El 9 de mayo de 2024, el gobernador de Maryland firmó una ley integral de privacidad de datos denominada Ley de Protección de Datos en Línea de Maryland(MODPA).
Presenta un amplio umbral legal, estrictos requisitos de tratamiento de datos y disposiciones únicas sobre minimización de datos y recogida y tratamiento de información personal sensible.
En esta guía, le guiaré a través de cada parte de esta ley, sus requisitos, cómo afecta a las empresas y a los consumidores, y mucho más.
- ¿Qué es la Ley de Protección de Datos en Línea de Maryland (MODPA)?
- Términos clave y definiciones del MODPA
- ¿Qué cubre la Ley de Protección de Datos en Línea de Maryland?
- Requisitos de la Ley de Protección de Datos en Línea de Maryland
- La Ley de Privacidad de Datos de Maryland frente a otros Estados: Similitudes y diferencias
- ¿Cómo afectará la MODPA a los consumidores?
- ¿A quién se aplica el MODPA?
- ¿Cómo afectará la MODPA a las empresas?
- ¿Quién debe cumplir la nueva Ley de Protección de Datos de Maryland?
- ¿Cómo pueden prepararse las empresas para el MODPA?
- ¿Cómo se aplicará el MODPA?
- Multas y sanciones en virtud de la Ley de protección de datos en línea de Maryland
- ¿Cómo ayudará Termly al cumplimiento de la MODPA?
- ¿Existen otras leyes relacionadas con la privacidad en Maryland?
- Resumen
¿Qué es la Ley de Protección de Datos en Línea de Maryland (MODPA)?
La Ley de Protección de Datos en Línea de Maryland (Maryland Online Data Protection Act, MODPA) es la primera ley estatal de protección de datos de los consumidores que regula el tratamiento de datos personales por parte de responsables y encargados del tratamiento y otorga a los residentes de Maryland diversos derechos y controles sobre esa información.
Maryland es el 16º estado de EE.UU. que aprueba una ley integral de protección de datos.
También establece las sanciones por infringir la ley y otorga la autoridad para hacerla cumplir al Fiscal General de Maryland.
Fecha de entrada en vigor del MODPA
Está previsto que la Ley de Protección de Datos en Línea de Maryland entre en vigor el 1 de octubre de 2025.
Términos clave y definiciones del MODPA
Para ayudarle a entender los detalles de la nueva ley de privacidad de Maryland, he recopilado algunos de los términos clave y he proporcionado las definiciones tal y como aparecen en el texto de la ley a continuación:
¿Qué cubre la Ley de Protección de Datos en Línea de Maryland?
La MODPA cubre la información personal de los residentes de Maryland.
Sin embargo, también exime a varias categorías de datos, algunas de las cuales incluyen:
- Información sanitaria protegida en virtud de la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA)
- Información identificativa del paciente
- Datos personales regulados por la Ley de Privacidad y Derechos Educativos de la Familia (FERPA)
- Información de contacto en caso de emergencia
Requisitos de la Ley de Protección de Datos en Línea de Maryland
En la siguiente sección resumo algunos de los principales requisitos que establece la nueva ley de privacidad de datos de Maryland.
Base jurídica para el tratamiento de datos
En virtud de la MODPA, los responsables del tratamiento deben limitar la recogida de datos a lo que sea razonablemente necesario y proporcionado para suministrar o mantener los productos o servicios solicitados por el consumidor.
La redacción utilizada en esta parte de la ley difiere de otras leyes de privacidad de ámbito estatal, ya que depende del bien o servicio y no sólo de la finalidad del tratamiento de datos.
Limitaciones del tratamiento de datos por parte del responsable del tratamiento
La MODPA limita el tratamiento de determinados tipos de datos personales por parte de los responsables del tratamiento.
