South Carolina
Leyes de Privacidad de Datos de Carolina del Sur: Notificación de Violaciones y Derechos del Consumidor (2026)

Carolina del Sur adopta un enfoque sectorial hacia la privacidad de datos. El estado no ha promulgado un estatuto integral de privacidad de datos del consumidor que otorgue a los residentes amplios derechos sobre sus datos personales. En cambio, Carolina del Sur protege la información personal mediante una combinación de requisitos de notificación de violaciones, mandatos de ciberseguridad para la industria de seguros, protecciones contra el robo de identidad, un estatuto recién promulgado sobre imágenes íntimas, y la ley federal.
Esta guía cubre todas las protecciones de privacidad de datos disponibles para los residentes de Carolina del Sur a partir de mayo de 2026. Explica la ley estatal de notificación de violaciones, la Ley de Seguridad de Datos de Seguros, los estatutos de protección al consumidor, la ley de imágenes íntimas de 2025, el marco federal que se aplica en Carolina del Sur, y respuestas a preguntas comunes sobre los derechos de privacidad de datos en el Estado Palmetto.
Ley de Notificación de Violaciones de Carolina del Sur (S.C. Code Ann. Sección 39-1-90)
La principal protección de privacidad de datos para los residentes de Carolina del Sur es la ley estatal de notificación de violaciones. Codificada en S.C. Code Ann. Sección 39-1-90, este estatuto fue promulgado como parte de la Ley de Fraude de Identidad Financiera y Protección contra el Robo de Identidad (FIFITPA) en 2008. Exige tanto a las empresas como a las agencias gubernamentales notificar a los residentes cuando su información personal identificable se ve comprometida.
Quién Debe Cumplir
La ley de notificación de violaciones se aplica a dos categorías de entidades.
Empresas privadas. Toda persona que realice negocios en Carolina del Sur y que posea u obtenga licencia de datos computarizados u otros datos que incluyan información personal identificable debe cumplir. La ley no establece un tamaño mínimo de empresa ni un umbral de ingresos. Toda empresa que posea datos personales de residentes de Carolina del Sur queda bajo el estatuto.
Agencias gubernamentales. Las agencias estatales y otros organismos públicos de Carolina del Sur que posean u obtengan licencia de datos que contengan información personal identificable también deben proporcionar notificaciones de violaciones bajo los mismos requisitos. Una disposición separada, S.C. Code Ann. Sección 1-11-490, rige las violaciones de datos de las agencias estatales e impone obligaciones de notificación al Director de Información Principal del Estado, además de la notificación a los residentes exigida bajo la Sección 39-1-90.
Qué Activa una Notificación
Se requiere una notificación de violación cuando existe acceso no autorizado y adquisición de datos computarizados que comprometen la seguridad, confidencialidad, o integridad de la información personal identificable. La obligación de notificación surge cuando el uso ilegal de la información ha ocurrido o es razonablemente probable que ocurra, o cuando el uso crea un riesgo material de daño para el residente.
Esta es una distinción importante frente a muchas otras leyes estatales de violaciones. Carolina del Sur usa un desencadenante basado en el daño en lugar de un requisito general de notificación. Si una empresa determina que ocurrió un acceso no autorizado pero la probabilidad de daño es baja, puede que no necesite enviar notificaciones. Sin embargo, la carga de hacer esa determinación recae en la empresa y está sujeta a escrutinio si el daño se materializa posteriormente.
Definición de Información Personal Identificable
El estatuto define la información personal identificable como el nombre de pila o la inicial del nombre de pila y el apellido de un residente combinados con uno o más de los siguientes elementos de datos, cuando no estén ni cifrados ni redactados:
- Número de Seguro Social
- Número de licencia de conducir o número de tarjeta de identificación estatal
- Número de cuenta financiera, número de tarjeta de crédito, o número de tarjeta de débito, combinado con cualquier código de seguridad, código de acceso, o contraseña requerido
La definición no incluye información obtenida legalmente de fuentes disponibles públicamente o de registros gubernamentales federales, estatales, o locales puestos legalmente a disposición del público en general.
La definición de Carolina del Sur es más limitada que la de muchas otras leyes estatales de notificación de violaciones. Estados como California, Colorado, y Oregón han ampliado sus definiciones para incluir datos biométricos, información médica, números de pasaporte, y nombres de usuario con contraseñas. Carolina del Sur no ha enmendado la Sección 39-1-90 para agregar estas categorías a partir de mayo de 2026.
Plazo de Notificación
Carolina del Sur no establece un número específico de días para las notificaciones de violaciones. En cambio, la ley exige la divulgación en el tiempo más expedito posible y sin demora injustificada. El plazo de notificación debe ser conforme a las necesidades legítimas de las fuerzas del orden y cualquier medida necesaria para determinar el alcance de la violación y restaurar la integridad razonable del sistema de datos.
Una agencia de las fuerzas del orden puede solicitar un retraso en la notificación si determina que la notificación obstaculizaría una investigación criminal. Una vez que las fuerzas del orden determinan que la notificación ya no compromete la investigación, la empresa debe proceder con la divulgación.
Cómo Debe Proporcionarse la Notificación
Las empresas pueden proporcionar notificaciones de violaciones a través de varios métodos:
Notificación escrita. Una carta enviada a la última dirección postal conocida del residente afectado.
Notificación electrónica. Permitida si la comunicación electrónica es el método principal de interacción entre la empresa y la persona afectada.
Notificación telefónica. Llamadas telefónicas directas a las personas afectadas.
Notificación sustituta. Disponible cuando el costo de la notificación directa supera los $250,000, la clase afectada supera las 500,000 personas, o la empresa no cuenta con información de contacto suficiente. La notificación sustituta requiere los tres elementos siguientes: notificación por correo electrónico cuando haya una dirección disponible, publicación visible en el sitio web de la empresa, y notificación a los principales medios de comunicación a nivel estatal.
