Massachusetts
Leyes de Notificación de Infracciones de Datos de Massachusetts: Reglas y Plazos de Reporte (2026)

Conforme al Mass. Gen. Laws ch. 93H, Massachusetts exige que las empresas notifiquen a los residentes afectados, a la Fiscalía General y a la Oficina de Asuntos del Consumidor y Regulación Empresarial sobre una infracción de datos tan pronto como sea posible y sin demora injustificada. La ley no establece un número fijo de días.
Massachusetts opera uno de los marcos de infracciones de datos más exigentes de Estados Unidos. A diferencia de los estados que dependen únicamente de reglas de notificación, Massachusetts combina su estatuto de notificación de infracciones, el Mass. Gen. Laws ch. 93H, con una regulación separada, el 201 CMR 17.00, que exige medidas proactivas de seguridad de datos. Juntas, crean una obligación de dos frentes: proteger la información personal antes de que ocurra una infracción, y seguir pasos estrictos de reporte y remediación si ocurre una.
Esta guía cubre quién debe cumplir, qué activa la notificación, los requisitos de reporte, el Programa Escrito de Seguridad de la Información (WISP) obligatorio, las sanciones, y cómo los consumidores pueden buscar compensación. Para el panorama más amplio de privacidad, consulte nuestra guía de Leyes de Privacidad de Datos de Massachusetts.
Quién Debe Cumplir
La ley de notificación de infracciones de Massachusetts se aplica a cualquier persona o agencia que posea o tenga licencia sobre datos que contengan información personal de residentes de Massachusetts. Esto incluye empresas, organizaciones sin fines de lucro, agencias gubernamentales y proveedores de servicios externos. La ley alcanza a entidades ubicadas fuera de Massachusetts si poseen datos de residentes del estado.
Los custodios externos de datos (empresas que mantienen datos en nombre de otra entidad) tienen su propia obligación. Cuando un custodio descubre una infracción o acceso no autorizado, debe notificar de inmediato al propietario o licenciante de los datos. El propietario de los datos asume entonces la responsabilidad de notificar al estado y a las personas afectadas.
Las agencias del poder ejecutivo estatal enfrentan un requisito adicional: también deben notificar a la Oficina Ejecutiva de Servicios y Seguridad Tecnológica y a la División de Registros Públicos.
Qué Activa una Notificación
Definición de una Infracción
Conforme a la Sección 1 del Capítulo 93H, una "infracción de seguridad" significa la adquisición no autorizada o el uso no autorizado de datos no cifrados, o de datos cifrados junto con el proceso o clave confidencial, que genere un riesgo sustancial de robo de identidad o fraude contra un residente de Massachusetts.
La adquisición de buena fe de información personal por parte de un empleado o agente no constituye una infracción, siempre que la información no se utilice indebidamente ni se divulgue a partes no autorizadas.
Información Personal Protegida
El deber de notificación se aplica cuando una infracción involucra el nombre (o la inicial del nombre) y el apellido de un residente combinados con cualquiera de los siguientes:
- Número de Seguro Social
- Número de licencia de conducir o número de tarjeta de identificación emitida por el estado
- Número de cuenta financiera, o número de tarjeta de crédito o débito (con o sin cualquier código de seguridad, código de acceso, PIN o contraseña requeridos que permitan el acceso a la cuenta)
La información disponible públicamente y los registros gubernamentales legalmente accesibles quedan excluidos de esta definición.
Puerto Seguro de Cifrado
Massachusetts proporciona un puerto seguro de cifrado claro. El estatuto define "cifrado" como la transformación de datos mediante un proceso algorítmico de 128 bits o superior en una forma con baja probabilidad de ser legible sin el proceso o clave confidencial. Si los datos comprometidos estaban debidamente cifrados y la clave de cifrado no fue también comprometida, no se requiere notificación.
El Departamento de Asuntos del Consumidor y Regulación Empresarial tiene la autoridad de actualizar el estándar de cifrado mediante regulación a medida que evoluciona la tecnología.
