Oregon
Leyes de Notificación de Violación de Datos de Oregón: Reglas de Reporte y Plazos (2026)

Según ORS 646A.604, Oregón exige que las empresas notifiquen a los consumidores afectados por una violación de datos tan pronto como sea posible y a más tardar 45 días después del descubrimiento. El Fiscal General de Oregón también debe ser notificado cuando una violación afecta a 250 o más residentes. Las sanciones pueden llegar a $500,000 por una infracción continua.
Si su empresa maneja información personal perteneciente a residentes de Oregón, una violación de datos activa obligaciones legales específicas bajo la Ley de Protección de Información del Consumidor de Oregón. ORS 646A.600 a 646A.628 establece quién debe ser notificado, qué información activa el deber y con qué rapidez debe actuar. Promulgada originalmente en 2007 y reforzada significativamente mediante el Proyecto de Ley del Senado 601 (2015), la ley de Oregón se destaca por su amplia definición de información personal, su estricto plazo de notificación de 45 días y su requisito independiente de mantener salvaguardas de seguridad razonables.
Esta guía cubre el alcance completo de los requisitos de notificación de violación de datos de Oregón, incluyendo qué información personal activa la ley, quién debe ser notificado, el plazo, las sanciones de cumplimiento, las exenciones y cómo la ley se conecta con el marco de privacidad de datos más amplio del estado.

Quién debe cumplir con la ley de notificación de violación de datos de Oregón
La ley de notificación de violación de datos de Oregón se aplica a cualquier persona que posea, mantenga o de otro modo tenga en su poder datos que incluyan información personal de un consumidor y que se utilicen en el curso del negocio, vocación, ocupación o actividades voluntarias de esa persona. Esto abarca una amplia gama de entidades, incluyendo empresas con fines de lucro, organizaciones sin fines de lucro y organizaciones de voluntariado.
La ley también se aplica a cualquier persona que mantenga información personal en nombre de otra entidad. Si un tercero que mantiene los datos descubre una violación, debe notificar al propietario de los datos tan pronto como sea posible. El propietario de los datos entonces asume la obligación principal de notificar a los consumidores afectados y a los reguladores.
La ley de Oregón se aplica a empresas ubicadas fuera del estado si poseen datos pertenecientes a residentes de Oregón.
Qué califica como una violación de seguridad
Según ORS 646A.602, una violación de seguridad significa la adquisición no autorizada de datos computarizados que compromete materialmente la seguridad, confidencialidad o integridad de la información personal que una persona mantiene o posee.
El umbral de "compromete materialmente" significa que no todo acceso no autorizado activa la notificación. El acceso debe generar un impacto significativo en la seguridad o confidencialidad de los datos.
Excepción de buena fe
La adquisición de buena fe de información personal por parte de un empleado o agente de la persona para los fines del negocio de esa persona no constituye una violación, siempre que la información personal no se use para un propósito no autorizado y no esté sujeta a divulgación adicional no autorizada.
El puerto seguro de cifrado
Oregón proporciona un puerto seguro de cifrado condicional. Los datos cifrados o redactados no activan la notificación, a menos que la clave de cifrado también haya sido adquirida durante la violación. Si tanto los datos cifrados como la clave se ven comprometidos, el puerto seguro no aplica y se requiere notificación.
Esta es una distinción crítica respecto a los estados que ofrecen un puerto seguro de cifrado incondicional. Las empresas no deben asumir que el cifrado por sí solo elimina las obligaciones de notificación.

Qué información personal activa la ley
Oregón tiene una de las definiciones más amplias de información personal entre las leyes estatales de notificación de violaciones. Según ORS 646A.602, información personal significa el primer nombre o la inicial del primer nombre y el apellido de un consumidor en combinación con cualquiera de los siguientes elementos de datos, cuando no hayan sido inutilizados mediante cifrado, redacción u otros métodos:
- Número de Seguro Social
- Número de licencia de conducir o número de tarjeta de identificación estatal
- Número de pasaporte u otro número de identificación emitido por Estados Unidos
- Número de cuenta financiera, número de tarjeta de crédito o número de tarjeta de débito, en combinación con cualquier código de seguridad requerido
- Datos biométricos (huellas dactilares, escaneos de retina, imágenes de iris u otros datos biológicos únicos utilizados para autenticar la identidad)
- Número de póliza de seguro médico o número de identificación de suscriptor
- Información médica (cualquier información sobre el historial médico o la condición mental o física de un consumidor)
- Datos provenientes de mediciones automáticas de las características físicas de un consumidor (como una imagen de una huella dactilar, retina o iris) utilizados para autenticar la identidad del consumidor
Además, Oregón ofrece un activador independiente: cualquiera de los elementos de datos anteriores, incluso sin un nombre, califica como información personal si permitiera a una persona cometer fraude de identidad.
