Estándar de Conformidad Razonable
Conforme a ORC 1354.03, el estatuto exige una conformidad razonable, no un cumplimiento perfecto. Cuando un marco reconocido se modifica o actualiza, una entidad cubierta tiene un año a partir de la fecha de vigencia de la modificación para ajustarse a la versión actualizada.
Por Qué Esto Importa para los Consumidores
Los consumidores se benefician indirectamente de la Ley de Protección de Datos. Las empresas tienen un incentivo financiero para invertir en ciberseguridad porque los programas sólidos reducen la exposición a demandas civiles. Pero la ley no crea derechos directos para el consumidor. Los residentes de Ohio cuyos datos son mantenidos por una empresa que participa en el puerto seguro no tienen derecho a solicitar acceso a esos datos, ni derecho a eliminación, ni derecho a excluirse de la venta de datos.
Ley de Notificación de Violaciones de Datos de Ohio (ORC 1349.19)
La ley de notificación de violaciones de datos de Ohio, ORC 1349.19, establece obligaciones de notificación obligatorias para las empresas y personas que sufren una violación de seguridad que afecta a residentes de Ohio. La ley se promulgó originalmente en 2005 y ha sido actualizada desde entonces.

Definición de Información Personal
El estatuto define la información personal como el nombre de una persona combinado con uno o más de los siguientes elementos de datos, cuando no estén cifrados, redactados o de otro modo hechos ilegibles o inutilizables:
- Número de Seguro Social
- Número de licencia de conducir o número de tarjeta de identificación estatal
- Número de cuenta, número de tarjeta de crédito o de débito combinado con cualquier código de seguridad, código de acceso o contraseña requerida
El puerto seguro de cifrado es significativo. Si los datos comprometidos estaban cifrados o se hicieron ilegibles al momento de la violación, no se requiere notificación.
Definición de una Violación
Una violación de la seguridad del sistema significa el acceso y la adquisición no autorizados de datos computarizados que comprometen la seguridad o confidencialidad de la información personal poseída u otorgada bajo licencia por una persona, y que causa, se cree razonablemente que ha causado, o se cree razonablemente que causará un riesgo material de robo de identidad u otro fraude a la persona o propiedad de un residente de Ohio.
Deben ocurrir tanto el acceso como la adquisición. El acceso no autorizado al sistema por sí solo, sin evidencia de que los datos fueron realmente adquiridos, no activa las obligaciones de notificación.
Cronograma de Notificación de 45 Días
Las entidades deben notificar a los residentes afectados de Ohio en el tiempo más expedito posible, pero a más tardar 45 días después de descubrir la violación. El plazo de notificación permite tiempo para determinar el alcance de la violación, identificar a los residentes afectados y restaurar la integridad razonable del sistema.
Las agencias de aplicación de la ley pueden solicitar una demora si la notificación obstaculizaría una investigación penal. Una vez que la autoridad determina que la divulgación ya no comprometerá la investigación, se reanuda el plazo de 45 días.
Métodos de Notificación
La ley permite el aviso escrito por carta, el aviso telefónico por llamada, o el aviso electrónico cuando el método principal de comunicación de la entidad con la persona es electrónico. La notificación sustitutiva está disponible cuando el costo de la notificación directa supera los $250,000, la clase afectada supera los 500,000 residentes, o la entidad carece de información de contacto suficiente. La notificación sustitutiva requiere una combinación de notificación por correo electrónico, publicación visible en el sitio web y notificación a los principales medios de comunicación a nivel estatal.
La notificación sustitutiva para pequeñas empresas está disponible cuando la entidad tiene 10 empleados o menos y el costo de la notificación supera los $10,000. Esto permite una combinación de notificación pagada en un periódico local, publicación en el sitio web y notificación a medios locales.
Reporte de Violaciones Grandes
Cuando una violación afecta a más de 1,000 residentes de Ohio en una sola ocurrencia, la entidad también debe notificar a todas las agencias de informes al consumidor a nivel nacional sin demora injustificada. Ese aviso debe incluir el momento, la distribución y el contenido de la divulgación enviada a los residentes afectados.
Sanciones y Aplicación
El Fiscal General de Ohio tiene autoridad de aplicación conforme a ORC 1349.191. Las sanciones civiles son graduales según la duración del incumplimiento: hasta $1,000 por día durante los primeros 60 días, hasta $5,000 por día entre los días 60 y 90, y hasta $10,000 por día después de 90 días de incumplimiento intencional o imprudente. Estas sanciones requieren una acción judicial iniciada por el Fiscal General.
