Massachusetts
Leyes de Privacidad de Datos de Massachusetts: Reglas de Seguridad y Derechos del Consumidor (2026)

La ley de privacidad de datos de Massachusetts opera mediante el 201 CMR 17.00, que exige un Programa Escrito de Seguridad de la Información (WISP), la notificación de infracciones conforme al M.G.L. c. 93H, y la aplicación conforme al M.G.L. c. 93A. No existe una ley integral de privacidad del consumidor vigente; la Ley de Privacidad de Datos de Massachusetts (S.2608) fue aprobada por el Senado, pero sigue pendiente en la Cámara de Representantes a partir de mayo de 2026.
Massachusetts adopta un enfoque sectorial en materia de privacidad de datos. El estado protege la información personal mediante una combinación de regulaciones estrictas de seguridad de datos, una ley agresiva de notificación de infracciones, un marco sólido de aplicación de protección al consumidor, y estatutos sectoriales específicos que cubren a estudiantes, empleados y datos vehiculares. Todavía no existe una única ley integral de privacidad del consumidor en vigor.
Ese panorama está cambiando. El Senado de Massachusetts aprobó por unanimidad la Ley de Privacidad de Datos de Massachusetts el 25 de septiembre de 2025, y el proyecto de ley espera acción en la Cámara. Si se promulga, los residentes de Massachusetts obtendrían derechos de acceso, corrección y eliminación de sus datos, y las empresas enfrentarían límites estrictos para la venta de información sensible.
Esta guía cubre todas las principales leyes de privacidad de datos de Massachusetts actualmente vigentes, la legislación pendiente, el historial de aplicación, y lo que las empresas y los residentes deben saber en este momento.
Marco Legal de Protección de Datos en Massachusetts
La ley de privacidad de datos de Massachusetts se sostiene sobre cuatro pilares: la regulación de seguridad de datos (201 CMR 17.00), la ley de notificación de infracciones (M.G.L. c. 93H), la ley de eliminación de registros (M.G.L. c. 93I), y la ley de protección al consumidor (M.G.L. c. 93A). Cada una cumple un papel distinto, y las infracciones de las primeras tres se canalizan a través de la cuarta para su aplicación.
El estado también cuenta con estatutos sectoriales que cubren los registros estudiantiles, la telemática vehicular, los derechos de interceptación de comunicaciones de los empleados, y las imágenes íntimas no consentidas. La ley federal añade requisitos superpuestos a través de HIPAA, GLBA, FCRA, COPPA y la Ley de la FTC.

201 CMR 17.00: La Regulación de Seguridad de Datos
El 201 CMR 17.00 es la base del cumplimiento de privacidad de datos en Massachusetts. Vigente desde el 1 de marzo de 2010, es una de las regulaciones de seguridad de datos más prescriptivas técnicamente en Estados Unidos. La Oficina de Asuntos del Consumidor y Regulación Empresarial (OCABR) la promulgó bajo la autoridad del M.G.L. c. 93H.
Quién Debe Cumplir
Toda persona, empresa o entidad que posea o tenga licencia sobre información personal de un residente de Massachusetts debe cumplir, sin importar la ubicación física de la entidad. Una empresa con sede en California que almacene el nombre y el número de Seguro Social de un solo residente de Massachusetts está plenamente sujeta al 201 CMR 17.00.
Bajo la regulación, información personal significa el nombre y apellido (o la inicial del nombre y el apellido) de un residente de Massachusetts combinados con cualquiera de los siguientes:
- Número de Seguro Social
- Número de licencia de conducir o número de tarjeta de identificación emitida por el estado
- Número de cuenta financiera, número de tarjeta de crédito o número de tarjeta de débito (con o sin cualquier código de seguridad, código de acceso o contraseña que permita el acceso a la cuenta)
La información disponible públicamente y obtenida legalmente de registros gubernamentales queda excluida.
El Programa Escrito de Seguridad de la Información (WISP)
El requisito más importante bajo el 201 CMR 17.00 es el Programa Escrito de Seguridad de la Información. Conforme a la Sección 17.03, toda entidad cubierta debe desarrollar, implementar, mantener y supervisar un programa integral de seguridad por escrito. El WISP debe estar adecuadamente proporcionado al tamaño, los recursos y el volumen de datos de la organización. Como mínimo, debe abordar lo siguiente:
- Designación de uno o más empleados responsables del programa
- Identificación y evaluación de riesgos internos y externos razonablemente previsibles
- Políticas de seguridad para empleados, incluyendo procedimientos para empleados despedidos
- Medidas disciplinarias por infracciones al WISP
- Supervisión de proveedores de servicios externos
- Restricciones razonables al acceso físico a los registros
- Supervisión regular, revisión anual y actualizaciones cuando cambien las prácticas comerciales
- Documentación de las acciones de respuesta tomadas después de una infracción
Una empresa de una sola persona con una lista pequeña de clientes puede tener un WISP más breve que una red hospitalaria, pero toda entidad cubierta necesita un plan escrito que aborde todos los elementos anteriores.
