Washington
Leyes de Notificacion de Violaciones de Datos de Washington: Reglas y Plazos de Reporte (2026)

Las empresas de Washington deben notificar a los consumidores afectados y al Fiscal General dentro de 30 dias de descubrir una violacion de datos bajo RCW 19.255.010. El plazo se aplica sin importar el tamano de la empresa, y el conteo comienza en la fecha del descubrimiento, no cuando ocurrio la violacion.
El estado de Washington tiene una de las leyes de notificacion de violaciones de datos mas completas de Estados Unidos. Su plazo de notificacion de 30 dias esta entre los mas cortos a nivel nacional, su definicion de informacion personal esta entre las mas amplias, y es uno de los pocos estados donde los consumidores individuales tienen un derecho de accion privada para demandar por infracciones de notificacion.
El estatuto principal para las entidades privadas es RCW 19.255.010. Un estatuto paralelo, RCW 42.56.590, rige a las agencias gubernamentales estatales y locales. La ley se promulgo originalmente en 2005 y fue reforzada significativamente por el HB 1071, firmado por el gobernador Jay Inslee el 7 de mayo de 2019, con los nuevos requisitos vigentes desde el 1 de marzo de 2020.
Para una vision mas amplia del marco de privacidad de Washington, consulte la guia principal de Leyes de Privacidad de Datos de Washington.
Quien Debe Cumplir
La ley de notificacion de violaciones de Washington se aplica a cualquier persona o empresa que haga negocios en el estado y que posea o tenga licencia de datos computarizados que incluyan informacion personal sobre residentes de Washington.
No hay un umbral minimo de tamano. Cualquier empresa, sin importar su tamano, que maneje informacion personal de residentes de Washington debe cumplir.
Las agencias gubernamentales a nivel estatal y local estan cubiertas bajo el estatuto separado RCW 42.56.590, que impone obligaciones sustancialmente similares.
Los proveedores de servicios de terceros que mantienen datos en nombre de otra empresa deben notificar al propietario o titular de licencia de los datos inmediatamente despues de descubrir una violacion. El propietario de los datos entonces asume la responsabilidad de notificar al consumidor y al Fiscal General.
Que Califica como Informacion Personal
La definicion de informacion personal de Washington esta entre las mas amplias del pais. Bajo RCW 19.255.010, la informacion personal significa el primer nombre o la inicial del primer nombre y el apellido de un residente combinados con cualquiera de los siguientes elementos de datos no cifrados:
- Numero de Seguro Social
- Numero de licencia de conducir o numero de tarjeta de identificacion estatal
- Numero de cuenta, numero de tarjeta de credito o numero de tarjeta de debito combinado con cualquier codigo de seguridad, codigo de acceso o contrasena requeridos
- Fecha de nacimiento completa
- Clave privada unica de una persona y usada para autenticar o firmar un registro electronico
- Numero de identificacion estudiantil
- Numero de tarjeta de identificacion militar
- Numero de pasaporte
- Numero de poliza de seguro de salud o numero de identificacion de seguro de salud
- Historial medico o informacion sobre condiciones mentales o fisicas, diagnosticos o tratamientos
- Datos biometricos generados a partir de mediciones o analisis de caracteristicas del cuerpo humano (como imagenes de huellas dactilares, retina o iris)
- Nombre de usuario o direccion de correo electronico combinados con una contrasena o preguntas y respuestas de seguridad que permiten el acceso a una cuenta en linea
La inclusion de la fecha de nacimiento, las identificaciones estudiantiles, las identificaciones militares, los numeros de pasaporte, la informacion de seguro de salud y los registros medicos completos hace que la definicion de Washington sea sustancialmente mas amplia que la de la mayoria de los estados. Las enmiendas de 2019 a traves del HB 1071 agregaron varias de estas categorias.
La informacion personal no incluye la informacion disponible publicamente que se pone legalmente a disposicion del publico en general a partir de registros gubernamentales federales, estatales o locales.
Que Activa el Requisito de Notificacion
Una violacion del sistema de seguridad bajo la ley de Washington es la adquisicion no autorizada de datos computarizados que compromete la seguridad, confidencialidad o integridad de la informacion personal mantenida por la entidad.