Reporte a las Autoridades Estatales
Cuando una empresa proporciona notificación de violación a más de 1,000 personas a la vez, también debe notificar a la División de Protección al Consumidor del Departamento de Asuntos del Consumidor de Carolina del Sur y a todas las agencias de informes crediticios de alcance nacional sin demora injustificada. La notificación a las agencias de informes crediticios debe incluir el momento, la distribución, y el contenido de la notificación enviada a los residentes.
El Departamento de Asuntos del Consumidor de Carolina del Sur publica los avisos de violaciones recibidos en su sitio web público, que los residentes pueden monitorear para verificar si las organizaciones que poseen sus datos han reportado incidentes.
Poseedores de Datos de Terceros
Una empresa que mantiene datos computarizados que contienen información personal identificable que no le pertenece debe notificar al propietario o licenciatario de la información inmediatamente después de descubrir una violación, si la información personal identificable fue adquirida por una persona no autorizada.
Sanciones y Aplicación
La ley de notificación de violaciones proporciona varios mecanismos de aplicación.
Infracciones intencionales y conscientes. Un residente de Carolina del Sur perjudicado por una infracción intencional y consciente puede presentar una acción civil para recuperar daños. Los tribunales tienen discreción para determinar el monto de los daños.
Infracciones negligentes. Un residente también puede presentar una acción civil por infracciones negligentes, aunque la recuperación se limita a los daños reales resultantes de la infracción.
Sanciones administrativas. Una persona que infringe consciente e intencionalmente el requisito de notificación está sujeta a una multa administrativa de $1,000 por residente cuya información fue accesible a causa de la violación. El Departamento de Asuntos del Consumidor administra esta sanción.
Recurso de mandamiento judicial. Los residentes afectados pueden solicitar un mandamiento judicial para hacer cumplir el estatuto.
Honorarios de abogado. Un demandante que gane el caso puede recuperar los honorarios de abogado y los costos judiciales.
La División de Protección al Consumidor del Departamento de Asuntos del Consumidor maneja la aplicación administrativa de los requisitos de notificación de violaciones.
Exención para Instituciones Financieras
Una institución financiera que esté sujeta a, y en cumplimiento con, la Guía Interinstitucional federal sobre Programas de Respuesta ante el Acceso No Autorizado a la Información del Consumidor y Notificación al Cliente se considera en cumplimiento con la Sección 39-1-90. Esto cubre a las instituciones reguladas por la Junta de Gobernadores del Sistema de la Reserva Federal, la Corporación Federal de Seguro de Depósitos, la Oficina del Contralor de la Moneda, y la Oficina de Supervisión de Ahorros.
Ley de Seguridad de Datos de Seguros de Carolina del Sur (Título 38, Capítulo 99)

Carolina del Sur fue el primer estado del país en adoptar la Ley Modelo de Seguridad de Datos de Seguros de la Asociación Nacional de Comisionados de Seguros (NAIC). La Ley de Seguridad de Datos de Seguros de Carolina del Sur, codificada en S.C. Code Ann. Título 38, Capítulo 99, entró en vigencia el 1 de enero de 2019. Establece requisitos integrales de ciberseguridad específicamente para los licenciatarios de la industria de seguros.
Quién Debe Cumplir
La Ley se aplica a todos los licenciatarios del Departamento de Seguros de Carolina del Sur. Esto incluye compañías de seguros, agentes, corredores, ajustadores, y otras entidades con licencia para realizar negocios de seguros en el estado. Los licenciatarios pequeños con menos de los umbrales especificados de empleados o ingresos pueden calificar para requisitos de cumplimiento modificados o reducidos bajo la Ley.
Requisitos del Programa de Seguridad de la Información
Todo licenciatario debe desarrollar, implementar, y mantener un programa integral y escrito de seguridad de la información. El programa debe basarse en la propia evaluación de riesgos del licenciatario y debe incluir salvaguardas administrativas, técnicas, y físicas para la protección de la información no pública.
El programa de seguridad debe abordar:
- El tamaño y la complejidad del negocio del licenciatario
- La naturaleza y el alcance de las actividades del licenciatario, incluyendo el uso de proveedores de servicios externos
- La sensibilidad de la información no pública que el licenciatario recopila y almacena
Requisitos de Evaluación de Riesgos
Los licenciatarios deben realizar una evaluación de riesgos que identifique las amenazas internas y externas razonablemente previsibles que podrían resultar en acceso no autorizado a la información no pública. La evaluación debe evaluar la probabilidad y el daño potencial de las amenazas identificadas y evaluar la suficiencia de las políticas, procedimientos, sistemas de información, y salvaguardas existentes.
Supervisión de la Junta Directiva
La Ley exige que la junta directiva (o un comité apropiado) supervise el desarrollo e implementación del programa de seguridad de la información del licenciatario. La junta debe exigir a la gerencia ejecutiva que desarrolle y mantenga el programa y debe recibir informes periódicos sobre el estado del programa.
Gestión de Proveedores de Servicios Externos
Los licenciatarios que comparten información no pública con proveedores de servicios externos deben ejercer la debida diligencia al seleccionar proveedores. El licenciatario debe exigir a los proveedores externos que implementen salvaguardas apropiadas y debe monitorear y verificar el cumplimiento de esas salvaguardas.
