Maine
Leyes de Notificación de Violación de Datos de Maine: Reglas y Plazos para Reportar (2026)

Bajo la Ley de Aviso de Riesgo a los Datos Personales de Maine (10 M.R.S. secciones 1346 a 1350-B), cualquier empresa, agencia gubernamental o institución que mantenga información personal computarizada debe notificar a los residentes afectados de Maine y al Fiscal General o al Departamento de Regulación Profesional y Financiera dentro de los 30 días posteriores a descubrir una violación e identificar su alcance.
La Ley de Aviso de Riesgo a los Datos Personales de Maine (10 MRSA secciones 1346 a 1350-B) establece algunos de los plazos de notificación de violaciones más estrictos de Estados Unidos. Mientras que muchos estados permiten 45 o 60 días para notificar a los residentes afectados, Maine limita la ventana a 30 días a partir de la fecha en que una organización descubre la violación y determina su alcance.
La ley se aplica ampliamente. Los intermediarios de información, las empresas privadas, las agencias gubernamentales, los municipios, los distritos escolares y las universidades caen todos dentro de su alcance. Desde que entró en vigor el 31 de enero de 2006, el estatuto se ha modificado varias veces, especialmente en 2019, cuando los legisladores agregaron el plazo estricto de 30 días y ampliaron la cobertura a los municipios y las unidades administrativas escolares.
Esta guía desglosa cada requisito bajo la ley, desde quién debe notificar hasta qué sanciones se aplican.
Para una visión más amplia de la protección de datos en el estado, consulte nuestro centro de Leyes de Privacidad de Datos de Maine.
Quién Debe Cumplir
La ley de notificación de violaciones de Maine cubre dos categorías de entidades, cada una con obligaciones ligeramente diferentes.
Los intermediarios de información son personas cuyo negocio principal implica recopilar y compilar información personal sobre personas con el fin de proporcionar esos datos a terceros no afiliados a cambio de tarifas monetarias. Las agencias gubernamentales dedicadas a funciones de tráfico y de las fuerzas del orden están excluidas de esta definición.
Todas las demás personas que mantienen datos computarizados que contienen información personal también deben cumplir. El estatuto define "persona" de manera amplia para incluir individuos, sociedades, corporaciones, sociedades de responsabilidad limitada, fideicomisos, patrimonios, asociaciones cooperativas y otras entidades comerciales. Una enmienda de 2019 agregó explícitamente a las entidades gubernamentales, los municipios, las unidades administrativas escolares, el Sistema Universitario de Maine, el Sistema de Colegios Comunitarios de Maine y la Academia Marítima de Maine a esta definición.
Cuando múltiples entidades están involucradas en el mismo evento de violación, la ley no exige un aviso duplicado de cada entidad. Esto evita que las personas afectadas reciban notificaciones redundantes derivadas de un solo incidente.
Qué Cuenta como Información Personal
La ley protege combinaciones específicas de elementos de datos. Una violación activa la notificación solo cuando el primer nombre o la inicial del primer nombre y el apellido de una persona se ven comprometidos junto con uno o más de los siguientes elementos sin cifrar o sin redactar:
- Número de Seguro Social
- Número de licencia de conducir o número de tarjeta de identificación estatal
- Número de cuenta, número de tarjeta de crédito o número de tarjeta de débito que se pueda usar sin autenticación adicional
- Contraseñas de cuentas, números de identificación personal (PIN) u otros códigos de acceso
- Cualquiera de los elementos de datos anteriores cuando el elemento por sí solo, sin el nombre de la persona, sea suficiente para cometer fraude de identidad
El estatuto excluye explícitamente de la definición de información personal la información disponible públicamente en registros gubernamentales y la información ampliamente distribuida por los medios de comunicación. Las bases de datos de reclamos de terceros mantenidas por compañías de seguros de propiedad y accidentes también están excluidas.
Qué No Está Cubierto
A diferencia de algunos estados que han ampliado sus definiciones en años recientes, la ley de notificación de violaciones de Maine no incluye los datos biométricos, la información de salud o médica, ni las direcciones de correo electrónico con contraseñas en la definición de información personal protegida. Sin embargo, las entidades de seguros de salud que experimentan violaciones siguen sujetas a los requisitos de notificación para cualquier elemento de datos cubierto que posean.
