Michigan
Leyes de Notificación de Infracciones de Datos de Michigan: Reglas y Plazos de Reporte (2026)

La Ley de Protección contra el Robo de Identidad de Michigan exige que cualquier empresa o agencia que posea datos personales de residentes de Michigan notifique a las personas afectadas después de una infracción de información no cifrada bajo el MCL 445.72. La notificación debe enviarse sin demora injustificada; no existe un plazo fijo en días bajo la ley actual.
Cuando una empresa de Michigan descubre que hackers accedieron a su base de datos de clientes, el reloj comienza a correr. La Ley de Protección contra el Robo de Identidad establece exactamente qué debe suceder a continuación, a quién se debe informar, y cuáles son las consecuencias de guardar silencio. Ya sea que usted sea el propietario de una empresa tratando de cumplir o un residente que recibió un aviso de infracción, comprender estas reglas es esencial.
Esta guía cubre los requisitos actuales de notificación de infracciones de datos de Michigan bajo el MCL 445.72, las sanciones por incumplimiento, las disposiciones de puerto seguro, y la legislación pendiente que podría endurecer significativamente las reglas. Para el panorama más amplio sobre las protecciones de privacidad en el estado, consulte la guía principal de Leyes de Privacidad de Datos de Michigan.
Qué Ley Rige la Notificación de Infracciones de Datos en Michigan
Las obligaciones de notificación de infracciones de datos de Michigan provienen de la Ley de Protección contra el Robo de Identidad, promulgada como la Ley 452 de 2004 y vigente desde el 1 de marzo de 2005. Las disposiciones de notificación de infracciones se encuentran principalmente en el MCL 445.72, con definiciones clave en el MCL 445.63.
La ley se aplica a cualquier persona o agencia que posea o tenga licencia sobre datos incluidos en una base de datos que contenga información personal de residentes de Michigan. "Persona" se define ampliamente para incluir a individuos, sociedades, corporaciones, compañías de responsabilidad limitada, asociaciones y otras entidades legales. "Agencia" cubre departamentos del gobierno estatal, juntas, comisiones y universidades públicas.

Qué Activa una Obligación de Notificación
Se requiere una notificación de infracción cuando hay acceso y adquisición no autorizados de datos que comprometen la seguridad o confidencialidad de la información personal mantenida en una base de datos. Conforme al MCL 445.63, una "infracción de seguridad" significa el acceso y la adquisición no autorizados de datos que comprometen la seguridad o confidencialidad de la información personal.
Información Personal que Activa la Notificación
La ley protege el nombre o la inicial del nombre y el apellido de un residente de Michigan, vinculados a uno o más de los siguientes elementos de datos no cifrados:
- Número de Seguro Social
- Número de licencia de conducir o número de tarjeta de identificación personal estatal
- Número de cuenta financiera, número de tarjeta de crédito o número de tarjeta de débito, en combinación con cualquier código de seguridad, código de acceso o contraseña requeridos que permitan el acceso a la cuenta
Si una infracción involucra únicamente un nombre sin ninguno de estos elementos de datos vinculados, no se requiere notificación bajo este estatuto.
Cuándo No Se Requiere Notificación
Una entidad puede omitir la notificación si determina que la infracción "no ha causado ni es probable que cause una pérdida o daño sustancial, ni resulte en robo de identidad respecto a" los residentes de Michigan. La entidad debe ejercer el cuidado que "una persona o agencia razonablemente prudente en una posición similar ejercería en circunstancias similares" al hacer esta determinación.

El Puerto Seguro de Cifrado
Michigan proporciona un puerto seguro de cifrado claro. Si los datos comprometidos estaban cifrados o redactados, y la clave de cifrado no fue también accedida o adquirida, no se requiere notificación.
Conforme al MCL 445.63, "cifrado" significa datos transformados mediante un proceso algorítmico en una forma con baja probabilidad de asignar significado sin un proceso o clave confidencial. "Redactado" significa alterar los datos de manera que no sean accesibles más de cuatro dígitos de una licencia de conducir, identificación estatal o número de cuenta, o no más de cinco dígitos de un número de Seguro Social.
