Montana
Derechos del Consumidor Bajo la MCDPA: Derechos de Privacidad de Montana (2026)

La Ley de Privacidad de Datos del Consumidor de Montana (MCDPA), en el Mont. Code Ann. 30-14-2808, otorga a los residentes de Montana cinco derechos fundamentales sobre sus datos: confirmar y acceder a sus datos personales, corregir inexactitudes, eliminar datos, obtener una copia portátil, y excluirse de la publicidad dirigida, la venta de datos personales y cierta elaboración de perfiles. Las empresas cubiertas por la ley deben responder a una solicitud verificada dentro de 45 días, con una extensión de 45 días disponible cuando sea razonablemente necesario. A partir de 2026, estos derechos están respaldados por una aplicación más estricta, porque el período de subsanación que antes protegía a las empresas finalizó el 1 de abril de 2026.
Dos características hacen que el marco de derechos de Montana sea más sólido que un modelo básico de exclusión voluntaria. Desde el 1 de enero de 2025, los responsables del tratamiento deben respetar una señal universal de exclusión voluntaria como Global Privacy Control, de manera que una sola configuración del navegador pueda transmitir la decisión de un consumidor en todos los sitios cubiertos. Y después del SB 297, la ley aplica protecciones reforzadas a los consumidores que un responsable del tratamiento sabe que son menores de 18 años, exigiendo el consentimiento antes de que sus datos se utilicen para publicidad dirigida, venta o elaboración de perfiles.
Alcance jurisdiccional: Esto cubre la Ley de Privacidad de Datos del Consumidor de Montana (Mont. Code Ann. Título 30, Capítulo 14, Parte 28). Es información legal general, no asesoría legal.
Los Cinco Derechos del Consumidor Bajo la MCDPA
El núcleo de la MCDPA es la lista de derechos en el Mont. Code Ann. 30-14-2808. Un consumidor de Montana puede presentar una solicitud a un responsable del tratamiento para ejercer cualquiera de cinco derechos. El primero es el derecho a confirmar si un responsable del tratamiento está procesando los datos personales del consumidor y a acceder a esos datos. El segundo es el derecho a corregir inexactitudes, tomando en cuenta la naturaleza de los datos y los propósitos del procesamiento. El tercero es el derecho a eliminar los datos personales sobre el consumidor.
El cuarto es el derecho a la portabilidad de datos: el consumidor puede obtener una copia de los datos personales que previamente proporcionó al responsable del tratamiento "en un formato portátil y, en la medida técnicamente factible, fácilmente utilizable" que permita transmitir los datos a otro responsable del tratamiento sin obstáculos. El quinto es el derecho a excluirse del procesamiento para fines de publicidad dirigida, venta de datos personales, y elaboración de perfiles en apoyo de decisiones que produzcan efectos legales o efectos igualmente significativos.
Estos derechos pertenecen a los "consumidores", definidos como residentes de Montana que actúan en un contexto individual o doméstico. La MCDPA excluye a las personas que actúan en calidad comercial o laboral, por lo que un empleado que pregunta sobre los registros del lugar de trabajo o un contacto comercial que pregunta sobre una relación con un proveedor no está ejerciendo un derecho del consumidor bajo este estatuto. Ese alcance refleja las leyes de privacidad del modelo de Virginia y contrasta con California, que extendió sus derechos a los empleados y a los contactos comerciales.
Los Derechos de Acceso y Portabilidad en la Práctica
El derecho de acceso permite a un consumidor averiguar qué información tiene una empresa. Un responsable del tratamiento que recibe una solicitud de acceso verificada debe confirmar si está procesando los datos personales del consumidor y proporcionar acceso a esos datos. En la práctica, esto significa que una empresa necesita poder localizar los datos de un consumidor en todos sus sistemas, razón por la cual el mapeo de datos es una tarea fundamental de cumplimiento y no algo opcional.
