Washington
Leyes de Privacidad de Datos de Washington: Ley My Health My Data y Mas (2026)

Washington no tiene una ley integral de privacidad del consumidor a partir de 2026, pero la Ley My Health My Data (Capitulo 19.373 RCW) llena un vacio critico: cubre datos de salud mucho mas alla del alcance de HIPAA, prohibe el geocercado cerca de instalaciones de salud, y otorga a los consumidores un derecho de accion privada a traves de la Ley de Proteccion al Consumidor de Washington.
Panorama General de la Ley de Privacidad de Datos en el Estado de Washington
El estado de Washington ocupa una posicion unica en el panorama de privacidad de datos de Estados Unidos. A pesar de ser sede de algunas de las empresas de tecnologia mas grandes del mundo, el estado ha fallado repetidamente en promulgar una ley integral de privacidad del consumidor similar a la Ley de Privacidad del Consumidor de California o la Ley de Proteccion de Datos del Consumidor de Virginia.
Sin embargo, Washington no ha dejado a sus residentes sin protecciones. El estado ha promulgado varios estatutos de privacidad dirigidos que abordan categorias especificas de datos y practicas. Estos incluyen una de las leyes de privacidad de datos de salud mas solidas del pais, un estatuto de proteccion de identificadores biometricos y requisitos robustos de notificacion de violaciones de datos.
Este articulo cubre todas las leyes principales de privacidad de datos actualmente vigentes en Washington, la historia de la legislacion integral fallida, lo que podria cambiar en la sesion legislativa 2025-2026 y el marco federal que se aplica a los residentes de Washington sin importar la ley estatal.
La Ley My Health My Data de Washington (MHMDA)
Que Cubre la Ley

La Ley My Health My Data de Washington, codificada como Capitulo 19.373 RCW, fue firmada por el gobernador Jay Inslee el 27 de abril de 2023. Entro en vigor para la mayoria de las entidades reguladas el 31 de marzo de 2024, dando a las pequenas empresas hasta el 30 de junio de 2024 para cumplir. La prohibicion de geocercado entro en vigor antes, el 23 de julio de 2023.
La MHMDA se aprobo en gran parte en respuesta a la decision de la Corte Suprema de EE. UU. en Dobbs v. Jackson Women's Health Organization, que revoco el caso Roe v. Wade. Los legisladores estaban preocupados de que los datos de salud recopilados por aplicaciones, sitios web y otros servicios digitales pudieran usarse para identificar a personas que buscan atencion medica reproductiva.
Definicion Extremadamente Amplia de Datos de Salud del Consumidor
La MHMDA define los datos de salud del consumidor de manera mucho mas amplia que las leyes tradicionales de privacidad de salud como HIPAA. Bajo RCW 19.373.010, los datos de salud del consumidor significan informacion personal vinculada o razonablemente vinculable a un consumidor que identifica el estado de salud fisica o mental pasado, presente o futuro del consumidor.
El estatuto proporciona una lista no exhaustiva de categorias que califican como datos de salud, incluyendo:
- Condiciones de salud, tratamientos, enfermedades o diagnosticos
- Intervenciones sociales, psicologicas, conductuales y medicas
- Cirugias, procedimientos y uso de medicamentos recetados
- Funciones corporales, signos vitales y sintomas
- Informacion de salud reproductiva y sexual
- Datos biometricos usados en un contexto de salud
- Informacion sobre atencion de afirmacion de genero
- Datos que identifican a un consumidor que busca servicios de salud
- Informacion de ubicacion precisa que podria revelar visitas relacionadas con la salud
- Cualquier dato derivado o inferido de informacion no relacionada con la salud que se relacione con la salud
Este amplio alcance significa que la ley llega mucho mas alla de los proveedores de atencion medica tradicionales. Cualquier empresa que recopile datos que podrian revelar algo sobre el estado de salud de una persona, incluso indirectamente, puede estar sujeta a la MHMDA.
Derechos Clave del Consumidor Bajo la MHMDA
La ley otorga a los consumidores de Washington varios derechos importantes respecto a sus datos de salud:
Derecho a la Confirmacion. Los consumidores pueden preguntar si una entidad regulada esta recopilando, compartiendo o vendiendo sus datos de salud del consumidor.
Derecho a la Eliminacion. Los consumidores pueden solicitar que una entidad regulada elimine sus datos de salud del consumidor.
