Montana
Lista de Verificación de Cumplimiento de la MCDPA: Privacidad de Montana (2026)

Cumplir con la Ley de Privacidad de Datos del Consumidor de Montana (MCDPA), Mont. Code Ann. 30-14-2801 y siguientes, comienza con una pregunta: ¿controla o procesa los datos personales de 25,000 consumidores de Montana, o de 15,000 si más del 25 por ciento de sus ingresos brutos proviene de la venta de datos personales? A partir de 2026, esos son los umbrales de cobertura más bajos de cualquier ley estatal de privacidad, por lo que ahora quedan dentro del alcance empresas mucho más pequeñas que hace un año. Si usted está cubierto, la ley exige un aviso de privacidad, consentimiento previo (opt-in) para los datos sensibles, el reconocimiento de una señal universal de exclusión voluntaria, evaluaciones de protección de datos, contratos con encargados del tratamiento, y salvaguardas reforzadas para los menores.
Ya no existe una red de seguridad. El período de subsanación de 60 días que antes permitía a una empresa corregir una presunta infracción antes de cualquier acción de aplicación finalizó el 1 de abril de 2026. A partir de 2026, el Fiscal General de Montana puede demandar sin enviar una carta de advertencia, y las sanciones civiles alcanzan hasta $7,500 por infracción conforme al Mont. Code Ann. 30-14-142. El cumplimiento ahora debe estar implementado antes de que llegue una queja, no ensamblado después.
Alcance jurisdiccional: Esto cubre la Ley de Privacidad de Datos del Consumidor de Montana (Mont. Code Ann. Título 30, Capítulo 14, Parte 28). Es información legal general, no asesoría legal.
Paso 1: Realice la Prueba de Aplicabilidad en los Umbrales Bajos
El primer paso de cumplimiento es decidir si la MCDPA se le aplica en absoluto, y después del SB 297 esa pregunta atrapa a más empresas que antes. Conforme al Mont. Code Ann. 30-14-2803, la ley se aplica a una persona que realiza negocios en Montana, o que produce productos o servicios dirigidos a los residentes de Montana, y que durante un año calendario controla o procesa los datos personales de 25,000 o más consumidores de Montana, o de 15,000 o más consumidores de Montana mientras obtiene más del 25 por ciento de sus ingresos brutos de la venta de datos personales.
Cuente a los consumidores de Montana, no su base total de usuarios. Una empresa con una gran presencia nacional pero pocos clientes en Montana puede quedar por debajo del límite, mientras que una empresa enfocada en Montana puede quedar cubierta con un número comparativamente pequeño de usuarios. El conteo principal de 25,000 excluye los datos personales procesados únicamente para completar una transacción de pago, pero esa excepción es limitada y no cubre los datos de clientes que usted conserva después. La siguiente tabla compara los activadores de Montana con los de otras leyes estatales importantes.
| Ley | Activador principal | Notas |
|---|---|---|
| MCDPA de Montana | 25,000 consumidores | 15,000 si más del 25% de ingresos proviene de la venta de datos |
| CCPA de California | $25M de ingresos, 100,000 consumidores, o 50% de ingresos por venta | Activador basado en ingresos |
| VCDPA de Virginia | 100,000 consumidores | 25,000 si más del 50% de ingresos por venta |
| TDPSA de Texas | Sin umbral numérico | Excluye a las pequeñas empresas según la definición de la SBA |
Documente su análisis. Debido a que los umbrales ahora son tan bajos, las empresas que anteriormente concluyeron que estaban exentas deben volver a realizar la prueba con las cifras de 25,000 y 15,000 que entraron en vigor el 1 de octubre de 2025. Una determinación escrita y fechada es útil si el Fiscal General más tarde pregunta cómo llegó a su conclusión.
Paso 2: Verifique las Exenciones Antes de Construir
Incluso por encima de los umbrales, una empresa puede estar total o parcialmente exenta. Conforme al Mont. Code Ann. 30-14-2803, las entidades exentas incluyen organismos gubernamentales, tribus reconocidas federalmente, organizaciones sin fines de lucro e instituciones de educación superior. Las exenciones a nivel de datos cubren la información de salud protegida bajo la HIPAA, los datos de informes de consumidores bajo la Ley de Informe Justo de Crédito, los registros educativos bajo la FERPA, y categorías similares ya reguladas por la ley federal.
