Montana
¿Qué Es la MCDPA? Ley de Privacidad de Datos de Montana (2026)

La Ley de Privacidad de Datos del Consumidor de Montana (MCDPA), codificada en el Mont. Code Ann. 30-14-2801 y siguientes, es la ley integral de privacidad del consumidor de Montana. Entró en vigor el 1 de octubre de 2024, y otorga a los residentes de Montana el derecho a acceder, corregir, eliminar y trasladar sus datos personales, además del derecho a excluirse de la publicidad dirigida, la venta de datos personales y cierta elaboración de perfiles. A partir de 2026, después de la reforma del SB 297, alcanza a más empresas que cualquier otra ley estatal de privacidad porque tiene los umbrales de cobertura más bajos del país.
El cambio reciente más trascendental tiene que ver con la aplicación, no con los derechos. La MCDPA originalmente otorgaba a las empresas una ventana de 60 días para "subsanar" una presunta infracción antes de que el Fiscal General pudiera demandar. Esa red de seguridad ha desaparecido. A partir del 1 de abril de 2026, el Fiscal General de Montana puede iniciar una acción de aplicación sin antes enviar una carta de advertencia o permitir una subsanación, por lo que una primera infracción ahora puede dar lugar directamente a sanciones de hasta $7,500 cada una conforme al Mont. Code Ann. 30-14-142.
Alcance jurisdiccional: Esto cubre la Ley de Privacidad de Datos del Consumidor de Montana (Mont. Code Ann. Título 30, Capítulo 14, Parte 28). Es información legal general, no asesoría legal.
Qué Es la MCDPA y Cuándo Entró en Vigor
La Ley de Privacidad de Datos del Consumidor de Montana es un estatuto integral de privacidad del consumidor, lo que significa que rige la forma en que las empresas recopilan, utilizan, comparten y protegen los datos personales de los residentes de Montana de manera general, en lugar de regular un sector limitado. Fue promulgada en 2023 como el Senate Bill 384, firmado por el gobernador Greg Gianforte, y entró en vigor el 1 de octubre de 2024. El texto vigente se encuentra en el Mont. Code Ann. Título 30, Capítulo 14, Parte 28, comenzando en el Mont. Code Ann. 30-14-2801.
La MCDPA pertenece a la familia de leyes estatales de privacidad que trazan su estructura a los modelos de Virginia y Connecticut, en lugar de California. Ese linaje importa. Al igual que la Ley de Privacidad de Datos de Connecticut, la MCDPA otorga a los consumidores un conjunto definido de derechos, impone deberes a las empresas que deciden por qué y cómo se procesan los datos, y es aplicada únicamente por el Fiscal General del estado. No crea el tipo de derecho de demanda privada que permiten las disposiciones de violación de datos de California.
Un "consumidor" bajo la MCDPA es un residente de Montana que actúa en calidad individual o doméstica. La ley excluye deliberadamente a las personas que actúan en un contexto comercial o laboral, por lo que los contactos entre empresas y los datos de empleados quedan fuera del marco central de derechos del consumidor. Esta es una característica común de las leyes del modelo de Virginia y distingue a Montana de California, que extendió sus protecciones a los empleados y a los contactos B2B.
La Reforma del SB 297, Vigente desde el 1 de Octubre de 2025
Lo más importante que hay que entender sobre la MCDPA a partir de 2026 es que fue reescrita significativamente antes de que la mayoría de las empresas hubiera terminado su primer año de cumplimiento. El Senate Bill 297, aprobado durante la sesión legislativa de 2025, entró en vigor el 1 de octubre de 2025, y cambió la ley en cuatro direcciones principales a la vez: redujo los umbrales de cobertura, eliminó el período de subsanación, reforzó las protecciones para los menores, y amplió las facultades de investigación del Fiscal General.