El Puerto Seguro de Cifrado
Maine proporciona un puerto seguro claro para los datos cifrados. Si la información personal comprometida estaba cifrada usando "prácticas generalmente aceptadas", la violación no activa los requisitos de notificación.
El estatuto no define "prácticas generalmente aceptadas" con más detalle, dejando a las organizaciones seguir los estándares actuales de la industria, como el cifrado AES-256. El puerto seguro también se aplica a los datos que han sido redactados, es decir, cuando los elementos protegidos han sido eliminados u ocultados.
Esta es una protección significativa. Las organizaciones que cifran la información personal tanto en reposo como en tránsito pueden evitar todo el proceso de notificación si el cifrado no también se vio comprometido durante la violación.

Cronograma de Notificación de 30 Días
La ventana de notificación de Maine está entre las más cortas del país. Las organizaciones deben proporcionar aviso "tan pronto como sea posible y sin demora injustificada" y a más tardar 30 días después de que la persona toma conocimiento de la violación e identifica su alcance.
Este reloj de 30 días comienza a correr una vez que se cumplen dos condiciones: la organización sabe que ocurrió una violación, y ha determinado el alcance del incidente. El lenguaje "identifica su alcance" da a las organizaciones cierta flexibilidad para completar una investigación inicial antes de que comience el reloj. Sin embargo, las organizaciones no pueden usar una investigación en curso como justificación para un retraso indefinido.
Retraso por las Fuerzas del Orden
La única excepción al plazo de 30 días involucra a las fuerzas del orden. Si una agencia de las fuerzas del orden determina que la notificación comprometería una investigación criminal, la organización puede retrasar la notificación. Sin embargo, este retraso no puede exceder los 7 días hábiles después de que las fuerzas del orden determinen que la notificación ya no interferirá con la investigación.
Las organizaciones deben obtener confirmación por escrito de las fuerzas del orden si se apoyan en esta excepción, aunque el estatuto no exige explícitamente la documentación.
A Quién se Debe Notificar
Cuando una violación activa la notificación, es posible que se deba informar a varias partes.
Residentes Afectados
Todo residente de Maine cuya información personal fue o se cree razonablemente que fue adquirida por una persona no autorizada debe recibir aviso. El estatuto establece una distinción entre los intermediarios de información y otras entidades:
- Los intermediarios de información deben notificar a los residentes después de realizar una investigación razonable y pronta, independientemente de si ha ocurrido un uso indebido real.
- Otras personas deben notificar a los residentes cuando el uso indebido de la información personal haya ocurrido o sea "razonablemente posible".
Reguladores Estatales
Las organizaciones deben notificar a su regulador estatal correspondiente. Si la entidad está regulada por un departamento dentro del Departamento de Regulación Profesional y Financiera de Maine (como bancos, cooperativas de crédito o compañías de seguros), debe notificar a ese departamento. Todas las demás organizaciones deben notificar al Fiscal General de Maine.
La oficina del Fiscal General proporciona un Formulario Electrónico de Reporte de Violación de Seguridad de Maine para presentar las notificaciones.
Agencias de Informes de Consumidores
Si una violación afecta a más de 1,000 personas, la organización también debe notificar a las agencias de informes de consumidores de alcance nacional "sin demora injustificada". Esta notificación debe incluir el momento de la violación, el número estimado de personas afectadas y la fecha real o anticipada de las notificaciones individuales.
Terceros que Poseen Datos
Las entidades de terceros que mantienen información personal en nombre de otra organización deben notificar al propietario de los datos "de inmediato" al descubrir una violación. El propietario de los datos entonces asume la responsabilidad de notificar a las personas afectadas y a los reguladores.

Métodos de Notificación
El estatuto permite tres métodos para proporcionar aviso a las personas afectadas.
El aviso por escrito es el método predeterminado y más directo. Las organizaciones envían una carta a la última dirección conocida de cada persona afectada.
El aviso electrónico se permite si cumple con la ley federal de Firmas Electrónicas en el Comercio Global y Nacional (15 U.S.C. sección 7001). Esto generalmente exige que el destinatario haya consentido afirmativamente recibir avisos electrónicos y no haya retirado ese consentimiento.