Sin embargo, si una persona no autorizada obtiene acceso tanto a los datos cifrados como a la clave de cifrado, el puerto seguro no aplica, y se requiere notificación.
La Excepción del Empleado de Buena Fe
No todo acceso no autorizado constituye una infracción. Conforme al MCL 445.63, una infracción de seguridad no incluye el acceso por parte de un empleado u otra persona cuando se cumplen las tres condiciones siguientes:
- El empleado actuó de buena fe
- El acceso estuvo relacionado con las actividades de la agencia o persona
- El empleado no usó indebidamente ni divulgó ninguna información personal a una persona no autorizada
Esta excepción reconoce que los empleados a veces acceden a registros fuera de su alcance normal mientras desempeñan funciones laborales legítimas. Siempre que el acceso haya sido bien intencionado, relacionado con el trabajo, y no se haya usado indebidamente ni compartido ninguna información, queda fuera de la definición de infracción.
Cronograma y Métodos de Notificación
Con Qué Rapidez Debe Enviarse el Aviso
Michigan exige la notificación "sin demora injustificada". A diferencia de muchas leyes estatales más recientes, Michigan actualmente no establece un número específico de días. La ley sí permite dos excepciones al requisito de plazo:
- Determinación del alcance. Se permite un retraso si es necesario para determinar el alcance de la infracción y restaurar la integridad de la base de datos.
- Solicitud de las fuerzas del orden. La notificación puede retrasarse a solicitud de una agencia de las fuerzas del orden que investiga la infracción.
Métodos de Notificación Aceptables
El MCL 445.72 permite varios métodos:
- Aviso por escrito enviado por correo postal a la última dirección conocida del residente afectado
- Aviso electrónico si el residente consintió previamente las comunicaciones electrónicas o tiene una relación comercial existente con la entidad
- Aviso telefónico a través de un representante en vivo, con un aviso escrito de seguimiento
- Aviso sustituto cuando el costo de la notificación directa supera los 250,000 dólares, la población afectada supera los 500,000 residentes, o la entidad carece de suficiente información de contacto. El aviso sustituto requiere los tres elementos: notificación por correo electrónico (cuando haya direcciones disponibles), publicación visible en el sitio web de la entidad, y notificación a los principales medios de comunicación estatales
Qué Debe Incluir la Notificación
La ley de Michigan exige que las notificaciones de infracción contengan:
- Una descripción de la infracción de seguridad en términos generales
- El tipo de información personal comprometida
- Las medidas correctivas que la entidad ha tomado para prevenir futuras infracciones
- Un número de teléfono donde las personas afectadas puedan obtener más información
- Un recordatorio de estar atento a señales de fraude y robo de identidad
Notificación a las Agencias de Informes de Crédito al Consumidor
Para infracciones que afecten a más de 1,000 residentes de Michigan, la entidad también debe notificar a cada agencia de informes de crédito al consumidor a nivel nacional sin demora injustificada. La notificación debe incluir el número de residentes afectados y el momento de la notificación a esos residentes.
Poseedores de Datos de Terceros
Una entidad que mantiene una base de datos que contiene información personal que no posee ni tiene bajo licencia debe notificar al propietario o licenciante de los datos después de descubrir una infracción. El propietario de los datos asume entonces la responsabilidad de notificar a las personas afectadas.
Esta disposición es particularmente relevante para los proveedores de servicios en la nube, procesadores de datos y proveedores de tecnología de la información que almacenan información personal en nombre de otras empresas.

Sanciones y Aplicación de la Ley
Multas Civiles
Conforme al MCL 445.72, una persona que a sabiendas no proporcione la notificación de infracción requerida puede enfrentar multas civiles de hasta 250 dólares por incumplimiento de notificación. La responsabilidad agregada de un solo evento de infracción tiene un tope de 750,000 dólares.
La Fiscalía General de Michigan o un fiscal de condado puede iniciar una acción para recuperar estas multas civiles.
