Oklahoma
Leyes de Privacidad de Datos de Oklahoma: OKCDPA, Notificación de Violaciones y Derechos del Consumidor (2026)

Oklahoma regula la privacidad de datos del consumidor mediante dos leyes principales: la Ley de Privacidad de Datos del Consumidor de Oklahoma (SB 546), firmada el 20 de marzo de 2026 y vigente desde el 1 de enero de 2027, y la Ley de Notificación de Violación de Seguridad (24 O.S. secciones 161-166). La OKCDPA otorga a los residentes derechos de acceso, corrección, eliminación y exclusión de la venta de datos, con aplicación por parte del Fiscal General.
Oklahoma dio un paso importante en 2026 al promulgar su primera ley integral de privacidad de datos del consumidor. El gobernador Kevin Stitt firmó el Proyecto de Ley del Senado 546 el 20 de marzo de 2026, creando la Ley de Privacidad de Datos del Consumidor de Oklahoma (OKCDPA), que entra en vigor el 1 de enero de 2027. Oklahoma se convierte en el vigésimo primer estado en promulgar un marco integral de privacidad del consumidor.
Hasta que la OKCDPA entre en vigor, los residentes y las empresas de Oklahoma dependen de un marco escalonado de protecciones estatales y federales. La Ley de Notificación de Violación de Seguridad (24 O.S. §§ 161-166), fortalecida sustancialmente por la SB 626 vigente desde el 1 de enero de 2026, rige cómo las empresas deben responder a las violaciones de datos. La Ley de Delitos Informáticos de Oklahoma (21 O.S. §§ 1951-1958) aborda la conducta penal relacionada con computadoras y datos. La Ley de Seguridad de Datos de Seguros (36 O.S. §§ 670-679), promulgada en 2024, impone estándares de ciberseguridad al sector de seguros.
La ley federal cubre gran parte del vacío restante. La HIPAA, la GLBA, la COPPA, la Ley de la FTC y la recientemente aplicada Ley TAKE IT DOWN se aplican todas a las empresas y residentes de Oklahoma. Esta guía cubre cada uno de estos marcos por turno y explica lo que exigirá la OKCDPA a partir de 2027.
Este artículo cubre las leyes de privacidad de datos tal como se aplican en Oklahoma. Para conocer las reglas de consentimiento para grabar de Oklahoma, consulte Leyes de Grabación de Oklahoma.
Ley de Privacidad de Datos del Consumidor de Oklahoma (SB 546, Vigente desde el 1 de Enero de 2027)
Oklahoma promulgó legislación integral de privacidad del consumidor cuando el gobernador Stitt firmó el Proyecto de Ley del Senado 546 el 20 de marzo de 2026. La ley fue redactada en la Cámara por el Líder de la Mayoría Josh West (R-Grove) y en el Senado por el senador Brent Howard (R-Altus). Entra en vigor el 1 de enero de 2027.

Quién Debe Cumplir
La OKCDPA se aplica a los responsables y encargados del tratamiento que realizan negocios en Oklahoma o producen productos o servicios dirigidos a los residentes de Oklahoma, y que durante un año calendario:
- Controlan o procesan los datos personales de al menos 100,000 consumidores de Oklahoma, O
- Controlan o procesan los datos personales de al menos 25,000 consumidores de Oklahoma mientras obtienen más del 50% de sus ingresos brutos de la venta de datos personales
La ley se aplica únicamente en contextos individuales y domésticos. Los contextos de empleo y comerciales quedan excluidos.
Exenciones
Las siguientes entidades están exentas de la OKCDPA:
- Agencias estatales y subdivisiones políticas
- Organizaciones sin fines de lucro
- Instituciones de educación superior
- Entidades cubiertas y asociados comerciales sujetos a la HIPAA
- Instituciones financieras y datos sujetos a la GLBA
- Agencias de informes crediticios y datos sujetos a la FCRA
- Datos sujetos a la FERPA y a la Ley de Protección de la Privacidad del Conductor
Derechos del Consumidor
Los residentes de Oklahoma tienen cinco derechos principales conforme a la OKCDPA una vez que entre en vigor:
- Derecho a confirmar y acceder: Confirmar si un responsable del tratamiento está procesando sus datos personales y obtener una copia de esos datos
- Derecho a corregir: Solicitar la corrección de datos personales inexactos
- Derecho a eliminar: Solicitar la eliminación de los datos personales que mantiene el responsable del tratamiento
- Derecho a la portabilidad de datos: Obtener una copia portátil de los datos personales en un formato que permita la transferencia a otro responsable del tratamiento
- Derecho a excluirse: Excluirse de la publicidad dirigida, la venta de datos personales y la elaboración de perfiles que respalde decisiones que produzcan efectos legales o de importancia similar
Los responsables del tratamiento deben responder a las solicitudes del consumidor dentro de 45 días. Se permite una extensión única de 45 días para las solicitudes complejas. Los consumidores pueden apelar una solicitud denegada, y los responsables del tratamiento deben proporcionar un mecanismo para dicha apelación.
