Maryland
Leyes de Privacidad de Datos de Maryland: Guía de Derechos del Consumidor según la MODPA (2026)

La Ley de Privacidad de Datos en Línea de Maryland (MODPA), codificada en Md. Code, Com. Law §§ 14-4601 a 14-4614 y vigente desde el 1 de octubre de 2025, regula la forma en que las empresas recopilan y comparten datos personales de los residentes de Maryland. La MODPA prohíbe por completo la venta de datos personales sensibles, exige la minimización de datos independientemente del consentimiento del consumidor, y protege a todos los consumidores menores de 18 años frente a la venta de sus datos y la publicidad dirigida.
Maryland cuenta con una de las leyes de privacidad de datos más sólidas de Estados Unidos. La Ley de Privacidad de Datos en Línea de Maryland (MODPA), firmada por el gobernador Wes Moore el 9 de mayo de 2024 y vigente desde el 1 de octubre de 2025, va más allá que la mayoría de las leyes estatales de privacidad en varios aspectos importantes. Prohíbe por completo la venta de datos sensibles. Restringe la recopilación misma de datos en lugar de depender del procesamiento basado en el consentimiento. Y extiende sus protecciones a todos los consumidores menores de 18 años, no solo a los niños menores de 13.
La MODPA está codificada como el Subtítulo 46 del Artículo de Derecho Comercial de Maryland, Md. Code, Com. Law §§ 14-4601 a 14-4614 (Capítulo 455 de las Leyes de Maryland de 2024). El proyecto de ley fue aprobado por el Senado de Maryland con un resultado de 46-0 y por la Cámara de Delegados con 103-33, con un fuerte respaldo bipartidista. La aplicación por parte del Fiscal General de Maryland comenzó el 1 de abril de 2026.
El marco de privacidad de Maryland va más allá de la MODPA. También incluye una ley de notificación de violaciones de datos, una ley de privacidad de la información genética, un estatuto de confidencialidad de registros médicos, un código de diseño para menores, y la superposición de leyes federales como la HIPAA, la COPPA, la GLBA y la TAKE IT DOWN Act. Esta guía cubre el marco completo a partir de mayo de 2026.
Qué Es la Ley de Privacidad de Datos en Línea de Maryland (MODPA)?
La MODPA es la ley integral de privacidad de datos de los consumidores de Maryland, codificada en Md. Code, Com. Law §§ 14-4601 a 14-4614. Se presentó como el Proyecto de Ley del Senado 541 durante la Sesión Ordinaria de 2024 por los senadores Gile, Hester, Augustine, Feldman, Beidle y Ellis. El proyecto de ley complementario en la Cámara fue el HB 567.
La ley regula la forma en que los responsables y encargados del tratamiento de datos manejan los datos personales de los residentes de Maryland. Establece derechos para los consumidores, obligaciones para las empresas y mecanismos de aplicación que, en varios aspectos, superan las protecciones existentes en California, Virginia, Colorado y otros estados con leyes integrales de privacidad.
Lo que distingue a la MODPA a nivel nacional es su enfoque en tres áreas clave: la minimización de datos, los datos sensibles y la privacidad de los menores. Cada una de estas áreas establece un estándar más alto que las leyes comparables de otros estados.
Quién Debe Cumplir con la MODPA?
La MODPA se aplica a las entidades que realizan negocios en Maryland o producen productos o servicios dirigidos a los residentes de Maryland y que cumplen con uno de dos umbrales:

- Controlar o procesar los datos personales de al menos 35,000 consumidores de Maryland durante un año calendario (excluyendo los datos procesados únicamente para transacciones de pago), O
- Controlar o procesar los datos personales de al menos 10,000 consumidores de Maryland Y obtener más del 20% de los ingresos brutos de la venta de datos personales.
Estos umbrales son más bajos que los de la mayoría de los demás estados. Virginia, en comparación, utiliza un umbral de 100,000 consumidores. El umbral más bajo de Maryland implica que más empresas quedan sujetas a los requisitos de la ley.
Quién Está Exento de la MODPA?
La MODPA incluye exenciones tanto a nivel de entidad como a nivel de datos.
