Virginia
Leyes de Notificación de Violación de Datos de Virginia: Reglas de Reporte y Plazos (2026)

Virginia exige que las empresas notifiquen a los residentes afectados y al Fiscal General sobre cualquier violación de datos personales sin demora injustificada conforme a Va. Code 18.2-186.6. No existe un plazo fijo en días. La obligación de notificación se aplica a toda violación que califique, independientemente del número de residentes afectados.
La ley de notificación de violación de datos de Virginia, Va. Code 18.2-186.6, ha estado vigente desde 2008 y fue enmendada de manera significativa en 2019 para ampliar la definición de información personal y añadir el requisito de notificar al Fiscal General. La ley está codificada dentro del código penal del estado (Título 18.2, Delitos que Involucran Fraude), lo que refleja el enfoque de Virginia de tratar la notificación de violación de datos como un tema de protección al consumidor con mecanismos de aplicación tanto civiles como regulatorios.
Virginia se distingue por exigir la notificación al Fiscal General para todas las violaciones (no solo las que superan un umbral), otorgar a las personas un derecho de acción privado por daños económicos directos, y mantener un estatuto separado para las violaciones de información médica.
Esta guía cubre el alcance completo de los requisitos de notificación de violación de Virginia, incluyendo cómo se conectan con el marco más amplio de leyes de privacidad de datos de Virginia, que también incluye la Ley de Protección de Datos del Consumidor de Virginia (VCDPA).
Quién Debe Cumplir
La ley de Virginia se aplica a cualquier persona o entidad que posea o tenga licencia sobre datos computarizados que incluyan información personal de residentes de Virginia. La ley se aplica independientemente de dónde esté ubicada la entidad, siempre que posea datos pertenecientes a residentes de Virginia.
Poseedores de Datos de Terceros
Una persona o entidad que mantiene datos computarizados que no posee ni tiene licencia debe notificar al propietario o licenciatario de los datos sobre cualquier violación sin demora injustificada después del descubrimiento. El propietario de los datos entonces asume la obligación principal de notificar a los residentes afectados y al Fiscal General.
Exenciones
Varias categorías de entidades tienen canales de aplicación separados:
- Instituciones financieras autorizadas o con licencia estatal: Las infracciones son aplicables exclusivamente por el regulador estatal principal de la institución, no a través de las disposiciones generales de aplicación
- Entidades reguladas por seguros: La Comisión de Corporaciones Estatales (Oficina de Seguros) se encarga de la aplicación
- Entidades sujetas a la GLBA: Las entidades que mantienen procedimientos para abordar violaciones conforme a la Ley Gramm-Leach-Bliley y los reguladores federales aplicables se consideran en cumplimiento, siempre que notifiquen a los residentes de Virginia afectados de conformidad con esos procedimientos
Qué Activa la Notificación

Conforme a la Sección 18.2-186.6, una "violación de la seguridad del sistema" significa el acceso y la adquisición no autorizados de datos computarizados sin cifrar y sin redactar que comprometen la seguridad o confidencialidad de la información personal mantenida por la persona o entidad.
Se requiere notificación cuando la información personal sin cifrar o sin redactar fue, o razonablemente se cree que fue, accedida y adquirida por una persona no autorizada, y la violación causa, o la entidad razonablemente cree que ha causado o causará, robo de identidad u otro fraude a cualquier residente de Virginia.
Este es un mecanismo de activación de dos pasos:
- Acceso Y adquisición no autorizados de información personal sin cifrar/sin redactar
- Creencia razonable de que la violación ha causado o causará robo de identidad o fraude
Ambos elementos deben estar presentes. El acceso no autorizado por sí solo, sin adquisición, no activa la obligación. Y la adquisición sin una creencia razonable de un posible robo de identidad o fraude puede no requerir notificación.
Puerto Seguro de Cifrado
Virginia define "cifrado" como la transformación de datos mediante un proceso algorítmico en una forma en la que existe una baja probabilidad de asignar significado sin el uso de un proceso o clave confidencial. Si la información personal estaba cifrada en el momento de la violación y la clave de cifrado no fue comprometida, no se requiere notificación.