Requisitos Técnicos (Sección 17.04)
La Sección 17.04 impone controles técnicos específicos a cualquier sistema informático que almacene o transmita información personal:
Autenticación. Las organizaciones deben utilizar un método razonablemente seguro para asignar contraseñas o usar tecnologías de identificación única, como biometría o dispositivos token. Los sistemas deben bloquear el acceso después de varios intentos fallidos de inicio de sesión. Las contraseñas predeterminadas proporcionadas por el proveedor deben cambiarse.
Control de acceso. El acceso a la información personal debe restringirse a los empleados que la necesiten para desempeñar su trabajo. Cada usuario debe tener una credencial de inicio de sesión única.
Cifrado en tránsito. Todos los registros que contengan información personal transmitidos a través de redes públicas o de forma inalámbrica deben estar cifrados.
Cifrado en reposo en dispositivos portátiles. La información personal almacenada en laptops y otros dispositivos portátiles debe estar cifrada.
Firewall y gestión de parches. Los sistemas conectados a internet que contengan información personal deben ejecutar protección de firewall razonablemente actualizada y parches de seguridad del sistema operativo.
Protección contra malware. Los sistemas deben contar con software de seguridad actualizado con protección contra malware configurado para recibir actualizaciones periódicas.
Supervisión. Las organizaciones deben mantener una supervisión razonable para detectar el acceso no autorizado a la información personal.
Capacitación de empleados. Los empleados deben recibir capacitación sobre el uso adecuado del sistema de seguridad informática y la importancia de la seguridad de la información personal.
Estos requisitos hacen que Massachusetts sea considerablemente más prescriptivo que la mayoría de los estados, que utilizan un estándar general de "seguridad razonable" sin especificar umbrales de cifrado, requisitos de firewall o controles de autenticación.

Capítulo 93H: Notificación de Infracciones de Datos
El M.G.L. c. 93H establece los requisitos de notificación de infracciones de datos de Massachusetts. La ley se promulgó originalmente en 2007 y fue fortalecida significativamente por el Capítulo 444 de las Leyes de 2018, vigente desde el 10 de abril de 2019.
Qué Califica como una Infracción
Conforme a la Sección 1, una infracción de seguridad es la adquisición no autorizada o el uso no autorizado de datos no cifrados, o de datos cifrados junto con el proceso o clave confidencial, que genere un riesgo sustancial de robo de identidad o fraude contra un residente de Massachusetts.
La adquisición de buena fe pero no autorizada de información personal por parte de un empleado para fines comerciales legítimos no constituye una infracción, a menos que la información se utilice de manera no autorizada o esté sujeta a una divulgación no autorizada adicional.
Los datos cifrados se definen como datos transformados mediante un algoritmo con una fortaleza de clave de 128 bits o superior.
Quién Debe Ser Notificado
Conforme a la Sección 3, cuando ocurre una infracción, la entidad que posea o tenga licencia sobre los datos debe notificar a tres partes tan pronto como sea posible y sin demora injustificada:
- La Fiscalía General
- El Director de la Oficina de Asuntos del Consumidor y Regulación Empresarial
- Cada residente afectado de Massachusetts
Las entidades que mantienen datos en nombre de otra entidad deben notificar rápidamente al propietario de los datos para que este pueda cumplir con sus obligaciones de notificación.
Contenido Requerido de la Notificación
La notificación a la Fiscalía General y al Director de la OCABR debe incluir:
- La naturaleza de la infracción y el tipo de información personal comprometida
- El número de residentes de Massachusetts afectados
- El nombre y la dirección de la entidad afectada
- Si la entidad mantiene un WISP
- Si la entidad es propietaria o licenciataria de los datos
- El nombre de cualquier corporación matriz o afiliada
La notificación a los residentes afectados debe incluir el derecho a presentar un reporte policial, información sobre los congelamientos de seguridad de crédito y detalles del monitoreo de crédito. Es importante señalar que la notificación al residente no debe indicar la naturaleza de la infracción ni el número de residentes afectados.