Datos Sensibles
Los responsables del tratamiento deben obtener el consentimiento del consumidor antes de procesar datos personales sensibles. La OKCDPA define los datos sensibles como datos personales que revelan:
- Origen racial o étnico
- Creencias religiosas
- Diagnóstico de salud mental o física
- Orientación sexual
- Estatus de ciudadanía o inmigración
- Datos genéticos o biométricos procesados para identificar de manera única a una persona
- Datos personales recopilados de un menor conocido
- Datos de geolocalización precisa
La definición de datos biométricos excluye las fotografías físicas o digitales y las grabaciones de video, a menos que los datos se generen específicamente con el fin de identificar a una persona.
Obligaciones del Responsable y del Encargado del Tratamiento
Los responsables del tratamiento deben implementar prácticas razonables de seguridad de datos, proporcionar un aviso de privacidad claro y accesible, realizar evaluaciones de protección de datos para las actividades de alto riesgo (incluidas la publicidad dirigida, la venta de datos, cierta elaboración de perfiles y el procesamiento de datos sensibles), y establecer contratos con los encargados del tratamiento que rijan las actividades de procesamiento de datos.
Los encargados del tratamiento deben ayudar a los responsables del tratamiento a cumplir con las obligaciones de derechos del consumidor, mantener las salvaguardas de seguridad apropiadas e incluir las disposiciones contractuales requeridas en sus acuerdos con los responsables del tratamiento.
La ley no exige el reconocimiento de señales universales de preferencia de exclusión, como el Control de Privacidad Global.
Aplicación y Sanciones
El Fiscal General de Oklahoma tiene autoridad de aplicación exclusiva. No existe un derecho de acción privado conforme a la OKCDPA.
Antes de iniciar una acción de aplicación, el Fiscal General debe proporcionar al presunto infractor un aviso por escrito y un derecho permanente de subsanación de 30 días para la infracción identificada. Este período de subsanación no vence, lo que distingue a Oklahoma de estados como Connecticut y Colorado, donde los períodos de subsanación expiran.
Las sanciones civiles alcanzan hasta $7,500 por infracción. El Fiscal General mantiene un mecanismo público de quejas para los consumidores.

Ley de Notificación de Violación de Seguridad de Oklahoma (24 O.S. §§ 161-166)
La Ley de Notificación de Violación de Seguridad es la principal ley de respuesta a violaciones de Oklahoma. Promulgada originalmente en 2006, la legislatura la actualizó sustancialmente mediante el Proyecto de Ley del Senado 626, firmado el 28 de mayo de 2025, con todas las enmiendas vigentes desde el 1 de enero de 2026.
La ley se aplica a cualquier persona o entidad que sea propietaria o tenga licencia de datos informatizados que contengan información personal sobre residentes de Oklahoma.
Qué Califica como Información Personal
Información personal significa el primer nombre o la inicial del primer nombre y el apellido de un residente, combinados con uno o más de los siguientes elementos de datos no encriptados:
- Número de Seguro Social
- Número de licencia de conducir o número de tarjeta de identificación estatal
- Número de cuenta financiera, número de tarjeta de crédito o número de tarjeta de débito combinado con cualquier código de seguridad, código de acceso o contraseña requeridos
- Números de identificación únicos emitidos por el gobierno, como los números de pasaporte
- Identificadores electrónicos o credenciales que permiten el acceso a cuentas financieras, incluidos los códigos de enrutamiento combinados con contraseñas o códigos de acceso
- Datos biométricos, incluidas huellas dactilares, escaneos de retina y escaneos de iris
- Información médica e información de seguro médico
Las enmiendas de 2026 ampliaron significativamente esta definición. Antes de la SB 626, la ley cubría únicamente los números de Seguro Social, los números de licencia de conducir y los números de cuentas financieras. La adición de datos biométricos, información médica y credenciales electrónicas refleja el panorama cambiante del robo de identidad digital.
La información personal no incluye datos obtenidos legalmente de fuentes disponibles públicamente o de registros gubernamentales federales, estatales o locales puestos a disposición del público en general.