Notificación de Eventos de Ciberseguridad
Cuando un licenciatario determina que ha ocurrido un evento de ciberseguridad, debe notificar al Director del Departamento de Seguros de Carolina del Sur dentro de 72 horas si se cumple alguna de las siguientes condiciones:
- Carolina del Sur es el estado de domicilio del licenciatario (para aseguradoras) o el estado de origen (para productores)
- El licenciatario cree razonablemente que el evento involucró información no pública de 250 o más consumidores de Carolina del Sur
- El evento requiere notificación a otra entidad gubernamental estatal o federal
- Existe una probabilidad razonable de daño material a un consumidor de Carolina del Sur o a las operaciones del licenciatario
Sanciones
El Director del Departamento de Seguros de Carolina del Sur puede examinar e investigar a los licenciatarios para determinar el cumplimiento de la Ley. Las infracciones pueden resultar en acciones regulatorias por parte del Departamento, incluyendo:
- Una multa de hasta $15,000 por infracción
- Una multa de hasta $30,000 por infracción cuando el licenciatario actuó intencionalmente
Estos montos de sanción están codificados en S.C. Code Ann. Sección 38-99-60.
Ley 37 de 2025: Ley sobre Imágenes Íntimas No Consentidas y Deepfakes (S.C. Code Ann. Sección 16-15-332)

Carolina del Sur promulgó la Ley 37 de 2025, codificada en S.C. Code Ann. Secciones 16-15-330 y 16-15-332, cuando el Gobernador Henry McMaster firmó el proyecto de ley el 12 de mayo de 2025. La ley penaliza la divulgación no autorizada de imágenes íntimas y extiende esas prohibiciones a las imágenes íntimas deepfake generadas por IA. Carolina del Sur fue el último estado en promulgar un estatuto sobre imágenes íntimas no consentidas.
Qué Prohíbe la Ley
Una persona que difunde intencionalmente una imagen íntima o una imagen íntima falsificada digitalmente de otra persona sin el consentimiento efectivo de la persona representada comete el delito de divulgación no autorizada de imágenes íntimas conforme a la Sección 16-15-332(A).
La ley se aplica cuando la persona que difunde la imagen sabe, o razonablemente debería haber sabido, que la persona representada tenía una expectativa razonable de privacidad en la imagen.
Definiciones Clave
Imagen íntima. Una representación visual que muestra los genitales, el área púbica, el ano, o el seno femenino de una persona, cuando la persona está desnuda o realizando una conducta sexualmente explícita, y que fue creada en circunstancias en las que la persona representada tenía una expectativa razonable de privacidad.
Imagen íntima falsificada digitalmente. Una imagen íntima de una persona identificable que a una persona razonable le parece indistinguible de una representación visual auténtica de esa persona, y que se genera o modifica sustancialmente usando técnicas de aprendizaje automático o cualquier otro medio generado por computadora para representar falsamente la apariencia o conducta de la persona. El estatuto se aplica expresamente independientemente de si la imagen lleva una etiqueta que indique que no es auténtica.
Consentimiento efectivo. Autorización afirmativa, consciente, y voluntaria por parte de una persona con capacidad legal. El hecho de que la persona representada haya divulgado previamente la imagen a otra persona no constituye consentimiento efectivo para su posterior difusión bajo esta sección.
Sanciones
Una primera infracción conforme a la Sección 16-15-332(A) es un delito grave (felony) sancionable con una multa que no exceda $5,000 o prisión que no exceda cinco años, o ambas. Una segunda infracción o infracciones posteriores son delitos graves sancionables con una multa que no exceda $10,000 o prisión de no menos de un año y no más de diez años, o ambas.
Cada divulgación de múltiples imágenes íntimas de la misma persona puede tratarse como delitos separados y distintos.
Excepción para las Fuerzas del Orden
La Ley no se aplica a las imágenes íntimas o imágenes íntimas falsificadas digitalmente creadas por las fuerzas del orden en el marco de una investigación criminal que sea legal por lo demás.
Relación con la Ley Federal TAKE IT DOWN
La Ley federal TAKE IT DOWN (analizada en la sección de superposición federal más abajo) complementa el estatuto estatal al agregar obligaciones de eliminación a nivel de plataforma. Mientras que la Sección 16-15-332 rige la responsabilidad penal de la persona que difunde la imagen, la Ley federal crea una obligación separada que exige a las plataformas en línea cubiertas eliminar las representaciones visuales íntimas no consentidas reportadas dentro de 48 horas de recibida la notificación.
Ley de Fraude de Identidad Financiera y Protección contra el Robo de Identidad (FIFITPA)
La Ley de Fraude de Identidad Financiera y Protección contra el Robo de Identidad (Ley No. 190 de 2008) es la legislación general que estableció muchas de las protecciones de privacidad de datos de Carolina del Sur. Más allá de los requisitos de notificación de violaciones analizados anteriormente, FIFITPA incluye varias protecciones adicionales al consumidor.
Derechos de Congelamiento de Seguridad
Los residentes de Carolina del Sur tienen derecho a colocar un congelamiento de seguridad en sus informes crediticios de consumidor sin costo alguno. Un congelamiento de seguridad prohíbe a una agencia de informes crediticios divulgar el informe crediticio del consumidor o cualquier información de este sin la autorización expresa del consumidor. Esto ayuda a evitar que los ladrones de identidad abran nuevas cuentas a nombre del consumidor.
Requisitos de Eliminación de Registros
FIFITPA exige tanto a las empresas como a las agencias gubernamentales eliminar adecuadamente los registros que contienen información personal identificable. Al eliminar dichos registros, las entidades deben modificar la información personal identificable mediante trituración, borrado, u otros medios para hacerla ilegible o indescifrable.
Un organismo público cumple con el requisito de eliminación si contrata a una persona dedicada al negocio de eliminación de registros para la modificación de la información personal identificable en su nombre.
Las infracciones de los requisitos de eliminación de registros constituyen un delito menor (misdemeanor) con una multa de hasta $500 por infracción.
Protecciones contra el Robo de Identidad
FIFITPA fortaleció las sanciones penales de Carolina del Sur para los delitos relacionados con la identidad.
Fraude de identidad financiera. Una persona que comete fraude de identidad financiera es culpable de un delito grave y, tras la condena, puede ser multada a discreción del tribunal o encarcelada hasta por diez años, o ambas cosas.
