Washington
¿Qué es la MHMDA? La Ley My Health My Data de Washington

La My Health My Data Act (MHMDA) de Washington, codificada en el capítulo 19.373 RCW, es una ley de privacidad de datos de salud del consumidor que protege información sensible de salud que queda fuera del alcance de HIPAA. Promulgada como el proyecto de ley House Bill 1155 y firmada por el gobernador Jay Inslee el 27 de abril de 2023, otorga a los consumidores de Washington derechos sobre sus "datos de salud del consumidor" y, a diferencia de casi cualquier otra ley estatal de privacidad, permite a los individuos demandar por infracciones.
A partir de 2026, la MHMDA está plenamente en vigor. La mayoría de las entidades reguladas debían cumplir antes del 31 de marzo de 2024, las pequeñas empresas antes del 30 de junio de 2024, y la prohibición de geocercas entró en vigor el 23 de julio de 2023. Su característica principal es la aplicación de la ley: conforme a RCW 19.373.090, una infracción constituye automáticamente una infracción de la Ley de Protección al Consumidor de Washington (capítulo 19.86 RCW), que el Fiscal General hace cumplir y que conlleva un derecho de acción privada.
Alcance jurisdiccional: Esto cubre la My Health My Data Act de Washington (capítulo 19.373 RCW). Es información legal general, no asesoría legal.
Qué es la MHMDA: estatuto, promulgación y fechas de vigencia
La My Health My Data Act es la ley independiente de privacidad de datos de salud del consumidor de Washington. Está codificada en el capítulo 19.373 del Código Revisado de Washington y se promulgó durante la sesión ordinaria de 2023 como House Bill 1155, una medida impulsada por la oficina del Fiscal General y patrocinada por la representante Vandana Slatter y la senadora Manka Dhingra. El gobernador Jay Inslee firmó la HB 1155 el 27 de abril de 2023.
La MHMDA no es una ley integral de privacidad al estilo de la CCPA de California o la VCDPA de Virginia. Es más estrecha en cuanto a materia y más amplia en cuanto a alcance: regula una sola categoría de información, los datos de salud del consumidor, pero lo hace sin los umbrales de ingresos o volumen que limitan a las leyes integrales. Según el Fiscal General de Washington, es la primera ley enfocada en la privacidad en el país diseñada para proteger los datos de salud personal que quedan fuera del alcance de HIPAA.
La ley entra en vigor de manera escalonada según el tipo de entidad. La Sección 10 de la ley, la restricción de geocercas ahora ubicada en RCW 19.373.080, entró en vigor el 23 de julio de 2023. Las entidades reguladas que no son pequeñas empresas debían cumplir con las obligaciones fundamentales (secciones 4 a 9) a partir del 31 de marzo de 2024. Las pequeñas empresas tenían plazo hasta el 30 de junio de 2024. A partir de 2026, todas esas fechas ya vencieron, por lo que toda categoría de organización cubierta está plenamente sujeta a la ley.
Para ver el panorama más amplio de cómo la MHMDA encaja junto con las demás reglas de datos de Washington, consulte la página principal de Leyes de privacidad de datos de Washington.
La amplia definición de "datos de salud del consumidor"
El término definido que hace que la MHMDA tenga un alcance tan amplio es "datos de salud del consumidor", establecido en RCW 19.373.010. El estatuto lo define como información personal vinculada o razonablemente vinculable a un consumidor que identifica el estado de salud física o mental pasado, presente o futuro del consumidor.
Esa definición central se amplía después mediante una larga lista no exhaustiva de categorías. Incluye condiciones de salud individuales, tratamientos, enfermedades o diagnósticos; intervenciones sociales, psicológicas, conductuales y médicas; cirugías o procedimientos relacionados con la salud; el uso o la compra de medicamentos recetados; funciones corporales, signos vitales y síntomas; diagnósticos o pruebas diagnósticas; información de salud reproductiva o sexual; e información sobre atención de afirmación de género.