Exenciones a Nivel de Entidad:
- Las agencias estatales y locales del gobierno de Maryland
- Las asociaciones nacionales registradas de valores y futuros
- Las instituciones financieras reguladas conforme a la Ley Gramm-Leach-Bliley (GLBA)
- Las organizaciones sin fines de lucro que sirven exclusivamente a las agencias de aplicación de la ley o al personal de primera respuesta en la atención de eventos catastróficos
Exenciones a Nivel de Datos (exentas incluso cuando las poseen entidades cubiertas):
- La información médica protegida conforme a la HIPAA
- Los datos regidos por la Ley Gramm-Leach-Bliley
- Los datos regulados conforme a la Ley de Informe Justo de Crédito (FCRA)
- Los datos cubiertos por la Ley de Protección de la Privacidad del Conductor
- Los datos sujetos a la Ley de Derechos Educativos y Privacidad Familiar (FERPA)
- Los datos procesados conforme a la Ley de Crédito Agrícola y la Ley de Desregulación de Aerolíneas
- Los datos de empleados y contratistas procesados en el contexto laboral
Es importante destacar que, por lo general, las organizaciones sin fines de lucro no están exentas de la MODPA. Si una organización sin fines de lucro cumple con los umbrales de procesamiento de datos y no está específicamente excluida bajo la excepción de aplicación de la ley o de primera respuesta, debe cumplir con la ley.
Derechos del Consumidor según la MODPA
La MODPA otorga a los residentes de Maryland un conjunto integral de derechos de privacidad. Estos derechos permiten a los consumidores comprender y controlar la forma en que las empresas recopilan, usan y comparten sus datos personales.

Derecho a Confirmar y Acceder
Los consumidores tienen derecho a confirmar si un responsable está procesando sus datos personales. Si se está llevando a cabo el procesamiento, el consumidor puede acceder a esos datos y comprender cómo se están utilizando.
Derecho a Corregir
Los consumidores pueden solicitar que un responsable corrija inexactitudes en sus datos personales. Este derecho ayuda a garantizar que las empresas mantengan registros exactos sobre los consumidores.
Derecho a la Eliminación
Los consumidores pueden solicitar la eliminación de los datos personales que un responsable posea sobre ellos. Esto se aplica tanto a los datos que el consumidor proporcionó directamente como a los obtenidos de otras fuentes.
Derecho a la Portabilidad de Datos
Los consumidores pueden obtener una copia de sus datos personales en un formato portátil y fácilmente utilizable. Esto les permite trasladar sus datos a un proveedor de servicios diferente.
Derecho a Optar por No Participar
Los consumidores tienen derecho a optar por no participar en el procesamiento de datos personales para:
- Publicidad dirigida basada en actividades rastreadas en diferentes empresas, sitios web o aplicaciones
- Venta de datos personales a terceros
- Elaboración de perfiles que produzca efectos legales o de importancia similar
Derecho a Obtener una Lista de los Destinatarios Externos
Los consumidores pueden solicitar una lista de las categorías de terceros a quienes un responsable haya divulgado sus datos personales. Este derecho de transparencia ayuda a los consumidores a comprender el alcance total del intercambio de datos.
No Discriminación
Las empresas no pueden discriminar a los consumidores que ejerzan sus derechos de privacidad. Una empresa no puede negar bienes o servicios, cobrar precios diferentes ni ofrecer un nivel de calidad distinto porque un consumidor haya presentado una solicitud de privacidad.
Cómo Ejercer Sus Derechos
Los responsables deben proporcionar mecanismos para que los consumidores presenten solicitudes. Cuando un consumidor presenta una solicitud, el responsable debe responder dentro de un plazo de 45 días. Este periodo puede extenderse por 45 días adicionales cuando sea razonablemente necesario dada la complejidad de la solicitud.
Si un responsable rechaza una solicitud, el consumidor puede apelar la decisión. Si se deniega la apelación, el consumidor puede presentar una queja ante la División de Protección al Consumidor del Fiscal General de Maryland. La oficina del Fiscal General acepta quejas de privacidad a través de su portal en línea de protección al consumidor en oag.maryland.gov.
Señales Universales de Exclusión (Opt-Out)
La MODPA aborda las señales universales de preferencia de exclusión. Los responsables pueden proporcionar un enlace claro y visible en su sitio web para ejercer los derechos de exclusión, o bien reconocer una señal de preferencia de exclusión como el Control de Privacidad Global (GPC). Los responsables que ya reconocen señales de exclusión aprobadas por otros estados se consideran en cumplimiento con el requisito de Maryland.
Minimización de Datos: El Requisito Más Estricto de la MODPA
El estándar de minimización de datos de la MODPA es posiblemente la característica más importante de la ley. Establece un estándar más alto que cualquier otra ley estatal de privacidad en Estados Unidos y, en algunos aspectos, se acerca al RGPD de la Unión Europea en cuanto a rigurosidad.
Conforme a la MODPA (Md. Code, Com. Law § 14-4603), los responsables deben limitar la recopilación de datos personales a lo razonablemente necesario y proporcional para proporcionar o mantener un producto o servicio específico solicitado por el consumidor. Esta restricción se aplica independientemente de si el consumidor ha otorgado su consentimiento.
