Maryland
Lista de Verificación de Cumplimiento de la MODPA: Privacidad de Maryland

El cumplimiento de la Ley de Privacidad de Datos en Línea de Maryland (MODPA) comienza con una pregunta que otros estados no exigen con tanta fuerza: ¿puede justificar cada categoría de datos que recopila como razonablemente necesaria para el producto o servicio específico solicitado por el consumidor? Debido a que la MODPA impone una minimización de datos estricta conforme al Md. Code Ann., Commercial Law sección 14-4607(B), y prohíbe por completo la venta de datos sensibles conforme a la sección 14-4607(A), un programa de cumplimiento que simplemente copie una plantilla de Virginia o Connecticut no será suficiente. A partir de 2026, la MODPA es la ley estatal integral de privacidad más estricta del país.
Esta página es una lista de verificación práctica para las empresas cubiertas. Es información general, no asesoría legal. Las obligaciones principales son un análisis de minimización de estricta necesidad, una prohibición de venta de datos sensibles junto con un requisito de estricta necesidad, protecciones sólidas para menores, un aviso de privacidad conforme, un mecanismo universal de exclusión, evaluaciones de protección de datos y contratos con encargados del tratamiento. La aplicación se realiza a través de la División de Protección al Consumidor, con sanciones de hasta $10,000 por infracción y sin subsanación garantizada.
Alcance jurisdiccional: Esto cubre la Ley de Privacidad de Datos en Línea de Maryland (Md. Code Ann., Com. Law Title 14, Subtitle 46). Es información legal general, no asesoría legal.
Paso 1: Confirme si la MODPA se le aplica
Comience con la prueba de aplicabilidad de la sección 14-4602. La MODPA se aplica a una persona que realiza negocios en Maryland o produce productos o servicios dirigidos a los residentes de Maryland y que, durante el año calendario anterior, cumplió con uno de dos umbrales de datos.
El primer factor es controlar o procesar los datos personales de al menos 35,000 consumidores, excluyendo los datos personales controlados o procesados únicamente para completar una transacción de pago. La exclusión de pagos significa que los datos rutinarios de pago no elevan, por sí solos, a un comerciante por encima del umbral.
El segundo factor es controlar o procesar los datos personales de al menos 10,000 consumidores mientras se obtiene más del 20 por ciento de los ingresos brutos de la venta de datos personales. No existe un piso de ingresos en dólares, por lo que el umbral de 35,000 consumidores alcanza a empresas medianas y más pequeñas. Luego revise las exenciones de la sección 14-4603, que excluyen a los organismos gubernamentales estatales y locales, a ciertas instituciones financieras o datos sujetos a la Ley Gramm-Leach-Bliley, y las exenciones a nivel de datos para la información médica protegida por la HIPAA, la FCRA, la FERPA y regímenes similares.
Paso 2: Realice el análisis de minimización de datos de estricta necesidad
Este es el paso que distingue a la MODPA de todos los demás estados. Conforme a la sección 14-4607(B)(1)(i), usted debe limitar la recopilación de datos personales a lo razonablemente necesario y proporcional para proporcionar o mantener el producto o servicio específico solicitado por el consumidor.
Cree un inventario de datos y, para cada categoría que recopile, anote el producto o servicio solicitado que respalda y por qué es razonablemente necesario para ese servicio. Las categorías que existen solo para enriquecer perfiles, alimentar publicidad no relacionada o abastecer ventas de datos son las más expuestas bajo este estándar.
No confíe en el consentimiento para justificar la sobre-recopilación. La sección 14-4607(A) prohíbe recopilar datos personales con el único propósito de personalizar contenido o hacer marketing sin consentimiento, pero el deber de minimización de la sección 14-4607(B) opera de manera independiente. Una casilla de consentimiento no le permite recopilar más de lo que necesita el servicio solicitado. Si una categoría no supera la prueba de necesidad, la solución es dejar de recopilarla, no divulgarla de manera más prominente. Para conocer por qué este estándar es más estricto que el de otros estados, consulte qué es la MODPA.
Paso 3: Proteja los datos sensibles y nunca los venda
Identifique todos los datos sensibles que maneja. Conforme a la sección 14-4601, los datos sensibles incluyen los datos que revelan origen racial o étnico, creencias religiosas, datos de salud del consumidor, vida sexual, orientación sexual, condición de persona transgénero o no binaria, origen nacional y ciudadanía o estatus migratorio, además de los datos genéticos o biométricos, los datos personales de un menor conocido y los datos de geolocalización precisa.