El aviso sustitutivo está disponible cuando la organización demuestra que se cumple cualquiera de estas condiciones:
- El costo de proporcionar el aviso directo superaría los $5,000
- La clase afectada supera las 1,000 personas
- La organización carece de información de contacto suficiente
El umbral de costo de $5,000 de Maine para el aviso sustitutivo es el más bajo de cualquier estado con dicha disposición. Muchos estados establecen este umbral en $250,000 o más. Esto significa que las organizaciones más pequeñas que experimenten una violación que afecte incluso a un número modesto de personas pueden calificar para el aviso sustitutivo relativamente rápido.
El aviso sustitutivo exige los tres pasos siguientes:
- Notificación por correo electrónico a todas las personas afectadas para las que la organización tenga una dirección de correo electrónico
- Publicación visible en el sitio web de la organización, si existe uno
- Notificación a los principales medios de comunicación estatales
Contenido Requerido del Aviso
El estatuto especifica que las notificaciones de violación a los reguladores y las agencias de informes de consumidores deben incluir:
- La fecha de la violación de seguridad
- Una estimación del número de personas afectadas, si se conoce
- La fecha real o anticipada en que las personas fueron o serán notificadas
La ley no prescribe el contenido exacto que debe aparecer en los avisos a las personas afectadas, pero la práctica estándar y las expectativas del Fiscal General generalmente incluyen una descripción del incidente, los tipos de información involucrados, los pasos que la persona puede tomar para protegerse, y la información de contacto de la organización notificante.

Aplicación de la Ley y Sanciones
Maine divide la autoridad de aplicación entre dos organismos según el tipo de entidad involucrada.
El Departamento de Regulación Profesional y Financiera aplica la ley contra las entidades que regula, incluyendo bancos, compañías de seguros y otras entidades financieras con licencia.
El Fiscal General aplica la ley contra todas las demás personas.
Sanciones Civiles
Los infractores enfrentan una multa civil de hasta $500 por infracción, con un máximo de $2,500 por cada día que la organización permanezca en incumplimiento. Estos montos son relativamente modestos en comparación con estados como California o Nueva York, que pueden imponer sanciones significativamente mayores.
Exención de Entidades Gubernamentales
El gobierno estatal, los municipios, las unidades administrativas escolares, el Sistema Universitario de Maine, el Sistema de Colegios Comunitarios de Maine y la Academia Marítima de Maine están exentos de sanciones financieras. Siguen sujetos a los requisitos de notificación, pero no enfrentan multas monetarias por infracciones.
Recursos Equitativos
Más allá de las sanciones monetarias, los organismos de aplicación pueden buscar recursos equitativos, incluidas medidas cautelares para prevenir infracciones adicionales. Estos recursos son acumulativos con cualquier otro recurso legal disponible bajo la ley estatal y federal.
Sin Derecho de Acción Privado
La ley de notificación de violaciones de Maine no crea un derecho de acción privado explícito. Las personas no pueden demandar directamente bajo este estatuto por una violación de su información personal. Sin embargo, las personas afectadas pueden tener otras vías legales, como reclamos bajo la Ley de Prácticas Comerciales Desleales de Maine (5 MRSA sección 207) o teorías de negligencia del derecho consuetudinario.
Puerto Seguro de Preferencia Federal
Las entidades que ya están sujetas y cumplen con los requisitos federales o estatales de notificación de violaciones de seguridad que sean "al menos tan protectores" como los requisitos de la sección 1348 se consideran en cumplimiento con la ley de Maine. Este puerto seguro beneficia a las organizaciones sujetas a regulaciones como HIPAA, la Ley Gramm-Leach-Bliley u otras reglas federales específicas por sector.
Sección 1347-A: Prohibición del Uso No Autorizado
Más allá de los requisitos de notificación, la ley incluye una prohibición separada bajo la sección 1347-A. Esta disposición convierte en infracción que cualquier persona no autorizada divulgue o use la información personal de una persona que fue adquirida a través de una violación de seguridad.
Esta sección se dirige a los malos actores que explotan los datos robados, no solo a las organizaciones que no logran asegurarlos.
Interacción con la Ley de Privacidad de Datos en Línea de Maine (LD 1822)
Hasta marzo de 2026, la Ley de Privacidad de Datos en Línea de Maine (LD 1822) había sido aprobada por ambas cámaras de la Legislatura de Maine, pero no había sido promulgada como ley. De promulgarse, entraría en vigor el 1 de julio de 2026.