Derecho a Retirar el Consentimiento. Los consumidores pueden retirar el consentimiento previamente otorgado para la recopilacion y el intercambio de sus datos de salud.
Requisitos de Consentimiento
La MHMDA impone requisitos estrictos de consentimiento a las entidades reguladas. Antes de recopilar datos de salud del consumidor, una empresa debe obtener el consentimiento del consumidor para el proposito especifico de la recopilacion. Antes de compartir datos de salud del consumidor, la empresa debe obtener un consentimiento separado y distinto del consentimiento otorgado para la recopilacion.
Este modelo de doble consentimiento significa que la aceptacion general de la politica de privacidad no es suficiente. Las empresas necesitan un consentimiento claro, afirmativo y especifico para el proposito, tanto para recopilar como para compartir datos de salud.
Politica de Privacidad de Datos de Salud del Consumidor
Cada entidad regulada y pequena empresa debe mantener una politica de privacidad de datos de salud del consumidor disponible publicamente. Esta politica debe divulgar claramente:
- Las categorias de datos de salud del consumidor recopilados y el proposito de cada una
- Las categorias de fuentes de las que se recopilan los datos de salud del consumidor
- Las categorias de datos de salud del consumidor que se comparten
- Una lista de las categorias de terceros y afiliados especificos que reciben datos compartidos
Prohibicion de Geocercado Cerca de Instalaciones de Salud
Una de las disposiciones mas notables de la MHMDA es una prohibicion absoluta del geocercado cerca de instalaciones de salud. Bajo RCW 19.373.060, es ilegal que cualquier persona implemente una geocerca alrededor de una entidad que brinde servicios de salud en persona cuando esa geocerca se use para:
- Identificar o rastrear a consumidores que buscan servicios de salud
- Recopilar datos de salud del consumidor de los consumidores
- Enviar notificaciones, mensajes o anuncios a los consumidores relacionados con sus datos de salud o servicios de salud
La ley define la geocerca como tecnologia que usa coordenadas GPS, conectividad de torres de telefonia celular, datos celulares, RFID, datos de Wi-Fi o cualquier otro metodo de deteccion espacial o de ubicacion para establecer un limite virtual dentro de 2,000 pies de una instalacion de salud.
Esta prohibicion no tiene excepciones. Ni siquiera el consentimiento del consumidor puede autorizar el geocercado cerca de instalaciones de salud para estos fines.
Derecho de Accion Privada y Aplicacion
La MHMDA se hace cumplir a traves de la Ley de Proteccion al Consumidor de Washington (CPA), Capitulo 19.86 RCW. Una infraccion de la MHMDA es una infraccion per se de la CPA, lo que significa que no se requiere prueba adicional de conducta injusta o enganosa.
Esto importa porque la CPA proporciona tanto aplicacion publica como privada:
Aplicacion por el Fiscal General. El Fiscal General de Washington puede iniciar acciones de aplicacion bajo la CPA por infracciones de la MHMDA.
Derecho de Accion Privada. Los consumidores individuales que resulten perjudicados por una infraccion pueden presentar una demanda civil solicitando medidas cautelares, danos reales y honorarios y costos razonables de abogados. Los tribunales pueden otorgar danos triples hasta $25,000.
La inclusion de un derecho de accion privada hace que la MHMDA sea significativamente mas fuerte que muchas otras leyes estatales de privacidad. Significa que las empresas enfrentan riesgo de litigio no solo por parte del estado sino tambien de consumidores individuales y demandantes de acciones colectivas.
Litigio Privado de la MHMDA: Primeros Casos (2025)

El derecho de accion privada de la MHMDA produjo sus primeros casos de accion colectiva en 2025, mas de un ano despues de la fecha de vigencia de la ley del 31 de marzo de 2024.
Demanda del SDK de Amazon (febrero de 2025). El 10 de febrero de 2025, un residente de Washington presento la primera accion colectiva bajo la MHMDA en el Distrito Occidental de Washington. La demanda alega que Amazon.com, Inc. y Amazon Advertising, LLC recopilaron datos de ubicacion de decenas de millones de usuarios a traves de los kits de desarrollo de software (SDK) de Amazon sin consentimiento afirmativo y usaron esa informacion para publicidad dirigida y ventas de datos a terceros. La demanda tambien afirma reclamos bajo la Ley Federal de Escuchas Telefonicas (Wiretap Act) y la Ley de Proteccion al Consumidor de Washington. Hasta mayo de 2026, el caso esta pendiente.