Requisito de Monitoreo de Crédito
Conforme a la Sección 3A, cuando una infracción involucra números de Seguro Social, la entidad debe proporcionar a los residentes afectados 18 meses de monitoreo de crédito gratuito a través de un proveedor externo. Las agencias de informes de crédito al consumidor deben ofrecer 42 meses. La ley prohíbe exigir a los residentes que renuncien a su derecho a demandar como condición para recibir los servicios de monitoreo.
Capítulo 93I: Eliminación de Registros
El M.G.L. c. 93I completa el marco del ciclo de vida de los datos. Cuando la información personal ya no es necesaria, las entidades cubiertas deben eliminarla adecuadamente. Los registros en papel deben ser redactados, quemados, pulverizados o triturados. Los medios electrónicos y no impresos deben destruirse o borrarse de manera que la información no pueda leerse ni reconstruirse de forma práctica.
Los proveedores externos de eliminación deben implementar y supervisar políticas de cumplimiento que prohíban el acceso no autorizado durante la recolección, el transporte y la eliminación. Las multas civiles alcanzan hasta 100 dólares por cada sujeto de datos afectado, con un tope de 50,000 dólares por cada caso de eliminación indebida.

Aplicación de la Ley: Capítulo 93A y la Fiscalía General
El M.G.L. c. 93H, Sección 6 canaliza la aplicación a través del M.G.L. c. 93A, la ley de protección al consumidor de Massachusetts. Una infracción comprobada del Capítulo 93H se trata como una infracción per se del Capítulo 93A.
Qué Puede Hacer la Fiscalía General
La Fiscalía General puede investigar mediante solicitudes de investigación civil, iniciar acciones de aplicación civil, solicitar medidas cautelares y solicitar sanciones civiles. Conforme al Capítulo 93A, las sanciones civiles alcanzan hasta 5,000 dólares por infracción. Cuando las infracciones son intencionales o de mala fe, la Fiscalía General también puede solicitar daños múltiples.
Derecho de Acción Privada
El Capítulo 93A otorga a los consumidores un derecho de acción privada. Antes de presentar una demanda, el consumidor debe enviar una carta de exigencia con un plazo de 30 días. Si el caso llega a los tribunales y el demandado infringió la ley de manera intencional y con conocimiento de causa, los daños pueden triplicarse. El demandante que prevalece recupera los honorarios razonables de abogado y los costos. Esta disposición de daños triplicados convierte a Massachusetts en uno de los estados de mayor riesgo para litigios de privacidad de datos.
Acciones Reales de Aplicación
Peabody Properties (agosto de 2025). La fiscal general Andrea Campbell obtuvo un acuerdo de 795,000 dólares contra Peabody Properties, Inc., una empresa de administración de propiedades con sede en Braintree. Entre noviembre de 2019 y septiembre de 2021, Peabody sufrió cinco intrusiones separadas basadas en phishing que expusieron números de Seguro Social, datos de licencia de conducir e información de cuentas bancarias de casi 14,000 residentes de Massachusetts. La Fiscalía General determinó que Peabody retrasó ilegalmente la notificación a la Fiscalía General y a los residentes afectados, ya que los primeros dos incidentes no se reportaron durante casi siete meses. El fallo por consentimiento exige autenticación multifactor, protección contra phishing, gestión de vulnerabilidades y tres años de supervisión regulatoria.
Earnest Operations (2025). La fiscal general Campbell alcanzó un acuerdo de 2.5 millones de dólares con un prestamista de préstamos estudiantiles por utilizar modelos de inteligencia artificial que causaron un daño desproporcionado a solicitantes afroamericanos, hispanos y no ciudadanos, infringiendo las leyes de protección al consumidor y privacidad de datos.
Aviso de la Fiscalía General sobre IA (abril de 2024). El 16 de abril de 2024, la fiscal general Campbell emitió un aviso formal confirmando que las leyes de protección al consumidor, derechos civiles y privacidad de datos de Massachusetts se aplican a los sistemas de inteligencia artificial. Los desarrolladores, implementadores y usuarios de IA están sujetos a la ley vigente de Massachusetts.
La División de Privacidad y Seguridad de Datos de la Fiscalía General
La Fiscalía General mantiene una División de Privacidad y Seguridad de Datos dedicada que investiga infracciones del Capítulo 93A, el Capítulo 93H y el 201 CMR 17.00. La división publica informes anuales de notificación de infracciones de datos que documentan cada infracción reportada a la oficina.
Legislación Integral de Privacidad Pendiente
Ley de Privacidad de Datos de Massachusetts (S.2608)
El 25 de septiembre de 2025, el Senado de Massachusetts aprobó por unanimidad la Ley de Privacidad de Datos de Massachusetts con una votación bipartidista de 40 a 0. A partir de mayo de 2026, el proyecto de ley está pendiente de acción en la Cámara de Representantes y no ha sido promulgado como ley. Actualmente, los residentes de Massachusetts no tienen derechos bajo este proyecto de ley.