Robo de identidad mediante el registro de basura. Una primera infracción es un delito menor con una multa de hasta $250. Las infracciones posteriores conllevan multas de hasta $1,000. Una persona que consciente e intencionalmente registra basura para cometer fraude de identidad es culpable de un delito grave de Clase F, sancionable con hasta cinco años de prisión y una multa de hasta $1,000.
Protecciones de Informes al Consumidor
La Ley incluye disposiciones que rigen cómo las agencias de informes crediticios manejan los datos de los residentes de Carolina del Sur, incluyendo requisitos sobre alertas de fraude, alertas de servicio militar activo, y el manejo de reportes de robo de identidad.
Ley de Protección de la Privacidad Familiar (Título 30, Capítulo 2)
La Ley de Protección de la Privacidad Familiar de 2002 proporciona protecciones de privacidad adicionales relacionadas específicamente con la información personal en poder de las agencias del gobierno estatal de Carolina del Sur.
Alcance y Requisitos
Todas las agencias estatales, juntas, comisiones, instituciones, departamentos, y otras entidades estatales deben desarrollar políticas y procedimientos de privacidad para garantizar que la recopilación de información personal relacionada con los ciudadanos se limite a la información que es requerida y necesaria para cumplir un propósito público legítimo.
La Ley define la información personal de manera amplia para incluir fotografías, números de Seguro Social, fechas de nacimiento, números de identificación de licencia de conducir, nombres, direcciones residenciales, números de teléfono residenciales, información médica o de discapacidad, niveles educativos, situación financiera, números de cuentas bancarias, números de cuenta o identificación, historial laboral, estatura, peso, raza, otros detalles físicos, firmas, identificadores biométricos, y registros o informes crediticios.
Prohibición de Solicitud Comercial
La Ley prohíbe a cualquier persona o entidad privada usar información personal obtenida de agencias estatales con fines de solicitud comercial. Una persona que infringe conscientemente esta disposición es culpable de un delito menor y, tras la condena, puede ser multada hasta $500 o encarcelada hasta por un año, o ambas cosas.
Ley de Prácticas Comerciales Injustas de Carolina del Sur
La Ley de Prácticas Comerciales Injustas de Carolina del Sur (S.C. Code Ann. Título 39, Capítulo 5) proporciona un marco general de protección al consumidor que puede aplicarse a las infracciones de privacidad de datos. Aunque no es específicamente un estatuto de privacidad de datos, la Ley prohíbe los actos o prácticas injustas o engañosas en el comercio.
Las empresas que participan en prácticas engañosas relacionadas con la recopilación, uso, o protección de datos del consumidor podrían enfrentar acciones de aplicación bajo este estatuto. El Departamento de Asuntos del Consumidor y la oficina del Fiscal General pueden actuar contra las empresas cuyas prácticas de manejo de datos constituyan prácticas comerciales injustas o engañosas. El Fiscal General también puede presentar una acción bajo este estatuto por tergiversación sistemática de datos.
Privacidad de la Información de Salud en Carolina del Sur
Carolina del Sur no tiene una ley estatal independiente de privacidad de datos de salud equivalente a HIPAA. Sin embargo, varias disposiciones estatales complementan las protecciones federales de privacidad de salud.
Conforme a la ley de Carolina del Sur, los registros médicos no deben divulgarse sin el consentimiento escrito del paciente, salvo que la ley disponga lo contrario. El estado impone restricciones adicionales a cierta información de salud sensible, incluyendo datos relacionados con enfermedades de transmisión sexual, VIH, tuberculosis, otras enfermedades transmisibles, planificación familiar, control de drogas, abuso de sustancias, y salud mental.
Los médicos en Carolina del Sur deben conservar los registros médicos por al menos diez años para pacientes adultos y al menos trece años para menores. Estos períodos mínimos de conservación de registros comienzan desde la última fecha de tratamiento.
Legislación de Privacidad Promulgada y Pendiente (Sesión 2025-2026)

La Asamblea General de Carolina del Sur ha estado activa en materia de legislación de privacidad durante la sesión 2025-2026. Dos proyectos de ley se han convertido en ley; otros dos permanecen pendientes en comité.
Promulgada: Ley de Regulación de Redes Sociales de Carolina del Sur (Ley No. 96, HB 3431)
El Gobernador McMaster firmó el Proyecto de Ley de la Cámara 3431 el 5 de febrero de 2026, promulgándolo como la Ley No. 96. La ley está en vigencia desde la fecha de la firma.
La Ley crea requisitos de diseño apropiado para la edad para los servicios en línea cubiertos, definidos ampliamente para incluir plataformas y aplicaciones que realizan negocios en Carolina del Sur y que es razonablemente probable que sean accedidas por menores. La Ley se aplica a los servicios cubiertos que cumplan al menos uno de tres umbrales de tamaño: ingresos brutos anuales superiores a $25 millones, procesamiento de los datos personales de 50,000 o más consumidores, o derivar el 50 por ciento o más de los ingresos anuales de la venta de datos personales.
Los servicios cubiertos deben implementar configuraciones de privacidad predeterminada para los usuarios menores de edad. La ley exige que las plataformas cubiertas proporcionen a los padres y tutores herramientas para gestionar la configuración de las cuentas de los menores, restringir compras y transacciones financieras, ver el tiempo dedicado al servicio, y restringir el uso durante horarios específicos del día. El primer informe de auditoría independiente bajo la Ley vence el 1 de julio de 2026.
Promulgada: Ley 37 de 2025 (HB 3058, S.C. Code Ann. Sección 16-15-332)
Como se describió en detalle anteriormente, esta ley fue firmada el 12 de mayo de 2025, y penaliza la divulgación no consentida de imágenes íntimas e imágenes íntimas deepfake generadas por IA.