Exenciones
Las instituciones financieras sujetas a los requisitos federales de notificación de violaciones de datos y a la supervisión regulatoria están exentas de ORC 1349.19 (sus obligaciones de notificación de violaciones se rigen por la Ley Gramm-Leach-Bliley y las regulaciones bancarias federales). Las entidades con disposiciones contractuales preexistentes de notificación consistentes con el estatuto pueden basarse en esos acuerdos.
Notificación de Violaciones de Datos de Agencias Estatales (ORC 1347.12)
ORC 1347.12 impone obligaciones de notificación de violaciones separadas y paralelas a las agencias estatales y subdivisiones políticas de Ohio. Estas entidades gubernamentales deben divulgar cualquier violación a los residentes afectados de Ohio cuando la violación cause o se crea razonablemente que causará un riesgo material de robo de identidad u otro fraude.
Cuando una agencia gubernamental almacena datos en nombre de otra agencia, debe notificar de manera expedita a la agencia propietaria de los datos para que esta pueda cumplir con sus propias obligaciones de notificación.
La estructura de sanciones civiles para el incumplimiento de las agencias gubernamentales refleja la estructura del sector privado: los tribunales pueden imponer hasta $1,000 por día por cada día de incumplimiento intencional o imprudente.
Prácticas de Datos Gubernamentales (ORC Capítulo 1347)
ORC Capítulo 1347 regula la forma en que las agencias estatales de Ohio recolectan, mantienen, usan y divulgan información personal en sus sistemas. Este estatuto es anterior a los marcos modernos de privacidad de datos y se centra en la rendición de cuentas gubernamental.

Derechos Individuales Frente a las Agencias Estatales
El ORC Capítulo 1347 otorga a los residentes de Ohio derechos específicos con respecto a la información personal mantenida por las agencias estatales. Estos derechos no se extienden a las empresas privadas.
Derecho a saber. Cualquier persona puede solicitar que una agencia estatal o local confirme si mantiene información personal sobre esa persona en sus sistemas.
Derecho a inspeccionar. La persona, su tutor legal o un abogado autorizado puede inspeccionar toda la información personal que la agencia mantiene sobre la persona.
Derecho a corregir. Si la información personal es inexacta, la persona puede solicitar su corrección.
Derecho a impugnar. Si la agencia se niega a corregir la información, la persona puede presentar una declaración de desacuerdo que pasa a formar parte del registro.
Reglas sobre Información Personal Confidencial
Conforme a ORC 1347.15, cada agencia estatal debe adoptar normas administrativas bajo el Capítulo 119 que regulen el acceso a la información personal confidencial. Estas normas deben cubrir tanto los registros electrónicos como los de papel. Las agencias deben mantener registros de acceso y establecer procedimientos internos que prevengan la divulgación no autorizada.
Ley de Prácticas de Venta al Consumidor de Ohio: Principal Herramienta de Aplicación en Materia de Privacidad (ORC Capítulo 1345)
Sin un estatuto integral de privacidad, la Ley de Prácticas de Venta al Consumidor de Ohio (CSPA) es el principal mecanismo mediante el cual el Fiscal General de Ohio persigue violaciones de privacidad relacionadas con transacciones de consumo.
La CSPA prohíbe los actos o prácticas desleales o engañosas en relación con las transacciones de consumo. Las empresas que prometen protecciones específicas de seguridad de datos pero no las cumplen pueden enfrentar acciones de aplicación de la CSPA por prácticas engañosas. Las empresas que no divulgan adecuadamente sus prácticas de recolección de datos pueden incurrir en conducta desleal.
Acuerdo con Marriott (Octubre de 2024)
En octubre de 2024, el Fiscal General de Ohio presentó una demanda en el Tribunal de Causas Comunes del Condado de Franklin, alegando que Starwood y Marriott International violaron la CSPA al tergiversar sus prácticas de ciberseguridad, lo que permitió una violación de datos masiva que afectó a millones de consumidores. Las partes presentaron un fallo de consentimiento aprobado y registrado el 11 de octubre de 2024. Marriott acordó fortalecer sus prácticas de seguridad de datos, proporcionar ciertas protecciones al consumidor y pagar $52 millones a 49 estados participantes, con más de $1.5 millones destinados a Ohio.
Estructura de Sanciones de la CSPA
Los tribunales pueden imponer sanciones civiles de hasta $25,000 por violación de la CSPA. Las violaciones de órdenes judiciales (órdenes de restricción temporal, medidas cautelares preliminares o medidas cautelares permanentes) pueden dar lugar a sanciones de $5,000 por día. El setenta y cinco por ciento de las sanciones civiles se destina al Fondo de Aplicación de la Protección al Consumidor del estado, y el 25% a la tesorería del condado donde se presentó la acción.
