Washington
Cumplimiento Empresarial de la MHMDA (Washington)

Cumplir con la My Health My Data Act (MHMDA) de Washington, capítulo 19.373 RCW, significa satisfacer seis obligaciones fundamentales: publicar una política separada de privacidad de datos de salud del consumidor, obtener consentimiento antes de recopilar o compartir datos de salud del consumidor, obtener una autorización firmada por separado antes de venderlos, atender las solicitudes de derechos del consumidor, restringir el acceso de empleados y procesadores, y cumplir con la prohibición de geocercas. Estas obligaciones se encuentran en RCW 19.373.020 a 19.373.080.
A partir de 2026, toda organización cubierta ya superó su fecha límite de cumplimiento: la mayoría de las entidades reguladas desde el 31 de marzo de 2024, y las pequeñas empresas desde el 30 de junio de 2024. La razón por la que la MHMDA encabeza las listas de prioridades de cumplimiento es la aplicación de la ley. Conforme a RCW 19.373.090, toda infracción constituye automáticamente una infracción de la Ley de Protección al Consumidor de Washington (capítulo 19.86 RCW), por lo que una empresa enfrenta tanto acción del Fiscal General como demandas privadas, incluidas acciones colectivas, conforme a RCW 19.86.090.
Alcance jurisdiccional: Esto cubre la My Health My Data Act de Washington (capítulo 19.373 RCW). Es información legal general, no asesoría legal.
El cronograma de cumplimiento y quiénes deben cumplir
Las fechas límite de la MHMDA dependen del tipo de entidad, y a partir de 2026 todas ya vencieron. La restricción de geocercas, ahora en RCW 19.373.080, entró en vigor el 23 de julio de 2023 y se aplica a cualquier persona. Las entidades reguladas que no son pequeñas empresas debían cumplir con las obligaciones fundamentales de RCW 19.373.020 a 19.373.070 antes del 31 de marzo de 2024. Las pequeñas empresas tenían plazo hasta el 30 de junio de 2024.
La cobertura es amplia porque no existe un umbral. Conforme a RCW 19.373.010, una entidad regulada es cualquier entidad legal que realiza negocios en Washington o dirige su actividad a consumidores de Washington y que determina el propósito y los medios de recopilar, procesar, compartir o vender datos de salud del consumidor. No aplica ningún mínimo de ingresos ni de número de consumidores, por lo que una pequeña aplicación fuera del estado que maneje datos de salud de consumidores de Washington queda dentro del alcance.
La subcategoría de pequeña empresa en RCW 19.373.010 afecta el momento de cumplimiento, no si la ley aplica. Una pequeña empresa es una entidad regulada que, durante un año, procesa los datos de salud de menos de 100,000 consumidores, o que obtiene menos de la mitad de sus ingresos de dicho procesamiento mientras maneja datos de menos de 25,000 consumidores. RCW 19.373.100 añade además exenciones, incluida la información de salud protegida por HIPAA y ciertos datos de GLBA y FCRA, que las empresas deben identificar a nivel de datos. El panorama completo de quiénes están cubiertos se encuentra en la guía ¿Qué es la MHMDA?.
Obligación 1: la política separada de privacidad de datos de salud del consumidor
RCW 19.373.020 exige que toda entidad regulada y pequeña empresa mantenga una política de privacidad de datos de salud del consumidor, y esta política debe ser separada. No puede incorporarse dentro del aviso general de privacidad del sitio web, y el estatuto exige un enlace a ella en la página de inicio de la entidad.
La política debe revelar elementos específicos. Conforme a RCW 19.373.020, debe indicar las categorías de datos de salud del consumidor recopilados y el propósito de la recopilación, incluyendo cómo se usarán los datos; las categorías de fuentes de donde se recopilan los datos; las categorías de datos de salud del consumidor que se comparten; y una lista de las categorías de terceros y las afiliadas específicas con quienes se comparten los datos. También debe explicar cómo puede un consumidor ejercer los derechos establecidos en RCW 19.373.040.