Cada uno de estos cambios apunta hacia una cobertura más amplia y una aplicación más estricta. Las reducciones de umbral incorporan a empresas más pequeñas. La eliminación del período de subsanación acaba con el período de gracia en el que las empresas confiaban. Las protecciones para menores agregan nuevas obligaciones de consentimiento previo. Y las herramientas de investigación ampliadas, incluidos los requerimientos civiles de investigación y la facultad de exigir la presentación de evaluaciones de protección de datos, le dan al Fiscal General más formas de poner a prueba el cumplimiento. La siguiente tabla resume el panorama antes y después.
| Disposición | Antes del SB 297 | A partir de 2026 (después del SB 297) |
|---|---|---|
| Umbral principal de consumidores | 50,000 consumidores | 25,000 consumidores (Mont. Code Ann. 30-14-2803) |
| Umbral de venta de datos | 25,000 consumidores + 25% de ingresos | 15,000 consumidores + 25% de ingresos |
| Período de subsanación | 60 días, con vencimiento el 1 de abril de 2026 | Sin período de subsanación a partir del 1 de abril de 2026 |
| Protecciones para menores | Deber general | Consentimiento previo para publicidad, venta, elaboración de perfiles; límites de geolocalización |
| Herramientas de investigación del Fiscal General | Estándar | Requerimientos civiles de investigación; puede exigir evaluaciones |
Los Umbrales de Cobertura Más Bajos del País
La MCDPA se aplica a una persona que realiza negocios en Montana, o que produce productos o servicios dirigidos a los residentes de Montana, y que durante un año calendario controla o procesa los datos personales según uno de dos conteos de consumidores conforme al Mont. Code Ann. 30-14-2803. A partir de 2026, el primer conteo es de 25,000 o más consumidores de Montana, excluyendo los datos procesados únicamente para completar una transacción de pago. El segundo conteo es de 15,000 o más consumidores de Montana cuando la empresa obtiene más del 25 por ciento de sus ingresos brutos de la venta de datos personales.
Estos son, como señala la Oficina de Protección al Consumidor del Departamento de Justicia de Montana, los umbrales más bajos de cualquier ley estatal de privacidad. El SB 297 redujo la cifra principal casi a la mitad, de 50,000 a 25,000, y bajó la cifra basada en ventas de 25,000 a 15,000. Debido a que Montana tiene una población pequeña, un activador de 25,000 consumidores captura una parte significativa de las empresas que tienen contacto con los habitantes de Montana en línea. Un sitio nacional de comercio electrónico, un proveedor de servicios regional, o una aplicación con un alcance modesto en Montana puede quedar dentro de la ley sin hacer nada que parezca una gran operación de datos.
Tenga en cuenta que los umbrales cuentan a los consumidores de Montana, no a los usuarios a nivel nacional ni a los ingresos totales. Una empresa con millones de clientes en otros lugares pero muy pocos en Montana puede quedar por debajo del límite, mientras que una empresa fuertemente enfocada en Montana podría quedar cubierta con una presencia comparativamente pequeña. La excepción de transacciones de pago en el conteo principal es limitada: excluye únicamente los datos procesados solo para completar un pago, no los datos de clientes más amplios que una empresa conserva después.

Qué No Cubre la MCDPA: Exenciones
La MCDPA, al igual que sus leyes hermanas, superpone exenciones a nivel de entidad y a nivel de datos sobre los umbrales. Estas excepciones existen porque otros regímenes federales y estatales ya regulan a ciertas organizaciones y tipos de datos. Conforme a las disposiciones de aplicabilidad en el Mont. Code Ann. 30-14-2803, la ley no se aplica a una serie de organismos e información.
Las categorías exentas incluyen las entidades gubernamentales estatales y locales, y las tribus reconocidas federalmente; las organizaciones sin fines de lucro; las instituciones de educación superior; y la información ya regida por la ley federal específica de un sector. Los datos regulados por la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA), la Ley de Informe Justo de Crédito, la Ley de Protección de la Privacidad del Conductor, la Ley de Derechos Educativos y Privacidad Familiar, y la Ley federal de Crédito Agrícola están excluidos como información de salud o financiera protegida bajo esos regímenes.
El SB 297 reformuló el tratamiento del sector financiero y de las organizaciones sin fines de lucro. Redujo la excepción de la Ley Gramm-Leach-Bliley (GLBA): la exención a nivel de datos para la información regulada bajo la GLBA se mantiene, pero la amplia exención a nivel de entidad para las instituciones financieras fue reformulada, conservándose exenciones específicas para bancos, cooperativas de crédito y ciertas aseguradoras. La exención para organizaciones sin fines de lucro también se redujo en su alcance. El efecto práctico es que las empresas no deben suponer que una interpretación anterior de la exención de la GLBA sigue siendo válida; el texto posterior al SB 297 rige a partir de 2026.
