Recurso educativo de Washington

Notificación de violaciones de datos de Washington: una guía operativa

La ley de notificación de violaciones de datos para entidades privadas de Washington, Capítulo 19.255 RCW, exige que toda persona o empresa que posea o licencie información personal computarizada de residentes de Washington divulgue una violación de la seguridad del sistema a los residentes afectados y, en muchos casos, al Procurador General (Attorney General) de Washington. Esta guía recorre las definiciones, el refugio seguro de cifrado, los plazos de aviso al consumidor y al Attorney General, los problemas de proveedores y SaaS, y cómo el marco de Washington se compara con el régimen de notificación de California. Es un recurso educativo, no asesoramiento legal de Washington.

Última revisión legal: 2026-05-17. Citas verificadas contra Chapter 19.255 RCW y RCW 19.255.010.

Respuesta rápida

Si la información personal sin cifrar de residentes de Washington fue adquirida por una persona no autorizada, el operador que poseía o licenciaba los datos debe notificar a los residentes de Washington afectados y, si la violación de datos (data breach) afecta a más de 500 residentes de Washington, también notificar al Attorney General de Washington dentro de no más de 30 días después de descubrirse la violación. Existe un refugio seguro de cifrado definido y un proceso definido para violaciones en las que el operador era un proveedor o procesador en lugar del propietario de los datos.

Intención legislativa

La legislatura expuso claramente la razón de política para la ley: el Attorney General debe recibir notificación cuando ocurran violaciones, de modo que se puedan tomar las medidas apropiadas para proteger a los consumidores, y los consumidores cuya información personal haya sido puesta en peligro deben recibir la información que necesitan para asegurar las cuentas financieras y minimizar el daño por robo de identidad. Esa intención es el lente a través del cual debe leerse cualquier caso límite.

Qué se considera información personal

"Información personal" bajo RCW 19.255.010 es, en esencia, el primer nombre o la inicial del primer nombre y el apellido de un residente de Washington en combinación con uno o más elementos de datos definidos que no están cifrados o de otro modo protegidos. Las categorías de elementos de datos incluyen (sin volver a citar la ley textualmente aquí, porque la lista ha sido modificada con el tiempo y el texto operativo actual controla):

Números de Seguro Social.
Números de licencia de conducir o de tarjeta de identificación de Washington.
Números de cuenta, números de tarjeta de crédito o débito, en combinación con cualquier código de seguridad o acceso o contraseña requerido.
Fecha de nacimiento completa.
Clave privada utilizada de manera única para autenticar o firmar un registro electrónico.
Números de identificación estudiantil, militar o de pasaporte.
Números de póliza de seguro de salud o identificadores.
Información médica, incluyendo un historial o condición.
Datos biométricos generados por mediciones automáticas de las características biológicas de un individuo.
Nombre de usuario o dirección de correo electrónico en combinación con una contraseña o pregunta y respuesta de seguridad.

Lea la lista legal actual en RCW 19.255.010 antes de decidir qué es o no es información personal en un incidente específico; las categorías anteriores son un resumen de trabajo, no un sustituto de la ley.

Qué se considera una violación de la seguridad del sistema

La ley define una "violación de la seguridad del sistema" por referencia a la adquisición no autorizada de datos computarizados que compromete la seguridad, confidencialidad o integridad de la información personal. El estándar es la adquisición, no la mera exposición: una base de datos mal configurada a la que nunca accedió una persona no autorizada, y que el operador puede confirmar que no fue adquirida, no es automáticamente una violación a efectos de notificación. Dicho esto, la carga de demostrar que los datos no fueron de hecho adquiridos generalmente recae en el operador. La investigación forense importa.

Refugio seguro de cifrado

Las obligaciones de notificación se aplican solo cuando la información personal se adquiere en forma no cifrada o de otro modo no protegida. Los datos cifrados adquiridos sin la clave de descifrado correspondiente, la contraseña u otros medios para hacer legibles los datos no activan por sí solos la notificación. La información personal debe ser divulgada si los datos no estaban protegidos durante la violación, o si el proceso confidencial, la clave de cifrado u otros medios para descifrar la información protegida fueron adquiridos por una persona no autorizada al mismo tiempo.

