Michigan
Leyes de Privacidad de Datos de Michigan: Derechos y Protecciones del Consumidor (2026)

Michigan no cuenta con una ley integral de privacidad de datos del consumidor. La Ley de Protección contra el Robo de Identidad (MCL 445.61 a 445.79c) exige la notificación de infracciones, la Ley de Privacidad del Número de Seguro Social (MCL 445.81 a 445.85) restringe el uso del SSN, y la Ley de Seguridad de Datos de Seguros (MCL 500.550 a 500.565) se aplica a los licenciatarios de seguros.
Michigan protege la información personal mediante un mosaico de estatutos específicos en lugar de una única ley integral de privacidad. La Ley de Protección contra el Robo de Identidad rige la notificación de infracciones de datos. La Ley de Privacidad del Número de Seguro Social limita cómo las empresas manejan los SSN. La Ley de Seguridad de Datos de Seguros impone mandatos de ciberseguridad a todos los licenciatarios de seguros del estado. Varias leyes sectoriales adicionales cubren los registros estudiantiles, las cuentas de internet de los empleados y los registros de préstamos de biblioteca.
El panorama legislativo está en movimiento. El Proyecto de Ley del Senado 359 crearía el primer marco integral de privacidad de datos del consumidor de Michigan, con derechos de acceso, corrección, eliminación y exclusión, pero el proyecto de ley permaneció en el Comité Plenario del Senado a partir de junio de 2025 y no ha sido aprobado por ninguna de las cámaras. Los Proyectos de Ley del Senado 360 a 364, que modernizarían la ley de notificación de infracciones y exigirían la notificación a la Fiscalía General para infracciones grandes, fueron aprobados por el Senado en agosto de 2025 y se encuentran en el Comité de Operaciones Gubernamentales de la Cámara.
Superpuestas a toda la ley estatal hay varias leyes federales, incluyendo HIPAA, GLBA, COPPA, FCRA y la recientemente vigente Ley TAKE IT DOWN, que en conjunto proporcionan protecciones de privacidad de referencia para los residentes de Michigan sin importar lo que haga a continuación la legislatura estatal.
Esta guía cubre todas las principales leyes de privacidad de datos de Michigan actualmente vigentes, la legislación pendiente que avanza en la legislatura, sus derechos como consumidor de Michigan, y lo que las empresas que operan en Michigan deben hacer para cumplir.
Ley de Protección contra el Robo de Identidad de Michigan
La Ley de Protección contra el Robo de Identidad, promulgada como la Ley 452 de 2004 y codificada en MCL 445.61 a 445.79c, es la principal ley de notificación de infracciones de datos de Michigan. Establece la base de cómo las empresas y las agencias gubernamentales deben manejar las infracciones de seguridad que involucran información personal.

Qué Activa una Notificación de Infracción
Conforme al MCL 445.72, cualquier persona o agencia que posea o tenga licencia sobre datos en una base de datos debe notificar a los residentes afectados de Michigan cuando ocurre una infracción de seguridad. Se requiere la notificación cuando la información personal no cifrada y no redactada de un residente fue accedida y adquirida por una persona no autorizada, o cuando la información personal cifrada fue accedida por alguien con acceso no autorizado a la clave de cifrado.
La ley define una "infracción de seguridad" como el acceso y la adquisición no autorizados de datos que comprometen la seguridad o confidencialidad de información personal mantenida como parte de una base de datos sobre múltiples personas.
Qué Cuenta como Información Personal
La ITPA define "información personal" bajo el MCL 445.63 como el nombre o la inicial del nombre y el apellido de una persona vinculados con uno o más de los siguientes:
- Número de Seguro Social
- Número de licencia de conducir o número de tarjeta de identificación personal estatal
- Número de cuenta de depósito a la vista u otra cuenta financiera, combinado con un código de seguridad, código de acceso o contraseña que permita el acceso a la cuenta
La definición actualmente cubre la información personal computarizada. Las enmiendas propuestas en el SB 360-364 ampliarían esto a la información personal en cualquier medio y añadirían los números de pasaporte y los registros de atención médica identificables individualmente como categorías protegidas.
Requisitos de Notificación
Las empresas y agencias deben proporcionar la notificación de infracción "sin demora injustificada". La ley no establece un número específico de días; el estándar es el cuidado que ejercería una persona razonablemente prudente en circunstancias similares. Después de notificar a las personas afectadas, las entidades también deben notificar a cada agencia de informes de crédito al consumidor a nivel nacional sobre la infracción sin demora injustificada, incluyendo el número de notificaciones enviadas.