Qué Activa el Requisito de Notificación
Una violación de la seguridad de un sistema significa el acceso y la adquisición no autorizados de datos informatizados no encriptados y no redactados que comprometen la seguridad o confidencialidad de información personal.
Se aplican dos calificaciones. Primero, la adquisición de buena fe de información personal por parte de un empleado o agente de la entidad no constituye una violación, siempre que la información no se use ni esté sujeta a una divulgación no autorizada adicional. Segundo, los datos encriptados quedan excluidos del requisito de notificación, a menos que la clave de encriptación también haya sido comprometida.
Requisitos y Cronograma de Notificación
Conforme a la ley, las entidades deben proporcionar el aviso sin demora injustificada después de descubrir una violación. La ley permite un retraso razonable únicamente cuando sea necesario para determinar el alcance de la violación, restaurar la integridad del sistema o cooperar con una investigación de las fuerzas del orden.
Se debe proporcionar aviso individual a cada residente afectado de Oklahoma. El aviso debe incluir la fecha de la violación, una descripción de la información personal involucrada y las medidas que la persona puede tomar para protegerse.
Notificación al Fiscal General
La SB 626 introdujo un requisito de notificación al Fiscal General. Si una violación afecta a 500 o más residentes de Oklahoma, la entidad debe notificar al Fiscal General de Oklahoma dentro de 60 días después de que se envíen las notificaciones individuales por correo.
La notificación al Fiscal General debe incluir la fecha de la violación, la fecha en que se determinó que ocurrió la violación, la naturaleza de la violación, los tipos de información personal expuesta, el número de residentes de Oklahoma afectados y una descripción de las salvaguardas razonables vigentes al momento de la violación.
Aviso Sustitutivo
Una entidad que mantiene sus propios procedimientos de notificación como parte de una política de privacidad o seguridad de la información puede seguir esos procedimientos en su lugar, siempre que sean coherentes con los requisitos de tiempo de la ley. Las instituciones financieras que cumplen con la Guía Interagencial Federal sobre Programas de Respuesta ante el Acceso No Autorizado a Información de Clientes satisfacen los requisitos estatales.
Sanciones y Aplicación
El Fiscal General de Oklahoma o un fiscal de distrito pueden hacer cumplir las infracciones. Las sanciones incluyen daños reales y una sanción civil de hasta $150,000 por violación o serie de violaciones similares descubiertas en una sola investigación.
Una característica clave de la SB 626 es la defensa afirmativa de salvaguardas razonables. Las entidades que demuestran haber implementado salvaguardas de seguridad razonables al momento de la violación pueden reducir la sanción máxima de $150,000 a $75,000 por violación. Las salvaguardas razonables incluyen evaluaciones de riesgo periódicas, defensas técnicas y físicas por capas, programas de capacitación de empleados y un plan documentado de respuesta a incidentes.

Ley de Delitos Informáticos de Oklahoma (21 O.S. §§ 1951-1958)
La Ley de Delitos Informáticos de Oklahoma aborda la conducta penal relacionada con computadoras, sistemas informáticos y datos. Fue modificada significativamente por última vez por el Proyecto de Ley de la Cámara 1759, vigente desde el 1 de noviembre de 2021, que actualizó las disposiciones para abordar los métodos modernos de ciberdelincuencia.
Actos Prohibidos
Conforme al 21 O.S. § 1953, es ilegal, de manera intencional y sin autorización:
- Obtener o intentar obtener acceso a un sistema informático para dañar, modificar, alterar, eliminar o destruir datos
- Obtener o intentar obtener acceso para copiar o hacer uso de datos
- Usar una computadora o red para idear o ejecutar un esquema de fraude
- Obtener acceso a un sistema informático para obtener dinero, propiedad o servicios mediante pretextos falsos o fraudulentos
- Interrumpir los servicios informáticos al público
- Usar o instalar programas informáticos maliciosos (malware, virus, ransomware)
- Destruir o alterar equipo informático utilizado en la aplicación de la ley
- Usar una computadora para amenazar, intimidar u hostigar
- Usar una computadora para cometer robo de identidad
- Obtener acceso no autorizado a sistemas informáticos gubernamentales
- Interceptar comunicaciones electrónicas sin autorización
Sanciones Penales
La ley distingue entre delitos graves (felonías) y menores (misdemeanors) según el acto prohibido específico.
