Tennessee
Leyes de Notificación de Violación de Datos de Tennessee: Reglas de Reporte y Plazos (2026)

Tennessee exige que las empresas notifiquen a los residentes afectados por una violación de datos a más tardar 45 días después del descubrimiento, según Tenn. Code Ann. 47-18-2107. La ley se aplica a cualquier entidad que realice negocios en Tennessee y que posea o tenga bajo licencia datos computarizados que contengan información personal de residentes del estado.
La ley de notificación de violación de datos de Tennessee está codificada en Tenn. Code 47-18-2107 dentro de la Identity Theft Deterrence Act del estado (Parte 21 de la Ley de Protección al Consumidor de Tennessee). Promulgado originalmente en 2005, el estatuto recibió enmiendas significativas en 2016 y 2017 que añadieron un plazo firme de notificación de 45 días y requisitos técnicos de cifrado.
Si su negocio maneja información personal perteneciente a residentes de Tennessee, una violación de datos activa obligaciones específicas de notificación. Tennessee se destaca entre los estados por otorgar un derecho de acción privada a los consumidores perjudicados, lo que permite a las personas demandar tanto por daños como por medidas cautelares.
Esta guía cubre los requisitos completos bajo la ley de Tennessee, incluyendo cómo se conectan con el marco más amplio de las leyes de privacidad de datos de Tennessee.
Quién Debe Cumplir
La ley de Tennessee se aplica a cualquier "responsable de la información" (information holder), lo cual incluye a cualquier persona o negocio que realice negocios en Tennessee y que posea o tenga bajo licencia datos computarizados que incluyan información personal de residentes de Tennessee. Las agencias estatales y las subdivisiones políticas también están cubiertas.
La ley también se aplica a los administradores de datos externos (third-party data maintainers). Cualquier entidad que mantenga datos computarizados en nombre de otra entidad debe notificar al propietario o licenciatario de los datos dentro de los 45 días posteriores al descubrimiento de una violación. El propietario de los datos entonces asume la obligación de notificar a los consumidores afectados.
Exenciones de la Ley Federal
Las entidades sujetas a los siguientes marcos federales están exentas de los requisitos de notificación de violaciones de Tennessee, siempre que cumplan con los procedimientos federales de notificación aplicables:
- Gramm-Leach-Bliley Act (GLBA) para instituciones financieras
- Health Insurance Portability and Accountability Act (HIPAA) (Ley de Portabilidad y Responsabilidad del Seguro Médico) para entidades de atención médica cubiertas y sus asociados comerciales
Estas entidades deben seguir cumpliendo con sus obligaciones federales de notificación de violaciones.
Qué Activa la Notificación
Bajo la Sección 47-18-2107, una "violación de la seguridad del sistema" (breach of system security) significa la adquisición no autorizada de datos computarizados que compromete materialmente la seguridad, confidencialidad o integridad de la información personal mantenida por el responsable de la información.
El término clave es "compromete materialmente". No todo acceso no autorizado activa la notificación. La violación debe afectar materialmente la seguridad de la información personal, lo que otorga a las entidades cierta flexibilidad para evaluar si un incidente técnico alcanza el nivel de una violación reportable.
Excepción de Buena Fe
La adquisición de buena fe de información personal por parte de un empleado o agente del responsable de la información no constituye una violación, siempre que la información no sea utilizada ni esté sujeta a una divulgación no autorizada adicional.
Puerto Seguro de Cifrado

Tennessee ofrece un puerto seguro de cifrado vinculado a un estándar federal específico. Bajo las enmiendas de 2017 (SB 547), los datos cifrados de conformidad con el Federal Information Processing Standard (FIPS) 140-2 (Estándar Federal de Procesamiento de Información) están protegidos de los requisitos de notificación de violaciones, siempre que el proceso o la clave de descifrado no hayan sido también adquiridos, divulgados o utilizados sin autorización durante la violación.
Este es un estándar más específico que el que exigen muchos otros estados. FIPS 140-2 es el estándar del gobierno federal para módulos criptográficos, lo que significa que las empresas deben usar métodos de cifrado validados y no simplemente cualquier algoritmo de cifrado.
Información Personal que Activa la Ley
La definición de información personal de Tennessee es relativamente restringida en comparación con estados que han actualizado sus leyes en años recientes. Bajo la Sección 47-18-2107, información personal significa el nombre o la inicial del nombre y el apellido de una persona, en combinación con uno o más de los siguientes elementos de datos:
- Número de Seguro Social
- Número de licencia de conducir
- Número de cuenta, tarjeta de crédito o tarjeta de débito, en combinación con cualquier código de seguridad, código de acceso o contraseña requerida que permita el acceso a la cuenta financiera de la persona
Lo Que la Ley de Tennessee No Cubre
La definición no se extiende a:
- Información médica o de salud
- Números de identificación de seguro médico
- Datos biométricos
- Números de pasaporte
- Credenciales de correo electrónico (nombres de usuario con contraseñas)
- Números de identificación fiscal (distintos del SSN)
La información personal no incluye información puesta legalmente a disposición del público en general a partir de registros gubernamentales federales, estatales o locales, ni información que haya sido redactada o inutilizada de otra manera.