La portabilidad va un paso más allá al exigir que los datos se devuelvan en una forma utilizable. La frase estatutaria "en la medida técnicamente factible, formato fácilmente utilizable" establece el estándar: el formato debe permitir que el consumidor traslade los datos a otro servicio. El derecho de portabilidad se limita a los datos que el consumidor "previamente proporcionó", por lo que no necesariamente alcanza las inferencias o los datos derivados que un responsable del tratamiento generó por su cuenta. Un responsable del tratamiento también puede negarse a proporcionar datos portátiles cuando hacerlo requeriría revelar un secreto comercial.
Ambos derechos están sujetos a verificación. Un responsable del tratamiento no está obligado a cumplir con una solicitud si no puede autenticarla mediante esfuerzos comercialmente razonables, aunque debe notificar al consumidor y puede solicitar información adicional razonablemente necesaria para autenticar la solicitud. Esto protege contra el riesgo de que alguien se haga pasar por un consumidor para extraer los datos de otra persona, un riesgo real que los reguladores de privacidad toman en serio.
Corrección y Eliminación
El derecho de corrección permite a un consumidor corregir datos personales inexactos, "tomando en cuenta la naturaleza de los datos personales y los propósitos del procesamiento". Esto es más limitado de lo que podría parecer. Aborda las inexactitudes fácticas en los datos que posee un responsable del tratamiento; no le otorga al consumidor la facultad de reescribir registros legítimos ni de disputar las conclusiones lícitas de un responsable del tratamiento. El calificativo de razonabilidad da margen a los responsables del tratamiento para sopesar cómo se utilizan los datos.
El derecho de eliminación es amplio en apariencia: un consumidor puede solicitar que un responsable del tratamiento elimine los datos personales sobre el consumidor. A diferencia del derecho de portabilidad, la eliminación alcanza los datos que el responsable del tratamiento obtuvo de fuentes distintas al consumidor, no solo los datos que el consumidor proporcionó. Esto hace que la eliminación sea uno de los derechos operativamente más exigentes, porque un responsable del tratamiento debe poder encontrar y eliminar los datos que adquirió de terceros o que generó internamente.
La eliminación no es absoluta. Las reglas de procesamiento y las exenciones de la MCDPA permiten que un responsable del tratamiento conserve los datos cuando otra obligación legal lo exija, cuando los datos sean necesarios para completar una transacción que el consumidor solicitó, para detectar incidentes de seguridad, para cumplir con la ley, o para propósitos enumerados similares. Un responsable del tratamiento que niega una solicitud de eliminación basándose en una exención debe poder señalar el fundamento específico, porque la carga de justificar una exención generalmente recae en el responsable del tratamiento.

Los Derechos de Exclusión Voluntaria y la Señal Universal de Exclusión Voluntaria
El derecho de exclusión voluntaria conforme al Mont. Code Ann. 30-14-2808 cubre tres actividades distintas: la publicidad dirigida, la venta de datos personales, y la elaboración de perfiles en apoyo de decisiones que produzcan efectos legales o efectos igualmente significativos. La "venta" bajo la MCDPA se define de manera amplia para incluir el intercambio de datos personales a cambio de dinero u otra contraprestación de valor, lo que puede abarcar acuerdos de intercambio de datos que una empresa podría no haber etiquetado como una venta.
Los responsables del tratamiento deben proporcionar un método claro y visible para que los consumidores ejerzan estas exclusiones voluntarias, y ese método debe estar disponible tanto dentro del sitio como, para las ventas y la publicidad dirigida, a través de una señal de preferencia de exclusión voluntaria. Desde el 1 de enero de 2025, un responsable del tratamiento que procesa datos personales para publicidad dirigida o venta debe reconocer un mecanismo universal de exclusión voluntaria, como el Global Privacy Control, que comunique la decisión de un consumidor de excluirse. Esta es la característica que convierte la exclusión voluntaria de una tarea por sitio en una configuración única.