Esto representa un cambio fundamental respecto a cómo funcionan la mayoría de las leyes estatales de privacidad. En la mayoría de los estados, las empresas pueden recopilar datos para cualquier finalidad divulgada, siempre que se informe al consumidor. La MODPA restringe la recopilación en sí misma. Incluso si un consumidor acepta una recopilación de datos más amplia, la empresa no puede recopilar más de lo razonablemente necesario.
Para los datos personales sensibles, el estándar es aún más estricto. Los responsables no pueden procesar datos sensibles a menos que sea estrictamente necesario para proporcionar o mantener un producto o servicio que el consumidor haya solicitado específicamente. La palabra "estrictamente" eleva el estándar por encima del criterio general de "razonablemente necesario".
Los responsables deben estar preparados para documentar su razonamiento respecto a las decisiones de recopilación de datos. El Fiscal General de Maryland puede solicitar esta documentación durante las investigaciones, y los responsables deben poder explicar por qué los datos que recopilan cumplen con el estándar de necesidad.
Protecciones de Datos Sensibles: La Prohibición Absoluta de Venta
La MODPA adopta un enfoque fundamentalmente diferente respecto a los datos sensibles en comparación con otras leyes estatales de privacidad. En lugar de permitir que las empresas procesen datos sensibles con el consentimiento expreso del consumidor, la MODPA prohíbe por completo la venta de datos personales sensibles, sin importar si el consumidor lo consiente.

Esta es la protección de datos sensibles más sólida de cualquier ley estatal de privacidad en Estados Unidos. En Virginia, Colorado, Connecticut y otros estados, las empresas pueden procesar y vender datos sensibles siempre que obtengan el consentimiento expreso del consumidor. Maryland elimina incluso esa opción.
Qué Califica Como Datos Sensibles Según la MODPA?
La MODPA define de manera amplia los datos personales sensibles en Md. Code, Com. Law § 14-4601. Las siguientes categorías se clasifican como sensibles:
- Datos biométricos (sensibles sin importar si se utilizan con fines de identificación)
- Datos genéticos (sensibles sin importar su uso)
- Datos de salud del consumidor, incluida cualquier información sobre el estado de salud, las condiciones o el tratamiento de una persona
- Datos de geolocalización precisa
- Datos que revelen raza u origen étnico
- Datos que revelen creencias religiosas
- Datos que revelen orientación sexual, vida sexual o condición de persona transgénero o no binaria
- Datos que revelen ciudadanía o estatus migratorio
- Datos que revelen origen nacional
- Datos personales de un menor conocido de menos de 13 años
Varias de estas categorías son más amplias que las definiciones utilizadas en otros estados. Por ejemplo, la mayoría de las leyes estatales solo clasifican los datos biométricos como sensibles cuando se utilizan para identificación. La MODPA los clasifica como sensibles sin importar cómo se utilicen. De manera similar, la definición de datos de salud del consumidor de la MODPA abarca cualquier "estado" de salud, mientras que la mayoría de los estados limitan la definición a condiciones diagnosticadas.
Excepciones a la Prohibición de Venta de Datos Sensibles
La prohibición de vender datos sensibles tiene excepciones limitadas:
- Divulgaciones dirigidas por el consumidor a un tercero específico
- Divulgaciones que sean estrictamente necesarias para proporcionar un producto o servicio solicitado por el consumidor
Fuera de estas excepciones limitadas, la venta de datos sensibles está prohibida en todas las circunstancias.
Protecciones de Datos de Menores
La MODPA ofrece algunas de las protecciones de datos de menores más sólidas de cualquier ley estatal de privacidad en Estados Unidos. Las protecciones se extienden a todos los consumidores menores de 18 años, no solo a los niños menores de 13 según lo define la ley federal Children's Online Privacy Protection Act (COPPA).

Protecciones para Consumidores Menores de 18 Años
La MODPA prohíbe a las empresas:
- Vender los datos personales de cualquier consumidor que la empresa sepa, o debería razonablemente saber, que es menor de 18 años
- Usar datos personales para publicidad dirigida hacia cualquier consumidor que la empresa sepa, o debería razonablemente saber, que es menor de 18 años
Estas prohibiciones se aplican independientemente del consentimiento del consumidor o de los padres. A diferencia de la mayoría de las leyes estatales de privacidad, que ofrecen un mecanismo de exclusión o inclusión voluntaria para los datos de menores, la MODPA prohíbe categóricamente estas prácticas para cualquier persona menor de 18 años.
El Estándar de "Debería Haber Sabido"
La MODPA utiliza un estándar de "sabía o debería haber sabido" para determinar si un consumidor es menor de edad. Esto resulta significativamente más protector que el estándar de "conocimiento real" utilizado en la mayoría de los demás estados.
Bajo el estándar de "debería haber sabido", un responsable no puede simplemente ignorar los indicios de que un usuario es menor de 18 años. Si las señales contextuales, el comportamiento del usuario o la información disponible llevarían a una empresa razonable a concluir que un usuario es menor de edad, las protecciones se aplican. Esto, en la práctica, exige que los responsables implementen alguna forma de mecanismo de verificación o estimación de edad.
