Maryland
¿Qué Es la MODPA? Ley de Privacidad de Datos en Línea de Maryland

La Ley de Privacidad de Datos en Línea de Maryland (MODPA) es la ley integral de privacidad de datos de los consumidores de Maryland, codificada en Md. Code Ann., Commercial Law Title 14, Subtitle 46 (secciones 14-4601 a 14-4614). Se promulgó en la sesión de 2024 como el Proyecto de Ley del Senado 541 y el Proyecto de Ley de la Cámara 567, firmado por el gobernador Wes Moore el 9 de mayo de 2024, y entró en vigor el 1 de octubre de 2025. A partir de 2026, se considera ampliamente la ley estatal integral de privacidad más estricta de Estados Unidos, porque limita la recopilación de datos a lo razonablemente necesario para prestar el servicio que un consumidor solicita, prohíbe por completo la venta de datos sensibles y restringe estrechamente la forma en que estos pueden procesarse en absoluto.
La División de Protección al Consumidor de la Oficina del Fiscal General de Maryland aplica la MODPA, y una infracción se trata como una práctica comercial injusta, abusiva o engañosa bajo la Ley de Protección al Consumidor de Maryland (Título 13). Las sanciones civiles alcanzan hasta $10,000 por infracción y hasta $25,000 por infracciones reincidentes conforme a la sección 13-410, y no existe un derecho de acción privada.
Alcance jurisdiccional: Esto cubre la Ley de Privacidad de Datos en Línea de Maryland (Md. Code Ann., Com. Law Title 14, Subtitle 46). Es información legal general, no asesoría legal.
Qué es la MODPA: estatuto, promulgación y fecha de vigencia
La Ley de Privacidad de Datos en Línea de Maryland es la primera ley integral de privacidad de datos de los consumidores de Maryland. Está codificada en el Artículo de Derecho Comercial en el Título 14, Subtítulo 46, desde la sección 14-4601 hasta la sección 14-4614. Las definiciones que rigen el resto del subtítulo se encuentran en la sección 14-4601, la aplicabilidad está en la sección 14-4602, y las exenciones de entidad y de datos siguen en la sección 14-4603.
La ley se promulgó durante la sesión ordinaria de 2024 como los proyectos de ley complementarios Senate Bill 541 (Capítulo 455) y House Bill 567 (Capítulo 454). El gobernador Wes Moore la firmó el 9 de mayo de 2024. Según los términos de la Ley, la MODPA entró en vigor el 1 de octubre de 2025, dando a las empresas cubiertas poco menos de dieciocho meses para prepararse.
A partir de 2026, la MODPA está plenamente vigente. Toda empresa que cumpla con los umbrales de aplicabilidad de la sección 14-4602 debe respetar las solicitudes de derechos de los consumidores, respetar las señales de exclusión, seguir la estricta regla de minimización de datos, limitar cómo maneja los datos sensibles y mantener un aviso de privacidad conforme. Para el conjunto completo de obligaciones de los responsables y encargados del tratamiento, consulte la página principal de leyes de privacidad de datos de Maryland.
Por qué la MODPA es la ley estatal de privacidad más estricta
La mayoría de las leyes estatales de privacidad siguen una plantilla similar tomada de Virginia y Connecticut. Maryland se apartó de esa plantilla en varios aspectos que, en conjunto, hacen de la MODPA la ley integral de privacidad más restrictiva del país a partir de 2026. Las diferencias no son cosméticas. Cambian lo que una empresa puede hacer con los datos incluso cuando un consumidor ha dado su consentimiento.
El cambio más destacado es la minimización de datos estricta. Conforme a la sección 14-4607(B)(1)(i), un responsable o encargado del tratamiento debe limitar la recopilación de datos personales a lo razonablemente necesario y proporcional para proporcionar o mantener el producto o servicio específico solicitado por el consumidor. Otros estados vinculan la minimización a las finalidades que una empresa divulga a los consumidores, lo que le permite a la empresa ampliar la recopilación simplemente divulgando más. Maryland vincula el límite al servicio que el consumidor realmente solicitó, por lo que una empresa no puede recopilar más que eso, incluso con consentimiento.
La MODPA también restringe los datos sensibles de manera más estricta que cualquier otro estado. Conforme a la sección 14-4607(A), un responsable no puede recopilar, procesar o compartir datos sensibles, salvo cuando sea estrictamente necesario para proporcionar o mantener un producto o servicio específico solicitado por el consumidor, y solo con el consentimiento de este. La mayoría de los estados permiten el procesamiento de datos sensibles solo con el consentimiento expreso. Maryland agrega el requisito de estricta necesidad además del consentimiento.
