Texas
Leyes de Notificación de Violación de Datos de Texas: Reglas de Reporte y Plazos (2026)

Texas exige que las empresas notifiquen a las personas afectadas por una violación de datos sin demora injustificada y a más tardar 60 días después de determinar que ocurrió, según el Tex. Bus. & Com. Code 521.053. Las violaciones que afectan a 250 o más residentes de Texas también requieren notificación al Fiscal General dentro de 30 días.
Texas opera uno de los marcos de notificación de violación de datos más activamente aplicados del país. La ley de notificación de violaciones del estado, parte de la Ley de Aplicación y Protección contra el Robo de Identidad, exige que las empresas notifiquen a los residentes de Texas afectados y, en muchos casos, al Fiscal General, después de que un incidente de seguridad exponga información personal sensible.
Lo que distingue a Texas de la mayoría de los estados es su estructura de doble plazo. Las empresas enfrentan un plazo de 60 días para las notificaciones individuales y un plazo más corto de 30 días para reportar al Fiscal General. Combinado con una oficina del Fiscal General que ha obtenido más de $2.7 mil millones en acuerdos relacionados con privacidad desde 2022, estas reglas de reporte conllevan consecuencias reales por el incumplimiento.
Este artículo desglosa el marco completo de notificación, incluyendo quién debe reportar, qué activa la obligación, cómo funcionan las sanciones y qué defensas están disponibles según la ley de Texas.
Quién Debe Cumplir con la Ley de Notificación de Violaciones de Texas
La obligación de notificación según la Sección 521.053 se aplica a cualquier persona que haga negocios en Texas y posea o tenga licencia sobre datos computarizados que incluyan información personal sensible. El estatuto no define "hacer negocios" de manera restrictiva, lo que significa que las empresas fuera del estado que manejan datos pertenecientes a residentes de Texas están sujetas a la ley.
Las agencias estatales y los gobiernos locales enfrentan requisitos adicionales según la Sección 2054.1125 del Código de Gobierno, que les exige reportar incidentes de seguridad (incluyendo sospechas de violaciones y eventos de ransomware) al Departamento de Recursos de Información.
Los custodios de datos externos tienen una obligación separada. Según la Sección 521.053(c), cualquier persona que mantenga datos que no le pertenecen debe notificar al propietario de los datos inmediatamente después de descubrir una violación. El plazo de 60 días entonces comienza a correr para el propietario, no para el custodio.
Qué Califica como una Violación Según la Ley de Texas
Una "violación de la seguridad del sistema" se define según la Sección 521.053(a) como la adquisición no autorizada de datos computarizados que compromete la seguridad, confidencialidad o integridad de la información personal sensible mantenida por una persona.
La palabra clave es "adquisición." El simple acceso no autorizado puede no activar el requisito de notificación. Texas exige que los datos hayan sido realmente adquiridos, no solo accedidos o vistos, de una manera que comprometa su seguridad.
Una advertencia importante: incluso los datos cifrados pueden calificar como una violación si la persona no autorizada también obtuvo la clave de cifrado. El estatuto incluye explícitamente los "datos que están cifrados si la persona que accede a los datos tiene la clave requerida para descifrarlos."
Qué Datos Activan la Obligación de Notificación
La Sección 521.002 define la "información personal sensible" en dos categorías.
Categoría Uno: Nombre Más Identificador
El primer nombre (o la inicial del primer nombre) y el apellido de una persona combinados con uno o más de los siguientes elementos sin cifrar:
- Número de Seguro Social
- Número de licencia de conducir o número de identificación emitido por el gobierno
- Número de cuenta, número de tarjeta de crédito o número de tarjeta de débito combinado con cualquier código de seguridad, código de acceso o contraseña requerida que permitiera el acceso a la cuenta financiera de la persona
Categoría Dos: Información de Salud
Información que identifica a una persona y se relaciona con:
- La condición de salud física o mental de la persona
- La prestación de atención médica a la persona
- El pago por la atención médica proporcionada a la persona
Qué Está Excluido
La información personal sensible no incluye información disponible públicamente que sea puesta legalmente a disposición del público por el gobierno federal o un gobierno estatal o local.