Los consumidores que sufren daños por violaciones de la CSPA pueden presentar demandas privadas y recuperar la rescisión de la transacción, daños triplicados (tres veces los daños económicos reales) o $200, lo que sea mayor, más daños no económicos de hasta $5,000.
Departamento de Comercio de Ohio: Acuerdo con Bayview (Enero de 2025)
El Departamento de Comercio de Ohio, a través de su División de Instituciones Financieras, se unió a una acción de aplicación multiestatal de $20 millones contra Bayview Asset Management LLC y tres filiales (Lakeview Loan Servicing, Community Loan Servicing y Pingora Holdings), anunciada el 8 de enero de 2025.
Los reguladores financieros estatales de California, Maryland, Carolina del Norte y el estado de Washington lideraron la coalición de 52 agencias reguladoras financieras estatales. Los investigadores encontraron que las prácticas de ciberseguridad de las empresas Bayview no cumplían con los requisitos federales o estatales, y las empresas retrasaron el cumplimiento de la examinación al no responder a las solicitudes estatales de manera oportuna.
La violación afectó a aproximadamente 5.8 millones de clientes en todo el país, incluidos 138,906 residentes de Ohio. Este acuerdo representa la primera acción colectiva de aplicación multiestatal por parte de los reguladores financieros estatales dirigida específicamente a una violación de datos de una empresa hipotecaria.
Además de la sanción de $20 millones, Bayview acordó mejorar sus programas de ciberseguridad, someterse a evaluaciones independientes y proporcionar tres años de reportes adicionales a los estados participantes.

Ley de Seguridad de Datos de Seguros (ORC Capítulo 3965)
Ohio promulgó la Ley de Seguridad de Datos de Seguros mediante el Proyecto de Ley 273 del Senado, vigente desde el 20 de marzo de 2019. Esta ley, basada en la Ley Modelo de Seguridad de Datos de Seguros de la NAIC, impone requisitos específicos de ciberseguridad a los titulares de licencias de seguros que operan en Ohio.
Requisitos del Programa
Los titulares de licencia deben desarrollar, implementar y mantener un programa integral y escrito de seguridad de la información con salvaguardas administrativas, técnicas y físicas que protejan la información no pública. El programa debe basarse en una evaluación de riesgos que identifique amenazas internas y externas previsibles, evalúe la probabilidad y el daño potencial de esas amenazas, evalúe la suficiencia de las salvaguardas existentes e implemente controles apropiados.
Notificación de Violaciones para Compañías de Seguros
Los titulares de licencia de seguros deben notificar al Superintendente de Seguros de Ohio tan pronto como sea posible, pero a más tardar tres días hábiles después de determinar que ha ocurrido un evento de ciberseguridad, cuando Ohio sea el estado de domicilio del titular de la licencia, o cuando el evento tenga una probabilidad razonable de perjudicar materialmente a un consumidor o a una parte material de las operaciones del titular de la licencia.
Equivalencia de Cumplimiento con HIPAA
Un titular de licencia que cumple con las reglas de privacidad y seguridad de HIPAA (45 C.F.R. Partes 160 y 164) se considera que cumple con los requisitos del ORC Capítulo 3965, con excepción de las disposiciones de notificación. Las entidades que cumplen con HIPAA aún deben seguir las reglas de notificación de violaciones específicas de seguros de Ohio.
Retención de Registros
Los titulares de licencia deben mantener todos los registros, cronogramas y datos que respalden su certificado de cumplimiento durante cinco años. La documentación de las áreas de mejora material debe estar disponible para inspección por parte del Departamento de Seguros de Ohio.
Privacidad de Datos Estudiantiles (ORC 3319.321 y FERPA)
ORC 3319.321 regula el uso administrativo de los registros de las escuelas públicas. Los registros estudiantiles que contienen información personalmente identificable, distinta de la información de directorio designada, requieren el consentimiento por escrito de un padre, tutor o custodio antes de su divulgación. Esto se alinea con los requisitos federales de la Ley de Derechos Educativos y Privacidad Familiar (FERPA) y los complementa.
La información de directorio puede divulgarse conforme a las pautas de FERPA, pero los padres conservan el derecho de excluirse (opt-out) de la divulgación de información de directorio. Cuando un padre residencial presenta una orden judicial que limita el acceso de un padre no residencial a los registros estudiantiles, el encargado de los registros debe cumplir con esas limitaciones.

Protecciones contra el Robo de Identidad y el Fraude
Estatuto Penal de Fraude de Identidad (ORC 2913.49)
ORC 2913.49 establece el fraude de identidad como un delito grave en Ohio. La gravedad del delito depende del daño financiero causado.
