Montana
Leyes de Privacidad Biométrica de Montana: Recopilación, Consentimiento y Sanciones (2026)

Montana no cuenta con un estatuto independiente de privacidad biométrica. En su lugar, la Ley de Privacidad de Datos del Consumidor de Montana (MCDPA), codificada en el Mont. Code Ann. 30-14-2801, clasifica los datos biométricos como datos personales sensibles y exige que las empresas obtengan consentimiento previo (opt-in) antes de procesarlos. El Fiscal General de Montana tiene autoridad exclusiva de aplicación; los consumidores no cuentan con un derecho de acción privado.
Montana no cuenta con un estatuto independiente de privacidad biométrica como la BIPA de Illinois o la CUBI de Texas. En su lugar, las protecciones de datos biométricos en el estado conocido como "Big Sky Country" provienen de la Ley de Privacidad de Datos del Consumidor de Montana (MCDPA), una ley integral de privacidad del consumidor que clasifica los identificadores biométricos como datos sensibles que requieren consentimiento afirmativo antes de su procesamiento.
El gobernador Greg Gianforte promulgó el SB 384 en mayo de 2023, convirtiendo a Montana en el noveno estado en promulgar una ley integral de privacidad de datos del consumidor. La MCDPA entró en vigor originalmente el 1 de octubre de 2024. En 2025, la Legislatura de Montana aprobó el SB 297, que amplió la autoridad de aplicación, redujo los umbrales de aplicabilidad y fortaleció las protecciones para los menores y los datos sensibles. Esas enmiendas entraron en vigor el 1 de octubre de 2025.
Para una visión general del marco de privacidad más amplio de Montana, consulte la guía principal de Leyes de Privacidad de Datos de Montana.
Cómo Define la MCDPA los Datos Biométricos
La MCDPA define los datos biométricos conforme al Mont. Code Ann. 30-14-2802 como los datos generados por mediciones automáticas de las características biológicas de una persona que se utilizan para identificar a una persona específica. El estatuto proporciona estos ejemplos:
- Huellas dactilares
- Huellas de voz
- Retinas oculares
- Iris
- Otros patrones o características biológicas únicas
La ley traza una línea clara en torno a lo que no califica. Una fotografía física o digital, una grabación de video o audio, o los datos generados a partir de esas grabaciones no constituyen datos biométricos, a menos que se generen específicamente para identificar a una persona en particular.

Esta definición sigue el enfoque utilizado en Virginia, Connecticut y varios otros estatutos estatales integrales de privacidad. Es más estrecha que la definición utilizada en la BIPA de Illinois, que cubre un conjunto más amplio de identificadores biométricos sin las mismas exclusiones.
Clasificación de Datos Sensibles y Consentimiento
Conforme a la MCDPA, los datos biométricos procesados con el propósito de identificar de manera única a una persona califican como "datos sensibles". Esta es la categoría de mayor protección en la ley.
Otras categorías de datos sensibles conforme al Mont. Code Ann. 30-14-2802 incluyen:
- Datos que revelen el origen racial o étnico
- Creencias religiosas
- Diagnósticos de salud mental o física
- Orientación sexual
- Ciudadanía o estatus migratorio
- Datos genéticos procesados con fines de identificación
- Datos de geolocalización precisa
- Datos personales recopilados de un menor conocido de menos de 13 años
Requisito de consentimiento. Los responsables del tratamiento deben obtener el consentimiento previo (opt-in) del consumidor antes de procesar datos sensibles, incluidos los datos biométricos. Una empresa no puede recopilar su huella dactilar, huella facial o escaneo de iris con fines de identificación sin antes solicitar y recibir su acuerdo afirmativo.
La MCDPA define el consentimiento como un "acto afirmativo claro que indique un acuerdo libre, específico, informado e inequívoco del consumidor". Una cláusula escondida en un acuerdo de términos de servicio no cumple con este estándar. Las casillas premarcadas, pasar el cursor sobre el contenido, o cerrar una ventana emergente tampoco cuentan. La ley prohíbe específicamente el uso de patrones oscuros para obtener el consentimiento.