Menores de 13 Años
Los datos personales de un menor conocido de menos de 13 años se clasifican automáticamente como datos sensibles bajo la MODPA. Esto activa el estándar de minimización de datos más estricto ("estrictamente necesario") y la prohibición absoluta de venta de datos.
Los padres y tutores legales pueden ejercer los derechos de privacidad de datos en nombre de los menores de 13 años.
Obligaciones de las Empresas según la MODPA
Los responsables sujetos a la MODPA deben cumplir con varios requisitos además de responder a las solicitudes de derechos de los consumidores.
Requisitos del Aviso de Privacidad
Los responsables deben proporcionar a los consumidores un aviso de privacidad claro y accesible que incluya:
- Las categorías de datos personales recopilados
- Las finalidades del procesamiento de datos personales
- Cómo los consumidores pueden ejercer sus derechos de privacidad, incluido el proceso de apelación
- Las categorías de datos personales compartidos con terceros
- Las categorías de terceros que reciben datos personales
Evaluaciones de Protección de Datos
La MODPA exige que los responsables realicen y documenten evaluaciones de protección de datos para las actividades de procesamiento que presenten un riesgo elevado de daño para los consumidores. Estas evaluaciones se requieren para:
- El procesamiento de datos personales para publicidad dirigida
- La venta de datos personales
- El procesamiento de datos personales para la elaboración de perfiles
- El procesamiento de datos sensibles
- Cualquier procesamiento que presente un riesgo elevado de daño
El requisito de Maryland va más allá que el de la mayoría de los estados, ya que exige explícitamente que las evaluaciones incluyan una evaluación de cada algoritmo utilizado en la actividad de procesamiento. Este requisito de evaluación algorítmica es único entre las leyes estatales de privacidad de Estados Unidos.
El Fiscal General puede solicitar estas evaluaciones durante las investigaciones.
Contratos entre Responsables y Encargados del Tratamiento
El procesamiento debe regirse por un contrato escrito entre el responsable y el encargado del tratamiento. El contrato debe describir las instrucciones para el procesamiento, la naturaleza y finalidad del procesamiento, el tipo de datos sujetos a procesamiento y la duración de la relación.
Los encargados del tratamiento deben ayudar a los responsables a cumplir con sus obligaciones, incluida la respuesta a las solicitudes de derechos de los consumidores, la garantía de la seguridad del procesamiento de datos y la realización de evaluaciones de protección de datos.
Lista Práctica de Verificación de Cumplimiento
Las empresas sujetas a la MODPA deben seguir los siguientes pasos:
- Determine si la ley le aplica. Evalúe si su volumen de procesamiento de datos cumple con los umbrales de 35,000 consumidores o de 10,000 consumidores más el 20% de ingresos.
- Mapee sus datos. Identifique todas las categorías de datos personales recopilados, la finalidad de cada recopilación y los terceros que reciben los datos.
- Audite en busca de datos sensibles. Identifique cualquier categoría de datos sensibles en su inventario de datos. Elimine por completo cualquier canal de venta de datos sensibles.
- Implemente la minimización de datos. Revise cada decisión de recopilación de datos conforme al estándar de "razonablemente necesario y proporcional". Documente su razonamiento.
- Actualice su aviso de privacidad. Asegúrese de que incluya todas las divulgaciones requeridas por la MODPA, incluidas las categorías de destinatarios externos.
- Establezca un proceso de respuesta a derechos. Cree un mecanismo para recibir solicitudes de los consumidores y un flujo de trabajo para responder dentro de 45 días.
- Realice evaluaciones de protección de datos. Complete las evaluaciones para todas las actividades de procesamiento de alto riesgo y documente el análisis a nivel de algoritmo cuando corresponda.
- Formalice los contratos entre responsables y encargados. Asegúrese de que todos los encargados del tratamiento hayan firmado acuerdos de procesamiento de datos conformes con la MODPA.
- Incorpore señales de edad en su revisión de cumplimiento. Si los menores pueden acceder a su servicio, implemente un monitoreo para el estándar de "debería haber sabido".
- Reconozca el Control de Privacidad Global. Configure su sitio web o aplicación para respetar las señales de preferencia de exclusión.
Aplicación y Sanciones
El Fiscal General de Maryland tiene autoridad exclusiva de aplicación sobre la MODPA. La División de Protección al Consumidor de la Oficina del Fiscal General se encarga de las investigaciones y las medidas de aplicación.

No existe un derecho de acción privada. Los consumidores no pueden demandar directamente a las empresas por infracciones a la MODPA. En su lugar, deben presentar quejas ante la oficina del Fiscal General.