Demanda del Minorista de Cannabis Uncle Ike's (noviembre de 2025). Se presento una segunda accion colectiva contra Uncle Ike's, un minorista de cannabis del area de Seattle, alegando que la empresa configuro pixeles de rastreo y cookies del sitio web para transmitir informacion de identificacion personal de los clientes a Google y otros terceros sin consentimiento. La demanda alega especificamente que los rastreadores capturaron detalles sobre citas de tarjetas de marihuana medicinal y productos especificos comprados. Este caso presenta una pregunta significativa sobre si los datos de ubicacion y compra en un minorista de cannabis constituyen "datos de salud del consumidor" bajo RCW 19.373.010.
La Legislatura de Washington anticipo el volumen de litigios privados. RCW 44.28.819 exige que el Comite Conjunto Legislativo de Auditoria y Revision compile un informe sobre las acciones de aplicacion presentadas bajo la MHMDA y presente los hallazgos al Gobernador y a los comites legislativos relevantes antes del 30 de septiembre de 2030.
Disposiciones para Pequenas Empresas
La MHMDA define a una pequena empresa como aquella que cumple ambos criterios siguientes: recopila, procesa, vende o comparte los datos de salud del consumidor de menos de 100,000 consumidores durante un ano calendario, y obtiene menos del 50% de sus ingresos brutos de la recopilacion, procesamiento, venta o intercambio de datos de salud del consumidor, o procesa datos de menos de 25,000 consumidores.
Las pequenas empresas recibieron una fecha limite de cumplimiento extendida al 30 de junio de 2024, en lugar de la fecha del 31 de marzo de 2024 que se aplico a las entidades reguladas mas grandes.
Ley de Privacidad Biometrica de Washington (RCW 19.375)
Alcance y Definiciones
Washington promulgo su ley de privacidad biometrica a traves del Proyecto de Ley de la Camara 1493, que fue firmado el 16 de mayo de 2017, y esta codificado como Capitulo 19.375 RCW.
Bajo RCW 19.375.010, un identificador biometrico se define como datos generados por mediciones automaticas de las caracteristicas biologicas de una persona, incluyendo:
- Huellas dactilares
- Huellas de voz
- Retinas e iris de los ojos
- Otros patrones o caracteristicas biologicas unicos usados para identificar a una persona especifica
La definicion excluye explicitamente las fotografias fisicas o digitales, las grabaciones de video o audio (y los datos generados a partir de ellas), y la informacion recopilada, usada o almacenada para tratamiento, pago u operaciones de atencion medica bajo HIPAA.
Requisitos de Aviso, Consentimiento e Inscripcion
Bajo RCW 19.375.020, una persona no puede inscribir un identificador biometrico en una base de datos con fines comerciales sin antes:
- Proporcionar aviso a la persona
- Obtener el consentimiento de la persona
- Proporcionar un mecanismo para prevenir el uso posterior del identificador biometrico con fines comerciales
El requisito de aviso se satisface mediante una divulgacion razonablemente disenada para estar facilmente disponible para las personas afectadas. La forma y manera del aviso y el consentimiento dependen del contexto.
Requisitos de Retencion y Seguridad
Cualquier persona que posea identificadores biometricos inscritos con fines comerciales debe:
- Tomar un cuidado razonable para protegerse contra el acceso y la adquisicion no autorizados de identificadores biometricos
- Conservar los identificadores biometricos no mas tiempo del razonablemente necesario para cumplir con una orden judicial, un estatuto o un cronograma de retencion de registros publicos, o para protegerse o prevenir fraude y actividad criminal real o potencial
Aplicacion: Sin Derecho de Accion Privada
Una distincion critica entre la ley biometrica de Washington y la Ley de Privacidad de Informacion Biometrica de Illinois (BIPA) es que la ley de Washington no tiene un derecho de accion privada. Una infraccion de RCW 19.375 es un acto injusto o enganoso bajo la Ley de Proteccion al Consumidor (RCW 19.86), pero la aplicacion se limita al Fiscal General.
Esto significa que los consumidores individuales no pueden demandar a las empresas directamente por infracciones de la ley de privacidad biometrica. Solo el Fiscal General de Washington puede iniciar acciones de aplicacion.