- Delito base: delito grave de quinto grado
- Pérdidas de $1,000 a $7,500: delito grave de cuarto grado
- Pérdidas de $7,500 a $150,000: delito grave de tercer grado
- Pérdidas de $150,000 o más cuando la víctima pertenece a una clase protegida: delito grave de primer grado
Restricciones del Número de Seguro Social (ORC 1349.17)
ORC 1349.17 restringe el registro de números de Seguro Social, números de tarjetas de crédito y números de teléfono durante las transacciones de consumo. Las empresas involucradas en transacciones con tarjetas de crédito no pueden registrar el número de Seguro Social de un consumidor como parte de ese proceso de transacción.
Ley de Privacidad de Ohio (HB 801, 136.ª Asamblea General): Legislación Pendiente de Alcance Limitado
El Proyecto de Ley 801 de la Cámara (House Bill 801), presentado por la representante Russo el 27 de marzo de 2026 y remitido al Comité de Tecnología e Innovación de la Cámara el 13 de mayo de 2026, promulgaría la sección 149.61 del Código Revisado de Ohio y se denomina la Ley de Privacidad de Ohio.
El alcance del HB 801 es limitado. El proyecto se dirige a las entidades del gobierno estatal, prohibiéndoles recolectar, registrar o compartir la información de identificación o los datos personales de una persona con entidades fuera del estado, salvo que la ley lo exija de otro modo o esté permitido para las operaciones gubernamentales. No es un estatuto integral de privacidad del consumidor que otorgue derechos individuales frente a empresas privadas.
El HB 801 no debe confundirse con los marcos más amplios de privacidad del consumidor promulgados en California, Virginia, Colorado o Texas. Aborda una preocupación específica sobre el intercambio de datos de residentes por parte del gobierno estatal entre estados, no el espectro completo de derechos de datos del consumidor.
A mayo de 2026, el proyecto permanece pendiente ante el Comité de Tecnología e Innovación de la Cámara, sin audiencias programadas anunciadas.
Los Intentos Fallidos de Ohio de Legislación Integral de Privacidad
Ohio ha realizado múltiples intentos de aprobar legislación integral de privacidad del consumidor. Ninguno ha tenido éxito.
HB 376 (134.ª Asamblea General, 2021)
El Proyecto de Ley 376 de la Cámara (House Bill 376) se presentó durante la 134.ª Asamblea General y habría establecido la Ley de Privacidad Personal de Ohio, con derechos de datos para los consumidores de Ohio. El proyecto fue reasignado al Comité de Reglas y Referencia en febrero de 2022 y murió sin avanzar a una votación en el pleno.
HB 345 (135.ª Asamblea General, 2023)
El Proyecto de Ley 345 de la Cámara (House Bill 345) se presentó durante la 135.ª Asamblea General el 29 de noviembre de 2023 y habría promulgado la Ley de Privacidad Personal de Ohio, estableciendo derechos del consumidor similares a los de California, Virginia y Colorado. El proyecto fue remitido al Comité de Supervisión Gubernamental en diciembre de 2023 y murió en comité.
Ambos proyectos se habrían aplicado a las empresas que realizan negocios en Ohio y que tenían ingresos brutos anuales superiores a $25 millones, procesaban datos de 100,000 o más consumidores, u obtenían más del 50% de sus ingresos brutos de la venta de datos mientras procesaban datos de 25,000 o más consumidores. Ambos habrían otorgado al Fiscal General autoridad exclusiva de aplicación.
A mayo de 2026, ningún proyecto de ley integral de privacidad del consumidor ha avanzado en la 136.ª Asamblea General.
Cómo se Compara Ohio con Otros Estados
El enfoque fragmentado de Ohio lo coloca por detrás de los estados con leyes integrales de privacidad. A mayo de 2026, más de 20 estados han promulgado estatutos integrales de privacidad de datos del consumidor.
Los residentes de California tienen los derechos más amplios del país bajo la CCPA y la CPRA, aplicados por la Agencia de Protección de la Privacidad de California, dedicada exclusivamente a ese fin. Virginia, Colorado, Connecticut, Texas y más de 15 otros estados otorgan a los consumidores derechos explícitos de acceso, eliminación, corrección y exclusión de la venta y el intercambio de datos personales.
Los residentes de Ohio no tienen ninguno de esos derechos frente a las empresas privadas bajo la ley estatal. Los derechos disponibles bajo el ORC Capítulo 1347 se aplican únicamente a la información personal mantenida por las agencias del gobierno estatal.