La definición llega aún más lejos. Abarca datos biométricos y datos genéticos, información de ubicación precisa que pudiera razonablemente indicar el intento de un consumidor de obtener o recibir servicios o suministros de salud, y datos que identifican a un consumidor que busca servicios de atención médica. También abarca cualquier información que una entidad regulada o su procesador, o cualquier tercero, derive o extrapole a partir de otros datos para asociar a un consumidor con un estado de salud.
Esta amplitud es intencional. Mientras que HIPAA alcanza solo la "información de salud protegida" que poseen entidades cubiertas como proveedores, planes y cámaras de compensación, la MHMDA alcanza los mismos tipos de hechos dondequiera que residan: en una aplicación de seguimiento de ciclo menstrual, una plataforma de acondicionamiento físico, un registro de análisis web, un perfil publicitario, o el archivo de un corredor de datos. Los datos no necesitan provenir de un médico para estar protegidos.

Quién es una entidad regulada: sin umbral
El alcance de la MHMDA es inusualmente amplio porque no tiene umbral de tamaño. RCW 19.373.010 define una "entidad regulada" como cualquier entidad legal que realiza negocios en Washington, o que produce o proporciona productos o servicios dirigidos a consumidores en Washington, y que, sola o junto con otras, determina el propósito y los medios de recopilar, procesar, compartir o vender datos de salud del consumidor.
No existe una cifra mínima de ingresos ni un número mínimo de consumidores. Una ley integral de privacidad típicamente solo se aplica por encima de un piso de ingresos o un conteo de volumen de datos, por lo que una empresa pequeña puede escapar de ella por completo. La MHMDA no tiene ninguna de esas barreras a nivel de "entidad regulada". Si una empresa maneja datos de salud de consumidores de Washington y controla cómo se usan esos datos, está dentro del alcance.
La ley sí crea una subcategoría de "pequeña empresa", pero solo para efectos de plazos y ciertas obligaciones, no para eliminar la cobertura. Conforme a RCW 19.373.010, una pequeña empresa es una entidad regulada que durante un año calendario recopila, procesa, comparte o vende los datos de salud del consumidor de menos de 100,000 consumidores, o que obtiene menos de la mitad de sus ingresos brutos de recopilar, procesar, compartir o vender datos de salud del consumidor y controla los datos de menos de 25,000 consumidores. Las pequeñas empresas recibieron la fecha de cumplimiento posterior del 30 de junio de 2024, pero siguen estando sujetas a la ley.
Las agencias gubernamentales y las naciones tribales están excluidas de la definición de "entidad regulada", y RCW 19.373.100 añade exenciones, incluida la información de salud protegida procesada por una entidad cubierta o asociado comercial de HIPAA, ciertos datos de GLBA y FCRA, e información regida por otros marcos federales enumerados. Esas son exclusiones a nivel de datos y de entidad que las empresas deben identificar cuidadosamente en lugar de asumir.
La prohibición de geocercas
Una de las disposiciones más distintivas de la MHMDA es su prohibición absoluta de ciertas geocercas, en RCW 19.373.080. El estatuto declara ilegal que cualquier persona implemente una geocerca alrededor de una entidad que proporciona servicios de atención médica presenciales cuando la geocerca se use para hacer cualquiera de tres cosas.
Esos tres usos prohibidos son: identificar o rastrear a consumidores que buscan servicios de atención médica; recopilar datos de salud del consumidor de los consumidores; o enviar notificaciones, mensajes o anuncios a los consumidores relacionados con sus datos de salud del consumidor o servicios de atención médica. Una "geocerca" se define en RCW 19.373.010 como tecnología que usa detección de ubicación para establecer un límite virtual alrededor de una ubicación física, o para ubicar a un consumidor dentro de ese límite, que sea de 2,000 pies o menos desde el perímetro de la ubicación.