Lección práctica: el cifrado es protección real, pero solo de extremo a extremo. Si el atacante tomó la base de datos y la bóveda de secretos, el refugio seguro de cifrado no aplica.

Plazos de notificación

Aviso al consumidor

El aviso a los residentes de Washington afectados debe hacerse en el tiempo más expedito posible y sin demora irrazonable, no más de 30 días calendario después de que se descubrió la violación, sujeto a las necesidades legítimas de las fuerzas del orden y al tiempo razonablemente necesario para determinar el alcance y restaurar la integridad razonable del sistema.

Aviso al Attorney General

Si una sola violación afecta a más de 500 residentes de Washington, el operador también debe notificar al Attorney General de Washington. La ley establece explícitamente el plazo de aviso al AG:

"[Any person or business required to issue notice to more than five hundred Washington residents as a result of a single breach] shall notify the attorney general of the breach no more than thirty days after the breach was discovered." (parafraseando RCW 19.255.010)

La notificación al AG tiene requisitos de contenido definidos (número de residentes de Washington afectados, tipos de información personal involucrada, marco temporal, descripción de la violación, pasos tomados para contener la violación, información de contacto). La notificación al AG debe actualizarse si alguna información requerida es desconocida en el momento en que el aviso vence.

Contenido del aviso al consumidor

El contenido del aviso legal al consumidor incluye los números gratuitos y direcciones de las agencias de informes al consumidor y de la Federal Trade Commission, una descripción de la información personal que fue o se cree razonablemente que fue adquirida, un marco temporal, información de contacto y los pasos recomendados para protegerse contra el robo de identidad y disputar transacciones fraudulentas.

Problemas de proveedores y SaaS

Esta es la parte de la ley más relevante para los operadores de SaaS. Si el operador licencia o procesa información personal que no posee, la obligación del operador corre hacia el propietario o licenciatario de la información, no directamente hacia los residentes afectados. El procesador debe notificar al propietario inmediatamente al descubrirla, y el propietario entonces asume las obligaciones de aviso al consumidor y al AG.

Esa asignación en la ley no es la misma que la asignación en el contrato. Los DPAs de SaaS rutinariamente asignan obligaciones de violación entre cliente y proveedor, incluyendo:

Plazo de notificación del proveedor al cliente (a menudo más corto que el plazo legal para dar al cliente tiempo de cumplir).
Si el proveedor o el cliente es responsable de enviar los avisos al consumidor y gestionar la notificación al AG.
Asignación de costos para la investigación forense, monitoreo de crédito, centro de llamadas y envíos de notificaciones.
Alcance de la indemnización, incluyendo si los costos de respuesta a la violación están dentro o fuera del límite de responsabilidad contractual.

Lo diré directamente: un proveedor de SaaS que no ha negociado lenguaje de asignación de violaciones con sus clientes empresariales está asumiendo un riesgo significativo. La respuesta a violaciones es costosa. Las indemnizaciones mutuas genéricas casi nunca producen el resultado que cualquiera de las partes realmente quiere en un incidente real.

Comparación con la notificación de violaciones de California

Secciones 1798.29 y 1798.82 del California Civil Code. California exige aviso a los residentes de California afectados y, en muchas violaciones, aviso al Attorney General de California cuando la violación afecta a más de 500 residentes de California. La definición de información personal de California es similar pero no idéntica a la de Washington, incluyendo disposiciones específicas por categoría para información médica bajo la Confidentiality of Medical Information Act (CMIA) y para información personal sensible bajo el CPRA. California exige que se presenten muestras de los avisos al AG.

Capítulo 19.255 RCW de Washington. Washington exige aviso al consumidor no más de 30 días después del descubrimiento (sujeto a retraso por las fuerzas del orden), y aviso al AG para violaciones que afecten a más de 500 residentes de Washington dentro de la misma ventana de 30 días. Las categorías de información personal se superponen con las de California pero son legalmente distintas.