Requisitos de Notificación
Cronograma
Massachusetts exige la notificación "tan pronto como sea posible y sin demora injustificada" después de descubrir una infracción o el uso no autorizado de información personal. El estado no establece un número fijo de días. Los tribunales y los reguladores evalúan la razonabilidad según las circunstancias, incluyendo el alcance de la infracción y la investigación necesaria.

Quién Debe Ser Notificado
Conforme a la Sección 3 del Capítulo 93H, los propietarios o licenciantes de datos deben notificar a tres partes:
- La Fiscalía General de Massachusetts
- El Director de Asuntos del Consumidor y Regulación Empresarial (OCABR)
- Cada residente afectado de Massachusetts
El director de la OCABR también identifica a las agencias de informes de crédito al consumidor relevantes y a las agencias estatales que deben recibir la notificación. La entidad infractora es responsable de notificar a esas agencias adicionales.
Qué Debe Incluir la Notificación a la Fiscalía General y a la OCABR
La notificación a la Fiscalía General y a la OCABR debe contener información detallada, incluyendo:
- La naturaleza de la infracción o adquisición/uso no autorizado
- El número de residentes de Massachusetts afectados al momento de la notificación
- El nombre y la dirección de la persona o agencia que sufrió la infracción
- El nombre, el cargo y la relación de la persona que reporta la infracción
- El tipo de persona o agencia que reporta
- La parte responsable de la infracción, si se conoce
- Los tipos de información personal comprometida (SSN, licencia de conducir, números de cuenta financiera, etc.)
- Si la entidad mantiene un Programa Escrito de Seguridad de la Información (WISP)
- Los pasos que la entidad ha tomado o planea tomar en respuesta al incidente
Si la entidad afectada tiene una corporación matriz o afiliada, esa información también debe divulgarse.
Qué Debe Incluir la Notificación al Consumidor
La notificación a los residentes afectados debe incluir:
- El derecho del residente a obtener un reporte policial
- Cómo solicitar un congelamiento de seguridad, y una declaración de que los congelamientos de seguridad son gratuitos
- Información sobre los servicios de mitigación que se ofrecen
Es importante señalar que la notificación al consumidor no debe incluir la naturaleza de la infracción ni el número de residentes afectados. Esta restricción evita que los detalles lleguen a posibles actores maliciosos a través de notificaciones masivas.
Métodos de Notificación
La notificación puede proporcionarse por escrito, de forma electrónica (si la entidad tiene una relación electrónica previa con el residente), o mediante notificación sustituta. La notificación sustituta se permite cuando el costo de la notificación directa supera los 250,000 dólares, la clase afectada supera los 500,000 residentes, o la entidad carece de suficiente información de contacto. La notificación sustituta requiere notificación por correo electrónico (si hay direcciones disponibles), publicación visible en el sitio web, y notificación a través de los principales medios de comunicación estatales.
Requisito de Publicación Pública
La OCABR debe publicar en su sitio web cartas de muestra de notificación al consumidor dentro de un día hábil después de recibirlas. Los reportes de infracciones se actualizan dentro de diez días hábiles.

Monitoreo de Crédito para Infracciones de SSN
Cuando una infracción incluye números de Seguro Social, la Sección 3A impone requisitos adicionales que van más allá de la notificación estándar.
La entidad afectada debe contratar a un proveedor externo para ofrecer servicios de monitoreo de crédito gratuitos a cada residente afectado de Massachusetts por al menos 18 meses. Si la entidad afectada es una agencia de informes de crédito al consumidor, el período mínimo de monitoreo se extiende a 42 meses.