Cronología de Aplicación
La MODPA entró en vigor el 1 de octubre de 2025, pero la aplicación no comenzó sino hasta el 1 de abril de 2026. Este periodo de gracia de seis meses permitió a las empresas implementar medidas de cumplimiento antes de enfrentar posibles medidas de aplicación.
Limitaciones de Recursos del Fiscal General y Capacidad de Aplicación
El Fiscal General Anthony Brown ha reconocido públicamente las limitaciones de personal. A principios de 2026, su oficina contaba con un solo abogado dedicado a la aplicación de la privacidad, en comparación con los equipos dedicados de múltiples abogados e investigadores en estados como Connecticut, Delaware y Oregón. Brown declaró a los legisladores en febrero de 2025 que "Maryland se está quedando atrás" en la aplicación de la privacidad sin recursos dedicados.
Brown ha respaldado un impuesto propuesto sobre los corredores de datos (HB-1089) que impondría un gravamen del 6% sobre los ingresos brutos de los corredores de datos a partir del año fiscal 2027, con ingresos proyectados de más de $90 a $100 millones anuales. La propuesta financiaría una unidad dedicada de aplicación de privacidad dentro de la División de Protección al Consumidor para hacer cumplir la MODPA, la Ley del Código de Diseño Apropiado para la Edad, y las leyes relacionadas de tecnología, IA y ciberseguridad.
Hasta mayo de 2026, no se ha anunciado públicamente ninguna medida formal de aplicación de la MODPA. La ley entró en su primer mes completo de aplicación activa en abril de 2026, y las medidas de aplicación bajo las nuevas leyes de privacidad suelen surgir entre seis y dieciocho meses después de la fecha de inicio de la aplicación, a medida que maduran las investigaciones de las quejas.
Periodo de Subsanación
Para las infracciones que ocurran antes del 1 de abril de 2027, el Fiscal General puede otorgar un periodo de subsanación de 60 días conforme a Md. Code, Com. Law § 14-4614. Durante este plazo, el responsable o el encargado del tratamiento puede subsanar la infracción y presentar una declaración escrita que confirme la subsanación antes de que el Fiscal General imponga sanciones.
El periodo de subsanación no es automático. El Fiscal General tiene la facultad discrecional de determinar si una infracción es subsanable, considerando factores como:
- El número de infracciones
- El tamaño y la complejidad del responsable o del encargado del tratamiento
- La probabilidad de perjuicio al público
- Si la infracción parece intencional
Después del 1 de abril de 2027, el periodo de subsanación vence por completo. A partir de entonces, el Fiscal General puede iniciar medidas de aplicación de inmediato sin ofrecer la oportunidad de subsanar.
Montos de las Sanciones
Las infracciones a la MODPA se tratan como prácticas comerciales injustas, abusivas o engañosas conforme a la Ley de Protección al Consumidor de Maryland. Las sanciones siguen el marco de dicha ley:
| Tipo de Infracción | Sanción Máxima | Notas |
|---|---|---|
| Primera infracción | Hasta $10,000 | Por infracción |
| Infracción reincidente | Hasta $25,000 | Por cada infracción posterior del mismo tipo |
| Sanciones penales | Posibles | Conforme a las disposiciones penales de la MCPA para infracciones deliberadas |
Estas sanciones son notablemente más altas que el límite de $7,500 por infracción vigente en Virginia y en muchos otros estados.
Ley de Notificación de Violaciones de Datos de Maryland
Además de la MODPA, la ley de notificación de violaciones de datos de Maryland, conforme a la Ley de Protección de Información Personal de Maryland (PIPA), codificada en Md. Code, Com. Law § 14-3504, exige que las empresas notifiquen a los consumidores y al Fiscal General cuando se vea comprometida su información personal.
Qué Activa la Obligación de Notificar
Se exige la notificación cuando se ha producido una adquisición no autorizada de datos informatizados que compromete la seguridad, confidencialidad o integridad de la información personal. Las adquisiciones de buena fe por parte de empleados con fines comerciales quedan excluidas de la definición de violación de datos.
Una empresa debe llevar a cabo una investigación razonable y oportuna después de descubrir una violación de datos para determinar si la información personal ha sido, o probablemente será, objeto de uso indebido.