El Plazo de Notificación de 45 Días

Bajo las enmiendas de 2017, la notificación debe realizarse de inmediato, pero a más tardar 45 días después del descubrimiento o notificación de la violación de la seguridad del sistema. Esto reemplazó el estándar anterior de "sin demora injustificada" por un plazo firme.
Retraso por Solicitud de las Autoridades
La notificación puede retrasarse si una agencia de las fuerzas del orden determina que la notificación obstaculizará una investigación criminal. Una vez que las autoridades determinen que la notificación ya no comprometerá la investigación, el responsable de la información debe proporcionar la notificación dentro de los 45 días posteriores a esa determinación.
Responsables de Datos de Terceros
Cuando un tercero que mantiene datos en nombre de otra entidad descubre una violación, ese tercero debe notificar al propietario o licenciatario de los datos dentro de los 45 días. El propietario de los datos entonces tiene su propio plazo de 45 días para notificar a los consumidores afectados.
Quién Debe Ser Notificado
Personas Afectadas
Todo residente de Tennessee cuya información personal haya sido, o razonablemente se crea que haya sido, adquirida por una persona no autorizada debe recibir notificación.
Agencias de Informes Crediticios (Umbral de 1,000+)
Cuando un responsable de la información debe notificar a más de 1,000 personas a la vez, también debe notificar, sin demora injustificada, a todas las agencias de informes crediticios de alcance nacional (Equifax, Experian y TransUnion) sobre el momento, la distribución y el contenido de los avisos a los consumidores.
Sin Notificación Obligatoria al Fiscal General
El estatuto de notificación de violaciones de Tennessee no exige la notificación directa al Fiscal General para violaciones del sector privado. Esto es inusual entre los estados que han modernizado sus leyes de notificación de violaciones. El Fiscal General de Tennessee tiene autoridad de aplicación bajo la Ley de Protección al Consumidor de Tennessee, pero no recibe reportes obligatorios de violaciones bajo la Sección 47-18-2107.
Para las agencias estatales, una disposición separada (Tenn. Code 8-4-119) exige la notificación al Contralor del Tesoro dentro de los cinco días hábiles posteriores a una violación confirmada o sospechada.
Métodos de Notificación
Tennessee permite dos métodos principales de notificación:
- Aviso escrito enviado a la persona
- Aviso electrónico, si es conforme con la ley federal E-SIGN Act (15 U.S.C. 7001) o si la comunicación electrónica es el método principal de comunicación de la entidad con el residente
Aviso Sustitutivo
El aviso sustitutivo está disponible cuando el costo excede los $250,000, el grupo afectado excede las 500,000 personas, o la entidad carece de información de contacto suficiente. El aviso sustitutivo requiere los tres elementos siguientes: aviso por correo electrónico a las direcciones disponibles, publicación visible en el sitio web de la entidad, y notificación a los medios de comunicación en todo el estado.
Sanciones y Aplicación de la Ley
Derecho de Acción Privada

Tennessee es uno de los estados que otorga un derecho de acción privada por violaciones de notificación de brechas. Bajo la Sección 47-18-2107, cualquier cliente de un responsable de la información (que sea una persona o entidad comercial, no una agencia estatal) que resulte perjudicado por una infracción puede iniciar una acción civil para:
- Recuperar daños resultantes de la infracción
- Obtener medidas cautelares para impedir que el responsable de la información cometa nuevas infracciones
Estos derechos son acumulativos, lo que significa que existen además de cualquier otro derecho o remedio disponible bajo la ley.
Limitación de Demandas Colectivas
La Ley de Protección al Consumidor de Tennessee incluye una restricción sobre las demandas colectivas. No se puede presentar una demanda colectiva para recuperar daños por un acto o práctica desleal o engañosa bajo la Ley de Protección al Consumidor, lo que puede limitar la litigación colectiva de consumidores por fallas en la notificación de violaciones.
Aplicación por el Fiscal General
El Fiscal General de Tennessee tiene la autoridad para hacer cumplir la ley de notificación de violaciones como parte de la Ley de Protección al Consumidor de Tennessee, más amplia. El Fiscal General puede buscar sanciones civiles, medidas cautelares y restitución al consumidor por infracciones.
La Tennessee Information Protection Act (TIPA)
Tennessee promulgó la Tennessee Information Protection Act (TIPA) en 2023, con fecha de entrada en vigor el 1 de julio de 2025. La TIPA es una ley integral de privacidad del consumidor que crea nuevas obligaciones para los controladores de datos, incluyendo requisitos sobre minimización de datos, limitación de propósito y derechos del consumidor.