Si se promulga, la S.2608 establecería:
Derechos del consumidor. El derecho a saber qué datos personales se recopilan, acceder a los datos recopilados, corregir información inexacta, eliminar datos personales y optar por no participar en la publicidad dirigida y la venta de datos.
Protecciones de datos sensibles. Una prohibición de la venta de información de atención médica, identificadores biométricos, datos de geolocalización precisa, afiliación religiosa, estatus migratorio, orientación sexual, identidad de género, raza y etnicidad.
Protecciones para menores. Una prohibición total de la venta de cualquier dato personal de menores. Una prohibición de recopilar datos de menores para publicidad dirigida.
Minimización de datos. La recopilación se limita a lo razonablemente necesario para prestar el servicio. La recopilación de datos sensibles debe ser estrictamente necesaria.
Aplicación. Las infracciones se tratan como prácticas desleales o engañosas conforme al Capítulo 93A, con la Fiscalía General como la autoridad principal de aplicación.
Fechas de vigencia propuestas. La mayoría de las disposiciones entrarían en vigor el 1 de enero de 2027. Secciones adicionales entrarían en vigor el 1 de junio de 2027.
El proyecto de ley recibió el respaldo de la ACLU de Massachusetts, el Fondo de Defensa de Planned Parenthood de Massachusetts, la AFL-CIO de Massachusetts, y el Electronic Privacy Information Center. La presidenta del Senado, Karen Spilka, lo describió como una ley que ofrece "algunas de las mejores protecciones de privacidad de datos del país".

Ley de Privacidad Biométrica de Massachusetts (S.43)
La S.43, "Ley para proteger los datos biométricos personales", recibió un informe favorable del comité de Tecnología de la Información Avanzada, Internet y Ciberseguridad, y fue remitida al Comité de Finanzas del Senado en mayo de 2025. De promulgarse, el proyecto de ley exigiría el consentimiento por escrito antes de recopilar identificadores biométricos (huellas dactilares, escaneos faciales, huellas de voz), prohibiría la venta de datos biométricos, y permitiría a los demandantes privados demandar por al menos 5,000 dólares por infracción. El proyecto de ley permanece en comité a partir de mayo de 2026.
Protecciones Adicionales de Privacidad
Imágenes Íntimas No Consentidas y Deepfakes
La gobernadora Healey firmó la Ley para Prevenir el Abuso y la Explotación el 20 de junio de 2024, convirtiendo a Massachusetts en el estado número 49 en prohibir la distribución no consentida de imágenes íntimas. La ley cubre tanto imágenes auténticas como "deepfakes" generados por computadora que pretenden mostrar a una persona real de manera sexualmente explícita. También amplía el estatuto de acoso penal y extiende la definición de abuso bajo el Capítulo 209A para incluir el control coercitivo.
Derecho a la Privacidad (Capítulo 214, Sección 1B)
El M.G.L. c. 214, Sección 1B establece un derecho general a la privacidad para los residentes de Massachusetts. Toda persona tiene el derecho a no sufrir una interferencia irrazonable, sustancial o grave en su privacidad. Los tribunales han aplicado este estatuto en disputas de privacidad de datos cuando no aplica ningún otro estatuto específico.
Ley de Interceptación de Comunicaciones (Capítulo 272, Sección 99)
El M.G.L. c. 272, Sección 99 convierte a Massachusetts en un estado de consentimiento de todas las partes. Grabar una llamada telefónica, interceptar un correo electrónico o monitorear las comunicaciones de los empleados sin el consentimiento de todas las partes constituye un delito penal sancionable con hasta 5 años de prisión estatal, una multa de hasta 10,000 dólares, o ambas cosas. También existen recursos civiles disponibles. Las empresas que graban llamadas de servicio al cliente deben divulgar la grabación a todas las partes y obtener su consentimiento.
Privacidad de Datos Estudiantiles (603 CMR 23.00)
Las Regulaciones de Registros Estudiantiles de Massachusetts operan junto con la FERPA para proteger los datos de los estudiantes. Los distritos escolares deben designar a un administrador de datos estudiantiles y mantener una política de privacidad y seguridad que aborde la planificación y notificación de infracciones de datos. Los estatutos relevantes incluyen el M.G.L. c. 71, Secciones 34D, 34E, 37H y 87.