Exenciones
La ley de privacidad biometrica no se aplica a:
- Instituciones financieras o sus afiliados sujetos al Titulo V de la Ley federal Gramm-Leach-Bliley de 1999
- Actividades sujetas al Titulo V de la Ley Federal de Portabilidad y Responsabilidad del Seguro Medico (HIPAA) de 1996
Ley de Notificacion de Violaciones de Datos (RCW 19.255)
Requisitos de Notificacion

La ley de notificacion de violaciones de datos de Washington esta codificada como Capitulo 19.255 RCW. Exige que cualquier persona o empresa que haga negocios en Washington y que posea o tenga licencia de datos que contengan informacion personal notifique a las personas afectadas tras el descubrimiento de una violacion de seguridad.
Bajo RCW 19.255.010, se debe notificar a cualquier residente de Washington cuya informacion personal haya sido, o se crea razonablemente que haya sido, adquirida por una persona no autorizada y no haya estado asegurada mediante cifrado u otros metodos.
Existe una excepcion cuando el aviso no es necesario si la violacion no es razonablemente probable que exponga a los consumidores a un riesgo de dano.
Que Constituye Informacion Personal
Bajo RCW 19.255.005, la informacion personal incluye el primer nombre o la inicial del primer nombre y el apellido de una persona combinados con cualquiera de los siguientes:
- Numero de Seguro Social
- Numero de licencia de conducir o de tarjeta de identificacion estatal
- Numero de cuenta, numero de tarjeta de credito o numero de tarjeta de debito en combinacion con cualquier codigo de seguridad, codigo de acceso o contrasena requeridos
- Fecha de nacimiento completa
- Numero de poliza de seguro de salud o numero de identificacion de suscriptor combinado con un identificador unico usado por una aseguradora
- Numero de identificacion estudiantil, militar o de pasaporte
- Cualquier informacion sobre el historial medico, la condicion mental o fisica, o el tratamiento o diagnostico medico de un consumidor por parte de un profesional de la salud
Notificacion al Fiscal General
Cuando una violacion afecta a mas de 500 residentes de Washington, la persona o empresa debe notificar al Fiscal General de Washington dentro de 30 dias de descubrir la violacion.
Contenido del Aviso
Las notificaciones de violacion deben estar escritas en lenguaje sencillo e incluir, como minimo:
- El nombre y la informacion de contacto de la entidad que reporta
- Una lista de los tipos de informacion personal involucrada en la violacion
- Los numeros telefonicos gratuitos y las direcciones de las principales agencias de informes de credito (si la violacion expuso datos financieros)
Retraso por Aplicacion de la Ley
La notificacion puede retrasarse si una agencia de aplicacion de la ley determina que la notificacion impediria una investigacion criminal. Una vez que la aplicacion de la ley determine que la notificacion ya no comprometera la investigacion, se debe enviar el aviso.
Responsabilidad
Bajo RCW 19.255.020, un encargado del tratamiento, empresa o proveedor que sufra una violacion es responsable por los danos de cualquier persona perjudicada por la violacion cuando esta fue causada por el encargado del tratamiento, la empresa, el proveedor, o un tercero que actue en su nombre.
La Fallida Washington Privacy Act
Historia Legislativa
Washington estuvo mas cerca que casi cualquier otro estado de aprobar una ley integral de privacidad del consumidor, sin embargo el esfuerzo fracaso tres anos consecutivos:
SB 5376 (2019). Presentado por el senador Reuven Carlyle, esta fue la primera version de la Washington Privacy Act. Paso el Senado pero fallecio en la Camara en abril de 2019. El principal desacuerdo fue si el proyecto de ley debia incluir un derecho de accion privada que permitiera a los consumidores demandar por infracciones.
SB 6281 (2020). Se introdujo una version revisada para la sesion de 2020. De nuevo paso el Senado pero fallo en la Camara por la misma disputa de aplicacion.
SB 5062 (2021). El tercer intento se introdujo en enero de 2021. La version del Senado no habria permitido a los consumidores demandar, mientras que la Camara avanzo una version que incluia aplicacion privada. Las dos camaras no pudieron llegar a un acuerdo, y el proyecto de ley fallecio cuando termino la sesion legislativa el 25 de abril de 2021.
Por Que Fracasaron los Proyectos de Ley
La disputa central en cada version fue si incluir un derecho de accion privada. El Senado favorecio consistentemente la aplicacion exclusiva por parte del Fiscal General, argumentando que un derecho de accion privada llevaria a litigios excesivos. La Camara insistio en que una aplicacion significativa requeria dar a los consumidores la capacidad de demandar directamente.