Las infracciones de delito grave (párrafos 1, 2, 3, 6, 7, 9, 10 y 11 del § 1953) conllevan:
- Una multa de no menos de $5,000 ni más de $100,000
- Prisión en el Penitenciario Estatal de hasta 10 años
- O ambas, multa y prisión
Las infracciones de delito menor (párrafos 4, 5 y 8 del § 1953) conllevan:
- Una multa de no más de $5,000
- Prisión en la cárcel del condado de hasta 30 días
- O ambas, multa y prisión
Recursos Civiles
Además de las sanciones penales, la ley prevé acciones civiles. Las víctimas de delitos informáticos pueden buscar recursos civiles por los daños resultantes del acceso no autorizado, el robo de datos o la interrupción del sistema.
Ley de Seguridad de Datos de Seguros de Oklahoma (36 O.S. §§ 670-679)
Promulgada en 2024, la Ley de Seguridad de Datos de Seguros establece estándares de ciberseguridad para aseguradoras, productores de seguros y otros titulares de licencia regulados por el Comisionado de Seguros de Oklahoma.
Requisitos Clave
Los titulares de licencia no exentos deben desarrollar, implementar y mantener un programa integral de seguridad de la información apropiado para el tamaño y la complejidad de sus operaciones. Los requisitos específicos incluyen:
- Programa de Seguridad de la Información: Un programa escrito con salvaguardas administrativas, técnicas y físicas para la información no pública
- Evaluaciones de Riesgo: Evaluaciones anuales para identificar amenazas y evaluar la suficiencia de las salvaguardas actuales
- Notificación de Eventos de Ciberseguridad: Los titulares de licencia deben notificar al Comisionado de Seguros de Oklahoma dentro de tres días hábiles posteriores a determinar que ocurrió un evento de ciberseguridad, cuando el evento perjudica materialmente las operaciones o involucra información no pública que afecta a 250 o más consumidores de Oklahoma
- Retención de Registros: Los registros de incidentes deben conservarse durante al menos cinco años
- Certificación Anual: Las aseguradoras domésticas de Oklahoma deben presentar un formulario de Certificación de Seguridad de Datos ante el Departamento de Seguros de Oklahoma antes del 15 de abril de cada año (la primera fecha límite fue el 1 de julio de 2025)
Exenciones
Los titulares de licencia con menos de $5 millones en ingresos brutos anuales están exentos. Las entidades que ya cumplen con los requisitos de seguridad de la información del Título V de la HIPAA o la GLBA no están obligadas a cumplir con ciertas disposiciones.
Cronograma de Cumplimiento
La ley entró en vigor el 1 de julio de 2024. Los titulares de licencia tuvieron un año para cumplir con la mayoría de los requisitos (fecha límite principal: 1 de julio de 2025). El cumplimiento de las disposiciones de controles de acceso y autenticación del 36 O.S. § 673(F) se requería dentro de dos años a partir de la fecha de vigencia (1 de julio de 2026).

Protección al Consumidor y Aplicación de la Privacidad
El Fiscal General Drummond y la Protección al Consumidor
La Unidad de Protección al Consumidor del Fiscal General de Oklahoma hace cumplir las leyes estatales y federales que protegen a los consumidores contra prácticas comerciales engañosas, injustas y fraudulentas. La Ley de Protección al Consumidor (15 O.S. §§ 751-765) prohíbe las prácticas comerciales engañosas, lo que puede incluir políticas de privacidad engañosas o el incumplimiento de los compromisos de protección de datos hechos a los consumidores.
En mayo de 2026, el Fiscal General Gentner Drummond presentó una demanda contra Temu en el Tribunal de Distrito del Condado de Cleveland conforme a la Ley de Protección al Consumidor de Oklahoma, alegando que la plataforma china de comercio electrónico recopiló en secreto la ubicación precisa, el micrófono, la cámara y la actividad de aplicaciones privadas de los usuarios sin su conocimiento ni consentimiento, y transmitió esos datos a entidades vinculadas al Partido Comunista Chino. La demanda busca una medida cautelar, sanciones civiles, restitución y desagravio por enriquecimiento injusto.
Protecciones Contra el Robo de Identidad
Oklahoma tipifica el robo de identidad como delito conforme al 21 O.S. § 1533.1, que convierte en delito grave obtener o usar de manera fraudulenta la información personal identificativa de otra persona. El período de prescripción se extiende a cinco años después del descubrimiento del delito conforme al 21 O.S. §§ 1531-1533.3, lo que otorga a los investigadores tiempo adicional para perseguir operaciones complejas de robo de datos.