La prohibición de geocercas es notable por dos razones. Primero, se aplica a cualquier persona, no solo a las entidades reguladas, razón por la cual tuvo la fecha de cumplimiento más temprana, el 23 de julio de 2023. Segundo, es una prohibición absoluta en lugar de una regla basada en consentimiento: no existe una versión de geocercar una clínica, un proveedor de servicios de aborto, o un centro de salud mental para estos fines de rastreo y mercadeo que el consumidor pueda autorizar.
El derecho de acción privada: la pieza central de la MHMDA
La característica que distingue a la MHMDA de casi cualquier otra ley de privacidad de Estados Unidos es la aplicación privada. RCW 19.373.090 establece que una infracción del capítulo es una infracción de la Ley de Protección al Consumidor de Washington, capítulo 19.86 RCW. La Ley de Protección al Consumidor, a su vez, conlleva un derecho de acción privada de larga data conforme a RCW 19.86.090, que permite a una persona perjudicada demandar, y recuperar daños reales, daños triplicados hasta un límite legal, costas y honorarios de abogado.
El Fiscal General de Washington ha confirmado esta interpretación. Los materiales del Fiscal General establecen que cualquier infracción de la ley es una infracción automática de la Ley de Protección al Consumidor, que es "aplicada por el Fiscal General así como mediante acción privada". Así, la MHMDA tiene dos canales de aplicación funcionando a la vez: la aplicación estatal por parte del Fiscal General, y las demandas privadas, incluida la posibilidad de acciones colectivas, presentadas por los consumidores.
La mayoría de las leyes integrales estatales de privacidad excluyen deliberadamente las demandas privadas y reservan la aplicación al fiscal general. La MHMDA hace lo contrario. Para las empresas, esto significa exposición a litigios además del riesgo regulatorio, y es la razón central por la que la MHMDA se trata como una obligación de cumplimiento de alto riesgo. La guía Cumplimiento empresarial de la MHMDA aborda esa exposición en profundidad.

MHMDA frente a HIPAA y las leyes integrales de privacidad
La MHMDA se entiende mejor en contraste con los dos regímenes que la rodean: HIPAA, y las leyes integrales estatales de privacidad como la CCPA de California.
| Característica | MHMDA de Washington | HIPAA | CCPA / leyes integrales |
|---|---|---|---|
| Qué cubre | Datos de salud del consumidor, definidos ampliamente | Información de salud protegida en poder de entidades cubiertas | Todos los datos personales por encima de los umbrales |
| Quién está cubierto | Cualquier entidad que maneje datos de salud de consumidores de WA; sin umbral | Proveedores, planes, cámaras de compensación, asociados comerciales | Empresas por encima de umbrales de ingresos o volumen |
| Datos de salud fuera de la clínica | Cubiertos (aplicaciones, sitios, corredores, anuncios) | No cubiertos | A menudo cubiertos solo como "datos sensibles" |
| Geocercas en centros de salud | Prohibidas (RCW 19.373.080) | No abordadas | Generalmente no abordadas |
| Derecho de acción privada | Sí, mediante la Ley de Protección al Consumidor | No | Limitado (CCPA, solo brechas de datos) |
La brecha clave que llena la MHMDA es la de los datos de salud que HIPAA nunca toca. Cuando un consumidor ingresa síntomas en una aplicación de bienestar, busca una clínica, o su ubicación queda registrada cerca de un proveedor, HIPAA por lo general no aplica porque la aplicación o el anunciante no es una entidad cubierta. La MHMDA entra en ese vacío.
Frente a las leyes integrales, la MHMDA es más estrecha en cuanto a materia pero más estricta en dos aspectos: no tiene umbral para escapar de la cobertura, y permite demandas privadas. La página de Comparación de leyes estatales de privacidad de datos cubre el panorama más amplio a nivel de varios estados, y la CCPA de California es el punto de referencia estándar para una ley integral.
Qué significa la MHMDA en la práctica
A partir de 2026, el efecto práctico de la MHMDA ha sido llevar a una amplia gama de empresas orientadas al consumidor, mucho más allá de la atención médica tradicional, a repensar cómo manejan cualquier cosa que pudiera ser un dato de salud. La tecnología publicitaria, el seguimiento analítico, los datos de ubicación, y el intercambio de datos de aplicaciones con terceros reciben todos un mayor escrutinio bajo la ley porque los datos de salud del consumidor se definen de manera tan amplia.