El puerto seguro de la Ley de Protección de Datos de Ohio sigue siendo único a nivel nacional. Ningún otro estado ofrece la misma estructura de incentivos voluntarios de ciberseguridad para las empresas. El enfoque refleja una filosofía favorable a las empresas que utiliza incentivos legales en lugar de mandatos punitivos.
Marco Federal: Qué se Aplica a los Residentes de Ohio
Debido a que Ohio carece de una ley integral de privacidad del consumidor, los estatutos federales desempeñan un papel fundamental en la protección de datos para los residentes de Ohio en sectores específicos.

HIPAA
La Ley de Portabilidad y Responsabilidad del Seguro Médico protege la información de salud mantenida por entidades cubiertas, incluidos hospitales, aseguradoras de salud y proveedores de atención médica que operan en Ohio. La Regla de Privacidad, la Regla de Seguridad y la Regla de Notificación de Violaciones de HIPAA establecen protecciones básicas para la información de salud protegida a nivel nacional.
GLBA
La Ley Gramm-Leach-Bliley exige que las instituciones financieras que operan en Ohio proporcionen avisos de privacidad que expliquen sus prácticas de intercambio de información e implementen salvaguardas que protejan la información financiera del consumidor. Las entidades reguladas por la GLBA están exentas de la ley de notificación de violaciones de Ohio porque operan bajo requisitos federales equivalentes.
FERPA
La Ley de Derechos Educativos y Privacidad Familiar protege los registros educativos estudiantiles en instituciones que reciben fondos federales. Combinado con ORC 3319.321, esto crea un sistema de protección de dos capas para los registros educativos de los estudiantes de Ohio.
COPPA
La Ley de Protección de la Privacidad Infantil en Línea protege la información personal de los niños menores de 13 años recolectada por sitios web y servicios en línea. La Comisión Federal de Comercio hace cumplir la COPPA a nivel nacional, incluso para los servicios a los que acceden los niños de Ohio. La FTC actualizó las reglas de COPPA en 2024 con protecciones más sólidas para los datos infantiles en plataformas educativas y en línea.
FCRA
La Ley de Informe Justo de Crédito regula la forma en que las agencias de informes al consumidor recolectan, usan y comparten la información crediticia del consumidor. Los residentes de Ohio pueden acceder a informes crediticios gratuitos, impugnar información inexacta y colocar alertas de fraude a través del marco de la FCRA, independientemente de la ley estatal.
Sección 5 de la Ley de la FTC
La Comisión Federal de Comercio hace cumplir la Sección 5 de la Ley de la FTC contra actos o prácticas desleales o engañosas que afecten el comercio. La FTC ha utilizado esta autoridad para iniciar acciones de aplicación contra empresas que tergiversan sus prácticas de seguridad de datos o que no implementan una seguridad razonable, proporcionando un respaldo federal para los residentes de Ohio.
TAKE IT DOWN Act (Pub. L. 119-12)
La TAKE IT DOWN Act, promulgada el 19 de mayo de 2025, tipifica como delito la publicación de representaciones visuales íntimas no consentidas, incluidos los deepfakes generados por IA. La Ley exige que las plataformas en línea cubiertas establezcan procesos para que los usuarios soliciten el retiro de imágenes íntimas no consentidas y para que retiren esas imágenes (y las copias idénticas conocidas) dentro de las 48 horas posteriores a un aviso válido.
La FTC es la agencia de aplicación. Las obligaciones de retiro de contenido por parte de las plataformas entraron en vigor el 19 de mayo de 2026, y las plataformas que no cumplan enfrentan sanciones civiles de hasta $53,088 por violación. Los residentes de Ohio que sean víctimas de la distribución de imágenes íntimas no consentidas pueden presentar solicitudes de retiro directamente a las plataformas cubiertas bajo esta ley federal.
Ley Estadounidense de Derechos de Privacidad (APRA): No Fue Aprobada
La Ley Estadounidense de Derechos de Privacidad, un borrador bipartidista y bicameral publicado en abril de 2024, habría establecido un marco federal integral de privacidad. El proyecto no avanzó a una votación en el pleno del 118.º Congreso y expiró cuando ese Congreso terminó en enero de 2025. A mayo de 2026, la APRA no ha sido reintroducida en el 119.º Congreso. Los residentes de Ohio no deben anticipar ninguna legislación federal integral de privacidad en el corto plazo.
Orientación Práctica: Empresas que Operan en Ohio
Las empresas que manejan información personal de residentes de Ohio enfrentan varias obligaciones concretas incluso sin una ley integral de privacidad.
Paso 1: Implemente un programa escrito de ciberseguridad. Adopte y documente un programa que se ajuste razonablemente a uno de los marcos reconocidos en ORC 1354.02. Esta es la condición para el puerto seguro de la Ley de Protección de Datos.