Privacidad de Datos de Estudiantes
Ley de Accesibilidad, Transparencia y Responsabilidad de Datos de Estudiantes
La Ley de Accesibilidad, Transparencia y Responsabilidad de Datos de Estudiantes (70 O.S. § 3-168), promulgada en 2013, establece protecciones fundamentales para los datos de estudiantes que mantiene el Departamento de Educación del Estado de Oklahoma. Restringe el acceso a los datos únicamente a las personas cuyas funciones asignadas lo requieran, limita la transferencia de datos de estudiantes a través de las fronteras estatales, exige un plan de seguridad y auditorías periódicas, y vincula a los proveedores mediante disposiciones contractuales de privacidad y seguridad.
Cumplimiento de la FERPA
Las escuelas de Oklahoma deben cumplir con la Ley de Derechos Educativos y Privacidad Familiar (FERPA), que restringe la divulgación de registros educativos de estudiantes y otorga a los padres derechos de inspección y modificación. El Departamento de Educación del Estado de Oklahoma supervisa el cumplimiento y mantiene estándares adicionales de acceso a datos y gestión de proveedores.
Leyes Federales de Privacidad Aplicables en Oklahoma
Debido a que la OKCDPA no entra en vigor hasta el 1 de enero de 2027, los estatutos federales proporcionan gran parte de la protección de privacidad de referencia actual para los residentes de Oklahoma.
Ley TAKE IT DOWN (Pub. L. 119-12)
La Ley TAKE IT DOWN, firmada el 19 de mayo de 2025, crea un derecho federal que exige a las plataformas en línea cubiertas eliminar las imágenes íntimas no consentidas (NCII), incluidos los deepfakes generados por IA, dentro de las 48 horas posteriores a una solicitud válida de eliminación. La plataforma también debe hacer esfuerzos razonables para identificar y eliminar copias idénticas conocidas.
La FTC comenzó a aplicar las obligaciones de las plataformas de la Ley el 19 de mayo de 2026. Las plataformas cubiertas que no mantengan un proceso funcional de aviso y eliminación enfrentan sanciones civiles de más de $53,000 por infracción. El presidente de la FTC, Andrew Ferguson, envió cartas de recordatorio de cumplimiento a plataformas importantes, incluidas Alphabet, Amazon, Apple, Meta, Microsoft, Snapchat, TikTok y X, antes de la fecha límite de aplicación.
Para los residentes de Oklahoma, la Ley proporciona un recurso federal directo para la distribución de imágenes íntimas sin consentimiento, una brecha que ningún estatuto estatal específico de Oklahoma abordaba por completo.
HIPAA
La HIPAA se aplica a los proveedores de atención médica, planes de salud y cámaras de compensación de atención médica que operan en Oklahoma. Conforme al 63 O.S. § 1-502.2, la ley de Oklahoma prohíbe que una entidad cubierta use o divulgue información de salud protegida, excepto según lo autorizado por la HIPAA, incorporando efectivamente el estándar federal. El Departamento de Salud del Estado de Oklahoma está en sí mismo sujeto a los requisitos de la Regla de Privacidad y la Regla de Seguridad de la HIPAA.

Ley Gramm-Leach-Bliley (GLBA)
La GLBA exige a las instituciones financieras que operan en Oklahoma explicar sus prácticas de intercambio de información a los clientes y proteger los datos sensibles. La Ley de Seguridad de Datos de Seguros de Oklahoma reconoce explícitamente que el cumplimiento de la GLBA satisface ciertos requisitos estatales. La OKCDPA también exime de manera similar a las instituciones financieras cubiertas por la GLBA.
Ley de Protección de la Privacidad Infantil en Línea (COPPA)
La COPPA se aplica a los sitios web y servicios en línea dirigidos a menores de 13 años o que recopilan a sabiendas información personal de menores de 13 años. Las empresas de Oklahoma que operan plataformas en línea deben cumplir con los requisitos de consentimiento parental y minimización de datos de la COPPA. Conforme a la OKCDPA, los responsables del tratamiento pueden satisfacer el requisito de consentimiento parental para los datos sensibles de menores cumpliendo con la COPPA.
Sección 5 de la Ley de la FTC
La prohibición de la Ley de la FTC sobre las prácticas comerciales desleales o engañosas funciona como una ley federal de privacidad de facto. La FTC ha iniciado acciones de aplicación contra empresas por no proteger los datos de los consumidores, violar sus propias políticas de privacidad y participar en prácticas engañosas de recopilación de datos. La demanda del Fiscal General Drummond contra Temu refleja esta misma teoría a nivel estatal.