Sanciones Penales
Presentar una notificación de infracción fraudulenta o falsa con la intención de defraudar es un delito menor conforme a la Ley de Protección contra el Robo de Identidad:
- Primera infracción: hasta 93 días de prisión o una multa de hasta 250 dólares por infracción, o ambas
- Segunda infracción: hasta 93 días de prisión o una multa de hasta 500 dólares por infracción, o ambas
- Tercera infracción o subsiguiente: hasta 93 días de prisión o una multa de hasta 750 dólares por infracción, o ambas
Sin Derecho de Acción Privado
El estatuto de notificación de infracciones de Michigan no crea un derecho de acción privado. Los consumidores individuales no pueden demandar directamente a una empresa por no proporcionar la notificación de infracción. Sin embargo, el estatuto establece explícitamente que no elimina otros recursos disponibles bajo la ley vigente. Las personas afectadas aún pueden presentar reclamos bajo teorías de derecho consuetudinario como la negligencia si pueden demostrar daños reales.
Infracciones como Prácticas Comerciales Desleales
Las fallas de notificación de infracciones también pueden perseguirse como prácticas comerciales desleales o engañosas bajo la Ley de Protección al Consumidor de Michigan (MCL 445.903), otorgando a la Fiscalía General autoridad de aplicación adicional más allá de las sanciones de la Ley de Protección contra el Robo de Identidad.
Requisitos de Destrucción de Datos
Michigan también impone obligaciones para la eliminación segura de la información personal. Conforme al MCL 445.72a, cualquier entidad que mantenga una base de datos de información personal debe destruir esos datos cuando se eliminen de la base de datos, a menos que la retención sirva a otro fin legítimo.
"Destruir" significa triturar, borrar o modificar de otra manera los datos para hacerlos ilegibles o indescifrables. Las infracciones al requisito de destrucción conllevan sanciones de delito menor de hasta 250 dólares por infracción.
Puertos Seguros de Cumplimiento
Michigan reconoce dos importantes puertos seguros de cumplimiento:
- Las instituciones financieras que cumplen con la Guía Federal Interagencial sobre Programas de Respuesta al Acceso No Autorizado a la Información del Cliente se consideran en cumplimiento con los requisitos de notificación de Michigan.
- Las entidades cubiertas por HIPAA que cumplen con las reglas federales de notificación de infracciones de datos de salud bajo la Ley HITECH satisfacen los requisitos de Michigan.

Legislación Pendiente: El SB 360 Reformaría las Reglas de Infracciones de Michigan
El Proyecto de Ley del Senado 360, parte de un paquete de cinco proyectos de ley (SB 360-364), fue aprobado por el Senado de Michigan el 26 de agosto de 2025 por una votación de 19 a 15. Ha sido remitido al Comité de Operaciones Gubernamentales de la Cámara. Si se promulga, representaría la actualización más significativa al marco de notificación de infracciones de Michigan desde la ley original de 2004.
Plazo de Notificación de 45 Días
El SB 360 reemplazaría el estándar actual de "sin demora injustificada" con un requisito firme de notificar a las personas afectadas a más tardar 45 días después de que la entidad determine que ocurrió una infracción.
Notificación a la Fiscalía General
Las infracciones que afecten a 100 o más residentes de Michigan requerirían notificación por escrito a la Fiscalía General a más tardar en la fecha en que se proporcione la notificación a las personas. La ley actual no exige la notificación a la Fiscalía General.
Definición Ampliada de Información Personal
El proyecto de ley añadiría explícitamente "cualquier información genética o biométrica utilizada para autenticar o determinar la identidad de la persona, como una huella dactilar, huella de voz, o imagen de retina o iris" a las categorías de información personal que activan la notificación.
Servicios Obligatorios de Protección contra el Robo de Identidad
Cuando una infracción involucre números de Seguro Social o números de identificación fiscal, la entidad estaría obligada a ofrecer servicios de prevención y mitigación del robo de identidad sin costo durante al menos 24 meses.
Requisitos de Programas de Ciberseguridad
Una nueva Sección 11a exigiría que las entidades que manejan información personal implementen y mantengan procedimientos de seguridad razonables, incluyendo:
- Designar un coordinador de seguridad
- Identificar y evaluar los riesgos razonablemente previsibles
- Implementar salvaguardas alineadas con el Marco de Ciberseguridad del NIST 2.0 o un estándar equivalente de la industria
- Exigir contractualmente a los proveedores de servicios que mantengan salvaguardas similares
Sanciones Reforzadas
El SB 360 añadiría multas civiles de hasta 2,000 dólares por no mantener los procedimientos de seguridad requeridos o por no investigar una posible infracción, además de las sanciones existentes de 250 dólares por incumplimiento de notificación.