El SB 297 reformuló el tratamiento del sector financiero y de las organizaciones sin fines de lucro, por lo que las suposiciones anteriores pueden ya no ser válidas a partir de 2026. La amplia exención a nivel de entidad para las instituciones financieras bajo la Ley Gramm-Leach-Bliley fue reformulada, conservándose exenciones específicas para bancos, cooperativas de crédito y ciertas aseguradoras, mientras que la exención de la GLBA a nivel de datos para los datos regulados se mantiene. La exención para organizaciones sin fines de lucro se redujo en su alcance. Confirme su situación con base en el texto estatutario vigente, y no en un resumen anterior al SB 297.
Las empresas de estatus mixto son comunes. Una compañía puede manejar algunos datos exentos, como los registros protegidos por la HIPAA, junto con datos de consumidores no exentos que la MCDPA cubre. Las exenciones se aplican a la entidad o al tipo de dato específico, por lo que las partes cubiertas de su operación aún necesitan cumplimiento completo. Trace un mapa de qué datos se encuentran dentro y fuera de las exenciones, para poder aplicar los controles de la MCDPA precisamente donde se requieran.
Paso 3: Publique un Aviso de Privacidad Conforme
La MCDPA exige que el responsable del tratamiento proporcione a los consumidores un aviso de privacidad razonablemente accesible, claro y significativo. El aviso debe describir las categorías de datos personales que procesa el responsable, los propósitos del procesamiento, cómo pueden los consumidores ejercer sus derechos y apelar una decisión, las categorías de datos personales que el responsable comparte con terceros, y las categorías de terceros con quienes comparte datos.
Si el responsable del tratamiento vende datos personales o los procesa para publicidad dirigida, el aviso debe divulgarlo y explicar cómo puede un consumidor excluirse. El SB 297 reforzó estos requisitos de aviso, por lo que una política de privacidad redactada para la versión original de 2024 de la ley debe revisarse conforme al estándar modificado. El aviso también debe explicar que los consumidores pueden presentar una queja ante el Fiscal General de Montana si se les niega una apelación.
Mantenga el aviso actualizado. La MCDPA contempla que los consumidores sean informados sobre los cambios materiales en las prácticas de privacidad de un responsable del tratamiento, por lo que un proceso para actualizar el aviso y, cuando corresponda, notificar a los consumidores sobre los cambios materiales pertenece a su programa de cumplimiento. Trate el aviso de privacidad como un documento vivo vinculado a sus prácticas reales de datos, no como un artefacto legal de una sola vez.

Paso 4: Construya el Manejo de Exclusión Voluntaria y Exclusión Universal
Los responsables del tratamiento cubiertos deben dar a los consumidores una forma clara y visible de excluirse de la publicidad dirigida, la venta de datos personales y la elaboración de perfiles que produzca efectos legales o efectos igualmente significativos, según lo establecido en el Mont. Code Ann. 30-14-2808. La exclusión voluntaria no puede estar oculta detrás de un requisito de cuenta, y no puede ser más onerosa que la inclusión voluntaria correspondiente. Una configuración práctica incluye un enlace visible y un sistema de recepción de solicitudes que las dirija al sistema correcto.
El requisito técnico más difícil es el mecanismo universal de exclusión voluntaria. Desde el 1 de enero de 2025, un responsable del tratamiento que procesa datos personales para publicidad dirigida o venta debe reconocer una señal de preferencia de exclusión voluntaria, como el Global Privacy Control, que comunique la decisión de un consumidor. Esto significa que sus propiedades web deben detectar la señal y aplicar la exclusión voluntaria automáticamente, sin exigir que el consumidor haga nada más en su sitio. Pruebe esto de extremo a extremo, porque una señal que se recibe pero no se atiende es una infracción esperando a ser descubierta.
Trate el registro de exclusiones voluntarias como parte de la construcción. Usted debe poder demostrar que una exclusión voluntaria determinada, ya sea presentada directamente o mediante una señal de preferencia, fue recibida y respetada. Los registros del manejo de exclusiones voluntarias ayudan a demostrar el cumplimiento ahora que no hay un período de subsanación al cual recurrir.
Paso 5: Exija Consentimiento Previo (Opt-In) para los Datos Sensibles
Los datos sensibles están sujetos a una regla de consentimiento previo (opt-in) conforme al Mont. Code Ann. 30-14-2812: un responsable del tratamiento no puede procesar datos sensibles sin antes obtener el consentimiento del consumidor. El consentimiento debe ser un acto afirmativo claro, libre, específico, informado e inequívoco, y no puede obtenerse mediante patrones oscuros o diseños de interfaz engañosos. Las casillas premarcadas y el consentimiento agrupado no cumplen con el estándar.