El acuerdo de monitoreo de crédito viene con protecciones estrictas al consumidor:
- El contrato no puede incluir acuerdos de servicio recíprocos ni tarifas cobradas a los residentes afectados
- El proveedor debe suministrar toda la información de inscripción necesaria para activar la cobertura
- Se debe incluir información sobre cómo colocar un congelamiento de seguridad en el informe de crédito
- No se puede exigir a los residentes que renuncien a su derecho de acción privada como condición para aceptar el monitoreo de crédito
La entidad afectada debe presentar una certificación tanto a la Fiscalía General como a la OCABR confirmando que sus servicios de monitoreo de crédito cumplen con la Sección 3A.

Requisitos del Programa Escrito de Seguridad de la Información (WISP)
Massachusetts destaca a nivel nacional por exigir medidas proactivas de seguridad de datos, no solo una respuesta a infracciones. El 201 CMR 17.00, emitido bajo la autoridad del Capítulo 93H, Sección 2, exige que toda persona o entidad que posea o tenga licencia sobre información personal de residentes de Massachusetts desarrolle, implemente y mantenga un Programa Escrito de Seguridad de la Información integral.
El WISP debe ser proporcional al tamaño, alcance, recursos disponibles y volumen de datos almacenados de la organización, así como a la sensibilidad de la información involucrada.
Salvaguardas Administrativas
Conforme al 201 CMR 17.03, el WISP debe abordar:
- Coordinador de seguridad designado. Uno o más empleados deben ser asignados para mantener y supervisar el WISP.
- Evaluación de riesgos. La entidad debe identificar y evaluar los riesgos internos y externos razonablemente previsibles para la seguridad, confidencialidad e integridad de los registros de información personal.
- Capacitación de empleados. Capacitación continua para todos los empleados, incluyendo trabajadores temporales y contratistas, sobre las políticas de seguridad y el manejo adecuado de la información personal.
- Supervisión del cumplimiento. Revisión regular del cumplimiento de los empleados con el WISP.
- Políticas de seguridad para registros fuera de las instalaciones. Reglas que rigen cómo los empleados almacenan, acceden y transportan los registros fuera de las instalaciones comerciales.
- Medidas disciplinarias. Consecuencias para los empleados que infrinjan el WISP.
- Acceso de empleados despedidos. Procedimientos para evitar que exempleados accedan a la información personal.
- Gestión de proveedores. Los proveedores de servicios externos deben estar obligados contractualmente a implementar y mantener medidas de seguridad adecuadas. Las entidades deben seleccionar proveedores capaces de mantener estas protecciones.
- Salvaguardas físicas. Restricciones razonables al acceso físico a los registros, incluyendo instalaciones, áreas de almacenamiento o contenedores cerrados con llave.
- Revisión anual. Las medidas de seguridad deben revisarse al menos anualmente, o cada vez que ocurra un cambio material en las prácticas comerciales que afecte la seguridad de la información personal.
- Respuesta a incidentes. Documentación de las acciones de respuesta tomadas después de un incidente de infracción, incluyendo una revisión posterior al incidente obligatoria.
Salvaguardas Técnicas
Conforme al 201 CMR 17.04, las entidades que almacenan o transmiten información personal electrónicamente deben implementar requisitos específicos de seguridad de sistemas informáticos:
- Protocolos de autenticación segura. Control de identificadores de usuario, métodos razonablemente seguros de asignación de contraseñas, o uso de biometría o dispositivos token. Las contraseñas deben almacenarse de forma segura, el acceso debe limitarse a usuarios activos, y las cuentas deben bloquearse después de intentos fallidos repetidos de inicio de sesión.
- Control de acceso. Restringir el acceso a la información personal a quienes lo necesiten para sus funciones laborales. Todos los usuarios deben tener identificaciones y contraseñas únicas (no predeterminadas por el proveedor).
- Cifrado. Todos los registros y archivos que contengan información personal deben cifrarse cuando se transmitan a través de redes públicas, se transmitan de forma inalámbrica, o se almacenen en laptops y dispositivos portátiles.
- Supervisión de sistemas. Supervisión razonable para detectar el uso o acceso no autorizado a la información personal.