A partir de marzo de 2026, el SB 360 permanece pendiente en el Comité de Operaciones Gubernamentales de la Cámara. Una versión anterior del proyecto de ley (SB 888 en la sesión 2023-2024) fue aprobada por el Senado pero se estancó en la Cámara.
Obligaciones del Empleador Después de una Infracción
Michigan no cuenta con un estatuto separado de notificación de infracciones específico para empleadores. Sin embargo, los empleadores que mantienen bases de datos de información personal de empleados (números de Seguro Social, detalles de depósito directo, números de licencia de conducir) están sujetos a los mismos requisitos de notificación bajo el MCL 445.72 que cualquier otro poseedor de datos.
Los empleadores deben tomar estos pasos después de descubrir una infracción que afecte los datos de los empleados:
- Evaluar el alcance de la infracción y qué información personal fue accedida
- Determinar las obligaciones de notificación según si los datos estaban cifrados y si es probable que ocurra un daño
- Notificar a los empleados afectados sin demora injustificada usando uno de los métodos aprobados
- Reportar a las agencias de informes de crédito al consumidor si más de 1,000 empleados están afectados
- Documentar la investigación y las medidas correctivas tomadas
- Revisar y fortalecer las medidas de seguridad para prevenir futuros incidentes
Más Leyes de Michigan
- Leyes de Grabación de Reuniones con IA de Michigan
- Leyes de Pensión Alimenticia de Michigan
- Leyes de Empleo a Voluntad de Michigan
- Leyes de Accidentes de Auto de Michigan
- Leyes de Asientos de Seguridad para Niños de Michigan
- Leyes de Custodia de los Hijos de Michigan
- Leyes de Manutención de los Hijos de Michigan
- Leyes de Matrimonio de Hecho de Michigan
- Leyes de Deepfake de Michigan
- Leyes de Divorcio de Michigan
- Leyes de Mordedura de Perro de Michigan
- Leyes de Emancipación de Michigan
- Leyes de Eliminación de Antecedentes de Michigan
- Leyes de Atropello y Fuga de Michigan
- Leyes de Propietarios e Inquilinos de Michigan
- Leyes Limón de Michigan
Este artículo proporciona información legal general sobre las leyes de notificación de infracciones de datos de Michigan. No constituye asesoría legal. Los requisitos de notificación de infracciones de datos están sujetos a cambios mediante legislación y guías regulatorias. Consulte a un abogado calificado de Michigan para obtener orientación sobre su situación específica.
¿Afectado por una filtración de datos o una violación de privacidad biométrica?
Si sus datos personales quedaron expuestos en una filtración, o si su huella dactilar o escaneo facial se recopiló sin su consentimiento, podría ser elegible para unirse a un reclamo por compensación. Averígüelo gratis y sin compromiso.
Fuentes y referencias
- Ley de Protección contra el Robo de Identidad (Ley 452 de 2004)(legislature.mi.gov).gov
- MCL 445.72 - Requisitos de Notificación de Infracciones de Seguridad(legislature.mi.gov).gov
- MCL 445.63 - Definiciones de la Ley de Protección contra el Robo de Identidad(legislature.mi.gov).gov
- MCL 445.72a - Requisitos de Destrucción de Datos(legislature.mi.gov).gov
- Ley de Protección al Consumidor de Michigan (MCL 445.903)(legislature.mi.gov).gov
- Proyecto de Ley del Senado 360 de 2025 - Enmiendas a la Ley de Protección contra el Robo de Identidad(legislature.mi.gov).gov
- Texto del SB 360 tal como fue Aprobado por el Senado(legislature.mi.gov).gov
- Fiscalía General de Michigan - Protección al Consumidor(michigan.gov).gov
- Marco de Ciberseguridad del NIST 2.0(nist.gov).gov
- Guía Federal Interagencial sobre Programas de Respuesta(federalregister.gov).gov