Divulgación Restringida de Datos Biométricos
El SB 297 agregó una disposición notable que limita la forma en que las empresas pueden responder a las solicitudes de acceso de los consumidores cuando están involucrados datos biométricos.
Conforme a la MCDPA modificada, los responsables del tratamiento no pueden divulgar ciertos identificadores sensibles en respuesta a solicitudes de acceso a datos, incluidos:
- Datos biométricos
- Números de Seguro Social
- Números de identificación emitidos por el gobierno
- Números de cuentas financieras
- Números de identificación de seguro médico o identificación médica
- Contraseñas de cuentas y preguntas de seguridad
En lugar de entregar estos datos en bruto, las empresas deben informar a los consumidores "con suficiente especificidad" que dichos datos han sido recopilados. Esto evita que el propio proceso de solicitud de acceso se convierta en una vulnerabilidad de seguridad.
Quién Debe Cumplir
La MCDPA se aplica a las entidades que realizan negocios en Montana o que producen productos o servicios dirigidos a los residentes de Montana y que cumplen con uno de estos umbrales (según fueron modificados por el SB 297):
- Procesar datos personales de 25,000 o más consumidores de Montana durante un año calendario (reducido de 50,000 bajo la ley original), o
- Procesar datos personales de 15,000 o más consumidores de Montana y obtener más del 25% de los ingresos brutos de la venta de datos personales (reducido de 25,000)
Estos umbrales más bajos significan que más empresas quedan sujetas a los requisitos de la MCDPA que cuando la ley entró en vigor por primera vez en 2024.
Exenciones Clave
La MCDPA excluye de su cobertura varias categorías de entidades y tipos de datos:
Exenciones de entidad:
- Agencias gubernamentales estatales y locales
- Organizaciones sin fines de lucro (reducidas bajo el SB 297 únicamente a la detección de fraude en seguros)
- Instituciones de educación superior
- Tribus y organizaciones tribales
Exenciones de datos:
- Datos regulados bajo la HIPAA
- Datos regidos por la Ley Gramm-Leach-Bliley (GLBA, exención únicamente a nivel de datos después del SB 297)
- Datos cubiertos por la Ley de Informe Justo de Crédito (FCRA)
- Datos bajo la Ley de Derechos Educativos y Privacidad Familiar (FERPA)
- Datos regulados bajo la Ley de Protección de la Privacidad del Conductor (DPPA)
Exención de datos de empleados. La MCDPA excluye de la definición de "consumidor" a las personas que actúan en un contexto comercial o laboral. Los datos procesados sobre una persona que solicita empleo, que trabaja para, o que actúa como agente o contratista independiente de un responsable del tratamiento, encargado del tratamiento o tercero están exentos cuando se utilizan en el contexto de ese rol.
Esto significa que si su empleador recopila huellas dactilares para un sistema de control de horario o utiliza reconocimiento facial para el acceso al edificio, la MCDPA no se aplica a esa recopilación. Montana no cuenta con una ley separada que regule el uso de datos biométricos por parte de los empleadores.
Derechos del Consumidor Sobre los Datos Biométricos
Debido a que los datos biométricos califican como datos personales sensibles bajo la MCDPA, los consumidores de Montana tienen los siguientes derechos conforme al Mont. Code Ann. 30-14-2808:

Derecho a confirmar y acceder. Usted puede preguntar a cualquier empresa cubierta si está procesando sus datos biométricos y solicitar información sobre ese procesamiento.
Derecho a corregir. Si una empresa tiene datos biométricos inexactos sobre usted, puede solicitar una corrección.
Derecho a eliminar. Usted puede solicitar que una empresa elimine los datos biométricos que tiene sobre usted.
Derecho a la portabilidad de datos. Usted puede obtener una copia de sus datos personales en un formato portátil y fácilmente utilizable, aunque los datos biométricos en sí mismos están sujetos a la disposición de divulgación restringida.
Derecho a excluirse. Usted puede excluirse del procesamiento de sus datos personales para publicidad dirigida, la venta de datos personales, o la elaboración de perfiles que produzca efectos legales o efectos igualmente significativos.
Derecho a la no discriminación. Las empresas no pueden penalizarlo por ejercer cualquiera de estos derechos.