Puerto Seguro de Redacción
Virginia también proporciona un puerto seguro para los datos redactados. Los datos se consideran "redactados" si no se muestran más de los últimos cuatro dígitos de un número de licencia de conducir, número de identificación estatal, número de Seguro Social o número de cuenta financiera. Se pueden mostrar hasta cinco dígitos del número de Seguro Social si no son los últimos cuatro.
Información Personal Que Activa la Ley
Conforme a la Sección 18.2-186.6, información personal significa el primer nombre o la inicial del primer nombre y el apellido de cualquier residente de Virginia, en combinación con uno o más de los siguientes elementos de datos sin cifrar o sin redactar:
- Número de Seguro Social
- Número de licencia de conducir o número de tarjeta de identificación estatal
- Número de cuenta financiera, o número de tarjeta de crédito o débito, en combinación con cualquier código de seguridad, código de acceso o contraseña requerida que permita el acceso a la cuenta financiera del residente
- Número de pasaporte
- Número de identificación militar
La enmienda de 2019 (HB 2396) añadió los números de pasaporte y los números de identificación militar a la lista, ampliando la definición de Virginia más allá de las tres categorías originales.
Lo Que la Ley de Virginia No Cubre
La definición no incluye:
- Información médica o de salud (cubierta bajo un estatuto separado)
- Números de identificación de seguro médico
- Datos biométricos
- Credenciales de correo electrónico
- Números de identificación fiscal (distintos de los números de Seguro Social)
La información personal no incluye información disponible públicamente y puesta legalmente a disposición del público general a partir de registros gubernamentales federales, estatales o locales.
Cronograma de Notificación
Virginia exige la notificación "sin demora injustificada" después del descubrimiento o la notificación de la violación. No existe un plazo fijo en días.
El aviso puede retrasarse razonablemente para:
- Determinar el alcance de la violación y restaurar la integridad razonable del sistema
- Cumplir con las solicitudes de las fuerzas del orden si la notificación impidiera una investigación criminal o pusiera en peligro la seguridad nacional o interna
Una vez determinado el alcance y autorizada la notificación por las fuerzas del orden, esta debe proceder sin demora injustificada.
Quién Debe Ser Notificado
Fiscal General (Todas las Violaciones)
Virginia exige la notificación a la Oficina del Fiscal General para todas las violaciones de información personal que afecten a residentes de Virginia. Esto es notable porque muchos estados solo exigen la notificación al Fiscal General por encima de un umbral (como 500 o 1,000 residentes). Virginia lo exige para toda violación reportable.
Personas Afectadas
Todo residente de Virginia cuya información personal fue, o razonablemente se cree que fue, comprometida debe recibir notificación.
Agencias de Informes Crediticios del Consumidor (Umbral de 1,000+)
Cuando una entidad notifica a más de 1,000 personas a la vez, también debe notificar, sin demora injustificada, a todas las agencias de informes crediticios del consumidor a nivel nacional (Equifax, Experian y TransUnion) sobre el momento, la distribución y el contenido de las notificaciones al consumidor.
Contenido Requerido de la Notificación
Virginia especifica lo que debe incluir la notificación:
- Una descripción del incidente en términos generales
- El tipo de información personal que estuvo sujeta al acceso y adquisición no autorizados
- Las medidas generales de la entidad para proteger la información personal de un acceso no autorizado adicional
- Un número de teléfono de la entidad que la persona pueda llamar para obtener más información y asistencia
- Consejos que orienten a la persona a permanecer alerta revisando los estados de cuenta y monitoreando los informes crediticios
Métodos de Notificación

Virginia permite varios métodos de notificación:
- Aviso por escrito enviado a la persona
- Aviso telefónico a la persona
- Aviso electrónico, si es consistente con las disposiciones federales de registros y firmas electrónicos
- Aviso sustituto, cuando el costo de proporcionar el aviso individual supera los $50,000, la clase afectada supera las 100,000 personas, o la entidad no cuenta con información de contacto suficiente. El aviso sustituto requiere los tres elementos: aviso por correo electrónico a las direcciones disponibles, publicación visible en el sitio web de la entidad y notificación a los principales medios de comunicación estatales.
Los umbrales de aviso sustituto de Virginia son más bajos que los de muchos estados ($50,000 de costo y 100,000 personas, en comparación con los más comunes $250,000 y 500,000).