Finalmente, la sección 14-4607(A) prohíbe terminantemente vender datos sensibles. No existe excepción de consentimiento. Donde otros estados permiten que un consumidor opte por no participar en las ventas de datos sensibles o exigen consentimiento expreso, Maryland elimina la opción por completo.

La minimización de datos estricta, explicada
La regla de minimización de datos es la característica individual más importante de la MODPA. La sección 14-4607(B)(1)(i) es breve, pero su efecto es considerable. Establece que la recopilación debe limitarse a lo razonablemente necesario y proporcional para proporcionar o mantener el producto o servicio específico solicitado por el consumidor.
La frase clave es "producto o servicio específico solicitado por el consumidor". Ese estándar no está fijado a lo que una empresa desea hacer, ni siquiera a lo que una empresa divulga en su aviso de privacidad. Está fijado al servicio por el cual el consumidor acudió. Una aplicación del clima que solicita una lista de contactos, o una aplicación de linterna que solicita el historial de ubicación, tendría dificultades para demostrar que esa recopilación es razonablemente necesaria para la función solicitada.
De manera crucial, el consentimiento no habilita una mayor recopilación. Conforme a la sección 14-4607(A), un responsable no puede recopilar datos personales con el único propósito de personalizar contenido o hacer marketing sin consentimiento, pero el deber de minimización de la sección 14-4607(B) opera de manera independiente del consentimiento. Una empresa no puede presentar una casilla de consentimiento y luego recopilar mucho más de lo que necesita el servicio solicitado. Esta es la razón estructural por la que la MODPA es más estricta que cualquier otro marco estatal a partir de 2026.
Datos sensibles: estricta necesidad y prohibición de venta
La MODPA trata los datos sensibles con una cautela inusual. La sección 14-4601 define los datos sensibles de modo que incluyan los datos personales que revelen origen racial o étnico, creencias religiosas, datos de salud del consumidor, vida sexual, orientación sexual, condición de persona transgénero o no binaria, origen nacional y ciudadanía o estatus migratorio, además de los datos genéticos o biométricos, los datos personales de un menor conocido y los datos de geolocalización precisa. El mismo subtítulo define por separado los datos de salud del consumidor y agrega límites de geo-cercado alrededor de instalaciones de salud conforme a la sección 14-4604.
Para todos esos datos, la sección 14-4607(A) establece dos requisitos. Primero, el responsable solo puede recopilar, procesar o compartir datos sensibles cuando sea estrictamente necesario para proporcionar o mantener un producto o servicio específico solicitado por el consumidor. Segundo, incluso entonces debe obtener el consentimiento del consumidor. Ambos requisitos se aplican en conjunto.
La prohibición de venta es la línea más definida. La sección 14-4607(A) establece que un responsable no puede vender datos sensibles, sin excepción de consentimiento. Para una empresa que monetiza datos, esto elimina toda una vía de ingresos que sigue disponible, con la elección del consumidor, en otros estados.
Protecciones sólidas para los menores
La MODPA incluye algunas de las protecciones más sólidas para adolescentes de cualquier ley estatal de privacidad. Conforme a la sección 14-4607(A), cuando un responsable sabía o debería haber sabido que un consumidor tiene al menos 13 años y es menor de 18, no puede procesar los datos personales de ese consumidor con fines de publicidad dirigida, y no puede vender los datos personales de ese consumidor sin consentimiento.
El estándar de "sabía o debería haber sabido" es más amplio que el estándar de conocimiento real que utilizan algunos estados. Alcanza a las empresas que hacen la vista gorda ante una audiencia joven. La protección también cubre todo el rango de 13 a 17 años, por encima del límite de menores de 13 años que aborda la ley federal Children's Online Privacy Protection Act.
El resultado es que una empresa no puede dirigir publicidad segmentada hacia adolescentes de Maryland que tenga motivos para saber que son menores de 18 años, ni puede vender sus datos, sin importar si un padre o el propio adolescente aceptó un flujo de consentimiento para uso general. La guía de derechos del consumidor según la MODPA cubre cómo interactúan estas protecciones con los derechos que los consumidores pueden ejercer.

Aplicación, sanciones y la cronología que importa
La División de Protección al Consumidor de la Oficina del Fiscal General aplica la MODPA. Conforme a la sección 14-4613, una infracción del subtítulo es una práctica comercial injusta, abusiva o engañosa bajo el Título 13 del Artículo de Derecho Comercial y está sujeta a las disposiciones de aplicación y sanción de dicho título, salvo la sección 13-408 (que cubre las acciones privadas de restitución). Esa excepción es una de las razones por las que la MODPA no tiene derecho de acción privada.