Información Personal Cubierta
La ley cubre el nombre o la inicial del nombre de un consumidor combinado con su apellido, junto con cualquiera de los siguientes elementos:
- Número de Seguro Social
- Número de licencia de conducir o de identificación estatal
- Número de cuenta financiera, tarjeta de crédito o tarjeta de débito combinado con cualquier código de seguridad requerido
- Número de identificación individual del contribuyente
- Número de pasaporte u otro número de identificación emitido por el gobierno
- Información de salud
- Datos biométricos (huellas dactilares, impresiones de voz, imágenes de retina o iris)
- Credenciales de cuentas en línea (nombre de usuario o correo electrónico junto con contraseña o respuestas a preguntas de seguridad)
Plazo y Requisitos de Notificación
Las empresas deben notificar a los consumidores afectados dentro de un plazo de 45 días desde que descubren la violación de datos. La notificación debe incluir:
- Una descripción de las categorías de información comprometida
- Información de contacto de la empresa, incluido un número de teléfono gratuito
- Información de contacto de las agencias de informes crediticios
- Información de contacto de la Comisión Federal de Comercio y del Fiscal General de Maryland
- Recursos de prevención y mitigación del robo de identidad
Notificación al Fiscal General
Antes de enviar la notificación a los consumidores, una empresa debe notificar a la Oficina del Fiscal General de Maryland. Este requisito de notificación previa garantiza que la oficina del Fiscal General tenga conocimiento de la violación de datos antes de que los consumidores reciban la notificación.
Métodos de Notificación
La notificación puede proporcionarse a través de:
- Correo postal a la dirección más reciente del consumidor
- Teléfono al número más reciente
- Correo electrónico (si el consumidor consintió las comunicaciones electrónicas o si la empresa opera principalmente en línea)
- Notificación sustitutiva (correo electrónico, publicación en el sitio web y notificación a los medios de comunicación a nivel estatal) cuando el costo supere los $100,000 o se vean afectadas más de 175,000 personas
Requisitos de Seguridad
La PIPA también exige que las empresas que posean u obtengan bajo licencia información personal implementen y mantengan procedimientos y prácticas de seguridad razonables, adecuados a la naturaleza de la información y al tamaño de la empresa.
Ley del Código de Diseño Apropiado para la Edad de Maryland
La Ley del Código de Diseño Apropiado para la Edad de Maryland (AADC), promulgada como el HB 603 en mayo de 2024 y vigente desde el 1 de octubre de 2024, establece requisitos de diseño para los productos y servicios en línea susceptibles de ser utilizados por niños y adolescentes menores de 18 años.
Quién Debe Cumplir
La AADC se aplica a las empresas que ofrecen servicios, productos o funciones en línea "con probabilidad razonable de ser utilizados por menores". A diferencia de la mayoría de las leyes relacionadas con la edad, la AADC no exige que las empresas verifiquen la edad de los usuarios. En cambio, las empresas deben evaluar si su servicio es susceptible de atraer a menores según factores contextuales.
Requisitos Clave
Las empresas cubiertas deben:
- Completar una Evaluación de Impacto sobre la Protección de Datos (DPIA) para cualquier producto en línea que los menores puedan utilizar. El plazo para las evaluaciones de productos existentes venció el 1 de abril de 2026.
- Configurar los ajustes de privacidad en sus opciones predeterminadas más protectoras para los usuarios menores de edad
- Evitar recopilar o compartir datos personales que no sean necesarios para el servicio
- Abstenerse de usar funciones de diseño que puedan dañar la salud física o mental de los menores
Sanciones
Las empresas pueden enfrentar multas de hasta $2,500 por menor por cada infracción negligente y $7,500 por menor por cada infracción intencional. Hasta mayo de 2026, no se han presentado impugnaciones legales contra la AADC de Maryland, a diferencia de la ley similar de California, que enfrentó litigios constitucionales.
Ley de Privacidad de la Información Genética de Maryland
La Ley de Privacidad de la Información Genética de Maryland (GIPA), codificada en Md. Code, Com. Law §§ 14-4401 a 14-4410 (vigente desde el 1 de octubre de 2022), regula a las empresas de pruebas genéticas directas al consumidor y el manejo que estas hacen de los datos genéticos de los consumidores.
La GIPA exige que las empresas de pruebas genéticas directas al consumidor:
- Obtengan un consentimiento expreso, por escrito y por separado antes de recopilar, usar o divulgar los datos genéticos de un consumidor para cualquier finalidad
- Proporcionen información clara y completa sobre las políticas de datos antes de obtener el consentimiento
- Prohíban la divulgación de datos genéticos a aseguradoras de salud, vida, discapacidad o cuidado a largo plazo sin el consentimiento escrito del consumidor (Md. Code, Com. Law § 14-4405)
- Implementen procedimientos de seguridad razonables para proteger los datos genéticos
- Permitan a los consumidores solicitar la eliminación de sus datos genéticos y muestras biológicas
El término "empresa de pruebas genéticas directas al consumidor" abarca a cualquier entidad que ofrezca productos o servicios de pruebas genéticas directamente a los consumidores, o que recopile, use o analice datos genéticos provenientes de dichos productos. La aplicación de la GIPA está a cargo del Fiscal General de Maryland.