La ley también impone una regla de coherencia. Una entidad regulada no puede recopilar, usar o compartir categorías de datos de salud del consumidor, ni para fines, que no estén revelados en la política, y no puede contratar con un procesador de manera incongruente con la política. Por lo tanto, la política no es un texto estándar; restringe operativamente lo que la empresa puede hacer.
Obligación 2: consentimiento para recopilar y un consentimiento separado para compartir
El consentimiento es la puerta de entrada conforme a RCW 19.373.030. Una entidad regulada no puede recopilar ningún dato de salud del consumidor salvo con consentimiento, o en la medida necesaria para proporcionar un producto o servicio que el consumidor haya solicitado. De igual manera, no puede compartir datos de salud del consumidor salvo con consentimiento o bajo ese mismo estándar de necesidad.
El detalle fundamental es que los dos consentimientos son distintos. El consentimiento para compartir debe ser separado y distinto del consentimiento obtenido para recopilar los datos. Un único botón combinado de "acepto" no satisface el estatuto; tanto la recopilación como el intercambio necesitan su propia aceptación afirmativa independiente.
El consentimiento en sí está definido de manera estricta en RCW 19.373.010. Debe ser un acto afirmativo claro que sea otorgado libremente, específico, informado, de participación voluntaria (opt in), voluntario e inequívoco. No puede obtenerse mediante términos de uso generales, que el consumidor pase el cursor sobre contenido o lo cierre, ni mediante ningún diseño engañoso o patrón oscuro. La divulgación que precede a un consentimiento para compartir debe detallar las categorías compartidas, el propósito, los destinatarios y cómo retirarlo.

Obligación 3: autorización separada para vender
Vender datos de salud del consumidor exige un estándar más alto que el consentimiento. Conforme a RCW 19.373.070, una entidad regulada no puede vender ni ofrecer vender datos de salud del consumidor sin antes obtener una "autorización válida" del consumidor, y esa autorización es un documento distinto, detallado y firmado, separado de cualquier consentimiento para recopilar o compartir.
RCW 19.373.070 detalla lo que debe contener la autorización. Debe especificar los datos de salud del consumidor que se venderán; nombrar al vendedor y al comprador; describir el propósito de la venta, incluyendo cómo el comprador recopilará y usará los datos; indicar que la provisión de bienes o servicios no puede condicionarse a que el consumidor la firme; indicar que el consumidor puede revocarla en cualquier momento y cómo hacerlo; y advertir que los datos vendidos pueden estar sujetos a una nueva divulgación y podrían dejar de estar protegidos por esta sección. También debe incluir una fecha de vencimiento no mayor a un año desde la firma, y la firma y fecha del consumidor.
La obligación de conservación de registros es considerable. Tanto el vendedor como el comprador deben conservar una copia de la autorización válida firmada durante seis años desde la fecha de su firma o desde la fecha en que la autorización estuvo vigente por última vez, lo que ocurra después. Debido a que la autorización vence al año y no puede ser condición del servicio, la MHMDA convierte efectivamente la venta de datos de salud del consumidor en una transacción deliberada, documentada y de participación voluntaria, en lugar de una opción predeterminada.
Obligación 4: atender las solicitudes de derechos del consumidor
Conforme a RCW 19.373.040, las entidades reguladas deben establecer un proceso para recibir y atender las solicitudes del consumidor de confirmar, acceder, retirar el consentimiento y eliminar datos. La entidad debe proporcionar uno o más métodos seguros y confiables para presentar solicitudes, que tomen en cuenta cómo interactúan los consumidores con ella, la verificación segura y la accesibilidad, y no puede obligar a un consumidor a crear una nueva cuenta para hacer una solicitud.
El plazo de respuesta es de 45 días, prorrogable una vez por otros 45 días cuando sea razonablemente necesario, con aviso al consumidor. La información generalmente debe proporcionarse sin costo hasta dos veces al año por consumidor. Una negativa debe explicarse dentro del plazo, con instrucciones para apelar, y la entidad debe mantener un proceso de apelación documentado que responda dentro de 45 días y remita al consumidor cuya solicitud siga siendo denegada al Fiscal General.