Por ejemplo, a menos que la recogida o el tratamiento de datos sea estrictamente necesario para suministrar o mantener un producto o servicio específico solicitado por un consumidor, los responsables del tratamiento no pueden:
- Vender datos confidenciales
- Tratar los datos de un consumidor menor de 18 años para publicidad específica
- Vender datos personales de un consumidor menor de 18 años
- Discriminar a un consumidor por ejercer sus derechos
- Tratar datos para fines que no sean razonablemente necesarios o que sean incompatibles con los fines revelados para los que se tratan los datos personales(a menos que se obtenga el consentimiento).
Obligaciones contractuales entre responsables y encargados del tratamiento
Los responsables del tratamiento que recurran a un encargado del tratamiento deben firmar un contrato en el que se indiquen las instrucciones para el tratamiento de datos, la naturaleza y finalidad del tratamiento, los tipos de datos tratados y durante cuánto tiempo, así como los derechos y obligaciones de ambas partes.
El contrato también debe establecer estos requisitos para el transformador:
- Someter a todas las partes implicadas a un deber de confidencialidad sobre los datos.
- Establecer, aplicar y mantener prácticas de seguridad para proteger la confidencialidad, integridad y accesibilidad de los datos personales.
- Exigir al encargado del tratamiento que deje de tratar los datos a petición del responsable del tratamiento tras una solicitud del consumidor.
- Por orden del responsable del tratamiento, el encargado del tratamiento debe suprimir o devolver todos los datos, a menos que una ley exija su conservación.
- A petición del responsable del tratamiento, exigir al encargado del tratamiento que ponga a su disposición todos los datos que obren en su poder para demostrar el cumplimiento de la MODPA.
- Después de permitir que el responsable del tratamiento se oponga, contrate a un subcontratista para que le ayude en el tratamiento de los datos personales siguiendo un contrato que cumpla estas directrices.
- Exigir al encargado del tratamiento que coopere con las evaluaciones realizadas por el responsable del tratamiento o por un evaluador independiente para evaluar las políticas y medidas técnicas del encargado del tratamiento.
- Previa solicitud, el encargado del tratamiento deberá facilitar al responsable del tratamiento un informe de evaluación, tal como exige el MODPA.
Evaluaciones de protección de datos
Según la MODPA, los responsables del tratamiento deben realizar y documentar evaluaciones de protección de datos para cada actividad de tratamiento que presente un mayor riesgo de perjuicio para los consumidores, entre otras:
- Tratamiento de datos para publicidad dirigida
- Venta de datos personales
- Tratamiento de datos sensibles
- Tratamiento de datos para la elaboración de perfiles
La evaluación debe sopesar los beneficios que pueden derivarse del tratamiento frente a los riesgos potenciales para los derechos de los consumidores y la necesidad y proporcionalidad del tratamiento.
También debe tener en cuenta lo siguiente:
- Utilización de datos no identificados
- Las expectativas razonables de los consumidores
- El contexto del tratamiento
- La relación entre el responsable del tratamiento y el consumidor cuyos datos se tratan
La ley de Maryland permite a un responsable del tratamiento utilizar una única evaluación de la protección de datos para cumplir otra ley si su ámbito de aplicación es razonablemente similar al de la MODPA.
Requisitos de seguridad de los datos
La MODPA exige a los responsables del tratamiento que establezcan, apliquen y mantengan medidas de seguridad administrativas, técnicas y físicas razonables para proteger los datos personales recogidos.
Las medidas deben tener en cuenta el volumen y la naturaleza de los datos recogidos y almacenados y proteger su confidencialidad, integridad y accesibilidad.
Peticiones verificables de los consumidores
En virtud de la MODPA, las empresas deben establecer en su política de privacidad una o varias vías para que los consumidores presenten solicitudes verificables para actuar sobre sus derechos de privacidad, teniendo en cuenta:
- Las formas en que los consumidores interactúan normalmente con el controlador
- La necesidad de una comunicación segura y fiable
- La capacidad del controlador para verificar la identidad del consumidor
La ley enumera los siguientes métodos para cumplir este requisito legal:
- Proporcionar un enlace visible y claramente etiquetado en el sitio web
- El 1 de octubre de 2025 o antes, permitir a los consumidores utilizar un mecanismo universal de exclusión voluntaria para hacer valer sus derechos.