El Puerto Seguro de Cifrado
Texas ofrece un puerto seguro de cifrado significativo. La definición de información personal sensible según la Sección 521.002 excluye los datos que han sido "vueltos ilegibles, inutilizables o indescifrables mediante cifrado, redacción u otro método." Si los datos comprometidos estaban debidamente cifrados y la clave de cifrado no también fue adquirida, la obligación de notificación no se aplica.
Este puerto seguro tiene límites. El cifrado debe haber estado vigente en el momento de la violación. Las empresas no pueden cifrar los datos después del hecho y reclamar la exención. Y si un atacante obtiene tanto los datos cifrados como la clave de descifrado, el puerto seguro desaparece.
Requisitos de Notificación de Doble Plazo

Texas es uno de los pocos estados que imponen plazos separados para la notificación individual y gubernamental, siendo el plazo gubernamental más corto.
Plazo de 60 Días: Notificación Individual
Según la Sección 521.053(b), una empresa debe divulgar la violación a cada persona afectada "sin demora injustificada y en cada caso a más tardar el día 60 después de la fecha en que la persona determina que ocurrió la violación."
El plazo comienza a correr cuando la empresa determina que ocurrió una violación, no cuando la sospecha por primera vez. Sin embargo, el lenguaje de "sin demora injustificada" significa que una empresa no puede retrasar deliberadamente su investigación para acercar las notificaciones al límite de 60 días.
Plazo de 30 Días: Notificación al Fiscal General
Según la Sección 521.053(b-1), cuando una violación afecta a 250 o más residentes de Texas, la empresa debe notificar al Fiscal General de Texas "tan pronto como sea posible y a más tardar el día 30 después de la fecha en que la persona determina que ocurrió la violación."
A partir del 1 de septiembre de 2023 (tras el SB 768), todas las notificaciones al Fiscal General deben presentarse electrónicamente a través del formulario oficial de Reporte de Violación de Datos del Fiscal General. El reporte debe incluir:
- Una descripción detallada de la naturaleza y las circunstancias de la violación
- El número de residentes de Texas afectados al momento de la notificación
- El número de residentes afectados a quienes ya se les envió notificación directa
- Las medidas tomadas en respuesta a la violación
- Las medidas que la empresa pretende tomar después de la notificación
- Si las autoridades están investigando la violación
El Fiscal General publica las violaciones reportadas en un sitio web de acceso público, lo que crea tanto transparencia como un incentivo reputacional para el cumplimiento.
Métodos de Notificación
La Sección 521.053(e) permite varios métodos de notificación:
- Notificación por escrito enviada a la última dirección conocida de la persona
- Notificación electrónica que cumpla con la Ley federal de Firmas Electrónicas en el Comercio Global y Nacional (Ley E-SIGN)
- Notificación alternativa según las reglas de notificación sustituta
Notificación Sustituta
La Sección 521.053(f) permite la notificación sustituta cuando:
- El costo de la notificación directa excedería los $250,000
- El número de personas afectadas excede las 500,000
- La empresa no cuenta con información de contacto suficiente para la notificación directa
La notificación sustituta requiere las tres acciones siguientes: notificación por correo electrónico cuando sea posible, publicación visible en el sitio web de la empresa y publicación o transmisión a través de los principales medios de comunicación a nivel estatal.
Notificación a las Agencias de Reporte de Crédito al Consumidor
Según la Sección 521.053(h), cuando una violación requiere la notificación a 10,000 o más personas a la vez, la empresa también debe notificar a todas las agencias de reporte de crédito al consumidor de alcance nacional (las tres principales agencias de crédito) sobre el momento, la distribución y el contenido de la notificación enviada a las personas.
Retraso por Aplicación de la Ley
La Sección 521.053(d) permite un retraso en la notificación si una agencia de aplicación de la ley determina que la notificación impediría una investigación criminal. La notificación debe realizarse tan pronto como la agencia de aplicación de la ley determine que ya no interferirá con la investigación.
Sanciones y Aplicación

Texas hace cumplir los requisitos de notificación de violaciones tanto mediante sanciones civiles directas como a través de la Ley de Prácticas Comerciales Engañosas.