La obligación de eliminación es especialmente exigente porque alcanza a terceros posteriores. Conforme a RCW 19.373.040, ante una solicitud de eliminación, la entidad debe eliminar los datos de sus registros, incluidos los sistemas de archivo y respaldo dentro de un plazo limitado, y debe notificar a todas las afiliadas, procesadores, contratistas y terceros que recibieron los datos para que ellos también los eliminen. El detalle orientado al consumidor se describe en la guía Derechos del consumidor bajo la MHMDA.

Obligación 5: controles de acceso, procesadores y seguridad de datos
La MHMDA impone obligaciones de manejo interno. Conforme a RCW 19.373.050, una entidad regulada debe restringir el acceso a los datos de salud del consumidor por parte de sus empleados, procesadores y contratistas a lo necesario para proporcionar un producto o servicio que el consumidor solicitó, o según lo que el consumidor haya consentido. La misma sección exige que la entidad establezca, implemente y mantenga prácticas razonables de seguridad de datos administrativas, técnicas y físicas para proteger la confidencialidad, integridad y disponibilidad de los datos de salud del consumidor, apropiadas para su volumen y naturaleza.
Las relaciones con procesadores se rigen por RCW 19.373.060. Un procesador solo puede procesar datos de salud del consumidor conforme a un contrato vinculante con la entidad regulada y solo de manera congruente con las instrucciones de esa entidad. Un procesador que exceda las instrucciones de la entidad, o que no cumpla el contrato, se convierte él mismo en una entidad regulada respecto de esos datos, lo que eleva el riesgo en la gestión de proveedores.
En conjunto, estas obligaciones significan que un programa de cumplimiento necesita límites de acceso basados en roles, controles de seguridad documentados y contratos de procesador estrictamente delimitados. Un proveedor supervisado de manera laxa puede convertirse en una entidad regulada y generar responsabilidad para ambas partes.
Obligación 6: la prohibición de geocercas
RCW 19.373.080 es una prohibición absoluta que se aplica a cualquier persona, no solo a las entidades reguladas, razón por la cual tuvo la fecha de cumplimiento más temprana, el 23 de julio de 2023. Es ilegal implementar una geocerca alrededor de una entidad que proporciona servicios de atención médica presenciales cuando la geocerca se usa para identificar o rastrear a consumidores que buscan servicios de atención médica, para recopilar sus datos de salud del consumidor, o para enviarles notificaciones, mensajes o anuncios relacionados con sus datos de salud del consumidor o sus servicios de atención médica.
Una geocerca, definida en RCW 19.373.010, es tecnología de detección de ubicación que crea un límite virtual de 2,000 pies o menos desde el perímetro de una ubicación física, o que ubica a un consumidor dentro de ese límite. Debido a que la prohibición es absoluta para los fines enumerados, no existe una vía de consentimiento: una empresa no puede legalmente realizar rastreo o publicidad mediante geocercas en centros de salud, aunque el consumidor haya estado de acuerdo.
Para los equipos de publicidad y análisis, esto significa auditar cualquier segmentación basada en ubicación que pudiera afectar a clínicas, farmacias, proveedores de salud mental, centros de salud reproductiva o proveedores de atención de afirmación de género. El riesgo no es teórico, ya que el uso de geocercas cerca de centros de salud ha sido objeto de atención regulatoria a nivel nacional.
Riesgo de litigio: el derecho de acción privada
El principal motor de cumplimiento bajo la MHMDA es su modelo de aplicación. RCW 19.373.090 declara que una infracción del capítulo constituye una infracción de la Ley de Protección al Consumidor de Washington, capítulo 19.86 RCW. El Fiscal General de Washington ha confirmado que esto convierte a cualquier infracción de la MHMDA en una infracción automática de la Ley de Protección al Consumidor, aplicada tanto por el Fiscal General como mediante acción privada.