Los datos sensibles incluyen los datos personales que revelan el origen racial o étnico, las creencias religiosas, una condición o diagnóstico de salud mental o física, la vida sexual, la orientación sexual, la ciudadanía o el estatus migratorio, los datos genéticos o biométricos utilizados para identificar a una persona, los datos personales de un menor conocido, y la geolocalización precisa. La primera tarea de cumplimiento aquí es la identificación: haga un inventario de sus datos y marque qué campos caen dentro de estas categorías, porque no puede aplicar una barrera de consentimiento previo a datos que no ha localizado.
Para un menor conocido de menos de 13 años, el procesamiento debe seguir la Ley federal de Protección de la Privacidad Infantil en Línea, y el consentimiento conforme a la COPPA satisface la MCDPA para ese grupo. Para los menores de mayor edad, se aplican las protecciones reforzadas para menores que se describen en la siguiente sección. Construya el flujo de consentimiento de manera que el procesamiento de datos sensibles simplemente no comience hasta que se capture y registre un consentimiento válido.
Paso 6: Realice Evaluaciones de Protección de Datos
La MCDPA exige que los responsables del tratamiento realicen y documenten evaluaciones de protección de datos para las actividades de procesamiento que presenten un riesgo elevado de daño a los consumidores, conforme al Mont. Code Ann. 30-14-2814. Las actividades cubiertas incluyen el procesamiento para publicidad dirigida, la venta de datos personales, cierta elaboración de perfiles, y el procesamiento de datos sensibles. La evaluación debe sopesar los beneficios del procesamiento frente a los riesgos potenciales para los consumidores, tomando en cuenta las salvaguardas que mitigan esos riesgos.
El SB 297 elevó las apuestas al ampliar la facultad del Fiscal General de exigir la presentación de estas evaluaciones. Una evaluación ya no es solo una práctica interna; el Fiscal General puede exigirla durante una investigación, y debe ponerse a disposición de una manera que no renuncie al privilegio abogado-cliente ni a la protección del producto del trabajo. Esto significa que sus evaluaciones deben existir realmente, estar razonablemente actualizadas, y poder recuperarse cuando se soliciten.
Las disposiciones complementarias en el Mont. Code Ann. 30-14-2818 y 30-14-2819 agregan un deber de evaluación específico para menores respecto del procesamiento que presente un riesgo elevado de daño a los menores. Por lo tanto, un servicio dirigido a adolescentes conlleva obligaciones de documentación además de sus obligaciones de consentimiento. Construya una plantilla de evaluación repetible y aplíquela cada vez que lance una nueva actividad de procesamiento de alto riesgo, en lugar de tratarla como un ejercicio de una sola vez.

Paso 7: Implemente Contratos con Encargados del Tratamiento y Seguridad de Datos
Cuando un responsable del tratamiento contrata a un encargado del tratamiento para manejar datos personales en su nombre, la MCDPA exige un contrato vinculante que rija el procesamiento. El contrato debe establecer las instrucciones de procesamiento, la naturaleza y el propósito del procesamiento, el tipo de datos y la duración, y las obligaciones del encargado de mantener la confidencialidad, eliminar o devolver los datos al finalizar la relación, ayudar al responsable con sus obligaciones, y someterse a auditorías razonables. Revise y documente sus relaciones con proveedores para que cada encargado del tratamiento esté sujeto a un contrato conforme.
Los responsables del tratamiento también tienen un deber básico de seguridad de datos. La MCDPA exige que los responsables establezcan, implementen y mantengan prácticas razonables de seguridad de datos administrativas, técnicas y físicas apropiadas para el volumen y la naturaleza de los datos personales en cuestión. No existe un único estándar prescrito, por lo que la obligación se escala según el riesgo: los datos más sensibles o de mayor volumen requieren salvaguardas más sólidas.
La minimización de datos sustenta ambos deberes. La MCDPA limita la recopilación a lo que sea adecuado, pertinente y razonablemente necesario para los propósitos divulgados, y prohíbe el procesamiento para nuevos propósitos incompatibles sin consentimiento. Conservar menos datos reduce tanto su exposición de seguridad como el alcance de las solicitudes de consumidores que debe atender.