Deben cumplirse tres condiciones para que se requiera la notificacion:
- La informacion personal fue, o se cree razonablemente que fue, adquirida por una persona no autorizada
- La informacion personal no estaba asegurada (es decir, no estaba cifrada ni de otro modo inutilizable)
- Es razonablemente probable que la violacion exponga a los consumidores a un riesgo de dano
El analisis de riesgo de dano otorga a las entidades cierta discrecion, pero el estandar es si el dano es "razonablemente probable", no si ya ha ocurrido. La adquisicion de buena fe de informacion personal por parte de un empleado o agente de la entidad no constituye una violacion, siempre que la informacion no se use ni se divulgue de manera no autorizada.
El Plazo de Notificacion de 30 Dias

Washington exige la notificacion en el tiempo mas expedito posible y sin demora irrazonable, pero a mas tardar 30 dias despues de que se descubrio la violacion.
Este plazo de 30 dias, introducido por el HB 1071, es uno de los mas cortos del pais. Antes de las enmiendas de 2019, el plazo era de 45 dias.
El conteo comienza desde la fecha en que se descubrio la violacion, no desde la fecha en que ocurrio la violacion en si. Sin embargo, las organizaciones no deben retrasar su investigacion como una manera de evitar el plazo.
La aplicacion de la ley puede solicitar un retraso en la notificacion si esta impediria una investigacion criminal. La entidad debe proporcionar la notificacion con prontitud despues de que la aplicacion de la ley determine que la notificacion ya no comprometera la investigacion.
Que Debe Incluir el Aviso al Consumidor
La ley de Washington especifica el contenido requerido para las cartas de notificacion de violaciones. El aviso debe incluir:
- El nombre y la informacion de contacto de la entidad que reporta
- Una lista de los tipos de informacion personal que fueron, o se cree razonablemente que fueron, objeto de la violacion
- Los numeros telefonicos gratuitos y las direcciones de las principales agencias de informes de credito (si la violacion expuso datos financieros, numeros de Seguro Social u otros datos relevantes para el monitoreo de credito)
El aviso debe estar escrito en lenguaje sencillo. Se anima a las entidades, aunque no se exige estrictamente, a incluir tambien una descripcion del incidente, las medidas tomadas para abordar la violacion y recomendaciones para que los consumidores se protejan.
Notificacion al Fiscal General
Cuando una violacion afecta a mas de 500 residentes de Washington, la entidad debe notificar a la oficina del Fiscal General de Washington dentro de la misma ventana de 30 dias.
La notificacion al Fiscal General se presenta a traves de un Formulario Web de Notificacion de Violaciones de Datos en linea. El aviso debe incluir:
- El numero de consumidores de Washington afectados o potencialmente afectados
- Una lista de los tipos de informacion personal vulnerada
- El marco de tiempo de la exposicion (si se conoce)
- Un resumen de las medidas tomadas para contener la violacion
- Una copia de muestra de la notificacion de violacion de seguridad enviada a los consumidores
La oficina del Fiscal General mantiene un Directorio publico de Notificaciones de Violaciones de Datos en su sitio web, que enumera todas las violaciones reportadas.
Notificacion Sustituta
Washington permite la notificacion sustituta cuando la notificacion directa no es factible. Una entidad puede usar la notificacion sustituta si:
- El costo de proporcionar notificacion directa superaria los $250,000
- La clase afectada supera las 500,000 personas
- La entidad no tiene suficiente informacion de contacto
La notificacion sustituta debe incluir notificacion por correo electronico (si hay direcciones de correo electronico disponibles) y una publicacion visible en el sitio web de la entidad.
Refugio Seguro por Cifrado

Washington proporciona un refugio seguro por cifrado. Si la informacion personal estaba asegurada (cifrada, redactada o de otro modo inutilizable) en el momento de la violacion, no se requiere notificacion.
La definicion de "asegurada" significa cifrada de una manera que cumple o supera el estandar del Instituto Nacional de Estandares y Tecnologia (NIST), o modificada de otro modo de manera que la informacion personal se vuelve ilegible, inutilizable o indescifrable por una persona no autorizada.
Si la clave de cifrado tambien fue comprometida en la violacion, el refugio seguro no aplica.