Pendiente: Proyecto de Ley 3401 (Ley de Transparencia Tecnológica)
El Proyecto de Ley de la Cámara 3401 agregaría el Capítulo 31 al Título 37 del Código de Carolina del Sur. De promulgarse, establecería derechos del consumidor para acceder, corregir, eliminar, y optar por no participar en la venta de datos personales; exigiría a los controladores de datos proporcionar avisos de privacidad; ordenaría evaluaciones de protección de datos; y restringiría el procesamiento de datos personales sensibles. El proyecto también establecería procesos de apelación y exigiría a los controladores implementar métodos para que los consumidores presenten solicitudes de derechos de datos.
A partir de mayo de 2026, el Proyecto de Ley 3401 permanece referido al Comité Judicial de la Cámara y no ha sido promulgado como ley.
Pendiente: Proyecto de Ley 3400 (Ley de Privacidad y Protección de Datos Infantiles)
El Proyecto de Ley de la Cámara 3400 abordaría específicamente la privacidad de datos infantiles, proporcionando protecciones específicas para la información personal de los menores recopilada por servicios en línea. A partir de mayo de 2026, este proyecto también permanece en comité y no ha sido promulgado.
Leyes Federales de Privacidad de Datos Aplicables en Carolina del Sur

Debido a que Carolina del Sur carece de una ley estatal integral de privacidad, los estatutos federales desempeñan un papel especialmente importante en la protección de los datos personales de los residentes. Las siguientes leyes federales se aplican a las empresas y organizaciones que operan en Carolina del Sur.
Ley TAKE IT DOWN (Pub. L. 119-12)
La Ley TAKE IT DOWN, promulgada el 19 de mayo de 2025, establece prohibiciones penales federales y obligaciones para las plataformas respecto a las representaciones visuales íntimas no consentidas. El título completo es Tools to Address Known Exploitation by Immobilizing Technological Deepfakes on Websites and Networks Act.
La prohibición penal de publicar representaciones visuales íntimas no consentidas entró en vigencia inmediatamente tras la firma. Las plataformas en línea cubiertas tuvieron un año para establecer procesos conformes de notificación y eliminación; la aplicación de la FTC sobre esas obligaciones de las plataformas comenzó el 19 de mayo de 2026.
Las principales obligaciones de las plataformas bajo la Ley incluyen: crear un proceso para que los consumidores notifiquen a la plataforma sobre una representación visual íntima no consentida, eliminar las representaciones reportadas dentro de 48 horas de recibida la notificación, y hacer esfuerzos razonables para identificar y eliminar copias idénticas. El incumplimiento razonable de una plataforma constituye una infracción de una regla que define un acto o práctica injusta o engañosa bajo la Ley de la Comisión Federal de Comercio.
Los residentes de Carolina del Sur afectados por imágenes íntimas no consentidas pueden reportar infracciones a las plataformas cubiertas bajo este proceso federal, separado y adicional al remedio penal estatal conforme a la Sección 16-15-332.
Ley de Portabilidad y Responsabilidad del Seguro de Salud (HIPAA)
La Regla de Privacidad de HIPAA establece estándares nacionales para la protección de información de salud identificable individualmente. Se aplica a los planes de salud, las cámaras de compensación de atención médica, y los proveedores de atención médica que realizan ciertas transacciones electrónicas. HIPAA otorga a los pacientes el derecho de acceder a sus registros médicos, solicitar correcciones, y recibir un registro de las divulgaciones.
La Regla de Seguridad de HIPAA exige a las entidades cubiertas implementar salvaguardas administrativas, físicas, y técnicas para la información de salud electrónica protegida. Las infracciones pueden resultar en sanciones civiles monetarias que van de $100 a $50,000 por infracción, con máximos anuales de hasta $1.5 millones por categoría de infracción.
Ley Gramm-Leach-Bliley (GLBA)
La Ley Gramm-Leach-Bliley exige a las instituciones financieras explicar a los clientes sus prácticas de intercambio de información y proteger los datos sensibles. Las instituciones financieras deben proporcionar avisos de privacidad anuales que describan qué información personal recopilan, cómo la usan, y con quién la comparten. La Regla de Salvaguardas de la FTC exige a las instituciones financieras desarrollar y mantener un programa integral de seguridad de la información.
Ley de Derechos Educativos y Privacidad Familiar (FERPA)
FERPA protege la privacidad de los registros educativos de los estudiantes en las escuelas que reciben fondos federales. Otorga a los padres el derecho de acceder a los registros educativos de sus hijos, solicitar correcciones, y controlar la divulgación de información personal identificable de esos registros. Cuando un estudiante cumple 18 años o ingresa a una institución postsecundaria, estos derechos se transfieren al estudiante.
Ley de Protección de la Privacidad Infantil en Línea (COPPA)
La Regla COPPA exige a los operadores de sitios web y servicios en línea dirigidos a menores de 13 años obtener el consentimiento parental verificable antes de recopilar, usar, o divulgar información personal de los menores. También exige a estos operadores mantener procedimientos de seguridad razonables y publicar políticas de privacidad claras.
Ley de Informe Justo de Crédito (FCRA)
La FCRA regula cómo las agencias de informes crediticios recopilan, mantienen, y distribuyen la información crediticia del consumidor. Otorga a los consumidores el derecho de saber qué contiene su archivo de crédito, disputar información inexacta, y hacer que se elimine información negativa desactualizada. La FCRA también limita quién puede acceder a los informes crediticios del consumidor y para qué propósitos.
Sección 5 de la Ley de la FTC
La prohibición de actos o prácticas injustas o engañosas de la Ley de la Comisión Federal de Comercio (Sección 5) sirve como un respaldo general para las fallas de privacidad y seguridad de datos de las empresas que recopilan datos del consumidor. La FTC ha presentado acciones de aplicación contra empresas por prácticas de seguridad inadecuadas, políticas de privacidad engañosas, e incumplimiento de compromisos de datos declarados. Esta autoridad se aplica a las empresas que operan en Carolina del Sur.
