Vermont
Leyes de Notificación de Violación de Datos de Vermont: Reglas de Reporte y Plazos (2026)

Vermont exige que las empresas notifiquen a los consumidores afectados de una violación de datos dentro de los 45 días posteriores al descubrimiento conforme a 9 V.S.A. 2435. Las empresas también deben enviar un aviso preliminar al Fiscal General de Vermont dentro de los 14 días hábiles posteriores al descubrimiento, uno de los pocos procesos de notificación en dos etapas del país.
Vermont opera uno de los marcos de notificación de violación de datos más protectores de los Estados Unidos. Mientras que muchos estados exigen una única notificación a su fiscal general junto con los avisos al consumidor, Vermont se distingue por su proceso de reporte en dos etapas: un aviso preliminar al Fiscal General dentro de 14 días, seguido de la notificación al consumidor dentro de 45 días.
La ley actual está codificada en 9 V.S.A. 2430 (definiciones) y 9 V.S.A. 2435 (requisitos de notificación). Promulgado originalmente en 2006, el estatuto sufrió revisiones importantes mediante la Ley 89 de 2020 (S.110), vigente desde el 1 de julio de 2020, que amplió la definición de información personal, añadió protecciones para las credenciales de inicio de sesión y creó el requisito de aviso preliminar de 14 días al Fiscal General.
Para una visión más amplia del marco de privacidad de Vermont, consulte la guía principal de Leyes de Privacidad de Datos de Vermont.
Quién Debe Cumplir
La ley de Vermont se aplica a los "recopiladores de datos", que el estatuto define de manera amplia. Un recopilador de datos es cualquier persona, asociación, municipio, corporación u otra entidad que, para cualquier propósito, reciba, almacene, mantenga, procese o de otro modo tenga acceso a información de identificación personal de residentes de Vermont.
Esto incluye tanto a empresas privadas como a entidades gubernamentales. Los proveedores de servicios externos que manejan información personal en nombre de un recopilador de datos también están sujetos a la ley.
Las entidades reguladas por el Departamento de Regulación Financiera de Vermont (DFR), como bancos, compañías de seguros y otras instituciones financieras, deben reportar las violaciones al DFR en lugar de al Fiscal General. Todas las demás entidades reportan al Fiscal General.
Qué Califica Como Información Personal
Conforme a 9 V.S.A. 2430, "información de identificación personal" se define como el primer nombre o la inicial del primer nombre y el apellido de un consumidor combinados con cualquiera de los siguientes elementos de datos sin cifrar:
- Número de Seguro Social
- Número de licencia de conducir o de tarjeta de identificación estatal
- Número de cuenta financiera, número de tarjeta de crédito o número de tarjeta de débito (si es utilizable sin autenticación adicional)
- Contraseñas, números de identificación personal u otros códigos de acceso para una cuenta financiera
- Número de identificación individual del contribuyente
- Número de pasaporte
- Número de tarjeta de identificación militar
- Datos biométricos únicos generados a partir de mediciones o análisis técnicos de características corporales humanas, como huella dactilar, retina o imágenes de iris
- Información genética
Las enmiendas de 2020 mediante la Ley 89 añadieron varias de estas categorías, incluidos los datos biométricos, la información genética, los números de pasaporte, las identificaciones militares y los números de identificación fiscal.
Las credenciales de inicio de sesión también están protegidas de manera independiente. El nombre de usuario o la dirección de correo electrónico de un consumidor combinados con una contraseña o la respuesta a una pregunta de seguridad que permita el acceso a una cuenta en línea califica como información protegida, incluso sin coincidencia de nombre.
La información personal no incluye información disponible públicamente y puesta legalmente a disposición del público general a partir de registros gubernamentales.
Qué Activa el Requisito de Notificación
Una "violación de seguridad" bajo la ley de Vermont significa la adquisición no autorizada de datos electrónicos, o una creencia razonable de adquisición no autorizada, que compromete la seguridad, confidencialidad o integridad de la información de identificación personal o las credenciales de inicio de sesión de un consumidor mantenidas por un recopilador de datos.