Paso 8: Aplique Salvaguardas Reforzadas para los Menores
El SB 297 convirtió a los menores en un punto focal del cumplimiento en Montana. Conforme al Mont. Code Ann. 30-14-2811, para un consumidor que el responsable del tratamiento sabe que es menor de edad, definido como una persona menor de 18 años, el responsable no puede procesar datos personales para publicidad dirigida, venta de datos personales, o elaboración de perfiles sin consentimiento. El responsable no puede recopilar datos de geolocalización precisa a menos que sea razonablemente necesario, y debe aplicar la minimización de datos para que los datos de un menor no se conserven más tiempo del razonablemente necesario para proporcionar el servicio solicitado.
Estas obligaciones van más allá de la COPPA, que generalmente rige a los menores de 13 años, porque Montana extiende los límites de consentimiento y procesamiento a todos los menores conocidos de hasta 18 años. Si es probable que su servicio sea utilizado por adolescentes, construya una lógica consciente de la edad de manera que, una vez que se sepa que un usuario es menor de edad, las vías de publicidad dirigida, venta y elaboración de perfiles se bloqueen en ausencia de consentimiento. Combine esa lógica con la evaluación de protección de datos específica para menores requerida por el Mont. Code Ann. 30-14-2819.
Documente los controles. Debido a que el Fiscal General puede exigir evaluaciones y no existe un período de subsanación, una empresa dirigida a adolescentes debe poder demostrar qué señales de edad utiliza, qué procesamiento restringe, y cómo captura cualquier consentimiento. Esta es una de las partes más exigentes de la MCDPA a partir de 2026.
La Conclusión: Sin Período de Subsanación, Sanciones Reales
El hecho de cumplimiento más importante para 2026 es que la red de seguridad ha desaparecido. La MCDPA originalmente incluía un derecho de subsanación de 60 días que estaba programado para expirar 18 meses después de la fecha de vigencia, el 1 de abril de 2026, y el SB 297 eliminó el mecanismo de subsanación del estatuto con vigencia a partir del 1 de octubre de 2025. De cualquier manera, el resultado es el mismo y debe declararse con claridad: a partir del 1 de abril de 2026, no existe un período de subsanación obligatorio, y el Fiscal General de Montana puede iniciar una acción de aplicación sin antes enviar una carta de advertencia o permitir que una empresa corrija la infracción.
La aplicación se realiza a través de la Ley de Prácticas Comerciales Desleales y Protección al Consumidor de Montana, con sanciones civiles de hasta $7,500 por infracción conforme al Mont. Code Ann. 30-14-142, además de medidas cautelares y la recuperación de los costos de investigación y aplicación. El SB 297 también amplió las facultades de investigación del Fiscal General, incluidos los requerimientos civiles de investigación y la facultad de exigir la presentación de evaluaciones de protección de datos. No existe un derecho de acción privado, por lo que la aplicación se centraliza en la oficina del Fiscal General.
Debido a que ya no existe un período de gracia, el consejo práctico es cerrar las brechas antes de que llegue una queja. Mantenga actualizados y disponibles su análisis de aplicabilidad, su aviso de privacidad, los registros de consentimiento, los registros de exclusión voluntaria, los contratos con encargados del tratamiento y las evaluaciones de protección de datos. Una empresa que puede demostrar un programa de cumplimiento funcional se encuentra en una posición mucho más sólida ahora que una primera infracción puede dar lugar directamente a sanciones.
Guías relacionadas
- Centro de Leyes de Privacidad de Datos de Montana
- ¿Qué es la MCDPA?
- Derechos del Consumidor Bajo la MCDPA
- Comparación de Leyes Estatales de Privacidad de EE. UU.
- ¿Qué es la CCPA?
Más Leyes de Montana
- Leyes de Grabación de Reuniones con IA de Montana
- Leyes de Pensión Alimenticia de Montana
- Leyes de Empleo a Voluntad de Montana
- Leyes de Accidentes de Auto de Montana
- Leyes de Asientos de Seguridad para Niños de Montana
- Leyes de Custodia de los Hijos de Montana
- Leyes de Manutención de los Hijos de Montana
- Leyes de Matrimonio de Hecho de Montana
- Leyes de Deepfake de Montana
- Leyes de Divorcio de Montana
- Leyes de Mordeduras de Perro de Montana
- Leyes de Emancipación de Montana
- Leyes de Eliminación de Antecedentes Penales de Montana
- Leyes de Choque y Fuga de Montana
- Leyes de Propietarios e Inquilinos de Montana
- Ley del Limón de Montana
Preguntas frecuentes
¿Cómo sé si la MCDPA se aplica a mi empresa?