Derechos del Consumidor y el Consentimiento Previo para los Datos Sensibles
La MCDPA otorga a los consumidores de Montana el ya familiar conjunto de derechos conforme al Mont. Code Ann. 30-14-2808: el derecho a confirmar si un responsable del tratamiento está procesando sus datos personales y a acceder a ellos, el derecho a corregir inexactitudes, el derecho a eliminar, el derecho a obtener una copia portátil de los datos que proporcionaron, y el derecho a excluirse de la publicidad dirigida, la venta de datos personales, y la elaboración de perfiles en apoyo de decisiones que produzcan efectos legales o efectos igualmente significativos. Los responsables del tratamiento deben responder sin demora indebida y a más tardar en 45 días, con una extensión de 45 días disponible cuando sea razonablemente necesario.
Los datos sensibles reciben un tratamiento más estricto. Conforme al Mont. Code Ann. 30-14-2812, un responsable del tratamiento no puede "procesar datos sensibles relativos a un consumidor sin obtener el consentimiento del consumidor". Esta es una regla de consentimiento previo (opt-in), lo opuesto al estándar predeterminado de exclusión voluntaria que se aplica al procesamiento ordinario. Los datos sensibles incluyen categorías como los datos que revelan el origen racial o étnico, las creencias religiosas, un diagnóstico de salud mental o física, la orientación sexual, la ciudadanía o el estatus migratorio, los datos genéticos o biométricos procesados para identificar a una persona, los datos personales de un menor conocido, y la geolocalización precisa.
Los responsables del tratamiento también deben reconocer un mecanismo universal de exclusión voluntaria. Desde el 1 de enero de 2025, un responsable del tratamiento que procesa datos personales para publicidad dirigida o venta debe respetar la decisión de un consumidor comunicada a través de una señal de preferencia de exclusión voluntaria, como Global Privacy Control. Ese requisito significa que un consumidor puede configurar una sola señal de navegador o dispositivo y que esta sea respetada en todos los sitios cubiertos, en lugar de hacer clic en una exclusión voluntaria en cada uno.

Protecciones Reforzadas para los Menores
El SB 297 colocó a Montana entre los estados más estrictos respecto de los datos de niños y adolescentes. Para los consumidores que un responsable del tratamiento sabe que son menores de edad, término que el Mont. Code Ann. 30-14-2802 define como personas menores de 18 años, el Mont. Code Ann. 30-14-2811 restringe el procesamiento de datos personales para publicidad dirigida, venta de datos personales, o elaboración de perfiles sin consentimiento. También limita la recopilación de datos de geolocalización precisa y exige la minimización de datos, de modo que un servicio no puede conservar los datos de un menor más tiempo del razonablemente necesario para proporcionar el servicio, producto o función en línea solicitado.
Estas protecciones reflejan una tendencia nacional hacia tratar a los adolescentes, no solo a los niños pequeños, como una clase protegida en el derecho de privacidad. La Ley federal de Protección de la Privacidad Infantil en Línea (COPPA) generalmente aborda a los menores de 13 años, pero las reglas de Montana se extienden a toda la población menor de 18 años en el caso de los menores conocidos. Las disposiciones complementarias en el Mont. Code Ann. 30-14-2818 y 30-14-2819 asignan la responsabilidad según el rol y exigen evaluaciones de protección de datos para el procesamiento que presente un riesgo elevado de daño a los menores. Las empresas que operan servicios dirigidos a adolescentes deben tratar estas como algunas de las obligaciones más exigentes del estatuto.