Aplica una excepción. Si una persona o agencia determina que la infracción no ha causado ni es probable que cause una pérdida o daño sustancial, ni resulte en robo de identidad respecto a uno o más residentes de Michigan, no se requiere notificación.
Sanciones por Incumplimiento
Una persona o agencia que a sabiendas no proporcione la notificación de infracción requerida enfrenta multas civiles de hasta 250 dólares por cada incumplimiento de notificación. La responsabilidad total por multas civiles derivadas de una sola infracción de seguridad tiene un tope de 750,000 dólares. Estas multas son aplicadas por la Fiscalía General de Michigan.
Requisitos de Destrucción de Datos
El MCL 445.72a exige que cualquier persona o agencia que mantenga una base de datos que contenga información personal destruya esos datos cuando se eliminen de la base de datos y no se conserven en otro lugar para un fin legítimo. "Destruir" significa triturar, borrar o modificar de otra manera los datos de manera que no puedan leerse, descifrarse ni reconstruirse mediante medios generalmente disponibles. Una infracción intencional es un delito menor sancionable con una multa de hasta 250 dólares por infracción. Las entidades que cumplen con requisitos federales equivalentes de eliminación de datos se consideran en cumplimiento con esta disposición.
Enmiendas Propuestas a la ITPA: SB 360-364
El Senado de Michigan presentó los Proyectos de Ley del Senado 360 a 364 en 2025 para modernizar la Ley de Protección contra el Robo de Identidad. El Senado aprobó los cinco proyectos de ley el 26 de agosto de 2025, y fueron remitidos al Comité de Operaciones Gubernamentales de la Cámara, donde permanecen pendientes a partir de mayo de 2026.
Los proyectos de ley exigirían que las entidades privadas y estatales con acceso a la información personal de residentes de Michigan mantengan procedimientos de seguridad por escrito, incluyendo la asignación de un coordinador de seguridad. Para infracciones que afecten a más de 100 residentes de Michigan, las entidades estarían obligadas a notificar a la Fiscalía General además de a las personas afectadas. La definición ampliada de información personal añadiría los números de pasaporte y los registros de atención médica. El SB 361 al 364 están vinculados al SB 360, lo que significa que los cinco proyectos de ley deben aprobarse juntos.
Ley de Privacidad del Número de Seguro Social
La Ley de Privacidad del Número de Seguro Social, promulgada como la Ley 454 de 2004 y codificada en MCL 445.81 a 445.85, protege específicamente la privacidad del SSN en Michigan.
Acciones Prohibidas
Ninguna persona puede intencionalmente:
- Mostrar públicamente todos o más de cuatro dígitos secuenciales de un número de Seguro Social
- Usar todos o más de cuatro dígitos secuenciales de un SSN como número de cuenta principal de una persona
- Imprimir de forma visible todos o más de cuatro dígitos secuenciales de un SSN en cualquier gafete de identificación, tarjeta, tarjeta de membresía, permiso o licencia
Políticas de Privacidad Requeridas
Desde el 1 de enero de 2006, cualquier persona que obtenga uno o más números de Seguro Social en el curso ordinario de su negocio debe crear una política de privacidad por escrito que garantice la confidencialidad del SSN, prohíba su divulgación ilegal, limite el acceso a los documentos que contengan el SSN y describa métodos adecuados de eliminación.
Exención de Registros Públicos
Todos o más de cuatro dígitos secuenciales de un SSN contenidos en un registro público están exentos de divulgación bajo la Ley de Libertad de Información de Michigan (MCL 15.231 y siguientes). La Sección 13(1)(a) de la FOIA de Michigan, codificada en MCL 15.243, proporciona una exención de privacidad más amplia para cualquier información de naturaleza personal cuya divulgación pública constituiría una invasión claramente injustificada de la privacidad.
Sanciones
Una persona que infrinja la Ley de Privacidad del SSN a sabiendas de que su conducta viola la ley es culpable de un delito menor sancionable con prisión de hasta 93 días, una multa de hasta 1,000 dólares, o ambas.
Ley de Seguridad de Datos de Seguros de Michigan
Michigan promulgó la Ley de Seguridad de Datos de Seguros, codificada en MCL 500.550 a 500.565 como el Capítulo 5A del Código de Seguros de 1956 (Ley 218), el 28 de diciembre de 2018. La ley entró en vigor el 20 de enero de 2021. Está basada en la Ley Modelo de Seguridad de Datos de Seguros de la NAIC de 2017 y se aplica a todos los licenciatarios de seguros en Michigan.