Derecho a Reparación y Datos Vehiculares
Los votantes de Massachusetts aprobaron una iniciativa electoral en 2020 que exige que los vehículos vendidos en Massachusetts que utilicen sistemas de telemática ofrezcan una plataforma de acceso abierto que ponga los datos mecánicos generados por el vehículo a disposición de los propietarios y de los talleres de reparación independientes. Los fabricantes de automóviles impugnaron la ley en un tribunal federal. A principios de 2026, el asunto se encuentra ante el Primer Circuito en apelación de un fallo del tribunal de distrito federal.
Superposición de Leyes Federales
Varias leyes federales generan obligaciones de privacidad de datos para los residentes y empresas de Massachusetts, independientemente de la ley estatal.
Ley TAKE IT DOWN (Pub. L. 119-12, firmada el 19 de mayo de 2025). Penaliza la publicación consciente o la amenaza de publicación de imágenes íntimas no consentidas, incluyendo deepfakes generados por IA. Las disposiciones penales entraron en vigor de inmediato. A partir del 19 de mayo de 2026, las plataformas cubiertas deben mantener un proceso de notificación y eliminación, y retirar las imágenes reportadas dentro de las 48 horas. La FTC hace cumplir el cumplimiento de las plataformas y puede solicitar sanciones civiles de hasta 53,088 dólares por infracción.
HIPAA. Las entidades cubiertas y los asociados comerciales que manejan información de salud protegida de residentes de Massachusetts deben cumplir con la Regla de Privacidad, la Regla de Seguridad y la Regla de Notificación de Infracciones de HIPAA. Las entidades reguladas por HIPAA generalmente están exentas de los requisitos de la ley estatal de privacidad.
GLBA. Las instituciones financieras, incluyendo bancos, compañías de seguros y corredores hipotecarios, deben cumplir con la Regla de Salvaguardas de la Ley Gramm-Leach-Bliley, que exige un programa escrito de seguridad de la información con una estructura similar al requisito del WISP de Massachusetts.
FCRA / FACTA. Las agencias de informes de crédito al consumidor y los usuarios de informes de consumidor deben cumplir con la Ley de Informe Justo de Crédito, incluyendo la Regla de Eliminación de la FACTA, que exige la destrucción adecuada de la información de los informes de consumidor.
COPPA. Los operadores de sitios web y servicios en línea dirigidos a niños menores de 13 años deben obtener el consentimiento parental verificable antes de recopilar información personal.
Sección 5 de la Ley de la FTC. La autoridad de la FTC para prohibir prácticas desleales o engañosas se aplica a todas las empresas, independientemente de si un estatuto de privacidad específico las cubre.
Ley de Derechos de Privacidad Estadounidense (APRA). El proyecto de ley federal bipartidista de privacidad presentado en 2024 no fue aprobado por el Congreso 118 y no había sido reintroducido en el Congreso 119 a partir de mayo de 2026. No existe una ley federal integral de privacidad del consumidor vigente.

Cómo se Compara Massachusetts con Otros Estados
Massachusetts destaca por la solidez de sus requisitos de seguridad de datos y su mecanismo de aplicación, incluso sin una ley integral de privacidad.
| Característica | Massachusetts | California (CCPA/CPRA) | Connecticut (CTDPA) |
|---|---|---|---|
| Ley integral de privacidad | Pendiente (S.2608) | Sí (2020/2023) | Sí (2023) |
| Programa de seguridad escrito obligatorio | Sí (WISP) | Estándar de seguridad razonable | Sin requisito específico |
| Controles técnicos específicos | Sí (201 CMR 17.04) | No | No |
| Notificación de infracciones | Sí (c. 93H) | Sí | Sí |
| Monitoreo de crédito tras infracción de SSN | 18 meses obligatorios | No requerido | No requerido |
| Derecho de acción privada | Sí (c. 93A, daños triplicados) | Limitado (solo infracciones) | No |
| Ley de grabación con consentimiento de todas las partes | Sí (c. 272 s.99) | Sí | Sí |
Los controles técnicos del 201 CMR 17.00 (estándares específicos de cifrado, requisitos de firewall, controles de acceso) hacen que Massachusetts sea más prescriptivo que la mayoría de los estados, que utilizan un estándar general de "seguridad razonable".