Ley de Informe Crediticio Justo (FCRA)
La FCRA rige la forma en que las agencias de informes crediticios recopilan, usan y divulgan la información crediticia del consumidor. La OKCDPA exime de sus requisitos a los datos sujetos a la FCRA. Los consumidores de Oklahoma que crean que una agencia de informes crediticios ha manejado indebidamente su información pueden presentar quejas ante la Oficina de Protección Financiera del Consumidor.
Pasos Prácticos de Cumplimiento para las Empresas de Oklahoma
Requisitos Actuales (Ya Vigentes)
- Revise y actualice los planes de respuesta a violaciones de datos para reflejar las definiciones modificadas de la Ley de Notificación de Violación de Seguridad conforme a la SB 626
- Implemente salvaguardas de seguridad razonables para calificar para la defensa afirmativa conforme al 24 O.S. § 163
- Confirme que todas las categorías de información personal añadidas por la SB 626 (biométrica, médica, seguro médico, credenciales electrónicas) estén incluidas en su alcance de respuesta a violaciones
- Establezca un proceso para notificar al Fiscal General dentro de 60 días cuando las violaciones afecten a 500 o más residentes
- Si es un titular de licencia de seguros, confirme que la certificación anual se haya presentado ante el Departamento de Seguros de Oklahoma antes del 15 de abril
- Si opera una plataforma en línea cubierta, confirme que su proceso de aviso y eliminación conforme a la Ley TAKE IT DOWN estuvo operativo antes del 19 de mayo de 2026
Preparación para la OKCDPA (Vigente desde el 1 de Enero de 2027)
- Evalúe si sus operaciones cumplen con alguno de los umbrales de aplicabilidad (umbral de 100,000 consumidores o umbral de 25,000/50% de ingresos)
- Realice un inventario de datos para mapear los datos personales recopilados, procesados y compartidos
- Redacte o actualice su aviso de privacidad para incluir las categorías de datos personales procesados, el propósito del procesamiento y los derechos del consumidor
- Construya sistemas internos para recibir y responder a las solicitudes de derechos del consumidor dentro de 45 días
- Identifique las categorías de datos sensibles que recopila y diseñe flujos de trabajo de consentimiento para esas categorías
- Confirme que los contratos con los encargados del tratamiento incluyen las obligaciones requeridas conforme a la OKCDPA
- Realice evaluaciones de protección de datos para las actividades de publicidad dirigida, venta de datos, elaboración de perfiles y procesamiento de datos sensibles
Mejores Prácticas Continuas
- Realice evaluaciones de riesgo anuales y documente los resultados
- Capacite a los empleados sobre el reconocimiento de violaciones, el manejo de datos y los procedimientos de respuesta
- Monitoree la actividad legislativa y del Fiscal General de Oklahoma para conocer requisitos adicionales
- Revise las políticas de privacidad anualmente para verificar su precisión frente a las prácticas de datos reales
Cómo Pueden los Residentes de Oklahoma Ejercer sus Derechos
Hasta el 1 de enero de 2027, los residentes de Oklahoma no cuentan con un derecho estatal integral de privacidad de datos del consumidor. Los derechos federales se aplican cuando corresponde:
- Aviso de violación de datos: Si su información personal está involucrada en una violación que afecta a 500 o más residentes de Oklahoma, la entidad debe notificarle directamente y debe reportar al Fiscal General dentro de 60 días
- HIPAA: Solicite acceso a o modificación de sus registros médicos ante cualquier entidad cubierta por la HIPAA
- COPPA: Los padres pueden solicitar la eliminación de la información personal de su hijo en plataformas en línea sujetas a la COPPA
- Quejas ante la FTC: Presente quejas sobre prácticas de datos engañosas o injustas en reportfraud.ftc.gov
- Ley TAKE IT DOWN: Solicite la eliminación de imágenes íntimas no consentidas enviando un aviso al mecanismo de reporte designado de la plataforma
A partir del 1 de enero de 2027, los consumidores de Oklahoma sujetos a la OKCDPA podrán enviar solicitudes de derechos directamente a los responsables del tratamiento cubiertos. Si un responsable del tratamiento deniega su solicitud, puede apelar, y si la apelación también es denegada, puede contactar a la oficina del Fiscal General, que mantiene un mecanismo público de quejas.
