South Carolina
Leyes de Notificación de Violación de Datos de Carolina del Sur: Reglas y Plazos de Reporte (2026)

Carolina del Sur exige que las empresas notifiquen a los residentes afectados por una violación de datos en el tiempo más expedito posible y sin demora injustificada, según el Código de S.C. 39-1-90. No existe un plazo fijo en días. Cuando se ven afectados 1,000 residentes o más, las empresas también deben notificar a la División de Protección al Consumidor del Departamento de Asuntos del Consumidor.
Si su empresa maneja datos personales pertenecientes a residentes de Carolina del Sur, una violación de datos activa obligaciones de notificación según la Sección 39-1-90 del Código de S.C.. La ley de notificación de violaciones de Carolina del Sur está vigente desde 2009 y aplica a cualquier persona que realice negocios en el estado y que sea propietaria o tenga licencia de datos computarizados que incluyan información personal de identificación.
A diferencia de muchos estados que han adoptado plazos fijos en días en años recientes, Carolina del Sur todavía utiliza un estándar de "sin demora injustificada". La ley también se destaca por otorgar a los individuos un derecho de acción privada y por canalizar la aplicación a través del Departamento de Asuntos del Consumidor en lugar del Fiscal General.
Esta guía cubre todos los requisitos según la ley de Carolina del Sur, incluyendo cómo se conectan con el marco más amplio de las leyes de privacidad de datos de Carolina del Sur.
Quién debe cumplir
La ley de Carolina del Sur aplica a cualquier persona que realice negocios en el estado y que sea propietaria o tenga licencia de datos computarizados que incluyan información personal de identificación de residentes de Carolina del Sur. El término "persona" incluye individuos, empresas, corporaciones, sociedades y otras entidades.
Cuando un tercero mantiene datos en nombre del propietario o titular de la licencia de los datos, el tercero debe notificar al propietario o titular de la licencia inmediatamente después de descubrir una violación. El propietario de los datos entonces asume la obligación de notificación hacia los residentes afectados.
Excepción para instituciones financieras
Los bancos e instituciones financieras que cumplen con los requisitos de notificación de la guía interagencial de la Ley Gramm-Leach-Bliley (GLBA) sobre programas de respuesta ante el acceso no autorizado a información de clientes están exentos de los requisitos generales de notificación de la Sección 39-1-90.
Qué activa la notificación
Según la Sección 39-1-90, una violación de la seguridad del sistema significa el acceso no autorizado y la adquisición de datos computarizados que compromete la seguridad, confidencialidad o integridad de la información personal mantenida por la entidad.
Se requiere notificación cuando la información personal de identificación que no fue inutilizada mediante encriptación, redacción u otros métodos fue, o se cree razonablemente que fue, adquirida por una persona no autorizada, y además:
- Ha ocurrido o es razonablemente probable que ocurra un uso ilegal de la información, o
- El uso de la información crea un riesgo material de daño al residente
Este disparador de dos condiciones otorga a las entidades cierto margen para evaluar el riesgo. No toda violación técnica requiere automáticamente notificación. La entidad debe determinar si realmente ocurrió una adquisición no autorizada y si esta representa un riesgo significativo.
Excepción de buena fe
La adquisición de buena fe de información personal por parte de un empleado o agente de la persona no constituye una violación, siempre que la información no sea utilizada ni esté sujeta a divulgación no autorizada posterior.
Puerto seguro de encriptación
Si la información personal de identificación fue inutilizada mediante encriptación, redacción u otros métodos, no se requiere notificación. Carolina del Sur no especifica un estándar mínimo de encriptación (a diferencia de Rhode Island, que exige encriptación de 128 bits), por lo que cualquier método de encriptación generalmente aceptado debería calificar.
Información personal que activa la ley
Según la Sección 39-1-90, información personal de identificación significa el primer nombre o la inicial del primer nombre y el apellido de un residente, en combinación y vinculado con uno o más de los siguientes elementos de datos, cuando estos no estén encriptados ni redactados:
- Número de Seguro Social
- Número de licencia de conducir o número de tarjeta de identificación estatal
- Número de cuenta financiera o número de tarjeta de crédito o débito, en combinación con cualquier código de seguridad, código de acceso o contraseña requerido que permitiría el acceso a la cuenta financiera de un residente
- Otros números o información que puedan usarse para acceder a las cuentas financieras de una persona
- Números de identificación emitidos por el gobierno
La inclusión por parte de Carolina del Sur de "otros números o información que puedan usarse para acceder a las cuentas financieras de una persona" es una disposición general que amplía la cobertura más allá de las categorías específicas enumeradas. Sin embargo, la ley no cubre información médica, datos de seguros de salud, datos biométricos ni credenciales de correo electrónico, lo que la hace más limitada que algunas leyes estatales actualizadas más recientemente.