A Quién Cubre
La ley se aplica a todas las personas licenciadas bajo el Código de Seguros de Michigan, incluyendo aseguradoras, productores, ajustadores, administradores externos y cualquier otra entidad de seguros licenciada que haga negocios en Michigan.
Requisitos del Programa de Seguridad de la Información
Cada licenciatario debe desarrollar, implementar y mantener un programa escrito integral de seguridad de la información (WISP) basado en su propia evaluación de riesgos. El WISP debe:
- Identificar amenazas internas y externas razonablemente previsibles a la información no pública
- Evaluar la probabilidad y el daño potencial de esas amenazas
- Evaluar la suficiencia de las salvaguardas existentes
- Establecer y mantener salvaguardas para controlar los riesgos identificados
Los licenciatarios también deben realizar una certificación anual de cumplimiento ante el Departamento de Seguros y Servicios Financieros (DIFS).
Reporte de Eventos de Ciberseguridad
Cuando un licenciatario determina que ha ocurrido un evento de ciberseguridad que involucra información no pública, debe notificar al Director del DIFS lo más pronto posible, pero a más tardar 10 días hábiles después de la determinación. Este plazo de 10 días es más estricto que el estándar general de notificación de infracciones bajo la ITPA, que utiliza "sin demora injustificada".
Los licenciatarios también deben notificar a las personas afectadas y, en ciertas circunstancias, a otros reguladores en los estados donde residen las personas afectadas.
Exenciones
Los licenciatarios con menos de 25 empleados, menos de 5 millones de dólares en ingresos brutos anuales y menos de 10 millones de dólares en activos totales a fin de año están exentos del requisito del WISP, aunque siguen sujetos a obligaciones básicas de ciberseguridad.
Ley de Protección al Consumidor de Michigan
La Ley de Protección al Consumidor de Michigan (MCPA), Ley 331 de 1976, codificada en MCL 445.901 a 445.922, sirve como herramienta general de aplicación para las infracciones de privacidad de datos. Aunque no es un estatuto de privacidad independiente, su amplia prohibición contra las prácticas comerciales desleales, injustas o engañosas otorga a la Fiscalía General la autoridad de perseguir a las empresas que manejan indebidamente los datos personales.
El MCL 445.903 incluye protecciones de privacidad específicas. La ley prohíbe exigir a un consumidor que divulgue su SSN como condición para vender o arrendar bienes o prestar servicios, excepto en circunstancias específicas. La Fiscalía General ha utilizado la MCPA junto con estatutos federales en acciones de aplicación contra empresas tecnológicas.
Los consumidores pueden presentar demandas privadas bajo la MCPA para recuperar daños reales o 250 dólares, lo que sea mayor, más honorarios razonables de abogado. La Fiscalía General puede solicitar medidas cautelares, multas civiles y restitución.
La Ley de Privacidad de Datos Personales Propuesta (SB 359)

La legislación de privacidad de datos pendiente más importante en Michigan es el Proyecto de Ley del Senado 359, presentado el 5 de junio de 2025 y remitido al Comité de Finanzas, Seguros y Protección al Consumidor del Senado. El comité lo reportó favorablemente el 11 de junio de 2025 y lo remitió al Comité Plenario, donde permaneció a partir de junio de 2025. El proyecto de ley no ha sido aprobado por ninguna de las cámaras.
El SB 359 es una reintroducción del Proyecto de Ley del Senado 659 de la sesión 2023-2024, que fue aprobado por el Senado pero no avanzó en la Cámara. Ambas cámaras necesitarían aprobar el proyecto de ley y el gobernador tendría que firmarlo antes de que se convierta en ley.
A Quién Cubriría
El SB 359 se aplicaría a entidades que hacen negocios en Michigan o producen productos o servicios dirigidos a residentes de Michigan, y que durante un año calendario controlan o procesan datos personales de 100,000 o más consumidores, o controlan o procesan datos personales de 25,000 o más consumidores y obtienen algún ingreso de la venta de datos personales.
Derechos del Consumidor Bajo el SB 359
Si se promulga, el proyecto de ley otorgaría a los residentes de Michigan los siguientes derechos sobre sus datos personales:
- Derecho a confirmar si una empresa está procesando sus datos personales
- Derecho a acceder a sus datos personales en poder de una empresa
- Derecho a corregir inexactitudes en sus datos personales
- Derecho a eliminar sus datos personales
- Derecho a obtener una copia portátil de sus datos
- Derecho a optar por no participar en el procesamiento para publicidad dirigida
- Derecho a optar por no participar en la venta de datos personales
- Derecho a optar por no participar en la elaboración de perfiles que produzcan efectos legales o significativamente similares
El proyecto de ley también exigiría que las empresas respeten las señales de preferencia de exclusión, como el Control de Privacidad Global, cuando se envíen con el consentimiento de un consumidor.