Paso 2: Establezca un plan de respuesta a violaciones. Documente su procedimiento para identificar, evaluar y responder a las violaciones de datos. Incorpore el plazo de notificación de 45 días exigido por ORC 1349.19 y planifique para el umbral de 1,000 residentes que activa la notificación a las agencias de informes al consumidor.
Paso 3: Audite sus divulgaciones de privacidad. Bajo la CSPA, las tergiversaciones sobre las prácticas de seguridad de datos son procesables. Asegúrese de que su política de privacidad y sus comunicaciones al consumidor reflejen con precisión sus prácticas reales de manejo de datos y seguridad.
Paso 4: Evalúe las obligaciones federales superpuestas. Si maneja datos de salud, datos financieros, registros educativos o datos infantiles, identifique sus obligaciones específicas bajo HIPAA, GLBA, FERPA o COPPA. Estas operan de manera independiente de la ley estatal.
Paso 5: Monitoree los desarrollos legislativos de Ohio. El HB 801 está pendiente y concierne al intercambio de datos del gobierno estatal, no a las empresas privadas. Sin embargo, la 136.ª Asamblea General podría introducir legislación más amplia de privacidad del consumidor. El fracaso de Ohio en aprobar el HB 376 y el HB 345 no impide futuros intentos.
Paso 6: Verifique el cumplimiento de la TAKE IT DOWN Act. Si opera una plataforma en línea donde los usuarios comparten contenido, evalúe si es una plataforma cubierta bajo la Ley y si su proceso de aviso y retiro cumple con el requisito de 48 horas.
Cómo Pueden los Residentes de Ohio Ejercer los Derechos Existentes
Los residentes de Ohio tienen menos herramientas de autoayuda que los residentes de estados con leyes integrales de privacidad. Sin embargo, existen varias vías disponibles.
Datos mantenidos por agencias estatales. Bajo el ORC Capítulo 1347, solicite confirmación, inspección y corrección de la información personal mantenida por cualquier agencia estatal o subdivisión política de Ohio. Contacte directamente a la oficina de registros de la agencia correspondiente.
Datos crediticios y financieros. Bajo la FCRA, solicite sus informes crediticios anuales gratuitos en AnnualCreditReport.com, impugne la información inexacta ante las agencias de informes al consumidor, y coloque alertas de fraude o congelamientos de crédito si sospecha de robo de identidad.
Datos de salud. Bajo HIPAA, solicite acceso y copias de sus registros médicos a los proveedores de atención médica cubiertos. También puede solicitar un registro de las divulgaciones y restringir ciertos usos de su información.
Notificación de violaciones de datos. Si una empresa con la que hace negocios sufre una violación, la ley de Ohio exige la notificación dentro de 45 días. Si cree que la notificación se retrasó injustificadamente, puede presentar una queja ante la Sección de Protección al Consumidor del Fiscal General de Ohio.
Quejas de privacidad federales. Presente quejas ante la FTC en ReportFraud.ftc.gov por prácticas de datos engañosas, ante el CFPB por problemas de datos financieros, y ante la FTC por violaciones de COPPA relacionadas con datos infantiles.
Imágenes íntimas no consentidas. Bajo la TAKE IT DOWN Act, presente una solicitud de retiro directamente a la plataforma. Si la plataforma no actúa dentro de las 48 horas, puede reportar las violaciones a la FTC.
Más Leyes de Ohio
- Leyes de Grabación de Reuniones con IA de Ohio
- Leyes de Pensión Conyugal de Ohio
- Leyes de Empleo a Voluntad de Ohio
- Leyes de Accidentes Automovilísticos de Ohio
- Leyes de Sillas de Auto para Niños de Ohio
- Leyes de Custodia de Menores de Ohio
- Leyes de Manutención Infantil de Ohio
- Leyes de Matrimonio de Hecho de Ohio
- Leyes sobre Deepfakes de Ohio
- Leyes de Divorcio de Ohio
- Leyes sobre Mordeduras de Perro de Ohio
- Leyes de Emancipación de Ohio
- Leyes de Eliminación de Antecedentes Penales de Ohio
- Leyes sobre Accidentes con Fuga de Ohio
- Leyes de Propietarios e Inquilinos de Ohio
- Leyes del Limón de Ohio
Este artículo tiene fines exclusivamente informativos y no constituye asesoría legal. Las leyes de privacidad de datos cambian con frecuencia, y las interpretaciones de aplicación evolucionan con el tiempo. Consulte a un abogado con licencia en Ohio para obtener asesoría sobre su situación específica. Última revisión: mayo de 2026.