Ley de Confidencialidad de los Registros Médicos de Maryland
La Ley de Confidencialidad de los Registros Médicos de Maryland, codificada en Md. Code, Health-Gen. §§ 4-301 a 4-309, exige que los proveedores de atención médica mantengan la confidencialidad de los registros médicos de los pacientes. Conforme al § 4-302, los proveedores solo pueden divulgar los registros según lo permitido por la ley de Maryland u otra ley aplicable.
Las divulgaciones permitidas incluyen aquellas autorizadas por el paciente, las requeridas para el tratamiento o el pago, los informes de salud pública y las divulgaciones a las autoridades policiales con el proceso adecuado. La ley opera junto con la HIPAA: los proveedores cubiertos por la HIPAA deben cumplir tanto con los requisitos federales como con los específicos de Maryland.
Superposición Federal: Leyes Que se Aplican Junto con la MODPA
Varias leyes federales se aplican a los residentes y empresas de Maryland de manera independiente a la MODPA.
Ley TAKE IT DOWN (Pub. L. 119-12)
La Ley TAKE IT DOWN, firmada por el presidente Trump el 19 de mayo de 2025, aborda las imágenes íntimas no consentidas (NCII, por sus siglas en inglés), incluidos los deepfakes generados por IA. Las prohibiciones penales de la ley entraron en vigor de inmediato tras su firma. Las obligaciones de eliminación de contenido por parte de las plataformas se volvieron exigibles por la FTC a partir del 19 de mayo de 2026.
Las plataformas cubiertas deben establecer un proceso que permita a las víctimas solicitar la eliminación de NCII, y deben retirar el contenido y todas las copias idénticas conocidas dentro de las 48 horas siguientes a una solicitud válida. Las plataformas que no cumplan enfrentan medidas de aplicación de la FTC con sanciones civiles de hasta $53,088 por infracción. La FTC envió cartas de cumplimiento a las principales plataformas, entre ellas Alphabet, Amazon, Apple, Meta, Microsoft, Snapchat, TikTok y X, en mayo de 2026.
HIPAA
La Health Insurance Portability and Accountability Act regula a las entidades cubiertas (planes de salud, cámaras de compensación de atención médica y proveedores de atención médica) y a sus asociados comerciales. La información médica protegida (PHI) regulada por la HIPAA generalmente está exenta del alcance de la MODPA, pero las empresas que manejan tanto datos de la HIPAA como datos de salud del consumidor no cubiertos por la HIPAA deben cumplir con la MODPA respecto a la porción no exenta.
COPPA
La Children's Online Privacy Protection Act regula la recopilación de información personal de menores de 13 años. Las protecciones de la MODPA para menores de 18 años se extienden considerablemente más allá del alcance de la COPPA. Las empresas que recopilan datos de usuarios menores de 13 años deben cumplir tanto con los requisitos de consentimiento parental de la COPPA como con la prohibición de la MODPA de vender los datos de menores.
GLBA
La Ley Gramm-Leach-Bliley regula el manejo que hacen las instituciones financieras de la información personal no pública. Las instituciones financieras sujetas a la GLBA están exentas a nivel de entidad bajo la MODPA, pero solo respecto de los datos que caen dentro del alcance de la GLBA. Los datos fuera de la relación regulada por la GLBA siguen sujetos a la MODPA.
FCRA
La Fair Credit Reporting Act regula a las agencias de informes crediticios y el uso de los informes de los consumidores. Los datos regulados por la FCRA están exentos a nivel de datos bajo la MODPA. Las empresas que reciben datos crediticios sujetos a la FCRA y que también manejan otros datos de consumidores deben aplicar la MODPA a la porción no cubierta por la FCRA.
Sección 5 de la Ley de la FTC
La autoridad de la FTC sobre actos o prácticas desleales o engañosas conforme a 15 U.S.C. § 45 se aplica a todas las empresas que participan en el comercio interestatal. La FTC ha emprendido medidas de aplicación contra empresas por declaraciones de privacidad engañosas, seguridad de datos inadecuada y el incumplimiento de las solicitudes de exclusión, todo lo cual sigue siendo relevante para las empresas de Maryland.
Estado de la APRA
La American Privacy Rights Act (APRA), una propuesta de ley federal integral de privacidad, fue aprobada en comité en 2024 pero no recibió una votación completa en el Congreso. La APRA 2.0 se presentó en 2025. Hasta mayo de 2026, la APRA no se ha convertido en ley. Las empresas de Maryland no pueden confiar en una futura ley federal para reducir sus obligaciones de cumplimiento con la MODPA.