Implicación práctica. La mayoría de los operadores de SaaS que sirven a ambos estados necesitan un único plan de respuesta a incidentes que por defecto utilice el estándar más estricto aplicable. El plan debe producir una presentación al AG de Washington, una presentación al AG de California, avisos al consumidor en ambos estados, y cualquier notificación HIPAA o específica del sector, en plazos paralelos.

Asignación contractual de obligaciones de violación

Los términos de servicio de SaaS y los anexos de procesamiento de datos rutinariamente asignan obligaciones de violación entre el operador y el cliente. Las cláusulas más importantes para acertar:

Definición de "Incidente de Seguridad" y el desencadenante que activa las obligaciones del proveedor.
Plazo de notificación del proveedor al cliente (a menudo 24, 48 o 72 horas desde el descubrimiento).
Contenido requerido del aviso del proveedor al cliente (qué fue adquirido, cuándo, alcance, contención).
Autoridad y responsabilidad para la investigación forense, incluyendo deberes de cooperación y acceso a registros.
Asignación de costos para los servicios de respuesta a la violación (forensia, revisión legal, aviso al consumidor, monitoreo de crédito, presentaciones regulatorias).
Exclusiones del límite de responsabilidad contractual para los costos relacionados con la violación, donde existan.
Requisitos de indemnización y seguro (cyber y tech E&O).

Apalancamiento legal de Washington

Dos hechos sobre el Capítulo 19.255 RCW son los que tienen mayor peso en la práctica. Primero, el desencadenante de la notificación al AG está fijado en más de 500 residentes de Washington en una sola violación, con una ventana estricta de 30 días desde el descubrimiento; ese plazo es la fecha límite controladora para la mayoría de las violaciones multiestatales porque la obligación de aviso al consumidor corre en paralelo. Segundo, el refugio seguro de cifrado es binario: cifrado más protegido con clave es seguro; todo lo demás está dentro del alcance. Un plan de respuesta a violaciones calibrado a estos dos hechos es materialmente más útil que una plantilla genérica de respuesta a incidentes que trata a todos los estados por igual.

Lista de verificación de preparación para respuesta a incidentes

Plan escrito de respuesta a incidentes con roles nombrados (patrocinador ejecutivo, líder de seguridad, líder legal, líder de comunicaciones, asesor externo, forensia externa).
Inventario de datos que muestre dónde reside la información personal de los residentes de Washington.
Política de cifrado y gestión de claves que respalde el refugio seguro legal.
Registro y preparación forense suficiente para determinar adquisición versus exposición.
Inventario de proveedores y procesadores con SLAs de notificación de violación en cada contrato.
Plantillas de presentación al AG, aviso al consumidor y aviso al cliente, previamente aprobadas por asesor legal.
Ejercicios de simulación al menos anualmente.
Seguro cibernético con cobertura de respuesta a violaciones y un breach coach preseleccionado.

Cuándo importa la participación del abogado

Para una violación rutinaria (algunas docenas de residentes afectados, instantánea de respaldo cifrada adquirida y recuperada, sin notificación al AG requerida), un equipo interno bien preparado generalmente puede ejecutar la respuesta con revisión legal ligera.

La participación del abogado es donde la veo ganarse su costo en:

Violaciones que cruzan el umbral de aviso al AG de 500 residentes en cualquier estado.
Violaciones que involucran información de salud, datos biométricos o datos de niños.
Violaciones en las que el proveedor y el cliente disputan quién es responsable de la respuesta.
Violaciones con posible exposición regulatoria paralela (HIPAA, GLBA, reporte a la SEC, FTC).
Cualquier violación en la que sea deseable el privilegio abogado-cliente sobre la investigación, lo cual aplica a la mayoría.

Paquetes de servicio

Revisión de política de privacidad. Política de privacidad existente revisada contra las expectativas de Washington, California y federales, incluyendo divulgaciones de notificación de violaciones. Compromiso típico: $500.