Estructura de Sanciones
| Infracción | Mecanismo de Aplicación | Sanción Máxima |
|---|---|---|
| No mantener un WISP | Fiscalía General vía c. 93A | 5,000 dólares por infracción |
| Notificación de infracción tardía o inadecuada | Fiscalía General vía c. 93A | 5,000 dólares por infracción, más medidas cautelares |
| Eliminación indebida de registros (c. 93I) | Acción civil de la Fiscalía General | 100 dólares por residente afectado, máximo 50,000 dólares por incidente |
| Prácticas de datos desleales o engañosas intencionales | Demandante privado vía c. 93A | Hasta el triple de daños, más honorarios de abogado |
| Infracción de interceptación de comunicaciones (c. 272 s.99) | Procesamiento penal | Hasta 5 años de prisión, multa de 10,000 dólares |
| Infracción de plataforma bajo la Ley TAKE IT DOWN | Aplicación de la FTC | 53,088 dólares por infracción |
Pasos Prácticos de Cumplimiento para las Empresas
Las empresas que recopilan información personal de residentes de Massachusetts deben tomar las siguientes medidas ahora, independientemente de si la S.2608 llega a convertirse en ley:
Audite sus datos. Identifique cada lugar donde almacene nombre más número de Seguro Social, nombre más licencia de conducir, o nombre más número de cuenta financiera. Cualquier base de datos, hoja de cálculo o archivo en papel que contenga esa combinación está dentro del alcance del 201 CMR 17.00.
Redacte y mantenga un WISP. El WISP debe ser un documento escrito, no una intención general. Debe abordar todos los elementos de la Sección 17.03. Actualícelo anualmente y cada vez que cambien sus prácticas comerciales.
Cumpla con los controles técnicos. Asegúrese de que todos los datos que crucen redes públicas estén cifrados, que todos los dispositivos portátiles que almacenen información personal estén cifrados, que se implemente la autenticación multifactor, y que el acceso esté limitado a quienes necesiten los datos.
Conozca su cronograma de notificación de infracciones. Massachusetts exige la notificación "tan pronto como sea posible y sin demora injustificada". El acuerdo de Peabody Properties confirmó que siete meses no es aceptable. Los asesores legales generalmente recomiendan la notificación dentro de los 30 días posteriores a la confirmación, y antes si la infracción involucra números de Seguro Social.
Evalúe a sus proveedores. Su WISP debe abordar a los proveedores de servicios externos. Exija contratos que obliguen a los proveedores a mantener medidas de seguridad adecuadas y a notificarle de inmediato si ocurre una infracción.
Prepárese para la S.2608. Incluso antes de que la S.2608 se convierta en ley, su probable aprobación hace que este sea el momento adecuado para crear inventarios de datos, redactar procedimientos de solicitud del consumidor y evaluar sus prácticas de datos sensibles.
Cómo Ejercen los Residentes de Massachusetts sus Derechos de Privacidad
Bajo la ley actual, los residentes de Massachusetts cuentan con las siguientes vías:
Solicite los resultados de la auditoría de seguridad de datos. Si sospecha que una empresa tiene su información personal, puede contactarla y preguntar si cuenta con un WISP vigente y si ha sufrido alguna infracción que afecte sus datos.
Presente una queja por notificación de infracción. Si una empresa que sufrió una infracción que le afectó no le notificó con prontitud, puede presentar una queja ante la Fiscalía General y la Oficina de Asuntos del Consumidor y Regulación Empresarial.
Envíe una carta de exigencia bajo el Capítulo 93A. Puede enviar una carta de exigencia con un plazo de 30 días a una empresa que, según usted, infringió sus derechos de privacidad de datos bajo el Capítulo 93H o el 201 CMR 17.00. Si la empresa no responde con una oferta razonable, puede presentar una demanda ante el Tribunal Superior.
Congele su crédito. Si su información de cuenta financiera o su número de Seguro Social fueron comprometidos, puede colocar un congelamiento de seguridad con cada una de las principales agencias de crédito sin costo alguno, conforme a la ley federal.
Contacte a la Fiscalía General. La División de Privacidad y Seguridad de Datos acepta quejas e investiga infracciones.
Más Leyes de Massachusetts
- Leyes de Grabación de Reuniones con IA de Massachusetts
- Leyes de Pensión Alimenticia de Massachusetts
- Leyes de Empleo a Voluntad de Massachusetts
- Leyes de Accidentes de Auto de Massachusetts
- Leyes de Asientos de Seguridad para Niños de Massachusetts
- Leyes de Custodia de los Hijos de Massachusetts
- Leyes de Manutención de los Hijos de Massachusetts
- Leyes de Matrimonio de Hecho de Massachusetts
- Leyes de Deepfake de Massachusetts
- Leyes de Divorcio de Massachusetts
- Leyes de Mordedura de Perro de Massachusetts
- Leyes de Emancipación de Massachusetts
- Leyes de Eliminación de Antecedentes de Massachusetts
- Leyes de Atropello y Fuga de Massachusetts
- Leyes de Propietarios e Inquilinos de Massachusetts
- Leyes Limón de Massachusetts
Preguntas frecuentes
¿Tiene Massachusetts una ley integral de privacidad de datos?
