Pennsylvania
Leyes de Notificación de Violación de Datos de Pensilvania: Reglas de Reporte y Plazos (2026)

La Ley de Notificación de Violación de Información Personal de Pensilvania, codificada en 73 Pa. Stat. 2301 y siguientes, exige a las empresas notificar a los residentes afectados de una violación de datos sin demora injustificada. La ley no establece un plazo fijo en días, y la enmienda de 2024 (Ley 33) añadió la notificación al Fiscal General y requisitos obligatorios de monitoreo de crédito.
Los requisitos de notificación de violación de datos de Pensilvania recibieron una actualización significativa en 2024 cuando el gobernador Josh Shapiro promulgó la Ley 33 de 2024 el 28 de julio de 2024, con vigencia a partir del 26 de septiembre de 2024. La Ley de Notificación de Violación de Información Personal (BPINA) enmendada, codificada en 73 Pa. Stat. 2301 y siguientes, ahora exige la notificación al Fiscal General, obliga a un monitoreo de crédito de 12 meses para ciertas violaciones, y amplía los tipos de datos que activan la notificación.
Esta guía cubre el alcance completo de los requisitos de notificación de violación de datos de Pensilvania, según fueron enmendados, incluyendo qué información personal activa la ley, quién debe ser notificado, el cronograma, las sanciones de aplicación, las exenciones y cómo la ley se conecta con el marco más amplio de privacidad de datos del estado.

Quién debe cumplir con la ley de notificación de violación de datos de Pensilvania
La BPINA se aplica a cualquier entidad que mantenga, almacene o gestione datos computarizados que incluyan información personal. La ley cubre tanto entidades públicas (agencias estatales, condados, municipios, distritos escolares) como entidades privadas (corporaciones, sociedades, propietarios únicos y cualquier otra forma de negocio).
La ley distingue entre las entidades que mantienen sus propios datos y las que mantienen datos en nombre de otra entidad. Un proveedor externo que descubre una violación de los datos que mantiene para otra entidad debe notificar al propietario de los datos. El propietario de los datos entonces asume la obligación principal de notificar a los consumidores afectados y a los reguladores.
Las empresas ubicadas fuera del estado que mantienen información personal perteneciente a residentes de Pensilvania están sujetas a la ley.
Qué califica como una violación de seguridad
Conforme a la BPINA, una violación de la seguridad del sistema significa el acceso y la adquisición no autorizados de datos computarizados que comprometen materialmente la seguridad o confidencialidad de la información personal mantenida por la entidad como parte de una base de datos de información personal relativa a múltiples personas.
El umbral de "comprometer materialmente" significa que no todo acceso no autorizado activa automáticamente la notificación. La entidad debe determinar si la violación realmente afectó la seguridad o confidencialidad de los datos.
Excepción de buena fe
La adquisición de buena fe de información personal por parte de un empleado o agente de la entidad para los fines de la entidad no constituye una violación de la seguridad del sistema, siempre que la información personal no se use para un propósito no autorizado ni esté sujeta a una divulgación no autorizada adicional.
El puerto seguro de encriptación
La BPINA ofrece un puerto seguro para los datos encriptados, pero con una advertencia importante. Los datos encriptados están exentos de los requisitos de notificación, a menos que la clave o el proceso de encriptación hayan sido accedidos o adquiridos durante la violación, o que la violación haya sido cometida por una persona que tenía acceso a la clave de encriptación. Si se cumple cualquiera de estas condiciones, el puerto seguro no protege a la entidad y se requiere la notificación completa.
Qué información personal activa la ley
La enmienda de 2024 amplió la definición de información personal de la BPINA. Conforme a la ley actual, información personal significa el nombre o la inicial del nombre de una persona y su apellido, combinados y vinculados con uno o más de los siguientes elementos de datos, cuando dichos elementos no estén encriptados o redactados:
- Número de Seguro Social
- Número de licencia de conducir o número de tarjeta de identificación estatal
- Número de cuenta financiera, número de tarjeta de crédito o débito, combinado con cualquier código de seguridad, código de acceso o contraseña requeridos
- Información de seguro médico (número de póliza o ID de suscriptor combinado con un código de acceso o información médica que permita el uso indebido de los beneficios del seguro médico) (añadido por la Ley 33)
- Información médica en posesión de una agencia estatal o de un contratista de una agencia estatal (restringida a entidades gubernamentales por la Ley 33)
- Nombre de usuario o dirección de correo electrónico combinado con una contraseña o una pregunta y respuesta de seguridad que permita el acceso a una cuenta en línea (añadido por la Ley 33)
Las adiciones de seguro médico y credenciales de cuentas en línea alinean a Pensilvania con la tendencia creciente de los estados a ampliar los factores desencadenantes de la notificación de violaciones más allá del trío tradicional de SSN/licencia de conducir/cuenta financiera.