La información personal de identificación no incluye información obtenida legalmente de fuentes disponibles públicamente o de registros gubernamentales federales, estatales o locales que estén legalmente disponibles para el público en general.
Cronograma de notificación

Carolina del Sur exige la notificación "en el tiempo más expedito posible y sin demora injustificada". La ley no impone un plazo específico en días.
El cronograma de notificación debe ser coherente con:
- Las necesidades legítimas de la aplicación de la ley (si las autoridades solicitan una demora)
- Las medidas necesarias para determinar el alcance de la violación y restaurar la integridad, seguridad y confidencialidad razonables del sistema de datos
Demora por aplicación de la ley
La notificación puede retrasarse si una agencia de aplicación de la ley determina que la notificación impedirá una investigación criminal. Una vez que las autoridades determinen que la notificación ya no comprometerá la investigación, la entidad debe proceder con la notificación.

Quién debe ser notificado
Individuos afectados
Todo residente de Carolina del Sur cuya información personal de identificación fue, o se cree razonablemente que fue, adquirida por una persona no autorizada debe recibir notificación.
Agencias de reporte de crédito y la División de Protección al Consumidor (umbral de 1,000+)
Cuando una persona debe notificar a 1,000 personas o más sobre una violación al mismo tiempo, esa persona también debe notificar, sin demora injustificada, a la División de Protección al Consumidor del Departamento de Asuntos del Consumidor de Carolina del Sur y a todas las agencias nacionales de reporte de crédito (Equifax, Experian y TransUnion) sobre el momento, la distribución y el contenido de los avisos.
Sin notificación al Fiscal General
Carolina del Sur es uno de los pocos estados que no canaliza las notificaciones de violaciones hacia la oficina del Fiscal General. El Departamento de Asuntos del Consumidor maneja la aplicación de la ley y recibe los reportes de violaciones grandes.
Métodos de notificación
Carolina del Sur permite varios métodos de notificación:
- Aviso escrito al residente afectado
- Aviso electrónico, si el método principal de comunicación de la entidad con el residente es electrónico
- Aviso telefónico
- Aviso sustituto, si el costo de proporcionar el aviso excede $250,000, la población afectada supera las 500,000 personas, o la entidad no cuenta con información de contacto suficiente. El aviso sustituto requiere aviso por correo electrónico a las direcciones disponibles, publicación visible en el sitio web de la entidad y notificación a los principales medios de comunicación estatales.
Sanciones y aplicación de la ley

La ley de notificación de violaciones de Carolina del Sur incluye mecanismos de aplicación tanto privados como públicos.
Derecho de acción privada
Carolina del Sur es uno de los estados que otorga a los individuos el derecho de demandar por violaciones a la notificación de infracciones:
- Violaciones intencionales y deliberadas: un residente perjudicado por una violación puede iniciar una acción civil para recuperar daños
- Violaciones por negligencia: un residente puede iniciar una acción civil, pero la recuperación se limita a los daños reales
Esta distinción es importante. Para violaciones intencionales, los demandantes pueden recuperar daños más amplios. Para violaciones por negligencia, la reclamación se limita a las pérdidas reales comprobables.
Sanciones administrativas
Una persona que viole la ley de forma intencional y deliberada está sujeta a una multa administrativa de $1,000 por cada residente de Carolina del Sur cuya información fue accesible a causa de la violación. La multa es determinada por el Departamento de Asuntos del Consumidor.
Medidas cautelares
El Departamento de Asuntos del Consumidor también puede solicitar medidas cautelares para abordar violaciones en curso.
Sin aplicación por parte del Fiscal General
A diferencia de la mayoría de los estados, el Fiscal General de Carolina del Sur no tiene un papel directo de aplicación bajo la Sección 39-1-90. La autoridad de aplicación recae en el Departamento de Asuntos del Consumidor.
La Ley de Seguridad de Datos de Seguros (Código de S.C. 38-99)
Carolina del Sur promulgó la Ley de Seguridad de Datos de Seguros en 2018, basada en la Ley Modelo de Seguridad de Datos de Seguros de la NAIC. Este estatuto independiente aplica específicamente a los titulares de licencia del Departamento de Seguros, incluyendo aseguradoras, agentes y otras entidades autorizadas bajo el Título 38.
Diferencias clave respecto a la ley general de notificación de violaciones:
- Reporte en 72 horas: los titulares de licencia deben notificar al Director de Seguros dentro de las 72 horas posteriores a determinar que ha ocurrido un evento de ciberseguridad, cuando se cumplen ciertos umbrales
- Programa de seguridad de la información: los titulares de licencia deben implementar un programa integral y escrito de seguridad de la información
- Proveedores de servicios externos: los titulares de licencia deben ejercer la debida diligencia al seleccionar proveedores de servicios externos y exigirles que implementen medidas de seguridad adecuadas
Las aseguradoras con relaciones contractuales directas con los consumidores afectados deben cumplir también con los requisitos de notificación al consumidor de la Sección 39-1-90, además de las obligaciones de la Ley de Seguridad de Datos de Seguros.
