Maryland
Leyes de Notificación de Violaciones de Datos de Maryland: Reglas y Plazos de Reporte (2026)

La Ley de Protección de Información Personal de Maryland exige que las empresas notifiquen a los residentes afectados por una violación de datos dentro de un plazo de 45 días desde su descubrimiento, conforme a Md. Code Com. Law 14-3504. Antes de enviar las notificaciones individuales, las empresas deben notificar primero al Fiscal General de Maryland, lo que convierte a Maryland en uno de los pocos estados que exige la notificación al Fiscal General antes de contactar a los consumidores.
Maryland toma con seriedad la notificación de violaciones de datos. Conforme a la Ley de Protección de Información Personal de Maryland (MPIPA), las empresas que sufren una violación de seguridad deben actuar con rapidez, notificando tanto al Fiscal General como a las personas afectadas dentro de un plazo ajustado de 45 días. Este es uno de los plazos más cortos entre los estados de EE. UU., y el requisito de notificar primero al Fiscal General agrega una capa adicional de responsabilidad.
La ley, codificada en Md. Code, Com. Law § 14-3504, se aplica a cualquier empresa que posea, tenga bajo licencia o mantenga datos informatizados que contengan información personal de residentes de Maryland. Un estatuto separado, Md. Code, State Govt. § 10-1305, impone obligaciones paralelas a las agencias estatales y locales del gobierno.
Esta guía desglosa quién debe cumplir, qué activa la obligación de notificar, el proceso de reporte con prioridad al Fiscal General, los mecanismos de aplicación y cómo la nueva Ley de Privacidad de Datos en Línea de Maryland (MODPA) se suma a este panorama.
Qué Califica Como una Violación de Seguridad
Conforme al § 14-3501, una "violación de la seguridad de un sistema" significa la adquisición no autorizada de datos informatizados que compromete la seguridad, confidencialidad o integridad de la información personal mantenida por una empresa.
La definición se centra en la adquisición real, no en el simple acceso. Si alguien accede a un sistema sin autorización pero no adquiere información personal, es posible que no se aplique el requisito de notificación.
Maryland incluye una excepción de buena fe. Un empleado o agente que adquiere información personal en el curso normal del negocio no activa la notificación de violación de datos, siempre que la información no se utilice para un fin no autorizado ni se divulgue posteriormente.

El Puerto Seguro de Cifrado
Maryland proporciona un puerto seguro claro para los datos cifrados. Si la información personal comprometida estaba cifrada, redactada o convertida de otro modo en ilegible o inutilizable, no se aplica la obligación de notificar.
Existe una salvedad importante. Si la clave de cifrado también se vio comprometida, o si existe una creencia razonable de que así fue, el puerto seguro desaparece y se exige la notificación completa. Las empresas deben documentar sus prácticas de cifrado y sus procedimientos de gestión de claves para aprovechar esta protección.
Información Personal Que Activa la Notificación
Maryland tiene una de las definiciones más amplias de información personal protegida entre las leyes estatales de notificación de violaciones de datos. Conforme al § 14-3501(e), la información personal significa el nombre o la inicial del nombre de una persona combinado con su apellido, junto con uno o más de los siguientes elementos de datos (cuando no estén cifrados, redactados o protegidos de otro modo):
- Número de Seguro Social, número de identificación individual del contribuyente (ITIN) o número de pasaporte, u otro número de identificación emitido por el gobierno federal
- Número de licencia de conducir o número de tarjeta de identificación estatal de Maryland
- Número de cuenta financiera, número de tarjeta de crédito o de débito, combinado con cualquier código de seguridad, código de acceso o contraseña requerido que permita el acceso a la cuenta
- Información de salud, incluida la información sobre condiciones de salud mental o física, historial médico o tratamiento por parte de un profesional de la salud
- Número de póliza de seguro médico, número de identificación del suscriptor u otro identificador único utilizado por una aseguradora de salud, combinado con un identificador único utilizado por la aseguradora o el empleador
- Datos biométricos, incluidas las huellas dactilares, impresiones de voz, huellas genéticas, imágenes de retina o iris, y otras características biológicas únicas utilizadas para autenticación
- Información genética, incluidos los datos del análisis de ADN, cromosomas, alelos, genomas y polimorfismos de secuencias genéticas
- Nombre de usuario o dirección de correo electrónico combinado con una contraseña o pregunta de seguridad y su respuesta que permitiría el acceso a una cuenta en línea
Esta lista es notablemente completa. Maryland fue uno de los primeros estados en incluir los datos biométricos, la información genética y los identificadores de seguro médico como categorías protegidas.