El LD 1822 crearía un marco integral de privacidad de datos separado del estatuto de notificación de violaciones. Las dos leyes abordan aspectos diferentes de la protección de datos:
- La Ley de Aviso de Riesgo a los Datos Personales rige lo que sucede después de que ocurre una violación: los plazos de notificación, los destinatarios requeridos y las sanciones por incumplimiento.
- El LD 1822 regiría cómo las organizaciones recopilan, usan, procesan y comparten datos personales antes de que ocurra cualquier violación, incluyendo los requisitos de minimización de datos y los derechos del consumidor a acceder, corregir y eliminar sus datos.
La ley integral de privacidad sería aplicada por el Fiscal General bajo la Ley de Prácticas Comerciales Desleales, con sanciones de hasta $10,000 por infracción intencional. No crearía un derecho de acción privado.
Las organizaciones que operan en Maine deben monitorear ambas leyes, ya que el cumplimiento únicamente de los requisitos de notificación de violaciones no satisfaría las obligaciones más amplias de manejo de datos que impondría el LD 1822.
Comparación con la Ley de Privacidad de ISP
Maine también tiene una ley de privacidad de ISP de banda ancha separada (Título 35-A, sección 9301), promulgada en 2019 a través del LD 946. Esta ley prohíbe a los proveedores de servicios de internet usar, vender o distribuir la información personal del cliente sin consentimiento expreso de inclusión voluntaria.
La ley de privacidad de ISP es distinta del estatuto de notificación de violaciones. Regula las prácticas de datos continuas de los proveedores de banda ancha en lugar de las obligaciones posteriores a una violación. Un ISP que experimente una violación de datos aún tendría que cumplir con la Ley de Aviso de Riesgo a los Datos Personales además de sus obligaciones bajo el Título 35-A.
Pasos Prácticos para el Cumplimiento
Las organizaciones que mantienen información personal de residentes de Maine deben tomar estas medidas para prepararse para posibles violaciones:
Desarrollar un plan de respuesta a incidentes que tenga en cuenta el plazo de notificación de 30 días de Maine. Dada la ventana corta, las organizaciones no pueden darse el lujo de crear un protocolo de respuesta después de que se descubra una violación.
Conocer a su regulador. Determine de antemano si su organización reporta al Departamento de Regulación Profesional y Financiera o al Fiscal General. Tener listo el formulario de reporte correcto ahorra tiempo crítico.
Cifrar la información personal usando prácticas generalmente aceptadas. Este es el paso individual más efectivo que puede tomar una organización, porque los datos debidamente cifrados que sean violados no activan la notificación en absoluto.
Mantener información de contacto actualizada de los clientes y empleados cuya información personal usted posee. Las organizaciones que carecen de información de contacto suficiente para el aviso directo deben usar el proceso de aviso sustitutivo, que implica notificaciones a los medios y es más público.
Documentar su cronograma de investigación. Debido a que el reloj de 30 días comienza cuando la organización toma conocimiento de la violación e identifica su alcance, mantener registros claros de cuándo ocurrió el descubrimiento y cuándo concluyó la investigación es esencial para demostrar el cumplimiento.
Más leyes de Maine
- Leyes de Grabación de Reuniones con IA de Maine
- Leyes de Pensión Alimenticia de Maine
- Leyes de Empleo a Voluntad de Maine
- Leyes de Accidentes de Auto de Maine
- Leyes de Asientos de Seguridad para Niños de Maine
- Leyes de Custodia de los Hijos de Maine
- Leyes de Manutención de los Hijos de Maine
- Leyes de Matrimonio de Hecho de Maine
- Leyes de Deepfake de Maine
- Leyes de Divorcio de Maine
- Leyes de Mordedura de Perro de Maine
- Leyes de Emancipación de Maine
- Leyes de Eliminación de Antecedentes de Maine
- Leyes de Atropello y Fuga de Maine
- Leyes de Propietarios e Inquilinos de Maine
- Leyes Limón de Maine
Este artículo tiene fines informativos únicamente y no constituye asesoría legal. Los requisitos de notificación de violación de datos pueden cambiar a medida que las legislaturas modifican los estatutos existentes o los tribunales emiten nuevos fallos. Consulte a un abogado calificado con licencia en Maine para obtener orientación específica sobre su situación.