Ley de Derechos de Privacidad Estadounidense (APRA): No Promulgada
La Ley de Derechos de Privacidad Estadounidense de 2024 (H.R. 8818) fue una propuesta bipartidista que habría establecido un marco federal integral de privacidad. El proyecto de ley expiró al final del 118º Congreso en enero de 2025 sin ser aprobado. A partir de mayo de 2026, la APRA no ha sido reintroducida en el 119º Congreso. Las empresas y residentes de Carolina del Sur no deben confiar en la APRA como fuente de derechos u obligaciones legales vigentes.
Cómo se Compara Carolina del Sur con Otros Estados
A partir de mayo de 2026, más de 25 estados han promulgado leyes integrales de privacidad de datos del consumidor. Carolina del Sur no se encuentra entre ellos. Estados como California, Virginia, Colorado, Connecticut, Utah, Iowa, Indiana, Tennessee, Texas, Oregón, Delaware, Nuevo Hampshire, Nueva Jersey, Nebraska, Kentucky, Minnesota, Maryland, Rhode Island, Montana, y Florida han promulgado todos estatutos integrales o de amplio alcance en materia de privacidad.
El enfoque de Carolina del Sur difiere en varios aspectos importantes.
Sin derechos generales de datos del consumidor. Los residentes de Carolina del Sur no tienen un derecho legal de acceder, eliminar, o corregir los datos personales en poder de empresas privadas. No pueden optar por no participar en la venta de datos o la publicidad dirigida bajo la ley estatal, y ninguna agencia estatal está autorizada para hacer cumplir tales derechos.
Sin obligaciones para los controladores de datos. La ley estatal no exige a las empresas que operan en Carolina del Sur realizar evaluaciones de protección de datos, mantener registros de procesamiento de datos, o proporcionar avisos de privacidad (fuera de los sectores de seguros y financiero).
Solo notificación de violaciones. La principal protección del estado para los datos personales sigue siendo el estatuto de notificación de violaciones, que se activa solo después de que ya ha ocurrido un incidente de seguridad.
Leyes sectoriales específicas. Carolina del Sur ha promulgado protecciones sólidas en dos áreas específicas: la ciberseguridad del sector de seguros (la IDSA) y las prohibiciones penales sobre el mal uso de imágenes íntimas. Pero ninguna crea derechos generales de datos del consumidor.
Dependencia de la ley federal. Para la mayoría de las industrias y tipos de datos, los residentes de Carolina del Sur dependen de estatutos federales como HIPAA, GLBA, FERPA, COPPA, y FCRA para obtener protecciones de privacidad.
La pendiente Ley de Transparencia Tecnológica (Proyecto de Ley 3401) acercaría a Carolina del Sur a los marcos integrales de privacidad adoptados por otros estados, pero no ha sido promulgada al momento de escribir este artículo.
Pasos Prácticos para los Residentes de Carolina del Sur
Incluso sin una ley integral de privacidad, los residentes de Carolina del Sur pueden tomar varias medidas para proteger sus datos personales.
Coloque un congelamiento de seguridad. Conforme a FIFITPA, usted tiene derecho a congelar sus informes crediticios sin costo alguno. Esto evita que se abran nuevas cuentas a su nombre sin su autorización explícita. Contacte a cada una de las tres principales agencias de crédito (Equifax, Experian, y TransUnion) por separado para colocar el congelamiento.
Monitoree las notificaciones de violaciones. El Departamento de Asuntos del Consumidor de Carolina del Sur publica los avisos de violaciones de seguridad en su sitio web. Revise esta página regularmente para ver si las organizaciones que poseen sus datos han reportado violaciones.
Reporte infracciones de imágenes íntimas. Si sus imágenes íntimas se comparten sin consentimiento, puede reportar el asunto a las fuerzas del orden de Carolina del Sur conforme a la Sección 16-15-332. También puede presentar una solicitud de eliminación a la plataforma bajo el proceso de eliminación de 48 horas de la Ley TAKE IT DOWN.
Presente quejas. Si cree que una empresa ha infringido la ley de notificación de violaciones o ha participado en prácticas de datos injustas, presente una queja ante el Departamento de Asuntos del Consumidor de Carolina del Sur.
Ejerza sus derechos federales. Solicite sus registros médicos bajo HIPAA, revise sus informes crediticios bajo la FCRA, y verifique los registros escolares de sus hijos bajo FERPA. Estos derechos federales se aplican independientemente de la ley estatal de Carolina del Sur.
Revise las políticas de privacidad. Incluso sin una ley estatal que exija derechos de acceso a los datos, muchas empresas extienden voluntariamente los derechos de la CCPA de California u otros derechos estatales de privacidad a todos los consumidores de EE.UU. Verifique si las empresas con las que interactúa ofrecen herramientas de acceso, eliminación, u opción de exclusión de datos.
Pasos Prácticos para las Empresas que Operan en Carolina del Sur
Las empresas que recopilan datos personales de residentes de Carolina del Sur deben tomar los siguientes pasos para garantizar el cumplimiento de la ley vigente.
Desarrolle un plan de respuesta a violaciones. Prepare procedimientos para detectar, investigar, y responder a las violaciones de datos. Incluya plantillas de cartas de notificación que cumplan con la Sección 39-1-90. Identifique su umbral para el desencadenante basado en el daño y documente el análisis.
Cifre los datos personales. El requisito de notificación de violaciones no se aplica a los datos cifrados. Implementar el cifrado para la información personal identificable reduce significativamente las obligaciones de notificación de violaciones y la exposición a responsabilidad.
Implemente procedimientos de eliminación de registros. FIFITPA exige la destrucción adecuada de los registros que contienen información personal identificable. Establezca protocolos de trituración, borrado, u otros métodos de eliminación.