La información personal no incluye información contenida en registros gubernamentales federales, estatales o locales (aparte de los números de Seguro Social) que se pone legalmente a disposición del público.
Plazo de notificación
Oregón impone un plazo firme de 45 días. Según ORS 646A.604, la notificación debe proporcionarse a los consumidores afectados tan pronto como sea posible, pero a más tardar 45 días después de descubrir o recibir notificación de la violación.
El plazo de 45 días comienza a partir de la fecha de descubrimiento, no de la fecha en que ocurrió la violación. No existe una extensión general para fines de investigación.
Retraso por aplicación de la ley
La notificación puede retrasarse si una agencia de aplicación de la ley determina que la notificación impediría una investigación criminal o pondría en riesgo la seguridad nacional. Una vez que la agencia de aplicación de la ley determine que la notificación ya no comprometerá la investigación, la entidad debe proporcionar la notificación tan pronto como sea posible.
Quién debe ser notificado
Personas afectadas
Todo consumidor de Oregón cuya información personal haya sido objeto de una violación de seguridad debe recibir notificación. El aviso debe incluir:
- Una descripción del incidente en términos generales
- La fecha aproximada de la violación
- El tipo de información personal afectada por la violación
- Información de contacto de la persona que proporciona la notificación
- Información de contacto de la Comisión Federal de Comercio y del Fiscal General de Oregón
- Recomendación al consumidor de reportar cualquier sospecha de robo de identidad a las autoridades
Fiscal General
La División de Protección al Consumidor del Departamento de Justicia de Oregón debe ser notificada cuando una violación afecta a 250 o más consumidores de Oregón. La notificación al Fiscal General debe incluir una copia del aviso enviado a los consumidores y el número de personas afectadas.
El umbral de notificación al Fiscal General de 250 personas de Oregón se encuentra entre los más bajos del país, lo que garantiza que el Fiscal General tenga visibilidad sobre violaciones relativamente pequeñas.
Agencias de reporte de crédito al consumidor
Cuando una violación afecta a 1,000 o más consumidores de Oregón, la entidad también debe notificar a todas las agencias de reporte de crédito al consumidor que compilan y mantienen archivos sobre los consumidores a nivel nacional. La notificación a las CRA debe incluir el momento, la distribución y el contenido de la notificación al consumidor.
Métodos de notificación
Las empresas pueden proporcionar la notificación mediante:
- Notificación por escrito enviada a la dirección postal del consumidor según los registros más actuales de la persona
- Notificación electrónica conforme a la Ley federal E-SIGN
- Notificación telefónica directamente al consumidor afectado
Notificación sustituta
La notificación sustituta está disponible si la persona demuestra que:
- El costo de proporcionar la notificación directa excedería los $250,000, o
- La clase afectada supera los 350,000 consumidores, o
- La persona no cuenta con información de contacto suficiente
Cabe destacar que el umbral de notificación sustituta de Oregón para el tamaño de la clase afectada (350,000) es menor que el umbral de 500,000 utilizado en muchos estados.
La notificación sustituta debe incluir: notificación por correo electrónico (cuando esté disponible), publicación visible en el sitio web de la persona y notificación a los principales medios de comunicación a nivel estatal.

Aplicación y sanciones
Aplicación por el Fiscal General
El Fiscal General de Oregón hace cumplir la ley de notificación de violaciones como una práctica comercial ilegal según ORS 646.607. Una infracción de ORS 646A.604 (notificación de violaciones) o de ORS 646A.622 (salvaguardas razonables) se trata como una práctica comercial ilegal.
Sanciones civiles
Según ORS 646A.624, la estructura de sanciones es la siguiente:
- Hasta $1,000 por infracción
- Hasta $500,000 por una infracción continua
El límite de $500,000 para infracciones continuas hace que la estructura de sanciones de Oregón se encuentre entre las más significativas del país, particularmente para las empresas que retrasan deliberadamente la notificación o no mantienen las salvaguardas requeridas.
