South Dakota
Leyes de Notificación de Violación de Datos de Dakota del Sur: Reglas y Plazos de Reporte (2026)

Dakota del Sur exige que las empresas notifiquen a los residentes afectados por una violación de datos dentro de 60 días de su descubrimiento, según SDCL 22-40-20. Cuando se ven afectados más de 250 residentes, el Fiscal General también debe recibir notificación. Las sanciones alcanzan hasta $10,000 por día por violación en caso de incumplimiento.
Dakota del Sur fue uno de los últimos estados en el país en promulgar una ley de notificación de violación de datos. El estatuto, Leyes Codificadas de Dakota del Sur 22-40-19 a 22-40-26, entró en vigor el 1 de julio de 2018 y aplica a cualquier titular de información que realice negocios en Dakota del Sur y que sea propietario o tenga licencia de información personal o protegida computarizada de residentes del estado.
A pesar de haber sido uno de los últimos en adoptarla, la ley de Dakota del Sur incluye varias características que la ponen en línea con los estatutos de notificación de violaciones más modernos: un plazo firme de notificación de 60 días, un umbral bajo de notificación al Fiscal General de 250 residentes, y sanciones diarias sustanciales por incumplimiento. La ley también introduce el concepto de "información protegida", que cubre credenciales de inicio de sesión incluso sin un nombre.
Esta guía cubre el alcance completo de los requisitos de notificación de violaciones de Dakota del Sur, incluyendo cómo se conectan con el marco más amplio de las leyes de privacidad de datos de Dakota del Sur.
Quién debe cumplir
La ley de Dakota del Sur aplica a cualquier "titular de información", definido como toda persona o empresa que realice negocios en Dakota del Sur y que sea propietaria o tenga licencia de información personal o protegida computarizada de residentes del estado. Las empresas ubicadas fuera de Dakota del Sur están cubiertas si poseen datos pertenecientes a residentes de Dakota del Sur.
Cuando un tercero mantiene datos en nombre del propietario o titular de la licencia de los datos, el tercero debe notificar al propietario o titular de la licencia inmediatamente después de descubrir una violación. El propietario de los datos entonces asume la responsabilidad de notificar a los residentes afectados y al Fiscal General.
Excepción por cumplimiento de la ley federal
Según la Sección 22-40-23, los titulares de información regulados por la ley federal que mantienen procedimientos de notificación de violaciones según los requisitos federales (como HIPAA o la Ley Gramm-Leach-Bliley) se consideran en cumplimiento con la ley de Dakota del Sur si notifican a los residentes afectados conforme a los requisitos federales aplicables.
Excepción por política de seguridad propia
Un titular de información que mantiene su propio procedimiento de notificación como parte de una política de seguridad de la información también se considera en cumplimiento, siempre que la política sea coherente con los requisitos de tiempo y el titular notifique a los individuos afectados conforme a sus propios procedimientos.
Qué activa la notificación
Según la Sección 22-40-19, una "violación de la seguridad del sistema" significa la adquisición no autorizada de datos computarizados no encriptados, o de datos computarizados encriptados junto con la clave de encriptación, por cualquier persona, que compromete materialmente la seguridad, confidencialidad o integridad de la información personal o protegida.
La definición se centra en la adquisición no autorizada, no solo en el acceso no autorizado. El simple acceso sin adquisición podría no activar la ley.
Puerto seguro de encriptación
Los datos encriptados están excluidos de la definición de violación a menos que la clave de encriptación también haya sido comprometida. Dakota del Sur define "encriptado" como datos convertidos en inutilizables, ilegibles o indescifrables sin un proceso de desencriptación o una clave, o datos encriptados conforme a FIPS 140-2 (el Estándar Federal de Procesamiento de Información vigente desde el 1 de enero de 2018).
Información personal que activa la ley
La definición de información personal de Dakota del Sur según la Sección 22-40-19 significa el primer nombre o la inicial del primer nombre y el apellido de una persona, en combinación con uno o más de los siguientes elementos de datos:
- Número de licencia de conducir u otro número de identificación único creado o recopilado por un organismo gubernamental
- Número de cuenta, tarjeta de crédito o débito, en combinación con cualquier código de seguridad, código de acceso, contraseña, número de ruta, PIN o información adicional requerida que permitiría el acceso a una cuenta financiera
- Información de salud según se define en 45 CFR 160.103 (la definición de HIPAA, que cubre condiciones de salud física o mental pasadas, presentes o futuras, la prestación de atención médica o el pago de atención médica)
- Número de identificación asignado por el empleador de la persona, en combinación con cualquier código de seguridad, código de acceso, contraseña o dato biométrico generado a partir de mediciones o análisis de características corporales humanas con fines de autenticación
La información personal no incluye información disponible legalmente en registros gubernamentales federales, estatales o locales, ni información que haya sido redactada o convertida de otra manera en inutilizable.