Interaccion con Regulaciones Federales
Las entidades que mantienen procedimientos de notificacion de conformidad con la ley o regulacion federal, incluyendo HIPAA y la Ley Gramm-Leach-Bliley, se consideran en cumplimiento con los requisitos de notificacion de Washington si cumplen con sus obligaciones federales.
Sin embargo, estas entidades aun deben cumplir con el requisito de notificacion al Fiscal General en 30 dias cuando se ven afectados mas de 500 residentes de Washington.
Aplicacion y Derecho de Accion Privada

La ley de notificacion de violaciones de Washington es exigible bajo la Ley de Proteccion al Consumidor (RCW 19.86). Esto tiene dos implicaciones importantes:
Aplicacion por el Fiscal General: El Fiscal General de Washington puede iniciar acciones de aplicacion tratando las infracciones como actos injustos o enganosos. El Fiscal General puede buscar medidas cautelares, sanciones civiles y restitucion.
Derecho de Accion Privada: A diferencia de la mayoria de los estados, Washington permite que los consumidores individuales perjudicados por una infraccion de notificacion presenten una demanda civil. Los consumidores pueden recuperar:
- Danos reales sufridos
- Hasta $1,000 en danos punitivos por infracciones deliberadas
- Costos y honorarios razonables de abogados
Este derecho de accion privada hace que Washington sea uno de los estados mas favorables para los demandantes en materia de aplicacion de notificacion de violaciones. Los consumidores no necesitan esperar a que actue el Fiscal General; pueden presentar reclamos de manera independiente.
Requisitos para Agencias Gubernamentales
Las agencias gubernamentales estatales y locales en Washington estan reguladas por RCW 42.56.590, que refleja los requisitos del sector privado. Las agencias gubernamentales deben:
- Notificar a los residentes afectados dentro de 30 dias del descubrimiento
- Notificar al Fiscal General cuando se ven afectados mas de 500 residentes
- Proporcionar el mismo contenido en sus cartas de notificacion
Las agencias gubernamentales estan adicionalmente obligadas a mantener procedimientos y practicas consistentes con las pautas desarrolladas por la Oficina del Director de Informacion.
Mas Leyes de Washington
- Leyes de Grabacion con IA en Reuniones de Washington
- Leyes de Pension Alimenticia de Washington
- Leyes de Empleo a Voluntad de Washington
- Leyes de Accidentes de Auto de Washington
- Leyes de Asientos para Auto de Washington
- Leyes de Custodia de Menores de Washington
- Leyes de Manutencion Infantil de Washington
- Leyes de Matrimonio de Hecho de Washington
- Leyes de Deepfake de Washington
- Leyes de Divorcio de Washington
- Leyes de Choque y Fuga de Washington
- Leyes de Emancipacion de Washington
- Leyes de Eliminacion de Antecedentes de Washington
- Leyes de Choque y Fuga de Washington
- Leyes de Propietarios e Inquilinos de Washington
- Leyes del Limon de Washington
¿Afectado por una filtración de datos o una violación de privacidad biométrica?
Si sus datos personales quedaron expuestos en una filtración, o si su huella dactilar o escaneo facial se recopiló sin su consentimiento, podría ser elegible para unirse a un reclamo por compensación. Averígüelo gratis y sin compromiso.
Fuentes y referencias
- RCW 19.255.010, Aviso de Violaciones de Seguridad de Informacion Personal(app.leg.wa.gov).gov
- RCW 42.56.590, Notificacion de Violaciones de Agencias Gubernamentales(app.leg.wa.gov).gov
- Capitulo 19.255 RCW, Texto Completo(app.leg.wa.gov).gov
- Leyes de Notificacion de Violaciones de Datos del Fiscal General de Washington(atg.wa.gov).gov
- Preguntas Frecuentes sobre el HB 1071 del Fiscal General de Washington(atg.wa.gov).gov
- Directorio de Notificaciones de Violaciones de Datos del Fiscal General de Washington(atg.wa.gov).gov
- Centro de Recursos de Violaciones de Datos del Fiscal General de Washington(atg.wa.gov).gov
- Guia de Robo de Identidad para Empresas del Fiscal General de Washington(atg.wa.gov).gov
- Resumen del Proyecto de Ley HB 1071(app.leg.wa.gov).gov
- Informacion sobre HIPAA(hhs.gov).gov
- Ley Gramm-Leach-Bliley(ftc.gov).gov