Las sanciones provienen de la Ley de Protección al Consumidor de Maryland. Conforme a la sección 13-410, una infracción puede conllevar una sanción civil de hasta $10,000 por infracción, que aumenta hasta $25,000 por cada repetición de la misma infracción.
Dos fechas son importantes para el margen de aplicación. La ley entró en vigor el 1 de octubre de 2025. Por separado, la Ley establece que la sección de limitaciones y exenciones, la sección 14-4612, se aplica solo de manera prospectiva y no tiene aplicación a las actividades de procesamiento anteriores al 1 de abril de 2026. También existe un periodo de subsanación discrecional conforme a la sección 14-4614: para las infracciones ocurridas en o antes del 1 de abril de 2027, la División puede, si determina que es posible una subsanación, emitir un aviso y otorgar al menos 60 días para subsanar, pero la subsanación queda a discreción de la División y no es un periodo de gracia garantizado.
MODPA frente a la CCPA: las diferencias clave
Las empresas que operan a nivel nacional suelen comparar la MODPA de Maryland con la ley de California. La página de comparación de leyes estatales de privacidad de datos cubre el panorama multiestatal más amplio, pero varias diferencias con la CCPA de California se destacan.
| Característica | Maryland MODPA | California CCPA/CPRA |
|---|---|---|
| Umbral de cobertura | 35,000 consumidores, o 10,000 más el 20% de ingresos de ventas de datos; sin piso en dólares (sección 14-4602) | $25M de ingresos, 100,000 consumidores, o 50% de ingresos de ventas de datos |
| Minimización de datos | Límite estricto: solo lo razonablemente necesario para el servicio solicitado, el consentimiento no puede ampliarlo (sección 14-4607(B)) | Vinculada a las finalidades divulgadas; más amplia |
| Datos sensibles | Estricta necesidad más consentimiento para procesar; venta de datos sensibles prohibida por completo (sección 14-4607(A)) | Derecho a limitar el uso; modelo de exclusión, sin prohibición de venta |
| Protecciones para menores | Sin publicidad dirigida ni venta de datos para consumidores menores de 18 años conocidos, estándar de sabía o debería haber sabido (sección 14-4607(A)) | Inclusión voluntaria para vender datos de menores de 16 |
| Derecho de acción privada | Ninguno (sección 14-4613) | Limitado, para ciertas violaciones de datos |
La diferencia más importante es la minimización de datos. California vincula los límites a las finalidades divulgadas, que una empresa puede ampliar divulgando más. Maryland vincula el límite al servicio específico que el consumidor solicitó y hace que el consentimiento no pueda ampliarlo, una regla estructuralmente más estricta.
El tratamiento de los datos sensibles también diverge notablemente. California otorga a los consumidores el derecho a limitar el uso de información personal sensible mediante una exclusión. Maryland exige estricta necesidad más consentimiento para procesar datos sensibles en absoluto y prohíbe venderlos por completo conforme a la sección 14-4607(A).
Más Leyes de Maryland
- Leyes de Grabación de Reuniones con IA de Maryland
- Leyes de Pensión Alimenticia Conyugal de Maryland
- Leyes de Empleo a Voluntad de Maryland
- Leyes sobre Accidentes de Auto de Maryland
- Leyes sobre Asientos de Auto para Niños de Maryland
- Leyes de Custodia de Menores de Maryland
- Leyes de Manutención Infantil de Maryland
- Leyes de Matrimonio de Hecho de Maryland
- Leyes sobre Deepfakes de Maryland
- Leyes de Divorcio de Maryland
- Leyes sobre Mordeduras de Perro de Maryland
- Leyes de Emancipación de Maryland
- Leyes de Eliminación de Antecedentes de Maryland
- Leyes sobre Fuga del Lugar del Accidente de Maryland
- Leyes de Arrendador-Inquilino de Maryland
- Ley del Limón de Maryland
Guías relacionadas
Preguntas frecuentes
¿Qué es la MODPA?
La MODPA, la Ley de Privacidad de Datos en Línea de Maryland, es la ley integral de privacidad de datos de los consumidores de Maryland, codificada en Md. Code Ann., Com. Law Title 14, Subtitle 46 (secciones 14-4601 a 14-4614). Se promulgó como el SB 541 y el HB 567 en 2024, firmada por el gobernador Wes Moore el 9 de mayo de 2024, y entró en vigor el 1 de octubre de 2025. A partir de 2026 se considera ampliamente la ley estatal integral de privacidad más estricta de Estados Unidos.
¿Cuándo entró en vigor la MODPA?