Aspecto notable: cobertura del número de Seguro Social
Si bien el resumen proporcionado por el usuario menciona los números de Seguro Social, el estatuto de Dakota del Sur los cubre a través de la categoría de "número de identificación único creado o recopilado por un organismo gubernamental", que abarca los números de Seguro Social, los números de identificación estatal y otros identificadores similares emitidos por el gobierno.

Información protegida: una categoría más amplia
Dakota del Sur es uno de los pocos estados que define una categoría separada de "información protegida". La información protegida incluye:
- Nombre de usuario o dirección de correo electrónico en combinación con una contraseña, respuesta de seguridad u otra información que permita el acceso a una cuenta en línea
- Número de cuenta o de tarjeta de crédito o débito en combinación con cualquier código de seguridad, código de acceso o contraseña requerido que permita el acceso a una cuenta financiera
La información protegida no requiere un componente de nombre para activar la notificación. Esto significa que una violación de direcciones de correo electrónico combinadas con contraseñas activa la notificación incluso sin que se hayan comprometido nombres.
El plazo de notificación de 60 días

Según la Sección 22-40-20, un titular de información debe divulgar la violación a cualquier residente afectado de Dakota del Sur a más tardar 60 días después del descubrimiento o de la notificación de la violación.
Demora por aplicación de la ley
La notificación puede retrasarse si una agencia de aplicación de la ley determina que la notificación impedirá una investigación criminal. Una vez que las autoridades determinen que la notificación ya no comprometerá la investigación, la notificación debe proporcionarse dentro de 30 días.
Quién debe ser notificado
Individuos afectados
Todo residente de Dakota del Sur cuya información personal o protegida fue, o se cree razonablemente que fue, adquirida por una persona no autorizada debe recibir notificación.
Fiscal General (umbral de 250+)

Cuando una violación afecta a más de 250 residentes de Dakota del Sur, el titular de la información debe notificar al Fiscal General de Dakota del Sur por correo postal o electrónico. Este es uno de los umbrales de notificación al Fiscal General más bajos del país.
Agencias de reporte de crédito al consumidor
Si se requiere la divulgación a los consumidores o al Fiscal General, también se debe notificar a las agencias nacionales de reporte de crédito (Equifax, Experian y TransUnion).
Métodos de notificación
Según la Sección 22-40-22, Dakota del Sur permite tres tipos de aviso:
- Aviso escrito a la última dirección conocida
- Aviso electrónico, si es coherente con las disposiciones federales de registros electrónicos o si la comunicación electrónica es el método principal de contacto del titular de la información con el residente
- Aviso sustituto, si el costo excedería $250,000, la clase afectada supera las 500,000 personas, o el titular carece de información de contacto suficiente. El aviso sustituto requiere correo electrónico a las direcciones disponibles, publicación visible en el sitio web y notificación a los medios de comunicación estatales.
Sanciones por incumplimiento
La estructura de sanciones de Dakota del Sur está entre las más severas del país para un estado sin derecho de acción privada.
Sanciones civiles
Según la Sección 22-40-25, el Fiscal General puede iniciar una acción para recuperar una sanción civil de hasta $10,000 por día por violación. Para una violación que permanece sin reportar durante semanas o meses, esta estructura diaria crea una exposición financiera significativa.
Procesamiento por actos engañosos
El Fiscal General también puede procesar cada falla en la divulgación como un acto o práctica engañosa según el Capítulo 37-24, que proporciona remedios adicionales, incluyendo medidas cautelares, restitución al consumidor y sanciones civiles.
Honorarios de abogados y costos
El Fiscal General puede recuperar los honorarios de abogados y los costos asociados con cualquier acción de aplicación de la ley.
Sin derecho de acción privada
La ley de notificación de violaciones de Dakota del Sur no crea un derecho de acción privada. Solo el Fiscal General puede hacer cumplir el estatuto. Los individuos pueden presentar reclamaciones bajo otras teorías legales, como negligencia, pero no según el propio estatuto de notificación de violaciones.