Mecanismos Universales de Exclusión Voluntaria
La MODPA exige a las empresas que atiendan las solicitudes de los usuarios para excluirse del tratamiento de datos a través de mecanismos universales de exclusión voluntaria (UOOM), como el Control Global de la Privacidad (GPC), antes del 1 de octubre de 2025.
En concreto, la ley autoriza a los consumidores a utilizar un enlace de Internet, un ajuste del navegador, una extensión del navegador u otro ajuste o tecnología global similar del dispositivo para indicar su intención de no participar.
La Ley de Privacidad de Datos de Maryland frente a otros Estados: Similitudes y diferencias
Además de Maryland, otros estados de EE.UU. cuentan con leyes sobre privacidad de datos:
- Ley de Protección del Consumidor de California (CCPA), modificada por la Ley de Derechos de Privacidad de California (CPRA) - actualmente en vigor
- Ley de Privacidad de Colorado (CPA) - actualmente en vigor
- Ley de Privacidad de Datos de Connecticut (CTDPA) - actualmente en vigor
- Ley de Privacidad de Datos Personales de Delaware (DPDPA) - actualmente en vigor
- Carta de Derechos Digitales de Florida (FDBR) - actualmente en vigor
- Ley de Protección de Datos de los Consumidores de Iowa (Iowa CDPA) - actualmente en vigor
- Ley de Protección de Datos de los Consumidores de Indiana (Indiana CDPA) - en vigor desde el 1 de enero de 2026
- Ley de Protección de Datos de los Consumidores de Kentucky (KCDPA) - en vigor desde el 1 de enero de 2026
- Ley de Protección de Datos de los Consumidores de Minnesota (MCDPA) - en vigor desde el 31 de julio de 2025
- Ley de Protección de Datos de los Consumidores de Montana (MCDPA) - actualmente en vigor
- Ley de Protección de Datos de Nebraska (NDPA) - actualmente en vigor
- Ley de Privacidad de Datos de New Hampshire (NHDPL) - actualmente en vigor
- Ley de Protección de Datos de Nueva Jersey (NJDPA) - actualmente en vigor
- Ley de Privacidad del Consumidor de Oregón (OCPA) - actualmente en vigor
- Ley de Protección de la Información de Tennessee (TIPA) - en vigor desde el 1 de julio de 2025
- Ley de Privacidad y Seguridad de Datos de Texas (TDPSA) - actualmente en vigor
- Ley de Privacidad del Consumidor de Utah (UCPA) - actualmente en vigor
- Ley de Protección de Datos de los Consumidores de Virginia (VCDPA) - actualmente en vigor
Puede comparar la MODPA con estas otras leyes de privacidad en la tabla siguiente.
| Legislación estatal | Consentimiento expreso para determinados tipos de tratamiento de datos | Consentimiento expreso para determinados tipos de tratamiento de datos | Debe presentar a los usuarios una política de privacidad (o aviso) | Requiere evaluaciones de protección de datos | Esboza la obligación contractual con terceros procesadores | Permite las demandas civiles o el derecho de acción privado | Debe respetar los controles globales de privacidad y la configuración de privacidad del navegador. |
| MODPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| CCPA/CPRA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| CPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| CTDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| DPDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| FDBR | ✓ | ✓ | ✓ | ✓ | |||
| CDPA de Indiana | ✓ | ✓ | ✓ | ✓ | |||
| Iowa CDPA | ✓ | ✓ | ✓ | ||||
| KCDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| MN CDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| MT CDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| NHDPL | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| NJDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| OCPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| TIPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| TDPSA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| UCPA | ✓ | ✓ | ✓ | ||||
| VCDPA | ✓ | ✓ | ✓ | ✓ |
¿Cómo afectará la MODPA a los consumidores?