Cómo se Compara la MODPA con Otras Leyes Estatales de Privacidad
La MODPA de Maryland se distingue de otras leyes estatales integrales de privacidad en varios aspectos importantes:
| Característica | Maryland (MODPA) | Virginia (VCDPA) | California (CCPA/CPRA) | Colorado (CPA) |
|---|---|---|---|---|
| Fecha de vigencia | 1 de oct. de 2025 | 1 de ene. de 2023 | 1 de ene. de 2020 | 1 de jul. de 2023 |
| Umbral de consumidores | 35,000 | 100,000 | Basado en ingresos | 100,000 |
| Venta de datos sensibles | Prohibida por completo | Consentimiento expreso | Consentimiento expreso | Consentimiento expreso |
| Minimización de datos | Obligatoria (sin importar el consentimiento) | Adecuada y pertinente | Razonablemente necesaria | Adecuada, pertinente y limitada |
| Edad de protección de menores | Menores de 18 | Menores de 13 (COPPA) | Menores de 16 | Menores de 13 |
| Estándar sobre menores | "Debería haber sabido" | Conocimiento real | Conocimiento real | Conocimiento real |
| Sanción (por infracción) | $10,000 / $25,000 reincidencia | $7,500 | $2,500 / $7,500 intencional | $20,000 |
| Periodo de subsanación | 60 días (hasta abril de 2027) | 30 días | Ninguno | 60 días (venció en ene. de 2025) |
| Derecho de acción privada | No | No | Sí (violaciones de datos) | No |
| Organizaciones sin fines de lucro cubiertas | Generalmente sí | No | Sí | No |
| Evaluación algorítmica | Requerida | No especificado | No especificado | No especificado |
Más Leyes de Maryland
Explore más guías legales de Maryland en Recording Law:
- Leyes de Grabación de Maryland
- Leyes de Privacidad de Datos de California
- Leyes de Privacidad de Datos de Virginia
- Leyes de Privacidad de Datos de Colorado
- Leyes de Privacidad de Datos de Connecticut
- Leyes de Privacidad de Datos de Texas
- Leyes de Privacidad de Datos de Delaware
- Ver Todas las Leyes Estatales de Privacidad de Datos
- Leyes de Grabación de Reuniones con IA de Maryland
- Leyes de Pensión Alimenticia Conyugal de Maryland
- Leyes de Empleo a Voluntad de Maryland
- Leyes sobre Accidentes de Auto de Maryland
- Leyes sobre Asientos de Auto para Niños de Maryland
- Leyes de Custodia de Menores de Maryland
- Leyes de Manutención Infantil de Maryland
- Leyes de Matrimonio de Hecho de Maryland
- Leyes sobre Deepfakes de Maryland
- Leyes de Divorcio de Maryland
- Leyes sobre Mordeduras de Perro de Maryland
- Leyes de Emancipación de Maryland
- Leyes de Eliminación de Antecedentes de Maryland
- Leyes sobre Fuga del Lugar del Accidente de Maryland
- Leyes de Arrendador-Inquilino de Maryland
- Ley del Limón de Maryland
Guías detalladas
Fuentes y referencias
- Maryland SB 541 - Legislación de la Ley de Privacidad de Datos en Línea (MODPA)(mgaleg.maryland.gov).gov
- Maryland SB 541 - Texto Final del Proyecto de Ley (Capítulo 455)(mgaleg.maryland.gov).gov
- Maryland HB 567 - Proyecto de Ley Complementario(mgaleg.maryland.gov).gov
- Fiscal General de Maryland - Información sobre Privacidad de Datos(oag.maryland.gov).gov
- Ley de Notificación de Violaciones de Datos de Maryland - Md. Code, Com. Law 14-3504(mgaleg.maryland.gov).gov
- Fiscal General de Maryland - Notificaciones de Violaciones de Seguridad(oag.maryland.gov).gov
- Fiscal General de Maryland - Lineamientos de Cumplimiento Empresarial de la PIPA(oag.maryland.gov).gov
- FTC - Ley Gramm-Leach-Bliley(ftc.gov).gov
- HHS - HIPAA(hhs.gov).gov
- FTC - Regla de la COPPA(ftc.gov).gov
- Departamento de Educación de EE. UU. - FERPA(www2.ed.gov).gov
- Maryland HB 603 - Ley del Código de Diseño Apropiado para la Edad(mgaleg.maryland.gov).gov
- Ley de Privacidad de la Información Genética de Maryland - HB 866 (2022)(mgaleg.maryland.gov).gov
- Ley de Confidencialidad de los Registros Médicos de Maryland - Md. Code, Health-Gen. 4-302(health.maryland.gov).gov
- FTC - Inicio de la Aplicación de la Ley TAKE IT DOWN(ftc.gov).gov
- Alerta al Consumidor de la FTC - Ley TAKE IT DOWN(consumer.ftc.gov).gov
- FTC - Ley de Informe Justo de Crédito(ftc.gov).gov
- EPIC - Entrada en Vigor de la Ley de Privacidad de Datos en Línea de Maryland(epic.org)