Para cada elemento, aplique la sección 14-4607(A): solo puede recopilarlo, procesarlo o compartirlo cuando sea estrictamente necesario para proporcionar o mantener un producto o servicio específico solicitado por el consumidor, y solo con el consentimiento del consumidor. Construya un flujo de consentimiento que cumpla con la definición de consentimiento de la sección 14-4601, la cual excluye los términos de uso amplios, los patrones oscuros y las acciones pasivas, y proporcione un mecanismo de revocación al menos tan fácil como el utilizado para otorgar el consentimiento conforme a la sección 14-4607(B)(1)(iii).
Luego, haga cumplir la regla absoluta: no venda datos sensibles. La sección 14-4607(A) lo prohíbe por completo, sin excepción de consentimiento. Compare sus arreglos de intercambio de datos con la definición de venta de la sección 14-4601, que abarca el intercambio de datos personales a un tercero a cambio de una contraprestación monetaria o de otro tipo. Vigile también las reglas sobre datos de salud del consumidor de la sección 14-4604, incluidos los límites de geo-cercado dentro de 1,750 pies de instalaciones de salud mental y de salud reproductiva o sexual.

Paso 4: Aplique las reglas sobre datos de menores
Las protecciones de la MODPA para menores son estrictas y dependen de un estándar bajo de conocimiento. Conforme a la sección 14-4607(A), no puede procesar los datos personales de un consumidor que usted sabía o debería haber sabido que tiene al menos 13 años y es menor de 18 con fines de publicidad dirigida, y no puede vender los datos de ese consumidor sin consentimiento.
Evalúe si su audiencia incluye adolescentes. El estándar de "sabía o debería haber sabido" significa que no puede evitar la regla simplemente absteniéndose de verificar edades cuando los hechos circundantes muestran una audiencia adolescente. Si los adolescentes forman razonablemente parte de su base de usuarios, desactive la publicidad dirigida para ellos y detenga cualquier venta de sus datos sin consentimiento.
Para los menores conocidos de menos de 13 años, recuerde que sus datos personales son en sí mismos datos sensibles conforme a la sección 14-4601, por lo que se aplican las reglas de estricta necesidad y consentimiento. Los responsables que cumplen con el consentimiento parental verificable de la COPPA se consideran en cumplimiento de las obligaciones de consentimiento parental conforme a la sección 14-4603(C).
Paso 5: Publique un aviso de privacidad conforme
Su aviso de privacidad debe cumplir con la sección 14-4607(D). Debe divulgar las categorías de datos personales que procesa, incluidos los datos sensibles; sus finalidades de procesamiento; cómo un consumidor puede ejercer sus derechos, apelar una decisión o revocar el consentimiento; las categorías de terceros con los que comparte datos, descritas con suficiente detalle para que un consumidor comprenda cada tipo de entidad y cómo puede procesar los datos; las categorías de datos personales, incluidos los sensibles, que comparte con terceros; y una dirección de correo electrónico activa o un mecanismo en línea para contactarlo.
Si vende datos personales o los procesa para publicidad dirigida o elaboración de perfiles significativa, la sección 14-4607(E) exige una divulgación clara y visible de esa actividad y de cómo optar por no participar, mostrada de manera prominente en lenguaje claro. El aviso también debe establecer métodos seguros y confiables para que los consumidores presenten solicitudes de derechos conforme a la sección 14-4607(F), y no puede exigir que un consumidor cree una nueva cuenta para ejercer un derecho.

Paso 6: Cree el manejo de derechos y el mecanismo universal de exclusión
Establezca un proceso para manejar los derechos de la sección 14-4605: confirmación, acceso, corrección, eliminación, portabilidad, la lista de categorías de terceros y las opciones de exclusión para publicidad dirigida, venta y elaboración de perfiles. Debe responder dentro de 45 días conforme a la sección 14-4605(E)(2), con una extensión de 45 días permitida cuando notifique al consumidor y explique el motivo dentro del primer plazo.
También debe respetar una señal universal de preferencia de exclusión. Conforme a la sección 14-4607(F)(3), a partir del 1 de octubre de 2025 debe permitir que los consumidores opten por no participar en la publicidad dirigida o en cualquier venta a través de una señal de preferencia de exclusión, como el Control de Privacidad Global, y la sección 14-4607(F)(5) prohíbe usar una configuración predeterminada para excluir a un consumidor. Reconocer las señales aprobadas por otros estados se considera conforme bajo la sección 14-4607(G).