- Firewalls y parches. Protección de firewall y parches de seguridad del sistema operativo razonablemente actualizados para sistemas conectados a internet.
- Protección contra malware. Software de seguridad actualizado con protección contra malware y parches y definiciones de virus razonablemente actualizados.
- Educación de empleados. Capacitación del personal sobre el uso adecuado del sistema y la importancia de la seguridad de la información personal.
Retraso para Investigaciones de las Fuerzas del Orden
Conforme a la Sección 4 del Capítulo 93H, la notificación puede retrasarse si una agencia de las fuerzas del orden determina que la notificación impediría una investigación criminal. La entidad debe cooperar con la agencia investigadora y proporcionar la notificación tan pronto como el retraso ya no sea necesario.

Sanciones y Aplicación de la Ley
Aplicación por la Fiscalía General
La Sección 6 del Capítulo 93H autoriza a la Fiscalía General de Massachusetts a iniciar una acción conforme a la Sección 4 del Capítulo 93A para remediar infracciones. Esto significa que cada infracción de notificación se trata como una práctica desleal o engañosa bajo la ley de protección al consumidor de Massachusetts.
La Fiscalía General puede solicitar:
- Medidas cautelares para detener infracciones en curso
- Sanciones civiles de hasta 5,000 dólares por infracción
- Costos de investigación y litigio, incluyendo honorarios razonables de abogado
Dado que una sola infracción de datos puede afectar a miles de residentes, y cada falla en notificar puede constituir una infracción separada, la exposición total a sanciones puede ser sustancial.
Derecho de Acción Privada
Massachusetts es uno de los pocos estados que permite a las personas presentar demandas privadas por infracciones de notificación. A través del Capítulo 93A, los consumidores pueden presentar reclamos civiles contra entidades que no cumplan con el Capítulo 93H.
Características clave del derecho de acción privada:
- Carta de exigencia previa a la demanda. Antes de presentar una demanda, el consumidor debe enviar una carta de exigencia a la empresa. La empresa tiene 30 días para responder con una oferta razonable de acuerdo.
- Daños triplicados. Si el tribunal determina que la infracción fue intencional o con conocimiento de causa, los daños pueden duplicarse o triplicarse bajo el Capítulo 93A.
- Honorarios de abogado y costos. Los demandantes que prevalecen pueden recuperar honorarios razonables de abogado y costos de litigio.
- Plazo de prescripción. Los reclamos bajo el Capítulo 93A deben presentarse dentro de los cuatro años posteriores a la infracción.
Esta combinación de aplicación por la Fiscalía General y demandas privadas convierte a Massachusetts en uno de los estados de mayor riesgo para las entidades que no cumplen con los requisitos de notificación de infracciones.
Actividad Reciente de Aplicación
Massachusetts ha perseguido activamente acciones de aplicación. En agosto de 2025, la fiscal general Campbell alcanzó un acuerdo de 795,000 dólares con una empresa de administración de propiedades por notificación de infracción tardía y por no implementar las medidas de seguridad requeridas. El estado también ha participado en importantes acuerdos multiestatales, incluyendo una recuperación de 16 millones de dólares de Experian y T-Mobile y un acuerdo multiestatal de 39.5 millones de dólares con una compañía de seguros nacional.
Preferencia Federal y Otras Leyes
La Sección 5 del Capítulo 93H aborda cómo la ley estatal interactúa con otros marcos legales. Las entidades sujetas al Título V de la Ley Gramm-Leach-Bliley (GLBA) que mantienen procedimientos de seguridad bajo directrices federales se consideran en cumplimiento con los requisitos del WISP del 201 CMR 17.00, aunque aún deben cumplir con las disposiciones de notificación del Capítulo 93H.
El Capítulo 93H no limita ningún derecho que un consumidor pueda tener bajo cualquier otra ley estatal o federal.