Más leyes de Carolina del Sur
- Leyes de Grabación con IA en Reuniones de Carolina del Sur
- Leyes de Pensión Alimenticia de Carolina del Sur
- Leyes de Empleo a Voluntad de Carolina del Sur
- Leyes de Accidentes de Auto de Carolina del Sur
- Leyes de Asientos de Auto de Carolina del Sur
- Leyes de Custodia de Menores de Carolina del Sur
- Leyes de Manutención de Menores de Carolina del Sur
- Leyes de Matrimonio de Hecho de Carolina del Sur
- Leyes de Deepfake de Carolina del Sur
- Leyes de Divorcio de Carolina del Sur
- Leyes de Mordeduras de Perro de Carolina del Sur
- Leyes de Emancipación de Carolina del Sur
- Leyes de Eliminación de Antecedentes de Carolina del Sur
- Leyes de Choque y Fuga de Carolina del Sur
- Leyes de Propietarios e Inquilinos de Carolina del Sur
- Leyes del Limón de Carolina del Sur
Este artículo proporciona información legal general sobre las leyes de privacidad de datos de Carolina del Sur y los requisitos de notificación de violaciones. No constituye asesoría legal ni crea una relación abogado-cliente. La respuesta ante una violación de datos implica obligaciones sujetas a plazos de tiempo. Consulte a un abogado calificado con licencia en Carolina del Sur para obtener orientación específica sobre su situación.
Preguntas frecuentes
¿Con qué rapidez debe una empresa notificar a los residentes de Carolina del Sur después de una violación de datos?
Carolina del Sur exige la notificación en el tiempo más expedito posible y sin demora injustificada. A diferencia de muchos estados, Carolina del Sur no impone un plazo específico en días, como 30, 45 o 60 días. El cronograma debe ser coherente con las necesidades de la aplicación de la ley y las medidas necesarias para determinar el alcance de la violación.
¿Carolina del Sur exige la notificación al Fiscal General por violaciones de datos?
No. Carolina del Sur no exige la notificación al Fiscal General. En cambio, cuando se ven afectados 1,000 residentes o más, la entidad debe notificar a la División de Protección al Consumidor del Departamento de Asuntos del Consumidor y a las agencias nacionales de reporte de crédito. El Departamento de Asuntos del Consumidor, no el Fiscal General, maneja la aplicación de la notificación de violaciones.
¿Pueden los individuos demandar por violaciones a la notificación de infracciones en Carolina del Sur?
Sí. Carolina del Sur otorga un derecho de acción privada a los residentes perjudicados por una violación. Para violaciones intencionales y deliberadas, los residentes pueden demandar por daños. Para violaciones por negligencia, los residentes pueden demandar, pero la recuperación se limita a los daños reales. Este es un remedio privado más amplio que el que ofrecen muchos estados.
¿Cuál es la relación entre el Código de S.C. 39-1-90 y la Ley de Seguridad de Datos de Seguros?
La ley general de notificación de violaciones (39-1-90) aplica a todas las empresas. La Ley de Seguridad de Datos de Seguros (Código de S.C. 38-99) agrega obligaciones adicionales para las aseguradoras y otros titulares de licencia del Departamento de Seguros, incluyendo un requisito de notificación en 72 horas al Director de Seguros. Las aseguradoras deben cumplir con ambos estatutos.
¿La ley de notificación de violaciones de Carolina del Sur cubre información médica o biométrica?
No. La definición de información personal de identificación de Carolina del Sur cubre números de Seguro Social, números de licencia de conducir, números de cuentas financieras con códigos de seguridad y otros números que pueden dar acceso a cuentas financieras. No cubre información médica, datos de seguros de salud, datos biométricos ni credenciales de correo electrónico, lo que la hace más limitada que muchos estados que han actualizado sus leyes en años recientes.
¿Afectado por una filtración de datos o una violación de privacidad biométrica?
Si sus datos personales quedaron expuestos en una filtración, o si su huella dactilar o escaneo facial se recopiló sin su consentimiento, podría ser elegible para unirse a un reclamo por compensación. Averígüelo gratis y sin compromiso.
Fuentes y referencias
- Código de S.C. Sección 39-1-90 - Notificación de Violación de Datos Empresariales(scstatehouse.gov).gov
- Asuntos del Consumidor de SC - Avisos de Violación de Seguridad(consumer.sc.gov).gov
- Código de S.C. Título 38 Capítulo 99 - Ley de Seguridad de Datos de Seguros(scstatehouse.gov).gov
- Departamento de Seguros de SC - Ciberseguridad(doi.sc.gov).gov