Sanciones y Aplicación

Sanciones Civiles
El Fiscal General puede imponer una sanción civil que no exceda los $150,000 por violación de la seguridad del sistema, o una serie de violaciones de naturaleza similar que se descubran en una sola investigación.
Este tope se aplica por evento de violación, no por persona. Una sola violación que afecte a miles de personas está sujeta a una sanción máxima de $150,000 por parte del Fiscal General.
Derecho de Acción Privado por Daños Económicos Directos
Virginia preserva explícitamente el derecho de las personas a iniciar acciones legales. El estatuto establece que nada en la sección limitará a una persona de recuperar daños económicos directos de una infracción.
Esto significa que las personas pueden demandar a las entidades que no proporcionen la notificación adecuada y recuperar sus pérdidas financieras demostrables. Los tribunales han interpretado esto como la creación de un derecho de acción privado por reparación monetaria, y los demandantes han presentado demandas tanto individuales como colectivas conforme a esta disposición.
La limitación a "daños económicos directos" significa que las personas deben demostrar pérdidas financieras reales. Los daños no económicos, como la angustia emocional o el tiempo dedicado a monitorear el crédito, generalmente no son recuperables bajo este estatuto específico.
Aplicación a Instituciones Financieras
Las infracciones cometidas por instituciones financieras autorizadas o con licencia estatal son aplicables exclusivamente por el regulador estatal principal de la institución. Las personas no pueden iniciar acciones privadas contra estas entidades conforme a este estatuto.
Estatuto Separado de Notificación de Violaciones de Información Médica
Virginia mantiene un estatuto separado de notificación de violaciones para la información médica. Va. Code 32.1-127.1:05 se aplica a las entidades que poseen o tienen registros médicos y exige la notificación cuando se viola la información médica. Esta es una obligación distinta de la notificación general de violación de información personal bajo el 18.2-186.6.
Conexión con la Ley de Protección de Datos del Consumidor de Virginia
La Ley de Protección de Datos del Consumidor de Virginia (VCDPA), vigente desde el 1 de enero de 2023, es una ley integral de privacidad del consumidor que rige cómo las empresas recopilan y usan datos personales. La VCDPA no incluye sus propios requisitos de notificación de violaciones. Las empresas sujetas a la VCDPA deben seguir cumpliendo con las obligaciones de notificación de violaciones conforme al 18.2-186.6 cuando ocurra una violación que califique.
Más leyes de Virginia
- Leyes de Grabación de Reuniones con IA de Virginia
- Leyes de Pensión Alimenticia de Virginia
- Leyes de Empleo a Voluntad de Virginia
- Leyes de Accidentes de Auto de Virginia
- Leyes de Asientos de Seguridad para Niños de Virginia
- Leyes de Custodia de los Hijos de Virginia
- Leyes de Manutención de los Hijos de Virginia
- Leyes de Matrimonio de Hecho de Virginia
- Leyes de Deepfake de Virginia
- Leyes de Divorcio de Virginia
- Leyes de Mordedura de Perro de Virginia
- Leyes de Emancipación de Virginia
- Leyes de Eliminación de Antecedentes de Virginia
- Leyes de Atropello y Fuga de Virginia
- Leyes de Propietarios e Inquilinos de Virginia
- Leyes Limón de Virginia
Este artículo proporciona información legal general sobre las leyes de privacidad de datos de Virginia y los requisitos de notificación de violaciones. No constituye asesoría legal ni crea una relación abogado-cliente. La respuesta a una violación de datos implica obligaciones sensibles al tiempo. Consulte a un abogado calificado con licencia en Virginia para obtener orientación específica para su situación.
¿Afectado por una filtración de datos o una violación de privacidad biométrica?
Si sus datos personales quedaron expuestos en una filtración, o si su huella dactilar o escaneo facial se recopiló sin su consentimiento, podría ser elegible para unirse a un reclamo por compensación. Averígüelo gratis y sin compromiso.
Fuentes y referencias
- Va. Code 18.2-186.6 - Notificación de Violación de Información Personal(law.lis.virginia.gov).gov
- Va. Code 32.1-127.1:05 - Notificación de Violación de Información Médica(law.lis.virginia.gov).gov
- Oficina del Fiscal General de Virginia(oag.state.va.us).gov
- HB 2396 (2019) - Enmiendas a la Notificación de Violaciones(legacylis.virginia.gov).gov