Más leyes de Dakota del Sur
- Leyes de Grabación con IA en Reuniones de Dakota del Sur
- Leyes de Pensión Alimenticia de Dakota del Sur
- Leyes de Empleo a Voluntad de Dakota del Sur
- Leyes de Accidentes de Auto de Dakota del Sur
- Leyes de Asientos de Auto de Dakota del Sur
- Leyes de Custodia de Menores de Dakota del Sur
- Leyes de Manutención de Menores de Dakota del Sur
- Leyes de Matrimonio de Hecho de Dakota del Sur
- Leyes de Deepfake de Dakota del Sur
- Leyes de Divorcio de Dakota del Sur
- Leyes de Mordeduras de Perro de Dakota del Sur
- Leyes de Emancipación de Dakota del Sur
- Leyes de Eliminación de Antecedentes de Dakota del Sur
- Leyes de Choque y Fuga de Dakota del Sur
- Leyes de Propietarios e Inquilinos de Dakota del Sur
- Leyes del Limón de Dakota del Sur
Este artículo proporciona información legal general sobre las leyes de privacidad de datos de Dakota del Sur y los requisitos de notificación de violaciones. No constituye asesoría legal ni crea una relación abogado-cliente. La respuesta ante una violación de datos implica obligaciones sujetas a plazos de tiempo. Consulte a un abogado calificado con licencia en Dakota del Sur para obtener orientación específica sobre su situación.
Preguntas frecuentes
¿Con qué rapidez debe una empresa notificar a los residentes de Dakota del Sur después de una violación de datos?
Dakota del Sur exige la notificación dentro de 60 días de descubrir o ser notificada de la violación. Si las autoridades solicitan una demora porque la notificación impediría una investigación criminal, la notificación debe enviarse dentro de 30 días después de que las autoridades determinen que ya no comprometerá la investigación.
¿Cuándo debe notificarse al Fiscal General de Dakota del Sur sobre una violación de datos?
El Fiscal General debe ser notificado por correo postal o electrónico cuando una violación afecta a más de 250 residentes de Dakota del Sur. Este es uno de los umbrales de notificación al Fiscal General más bajos del país. Las agencias de reporte de crédito también deben ser notificadas cuando se requiere la notificación al Fiscal General.
¿Cuál es la diferencia entre información personal e información protegida según la ley de Dakota del Sur?
La información personal requiere un nombre combinado con elementos de datos como números de identificación gubernamental, datos de cuentas financieras, información de salud o identificaciones asignadas por el empleador con datos biométricos. La información protegida no requiere un nombre. Cubre nombres de usuario o direcciones de correo electrónico combinados con contraseñas o respuestas de seguridad, y números de cuentas financieras con códigos de acceso. Ambas categorías activan las obligaciones de notificación.
¿Cuáles son las sanciones por no notificar una violación de datos en Dakota del Sur?
El Fiscal General puede buscar sanciones civiles de hasta $10,000 por día por violación, más honorarios de abogados y costos. Las violaciones también pueden procesarse como actos engañosos según el Capítulo 37-24, que proporciona remedios adicionales. No existe un derecho de acción privada para los individuos.
¿La ley de notificación de violaciones de Dakota del Sur cubre información de salud?
Sí. Dakota del Sur define la información de salud por referencia a 45 CFR 160.103, la definición de HIPAA. Esto cubre información relacionada con condiciones de salud física o mental pasadas, presentes o futuras, la prestación de atención médica o el pago de atención médica creada o recibida por proveedores de atención médica, planes de salud, empleadores, escuelas o cámaras de compensación.
¿Afectado por una filtración de datos o una violación de privacidad biométrica?
Si sus datos personales quedaron expuestos en una filtración, o si su huella dactilar o escaneo facial se recopiló sin su consentimiento, podría ser elegible para unirse a un reclamo por compensación. Averígüelo gratis y sin compromiso.
Fuentes y referencias
- Leyes Codificadas de Dakota del Sur Capítulo 22-40 - Delitos de Identidad(sdlegislature.gov).gov
- Sección 22-40-19 - Definiciones(law.justia.com)
- Sección 22-40-20 - Aviso de Violación(law.justia.com)
- Sección 22-40-25 - Procesamiento por Violaciones(law.justia.com)
- Protección al Consumidor de Dakota del Sur - Violaciones de Seguridad(consumer.sd.gov).gov