La combinación de una definición sin umbral, una definición amplia de datos, y un derecho de acción privada es lo que le da a la MHMDA su peso. Un solo píxel de rastreo que capture navegación relacionada con la salud, o un flujo de datos que comparta información relacionada con la salud sin consentimiento, puede convertirse en la base de un reclamo bajo la Ley de Protección al Consumidor.
Para los consumidores, la MHMDA creó derechos que antes no existían para los datos de salud fuera de HIPAA: el derecho a saber si una entidad recopila, comparte o vende sus datos de salud del consumidor, a retirar el consentimiento, y a que esos datos se eliminen. Esos derechos se describen en la guía Derechos del consumidor bajo la MHMDA.
Más leyes de Washington
- Leyes de Grabación de Reuniones con IA de Washington
- Leyes de Pensión Alimenticia Conyugal de Washington
- Leyes de Empleo a Voluntad de Washington
- Leyes de Accidentes Automovilísticos de Washington
- Leyes de Asientos de Seguridad para Auto de Washington
- Leyes de Custodia de Menores de Washington
- Leyes de Manutención Infantil de Washington
- Leyes de Matrimonio de Hecho de Washington
- Leyes sobre Deepfakes de Washington
- Leyes de Divorcio de Washington
- Leyes de Mordeduras de Perro de Washington
- Leyes de Emancipación de Washington
- Leyes de Eliminación de Antecedentes Penales de Washington
- Leyes de Accidentes con Fuga de Washington
- Leyes de Arrendador-Inquilino de Washington
- Leyes del Limón de Washington
Guías relacionadas
Preguntas frecuentes
¿Qué es la My Health My Data Act?
La My Health My Data Act (MHMDA) es la ley de privacidad de datos de salud del consumidor de Washington, codificada en el capítulo 19.373 RCW. Se promulgó como HB 1155 y fue firmada por el gobernador Jay Inslee el 27 de abril de 2023. Protege los 'datos de salud del consumidor' que quedan fuera de HIPAA, exige consentimiento antes de recopilar o compartir esos datos, prohíbe ciertas geocercas en centros de salud, y otorga a los consumidores derechos de acceso, retiro del consentimiento y eliminación de sus datos. De manera singular, las infracciones son exigibles mediante demandas privadas bajo la Ley de Protección al Consumidor de Washington.
¿Cuándo entró en vigor la MHMDA?
La MHMDA entra en vigor de manera escalonada según el tipo de entidad. La prohibición de geocercas (RCW 19.373.080) entró en vigor el 23 de julio de 2023. Las entidades reguladas que no son pequeñas empresas debían cumplir con las obligaciones fundamentales antes del 31 de marzo de 2024, y las pequeñas empresas antes del 30 de junio de 2024. A partir de 2026, todas esas fechas ya vencieron, por lo que la ley está plenamente en vigor para toda categoría de organización cubierta.
¿Tiene la MHMDA un umbral de ingresos o de tamaño?
No. Conforme a RCW 19.373.010, una 'entidad regulada' es cualquier entidad legal que realiza negocios en Washington o dirige su actividad a consumidores de Washington y que determina el propósito y los medios de procesar datos de salud del consumidor. No existe una cifra mínima de ingresos ni un número mínimo de consumidores. La ley define una subcategoría de 'pequeña empresa' para efectos de plazos y ciertas obligaciones, pero las pequeñas empresas siguen estando cubiertas, solo con una fecha de cumplimiento posterior, el 30 de junio de 2024.
¿Qué son los 'datos de salud del consumidor' bajo la MHMDA?