Grupos de defensa del consumidor, incluyendo Consumer Reports y la ACLU de Washington, se opusieron a los proyectos de ley en sus formas del Senado, argumentando que eran demasiado debiles sin aplicacion privada y contenian exenciones amplias que habrian limitado su efectividad.
Que Habrian Hecho los Proyectos de Ley
A pesar de su fracaso, la propuesta Washington Privacy Act habria sido un paso significativo. Las disposiciones clave incluian:
- Derecho a acceder, corregir y eliminar datos personales
- Derecho a excluirse de las ventas de datos y la publicidad dirigida
- Evaluaciones de proteccion de datos para actividades de procesamiento de alto riesgo
- Requisitos de aviso de privacidad para todas las empresas cubiertas
- Estandares razonables de seguridad de datos
Esfuerzos Legislativos Actuales: HB 1671 (2025-2026)
El Proyecto de Ley de la Camara 1671, titulado la People's Privacy Act, es el desarrollo mas significativo en la legislacion integral de privacidad de Washington en anos. El proyecto de ley se aplicaria a personas que hacen negocios en Washington o dirigen sus actividades a residentes de Washington que recopilan o procesan datos personales.
El HB 1671 esta modelado segun el proyecto de ley estatal modelo de EPIC y Consumer Reports e incluye disposiciones de minimizacion de datos que limitan significativamente la recopilacion y el uso de datos personales. El proyecto de ley incorpora definiciones de datos de salud del consumidor consistentes con la MHMDA existente.
El progreso del proyecto de ley en la sesion 2025-2026 representa el avance mas lejano que ha logrado cualquier proyecto de ley integral de privacidad de Washington. El 14 de febrero de 2026, el Comite de la Camara sobre Tecnologia, Desarrollo Economico y Veteranos tomo accion ejecutiva y voto con una recomendacion de "aprobacion sustituida", remitiendo el proyecto de ley al Comite de Asignaciones. Hasta mayo de 2026, el proyecto de ley esta en el Comite de Asignaciones.
La historia de proyectos de ley de privacidad integral fallidos en Washington significa que la aprobacion no esta garantizada. Las mismas disputas de aplicacion que descarrilaron esfuerzos anteriores podrian resurgir en votaciones de pleno o en la consideracion del Senado.
Fiscal General de Washington: Aplicacion de la Privacidad de Datos
La Oficina del Fiscal General de Washington juega un papel central en la aplicacion de las leyes de privacidad de datos del estado. Nick Brown asumio el cargo como el 19° Fiscal General de Washington en enero de 2025, sucediendo a Bob Ferguson, quien se convirtio en Gobernador.
Acciones de Aplicacion Notables
Rastreo de Ubicacion de Google ($39.9 Millones). En una de las acciones de aplicacion de privacidad a nivel estatal mas significativas de la historia de EE. UU., el ex Fiscal General Bob Ferguson obtuvo un acuerdo de $39.9 millones con Google por practicas enganosas de rastreo de ubicacion. Washington presento su propia demanda y recupero mas del doble de lo que habria recibido al unirse a un acuerdo multiestatal. Tambien se exigio a Google implementar reformas de transparencia ordenadas por el tribunal.
Encuesta de Privacidad de Datos (julio de 2025). La oficina del Fiscal General Brown lanzo una Encuesta de Privacidad de Datos para conocer las preocupaciones y desafios de privacidad de datos que enfrentan los residentes de Washington. Se espera que los resultados informen las futuras prioridades legislativas y de aplicacion bajo la MHMDA y otras leyes estatales de privacidad.
Supervision de Notificacion de Violaciones. El Fiscal General mantiene un Directorio publico de Notificaciones de Violaciones de Datos donde los consumidores pueden ver las violaciones reportadas que afectan a los residentes de Washington.
Hasta mayo de 2026, no se han anunciado publicamente acciones formales de aplicacion del Fiscal General bajo la MHMDA. El panorama del litigio privado (Amazon, Uncle Ike's) ha sido la principal actividad de aplicacion hasta la fecha.
Marco Federal de Privacidad
En ausencia de una ley estatal integral de privacidad del consumidor, varios estatutos federales proporcionan protecciones de privacidad basicas para los residentes de Washington.