El requisito de exclusión voluntaria universal es significativo porque traslada el esfuerzo del consumidor a la empresa. Un residente de Montana puede configurar una señal a nivel de navegador o plataforma una sola vez, y todo responsable del tratamiento cubierto debe tratar esa señal como una exclusión voluntaria válida para las ventas y la publicidad dirigida. Los responsables del tratamiento no pueden exigir que un consumidor cree una cuenta para poder excluirse, y no pueden hacer que el proceso de exclusión voluntaria sea más oneroso que el de inclusión voluntaria.
El Plazo de Respuesta de 45 Días y su Extensión
El cronograma se rige por el Mont. Code Ann. 30-14-2808. Un responsable del tratamiento debe responder a la solicitud de un consumidor "sin demora indebida, pero no más tarde de 45 días después de recibir la solicitud". El plazo comienza a correr cuando el responsable del tratamiento recibe la solicitud, razón por la cual los procesos de recepción son importantes; una solicitud que permanece en una bandeja de entrada genérica sigue contando para el plazo.
El responsable del tratamiento "puede extender el período de respuesta por 45 días adicionales cuando sea razonablemente necesario, considerando la complejidad y el número de solicitudes del consumidor". Para utilizar la extensión, el responsable del tratamiento debe informar al consumidor sobre la extensión dentro del período inicial de 45 días y explicar el motivo. La extensión no es automática y está destinada a situaciones genuinamente complejas o de alto volumen, no a la conveniencia rutinaria. La siguiente tabla presenta los plazos.
| Acción | Plazo | Autoridad |
|---|---|---|
| Responder a una solicitud del consumidor | 45 días desde la recepción | Mont. Code Ann. 30-14-2808 |
| Extensión del período de respuesta | 45 días adicionales | Mont. Code Ann. 30-14-2808 |
| Responder a una apelación | 60 días desde la recepción | Mont. Code Ann. 30-14-2808 |
Si un responsable del tratamiento decide no actuar sobre una solicitud, debe informar al consumidor sin demora indebida y dentro de 45 días sobre los motivos de no actuar y las instrucciones para apelar. La información proporcionada en respuesta a una solicitud generalmente debe entregarse sin cargo una vez por consumidor durante cualquier período de 12 meses, aunque un responsable del tratamiento puede cobrar una tarifa razonable o negarse a actuar sobre solicitudes que sean manifiestamente infundadas, excesivas o repetitivas.

El Derecho a Apelar
La MCDPA incorpora una segunda revisión. Conforme al Mont. Code Ann. 30-14-2808, un responsable del tratamiento debe establecer un proceso para que un consumidor apele la negativa del responsable a actuar sobre una solicitud, dentro de un período razonable después de que el consumidor reciba la negativa. El proceso de apelación debe estar disponible de manera visible y ser similar al proceso para presentar la solicitud original.
Dentro de 60 días después de recibir una apelación, el responsable del tratamiento debe informar al consumidor por escrito sobre cualquier acción tomada o no tomada en respuesta a la apelación, incluida una explicación por escrito de los motivos de la decisión. Este requisito de explicación escrita le da al consumidor un registro del razonamiento del responsable, lo cual puede ser importante si la disputa se agrava.
Si se niega la apelación, el responsable del tratamiento debe proporcionar al consumidor un mecanismo en línea, si está disponible, u otro método a través del cual el consumidor pueda comunicarse con el Fiscal General de Montana para presentar una queja. La vía de apelación no crea una demanda privada; en cambio, canaliza las disputas no resueltas hacia el Fiscal General, quien es el único que hace cumplir la MCDPA. Los consumidores no pueden demandar directamente a una empresa conforme al estatuto.
Los Datos Sensibles y el Estándar de Consentimiento Previo
Para los datos sensibles, la MCDPA invierte el estándar predeterminado. Conforme al Mont. Code Ann. 30-14-2812, un responsable del tratamiento no puede procesar datos sensibles sin antes obtener el consentimiento del consumidor. El "consentimiento" significa un acto afirmativo claro que indique un acuerdo libre, específico, informado e inequívoco, y no puede obtenerse mediante diseño engañoso ni los llamados patrones oscuros. Este estándar de consentimiento previo es sustancialmente más sólido que la exclusión voluntaria que rige el procesamiento ordinario.