No. Massachusetts no cuenta con una ley integral de privacidad de datos del consumidor vigente a partir de mayo de 2026. La Ley de Privacidad de Datos de Massachusetts (S.2608) fue aprobada por el Senado con una votación de 40 a 0 el 25 de septiembre de 2025, y está pendiente de acción en la Cámara de Representantes. Hasta que se convierta en ley, los residentes de Massachusetts no tienen derechos legales de acceso, corrección o eliminación de sus datos personales. El estado protege la información personal mediante leyes sectoriales: 201 CMR 17.00 (seguridad de datos), Capítulo 93H (notificación de infracciones), Capítulo 93I (eliminación de registros), y Capítulo 93A (aplicación de la protección al consumidor).
¿Qué es un WISP y quién lo necesita en Massachusetts?
Un WISP es un Programa Escrito de Seguridad de la Información exigido por el 201 CMR 17.00. Toda persona o empresa que posea o tenga licencia sobre información personal de un residente de Massachusetts debe mantener uno, sin importar dónde esté ubicada la empresa. El WISP debe ser un documento escrito que aborde la evaluación de riesgos, las políticas para empleados, la supervisión de proveedores externos, los controles de acceso físico, y la revisión y actualización periódica. La Fiscalía General y la OCABR inspeccionan el WISP cuando se reporta una infracción. No tener uno, o tener uno que no aborde los elementos requeridos, constituye en sí mismo una infracción sujeta a sanciones bajo el Capítulo 93A.
¿Cuáles son los requisitos de notificación de infracciones de datos de Massachusetts?
Conforme al Capítulo 93H, una empresa debe notificar a la Fiscalía General, a la Oficina de Asuntos del Consumidor y Regulación Empresarial, y a cada residente afectado de Massachusetts tan pronto como sea posible y sin demora injustificada después de descubrir una infracción. El acuerdo con Peabody Properties (agosto de 2025, 795,000 dólares) confirmó que los retrasos de varios meses son ilegales. Si se comprometieron números de Seguro Social, la entidad también debe proporcionar 18 meses de monitoreo de crédito gratuito. La notificación a los residentes debe describir su derecho a presentar un reporte policial e información sobre los congelamientos de crédito.
¿Cuáles son las sanciones por infringir las leyes de privacidad de datos de Massachusetts?
Las infracciones del 201 CMR 17.00 y del Capítulo 93H se aplican a través del Capítulo 93A con sanciones de hasta 5,000 dólares por infracción. La Fiscalía General también puede solicitar medidas cautelares. Los demandantes privados que prueben una infracción intencional pueden recuperar el triple de daños más honorarios de abogado. Para la eliminación indebida de registros bajo el Capítulo 93I, la multa civil es de hasta 100 dólares por sujeto de datos afectado, con un tope de 50,000 dólares por incidente. Las infracciones de interceptación de comunicaciones bajo el Capítulo 272, Sección 99 conllevan sanciones penales de hasta 5 años de prisión estatal y una multa de 10,000 dólares.
¿Se aplica el 201 CMR 17.00 a empresas fuera de Massachusetts?
Sí. Cualquier empresa que posea o tenga licencia sobre información personal de un residente de Massachusetts debe cumplir, sin importar dónde esté ubicada la empresa. Una empresa en otro estado que almacene el nombre y el número de Seguro Social de un solo residente de Massachusetts debe mantener un WISP y cumplir con todos los controles técnicos de la Sección 17.04, incluyendo el cifrado de datos en tránsito y en reposo en dispositivos portátiles, los controles de acceso, la protección de firewall y la capacitación de empleados.
¿Qué significa la Ley TAKE IT DOWN para los residentes de Massachusetts?
La Ley TAKE IT DOWN (Pub. L. 119-12), firmada el 19 de mayo de 2025, es una ley federal que penaliza la publicación consciente de imágenes íntimas no consentidas, incluyendo deepfakes generados por IA. A partir del 19 de mayo de 2026, las plataformas en línea cubiertas deben mantener un proceso de notificación y eliminación, y retirar las imágenes reportadas dentro de las 48 horas. La FTC hace cumplir las obligaciones de las plataformas y puede solicitar sanciones civiles de 53,088 dólares por infracción. Los residentes de Massachusetts que sean víctimas de imágenes íntimas no consentidas pueden recurrir a la ley federal junto con la ley estatal de Massachusetts firmada por la gobernadora Healey en junio de 2024.
¿Qué derechos obtendrían los residentes de Massachusetts bajo la S.2608 si se convierte en ley?