Cuando un recopilador de datos toma conocimiento de una posible violación, debe realizar una investigación. Si la investigación determina que la información personal ha sido o razonablemente se cree que ha sido comprometida, se activan los requisitos de notificación.
La fecha de descubrimiento no es la fecha en que se completa la investigación. Es la fecha más temprana en que la entidad tomó conocimiento, o tuvo una creencia razonable, de actividad no autorizada que afecta la información personal.
El Cronograma de Notificación en Dos Etapas

El marco de notificación de Vermont tiene dos plazos distintos, lo que lo hace más exigente que la mayoría de los estados.
Etapa 1: Aviso Preliminar al Fiscal General (14 Días)
Dentro de 14 días posteriores al descubrimiento o la notificación de una violación de seguridad, el recopilador de datos debe presentar un aviso preliminar al Fiscal General de Vermont.
Este aviso preliminar se mantiene confidencial por ley. Permite que la oficina del Fiscal General comience a monitorear la situación y proporcione orientación antes de que se envíen las notificaciones al consumidor. El formulario preliminar recopila información básica sobre la violación, incluyendo qué sucedió, qué datos se vieron afectados y el número estimado de residentes de Vermont afectados.
Para las entidades reguladas por el Departamento de Regulación Financiera, este aviso preliminar se envía al DFR en su lugar.
Etapa 2: Notificación al Consumidor (45 Días)
El recopilador de datos debe notificar a los consumidores afectados lo antes posible y sin demora injustificada, pero no más tarde de 45 días después del descubrimiento o la notificación de la violación.
El plazo de 45 días comienza a partir de la fecha en que la entidad descubrió o fue notificada de la violación, no a partir de la fecha en que concluyó la investigación.
Las fuerzas del orden pueden solicitar un retraso en la notificación al consumidor si esta impidiera una investigación criminal. La notificación debe proceder tan pronto como las fuerzas del orden determinen que ya no compromete la investigación.
Qué Debe Incluir el Aviso al Consumidor

Vermont especifica el contenido de las cartas de notificación de violación. Los avisos a los consumidores afectados deben incluir:
- Una descripción del incidente en términos generales
- El tipo de información de identificación personal que fue comprometida
- Las medidas que el recopilador de datos ha tomado para proteger los datos del consumidor de futuras violaciones
- Un número de teléfono del recopilador de datos que el consumidor pueda llamar para obtener más información y asistencia
- Consejos que orienten al consumidor a permanecer alerta revisando los estados de cuenta y monitoreando los informes crediticios gratuitos
- Los números gratuitos, direcciones y sitios web de las principales agencias de informes crediticios del consumidor
- El número gratuito, la dirección y el sitio web de la Comisión Federal de Comercio
Para las violaciones que involucran específicamente credenciales de inicio de sesión, el aviso debe indicar al consumidor que cambie de inmediato su contraseña y preguntas de seguridad para la cuenta afectada y para cualquier otra cuenta donde el consumidor haya usado las mismas credenciales.
Reporte al Fiscal General
Además del aviso preliminar de 14 días, el recopilador de datos debe presentar un Formulario de Reporte de Violación de Seguridad completo ante el Fiscal General una vez que la investigación haya concluido y se hayan enviado los avisos a los consumidores.
La oficina del Fiscal General mantiene una lista pública de avisos de violación de seguridad en su sitio web, brindando transparencia sobre las violaciones que afectan a los residentes de Vermont.
No existe un umbral mínimo para la notificación al Fiscal General en Vermont. Incluso un solo residente de Vermont afectado activa el requisito de reporte.
Aviso Sustituto

Vermont permite el aviso sustituto cuando la notificación directa no es factible. Un recopilador de datos puede usar el aviso sustituto si demuestra que:
- El costo de proporcionar un aviso directo superaría los $5,000
- La clase afectada supera los 5,000 consumidores
- El recopilador de datos no cuenta con información de contacto suficiente
El aviso sustituto requiere los tres elementos siguientes: notificación por correo electrónico (si hay direcciones de correo electrónico disponibles), publicación visible en el sitio web de la entidad y notificación a los principales medios de comunicación estatales.