Sanciones Civiles Según el Capítulo 521
Según la Sección 521.151, una persona que viole el Capítulo 521 es responsable de una sanción civil de al menos $2,000 pero no más de $50,000 por cada infracción.
Específicamente para las fallas de notificación, se aplica una estructura de sanción adicional: hasta $100 por persona por día por cada día consecutivo en que la empresa no cumpla con los requisitos de notificación. Estas sanciones tienen un tope de $250,000 para todas las personas afectadas por una sola violación.
Aplicación de la Ley de Prácticas Comerciales Engañosas
El Fiscal General de Texas también puede perseguir infracciones según la Ley de Prácticas Comerciales Engañosas (DTPA), codificada en el Capítulo 17 del Código de Negocios y Comercio. La DTPA proporciona remedios adicionales, incluyendo:
- Órdenes de restricción temporal y medidas cautelares
- Recuperación de gastos razonables, costos judiciales y honorarios de abogados
- Sanciones civiles por infracciones de la DTPA
Derecho de Acción Privado
A diferencia de muchas leyes estatales de notificación de violaciones, Texas otorga a los consumidores un derecho de acción privado indirecto a través de la DTPA. Una infracción del Capítulo 521 puede constituir una práctica comercial engañosa, lo que permite a las personas afectadas presentar sus propias demandas.
Según la DTPA, los consumidores que demuestren una infracción "consciente" pueden recuperar hasta tres veces sus daños económicos, más daños por angustia mental. Los demandantes que ganan el caso también tienen derecho a costos judiciales y honorarios de abogados razonables.
Esto hace de Texas uno de los estados más favorables para los demandantes en litigios por violaciones de datos, aunque el derecho de acción privado provenga de la DTPA y no del Capítulo 521 en sí.
Historial de Aplicación del Fiscal General

La oficina del Fiscal General de Texas ha demostrado una postura agresiva de aplicación en materia de privacidad de datos. Aunque el acuerdo de $1.4 mil millones con Meta y el acuerdo de $1.375 mil millones con Google involucraron privacidad biométrica en lugar de notificación de violaciones, señalan la disposición del Fiscal General a buscar las sanciones máximas.
Específicamente en materia de notificación de violaciones, el Fiscal General resolvió investigaciones con Experian y T-Mobile por más de $1.5 millones en conjunto. La Iniciativa de Privacidad y Seguridad de Datos del Fiscal General, lanzada en 2024, ha investigado las prácticas de datos de más de 200 empresas.
El Puerto Seguro de Ciberseguridad (SB 2610)
El Proyecto de Ley del Senado 2610 de Texas, vigente desde el 1 de septiembre de 2025, creó un puerto seguro de ciberseguridad para las empresas que califican. Este es un desarrollo significativo para las empresas que se defienden en litigios relacionados con violaciones de datos.
Quién Califica
El puerto seguro se aplica a las empresas que operan en Texas con menos de 250 empleados, organizadas en tres niveles:
| Nivel | Número de Empleados | Requisitos |
|---|---|---|
| Nivel 1 | Menos de 20 | Programa básico de ciberseguridad |
| Nivel 2 | 20 a 99 | Programa moderado alineado con un marco reconocido |
| Nivel 3 | 100 a 249 | Programa integral con evaluaciones periódicas |
Marcos Reconocidos
La ley reconoce el cumplimiento de marcos de ciberseguridad establecidos, incluyendo el Marco de Ciberseguridad del NIST y el HITRUST CSF, como suficiente para cumplir con los requisitos del puerto seguro.
Qué Proporciona el Puerto Seguro
Una empresa que califica y que implementó y mantuvo un programa de ciberseguridad conforme al momento de una violación queda protegida de los daños punitivos en litigios relacionados con la violación. El puerto seguro no elimina la responsabilidad por completo. Las empresas aún pueden enfrentar daños compensatorios, aplicación por parte del Fiscal General y sanciones civiles estatutarias.
La Salvedad
La empresa debe demostrar que contaba con el programa de ciberseguridad implementado antes de que ocurriera la violación. Implementar un programa después del hecho no proporciona ninguna protección. La documentación del cumplimiento, las evaluaciones de riesgo periódicas y la evidencia del mantenimiento del programa son fundamentales.