Los datos sensibles se definen para incluir los datos personales que revelen el origen racial o étnico, las creencias religiosas, una condición o diagnóstico de salud mental o física, la vida sexual, la orientación sexual, la ciudadanía o el estatus migratorio, los datos genéticos o biométricos procesados con el propósito de identificar de manera única a una persona, los datos personales recopilados de un menor conocido, y los datos de geolocalización precisa. Debido a que las consecuencias de manejar mal estas categorías son graves, los responsables del tratamiento deben identificar los datos sensibles en su inventario y confirmar una base lícita de consentimiento antes de procesarlos.
La categoría del menor conocido vincula la regla de datos sensibles con la ley federal. Los datos de un menor de 13 años se procesan de conformidad con la Ley de Protección de la Privacidad Infantil en Línea, por lo que el consentimiento conforme a la COPPA satisface la MCDPA para ese grupo de edad. Para los menores de mayor edad, se aplican en su lugar las protecciones reforzadas de Montana para menores, que se abordan en la siguiente sección.
Protecciones Reforzadas para los Menores
El SB 297 convirtió a Montana en uno de los estados más protectores respecto de los datos de los adolescentes, no solo de los niños pequeños. Conforme al Mont. Code Ann. 30-14-2811, para un consumidor que el responsable del tratamiento sabe que es menor de edad, definido como una persona menor de 18 años, el responsable no puede procesar datos personales para publicidad dirigida, venta de datos personales, o elaboración de perfiles sin consentimiento. El responsable tampoco puede recopilar datos de geolocalización precisa a menos que sea razonablemente necesario, y debe aplicar la minimización de datos para que los datos de un menor no se conserven más tiempo del razonablemente necesario para proporcionar el servicio solicitado.
Estas reglas van más allá de la COPPA, que generalmente rige a los menores de 13 años. Al extender los requisitos de consentimiento y los límites de procesamiento a todos los menores conocidos de hasta 18 años, Montana trata a los adolescentes como una clase protegida. Las disposiciones complementarias en el Mont. Code Ann. 30-14-2818 y 30-14-2819 asignan la responsabilidad según el rol y exigen evaluaciones de protección de datos para el procesamiento que presente un riesgo elevado de daño a los menores, de modo que un servicio dirigido a adolescentes conlleva deberes de documentación además de las reglas de consentimiento.
Para los consumidores y los padres, el resultado práctico es un control significativo sobre cómo se utilizan los datos de un menor. Una empresa que sabe que un usuario es menor de 18 años no puede inscribir silenciosamente a ese usuario en publicidad conductual, vender los datos del usuario, o ejecutar elaboración de perfiles que impulse decisiones significativas sin obtener consentimiento. A partir de 2026, estas se encuentran entre las obligaciones más exigentes de la MCDPA, y coexisten junto con los mismos derechos de acceso, corrección, eliminación y portabilidad que se aplican a todos los consumidores.
Guías relacionadas
- Centro de Leyes de Privacidad de Datos de Montana
- ¿Qué es la MCDPA?
- Lista de Verificación de Cumplimiento de la MCDPA
- Comparación de Leyes Estatales de Privacidad de EE. UU.
- ¿Qué es la CCPA?
Más Leyes de Montana
- Leyes de Grabación de Reuniones con IA de Montana
- Leyes de Pensión Alimenticia de Montana
- Leyes de Empleo a Voluntad de Montana
- Leyes de Accidentes de Auto de Montana
- Leyes de Asientos de Seguridad para Niños de Montana
- Leyes de Custodia de los Hijos de Montana
- Leyes de Manutención de los Hijos de Montana
- Leyes de Matrimonio de Hecho de Montana
- Leyes de Deepfake de Montana
- Leyes de Divorcio de Montana
- Leyes de Mordeduras de Perro de Montana
- Leyes de Emancipación de Montana
- Leyes de Eliminación de Antecedentes Penales de Montana
- Leyes de Choque y Fuga de Montana
- Leyes de Propietarios e Inquilinos de Montana
- Ley del Limón de Montana
Preguntas frecuentes
¿Qué derechos tienen los consumidores de Montana bajo la MCDPA?