Nota: El factor desencadenante de información médica fue restringido por la Ley 33 para aplicarse únicamente cuando la información está en posesión de una agencia estatal o de un contratista de una agencia estatal. Las entidades del sector privado no están obligadas a notificar por violaciones de información médica, a menos que sean contratistas gubernamentales.
Cronograma de notificación de violación de datos
Pensilvania no impone un plazo fijo medido en días. La BPINA exige la notificación "sin demora injustificada". Se permiten retrasos cuando:
- Sean consistentes con las necesidades legítimas de las fuerzas del orden
- Sean necesarios para tomar cualquier medida destinada a determinar el alcance de la violación y restaurar la integridad razonable del sistema de datos
Las fuerzas del orden pueden solicitar un retraso mediante una solicitud por escrito dirigida a la entidad. La entidad puede retrasar la notificación durante el período especificado por las fuerzas del orden.
Quién debe ser notificado
Personas afectadas
Todo residente de Pensilvania cuya información personal haya sido, o razonablemente se crea que haya sido, accedida y adquirida por una persona no autorizada debe recibir notificación. El aviso debe incluir:
- Una descripción del incidente en términos generales
- El tipo de información personal sujeta a la violación
- Las medidas que la entidad ha tomado para abordar la violación
- Información de contacto de la entidad que proporciona el aviso
- Información de contacto de las principales agencias de informes crediticios
Fiscal General
Conforme a la enmienda de 2024, el Fiscal General de Pensilvania debe ser notificado sin demora injustificada cuando una violación afecte a más de 500 residentes de Pensilvania. El Fiscal General lanzó un portal de reporte en línea el 26 de septiembre de 2024 para agilizar el proceso de reporte.
Agencias de informes al consumidor
Cuando una violación afecta a más de 1,000 residentes de Pensilvania, la entidad debe notificar a todas las agencias de informes al consumidor que compilan y mantienen expedientes de consumidores a nivel nacional. La notificación debe incluir el momento, la distribución y el contenido del aviso al consumidor.

Requisito de monitoreo de crédito por 12 meses
Una de las adiciones más importantes de la Ley 33 es la disposición obligatoria de monitoreo de crédito. Cuando una violación involucra cualquiera de los siguientes elementos de datos, la entidad debe ofrecer a las personas afectadas:
- Acceso a un informe de crédito independiente de una agencia de informes al consumidor
- 12 meses de servicios de monitoreo de crédito
Este requisito se activa cuando la violación involucra:
- Números de Seguro Social
- Números de licencia de conducir o números de identificación estatal
- Números de cuenta bancaria
Pensilvania destaca por extender el factor desencadenante del monitoreo de crédito más allá de los números de Seguro Social. La mayoría de los estados que exigen monitoreo de crédito solo lo obligan para violaciones de SSN. El requisito de Pensilvania también cubre licencias de conducir y cuentas bancarias, ampliando significativamente el número de violaciones que activan esta obligación.
Métodos de notificación
Las empresas pueden proporcionar la notificación a través de:
- Notificación por escrito enviada a la última dirección residencial conocida de la persona
- Notificación por correo electrónico si la persona ha dado su consentimiento para recibir comunicaciones electrónicas (puede incluir instrucciones para restablecer la información de inicio de sesión)
- Notificación telefónica dada de manera visible y razonable
Notificación sustitutiva
La notificación sustitutiva está disponible si la entidad demuestra al Fiscal General que:
- El costo de proporcionar notificación directa superaría los $100,000, o
- La clase afectada supera las 175,000 personas, o
- La entidad no cuenta con información de contacto suficiente
Los umbrales de notificación sustitutiva de Pensilvania ($100,000 y 175,000 personas) son más bajos que en muchos estados, lo que hace que la notificación sustitutiva esté disponible en una gama más amplia de circunstancias.
La notificación sustitutiva debe incluir: notificación por correo electrónico (cuando esté disponible), publicación visible en el sitio web de la entidad, y notificación a los principales medios de comunicación a nivel estatal.

Aplicación y sanciones
Aplicación conforme a la Ley de Protección al Consumidor
Las infracciones de la BPINA constituyen actos o prácticas injustas o engañosas conforme a la Ley de Prácticas Comerciales Injustas y Protección al Consumidor (UTPCPL) de Pensilvania. Esta clasificación otorga al Fiscal General una amplia autoridad de aplicación, que incluye:
- Medidas cautelares para detener infracciones en curso
- Sanciones civiles
- Restitución para los consumidores afectados
Autoridad del Fiscal General
La Oficina de Protección al Consumidor del Fiscal General de Pensilvania es la agencia principal de aplicación. El Fiscal General puede investigar quejas, emitir citaciones y presentar acciones civiles.