Ley TAKE IT DOWN (Pub. L. 119-12). El Congreso firmo esta ley federal el 19 de mayo de 2025. Criminalizo de inmediato la publicacion no consensuada de imagenes intimas, incluyendo imagenes de deepfake generadas por IA. Las plataformas en linea tuvieron un ano para establecer procesos de aviso y eliminacion; la FTC comenzo a hacer cumplir las obligaciones de cumplimiento de las plataformas el 19 de mayo de 2026. Una plataforma cubierta debe eliminar el contenido de una solicitud valida de eliminacion, junto con copias identicas conocidas, dentro de 48 horas.
Ley de Portabilidad y Responsabilidad del Seguro Medico (HIPAA). Protege la informacion de salud en poder de entidades cubiertas, como proveedores de atencion medica, planes de salud y camaras de compensacion de atencion medica. HIPAA no cubre muchas de las entidades y tipos de datos que caen bajo la MHMDA de Washington, razon por la cual la MHMDA fue necesaria.
Ley Gramm-Leach-Bliley (GLBA). Exige que las instituciones financieras expliquen sus practicas de intercambio de informacion y protejan los datos sensibles. La ley biometrica de Washington exime explicitamente a las entidades sujetas a la GLBA.
Ley de Proteccion de la Privacidad Infantil en Linea (COPPA). Protege la privacidad en linea de los menores de 13 anos al exigir el consentimiento parental antes de la recopilacion de datos.
Ley de Informe Justo de Credito (FCRA). Regula la recopilacion, difusion y uso de informacion de credito del consumidor por parte de agencias de informes de credito al consumidor.
Seccion 5 de la Ley de la FTC. Faculta a la Comision Federal de Comercio para perseguir actos o practicas injustas o enganosas, incluyendo fallas de seguridad de datos y representaciones enganosas de privacidad.
American Privacy Rights Act (APRA). Un proyecto de ley federal bipartidista integral de privacidad introducido en abril de 2024 por la senadora Maria Cantwell (D-WA) y la representante Cathy McMorris Rodgers (R-WA). El proyecto de ley no se aprobo antes de que expirara el 118° Congreso en enero de 2025 y no ha sido reintroducido en el 119° Congreso hasta mayo de 2026. Los residentes de Washington no deberian esperar legislacion federal integral de privacidad en el corto plazo.
Guia Practica de Cumplimiento
Para Empresas que Operan en Washington
Las empresas que recopilan datos de residentes de Washington deben evaluar sus obligaciones bajo cada una de las leyes estatales de privacidad.
Paso 1: Evalue la Aplicabilidad de la MHMDA. Determine si su empresa recopila algun dato que pudiera considerarse dato de salud del consumidor bajo la amplia definicion de la MHMDA. Los datos de ubicacion, los datos biometricos y la informacion de salud inferida califican. La demanda de Uncle Ike's ilustra que los minoristas de cannabis, los programadores de citas medicas y cualquier empresa que rastree compras relacionadas con la salud enfrentan una exposicion real.
Paso 2: Implemente el Doble Consentimiento. Si la MHMDA aplica, implemente mecanismos de consentimiento separados para recopilar y compartir datos de salud del consumidor. La aceptacion general de la politica de privacidad es insuficiente.
Paso 3: Publique una Politica de Privacidad de Datos de Salud. Si recopila datos de salud del consumidor, publique una politica de privacidad dedicada que cumpla con los requisitos especificos de divulgacion de la MHMDA.
Paso 4: Revise las Practicas Biometricas. Si su empresa usa huellas dactilares, reconocimiento facial, escaneos de iris u otros identificadores biometricos con fines comerciales, asegurese de proporcionar aviso y obtener consentimiento bajo RCW 19.375.
Paso 5: Actualice los Planes de Respuesta a Violaciones. Asegurese de que su plan de respuesta a incidentes considere el requisito de notificacion al Fiscal General de Washington en 30 dias cuando se ven afectados 500 o mas residentes.
Paso 6: Evite el Geocercado Cerca de Instalaciones de Salud. Si su empresa usa segmentacion basada en ubicacion, asegurese de que no se establezcan geocercas dentro de 2,000 pies de ninguna instalacion que brinde servicios de salud en persona en Washington.
Paso 7: Revise los SDK de Terceros y los Pixeles de Rastreo. Las demandas de Amazon y Uncle Ike's se centran en tecnologia de terceros incrustada en sitios web y aplicaciones. Audite todos los pixeles, SDK y herramientas de analitica que puedan transmitir datos relacionados con la salud a terceros sin el consentimiento adecuado.