Qué No Cuenta Como Información Personal
La información disponible públicamente y obtenida legalmente de registros gubernamentales federales, estatales o locales queda excluida de la definición. La información ampliamente distribuida a través de los medios de comunicación también queda excluida.

El Plazo de Notificación de 45 Días
Maryland impone un plazo firme de 45 días para notificar a las personas afectadas. Conforme al § 14-3504, las empresas deben proporcionar la notificación a más tardar 45 días después de descubrir la violación o ser notificadas de ella.
El plazo comienza a correr desde el descubrimiento, no desde la conclusión de una investigación. Esta es una distinción importante. Algunos estados hacen que el plazo comience solo después de que la empresa haya confirmado la violación mediante una investigación. El enfoque de Maryland ejerce más presión sobre las empresas para actuar con rapidez.
Requisito de Investigación
Antes de enviar las notificaciones, una empresa debe llevar a cabo una investigación de buena fe, razonable y oportuna para determinar si la información personal ha sido, o será, objeto de uso indebido como resultado de la violación. Si la investigación determina que el uso indebido de la información personal no ha ocurrido y no es razonablemente probable que ocurra, es posible que no se exija la notificación.
Sin embargo, la empresa debe documentar esa determinación y conservar los registros durante tres años. Este requisito de documentación le da al Fiscal General una base para revisar si la decisión de no notificar estuvo justificada.
Retraso por Aplicación de la Ley
La notificación puede retrasarse si una agencia de aplicación de la ley determina que impediría una investigación penal o pondría en riesgo la seguridad nacional. Una vez que la autoridad correspondiente da su autorización, la empresa debe notificar a las personas afectadas dentro de siete días.

Notificación al Fiscal General: La Regla de Prioridad al Fiscal General
Maryland se distingue entre las leyes estatales de notificación de violaciones de datos por su requisito de notificación con prioridad al Fiscal General. Conforme al § 14-3504, las empresas deben notificar a la Oficina del Fiscal General antes de enviar las notificaciones a las personas afectadas.
La notificación al Fiscal General debe incluir:
- El número de residentes de Maryland afectados por la violación
- Una descripción de la violación, incluido cuándo y cómo ocurrió
- Las medidas que la empresa ha tomado o planea tomar en respuesta a la violación
- El plazo en el que se enviarán las notificaciones individuales
- Una copia de muestra de la notificación que se enviará a las personas afectadas
Este enfoque de prioridad al Fiscal General le da a la oficina del Fiscal General la oportunidad de revisar la violación y la notificación planificada antes de que los consumidores la reciban. También permite al Fiscal General coordinarse con la empresa si la notificación es inadecuada o si la violación plantea preocupaciones más amplias de protección al consumidor.
Las notificaciones de violaciones de datos deben dirigirse a la Unidad de Robo de Identidad de la División de Protección al Consumidor, en 200 St. Paul Place, Baltimore, MD 21202, o por correo electrónico a idtheft@oag.state.md.us.
Métodos de Notificación Individual
Maryland permite varios métodos para notificar a las personas afectadas:
- Notificación escrita enviada por correo a la dirección más reciente registrada
- Notificación por correo electrónico, si la persona previamente consintió las comunicaciones electrónicas o si la empresa realiza sus negocios principalmente a través de transacciones en línea
- Notificación telefónica al número de teléfono más reciente registrado
- Notificación sustitutiva, disponible cuando se cumplen condiciones específicas
Notificación Sustitutiva
Una empresa puede utilizar la notificación sustitutiva si el costo de la notificación directa superaría los $100,000, si el número de personas afectadas supera las 175,000, o si la empresa no cuenta con información de contacto suficiente para proporcionar una notificación directa.
La notificación sustitutiva requiere las tres acciones siguientes: enviar un correo electrónico a las personas afectadas cuyas direcciones estén disponibles, publicar un aviso visible en el sitio web de la empresa, y notificar a los principales medios de comunicación estatales.