Revise las políticas de moderación de contenido. Si su plataforma aloja imágenes o videos generados por usuarios, la Ley TAKE IT DOWN (vigente para la aplicación de la FTC a partir del 19 de mayo de 2026) exige un proceso funcional de notificación y eliminación para las representaciones visuales íntimas no consentidas. Construya ahora el flujo de trabajo de eliminación de 48 horas si aún no lo ha hecho.
Monitoree los desarrollos legislativos. Con el Proyecto de Ley 3401 (Ley de Transparencia Tecnológica) aún pendiente, las empresas deben prepararse para la posibilidad de requisitos integrales de privacidad en Carolina del Sur.
Cumpla con los requisitos federales. Asegure el cumplimiento de HIPAA, GLBA, COPPA, y otras leyes federales de privacidad que se apliquen a su industria.
Licenciatarios de seguros. Si su empresa cuenta con licencia del Departamento de Seguros de Carolina del Sur, asegure el cumplimiento total de la Ley de Seguridad de Datos de Seguros, incluyendo el mantenimiento de un programa escrito de seguridad de la información, la realización de evaluaciones de riesgos, el cumplimiento del requisito de notificación de eventos de ciberseguridad dentro de 72 horas, y la comprensión de la exposición a sanciones de hasta $30,000 por infracción intencional.
Más Leyes de Carolina del Sur
- Leyes de Grabación de Reuniones con IA de Carolina del Sur
- Leyes de Pensión Alimenticia de Carolina del Sur
- Leyes de Empleo a Voluntad de Carolina del Sur
- Leyes de Accidentes Automovilísticos de Carolina del Sur
- Leyes de Asientos de Auto para Niños de Carolina del Sur
- Leyes de Custodia de Menores de Carolina del Sur
- Leyes de Manutención Infantil de Carolina del Sur
- Leyes de Matrimonio de Hecho de Carolina del Sur
- Leyes sobre Deepfakes de Carolina del Sur
- Leyes de Divorcio de Carolina del Sur
- Leyes sobre Mordeduras de Perro de Carolina del Sur
- Leyes de Emancipación de Carolina del Sur
- Leyes de Eliminación de Antecedentes Penales de Carolina del Sur
- Leyes de Fuga del Lugar del Accidente de Carolina del Sur
- Leyes de Arrendador-Inquilino de Carolina del Sur
- Ley del Limón de Carolina del Sur
Este artículo es solo para fines informativos y no constituye asesoría legal. Las leyes de privacidad de datos cambian con frecuencia, y las interpretaciones de aplicación evolucionan con el tiempo. Consulte a un abogado con licencia en Carolina del Sur para obtener asesoría sobre su situación específica. Última revisión: mayo de 2026.
Preguntas frecuentes
¿Carolina del Sur tiene una ley integral de privacidad de datos del consumidor?
No. A partir de mayo de 2026, Carolina del Sur no tiene una ley integral de privacidad de datos del consumidor similar a la Ley de Privacidad del Consumidor de California o la Ley de Protección de Datos del Consumidor de Virginia. Los residentes de Carolina del Sur no tienen un derecho legal general de acceder, eliminar, o corregir los datos personales en poder de empresas privadas. El estado depende de los requisitos de notificación de violaciones, la Ley de Seguridad de Datos de Seguros, la Ley de Fraude de Identidad Financiera y Protección contra el Robo de Identidad, y las leyes federales para la protección de la privacidad de datos. El Proyecto de Ley de la Cámara 3401 (Ley de Transparencia Tecnológica) se ha presentado en la sesión legislativa 2025-2026 y establecería derechos integrales de privacidad de datos del consumidor de ser promulgado, pero permanece en comité a partir de mayo de 2026.
¿Qué información personal está cubierta por la ley de notificación de violaciones de Carolina del Sur?
La ley de notificación de violaciones de Carolina del Sur (S.C. Code Ann. Sección 39-1-90) cubre el nombre de pila o la inicial del nombre de pila y el apellido de un residente combinados con uno o más de los siguientes elementos de datos sin cifrar: número de Seguro Social, número de licencia de conducir o número de tarjeta de identificación estatal, o número de cuenta financiera, número de tarjeta de crédito, o número de tarjeta de débito combinado con cualquier código de seguridad, código de acceso, o contraseña requerido. La información disponible públicamente y los registros gubernamentales legalmente disponibles al público quedan excluidos de la definición. Tenga en cuenta que la definición de Carolina del Sur es más limitada que la de muchos otros estados y actualmente no incluye datos biométricos, información médica, o credenciales en línea.
¿Con qué rapidez debe una empresa notificar a los residentes de Carolina del Sur sobre una violación de datos?
Carolina del Sur no establece un número específico de días para la notificación de violaciones. La ley exige la divulgación en el tiempo más expedito posible y sin demora injustificada. El plazo debe tener en cuenta las necesidades legítimas de las fuerzas del orden y las medidas necesarias para determinar el alcance de la violación y restaurar la integridad del sistema. Las fuerzas del orden pueden solicitar un retraso si la notificación obstaculizara una investigación criminal. Cuando una violación afecta a más de 1,000 residentes, la empresa también debe notificar al Departamento de Asuntos del Consumidor de Carolina del Sur y a todas las agencias de informes crediticios de alcance nacional.
¿Cuáles son las sanciones por no cumplir con la ley de notificación de violaciones de Carolina del Sur?
Los residentes de Carolina del Sur perjudicados por una infracción de notificación de violaciones pueden presentar una acción civil. Para las infracciones intencionales y conscientes, los tribunales tienen discreción para otorgar daños. Para las infracciones negligentes, la recuperación se limita a los daños reales. Los demandantes que ganen el caso también pueden recuperar los honorarios de abogado y los costos judiciales, y pueden solicitar un mandamiento judicial para hacer cumplir la ley. El Departamento de Asuntos del Consumidor también puede imponer una multa administrativa de $1,000 por residente cuya información fue accesible a causa de la violación, en el caso de infracciones conscientes e intencionales.