Preguntas frecuentes
¿Ohio tiene una ley integral de privacidad de datos del consumidor?
No. A mayo de 2026, Ohio no tiene una ley integral de privacidad de datos del consumidor. Los residentes de Ohio carecen de los amplios derechos de acceso, eliminación, corrección y exclusión disponibles en California, Virginia, Colorado, Texas y más de 20 otros estados. Ohio ha intentado aprobar la Ley de Privacidad Personal de Ohio mediante el HB 376 (2021) y el HB 345 (2023), ambos fallidos en comité. Un nuevo proyecto, el HB 801 (136.ª Asamblea General), está pendiente, pero se enfoca de manera limitada en el intercambio de datos del gobierno estatal, no en los derechos del consumidor.
¿Qué es la Ley de Protección de Datos de Ohio y protege a los consumidores?
La Ley de Protección de Datos de Ohio (ORC Capítulo 1354, vigente desde el 2 de noviembre de 2018) es una ley de puerto seguro voluntario para las empresas. Proporciona una defensa afirmativa contra demandas civiles cuando una empresa mantiene un programa escrito de ciberseguridad que califica y que se ajusta a un marco reconocido como NIST, ISO/IEC 27000 o los Controles del CIS. NO otorga a los consumidores ningún derecho de acceso, corrección, eliminación ni exclusión del uso de sus datos personales. Los residentes de Ohio no reciben ningún beneficio directo de la ley, más allá del efecto indirecto de fomentar una mejor ciberseguridad empresarial.
¿Con qué rapidez deben las empresas de Ohio notificar a los residentes después de una violación de datos?
Conforme a ORC 1349.19, las empresas deben notificar a los residentes afectados de Ohio lo más rápido posible, pero a más tardar 45 días después de descubrir la violación. La notificación puede ser por carta escrita, teléfono o medios electrónicos. Cuando una violación afecta a más de 1,000 residentes de Ohio, la entidad también debe notificar a todas las agencias de informes al consumidor a nivel nacional. Las autoridades pueden solicitar una demora si la notificación comprometería una investigación penal.
¿Qué es el HB 801 de Ohio y es una ley de privacidad del consumidor?
El HB 801 de Ohio, presentado el 27 de marzo de 2026 y remitido al Comité de Tecnología e Innovación de la Cámara el 13 de mayo de 2026, promulgaría la sección 149.61 del ORC como la Ley de Privacidad de Ohio. No es un estatuto integral de privacidad del consumidor. El proyecto restringiría a las entidades del gobierno estatal de Ohio de recolectar, registrar o compartir datos personales con entidades fuera del estado, salvo que la ley lo exija o esté permitido para operaciones gubernamentales. Aborda las prácticas de datos gubernamentales, no los derechos de los consumidores frente a las empresas privadas.
¿Qué sanciones se aplican a las violaciones de privacidad de datos en Ohio?
Las sanciones dependen del estatuto. Bajo la ley de notificación de violaciones (ORC 1349.19), las sanciones civiles por incumplimiento intencional o imprudente alcanzan hasta $1,000 por día durante los primeros 60 días, $5,000 por día entre los días 60 y 90, y $10,000 por día después de 90 días. Bajo la Ley de Prácticas de Venta al Consumidor (ORC Capítulo 1345), los tribunales pueden imponer sanciones civiles de hasta $25,000 por violación y $5,000 por día por violaciones de órdenes judiciales. Los titulares de licencia de seguros bajo ORC Capítulo 3965 tienen su propia estructura de sanciones aplicada por el Departamento de Seguros de Ohio.
¿Qué leyes federales protegen la privacidad de datos de los residentes de Ohio?
Varias leyes federales cubren brechas significativas en la cobertura estatal de Ohio. HIPAA protege la información de salud mantenida por entidades cubiertas. La Ley Gramm-Leach-Bliley cubre a las instituciones financieras. FERPA protege los registros educativos estudiantiles. COPPA cubre la recolección de datos infantiles en línea. La Sección 5 de la Ley de la FTC se aplica a prácticas de datos desleales o engañosas. La TAKE IT DOWN Act (obligaciones de plataforma vigentes desde el 19 de mayo de 2026) exige el retiro de imágenes íntimas no consentidas dentro de las 48 horas. La Ley Estadounidense de Derechos de Privacidad no fue aprobada y no ha sido reintroducida.
¿Qué significó el acuerdo de Bayview para los residentes de Ohio?