La TIPA no reemplaza los requisitos de notificación de violaciones de la Sección 47-18-2107. Las dos leyes operan de manera independiente: la TIPA rige cómo las empresas recopilan y usan la información personal, mientras que la Sección 47-18-2107 rige lo que ocurre cuando esa información sufre una violación.
Más Leyes de Tennessee
- Leyes de Grabación de Reuniones con IA de Tennessee
- Leyes de Pensión Alimenticia Conyugal de Tennessee
- Leyes de Empleo a Voluntad de Tennessee
- Leyes de Accidentes de Auto de Tennessee
- Leyes de Asientos de Auto para Niños de Tennessee
- Leyes de Custodia de Menores de Tennessee
- Leyes de Manutención de Menores de Tennessee
- Leyes de Matrimonio de Hecho de Tennessee
- Leyes de Deepfakes de Tennessee
- Leyes de Divorcio de Tennessee
- Leyes de Mordeduras de Perro de Tennessee
- Leyes de Emancipación de Tennessee
- Leyes de Eliminación de Antecedentes Penales de Tennessee
- Leyes de Choque y Fuga de Tennessee
- Leyes de Propietarios e Inquilinos de Tennessee
- Leyes del Limón de Tennessee
Este artículo proporciona información legal general sobre las leyes de privacidad de datos de Tennessee y los requisitos de notificación de violaciones. No constituye asesoría legal y no crea una relación abogado-cliente. La respuesta a una violación de datos implica obligaciones sensibles al tiempo. Consulte a un abogado calificado con licencia en Tennessee para obtener orientación específica sobre su situación.
Preguntas frecuentes
¿Con qué rapidez debe una empresa notificar a los residentes de Tennessee después de una violación de datos?
Tennessee exige la notificación de inmediato, pero a más tardar 45 días después del descubrimiento o notificación de la violación. Si las autoridades solicitan un retraso, la notificación debe ocurrir dentro de los 45 días posteriores a que las autoridades determinen que la notificación no comprometerá la investigación.
¿Pueden las personas demandar por violaciones de notificación de brechas en Tennessee?
Sí. Tennessee otorga un derecho de acción privada a cualquier cliente de un responsable de la información que resulte perjudicado por una infracción. Los clientes pueden demandar por daños y buscar medidas cautelares para detener nuevas infracciones. Sin embargo, las demandas colectivas por daños están restringidas bajo la Ley de Protección al Consumidor de Tennessee.
¿Exige Tennessee que las empresas notifiquen al Fiscal General sobre una violación de datos?
No. El estatuto de notificación de violaciones de Tennessee (47-18-2107) no exige la notificación directa al Fiscal General para violaciones del sector privado. Las agencias de informes crediticios deben ser notificadas cuando se ven afectadas 1,000 o más personas. Las agencias estatales deben notificar por separado al Contralor del Tesoro dentro de los cinco días hábiles bajo Tenn. Code 8-4-119.
¿Qué estándar de cifrado exige Tennessee para la protección de puerto seguro?
Tennessee vincula su puerto seguro de cifrado al Federal Information Processing Standard (FIPS) 140-2, el estándar del gobierno federal para módulos criptográficos. Los datos cifrados de conformidad con FIPS 140-2 quedan excluidos de la notificación de violaciones, siempre que la clave de descifrado no también se haya visto comprometida.
¿La ley de notificación de violaciones de Tennessee cubre información médica o de salud?
No. La definición de información personal de Tennessee solo cubre números de Seguro Social, números de licencia de conducir y números de cuentas financieras con códigos de seguridad. La información médica, los datos de seguro médico, los datos biométricos y las credenciales de correo electrónico no están cubiertos. Sin embargo, las entidades de atención médica sujetas a [HIPAA tienen obligaciones federales separadas de notificación de violaciones](/us-laws/hipaa/reporting-hipaa-breaches).
¿Afectado por una filtración de datos o una violación de privacidad biométrica?
Si sus datos personales quedaron expuestos en una filtración, o si su huella dactilar o escaneo facial se recopiló sin su consentimiento, podría ser elegible para unirse a un reclamo por compensación. Averígüelo gratis y sin compromiso.
Fuentes y referencias
- Tenn. Code 47-18-2107 - Divulgación de Información Personal del Consumidor(law.justia.com)
- Fiscal General de Tennessee - Leyes del Consumidor(tn.gov).gov
- Contralor de Tennessee - Presentación en Línea de Violaciones de Datos(comptroller.tn.gov).gov
- Estándar NIST FIPS 140-2(csrc.nist.gov).gov
- Fiscal General de Tennessee - Lineamientos de la TIPA(tn.gov).gov