Requisitos de Consentimiento
Los recolectores necesitarían obtener el consentimiento de los consumidores antes de procesar sus datos personales y proporcionar un aviso de privacidad explicando el propósito de ese procesamiento.
Registro de Corredores de Datos
El proyecto de ley crearía un registro público de corredores de datos, definidos como entidades que a sabiendas recopilan y venden o licencian datos personales sobre consumidores con quienes no tienen relación directa. Los corredores de datos estarían obligados a registrarse anualmente ante la Fiscalía General a partir del 1 de febrero de 2026 (una fecha que ya pasó; cualquier versión final promulgada probablemente adelantaría este plazo).
Aplicación
El SB 359 sería aplicado exclusivamente por la Fiscalía General de Michigan. No habría derecho de acción privada.
Ley de Protección de Privacidad de Internet
La Ley de Protección de Privacidad de Internet de Michigan, promulgada como la Ley 478 de 2012, protege a los empleados y solicitantes de empleo de tener que compartir sus credenciales personales de cuentas de redes sociales e internet.
La ley prohíbe a los empleadores solicitar o exigir a un empleado o solicitante de empleo que otorgue acceso a, permita la observación de, o divulgue información de inicio de sesión para cuentas personales de internet. Los empleadores conservan el derecho de monitorear la actividad en dispositivos y redes propiedad del empleador, ver información disponible públicamente e investigar reportes específicos y creíbles de conducta indebida relacionada con el trabajo que involucre cuentas personales.
Ley del Código para Menores de Michigan (Pendiente)
El Senado de Michigan aprobó el Proyecto de Ley del Senado 758, la Ley del Código para Menores, y el proyecto de ley pasó a la Cámara para su consideración. Si se promulga, entraría en vigor el 1 de julio de 2026.
El SB 758 está vinculado al Proyecto de Ley del Senado 759 y se aplicaría a los proveedores de servicios en línea cubiertos con más de 25 millones de dólares en ingresos anuales o más de 50,000 usuarios de Michigan. Las entidades cubiertas tendrían prohibido usar funciones de diseño adictivo como el desplazamiento infinito, la reproducción automática de videos o la gamificación para fomentar el uso excesivo por parte de menores. El proyecto de ley también restringiría la recopilación de datos biométricos de menores, prohibiría el uso de patrones oscuros para manipular a los niños, y exigiría la verificación de edad cuando el proveedor tenga conocimiento real de que un usuario es menor de 13 años. Se prohibiría la publicidad dirigida a menores.
A partir de mayo de 2026, el SB 758 está pendiente en la Cámara de Michigan. No ha sido promulgado.
Protecciones de Privacidad de Datos Estudiantiles
Michigan ha promulgado protecciones específicas para los datos estudiantiles que complementan los requisitos federales bajo la FERPA.

Ley de Protección de la Privacidad Personal en Línea del Estudiante
La Ley de Protección de la Privacidad Personal en Línea del Estudiante, Ley 368 de 2016, regula a los operadores de sitios web, servicios en línea y aplicaciones utilizados para fines escolares de K-12. Cubre la información estudiantil personalmente identificable, incluyendo registros educativos, información de contacto, registros disciplinarios, resultados de exámenes, datos de educación especial y calificaciones.
Ley de Protección de la Privacidad del Alumno
El MCL 380.1136 prohíbe a los distritos escolares, distritos escolares intermedios, academias de escuelas públicas, organizaciones de gestión educativa y organismos autorizadores vender o proporcionar información personalmente identificable de los registros educativos del alumno a entidades comerciales con fines de lucro.
Cumplimiento Estatal de la FERPA
Michigan promulgó la Ley Pública 88 de 2000, que exige que los organismos públicos eximan de divulgación cualquier información que les impida cumplir con la FERPA. El Departamento de Educación de Michigan y el Centro para el Desempeño Educativo e Información mantienen marcos estrictos de gobernanza de datos para proteger los registros estudiantiles.
Ley de Preservación de la Privacidad Personal
La Ley de Preservación de la Privacidad Personal, Ley 378 de 1988, codificada en MCL 445.1711 a 445.1715, protege la privacidad de los registros relacionados con la compra, alquiler o préstamo de libros, materiales escritos, grabaciones de sonido y grabaciones de video.