Finalmente, construya el proceso de apelación exigido por la sección 14-4605(F): disponible de manera visible, con una respuesta por escrito dentro de 60 días, y un mecanismo en línea para presentar una queja ante la División de Protección al Consumidor si niega la apelación. Los consumidores también pueden actuar a través de un agente autorizado conforme a la sección 14-4606. La guía de derechos del consumidor según la MODPA cubre en detalle el lado del consumidor de estas solicitudes.
Paso 7: Contratos con encargados del tratamiento y evaluaciones de protección de datos
Si utiliza un encargado del tratamiento, la sección 14-4608 exige un contrato vinculante que establezca las instrucciones de procesamiento, la naturaleza y finalidad del procesamiento, el tipo de datos, la duración, y los derechos y obligaciones de ambas partes. El contrato debe exigir que el personal del encargado mantenga un deber de confidencialidad, mantenga una seguridad razonable, elimine o devuelva los datos al finalizar el servicio, ayude con las solicitudes de derechos de los consumidores, y permita evaluaciones razonables.
La sección 14-4610 le exige realizar y documentar una evaluación de protección de datos para las actividades de procesamiento que presenten un riesgo elevado de daño para los consumidores, lo cual generalmente incluye la publicidad dirigida, la venta de datos personales, cierta elaboración de perfiles y el procesamiento de datos sensibles. Conserve estas evaluaciones en sus archivos, porque la División de Protección al Consumidor puede exigirlas durante una investigación.
Paso 8: Planifique la aplicación sin subsanación garantizada
La MODPA es aplicada por la División de Protección al Consumidor de la Oficina del Fiscal General. Conforme a la sección 14-4613, una infracción es una práctica comercial injusta, abusiva o engañosa bajo la Ley de Protección al Consumidor de Maryland, sujeta a sus disposiciones de aplicación y sanción, salvo la sección 13-408. Las sanciones conforme a la sección 13-410 alcanzan hasta $10,000 por infracción y hasta $25,000 por cada repetición de la misma infracción. No existe un derecho de acción privada.
No cuente con un periodo de subsanación. Conforme a la sección 14-4614, para las infracciones que ocurran en o antes del 1 de abril de 2027, la División puede, si determina que es posible la subsanación, emitir un aviso y otorgar al menos 60 días para subsanar, pero esa oportunidad es discrecional y la División sopesa factores como el número de infracciones y la probabilidad de perjuicio público. Por separado, la Ley establece que la sección de limitaciones y exenciones, la sección 14-4612, se aplica solo de manera prospectiva y no tiene aplicación a las actividades de procesamiento anteriores al 1 de abril de 2026. Debido a que la subsanación nunca está garantizada, construya el programa para que sea conforme desde el inicio en lugar de depender de una oportunidad para corregir problemas más adelante.
Más Leyes de Maryland
- Leyes de Grabación de Reuniones con IA de Maryland
- Leyes de Pensión Alimenticia Conyugal de Maryland
- Leyes de Empleo a Voluntad de Maryland
- Leyes sobre Accidentes de Auto de Maryland
- Leyes sobre Asientos de Auto para Niños de Maryland
- Leyes de Custodia de Menores de Maryland
- Leyes de Manutención Infantil de Maryland
- Leyes de Matrimonio de Hecho de Maryland
- Leyes sobre Deepfakes de Maryland
- Leyes de Divorcio de Maryland
- Leyes sobre Mordeduras de Perro de Maryland
- Leyes de Emancipación de Maryland
- Leyes de Eliminación de Antecedentes de Maryland
- Leyes sobre Fuga del Lugar del Accidente de Maryland
- Leyes de Arrendador-Inquilino de Maryland
- Ley del Limón de Maryland
Guías relacionadas
Preguntas frecuentes
¿Quién debe cumplir con la MODPA?
Conforme a la sección 14-4602, la MODPA se aplica a una persona que realiza negocios en Maryland o se dirige a los residentes de Maryland y que, durante el año calendario anterior, procesó los datos personales de al menos 35,000 consumidores (excluyendo los datos exclusivos de pago), o de al menos 10,000 consumidores mientras obtenía más del 20 por ciento de los ingresos brutos de la venta de datos personales. No existe un piso de ingresos en dólares, por lo que las empresas más pequeñas pueden estar cubiertas.
¿Cuál es la parte más difícil del cumplimiento de la MODPA?
El análisis de minimización de datos conforme a la sección 14-4607(B). Debe limitar la recopilación a lo razonablemente necesario y proporcional para el producto o servicio específico solicitado por el consumidor, y el consentimiento no puede ampliar ese límite. La mayoría de las empresas deben auditar cada categoría de datos y eliminar todo lo que no sea necesario para el servicio solicitado, lo cual es más estricto que otras leyes estatales.