Las empresas deben responder a las solicitudes de derechos de los consumidores dentro de 45 días. Pueden extender este período por 45 días adicionales cuando sea razonablemente necesario, siempre que notifiquen al consumidor sobre la extensión y el motivo. Si una empresa niega una solicitud, debe explicar por qué y decirle al consumidor cómo apelar.
Evaluaciones de Protección de Datos
Los responsables del tratamiento que procesan datos sensibles, incluidos los datos biométricos, deben realizar evaluaciones de protección de datos conforme a la MCDPA. El SB 297 amplió estos requisitos, particularmente para el procesamiento que afecta a los menores.
Una evaluación de protección de datos debe sopesar los beneficios del procesamiento frente a los riesgos potenciales para el consumidor, incluidos los riesgos de:
- Trato injusto o engañoso, o impacto dispar ilegal
- Daño financiero, físico o reputacional
- Intrusión en la soledad o el aislamiento
- Otro daño sustancial
El Fiscal General de Montana puede solicitar estas evaluaciones durante una investigación. Conforme al SB 297, las evaluaciones deben conservarse durante tres años después de que cese el procesamiento o se descontinúe el servicio, lo que ocurra más tarde.
Notificación de Violaciones y Datos Biométricos
La ley de notificación de violaciones de datos de Montana en el Mont. Code Ann. 30-14-1704 exige que las empresas notifiquen a las personas afectadas cuando una violación de seguridad comprometa información personal sin cifrar.
Sin embargo, la definición de información personal de Montana para fines de notificación de violaciones se limita al nombre de una persona combinado con:
- Números de Seguro Social
- Números de licencia de conducir, identificación estatal o identificación tribal
- Números de cuentas financieras con los códigos de seguridad requeridos
- Información de registros médicos
- Números de identificación de contribuyente
- PIN de protección de identidad del IRS
Los datos biométricos no están enumerados explícitamente como una categoría que active la notificación de violaciones bajo este estatuto. Esto crea una brecha entre el tratamiento que la MCDPA da a los datos biométricos como sensibles y el alcance más estrecho de la ley de notificación de violaciones. Una empresa podría sufrir una violación que involucre datos biométricos sin estar obligada a notificar a las personas afectadas conforme al Mont. Code Ann. 30-14-1704.
Cuando se requiere notificación, las empresas deben reportar las violaciones "sin demora injustificada" y presentar simultáneamente una copia electrónica a la Oficina de Protección al Consumidor de Montana en datarequests@mt.gov. Incluso un solo residente de Montana afectado activa el requisito de reporte.
Aplicación y Sanciones

El Fiscal General de Montana tiene autoridad exclusiva de aplicación sobre la MCDPA. No existe un derecho de acción privado, lo que significa que los consumidores individuales no pueden presentar demandas contra las empresas por infracciones de la MCDPA.
El SB 297 fortaleció significativamente las herramientas de aplicación del Fiscal General:
Ya no hay período de subsanación. La MCDPA original otorgaba a las empresas 60 días para corregir infracciones antes de enfrentar una acción de aplicación. El SB 297 eliminó este período de subsanación, permitiendo que el Fiscal General inicie acciones de aplicación inmediatamente después de descubrir una infracción. (Nota: algunas fuentes indican que el período de subsanación expira el 1 de abril de 2026, en lugar de eliminarse de manera inmediata.)
Facultad de investigación ampliada. El Fiscal General ahora puede emitir requerimientos civiles de investigación conforme a la Ley de Protección al Consumidor de Montana y exigir que los responsables del tratamiento presenten las evaluaciones de protección de datos relevantes para las investigaciones.
Sanciones civiles. Las infracciones de la MCDPA pueden dar lugar a sanciones de hasta $7,500 por infracción conforme al Mont. Code Ann. 30-14-2820. El Fiscal General también puede solicitar medidas cautelares y recuperar los honorarios razonables de abogados y los costos de investigación.
Plazo de prescripción. El SB 297 estableció un plazo de prescripción de cinco años a partir del momento en que surge la causa de acción.