Contenido Requerido de las Notificaciones Individuales
Las notificaciones individuales de violaciones de datos deben incluir:
- Una descripción de las categorías de información personal comprometida
- Información de contacto de la empresa
- Información de contacto de las agencias de informes crediticios
- Detalles de contacto de la Comisión Federal de Comercio y del Fiscal General de Maryland, junto con información sobre la prevención del robo de identidad
Regla Especial para Violaciones que Involucran Solo Correo Electrónico
Cuando una violación involucra únicamente el acceso a una cuenta de correo electrónico sin otra información personal, la empresa puede proporcionar una notificación simplificada indicando a la persona afectada que cambie su contraseña y sus preguntas de seguridad.
Manejadores de Datos Externos
Las empresas que mantienen información personal en nombre de otra entidad (como proveedores de servicios en la nube, procesadores de pagos o proveedores de TI) tienen obligaciones separadas. Un manejador de datos externo debe notificar al propietario de los datos dentro de los 10 días posteriores al descubrimiento de una violación.
El manejador externo no puede cobrar al propietario de los datos ninguna tarifa por proporcionar información sobre la violación. Esta disposición evita que los proveedores monetizen la información sobre violaciones de datos a expensas de una notificación oportuna.
Obligaciones de las Agencias Gubernamentales
Las agencias estatales y locales del gobierno de Maryland están sujetas a requisitos paralelos de notificación de violaciones de datos conforme a Md. Code, State Govt. § 10-1305. Las obligaciones son similares a las de las empresas privadas, con algunas diferencias.
Las agencias gubernamentales deben notificar a las personas afectadas "tan pronto como sea razonablemente posible" después de la investigación. También deben notificar al Fiscal General antes de la notificación individual. Ciertas agencias estatales están adicionalmente obligadas a notificar al Departamento de Tecnología de la Información.
Los umbrales de notificación sustitutiva difieren para las agencias gubernamentales: el umbral de costo es de $100,000 y el umbral de personas afectadas es de 175,000.
Aplicación y Sanciones
Aplicación por el Fiscal General a Través de la Ley de Protección al Consumidor
Conforme al § 14-3508, las infracciones a la ley de notificación de violaciones de datos de Maryland constituyen prácticas comerciales injustas o engañosas conforme al Título 13 del Artículo de Derecho Comercial, que es la Ley de Protección al Consumidor de Maryland.
Esto significa que la División de Protección al Consumidor del Fiscal General tiene plena autoridad de aplicación, incluida la facultad de:
- Emprender acciones civiles contra las empresas infractoras
- Emitir órdenes de cese y desistimiento
- Solicitar restitución para los consumidores afectados
- Imponer sanciones civiles
Montos de las Sanciones
Conforme al § 13-410, una empresa que infrinja la ley enfrenta multas de hasta $10,000 por infracción. Una empresa que repita la misma infracción después de una determinación previa enfrenta multas de hasta $25,000 por infracción reincidente.
Al calcular las sanciones, la División de Protección al Consumidor considera la gravedad de la infracción, los esfuerzos de buena fe de la empresa, su historial de infracciones previas y el efecto disuasorio del monto de la sanción.
Sin Derecho de Acción Privada
La ley de notificación de violaciones de datos de Maryland no crea un derecho de acción privada. Los consumidores individuales no pueden demandar directamente a las empresas por no cumplir con los requisitos de notificación. La aplicación recae exclusivamente en el Fiscal General.
Sin embargo, las personas aún pueden presentar reclamos bajo teorías de derecho consuetudinario, como negligencia, incumplimiento de contrato u otros estatutos aplicables.

Cómo Afecta la MODPA las Obligaciones de Violaciones de Datos
La Ley de Privacidad de Datos en Línea de Maryland (MODPA), que entró en vigor el 1 de octubre de 2025, agrega un marco integral de privacidad que opera junto a la ley de notificación de violaciones de datos existente. Aunque la MODPA no reemplaza ni modifica directamente el § 14-3504, tiene implicaciones significativas para la prevención y la respuesta a violaciones de datos.
La Minimización de Datos Reduce el Riesgo de Violaciones
La MODPA exige que las empresas limiten la recopilación de datos personales a lo "razonablemente necesario y proporcional" para proporcionar un producto o servicio específico solicitado por el consumidor. Este estricto estándar de minimización de datos significa que las empresas deberían mantener menos datos personales en general, lo que reduce tanto la probabilidad como el impacto potencial de una violación de datos.