La acción privada se ejerce conforme a RCW 19.86.090, que permite a una persona perjudicada demandar por daños reales, permite al tribunal otorgar hasta tres veces los daños reales sujeto a un límite legal, y permite recuperar costas y honorarios razonables de abogado. La estructura de traslado de honorarios y daños triplicados, combinada con la disponibilidad de acciones colectivas, es lo que convierte a la MHMDA en un riesgo de litigio y no solo en un riesgo regulatorio.
| Obligación | Estatuto | Requisito principal |
|---|---|---|
| Política de privacidad | RCW 19.373.020 | Política separada, enlace en la página de inicio, revelar categorías y destinatarios |
| Consentimiento | RCW 19.373.030 | Aceptación voluntaria para recopilar; aceptación voluntaria separada para compartir |
| Autorización para vender | RCW 19.373.070 | Autorización firmada, específica, de 1 año; conservación de 6 años |
| Derechos del consumidor | RCW 19.373.040 | Atender solicitudes en 45 días; proceso de apelación |
| Acceso y seguridad | RCW 19.373.050, .060 | Limitar acceso; vincular a los procesadores; seguridad razonable |
| Geocercas | RCW 19.373.080 | Sin geocercas de rastreo o mercadeo cerca de centros de salud |
Esta guía no predice resultados ni recomienda si se debe demandar o llegar a un acuerdo en algún asunto. A partir de 2026, la postura prudente para cualquier empresa que maneje datos de salud de consumidores de Washington es tratar las seis obligaciones anteriores como obligaciones vigentes y documentar el cumplimiento, dado que tanto el estado como los demandantes privados pueden hacerlas cumplir.
Más leyes de Washington
- Leyes de Grabación de Reuniones con IA de Washington
- Leyes de Pensión Alimenticia Conyugal de Washington
- Leyes de Empleo a Voluntad de Washington
- Leyes de Accidentes Automovilísticos de Washington
- Leyes de Asientos de Seguridad para Auto de Washington
- Leyes de Custodia de Menores de Washington
- Leyes de Manutención Infantil de Washington
- Leyes de Matrimonio de Hecho de Washington
- Leyes sobre Deepfakes de Washington
- Leyes de Divorcio de Washington
- Leyes de Mordeduras de Perro de Washington
- Leyes de Emancipación de Washington
- Leyes de Eliminación de Antecedentes Penales de Washington
- Leyes de Accidentes con Fuga de Washington
- Leyes de Arrendador-Inquilino de Washington
- Leyes del Limón de Washington
Guías relacionadas
Preguntas frecuentes
¿Qué exige la MHMDA que hagan las empresas?
La MHMDA (capítulo 19.373 RCW) exige que las entidades reguladas publiquen una política separada de privacidad de datos de salud del consumidor (RCW 19.373.020), obtengan consentimiento antes de recopilar o compartir datos de salud del consumidor con un consentimiento distinto para compartir (RCW 19.373.030), obtengan una autorización firmada por separado antes de venderlos (RCW 19.373.070), atiendan las solicitudes de derechos del consumidor dentro de 45 días (RCW 19.373.040), restrinjan el acceso y mantengan la seguridad (RCW 19.373.050 y .060), y eviten el uso de geocercas en centros de salud (RCW 19.373.080).
¿Cuándo debían las empresas cumplir con la MHMDA?
La prohibición de geocercas entró en vigor el 23 de julio de 2023 para cualquier persona. Las entidades reguladas que no son pequeñas empresas debían cumplir con las obligaciones fundamentales antes del 31 de marzo de 2024, y las pequeñas empresas antes del 30 de junio de 2024. A partir de 2026, todas esas fechas ya vencieron, por lo que toda organización cubierta está plenamente obligada.
¿Debe una pequeña empresa cumplir con la MHMDA?
Sí. Conforme a RCW 19.373.010, la definición de "pequeña empresa" (procesar datos de menos de 100,000 consumidores, o de menos de 25,000 mientras se obtiene menos de la mitad de los ingresos de dicho procesamiento) solo afecta la fecha de cumplimiento, el 30 de junio de 2024, no si la ley aplica. Las pequeñas empresas deben cumplir las mismas obligaciones fundamentales que las entidades reguladas más grandes.