A partir de 2026, la MCDPA se aplica si usted realiza negocios en Montana o dirige sus productos o servicios a los residentes de Montana y controla o procesa los datos personales de 25,000 o más consumidores de Montana, o de 15,000 o más si obtiene más del 25 por ciento de sus ingresos brutos de la venta de datos personales (Mont. Code Ann. 30-14-2803).
¿Por qué los umbrales de Montana son una preocupación de cumplimiento en 2026?
El SB 297 redujo los umbrales de 50,000 a 25,000 consumidores, y de 25,000 a 15,000 para los vendedores de datos, con vigencia a partir del 1 de octubre de 2025. Ahora son los más bajos de cualquier ley estatal de privacidad, por lo que las empresas que anteriormente estaban exentas deben volver a realizar la prueba de aplicabilidad.
¿Todavía tengo la oportunidad de corregir una infracción antes de la aplicación?
No. El período de subsanación de 60 días finalizó el 1 de abril de 2026. El Fiscal General de Montana ahora puede iniciar una acción de aplicación sin enviar una carta de advertencia ni permitir una subsanación, por lo que no existe una red de seguridad.
¿Qué debe incluir un aviso de privacidad de la MCDPA?
El aviso debe describir las categorías de datos procesados, los propósitos, cómo los consumidores ejercen sus derechos y apelan, las categorías de datos compartidos, y las categorías de terceros. Si vende datos o los utiliza para publicidad dirigida, debe divulgarlo y explicar cómo excluirse.
¿Cuál es el requisito de exclusión voluntaria universal?
Desde el 1 de enero de 2025, los responsables del tratamiento que procesan datos para publicidad dirigida o venta deben reconocer una señal de preferencia de exclusión voluntaria como el Global Privacy Control y aplicar la exclusión voluntaria automáticamente, sin exigir que el consumidor realice pasos adicionales en su sitio.
¿Cuándo necesito una evaluación de protección de datos?
Usted debe realizar y documentar evaluaciones para el procesamiento de mayor riesgo, incluyendo la publicidad dirigida, la venta, cierta elaboración de perfiles y los datos sensibles (Mont. Code Ann. 30-14-2814). Después del SB 297, el Fiscal General puede exigir estas evaluaciones durante una investigación.
¿Cuáles son las sanciones bajo la MCDPA?
Las sanciones civiles alcanzan hasta $7,500 por infracción conforme al Mont. Code Ann. 30-14-142, aplicadas por el Fiscal General a través de la Ley de Prácticas Comerciales Desleales, junto con medidas cautelares y la recuperación de los costos de aplicación. No existe un derecho de acción privado.
¿Qué pasos adicionales se aplican si mi servicio llega a menores?
Para los consumidores que usted sabe que son menores de 18 años, no puede procesar datos para publicidad dirigida, venta o elaboración de perfiles sin consentimiento, no puede recopilar geolocalización precisa a menos que sea razonablemente necesario, y debe minimizar los datos (Mont. Code Ann. 30-14-2811). También se requiere una evaluación de protección de datos específica para menores.
Fuentes y referencias
- Mont. Code Ann. 30-14-2803, Aplicabilidad(mca.legmt.gov).gov
- Mont. Code Ann. 30-14-2808, Datos personales del consumidor, exclusión voluntaria, apelaciones(mca.legmt.gov).gov
- Mont. Code Ann. 30-14-2811, Deberes de los responsables del tratamiento, menores(mca.legmt.gov).gov
- Mont. Code Ann. 30-14-2812, Limitaciones al procesamiento de datos(mca.legmt.gov).gov
- Mont. Code Ann. 30-14-2814, Evaluación de protección de datos(mca.legmt.gov).gov
- Mont. Code Ann. 30-14-142, Sanciones civiles(mca.legmt.gov).gov
- Oficina de Protección al Consumidor del DOJ de Montana, Privacidad de Datos del Consumidor de Montana(dojmt.gov).gov
- Legislatura de Montana, SB 297 (sesión de 2025)(bills.legmt.gov).gov
- Especificación técnica de Global Privacy Control(globalprivacycontrol.org)