La MODPA afecta a los consumidores al otorgarles los siguientes derechos sobre sus datos personales:
- Confirmar si un responsable del tratamiento está tratando sus datos
- Acceder a los datos
- Corregir inexactitudes en los datos
- Exigir a un responsable del tratamiento que suprima los datos
- Obtener una copia portátil de sus datos personales
- Obtener una lista de los terceros a los que se comunican sus datos
- Exclusión del tratamiento de datos para publicidad dirigida
- Optar por no vender sus datos
- Exclusión de la elaboración de perfiles
¿A quién se aplica el MODPA?
La MODPA se aplica a los residentes del estado de Maryland; sin embargo, no se aplica a las personas de Maryland que actúen en un contexto laboral o comercial.
¿Cómo afectará la MODPA a las empresas?
Más allá de los requisitos de la MODPA tratados anteriormente en esta guía, la ley también afecta a las políticas de privacidad y cookies de las empresas.
¿Cómo afectará la MODPA a mi política de privacidad?
La MODPA exige a las empresas que presenten a los consumidores una política de privacidad que incluya:
- Las categorías de datos personales tratados, incluidos los datos sensibles.
- La finalidad del tratamiento.
- Cómo puede un consumidor hacer valer sus derechos de privacidad y recurrir una decisión del responsable del tratamiento basada en su solicitud o revocar el consentimiento.
- Las categorías de los terceros con los que se comparten los datos, con un nivel de detalle que el consumidor pueda comprender, incluido el tipo, el modelo empresarial o el tratamiento realizado por cada tercero.
- Las categorías de datos personales, incluidos los datos sensibles, compartidos con terceros.
- Una dirección de correo electrónico activa u otros mecanismos en línea que permitan ponerse en contacto con el responsable del tratamiento.
Las empresas que vendan datos personales a terceros, procesen datos para publicidad dirigida o participen en la elaboración de perfiles deben revelarlo en su política de privacidad y explicar cómo los consumidores pueden ejercer su derecho a excluirse de dicho procesamiento.
También debe establecer uno o varios métodos seguros y razonables para que las personas puedan presentar solicitudes verificables de los consumidores para que se respeten sus derechos a la intimidad.
¿Cómo afectará el MODPA a mi política de cookies?
La MODPA afecta a las políticas de cookies debido a los requisitos de notificación establecidos por la ley y los derechos de exclusión voluntaria concedidos a los consumidores.
Las empresas cubiertas por esta ley deben asegurarse de que su sitio política de cookies esté actualizado, sea preciso y esté vinculado a la política de privacidad, de modo que los consumidores estén adecuadamente informados sobre todas las cookies que pueden instalarse en sus navegadores.
También debe ofrecer a los consumidores de Maryland la posibilidad de rechazar las cookies si éstas recogen datos que usted vende, datos sensibles o se utilizan para publicidad dirigida.
¿Quién debe cumplir la nueva Ley de Protección de Datos de Maryland?
Las empresas deben cumplir la MODPA si desarrollan su actividad en el estado o suministran productos y servicios dirigidos a residentes en el estado y alcanzan alguno de los siguientes umbrales en un año natural:
- Controla o trata los datos personales de al menos 35.000 consumidores (excluidas las operaciones de pago) o
- Controla o procesa los datos personales de al menos 100.000 consumidores y obtiene más del 20% de los ingresos brutos anuales de la venta de los datos.
A diferencia de otras leyes estatales estadounidenses, la MODPA no tiene umbral monetario.
¿Quién está exento de la MODPA?
Las siguientes entidades están exentas de los requisitos de la nueva ley de privacidad de datos de Maryland:
- Subdivisiones políticas del Estado
- Asociaciones nacionales de valores registradas en virtud de la Ley Federal del Mercado de Valores de 1934 (SEA)
- Entidades financieras sujetas a la Ley Gramm-Leach-Bliley (GLBA)
- Responsables del tratamiento sin ánimo de lucro que tratan datos únicamente para ayudar a las fuerzas de seguridad a investigar actos delictivos o fraudulentos relacionados con los seguros o a los equipos de primera intervención en caso de catástrofe.