El Departamento de Comercio de Ohio se unió a un acuerdo multiestatal de $20 millones con Bayview Asset Management LLC y sus filiales, anunciado el 8 de enero de 2025. Una violación de datos en esas empresas hipotecarias afectó a 138,906 residentes de Ohio. El acuerdo exigió que Bayview mejorara sus prácticas de ciberseguridad, se sometiera a evaluaciones independientes y proporcionara a los consumidores afectados servicios de monitoreo de crédito. La acción fue liderada por reguladores financieros estatales de California, Maryland, Carolina del Norte y el estado de Washington como una coalición multiestatal.
¿Pueden los residentes de Ohio excluirse (opt-out) de la venta de datos a terceros?
No bajo la ley estatal de Ohio. No existe ningún estatuto de Ohio que otorgue a los residentes el derecho a excluirse de la venta o el intercambio de sus datos personales por parte de empresas privadas. Los residentes de Ohio pueden limitar el intercambio de datos en sectores regulados federalmente: pueden excluirse de cierto intercambio de información por parte de instituciones financieras bajo la GLBA, y pueden indicar a los proveedores de atención médica que no compartan información con fines de marketing bajo HIPAA. Los derechos integrales de exclusión requieren una ley federal (que actualmente no existe) o la promulgación de un estatuto integral de privacidad del consumidor de Ohio.
Fuentes y referencias
- Código Revisado de Ohio Capítulo 1354 -- Ley de Protección de Datos de Ohio(codes.ohio.gov).gov
- Código Revisado de Ohio Sección 1354.02 -- Requisitos del Puerto Seguro(codes.ohio.gov).gov
- Código Revisado de Ohio Sección 1354.03 -- Conformidad Razonable(codes.ohio.gov).gov
- Código Revisado de Ohio Sección 1349.19 -- Notificación de Violación de Datos(codes.ohio.gov).gov
- Código Revisado de Ohio Sección 1349.191 -- Investigación de Incumplimiento(codes.ohio.gov).gov
- Código Revisado de Ohio Sección 1349.192 -- Sanciones(codes.ohio.gov).gov
- Código Revisado de Ohio Capítulo 1347 -- Prácticas de Datos Gubernamentales(codes.ohio.gov).gov
- Código Revisado de Ohio Sección 1347.12 -- Notificación de Violación de Agencias Estatales(codes.ohio.gov).gov
- Código Revisado de Ohio Sección 1347.15 -- Reglas de Información Personal Confidencial(codes.ohio.gov).gov
- Código Revisado de Ohio Capítulo 1345 -- Ley de Prácticas de Venta al Consumidor(codes.ohio.gov).gov
- Fiscal General de Ohio -- Reporte Anual de Protección al Consumidor 2024(ohioattorneygeneral.gov).gov
- Fiscal General de Ohio -- Leyes de Protección al Consumidor(ohioattorneygeneral.gov).gov
- Proyecto de Ley 220 del Senado -- 132.ª Asamblea General(legislature.ohio.gov).gov
- Código Revisado de Ohio Capítulo 3965 -- Ley de Seguridad de Datos de Seguros(codes.ohio.gov).gov
- Código Revisado de Ohio Sección 3965.04 -- Notificación de Violaciones de Seguros(codes.ohio.gov).gov
- Código Revisado de Ohio Sección 3319.321 -- Protección de Registros Estudiantiles(codes.ohio.gov).gov
- Código Revisado de Ohio Sección 2913.49 -- Fraude de Identidad(codes.ohio.gov).gov
- Código Revisado de Ohio Sección 1349.17 -- Restricciones de SSN y Tarjetas de Crédito(codes.ohio.gov).gov
- Proyecto de Ley 376 de la Cámara -- Ley de Privacidad Personal de Ohio (134.ª Asamblea General)(legislature.ohio.gov).gov
- Proyecto de Ley 345 de la Cámara -- Ley de Privacidad Personal de Ohio (135.ª Asamblea General)(legislature.ohio.gov).gov
- Marco de Ciberseguridad del NIST(nist.gov).gov
- FedRAMP(fedramp.gov).gov
- FTC -- Regla de COPPA(ftc.gov).gov
- Proyecto de Ley 801 de la Cámara - Ley de Privacidad de Ohio (136.ª Asamblea General)(legislature.ohio.gov).gov
- Departamento de Comercio de Ohio - Acuerdo Multiestatal de $20M con Bayview (Enero de 2025)(com.ohio.gov).gov
- Fiscal General de Ohio - Leyes de Protección al Consumidor(ohioattorneygeneral.gov).gov
- FTC - Aplicación de la TAKE IT DOWN Act (Mayo de 2026)(ftc.gov).gov
- FTC - Página del Estatuto de la TAKE IT DOWN Act(ftc.gov).gov
- IAPP - Análisis: la Ley de Protección de Datos de Ohio(iapp.org)