Conforme al Mont. Code Ann. 30-14-2808, los consumidores pueden confirmar y acceder a sus datos personales, corregir inexactitudes, eliminar datos, obtener una copia portátil de los datos que proporcionaron, y excluirse de la publicidad dirigida, la venta de datos personales y cierta elaboración de perfiles.
¿Cuánto tiempo tiene una empresa para responder a mi solicitud bajo la MCDPA?
Un responsable del tratamiento debe responder sin demora indebida y a más tardar 45 días después de recibir la solicitud. Puede extender el período por 45 días adicionales cuando sea razonablemente necesario, pero debe notificarle sobre la extensión dentro de los primeros 45 días.
¿Puedo excluirme de la venta de datos con una sola señal?
Sí. Desde el 1 de enero de 2025, los responsables del tratamiento que procesan datos para publicidad dirigida o venta deben reconocer un mecanismo universal de exclusión voluntaria como el Global Privacy Control, de manera que una sola configuración del navegador pueda transmitir su exclusión voluntaria en todos los sitios cubiertos.
¿Qué puedo hacer si una empresa niega mi solicitud?
Puede apelar. El responsable del tratamiento debe responder a una apelación dentro de 60 días con una explicación por escrito. Si se niega la apelación, el responsable debe darle una forma de presentar una queja ante el Fiscal General de Montana.
¿La MCDPA cubre los datos sensibles de manera diferente?
Sí. Conforme al Mont. Code Ann. 30-14-2812, un responsable del tratamiento debe obtener su consentimiento antes de procesar datos sensibles, lo cual es una regla de consentimiento previo (opt-in). Los datos sensibles incluyen las categorías de salud, biométricos, geolocalización precisa y categorías similares.
¿Qué protecciones adicionales se aplican a los menores?
Para los consumidores que un responsable del tratamiento sabe que son menores de 18 años, el Mont. Code Ann. 30-14-2811 restringe la publicidad dirigida, la venta y la elaboración de perfiles sin consentimiento, limita la recopilación de geolocalización precisa, y exige la minimización de datos. Estas reglas entraron en vigor el 1 de octubre de 2025.
¿Puedo demandar a una empresa por violar mis derechos bajo la MCDPA?
No. La MCDPA no tiene un derecho de acción privado. El Fiscal General de Montana es el único que la hace cumplir, y usted puede presentar una queja para que la oficina la revise y decida si actúa.
¿Hay algún costo por presentar una solicitud bajo la MCDPA?
Generalmente no. Un responsable del tratamiento debe proporcionar la información sin cargo una vez por consumidor durante cualquier período de 12 meses, aunque puede cobrar una tarifa razonable o negarse a actuar sobre solicitudes que sean manifiestamente infundadas, excesivas o repetitivas.
Fuentes y referencias
- Mont. Code Ann. 30-14-2808, Datos personales del consumidor, exclusión voluntaria, apelaciones(mca.legmt.gov).gov
- Mont. Code Ann. 30-14-2812, Limitaciones al procesamiento de datos(mca.legmt.gov).gov
- Mont. Code Ann. 30-14-2811, Deberes de los responsables del tratamiento, menores(mca.legmt.gov).gov
- Mont. Code Ann. 30-14-2802, Definiciones(mca.legmt.gov).gov
- Mont. Code Ann. 30-14-2801 y siguientes, Ley de Privacidad de Datos del Consumidor de Montana(mca.legmt.gov).gov
- Oficina de Protección al Consumidor del DOJ de Montana, Privacidad de Datos del Consumidor de Montana(dojmt.gov).gov
- Legislatura de Montana, SB 297 (sesión de 2025)(bills.legmt.gov).gov
- Especificación técnica de Global Privacy Control(globalprivacycontrol.org)