Esta ley prohíbe la divulgación de la identificación del cliente vinculada a estos materiales, con excepciones para el cobro de pagos en cuentas vencidas (después de aviso por escrito), actividades incidentales al curso ordinario del negocio, y fines de marketing cuando se proporciona aviso por escrito. Una persona que infrinja esta ley puede ser responsable en una acción civil por daños reales.
Leyes Federales Aplicables en Michigan
Debido a que Michigan carece de una ley estatal integral de privacidad, varias leyes federales proporcionan protecciones importantes de referencia para los residentes de Michigan.

HIPAA
La Ley de Portabilidad y Responsabilidad del Seguro Médico protege la información de salud en poder de entidades cubiertas, incluyendo proveedores de atención médica, planes de salud e intermediarios de atención médica. El Departamento de Salud y Servicios Humanos de Michigan implementa la HIPAA a nivel estatal. Michigan complementa la HIPAA con protecciones estatales adicionales para los registros de salud conductual y tratamiento de trastornos por uso de sustancias, que requieren un consentimiento separado para la divulgación más allá de los fines de tratamiento, pago y coordinación de la atención.
Ley TAKE IT DOWN (Vigente desde el 19 de mayo de 2026)
La Ley TAKE IT DOWN, Pub. L. 119-12, se promulgó el 19 de mayo de 2025. Su prohibición penal de publicar imágenes íntimas no consentidas (NCII), incluyendo deepfakes generados por IA, entró en vigor de inmediato. Las obligaciones de eliminación de las plataformas entraron en vigor el 19 de mayo de 2026: las plataformas en línea cubiertas deben implementar un sistema que permita a las personas solicitar la eliminación de NCII, y deben eliminar el contenido reportado y las copias idénticas conocidas dentro de las 48 horas. La Comisión Federal de Comercio tiene la autoridad de hacer cumplir estas obligaciones de las plataformas. La fiscal general de Michigan, Nessel, junto con otros 35 fiscales generales, envió una carta el 26 de enero de 2026 a xAI exigiendo que desactive la capacidad de Grok de producir imágenes íntimas no consentidas y material de abuso sexual infantil, citando las obligaciones federales pendientes.
COPPA
La Ley de Protección de la Privacidad Infantil en Línea restringe la recopilación de información personal de niños menores de 13 años por parte de sitios web y servicios en línea. La Fiscalía General de Michigan ha invocado activamente la COPPA en acciones de aplicación, incluyendo la demanda en curso contra Roku (analizada más adelante).
Ley Gramm-Leach-Bliley
La Ley GLB exige que las instituciones financieras expliquen sus prácticas de intercambio de información y protejan los datos sensibles. Los bancos, cooperativas de crédito, compañías de seguros y otros proveedores de servicios financieros con sede en Michigan deben cumplir con los requisitos de privacidad y salvaguarda de la GLB.
FCRA y FACTA
La Ley de Informe Justo de Crédito y su enmienda, la FACTA, regulan la recopilación y el uso de la información de los informes de consumidor. La FTC hace cumplir la FCRA contra las agencias de informes de crédito al consumidor y los usuarios de informes de consumidor que operan en Michigan.
APRA (No Aprobada)
La Ley de Derechos de Privacidad Estadounidense se presentó como un borrador federal bicameral en 2024. No se convirtió en ley. A partir de mayo de 2026, no se ha promulgado ningún proyecto de ley sucesor federal integral de privacidad.
Acciones Recientes de Aplicación
Demanda contra Roku: Reclamos No Relacionados con COPPA Desestimados (abril de 2026)
La fiscal general Dana Nessel presentó una demanda contra Roku, Inc. ante el Tribunal de Distrito de Estados Unidos para el Distrito Este de Michigan en abril de 2025, alegando que la plataforma de transmisión violó la COPPA y la Ley de Protección al Consumidor de Michigan al recopilar información personal de menores sin el consentimiento parental requerido. En abril de 2026, el tribunal federal redujo considerablemente el caso. El tribunal desestimó todos los reclamos no relacionados con la COPPA, incluyendo los reclamos bajo la VPPA y de protección al consumidor estatal, por falta de legitimación, al determinar que la Fiscalía General no tenía un interés cuasi soberano suficiente para respaldar la legitimación de parens patriae en esos reclamos. Los reclamos de COPPA sobrevivieron porque la COPPA incluye una disposición expresa de parens patriae que autoriza la aplicación estatal.
Alertas de Infracciones de Datos de Salud (2025-2026)
La fiscal general Nessel ha emitido múltiples alertas al consumidor sobre infracciones importantes que afectan a los residentes de Michigan, incluyendo incidentes que involucran a McLaren Health Care, Change Healthcare, Ascension Healthcare, AT&T y Munson Healthcare en Traverse City.