Para Residentes de Washington
Los residentes de Washington tienen varios derechos bajo la ley vigente:
- Puede solicitar confirmacion de si una empresa recopila sus datos de salud y pedir su eliminacion bajo la MHMDA
- Puede retirar el consentimiento para la recopilacion y el intercambio de datos de salud en cualquier momento
- Debe ser notificado si su informacion personal es comprometida en una violacion de datos
- Puede presentar una demanda privada si una empresa infringe la MHMDA, buscando danos reales, medidas cautelares, honorarios de abogados y posibles danos triples hasta $25,000
- Puede enviar solicitudes de eliminacion a plataformas en linea por imagenes intimas no consensuadas bajo la Ley federal TAKE IT DOWN
Para reportar posibles infracciones de las leyes de privacidad de datos de Washington, contacte a la Oficina del Fiscal General de Washington.
Mas Leyes de Washington
- Leyes de Grabacion con IA en Reuniones de Washington
- Leyes de Pension Alimenticia de Washington
- Leyes de Empleo a Voluntad de Washington
- Leyes de Accidentes de Auto de Washington
- Leyes de Asientos para Auto de Washington
- Leyes de Custodia de Menores de Washington
- Leyes de Manutencion Infantil de Washington
- Leyes de Matrimonio de Hecho de Washington
- Leyes de Deepfake de Washington
- Leyes de Divorcio de Washington
- Leyes de Choque y Fuga de Washington
- Leyes de Emancipacion de Washington
- Leyes de Eliminacion de Antecedentes de Washington
- Leyes de Choque y Fuga de Washington
- Leyes de Propietarios e Inquilinos de Washington
- Leyes del Limon de Washington
Preguntas frecuentes
¿Washington tiene una ley integral de privacidad del consumidor como California o Virginia?
No. Washington no tiene una ley integral de privacidad de datos del consumidor hasta mayo de 2026. La Washington Privacy Act no logro aprobarse en 2019, 2020 y 2021. El HB 1671, la People's Privacy Act, recibio una recomendacion de 'aprobacion' del Comite de Tecnologia de la Camara en febrero de 2026 y ahora esta en el Comite de Asignaciones, lo que lo convierte en el proyecto de ley integral de privacidad mas avanzado en la historia de Washington. Washington si tiene leyes dirigidas que cubren datos de salud (MHMDA), identificadores biometricos (RCW 19.375) y notificacion de violaciones de datos (RCW 19.255).
¿Que es la Ley My Health My Data de Washington y a quien se aplica?
La Ley My Health My Data (Capitulo 19.373 RCW) es una ley de privacidad de datos de salud que entro en vigor el 31 de marzo de 2024. Se aplica a cualquier entidad regulada que recopile, procese, comparta o venda datos de salud del consumidor y haga negocios en Washington o produzca productos y servicios dirigidos a residentes de Washington. La ley define los datos de salud de manera muy amplia para incluir no solo registros medicos, sino tambien datos de ubicacion que podrian revelar visitas de atencion medica, informacion biometrica, datos de salud reproductiva e incluso informacion inferida de datos no relacionados con la salud.
¿Puedo demandar a una empresa que infringe mis derechos de privacidad de datos de salud en Washington?
Si. La Ley My Health My Data incluye un derecho de accion privada a traves de la Ley de Proteccion al Consumidor de Washington (Capitulo 19.86 RCW). Si una empresa infringe la MHMDA, puede presentar una demanda civil buscando medidas cautelares, danos reales y honorarios razonables de abogados. Los tribunales tambien pueden otorgar danos triples hasta $25,000. En 2025 se presentaron dos acciones colectivas bajo esta disposicion, contra Amazon y un minorista de cannabis, demostrando el uso activo de esta via de aplicacion. La ley de privacidad biometrica de Washington (RCW 19.375), en cambio, no tiene un derecho de accion privada y solo puede ser aplicada por el Fiscal General.
¿Cuales son los requisitos de notificacion de violaciones de datos de Washington?