Puerto Seguro de Cifrado
Vermont proporciona un puerto seguro de cifrado. La información personal que está cifrada, redactada o protegida por otro método que la haga ilegible o inutilizable para personas no autorizadas no está sujeta a los requisitos de notificación.
El cifrado debe haber estado vigente en el momento de la adquisición no autorizada. Si las claves de cifrado también fueron comprometidas en la violación, el puerto seguro no se aplica.
Interacción con las Regulaciones Federales
Las entidades que mantienen procedimientos de notificación de violaciones conforme a la ley o regulación federal, como la HIPAA para entidades de atención médica o la Ley Gramm-Leach-Bliley para instituciones financieras, se consideran en cumplimiento con los requisitos de notificación de Vermont si cumplen con sus obligaciones federales.
Sin embargo, estas entidades aún deben presentar el aviso preliminar de 14 días ante el Fiscal General o el Departamento de Regulación Financiera, según corresponda.
Aplicación y Sanciones
El Fiscal General de Vermont aplica la ley de notificación de violaciones bajo la autoridad de la Ley de Protección al Consumidor de Vermont (9 V.S.A. Capítulo 63). Los Fiscales Estatales también pueden aplicar la ley dentro de sus jurisdicciones.
No existe un derecho de acción privado bajo el estatuto de notificación de violaciones. Solo el Fiscal General y los Fiscales Estatales pueden iniciar acciones de aplicación.
Las sanciones pueden ser considerables:
- Sanciones civiles de hasta $10,000 por infracción
- Cada día posterior al plazo legal en que no se notifique a cada consumidor se considera una infracción separada
- Cada día posterior al plazo de 14 días en que no se notifique al Fiscal General también es una infracción separada
Este cálculo por día y por consumidor significa que las sanciones pueden acumularse rápidamente para violaciones grandes con notificación retrasada.
El Fiscal General también puede emitir Solicitudes de Investigación Civil (citaciones civiles) para investigar posibles infracciones y puede buscar medidas cautelares para exigir el cumplimiento.
Más leyes de Vermont
- Leyes de Grabación de Reuniones con IA de Vermont
- Leyes de Pensión Alimenticia de Vermont
- Leyes de Empleo a Voluntad de Vermont
- Leyes de Accidentes de Auto de Vermont
- Leyes de Asientos de Seguridad para Niños de Vermont
- Leyes de Custodia de los Hijos de Vermont
- Leyes de Manutención de los Hijos de Vermont
- Leyes de Matrimonio de Hecho de Vermont
- Leyes de Deepfake de Vermont
- Leyes de Divorcio de Vermont
- Leyes de Mordedura de Perro de Vermont
- Leyes de Emancipación de Vermont
- Leyes de Eliminación de Antecedentes de Vermont
- Leyes de Atropello y Fuga de Vermont
- Leyes de Propietarios e Inquilinos de Vermont
- Leyes Limón de Vermont
¿Afectado por una filtración de datos o una violación de privacidad biométrica?
Si sus datos personales quedaron expuestos en una filtración, o si su huella dactilar o escaneo facial se recopiló sin su consentimiento, podría ser elegible para unirse a un reclamo por compensación. Averígüelo gratis y sin compromiso.
Fuentes y referencias
- 9 V.S.A. 2430 Definiciones(legislature.vermont.gov).gov
- 9 V.S.A. 2435 Aviso de Violaciones de Seguridad(legislature.vermont.gov).gov
- Texto Completo de la Ley 89 de 2020(legislature.vermont.gov).gov
- Guía sobre Violaciones de Seguridad del Fiscal General de Vermont(ago.vermont.gov).gov
- Formulario Preliminar de Reporte de Violación del Fiscal General de Vermont(ago.vermont.gov).gov
- Formulario de Reporte de Violación de Seguridad del Fiscal General de Vermont(ago.vermont.gov).gov
- Fiscal General de Vermont - Privacidad y Seguridad de Datos(ago.vermont.gov).gov
- Departamento de Regulación Financiera de Vermont - Notificaciones de Violación de Datos(dfr.vermont.gov).gov
- Información sobre la HIPAA(hhs.gov).gov
- Ley Gramm-Leach-Bliley(ftc.gov).gov