La MODPA entró en vigor el 1 de octubre de 2025. La Ley también establece que la sección de limitaciones y exenciones, la sección 14-4612, se aplica solo de manera prospectiva y no tiene aplicación a las actividades de procesamiento anteriores al 1 de abril de 2026. Un periodo de subsanación discrecional conforme a la sección 14-4614 se aplica a las infracciones ocurridas en o antes del 1 de abril de 2027.
¿Por qué se le llama a la MODPA la ley estatal de privacidad más estricta?
Tres características distinguen a la MODPA. La sección 14-4607(B) impone una minimización de datos estricta, que limita la recopilación a lo razonablemente necesario para el servicio específico que el consumidor solicitó, y el consentimiento no puede ampliarla. La sección 14-4607(A) permite el procesamiento de datos sensibles solo cuando sea estrictamente necesario más el consentimiento. Y la sección 14-4607(A) prohíbe terminantemente vender datos sensibles, sin excepción de consentimiento, algo que ningún otro estado hace.
¿Cuáles son los umbrales de cobertura de la MODPA?
Conforme a la sección 14-4602, la MODPA cubre a una persona que realiza negocios en Maryland o se dirige a los residentes de Maryland y que, durante el año calendario anterior, controló o procesó los datos personales de al menos 35,000 consumidores (excluyendo los datos procesados únicamente para completar una transacción de pago), o de al menos 10,000 consumidores mientras obtenía más del 20 por ciento de los ingresos brutos de la venta de datos personales. No existe un piso de ingresos en dólares.
¿Prohíbe la MODPA vender datos sensibles?
Sí. La sección 14-4607(A) establece que un responsable no puede vender datos sensibles, sin excepción de consentimiento. Esta es una de las características más distintivas de la MODPA. Otros estados generalmente permiten que los consumidores opten por no participar en las ventas de datos sensibles o exigen consentimiento expreso, pero Maryland elimina la opción por completo.
¿Qué se considera datos sensibles bajo la MODPA?
Conforme a la sección 14-4601, los datos sensibles incluyen los datos personales que revelen origen racial o étnico, creencias religiosas, datos de salud del consumidor, vida sexual, orientación sexual, condición de persona transgénero o no binaria, origen nacional y ciudadanía o estatus migratorio, además de los datos genéticos o biométricos, los datos personales de un menor conocido y los datos de geolocalización precisa. Su procesamiento exige estricta necesidad y consentimiento conforme a la sección 14-4607(A).
¿Cómo protege la MODPA a los menores?
Conforme a la sección 14-4607(A), cuando un responsable sabía o debería haber sabido que un consumidor tiene al menos 13 años y es menor de 18, no puede procesar los datos de ese consumidor con fines de publicidad dirigida y no puede vender sus datos sin consentimiento. El estándar de 'sabía o debería haber sabido' es más amplio que una prueba de conocimiento real y cubre todo el rango de edad de 13 a 17 años.
¿Quién aplica la MODPA y cuáles son las sanciones?
La División de Protección al Consumidor de la Oficina del Fiscal General de Maryland aplica la MODPA conforme a la sección 14-4613. Una infracción es una práctica comercial injusta, abusiva o engañosa bajo la Ley de Protección al Consumidor de Maryland, con sanciones civiles de hasta $10,000 por infracción y hasta $25,000 por infracciones reincidentes conforme a la sección 13-410. No existe un derecho de acción privada, y cualquier periodo de subsanación es discrecional conforme a la sección 14-4614.
Fuentes y referencias
- Maryland HB 567 (Capítulo 454, 2024): Ley de Privacidad de Datos en Línea de Maryland (Texto Promulgado)(mgaleg.maryland.gov).gov
- Maryland SB 541 (Capítulo 455, 2024): Ley de Privacidad de Datos en Línea de Maryland (Texto Promulgado)(mgaleg.maryland.gov).gov
- Md. Code Ann., Com. Law sección 14-4602: Umbrales de Aplicabilidad(mgaleg.maryland.gov).gov
- Md. Code Ann., Com. Law sección 14-4607: Deberes del Responsable (Minimización de Datos, Datos Sensibles, Menores)(mgaleg.maryland.gov).gov
- Md. Code Ann., Com. Law sección 14-4613: Aplicación (Ley de Protección al Consumidor de Maryland)(mgaleg.maryland.gov).gov
- Asamblea General de Maryland: Detalle del Proyecto de Ley SB 541 (2024)(mgaleg.maryland.gov).gov
- Md. Code Ann., Com. Law sección 13-410: Sanción Civil (Ley de Protección al Consumidor)(mgaleg.maryland.gov).gov
- Oficina del Fiscal General de Maryland: División de Protección al Consumidor(marylandattorneygeneral.gov).gov