Bajo RCW 19.255.010, cualquier empresa que sufra una violacion de datos que afecte a residentes de Washington debe notificar a esas personas con prontitud. Si la violacion afecta a mas de 500 residentes de Washington, la empresa tambien debe notificar al Fiscal General de Washington dentro de 30 dias de descubrir la violacion. La notificacion debe estar en lenguaje sencillo e incluir los tipos de informacion personal comprometida y la informacion de contacto de las agencias de informes de credito si se involucraron datos financieros.
¿La ley de privacidad biometrica de Washington permite a las personas demandar por infracciones?
No. A diferencia de la BIPA de Illinois, la ley de privacidad biometrica de Washington (RCW 19.375) no incluye un derecho de accion privada. Las infracciones se tratan como actos injustos o enganosos bajo la Ley de Proteccion al Consumidor, pero solo el Fiscal General de Washington puede iniciar acciones de aplicacion. Los consumidores individuales no pueden presentar demandas por infracciones de privacidad biometrica bajo la ley de Washington.
¿Que es el HB 1671 y podria convertirse en la ley integral de privacidad de Washington?
El HB 1671, la People's Privacy Act, es el proyecto de ley integral de privacidad mas avanzado que ha visto Washington. Paso el Comite de Tecnologia de la Camara con una recomendacion de 'aprobacion' el 14 de febrero de 2026, y se remitio a Asignaciones. El proyecto de ley exigiria la minimizacion de datos, otorgaria a los consumidores derechos de acceso, correccion y eliminacion de datos personales, e incluiria derechos de exclusion voluntaria para publicidad dirigida y ventas de datos. Si se aprueba depende de si se puede resolver la disputa de larga data sobre los derechos de aplicacion privada.
¿Que significa la Ley TAKE IT DOWN para los residentes de Washington?
La Ley TAKE IT DOWN (Pub. L. 119-12), firmada el 19 de mayo de 2025, es una ley federal que criminalizo de inmediato el intercambio no consensuado de imagenes intimas, incluyendo deepfakes generados por IA. A partir del 19 de mayo de 2026, las plataformas en linea cubiertas deben eliminar dichas imagenes dentro de 48 horas de una solicitud valida de eliminacion, y la FTC puede hacer cumplir este requisito. Los residentes de Washington pueden enviar solicitudes de eliminacion directamente a las plataformas y reportar el incumplimiento a la FTC.
Fuentes y referencias
- Capitulo 19.373 RCW: Ley My Health My Data de Washington(app.leg.wa.gov).gov
- Capitulo 19.375 RCW: Identificadores Biometricos(app.leg.wa.gov).gov
- Capitulo 19.255 RCW: Notificacion de Violaciones(app.leg.wa.gov).gov
- RCW 19.375.020: Inscripcion, Divulgacion y Retencion(app.leg.wa.gov).gov
- HB 1155: Ley My Health My Data(app.leg.wa.gov).gov
- SB 5376: Washington Privacy Act (2019)(app.leg.wa.gov).gov
- SB 5062: Washington Privacy Act (2021)(app.leg.wa.gov).gov
- HB 1671: People's Privacy Act (2025)(app.leg.wa.gov).gov
- Centro de Privacidad de Datos - Fiscal General de Washington(atg.wa.gov).gov
- Proteccion de los Datos de Salud y la Privacidad de los Habitantes de Washington(atg.wa.gov).gov
- Acuerdo del Fiscal General Ferguson con Google por $40 Millones(atg.wa.gov).gov
- Directorio de Notificaciones de Violaciones de Datos(atg.wa.gov).gov
- RCW 19.255.005: Definicion de Informacion Personal(app.leg.wa.gov).gov
- RCW 44.28.819: Revision del JLARC de las Acciones de Aplicacion de la MHMDA(app.leg.wa.gov).gov
- Informe del Proyecto de Ley de la Camara: HB 1671, Comite de Tecnologia (febrero de 2026)(lawfilesext.leg.wa.gov).gov
- Acerca del Fiscal General Nick Brown, Estado de Washington(atg.wa.gov).gov
- La FTC Comienza a Aplicar la Ley TAKE IT DOWN (mayo de 2026)(ftc.gov).gov
- Ley TAKE IT DOWN: Biblioteca Legal de la FTC(ftc.gov).gov
- Primera Demanda Presentada Bajo la Ley My Health My Data de Washington (WilmerHale, febrero de 2025)(wilmerhale.com)
- Minorista de Marihuana de Washington Demandado Bajo la MHMDA por Uso de Pixeles del Sitio Web (Hintze Law, noviembre de 2025)(hintzelaw.com)