Derecho de acción privado
La UTPCPL prevé un derecho de acción privado que permite a los consumidores presentar demandas civiles por prácticas injustas o engañosas. Debido a que las infracciones de la BPINA se clasifican como infracciones de la UTPCPL, las personas afectadas pueden tener la posibilidad de presentar reclamos privados por fallas en la notificación de violaciones, aunque el alcance de este derecho en el contexto de violaciones de datos continúa evolucionando a través de la jurisprudencia.
Exenciones
Exención por cumplimiento de la HIPAA
Las entidades cubiertas y los asociados de negocios sujetos a los requisitos de notificación de violaciones de la HIPAA y que los cumplen se consideran en cumplimiento de la BPINA, siempre que también cumplan con el requisito de notificación al Fiscal General.
Exención para instituciones financieras
Las instituciones financieras sujetas a la guía interagencial de la Ley Gramm-Leach-Bliley sobre notificación de violaciones, y que la cumplen, están exentas de los requisitos de notificación independientes de la BPINA, siempre que cumplan con el requisito de notificación al Fiscal General.
Exención por política propia
Las entidades que mantienen sus propios procedimientos de notificación como parte de una política de privacidad o seguridad de la información se consideran en cumplimiento, siempre que dichos procedimientos sean al menos tan exhaustivos como los requisitos de la BPINA y la entidad siga sus propios procedimientos.
Qué cambió con la Ley 33 de 2024 (Resumen)
Para las empresas ya familiarizadas con la ley anterior de notificación de violaciones de Pensilvania, estos son los cambios clave vigentes a partir del 26 de septiembre de 2024:
| Característica | Antes de la Ley 33 | Después de la Ley 33 |
|---|---|---|
| Notificación al Fiscal General | No requerida | Requerida cuando se ven afectados 500+ residentes |
| Monitoreo de crédito | No requerido | 12 meses para violaciones de SSN, licencia de conducir, ID estatal, cuenta bancaria |
| Datos de seguro médico | No cubiertos | Cubiertos como información personal |
| Credenciales en línea | No cubiertas | Nombre de usuario/correo electrónico + contraseña activa la notificación |
| Información médica | Todas las entidades | Restringida solo a agencias estatales y contratistas |
| Método de reporte | Sin proceso estándar | Portal de reporte en línea del Fiscal General |
Más leyes de Pensilvania
- Leyes de Grabación de Reuniones con IA de Pensilvania
- Leyes de Pensión Alimenticia de Pensilvania
- Leyes de Empleo a Voluntad de Pensilvania
- Leyes de Accidentes de Auto de Pensilvania
- Leyes de Asientos de Seguridad para Niños de Pensilvania
- Leyes de Custodia de los Hijos de Pensilvania
- Leyes de Manutención de los Hijos de Pensilvania
- Leyes de Matrimonio de Hecho de Pensilvania
- Leyes de Deepfake de Pensilvania
- Leyes de Divorcio de Pensilvania
- Leyes de Mordedura de Perro de Pensilvania
- Leyes de Emancipación de Pensilvania
- Leyes de Eliminación de Antecedentes de Pensilvania
- Leyes de Atropello y Fuga de Pensilvania
- Leyes de Propietarios e Inquilinos de Pensilvania
- Leyes Limón de Pensilvania
Este artículo proporciona información legal general sobre las leyes de privacidad de datos de Pensilvania y los requisitos de notificación de violaciones. No constituye asesoría legal ni crea una relación abogado-cliente. La respuesta a una violación de datos implica obligaciones sensibles al tiempo. Consulte a un abogado calificado con licencia en Pensilvania para obtener orientación específica sobre su situación.
¿Afectado por una filtración de datos o una violación de privacidad biométrica?
Si sus datos personales quedaron expuestos en una filtración, o si su huella dactilar o escaneo facial se recopiló sin su consentimiento, podría ser elegible para unirse a un reclamo por compensación. Averígüelo gratis y sin compromiso.
Fuentes y referencias
- BPINA - Ley 94 de 2005 (Texto Original)(legis.state.pa.us).gov
- Ley 33 de 2024 - Enmiendas a la BPINA(legis.state.pa.us).gov
- Ley 33 de 2024 Texto Completo(legis.state.pa.us).gov
- Fiscal General de PA - Información sobre la BPINA(attorneygeneral.gov).gov
- Fiscal General de PA - Reportar una Violación de Datos(attorneygeneral.gov).gov