¿Puede una empresa cubierta vender alguna vez datos sensibles en Maryland?
No. La sección 14-4607(A) prohíbe por completo la venta de datos sensibles, sin excepción de consentimiento. Una empresa solo puede recopilar, procesar o compartir datos sensibles cuando sea estrictamente necesario para un servicio solicitado y con consentimiento. Compare sus arreglos de intercambio de datos con la definición de venta de la sección 14-4601 para asegurarse de que ninguno involucre datos sensibles.
¿Cuáles son las reglas de la MODPA sobre los datos de menores?
Conforme a la sección 14-4607(A), una empresa no puede procesar los datos personales de un consumidor que sabía o debería haber sabido que tiene al menos 13 años y es menor de 18 con fines de publicidad dirigida, y no puede vender los datos de ese consumidor sin consentimiento. El estándar de 'sabía o debería haber sabido' significa que no puede evitar la regla absteniéndose de verificar edades cuando su audiencia claramente incluye adolescentes.
¿Exige la MODPA respetar una señal universal de exclusión?
Sí. Conforme a la sección 14-4607(F)(3), a partir del 1 de octubre de 2025 un responsable debe permitir que los consumidores opten por no participar en la publicidad dirigida o en cualquier venta de datos personales a través de una señal de preferencia de exclusión, como el Control de Privacidad Global. No se puede usar una configuración predeterminada para excluir a un consumidor, y reconocer las señales aprobadas por otros estados cuenta como conforme bajo la sección 14-4607(G).
¿Necesito evaluaciones de protección de datos y contratos con encargados del tratamiento?
Sí. La sección 14-4608 exige un contrato vinculante de procesamiento de datos con cualquier encargado del tratamiento, que cubra las instrucciones de procesamiento, la finalidad, los tipos de datos, la duración y las obligaciones. La sección 14-4610 exige evaluaciones documentadas de protección de datos para el procesamiento de alto riesgo, lo cual generalmente incluye la publicidad dirigida, las ventas de datos, cierta elaboración de perfiles y el procesamiento de datos sensibles.
¿Existe un periodo de subsanación antes de la aplicación de la MODPA?
No de manera garantizada. Conforme a la sección 14-4614, para las infracciones ocurridas en o antes del 1 de abril de 2027, la División de Protección al Consumidor puede, si determina que es posible una subsanación, emitir un aviso y otorgar al menos 60 días para subsanar, pero la oportunidad es discrecional. Después de ese plazo, no se ofrece subsanación. Construya su programa para el cumplimiento desde el inicio en lugar de depender de una oportunidad para corregir problemas más adelante.
¿Cuáles son las sanciones por infringir la MODPA?
Conforme a la sección 14-4613, una infracción a la MODPA es una práctica comercial injusta, abusiva o engañosa bajo la Ley de Protección al Consumidor de Maryland. Las sanciones conforme a la sección 13-410 alcanzan hasta $10,000 por infracción y hasta $25,000 por cada repetición de la misma infracción. La aplicación corresponde a la División de Protección al Consumidor de la Oficina del Fiscal General, y no existe un derecho de acción privada.
Fuentes y referencias
- Maryland HB 567 (Capítulo 454, 2024): Ley de Privacidad de Datos en Línea de Maryland (Texto Promulgado)(mgaleg.maryland.gov).gov
- Md. Code Ann., Com. Law sección 14-4602: Umbrales de Aplicabilidad(mgaleg.maryland.gov).gov
- Md. Code Ann., Com. Law sección 14-4607: Minimización de Datos, Datos Sensibles, Aviso de Privacidad, Exclusión Universal(mgaleg.maryland.gov).gov
- Md. Code Ann., Com. Law sección 14-4608: Contratos con Encargados del Tratamiento(mgaleg.maryland.gov).gov
- Md. Code Ann., Com. Law secciones 14-4613 y 14-4614: Aplicación y Subsanación(mgaleg.maryland.gov).gov
- Maryland SB 541 (Capítulo 455, 2024): Ley de Privacidad de Datos en Línea de Maryland (Texto Promulgado)(mgaleg.maryland.gov).gov
- Md. Code Ann., Com. Law sección 13-410: Sanción Civil (Ley de Protección al Consumidor)(mgaleg.maryland.gov).gov
- Oficina del Fiscal General de Maryland: División de Protección al Consumidor(marylandattorneygeneral.gov).gov