Más Leyes de Oklahoma
- Leyes de Grabación de Reuniones con IA de Oklahoma
- Leyes de Pensión Alimenticia de Oklahoma
- Leyes de Empleo a Voluntad de Oklahoma
- Leyes de Accidentes de Auto de Oklahoma
- Leyes de Asientos de Seguridad para Niños de Oklahoma
- Leyes de Custodia de los Hijos de Oklahoma
- Leyes de Manutención de los Hijos de Oklahoma
- Leyes de Matrimonio de Hecho de Oklahoma
- Leyes de Deepfake de Oklahoma
- Leyes de Divorcio de Oklahoma
- Leyes de Mordedura de Perro de Oklahoma
- Leyes de Emancipación de Oklahoma
- Leyes de Eliminación de Antecedentes de Oklahoma
- Leyes de Atropello y Fuga de Oklahoma
- Leyes de Propietarios e Inquilinos de Oklahoma
- Leyes Limón de Oklahoma
Preguntas frecuentes
¿Oklahoma tiene una ley integral de privacidad de datos del consumidor?
Sí. El gobernador Kevin Stitt firmó el Proyecto de Ley del Senado 546 el 20 de marzo de 2026, promulgando la Ley de Privacidad de Datos del Consumidor de Oklahoma. La ley entra en vigor el 1 de enero de 2027. Se aplica a las empresas que procesan datos personales de al menos 100,000 consumidores de Oklahoma, o 25,000 consumidores si más del 50% de los ingresos brutos provienen de la venta de datos personales. Otorga a los consumidores derechos de acceso, corrección, eliminación y portabilidad de sus datos personales, además del derecho a excluirse de la venta de datos, la publicidad dirigida y cierta elaboración de perfiles.
¿Cuáles son las sanciones por no notificar a los consumidores sobre una violación de datos en Oklahoma?
Conforme al 24 O.S. §§ 161-166, modificado por la SB 626, el Fiscal General de Oklahoma o un fiscal de distrito pueden buscar sanciones civiles de hasta $150,000 por violación o serie de violaciones similares descubiertas en una sola investigación. Las entidades que demuestren haber implementado salvaguardas de seguridad razonables al momento de la violación pueden invocar una defensa afirmativa que reduce la sanción máxima a $75,000. La aplicación también puede incluir daños reales sufridos por los residentes afectados.
¿Qué tipos de información personal están cubiertos por la ley de notificación de violaciones de Oklahoma?
A partir del 1 de enero de 2026, la ley de notificación de violaciones de Oklahoma cubre números de Seguro Social, números de licencia de conducir y de identificación estatal, números de cuentas financieras combinados con códigos de seguridad o contraseñas, números de identificación emitidos por el gobierno como los números de pasaporte, identificadores y credenciales electrónicas que permiten el acceso a cuentas financieras, datos biométricos como huellas dactilares y escaneos de retina, información médica e información de seguro médico. Los datos deben estar no encriptados y combinados con el nombre de la persona para activar el requisito de notificación.
¿Con qué rapidez debe una empresa de Oklahoma reportar una violación de datos?
La ley de Oklahoma exige la notificación sin demora injustificada después de descubrir una violación. El retraso solo se permite para determinar el alcance, restaurar la integridad del sistema o cooperar con las fuerzas del orden. Cuando una violación afecta a 500 o más residentes de Oklahoma, la entidad también debe notificar al Fiscal General de Oklahoma dentro de 60 días después de que se envíen las notificaciones individuales. La notificación al Fiscal General debe identificar la fecha de la violación, los tipos de información expuesta, el número de residentes afectados y las salvaguardas de seguridad vigentes en ese momento.
¿Qué derechos tendrán los residentes de Oklahoma conforme a la nueva OKCDPA?
A partir del 1 de enero de 2027, los residentes de Oklahoma podrán confirmar si una empresa cubierta está procesando sus datos personales, acceder a una copia de esos datos, solicitar la corrección de inexactitudes, solicitar la eliminación, obtener una copia portátil para transferirla a otro proveedor, y excluirse de la publicidad dirigida, la venta de datos personales y la elaboración de perfiles que produzca efectos legales o de importancia similar. Los responsables del tratamiento deben responder dentro de 45 días. El Fiscal General maneja la aplicación de manera exclusiva; no existe un derecho de acción privado.
¿Qué es la Ley TAKE IT DOWN y cómo afecta a los residentes de Oklahoma?
La Ley TAKE IT DOWN (Pub. L. 119-12), firmada el 19 de mayo de 2025, es una ley federal que exige a las plataformas en línea cubiertas eliminar las imágenes íntimas no consentidas (NCII), incluidos los deepfakes generados por IA, dentro de las 48 horas posteriores a una solicitud válida de eliminación. La FTC comenzó a aplicar las obligaciones de las plataformas el 19 de mayo de 2026. Las sanciones superan los $53,000 por infracción. Los residentes de Oklahoma que sean víctimas de la distribución de imágenes sin consentimiento pueden enviar una solicitud de eliminación directamente al mecanismo de reporte designado de la plataforma y presentar una queja ante la FTC.