Protecciones de Datos Sensibles
La MODPA clasifica ciertas categorías como datos personales sensibles, incluidos los datos biométricos, los datos genéticos, la información de salud, la geolocalización precisa y los datos relativos a menores de 18 años. Las empresas deben obtener el consentimiento antes de procesar datos sensibles y tienen prohibido venderlos por completo. Una violación que involucre datos sensibles podría activar la aplicación tanto bajo la MODPA como bajo el estatuto de notificación de violaciones de datos.
Capa Adicional de Aplicación
Las infracciones a la MODPA también se clasifican como prácticas comerciales injustas o engañosas, lo que otorga al Fiscal General autoridad de aplicación paralela. Antes de emprender una acción, el Fiscal General puede emitir un aviso de infracción y otorgar al menos 60 días para que la empresa subsane la infracción, si es posible subsanarla. Este periodo de subsanación de 60 días no se aplica a las obligaciones separadas de notificación de violaciones de datos bajo el § 14-3504.
Evaluaciones de Protección de Datos
La MODPA exige que las empresas realicen evaluaciones de protección de datos para las actividades de procesamiento de alto riesgo. Si una empresa no realiza las evaluaciones requeridas y posteriormente sufre una violación de datos, esa omisión podría fortalecer el caso de aplicación del Fiscal General tanto bajo la MODPA como bajo la ley de notificación de violaciones de datos.
Cómo se Compara Maryland
El plazo de notificación de 45 días de Maryland está entre los más cortos a nivel nacional. Florida exige la notificación dentro de 30 días, mientras que muchos estados utilizan un estándar más vago de "el tiempo más expedito posible" sin un plazo fijo. El requisito de notificación con prioridad al Fiscal General de Maryland también es distintivo. La mayoría de los estados exigen la notificación al Fiscal General al mismo tiempo que la notificación individual, o solo por encima de ciertos umbrales. El enfoque de Maryland de exigir la notificación al Fiscal General antes que la notificación individual le da al estado mayor supervisión del proceso.
La amplitud de la definición de información personal de Maryland, que cubre nueve categorías, incluidos los datos biométricos y genéticos, la coloca en el nivel superior de protecciones estatales.
Para una visión más amplia del panorama de privacidad de datos de Maryland, incluido el marco de la MODPA, consulte nuestra guía de Leyes de Privacidad de Datos de Maryland.
Más Leyes de Maryland
- Leyes de Grabación de Reuniones con IA de Maryland
- Leyes de Pensión Alimenticia Conyugal de Maryland
- Leyes de Empleo a Voluntad de Maryland
- Leyes sobre Accidentes de Auto de Maryland
- Leyes sobre Asientos de Auto para Niños de Maryland
- Leyes de Custodia de Menores de Maryland
- Leyes de Manutención Infantil de Maryland
- Leyes de Matrimonio de Hecho de Maryland
- Leyes sobre Deepfakes de Maryland
- Leyes de Divorcio de Maryland
- Leyes sobre Mordeduras de Perro de Maryland
- Leyes de Emancipación de Maryland
- Leyes de Eliminación de Antecedentes de Maryland
- Leyes sobre Fuga del Lugar del Accidente de Maryland
- Leyes de Arrendador-Inquilino de Maryland
- Ley del Limón de Maryland
Este artículo ofrece información legal general sobre los requisitos de notificación de violaciones de datos de Maryland. No constituye asesoría legal ni crea una relación abogado-cliente. La respuesta ante una violación de datos implica obligaciones sensibles al tiempo. Consulte a un abogado calificado con licencia en Maryland para obtener orientación específica sobre su situación.
¿Afectado por una filtración de datos o una violación de privacidad biométrica?
Si sus datos personales quedaron expuestos en una filtración, o si su huella dactilar o escaneo facial se recopiló sin su consentimiento, podría ser elegible para unirse a un reclamo por compensación. Averígüelo gratis y sin compromiso.
Fuentes y referencias
- Md. Code, Com. Law § 14-3504(mgaleg.maryland.gov).gov
- Md. Code, Com. Law § 14-3501(mgaleg.maryland.gov).gov
- Md. Code, Com. Law § 14-3508(mgaleg.maryland.gov).gov
- Md. Code, Com. Law § 13-410(mgaleg.maryland.gov).gov
- Md. Code, State Govt. § 10-1305(mgaleg.maryland.gov).gov
- Fiscal General de Maryland: Notificaciones de Violaciones de Datos(marylandattorneygeneral.gov).gov
- Ley de Privacidad de Datos en Línea de Maryland (SB 541)(mgaleg.maryland.gov).gov