Cómo se Compara Massachusetts con Otros Estados
Massachusetts tiene uno de los marcos combinados de seguridad de datos y notificación de infracciones más sólidos del país. Varias características lo distinguen:
- WISP obligatorio. La mayoría de los estados solo exigen la notificación de infracciones. Massachusetts también exige programas proactivos de seguridad con salvaguardas administrativas, técnicas y físicas específicas.
- Notificación dual a agencias. Tanto la Fiscalía General como la OCABR deben ser notificadas, junto con agencias adicionales identificadas por el director de la OCABR.
- 18 meses de monitoreo de crédito. Muchos estados no exigen monitoreo de crédito en absoluto. Massachusetts lo exige para infracciones de SSN, con un período extendido de 42 meses para las agencias de informes de crédito al consumidor.
- Derecho de acción privada con daños triplicados. A través del Capítulo 93A, los consumidores pueden demandar directamente y recuperar hasta el triple de sus daños por infracciones intencionales o con conocimiento de causa.
- Estándar de cifrado de 128 bits. Massachusetts define un umbral específico de cifrado en su estatuto, proporcionando una guía clara de cumplimiento.
Más Leyes de Massachusetts
- Leyes de Grabación de Reuniones con IA de Massachusetts
- Leyes de Pensión Alimenticia de Massachusetts
- Leyes de Empleo a Voluntad de Massachusetts
- Leyes de Accidentes de Auto de Massachusetts
- Leyes de Asientos de Seguridad para Niños de Massachusetts
- Leyes de Custodia de los Hijos de Massachusetts
- Leyes de Manutención de los Hijos de Massachusetts
- Leyes de Matrimonio de Hecho de Massachusetts
- Leyes de Deepfake de Massachusetts
- Leyes de Divorcio de Massachusetts
- Leyes de Mordedura de Perro de Massachusetts
- Leyes de Emancipación de Massachusetts
- Leyes de Eliminación de Antecedentes de Massachusetts
- Leyes de Atropello y Fuga de Massachusetts
- Leyes de Propietarios e Inquilinos de Massachusetts
- Leyes Limón de Massachusetts
Este artículo proporciona información legal general sobre las leyes de privacidad de datos de Massachusetts y los requisitos de notificación de infracciones. No constituye asesoría legal ni crea una relación abogado-cliente. La respuesta a infracciones de datos implica obligaciones sensibles al tiempo. Consulte a un abogado calificado con licencia en Massachusetts para obtener orientación sobre su situación específica.
¿Afectado por una filtración de datos o una violación de privacidad biométrica?
Si sus datos personales quedaron expuestos en una filtración, o si su huella dactilar o escaneo facial se recopiló sin su consentimiento, podría ser elegible para unirse a un reclamo por compensación. Averígüelo gratis y sin compromiso.
Fuentes y referencias
- Mass. Gen. Laws ch. 93H - Infracciones de Seguridad(malegislature.gov).gov
- Capítulo 93H Sección 1 - Definiciones(malegislature.gov).gov
- Capítulo 93H Sección 3 - Deber de Reportar(malegislature.gov).gov
- Capítulo 93H Sección 3A - Monitoreo de Crédito por Infracción de SSN(malegislature.gov).gov
- 201 CMR 17.00 - Normas del WISP(mass.gov).gov
- 201 CMR 17.03 - Normas del Deber de Proteger(law.cornell.edu)
- 201 CMR 17.04 - Requisitos de Seguridad de Sistemas Informáticos(law.cornell.edu)
- Fiscalía General de MA - Reportar Infracciones de Datos(mass.gov).gov
- OCABR - Reportar Infracciones de Datos(mass.gov).gov
- Acuerdo de 795,000 Dólares de la Fiscal General Campbell (2025)(mass.gov).gov
- Acuerdo de 16 Millones de Dólares de la Fiscal General Healey con Experian/T-Mobile(mass.gov).gov
- Acuerdo de 39.5 Millones de Dólares de la Fiscal General Healey con Compañía de Seguros(mass.gov).gov