¿Puedo enfrentar cargos penales por hackear una computadora en Oklahoma?
Sí. La Ley de Delitos Informáticos de Oklahoma (21 O.S. §§ 1951-1958) tipifica como delito el acceso no autorizado a computadoras. Las infracciones de delito grave, incluido el acceso no autorizado para dañar o copiar datos, la instalación de malware, el fraude informático y el robo de identidad, conllevan hasta 10 años de prisión y multas de entre $5,000 y $100,000. Las infracciones de delito menor, como interrumpir los servicios informáticos o usar una computadora para hostigar, conllevan hasta 30 días de cárcel y multas de hasta $5,000. Las víctimas también pueden buscar recursos civiles por daños.
¿Se aplica la Ley de Seguridad de Datos de Seguros de Oklahoma a mi negocio?
La Ley de Seguridad de Datos de Seguros (36 O.S. §§ 670-679) se aplica a aseguradoras, productores de seguros y otros titulares de licencia regulados por el Comisionado de Seguros de Oklahoma. Los titulares de licencia con menos de $5 millones en ingresos brutos anuales están exentos. Las entidades que ya cumplen con los requisitos de seguridad de la información del Título V de la HIPAA o la GLBA no están obligadas a cumplir con ciertas disposiciones. Los titulares de licencia cubiertos deben mantener un programa de seguridad de la información, realizar evaluaciones de riesgo anuales, notificar al Comisionado de Seguros dentro de tres días hábiles posteriores a un evento de ciberseguridad calificado y presentar una certificación anual de seguridad de datos ante el OID.
Fuentes y referencias
- Oklahoma SB 546: Ley de Privacidad de Datos del Consumidor de Oklahoma, texto inscrito(oklegislature.gov).gov
- Cámara de Oklahoma: Importante Proyecto de Ley de Privacidad de Datos Firmado como Ley (23 de marzo de 2026)(okhouse.gov).gov
- Oklahoma SB 626 Inscrito: Enmiendas a la Ley de Notificación de Violación de Seguridad(oklegislature.gov).gov
- Información del Proyecto de Ley SB 626 de Oklahoma, sesión 2025(oklegislature.gov).gov
- Estatutos de Oklahoma Título 21: Ley de Delitos Informáticos de Oklahoma (secciones 1951-1958)(oklegislature.gov).gov
- Ley de Seguridad de Datos de Seguros de Oklahoma, Departamento de Seguros de Oklahoma(oid.ok.gov).gov
- Boletín No. 2024-10 del Departamento de Seguros de Oklahoma: Cumplimiento de la Ley de Seguridad de Datos de Seguros(oid.ok.gov).gov
- Unidad de Protección al Consumidor del Fiscal General de Oklahoma(oklahoma.gov).gov
- El Fiscal General Drummond presenta demanda contra Temu por robo de datos (mayo de 2026)(oklahoma.gov).gov
- Drummond elogia la aprobación en el Senado estatal del proyecto crítico de ciberseguridad (SB 626)(oklahoma.gov).gov
- Departamento de Educación del Estado de Oklahoma: Privacidad y Seguridad de Datos de Estudiantes(oklahoma.gov).gov
- Departamento de Salud del Estado de Oklahoma: Aviso de Privacidad de la HIPAA(oklahoma.gov).gov
- La FTC Comienza a Aplicar la Ley TAKE IT DOWN (mayo de 2026)(ftc.gov).gov
- Ley TAKE IT DOWN, Biblioteca Legal de la FTC(ftc.gov).gov
- Ley TAKE IT DOWN: S. 146, texto completo del Congreso 119(congress.gov).gov
- Ley Gramm-Leach-Bliley, 15 U.S.C. sección 6801 (Cornell LII)(law.cornell.edu)
- NCSL Leyes de Notificación de Violación de Seguridad: comparación de los 50 estados(ncsl.org)
- Hunton Andrews Kurth: Oklahoma Promulga una Ley Integral de Privacidad del Consumidor (marzo de 2026)(hunton.com)
- Troutman Pepper: Oklahoma Promulga la Ley de Privacidad de Datos del Consumidor (marzo de 2026)(troutmanprivacy.com)
- WilmerHale: Oklahoma Promulga la Vigésima Ley Estatal Integral de Privacidad del País (marzo de 2026)(wilmerhale.com)