Coalición Multiestatal contra xAI (enero de 2026)
El 26 de enero de 2026, la fiscal general Nessel se unió a otros 35 fiscales generales para exigir acción a xAI por la generación de Grok de imágenes íntimas no consentidas y material de abuso sexual infantil. La carta exigió que xAI desactivara de inmediato esa capacidad, eliminara el contenido existente y reportara el contenido ilegal a las autoridades.
Cómo Presentar una Queja de Privacidad de Datos en Michigan
Si cree que sus derechos de privacidad de datos han sido violados en Michigan, tiene varias opciones.
Contacte a la División de Protección al Consumidor de la Fiscalía General de Michigan. Puede presentar una queja en línea a través del sitio web de la Fiscalía General de Michigan o llamando a la línea directa de Protección al Consumidor. Para incidentes de seguridad de datos relacionados con seguros, las quejas también pueden dirigirse al Departamento de Seguros y Servicios Financieros.
Para infracciones de datos, las personas afectadas deben colocar alertas de fraude con las tres principales agencias de crédito, revisar sus informes de crédito en busca de actividad no autorizada, y considerar colocar un congelamiento de crédito en sus cuentas.
Para infracciones de HIPAA relacionadas con información de salud, presente una queja ante la Oficina de Derechos Civiles del Departamento de Salud y Servicios Humanos de Estados Unidos.
Para infracciones relacionadas con registros estudiantiles, contacte a la Oficina de Política de Privacidad Estudiantil del Departamento de Educación de Estados Unidos.
Lo Que las Empresas de Michigan Deben Hacer Ahora
Incluso sin una ley integral de privacidad, las empresas de Michigan tienen obligaciones claras bajo los estatutos existentes.

Requisitos Obligatorios Bajo la Ley Actual
- Notificación de infracciones: notifique a los residentes de Michigan afectados sin demora injustificada después de descubrir una infracción de seguridad que involucre su información personal (MCL 445.72)
- Protección del SSN: nunca muestre públicamente los números de Seguro Social y mantenga una política de privacidad por escrito si los recopila (MCL 445.81 a 445.85)
- Destrucción de datos: destruya la información personal mediante trituración, borrado o modificación al eliminarla de las bases de datos (MCL 445.72a)
- Privacidad del empleado: nunca solicite ni exija a los empleados o solicitantes que compartan sus credenciales personales de redes sociales o cuentas de internet (Ley 478 de 2012)
- Licenciatarios de seguros: mantenga un programa escrito de seguridad de la información y notifique al DIFS dentro de los 10 días hábiles posteriores a un evento de ciberseguridad (MCL 500.550 a 500.565)
- Datos estudiantiles: si opera tecnología educativa para fines de K-12, cumpla con la Ley de Protección de la Privacidad Personal en Línea del Estudiante (Ley 368 de 2016)
- Plataformas de la Ley TAKE IT DOWN: si opera una plataforma en línea cubierta, implemente un sistema de solicitud de eliminación de NCII y elimine el contenido reportado dentro de las 48 horas (vigente desde el 19 de mayo de 2026)
Prepararse para una Ley Integral de Privacidad
Con el SB 359 aún pendiente en el Senado y el SB 360-364 esperando acción en la Cámara, las empresas de Michigan deben comenzar a prepararse ahora mediante:
- Auditar qué datos personales recopilan, procesan y almacenan
- Revisar los avisos de privacidad y los mecanismos de consentimiento
- Implementar flujos de trabajo para solicitudes de acceso y eliminación de datos
- Evaluar si califican como corredor de datos bajo la definición del SB 359
- Capacitar al personal sobre los requisitos de privacidad de datos
- Consultar con asesoría legal sobre los plazos de cumplimiento si se aprueba el SB 359
Más Leyes de Michigan
- Leyes de Grabación de Reuniones con IA de Michigan
- Leyes de Pensión Alimenticia de Michigan
- Leyes de Empleo a Voluntad de Michigan
- Leyes de Accidentes de Auto de Michigan
- Leyes de Asientos de Seguridad para Niños de Michigan
- Leyes de Custodia de los Hijos de Michigan
- Leyes de Manutención de los Hijos de Michigan
- Leyes de Matrimonio de Hecho de Michigan
- Leyes de Deepfake de Michigan
- Leyes de Divorcio de Michigan
- Leyes de Mordedura de Perro de Michigan
- Leyes de Emancipación de Michigan
- Leyes de Eliminación de Antecedentes de Michigan
- Leyes de Atropello y Fuga de Michigan
- Leyes de Propietarios e Inquilinos de Michigan
- Leyes Limón de Michigan
Este artículo tiene fines meramente informativos y no constituye asesoría legal. Cubre la ley de privacidad de datos de Michigan a partir de mayo de 2026. Las leyes de privacidad de datos cambian con frecuencia y las interpretaciones de aplicación evolucionan con el tiempo. Consulte a un abogado con licencia en Michigan para obtener orientación sobre su situación específica.