Sin derecho de acción privado expreso
El estatuto de notificación de violaciones de Oregón no crea un derecho de acción privado expreso. Sin embargo, dado que las infracciones se clasifican como prácticas comerciales ilegales, los consumidores pueden tener remedios disponibles bajo la Ley general de Prácticas Comerciales Ilegales de Oregón, que sí permite la aplicación privada en ciertas circunstancias.
Requisito de salvaguardas razonables
A diferencia de muchos estados que se centran únicamente en la notificación de violaciones, Oregón impone una obligación independiente de mantener salvaguardas razonables. Según ORS 646A.622, cualquier persona que posea, mantenga o de otro modo tenga en su poder información personal debe desarrollar, implementar y mantener salvaguardas razonables para proteger la seguridad, confidencialidad e integridad de dicha información.
Esto significa que las empresas de Oregón enfrentan obligaciones de cumplimiento incluso antes de que ocurra cualquier violación. El hecho de no mantener salvaguardas razonables constituye en sí mismo una infracción, independientemente de si ha ocurrido una violación.
Las salvaguardas razonables deben ser adecuadas al volumen y la naturaleza de la información personal que se mantiene. Esto otorga flexibilidad a las empresas, pero también establece un estándar mínimo que se ajusta según la sensibilidad y la cantidad de datos que se poseen.
Exenciones
Exención por cumplimiento de HIPAA
Las entidades sujetas a los requisitos de notificación de violaciones de HIPAA y que los cumplen se consideran en cumplimiento con la ley de Oregón.
Exención para instituciones financieras
Las instituciones financieras sujetas a las directrices de notificación de violaciones de la Ley Gramm-Leach-Bliley y que las cumplen también están exentas.
Exención por política de notificación propia
Las entidades que mantienen sus propios procedimientos de notificación como parte de una política de privacidad o seguridad de la información se consideran en cumplimiento, siempre que dichos procedimientos sean consistentes con los requisitos de plazo de la ley de Oregón (45 días) y la entidad siga sus propios procedimientos.
Más Leyes de Oregón
- Leyes de Grabación de Reuniones con IA de Oregón
- Leyes de Pensión Alimenticia de Oregón
- Leyes de Empleo a Voluntad de Oregón
- Leyes de Accidentes de Auto de Oregón
- Leyes de Asientos de Auto para Niños de Oregón
- Leyes de Custodia de Menores de Oregón
- Leyes de Manutención Infantil de Oregón
- Leyes de Matrimonio de Hecho de Oregón
- Leyes sobre Deepfakes de Oregón
- Leyes de Divorcio de Oregón
- Leyes sobre Mordeduras de Perro de Oregón
- Leyes de Emancipación de Oregón
- Leyes de Eliminación de Antecedentes Penales de Oregón
- Leyes sobre Choque y Fuga de Oregón
- Leyes de Propietarios e Inquilinos de Oregón
- Leyes de Vehículos Defectuosos (Ley del Limón) de Oregón
Este artículo proporciona información legal general sobre las leyes de privacidad de datos de Oregón y los requisitos de notificación de violaciones. No constituye asesoría legal ni crea una relación abogado-cliente. La respuesta a una violación de datos implica obligaciones sensibles al tiempo. Consulte a un abogado calificado con licencia en Oregón para obtener orientación específica para su situación.
¿Afectado por una filtración de datos o una violación de privacidad biométrica?
Si sus datos personales quedaron expuestos en una filtración, o si su huella dactilar o escaneo facial se recopiló sin su consentimiento, podría ser elegible para unirse a un reclamo por compensación. Averígüelo gratis y sin compromiso.
Fuentes y referencias
- ORS 646A.600-628 - Ley de Protección de Información del Consumidor de Oregón(oregonlegislature.gov).gov
- Oregon SB 601 (2015) - Enmiendas a la Notificación de Violaciones(oregonlegislature.gov).gov
- Departamento de Justicia de Oregón - Portal de Violaciones de Seguridad de Datos(justice.oregon.gov).gov
- DFR de Oregón - Guía de la Ley de Protección de Información del Consumidor(dfr.oregon.gov).gov