¿Qué debe incluir una política de privacidad de la MHMDA?
Conforme a RCW 19.373.020, la política de privacidad de datos de salud del consumidor debe ser separada del aviso general de privacidad, estar enlazada en la página de inicio, y revelar las categorías de datos de salud del consumidor recopilados y por qué, las fuentes de esos datos, las categorías de datos compartidos, una lista de las categorías de terceros y las afiliadas específicas con quienes se comparten, y cómo pueden los consumidores ejercer sus derechos. La entidad no puede recopilar, usar o compartir datos de maneras que la política no revele.
¿Cuál es la diferencia entre consentimiento y autorización bajo la MHMDA?
El consentimiento conforme a RCW 19.373.030 se requiere para recopilar o compartir datos de salud del consumidor, y el consentimiento para compartir debe ser separado del consentimiento para recopilar. La autorización conforme a RCW 19.373.070 es un estándar más alto requerido para vender datos de salud del consumidor: un documento separado, específico y firmado que nombra al comprador y al vendedor, describe la venta, no puede ser condición del servicio, vence al año, y debe conservarse durante seis años.
¿Puede una empresa usar geocercas cerca de una clínica en Washington?
No para los fines prohibidos. RCW 19.373.080 declara ilegal usar una geocerca dentro de 2,000 pies de un centro de atención médica presencial para rastrear a consumidores que buscan servicios de salud, recopilar sus datos de salud del consumidor, o enviarles notificaciones, mensajes o anuncios relacionados con la salud. La prohibición es absoluta, por lo que no puede subsanarse con el consentimiento del consumidor, y se aplica a cualquier persona, no solo a las entidades reguladas.
¿Cuál es la sanción por infringir la MHMDA?
La MHMDA no tiene un régimen de sanciones separado. En cambio, RCW 19.373.090 convierte una infracción en una infracción automática de la Ley de Protección al Consumidor de Washington (capítulo 19.86 RCW). Eso expone a una empresa a la aplicación del Fiscal General y a demandas privadas conforme a RCW 19.86.090, que permiten daños reales, daños triplicados hasta un límite legal, costas y honorarios de abogado. El derecho de acción privada, incluidas las acciones colectivas, es el principal riesgo de litigio.
¿Los procesadores y proveedores están cubiertos por la MHMDA?
Sí. Conforme a RCW 19.373.060, un procesador solo puede manejar datos de salud del consumidor bajo un contrato vinculante y solo según las instrucciones de la entidad regulada. Un procesador que exceda esas instrucciones o incumpla el contrato se convierte él mismo en una entidad regulada respecto de esos datos. Conforme a RCW 19.373.050, las entidades reguladas también deben restringir el acceso de empleados, procesadores y contratistas a lo necesario y mantener una seguridad de datos razonable.
Fuentes y referencias
- RCW 19.373.020: Política de privacidad de datos de salud del consumidor(app.leg.wa.gov).gov
- RCW 19.373.030: Recopilación o intercambio de datos de salud del consumidor(app.leg.wa.gov).gov
- RCW 19.373.040: Derechos y solicitudes del consumidor, negativa, apelación(app.leg.wa.gov).gov
- RCW 19.373.050: Prácticas de seguridad de datos(app.leg.wa.gov).gov
- RCW 19.373.060: Procesadores(app.leg.wa.gov).gov
- RCW 19.373.070: Autorización válida para vender(app.leg.wa.gov).gov
- RCW 19.373.080: Restricciones de geocercas(app.leg.wa.gov).gov
- RCW 19.373.090: Aplicación de la ley de protección al consumidor(app.leg.wa.gov).gov
- RCW 19.86.090: Derecho de acción privada de la Ley de Protección al Consumidor(app.leg.wa.gov).gov
- Fiscal General de Washington: Protección de los datos de salud personal y la privacidad de los habitantes de Washington(atg.wa.gov).gov