Preguntas frecuentes
¿Tiene Michigan una ley integral de privacidad de datos?
No. A partir de mayo de 2026, Michigan no cuenta con una ley integral de privacidad de datos del consumidor. El estado depende de estatutos específicos, incluyendo la Ley de Protección contra el Robo de Identidad, la Ley de Privacidad del Número de Seguro Social, la Ley de Seguridad de Datos de Seguros y la Ley de Protección al Consumidor. El Proyecto de Ley del Senado 359, la Ley de Privacidad de Datos Personales, fue presentado en junio de 2025 y permanece en el Comité Plenario del Senado. No ha sido aprobado por ninguna de las cámaras. Hasta que se promulgue el SB 359 o una ley sucesora, los residentes de Michigan dependen de estas leyes estatales más las protecciones federales como la HIPAA, la COPPA y la GLBA.
¿Cuáles son las sanciones por no reportar una infracción de datos en Michigan?
Conforme a la Ley de Protección contra el Robo de Identidad (MCL 445.72), una persona o agencia que a sabiendas no proporcione la notificación de infracción requerida enfrenta multas civiles de hasta 250 dólares por incumplimiento. La responsabilidad total por multas civiles de una sola infracción tiene un tope de 750,000 dólares. Pueden aplicarse sanciones separadas bajo la Ley de Protección al Consumidor de Michigan si el incumplimiento involucra prácticas comerciales engañosas. Los licenciatarios de seguros enfrentan obligaciones de reporte separadas: deben notificar al DIFS dentro de los 10 días hábiles posteriores a un evento de ciberseguridad conforme al MCL 500.560.
¿Puede mi empleador acceder a mis cuentas personales de redes sociales en Michigan?
No. La Ley de Protección de Privacidad de Internet de Michigan (Ley 478 de 2012) prohíbe a los empleadores solicitar o exigir a los empleados o solicitantes de empleo que compartan credenciales de inicio de sesión para cuentas personales de internet. Los empleadores pueden monitorear la actividad en dispositivos y redes propiedad del empleador, ver información disponible públicamente e investigar reportes específicos y creíbles de conducta indebida relacionada con el trabajo que involucre cuentas personales. La ley no crea un deber para los empleadores de buscar o monitorear la actividad de cuentas personales de internet.
¿Con qué rapidez debe una empresa notificarme de una infracción de datos en Michigan?
La ley de Michigan exige la notificación 'sin demora injustificada' pero no establece un número específico de días para la mayoría de las empresas. El estándar es que la entidad debe actuar con el cuidado que ejercería una persona razonablemente prudente en circunstancias similares. Los licenciatarios de seguros tienen un estándar más estricto: el MCL 500.560 exige la notificación al DIFS a más tardar 10 días hábiles después de determinar que ocurrió un evento de ciberseguridad. Las enmiendas propuestas en el SB 360-364 exigirían la notificación a la Fiscalía General para infracciones que afecten a más de 100 residentes de Michigan.
¿Ha aprobado Michigan la Ley de Privacidad de Datos Personales?
No. A partir de mayo de 2026, el Proyecto de Ley del Senado 359, la Ley de Privacidad de Datos Personales, no ha sido aprobado. El Comité de Finanzas, Seguros y Protección al Consumidor del Senado de Michigan lo reportó favorablemente el 11 de junio de 2025 y lo remitió al Comité Plenario, donde permaneció pendiente. El proyecto de ley no ha sido votado por el pleno del Senado. Michigan aprobó el SB 359 dos veces en una forma anterior en el Senado, pero nunca avanzó en la Cámara. Monitoree legislature.mi.gov para actualizaciones.
¿Qué significa la Ley TAKE IT DOWN para los residentes de Michigan?
La ley federal TAKE IT DOWN Act (Pub. L. 119-12, firmada el 19 de mayo de 2025) convierte en delito federal publicar imágenes íntimas no consentidas. A partir del 19 de mayo de 2026, las plataformas en línea cubiertas deben mantener un sistema que permita a las personas reportar NCII y deben eliminar el contenido reportado y las copias idénticas conocidas dentro de las 48 horas. La FTC hace cumplir las obligaciones de las plataformas. La fiscal general de Michigan, Nessel, ha sido activa en este tema, uniéndose a una coalición de 36 estados que exige a xAI abordar la generación de Grok de dicho contenido.