Los consumidores pueden presentar quejas ante la Oficina de Protección al Consumidor de Montana a través del sitio web del Departamento de Justicia de Montana.
Cómo se Compara Montana con Otros Estados
El enfoque de Montana hacia la privacidad biométrica se sitúa en un punto medio del espectro entre los estados de EE. UU.:
Más sólido que los estados sin protecciones. Muchos estados todavía carecen de protecciones específicas para los datos biométricos. La clasificación de Montana de los datos biométricos como datos sensibles que requieren consentimiento la coloca por delante de los estados sin leyes integrales de privacidad.
Más débil que las leyes dedicadas de privacidad biométrica. Estados como Illinois, Texas y Washington cuentan con estatutos independientes de privacidad biométrica con requisitos específicos de aviso, consentimiento, calendarios de retención y destrucción de datos. La BIPA de Illinois incluye un derecho de acción privado que ha generado litigios y acuerdos significativos.
Similar a otros estados con leyes integrales de privacidad. El enfoque de Montana refleja de cerca el de estados como Connecticut, Indiana y Kentucky, los cuales clasifican los datos biométricos como datos sensibles dentro de sus marcos integrales de privacidad del consumidor y requieren consentimiento previo (opt-in) para su procesamiento.
Brecha notable. A diferencia de algunos estados que incluyen los datos biométricos en sus definiciones de notificación de violaciones, el estatuto de notificación de violaciones de Montana no cubre los datos biométricos. Esta es un área en la que Montana ofrece menos protección que los estados que han actualizado sus leyes de notificación de violaciones.
Más Leyes de Montana
- Leyes de Grabación de Reuniones con IA de Montana
- Leyes de Pensión Alimenticia de Montana
- Leyes de Empleo a Voluntad de Montana
- Leyes de Accidentes de Auto de Montana
- Leyes de Asientos de Seguridad para Niños de Montana
- Leyes de Custodia de los Hijos de Montana
- Leyes de Manutención de los Hijos de Montana
- Leyes de Matrimonio de Hecho de Montana
- Leyes de Deepfake de Montana
- Leyes de Divorcio de Montana
- Leyes de Mordeduras de Perro de Montana
- Leyes de Emancipación de Montana
- Leyes de Eliminación de Antecedentes Penales de Montana
- Leyes de Choque y Fuga de Montana
- Leyes de Propietarios e Inquilinos de Montana
- Ley del Limón de Montana
Fuentes y Referencias
Este artículo hace referencia a los estatutos de Montana y a las publicaciones oficiales del gobierno estatal. Para el texto completo de la MCDPA, visite el Código Anotado de Montana. Para quejas de consumidores y orientación, visite la Oficina de Protección al Consumidor del Departamento de Justicia de Montana. Para los requisitos de notificación de violaciones, consulte la página de reportes del DOJ de Montana.
Este artículo proporciona información legal general sobre las leyes de privacidad biométrica de Montana. No constituye asesoría legal. Consulte a un abogado calificado para obtener orientación sobre su situación específica. Las leyes y regulaciones cambian con frecuencia. Verifique los requisitos vigentes a través de fuentes oficiales del gobierno de Montana.
¿Afectado por una filtración de datos o una violación de privacidad biométrica?
Si sus datos personales quedaron expuestos en una filtración, o si su huella dactilar o escaneo facial se recopiló sin su consentimiento, podría ser elegible para unirse a un reclamo por compensación. Averígüelo gratis y sin compromiso.
Fuentes y referencias
- Departamento de Justicia de Montana - Privacidad de Datos del Consumidor(dojmt.gov).gov
- Mont. Code Ann. 30-14-2802 - Definiciones de la MCDPA(mca.legmt.gov).gov
- Ley de Privacidad de Datos del Consumidor de Montana - Estatuto Completo(mca.legmt.gov).gov
- Mont. Code Ann. 30-14-1704 - Violación de Seguridad Informática(mca.legmt.gov).gov
- DOJ de Montana - Requisitos de Reporte de Violaciones(dojmt.gov).gov
- SB 384 - Ley de Privacidad de Datos del Consumidor de Montana (Proyecto de Ley Original)(laws.leg.mt.gov).gov