¿Qué prohíbe la Ley 37 de 2025 de Carolina del Sur?
La Ley 37 de 2025, codificada en S.C. Code Ann. Sección 16-15-332 y firmada el 12 de mayo de 2025, penaliza la divulgación no autorizada de imágenes íntimas e imágenes íntimas falsificadas digitalmente (incluyendo deepfakes generados por IA). Una persona que difunde intencionalmente dichas imágenes sin el consentimiento efectivo de la persona representada es culpable de un delito grave. Una primera infracción conlleva una multa de hasta $5,000 o prisión de hasta cinco años. Una segunda infracción o infracciones posteriores conllevan una multa de hasta $10,000 o prisión de uno a diez años. Cada divulgación de múltiples imágenes puede constituir un delito separado.
¿Qué exige la Ley TAKE IT DOWN a las plataformas en línea?
La Ley TAKE IT DOWN (Pub. L. 119-12), firmada el 19 de mayo de 2025, exige a las plataformas en línea cubiertas crear un proceso para recibir reportes de representaciones visuales íntimas no consentidas y eliminar las representaciones reportadas dentro de 48 horas de recibida la notificación. Las plataformas también deben hacer esfuerzos razonables para identificar y eliminar copias idénticas. La FTC comenzó a hacer cumplir estos requisitos de las plataformas el 19 de mayo de 2026. El incumplimiento de una plataforma constituye un acto o práctica injusta o engañosa bajo la Ley de la FTC. La prohibición penal de publicar representaciones visuales íntimas no consentidas entró en vigencia inmediatamente tras la firma de la ley.
¿La Ley de Seguridad de Datos de Seguros de Carolina del Sur se aplica a todas las empresas?
No. La Ley de Seguridad de Datos de Seguros de Carolina del Sur (S.C. Code Ann. Título 38, Capítulo 99) se aplica únicamente a los licenciatarios del Departamento de Seguros de Carolina del Sur, incluyendo compañías de seguros, agentes, corredores, y ajustadores. Estos licenciatarios deben mantener un programa integral y escrito de seguridad de la información, realizar evaluaciones de riesgos, supervisar a los proveedores de servicios externos, y notificar al Director de Seguros dentro de 72 horas de un evento de ciberseguridad que cumpla con los umbrales especificados. Las sanciones alcanzan $15,000 por infracción o $30,000 por infracción intencional. Las empresas fuera de la industria de seguros no están cubiertas por esta Ley, pero pueden estar sujetas a requisitos federales o de otros estados en materia de seguridad de datos.
¿Qué es la Ley de Regulación de Redes Sociales de Carolina del Sur?
La Ley de Regulación de Redes Sociales de Carolina del Sur (Ley No. 96, HB 3431) fue firmada por el Gobernador McMaster el 5 de febrero de 2026. Se aplica a los servicios en línea cubiertos que es razonablemente probable que sean accedidos por menores y que cumplan con los umbrales de tamaño especificados. Las plataformas cubiertas deben implementar configuraciones de privacidad predeterminada para los usuarios menores de edad, proporcionar herramientas de supervisión parental, y restringir ciertas funciones de cuenta para los menores. Un informe de auditoría independiente vence el 1 de julio de 2026. La Ley no crea derechos generales de datos del consumidor para los residentes adultos de Carolina del Sur.
Fuentes y referencias
- S.C. Code Ann. Sección 39-1-90 - Ley de Notificación de Violaciones(scstatehouse.gov).gov
- Departamento de Asuntos del Consumidor de Carolina del Sur - Reporte de una Violación de Seguridad(consumer.sc.gov).gov
- Departamento de Asuntos del Consumidor de Carolina del Sur - Avisos de Violación de Seguridad(consumer.sc.gov).gov
- Ley de Seguridad de Datos de Seguros de Carolina del Sur (Título 38, Capítulo 99)(scstatehouse.gov).gov
- Departamento de Seguros de Carolina del Sur - Ciberseguridad(doi.sc.gov).gov
- Departamento de Seguros de Carolina del Sur - Formulario para Reportar un Evento de Ciberseguridad(doi.sc.gov).gov
- Guía del Consumidor de FIFITPA - Departamento de Asuntos del Consumidor de Carolina del Sur(consumer.sc.gov).gov
- Ley de Protección de la Privacidad Familiar (Título 30, Capítulo 2)(scstatehouse.gov).gov
- Ley de Prácticas Comerciales Injustas de Carolina del Sur (Título 39, Capítulo 5)(scstatehouse.gov).gov
- HB 3058 - Divulgación de Imágenes Íntimas (Ley 37 de 2025)(scstatehouse.gov).gov
- Proyecto de Ley 3401 - Ley de Transparencia Tecnológica (sesión 2025-2026)(scstatehouse.gov).gov
- Proyecto de Ley 3431 - Ley de Regulación de Redes Sociales de Carolina del Sur (Ley No. 96, 2026)(scstatehouse.gov).gov
- Proyecto de Ley 3400 - Ley de Privacidad y Protección de Datos Infantiles (sesión 2025-2026)(scstatehouse.gov).gov
- Ley TAKE IT DOWN - Biblioteca Legal de la FTC(ftc.gov).gov
- FTC - La Aplicación de la Ley Take It Down Comienza Ahora (mayo de 2026)(ftc.gov).gov
- Departamento de Salud y Servicios Humanos de EE.UU. - Regla de Privacidad de HIPAA(hhs.gov).gov
- Comisión Federal de Comercio - Ley Gramm-Leach-Bliley(ftc.gov).gov
- Departamento de Educación de EE.UU. - FERPA(ed.gov).gov
- Comisión Federal de Comercio - Regla COPPA(ftc.gov).gov
- Departamento de Salud Pública de Carolina del Sur - Registros Médicos(dph.sc.gov).gov