¿Tiene Michigan una ley que proteja los datos de los clientes de seguros?
Sí. La Ley de Seguridad de Datos de Seguros de Michigan (MCL 500.550 a 500.565), vigente desde el 20 de enero de 2021, exige que todo licenciatario de seguros desarrolle y mantenga un programa escrito integral de seguridad de la información y notifique al DIFS dentro de los 10 días hábiles posteriores a un evento de ciberseguridad. La ley se aplica a todas las aseguradoras, productores, ajustadores y otras entidades de seguros licenciadas. Los licenciatarios más pequeños con menos de 25 empleados, menos de 5 millones de dólares en ingresos y menos de 10 millones de dólares en activos están exentos del requisito del WISP.
¿Qué debo hacer si mis datos son vulnerados en Michigan?
Si recibe una notificación de infracción, coloque de inmediato alertas de fraude con las tres principales agencias de crédito (Equifax, Experian, TransUnion), revise sus informes de crédito en busca de cuentas o actividad no autorizada, considere colocar un congelamiento de crédito, cambie las contraseñas de cualquier cuenta afectada, y monitoree de cerca sus estados de cuenta financieros. También puede presentar una queja ante la División de Protección al Consumidor de la Fiscalía General de Michigan en michigan.gov/ag. Para infracciones de información de salud, presente una queja ante la Oficina de Derechos Civiles del HHS.
Fuentes y referencias
- Ley de Protección contra el Robo de Identidad de Michigan - Ley 452 de 2004 (Texto Completo)(legislature.mi.gov).gov
- MCL 445.72 - Requisitos de Notificación de Infracciones(legislature.mi.gov).gov
- MCL 445.72a - Requisitos de Destrucción de Datos(legislature.mi.gov).gov
- MCL 445.63 - Definiciones de Información Personal(legislature.mi.gov).gov
- Ley de Privacidad del Número de Seguro Social de Michigan - Ley 454 de 2004(legislature.mi.gov).gov
- Ley de Seguridad de Datos de Seguros de Michigan - MCL 500.550 a 500.565(michigan.gov).gov
- Ley de Protección al Consumidor de Michigan - Ley 331 de 1976(legislature.mi.gov).gov
- Proyecto de Ley del Senado 359 - Ley de Privacidad de Datos Personales (2025)(legislature.mi.gov).gov
- SB 359 - Análisis Fiscal del Senado (Versión G)(legislature.mi.gov).gov
- Proyectos de Ley del Senado 360-364 - Enmiendas a la ITPA (2025)(legislature.mi.gov).gov
- SB 360-364 - Análisis Fiscal del Senado (Versión G)(legislature.mi.gov).gov
- Ley de Protección de Privacidad de Internet de Michigan - Ley 478 de 2012(legislature.mi.gov).gov
- Proyecto de Ley del Senado 758 - Ley del Código para Menores de Michigan (2025)(legislature.mi.gov).gov
- Ley de Protección de la Privacidad Personal en Línea del Estudiante de Michigan - Ley 368 de 2016(legislature.mi.gov).gov
- MCL 380.1136 - Protección de la Privacidad del Alumno(legislature.mi.gov).gov
- Ley de Preservación de la Privacidad Personal - Ley 378 de 1988(legislature.mi.gov).gov
- MCL 15.243 - Exención de Privacidad de la FOIA de Michigan (Sección 13)(legislature.mi.gov).gov
- Departamento de Salud y Servicios Humanos de Michigan - Información sobre HIPAA(michigan.gov).gov
- Ley TAKE IT DOWN - Texto de la Pub. L. 119-12(congress.gov).gov
- FTC - Aplicación de la Ley TAKE IT DOWN a Plataformas (mayo de 2026)(consumer.ftc.gov).gov
- La Fiscal General Nessel Presenta Demanda contra Roku por Violaciones a la Privacidad de Menores (abril de 2025)(michigan.gov).gov
- Tribunal Federal de Michigan Reduce la Demanda de Privacidad contra Roku a Reclamos de COPPA (abril de 2026)(troutmanprivacy.com)
- La Fiscal General Nessel - Alerta de Infracción de Datos de Munson Healthcare (enero de 2026)(michigan.gov).gov
- La Fiscal General Nessel Exige Acción a xAI por Grok NCII (enero de 2026)(michigan.gov).gov
- Departamento de Educación de Michigan - Privacidad del Alumno(michigan.gov).gov