Si la Ley de Privacidad de Datos de Massachusetts (S.2608) se promulga, los residentes obtendrían el derecho a saber qué datos personales se recopilan sobre ellos, acceder a esos datos, corregir inexactitudes, solicitar su eliminación, y optar por no participar en la publicidad dirigida y la venta de datos. El proyecto de ley también prohibiría la venta de categorías de datos sensibles, incluyendo información de atención médica, identificadores biométricos, geolocalización precisa, afiliación religiosa, estatus migratorio, orientación sexual y raza. La venta de cualquier dato personal de menores quedaría totalmente prohibida. La mayoría de las disposiciones entrarían en vigor el 1 de enero de 2027.
¿Cómo reporto una infracción de datos o una violación de privacidad en Massachusetts?
Puede presentar una queja directamente ante la División de Privacidad y Seguridad de Datos de la Fiscalía General de Massachusetts en mass.gov. También puede contactar a la Oficina de Asuntos del Consumidor y Regulación Empresarial, que recibe las notificaciones de infracciones. Si una empresa que sufrió una infracción que le afectó no le notificó, o si considera que una empresa está violando sus derechos de datos bajo el Capítulo 93A, puede enviar una carta de exigencia escrita con un plazo de 30 días antes de presentar una demanda ante el Tribunal Superior. Para infracciones de interceptación de comunicaciones, contacte a la Oficina Criminal de la Fiscalía General.
Fuentes y referencias
- 201 CMR 17.00: Normas para la Protección de Información Personal(mass.gov).gov
- Mass. Gen. Laws ch. 93H - Infracciones de Seguridad(malegislature.gov).gov
- Capítulo 93H, Sección 3 - Deber de Reportar una Infracción de Seguridad Conocida(malegislature.gov).gov
- Capítulo 93H, Sección 3A - Requisitos de Monitoreo de Crédito(malegislature.gov).gov
- Capítulo 93H, Sección 1 - Definiciones(malegislature.gov).gov
- Requisitos para las Notificaciones de Infracciones de Datos(mass.gov).gov
- Capítulo 93A - Ley de Protección al Consumidor(malegislature.gov).gov
- 201 CMR 17.04 - Requisitos de Seguridad de Sistemas Informáticos(law.cornell.edu)
- Ley de Privacidad de Datos de Massachusetts S.2608 - Hoja Informativa(malegislature.gov).gov
- El Senado Aprueba la Ley de Privacidad de Datos de Massachusetts(malegislature.gov).gov
- División de Privacidad y Seguridad de Datos de la Fiscalía General(mass.gov).gov
- Ley de Massachusetts sobre Privacidad(mass.gov).gov
- 940 CMR 27.00: Salvaguarda de Información Personal(mass.gov).gov
- Mass. Gen. Laws ch. 272, Sección 99 - Estatuto de Interceptación de Comunicaciones(malegislature.gov).gov
- Regulaciones de Registros Estudiantiles de Massachusetts 603 CMR 23.00(doe.mass.edu).gov
- Guía sobre las Obligaciones de las Escuelas K-12 para Proteger a los Estudiantes(mass.gov).gov
- Reportar Infracciones de Datos a la Fiscalía General(mass.gov).gov
- Capítulo 93H, Sección 6 - Aplicación(malegislature.gov).gov
- Mass. Gen. Laws ch. 214, Sección 1B - Derecho a la Privacidad(mass.gov).gov
- Informes de Notificación de Infracciones de Datos(mass.gov).gov
- M.G.L. Capítulo 93I: Disposición y Destrucción de Registros(malegislature.gov).gov
- La Fiscal General Campbell Alcanza un Acuerdo de 795,000 Dólares con Peabody Properties por Fallas de Seguridad de Datos y Notificación de Infracciones (agosto de 2025)(mass.gov).gov
- La Fiscal General Campbell Anuncia un Acuerdo de 2.5 Millones de Dólares con Earnest Operations por Violaciones de Protección al Consumidor Relacionadas con IA(mass.gov).gov
- La Gobernadora Healey Firma la Ley que Prohíbe la Pornografía de Venganza y los Deepfakes (20 de junio de 2024)(mass.gov).gov
- FTC: La Aplicación de la Ley TAKE IT DOWN Comienza Ahora (mayo de 2026)(ftc.gov).gov
- Servicio de Investigación del Congreso: La Ley TAKE IT DOWN(congress.gov).gov
- 603 CMR 23.00: Regulaciones de Registros Estudiantiles, Departamento de Educación Primaria y Secundaria de Massachusetts(doe.mass.edu)
- S.43 (SD2204): Ley para Proteger los Datos Biométricos Personales, 194ª Corte General de Massachusetts(malegislature.gov).gov