Preguntas frecuentes
¿Con qué rapidez debe una empresa de Maine notificar a las personas sobre una violación de datos?
La ley de Maine exige la notificación a más tardar 30 días después de que la organización toma conocimiento de la violación e identifica su alcance. Este es uno de los plazos estrictos más cortos del país. La única excepción es un retraso por las fuerzas del orden, que puede extender el plazo hasta 7 días hábiles después de que las fuerzas del orden autoricen la notificación.
¿Proteger los datos con cifrado exime a una empresa de los requisitos de notificación de violaciones de Maine?
Sí. Maine proporciona un puerto seguro de cifrado. Si la información personal comprometida estaba cifrada usando prácticas generalmente aceptadas, la violación no activa la obligación de notificación. El estatuto no especifica estándares de cifrado particulares, pero las organizaciones deben seguir las mejores prácticas actuales de la industria, como el AES-256.
¿Qué es la disposición de aviso sustitutivo de Maine y cuándo se aplica?
El aviso sustitutivo es un método de notificación alternativo disponible cuando el costo del aviso directo supera los $5,000, la clase afectada supera las 1,000 personas, o la organización carece de información de contacto suficiente. El umbral de costo de $5,000 de Maine es el más bajo de cualquier estado. El aviso sustitutivo exige enviar correos electrónicos a las personas afectadas (si hay direcciones disponibles), publicar de manera visible en el sitio web de la organización y notificar a los principales medios de comunicación estatales.
¿Pueden las personas demandar bajo la ley de notificación de violaciones de datos de Maine?
No. La Ley de Aviso de Riesgo a los Datos Personales de Maine no crea un derecho de acción privado. Solo el Fiscal General o el Departamento de Regulación Profesional y Financiera pueden aplicar el estatuto. Sin embargo, las personas afectadas pueden presentar reclamos bajo la Ley de Prácticas Comerciales Desleales de Maine o buscar teorías de derecho consuetudinario como la negligencia.
¿La ley de notificación de violaciones de Maine cubre la información de seguros de salud o los datos biométricos?
La ley no enumera específicamente la información de seguros de salud ni los datos biométricos como información personal protegida. Los elementos protegidos se limitan al SSN, el número de licencia de conducir o identificación estatal, los números de cuenta financiera con códigos de seguridad, y las contraseñas o PIN de cuentas. Sin embargo, las aseguradoras de salud que posean cualquiera de estos elementos de datos deben seguir cumpliendo con los requisitos de notificación si esos elementos se ven comprometidos.
¿Afectado por una filtración de datos o una violación de privacidad biométrica?
Si sus datos personales quedaron expuestos en una filtración, o si su huella dactilar o escaneo facial se recopiló sin su consentimiento, podría ser elegible para unirse a un reclamo por compensación. Averígüelo gratis y sin compromiso.
Fuentes y referencias
- Ley de Aviso de Riesgo a los Datos Personales de Maine, Capítulo 210-B(legislature.maine.gov).gov
- Título 10, Sección 1347: Definiciones(legislature.maine.gov).gov
- Título 10, Sección 1348: Requisitos de Aviso de Violación de Seguridad(legislature.maine.gov).gov
- Título 10, Sección 1349: Aplicación y Sanciones(legislature.maine.gov).gov
- Título 10, Sección 1347-A: Prohibición de la Divulgación o Uso de Información Personal(legislature.maine.gov).gov
- Fiscal General de Maine: Privacidad, Robo de Identidad y Violaciones de Seguridad de Datos(maine.gov).gov
- Oficina de Regulación Profesional y Financiera de Maine: Preguntas Frecuentes sobre Riesgo a los Datos Personales(maine.gov).gov
- Formulario Electrónico de Reporte de Violación de Seguridad de Maine(me.accessgov.com)
- Estado del LD 1822: Ley de Privacidad de Datos en Línea de Maine(legislature.maine.gov).gov
- Título 35-A, Sección 9301: Ley de Privacidad de ISP(legislature.maine.gov).gov
- 15 U.S.C. Sección 7001: Ley E-SIGN(govinfo.gov).gov
- Ley Pública Capítulo 512: Notificación de Violaciones de Municipios y Distritos Escolares(legislature.maine.gov).gov