Conforme a RCW 19.373.010, los datos de salud del consumidor son información personal vinculada o razonablemente vinculable a un consumidor que identifica su estado de salud física o mental pasado, presente o futuro. Incluyen condiciones de salud, diagnósticos, tratamientos, medicamentos, funciones corporales y signos vitales, salud reproductiva y sexual, atención de afirmación de género, datos biométricos y genéticos, ubicación precisa que pudiera indicar un intento de obtener servicios de salud, y datos que identifican a un consumidor que busca atención médica. Es mucho más amplia que la información de salud protegida de HIPAA.
¿En qué se diferencia la MHMDA de HIPAA?
HIPAA protege la 'información de salud protegida' solo cuando la poseen entidades cubiertas como proveedores, planes de salud y cámaras de compensación, o sus asociados comerciales. La MHMDA protege los 'datos de salud del consumidor' dondequiera que residan, incluidas aplicaciones, sitios web, perfiles publicitarios y archivos de corredores de datos a los que HIPAA nunca alcanza. La MHMDA se diseñó específicamente para cerrar la brecha de los datos de salud que quedan fuera del alcance de HIPAA.
¿Qué es la prohibición de geocercas?
Conforme a RCW 19.373.080, es ilegal implementar una geocerca (un límite virtual de 2,000 pies o menos) alrededor de una entidad que proporciona servicios de atención médica presenciales cuando la geocerca se usa para identificar o rastrear a consumidores que buscan servicios de salud, para recopilar datos de salud del consumidor, o para enviarles notificaciones, mensajes o anuncios relacionados con sus datos de salud o servicios de atención médica. Se aplica a cualquier persona y es una prohibición absoluta, no algo que un consumidor pueda autorizar.
¿Pueden los individuos demandar bajo la MHMDA?
Sí. Conforme a RCW 19.373.090, una infracción de la MHMDA es una infracción de la Ley de Protección al Consumidor de Washington (capítulo 19.86 RCW), que conlleva un derecho de acción privada conforme a RCW 19.86.090. El Fiscal General de Washington también hace cumplir la ley. Esta doble aplicación, que incluye demandas privadas y posibles acciones colectivas, es lo que distingue a la MHMDA de la mayoría de las leyes estatales de privacidad, que reservan la aplicación únicamente al fiscal general.
¿Quién hace cumplir la MHMDA?
La MHMDA se hace cumplir de dos maneras. El Fiscal General de Washington la hace cumplir conforme a la Ley de Protección al Consumidor, y los consumidores individuales pueden presentar demandas privadas conforme a RCW 19.86.090 porque RCW 19.373.090 convierte a una infracción de la MHMDA en una infracción automática de la Ley de Protección al Consumidor. Ese derecho de acción privada es la razón central por la que las empresas tratan a la MHMDA como una obligación de alto riesgo.
¿Se aplica la MHMDA a empresas fuera de Washington?
Puede aplicarse. RCW 19.373.010 cubre a cualquier entidad legal que realice negocios en Washington o que produzca o proporcione productos o servicios dirigidos a consumidores en Washington y que determine cómo se procesan los datos de salud del consumidor. Una empresa ubicada en otro lugar que haga mercadeo o recopile datos de salud de consumidores de Washington puede ser una entidad regulada, sin ningún umbral de ingresos o volumen que la exente de la cobertura.
Fuentes y referencias
- Capítulo 19.373 RCW: My Health My Data Act (capítulo completo)(app.leg.wa.gov).gov
- RCW 19.373.010: Definiciones (datos de salud del consumidor, entidad regulada, geocerca)(app.leg.wa.gov).gov
- RCW 19.373.080: Restricciones de geocercas(app.leg.wa.gov).gov
- RCW 19.373.090: Aplicación de la ley de protección al consumidor(app.leg.wa.gov).gov
- RCW 19.373.100: Exenciones(app.leg.wa.gov).gov
- Proyecto de ley HB 1155 del estado de Washington (2023): My Health My Data Act(app.leg.wa.gov).gov
- RCW 19.86.090: Derecho de acción privada de la Ley de Protección al Consumidor(app.leg.wa.gov).gov
- Fiscal General de Washington: Protección de los datos de salud personal y la privacidad de los habitantes de Washington(atg.wa.gov).gov