Cómo Interactúa la TDPSA con la Notificación de Violaciones
La Ley de Privacidad y Seguridad de Datos de Texas (TDPSA), que entró en vigor el 1 de julio de 2024, no crea sus propios requisitos de notificación de violaciones. El marco existente según el Capítulo 521 sigue siendo el único estatuto de notificación de violaciones.
Sin embargo, la TDPSA se cruza con la notificación de violaciones de dos maneras prácticas. Primero, los requisitos de seguridad de datos de la TDPSA según el Capítulo 541 pueden establecer el estándar de cuidado para lo que constituyen prácticas de seguridad "razonables," lo cual afecta tanto la probabilidad de violaciones como las defensas disponibles. Segundo, las infracciones de la TDPSA conllevan sanciones de hasta $7,500 por infracción, añadiendo otra capa de exposición para las empresas que sufren violaciones debido a una protección de datos inadecuada.
Una empresa que infrinja los requisitos de seguridad de datos de la TDPSA y luego sufra una violación podría enfrentar tanto sanciones de la TDPSA por la falla de seguridad como sanciones del Capítulo 521 por cualquier deficiencia en la notificación.
More Texas Laws
- Texas AI Meeting Recording Laws
- Texas Alimony Laws
- Texas At-Will Employment Laws
- Texas Car Accident Laws
- Texas Car Seat Laws
- Texas Child Custody Laws
- Texas Child Support Laws
- Texas Common Law Marriage Laws
- Texas Deepfake Laws
- Texas Divorce Laws
- Texas Dog Bite Laws
- Texas Emancipation Laws
- Texas Expungement Laws
- Texas Hit and Run Laws
- Texas Landlord-Tenant Laws
- Texas Lemon Laws
Este artículo proporciona información legal general sobre los requisitos de notificación de violación de datos de Texas. No constituye asesoría legal. Si necesita orientación sobre un incidente de violación específico, obligaciones de cumplimiento o responsabilidad potencial, consulte a un abogado con licencia en Texas.
Relacionado: Leyes de Privacidad de Datos de Texas | Leyes de Privacidad de Datos por Estado | Leyes de Notificación de Violación de Datos
¿Afectado por una filtración de datos o una violación de privacidad biométrica?
Si sus datos personales quedaron expuestos en una filtración, o si su huella dactilar o escaneo facial se recopiló sin su consentimiento, podría ser elegible para unirse a un reclamo por compensación. Averígüelo gratis y sin compromiso.
Fuentes y referencias
- Tex. Bus. & Com. Code 521.053 - Notificación Requerida Tras una Violación de Seguridad(statutes.capitol.texas.gov).gov
- Tex. Bus. & Com. Code 521.002 - Definiciones (Información Personal Sensible)(statutes.capitol.texas.gov).gov
- Tex. Bus. & Com. Code 521.151 - Sanción Civil; Medida Cautelar(statutes.capitol.texas.gov).gov
- Portal de Reporte de Violación de Datos del Fiscal General de Texas(texasattorneygeneral.gov).gov
- Ley de Aplicación y Protección contra el Robo de Identidad de Texas(texasattorneygeneral.gov).gov
- SB 768 - Requisitos de Notificación Electrónica al Fiscal General (88ª Legislatura)(capitol.texas.gov).gov
- SB 2610 - Puerto Seguro de Ciberseguridad para Pequeñas Empresas (89ª Legislatura)(capitol.texas.gov).gov
- Ley de Prácticas Comerciales Engañosas de Texas (Capítulo 17)(statutes.capitol.texas.gov).gov
- Acuerdo Biométrico de $1.4 Mil Millones del Fiscal General de Texas con Meta(texasattorneygeneral.gov).gov
- Acuerdo de Privacidad de $1.375 Mil Millones del Fiscal General de Texas con Google(texasattorneygeneral.gov).gov
- Acuerdos por Violación de Datos del Fiscal General de Texas con Experian y T-Mobile(texasattorneygeneral.gov).gov
- Ley de Privacidad y Seguridad de Datos de Texas (TDPSA)(texasattorneygeneral.gov).gov
- Código de Gobierno de Texas Capítulo 2054 - Recursos de Información (Requisitos para Agencias Estatales)(statutes.capitol.texas.gov).gov