¿Cómo pueden prepararse las empresas para el MODPA?
Para prepararse para la MODPA, las empresas deben planificar la actualización de sus políticas de privacidad y cookies para asegurarse de que cumplen todos los requisitos de notificación descritos por la ley.
Los sitios web también deben tener al menos uno o más métodos seguros y fiables para que los consumidores presenten solicitudes de seguimiento de sus derechos de privacidad, como la publicación de un formulario de Solicitud de Acceso del Sujeto a los Datos (DSAR).
Las empresas que procesan datos que presentan un riesgo elevado para los consumidores deben realizar evaluaciones de protección de datos.
Los responsables del tratamiento de datos que trabajen con encargados del tratamiento también deben aplicar y firmar contratos que describan todos los requisitos descritos en la ley.
¿Cómo se aplicará el MODPA?
El Fiscal General de Maryland tiene autoridad para hacer cumplir la MODPA y conserva la facultad discrecional de conceder a las entidades un periodo de subsanación de 60 días.
El periodo de subsanación finaliza el 1 de abril de 2027.
La violación de la MODPA se considerará una práctica comercial desleal, abusiva o engañosa.
Multas y sanciones en virtud de la Ley de protección de datos en línea de Maryland
Las multas por infringir la MODPA pueden alcanzar los 10.000 dólares por incidente.
Sin embargo, los consumidores no tienen un derecho de acción privado.
¿Cómo ayudará Termly al cumplimiento de la MODPA?
Para simplificar el cumplimiento de la MODPA, Termly's Generador de Política de Privacidad incluirá todas las cláusulas exigidas por la ley antes de su entrada en vigor en 2025.
Nuestro generador le hace preguntas sencillas sobre su negocio y elabora una póliza completa y exclusiva basada en sus respuestas.
Termly también ofrece una plataformagestión del consentimiento (CMP) que puede configurarse para cumplir los requisitos de exclusión voluntaria descritos en la MODPA.
Viene con un formulario DSAR gratuito, para que sus usuarios puedan enviar de forma segura solicitudes verificadas para ejercer sus derechos.
¿Existen otras leyes relacionadas con la privacidad en Maryland?
Aunque la MODPA es la primera ley de este tipo en el estado, Maryland cuenta con algunas otras leyes relacionadas con la privacidad, entre ellas:
- Sección 14-350 del Código de Maryland (Ley de Protección de la Información Personal): Describe las leyes de notificación de violación de datos en el estado, imponiendo obligaciones a las empresas que recopilan información personal y experimentan una violación.
- Estatuto de historiales médicos del Código de Maryland: Exige que toda la información médica sea confidencial y otorga a las personas un derecho de acción privada.
Resumen
Si su empresa está sujeta a la aplicación de la Ley de Protección de Datos en Línea de Maryland, puede prepararse para su cumplimiento:
- Actualizar sus políticas de privacidad y cookies para cumplir todos los requisitos de notificación.
- Presente a sus usuarios una o varias formas seguras de enviar solicitudes de seguimiento de sus derechos.
- Realizar evaluaciones de protección de datos si las actividades de tratamiento presentan un riesgo elevado para el consumidor.
- Utilice contratos conformes con los procesadores de datos con los que trabaje.
Utilice Termly's Generador de política de privacidad y CMP para simplificar su proceso de cumplimiento.
Más sobre el autor
Escrito por Anokhy Desai CIPP/US, CIPT, CIPM
Anokhy es abogada especializada en privacidad con experiencia previa en privacidad y ciberseguridad en los sectores público y privado. Como antigua Westin Fellow en la IAPP, publicó varios artículos, libros blancos e infografías, y dirigió, coordinó y moderó seminarios web y paneles, todos ellos sobre privacidad y tecnología de la privacidad en Estados Unidos. Anokhy obtuvo su máster en la Universidad Carnegie Mellon y su doctorado en Derecho en la Universidad de Pittsburgh. Más sobre el autor