Cómo se Compara la MCDPA con la CCPA de California
Montana y California alcanzan objetivos similares mediante mecanismos diferentes. La CCPA y sus enmiendas surgieron de una tradición de iniciativas electorales y utilizan el lenguaje de "empresas", "consumidores", y un regulador dedicado, la Agencia de Protección de la Privacidad de California. La MCDPA utiliza el vocabulario del modelo de Virginia de "responsables del tratamiento" y "encargados del tratamiento", y es aplicada únicamente por el Fiscal General. La siguiente tabla destaca las diferencias prácticas.
| Característica | MCDPA de Montana | CCPA/CPRA de California |
|---|---|---|
| Activador de cobertura | 25,000 / 15,000 consumidores de Montana | $25M de ingresos, 100,000 consumidores, o 50% de ingresos por venta/intercambio |
| Datos de empleados y B2B | Excluidos | Incluidos |
| Datos sensibles | Se requiere consentimiento previo | Derecho a limitar el uso |
| Período de subsanación | Ninguno a partir del 1 de abril de 2026 | Discrecional, sin subsanación obligatoria |
| Derecho de acción privado | Ninguno | Limitado, para ciertas violaciones de datos |
| Regulador | Fiscal General | Agencia de Protección de la Privacidad de California |
El contraste principal es alcance frente a profundidad. Los activadores de ingresos y de grandes volúmenes de consumidores de California apuntan a operadores más grandes, mientras que los conteos bajos de consumidores de Montana incorporan a empresas mucho más pequeñas. Una empresa demasiado pequeña para la CCPA puede fácilmente quedar cubierta por la MCDPA. Para las empresas con operaciones en varios estados, el activador de 25,000 consumidores de la MCDPA y su regla de consentimiento previo para datos sensibles a menudo establecen el piso de lo que un programa de privacidad debe respaldar a nivel nacional.
Aplicación Después de que Finalizó el Período de Subsanación
El Fiscal General de Montana es el único que aplica la MCDPA. La aplicación se realiza a través de la Ley de Prácticas Comerciales Desleales y Protección al Consumidor de Montana, y las sanciones civiles alcanzan hasta $7,500 por infracción conforme al Mont. Code Ann. 30-14-142. No existe un derecho de acción privado, por lo que los consumidores individuales no pueden demandar directamente a una empresa por una infracción de la MCDPA; pueden presentar quejas ante el Fiscal General, quien decide si investiga y actúa.
El hecho definitorio de la aplicación a partir de 2026 es el fin del período de subsanación. El estatuto original incluía un derecho de subsanación de 60 días que estaba programado para expirar 18 meses después de la fecha de vigencia, el 1 de abril de 2026. El SB 297 eliminó el mecanismo de subsanación del estatuto con vigencia a partir del 1 de octubre de 2025. Ya sea que se considere la derogación del SB 297 o el vencimiento original, el resultado es el mismo y debe declararse con claridad: a partir del 1 de abril de 2026, no existe un período de subsanación obligatorio, y el Fiscal General puede iniciar una acción de aplicación sin antes permitir que una empresa corrija el problema. El SB 297 también amplió las facultades de investigación del Fiscal General, autorizando los requerimientos civiles de investigación y la facultad de exigir la presentación de las evaluaciones de protección de datos de un responsable del tratamiento. Para las empresas, la conclusión es que el cumplimiento ahora debe ser correcto desde el principio.
Guías relacionadas
- Centro de Leyes de Privacidad de Datos de Montana
- Derechos del Consumidor Bajo la MCDPA
- Lista de Verificación de Cumplimiento de la MCDPA
- Comparación de Leyes Estatales de Privacidad de EE. UU.
- ¿Qué es la CCPA?
Más Leyes de Montana
- Leyes de Grabación de Reuniones con IA de Montana
- Leyes de Pensión Alimenticia de Montana
- Leyes de Empleo a Voluntad de Montana
- Leyes de Accidentes de Auto de Montana
- Leyes de Asientos de Seguridad para Niños de Montana
- Leyes de Custodia de los Hijos de Montana
- Leyes de Manutención de los Hijos de Montana
- Leyes de Matrimonio de Hecho de Montana
- Leyes de Deepfake de Montana
- Leyes de Divorcio de Montana
- Leyes de Mordeduras de Perro de Montana
- Leyes de Emancipación de Montana
- Leyes de Eliminación de Antecedentes Penales de Montana
- Leyes de Choque y Fuga de Montana
- Leyes de Propietarios e Inquilinos de Montana
- Ley del Limón de Montana
Preguntas frecuentes
¿Qué es la Ley de Privacidad de Datos del Consumidor de Montana?