Memo de respuesta a violación de datos. Análisis legal escrito de un incidente específico: alcance de las obligaciones de notificación bajo Washington y otras leyes estatales aplicables, plazo recomendado, contenido de los avisos, asignación entre proveedor y cliente. Compromiso típico: $900.

Paquete de cartas de respuesta a incidentes. Aviso al consumidor, aviso al AG y plantillas de aviso al cliente redactadas para el incidente específico, más la presentación al regulador. Compromiso típico: $1,500.

Recursos relacionados

Para la redacción de términos de SaaS, vea mi Guía de términos de SaaS de Washington. Para los análogos de privacidad y violación de California, vea el Hub de Privacidad de California. Para más contexto, vea el hub de Derecho Empresarial de Washington.

Recursos relacionados de violaciones de datos y privacidad de Washington

Páginas educativas complementarias sobre respuesta a violaciones de datos de Washington, asignación a proveedores y recursos del lado del consumidor bajo el Capítulo 19.255 RCW, la My Health My Data Act (Ch. 19.373 RCW), y la Consumer Protection Act (Ch. 19.86 RCW):

Lista de verificación de notificación de violaciones de datos de Washington. El plazo de 30 días del Ch. 19.255 RCW reducido a una lista de verificación operativa (inventario de datos, refugio seguro de cifrado, contenido del aviso al consumidor, desencadenantes de presentación al AG).
Plan de respuesta a violaciones de datos de Washington. Construyendo el manual operativo: roles nombrados, preservación de evidencia, coordinación con proveedores, plazos paralelos de California y Washington.
Revisión de abogado de violación de datos de Washington. Lo que busco al revisar la postura de una violación de Washington antes de que salga el aviso al AG.
Revisión de aviso de violación de datos de SaaS de Washington. Asignación entre propietario y procesador bajo el Ch. 19.255 RCW y la capa contractual que controla en la práctica.
Revisión de contrato de incidente de datos de proveedor de Washington. Asignación de costos del DPA, indemnización y las exclusiones del límite de responsabilidad que importan cuando llega la factura.
Memo de respuesta a incidente de privacidad de Washington. Alcance, postura de riesgo y acción recomendada en formato de memo escrito.
Ley de privacidad de Washington para empresas SaaS. Mapa del operador a través de la notificación de violaciones, MHMDA (My Health My Data Act) y la exposición CPA.
Carta de demanda por violación de datos de Washington. Carta de demanda del lado del consumidor por violaciones de aviso bajo el Ch. 19.255 RCW con encuadre CPA.
Carta de demanda por robo de identidad por violación de datos de Washington. Cuantificando la pérdida real cuando una violación de Washington alimenta una lesión de robo de identidad.
Carta de demanda por violación de privacidad de Washington. Daños genéricos de privacidad y el camino CPA para asuntos de divulgación que no son violación.
Carta de demanda por divulgación no autorizada de información personal de Washington. Marco de carta donde la información personal fue divulgada sin autorización pero fuera de la definición de violación del Ch. 19.255 RCW.
Verificador de plazos de notificación de violaciones de datos de Washington. Herramienta interactiva de plazos contra la ventana de 30 días del Ch. 19.255 RCW.

Contenido educativo únicamente. Sergei Tokmakov es abogado de California (CA Bar #279869) actualmente solicitando admisión al Colegio de Abogados del Estado de Washington. Esta página no crea una relación abogado-cliente y no es asesoramiento legal de Washington.

Publicidad de abogado. Sergei Tokmakov está licenciado en California (CA Bar #279869); la admisión en Washington está pendiente. Estas páginas proporcionan información legal general y revisión pagada de documentos o cumplimiento para asuntos de Washington. No comparezco en tribunales de Washington ni me presento como abogado admitido en Washington. Para presentaciones, representación o litigios en tribunales de Washington, coordino con un abogado calificado de Washington. La contratación comienza solo después de una verificación de conflictos y una carta de compromiso firmada.