La MCDPA, codificada en el Mont. Code Ann. 30-14-2801 y siguientes, es la ley integral de privacidad del consumidor de Montana. Entró en vigor el 1 de octubre de 2024, y otorga a los residentes derechos de acceso, corrección, eliminación y portabilidad de sus datos, además del derecho a excluirse de la publicidad dirigida, la venta y la elaboración de perfiles.
¿Cuándo entró en vigor la MCDPA?
La ley principal entró en vigor el 1 de octubre de 2024. Una enmienda importante, el SB 297, entró en vigor el 1 de octubre de 2025, reduciendo los umbrales de cobertura, eliminando el período de subsanación, y fortaleciendo las protecciones para los menores.
¿Quién debe cumplir con la MCDPA?
A partir de 2026, la ley se aplica a una empresa que realiza negocios en Montana o que dirige sus productos o servicios a los residentes de Montana y controla o procesa los datos personales de 25,000 o más consumidores de Montana, o de 15,000 o más si obtiene más del 25 por ciento de sus ingresos brutos de la venta de datos personales (Mont. Code Ann. 30-14-2803).
¿Por qué se dice que los umbrales de Montana son los más bajos del país?
El SB 297 redujo el umbral principal de 50,000 a 25,000 consumidores y el umbral basado en ventas de 25,000 a 15,000, con vigencia a partir del 1 de octubre de 2025. Ninguna otra ley estatal de privacidad se activa con conteos tan bajos, por lo que la MCDPA alcanza a empresas más pequeñas que cualquier estatuto comparable.
¿Exige la MCDPA consentimiento para los datos sensibles?
Sí. Conforme al Mont. Code Ann. 30-14-2812, un responsable del tratamiento no puede procesar datos sensibles sin el consentimiento del consumidor. Esta es una regla de consentimiento previo (opt-in), a diferencia del estándar predeterminado de exclusión voluntaria para el procesamiento ordinario.
¿Todavía existe un período de subsanación bajo la MCDPA?
No. El período de subsanación original de 60 días finalizó el 1 de abril de 2026. El SB 297 eliminó el mecanismo de subsanación con vigencia a partir del 1 de octubre de 2025, por lo que el Fiscal General ahora puede iniciar una acción de aplicación sin antes permitir que una empresa corrija la infracción.
¿Cuáles son las sanciones por violar la MCDPA?
Las sanciones civiles alcanzan hasta $7,500 por infracción, aplicadas por el Fiscal General conforme al Mont. Code Ann. 30-14-142. No existe un derecho de acción privado, por lo que los consumidores individuales no pueden demandar directamente a las empresas.
¿Cómo se compara la MCDPA con la CCPA de California?
La MCDPA sigue el modelo de Virginia con deberes para los responsables y encargados del tratamiento y aplicación por parte del Fiscal General, mientras que la CCPA utiliza activadores de ingresos y grandes volúmenes de consumidores y un regulador dedicado. Los umbrales bajos de consumidores de Montana cubren a empresas mucho más pequeñas, y su regla de datos sensibles es de consentimiento previo (opt-in).
Fuentes y referencias
- Mont. Code Ann. 30-14-2801 y siguientes, Ley de Privacidad de Datos del Consumidor de Montana(mca.legmt.gov).gov
- Mont. Code Ann. 30-14-2803, Aplicabilidad(mca.legmt.gov).gov
- Mont. Code Ann. 30-14-2808, Datos personales del consumidor, exclusión voluntaria, apelaciones(mca.legmt.gov).gov
- Mont. Code Ann. 30-14-2812, Limitaciones al procesamiento de datos(mca.legmt.gov).gov
- Mont. Code Ann. 30-14-2811, Deberes de los responsables del tratamiento, menores(mca.legmt.gov).gov
- Oficina de Protección al Consumidor del DOJ de Montana, Privacidad de Datos del Consumidor de Montana(dojmt.gov).gov
- Legislatura de Montana, SB 297 (sesión de 2025)(bills.legmt.gov).gov
- Mont. Code Ann. 30-14-142, Sanciones civiles(mca.legmt.gov).gov
- Ley de Privacidad del Consumidor de California, Cal. Civ. Code 1798.100 y siguientes(leginfo.legislature.ca.gov).gov