Recurso educativo de Washington

Ley Mi Salud, Mis Datos de Washington (MHMDA): Privacidad de Datos de Salud del Consumidor Fuera de HIPAA

Si su aplicación, sitio web, producto SaaS o herramienta de IA tiene contacto con consumidores de Washington y procesa cualquier cosa que pueda interpretarse como datos de salud del consumidor (Consumer Health Data), aplica la Ley Mi Salud, Mis Datos (MHMDA) en el Capítulo 19.373 RCW, y el costo de equivocarse es alto. Las violaciones de la MHMDA son violaciones per se de la Consumer Protection Act (CPA): un demandante privado obtiene daños reales, daños triplicados discrecionales con un tope de $25,000 sobre el incremento, y honorarios de abogado unidireccionales, todo sin tener que probar el interés público por separado. No hay aviso estatutario previo a la demanda. Esta página recorre la superficie viva de cumplimiento y disputa, no los comunicados de prensa.

Última revisión legal: 2026-05-18. Citas verificadas contra el Capítulo 19.373 RCW en app.leg.wa.gov; texto operativo de las secciones .005, .010, .020, .030, .040, .050, .060, .070, .080, .090 y .100. La guía de la agencia y las referencias cruzadas a reglas judiciales deben confirmarse antes de basarse en ellas en un asunto específico.

Triaje rápido: ¿le aplica la MHMDA?

El alcance de la Ley es más amplio de lo que la mayoría de operadores asume. La MHMDA de Washington puede alcanzar a empresas fuera del estado si conducen negocios en Washington o dirigen productos o servicios a consumidores de Washington y determinan los propósitos y medios de recopilar, procesar, compartir o vender datos de salud del consumidor (Consumer Health Data). No se requiere una oficina o base de clientes en Washington. "Consumer Health Data" alcanza cualquier dato razonablemente vinculable a un consumidor que identifique estado de salud física o mental, abarcando aplicaciones de bienestar, rastreadores de fitness, aplicaciones de salud mental, aplicaciones de menstruación y fertilidad, aplicaciones de sueño, y herramientas de IA que infieren salud a partir de señales no médicas.

¿Procesa datos de consumidores de Washington (por residencia, por recopilación en Washington, o porque dirige su producto a residentes de Washington)?
¿Algún dato podría plausiblemente contar como "Consumer Health Data" (estado de salud física o mental, biométrico, afirmación de género, salud reproductiva o sexual, ubicación precisa cerca de una instalación de atención médica, o cualquier inferencia que ubique a un consumidor en una categoría relacionada con la salud)?
¿Vende Consumer Health Data, lo comparte con terceros, o ejecuta un geocercado (geofencing) dentro de los 2,000 pies del perímetro de una instalación presencial de atención médica?
¿Publica una Consumer Health Data Privacy Policy separada, vinculada de forma prominente desde su página de inicio, distinta de su política de privacidad general?
¿Obtuvo consentimiento afirmativo para la recopilación y un consentimiento separado para el intercambio, como lo exige RCW 19.373.030?

Si alguna respuesta no está clara, el asunto amerita una revisión por escrito. La Ley ha estado operativa contra entidades reguladas desde el 31 de marzo de 2024 y contra pequeñas empresas desde el 30 de junio de 2024.

Capa de alcance y definiciones (RCW 19.373.005, .010, .020)

La declaración en RCW 19.373.005 impulsará una interpretación liberal en casos cerrados: "The legislature finds that the people of Washington regard their privacy as a fundamental right and an essential element of their individual freedom." Las herramientas legislativas declaradas incluyen divulgaciones y consentimiento reforzados, derechos de eliminación, una prohibición de vender Consumer Health Data sin autorización válida firmada por el consumidor, y una prohibición de geofencing en instalaciones de atención médica.

Las definiciones en RCW 19.373.010 son fundamentales. "Consumer" significa (a) un residente de Washington o (b) una persona natural cuyo Consumer Health Data es recopilado en Washington. Un no residente cuyos datos se recopilan en Washington también es un consumidor. "Consumer Health Data" significa información personal vinculada o razonablemente vinculable a un consumidor que identifica el estado de salud física o mental pasado, presente o futuro, incluidas inferencias. "Regulated Entity" significa cualquier entidad legal que (a) conduzca negocios en Washington o produzca o proporcione productos o servicios dirigidos a consumidores en Washington, y (b) sola o conjuntamente determine el propósito y los medios de recopilar, procesar, compartir o vender Consumer Health Data.

"Small business" significa una entidad regulada que satisface uno o ambos de: (a) menos de 100,000 consumidores durante un año calendario, o (b) menos del 50 por ciento de los ingresos brutos provenientes de Consumer Health Data. "Sell" significa intercambiar por una consideración monetaria u otra consideración valiosa, con excepciones para fusiones, adquisiciones, quiebras y arreglos de procesadores. "Geofence" es "a virtual boundary that is 2,000 feet or less from the perimeter of the physical location," usando GPS, torre celular, datos celulares, RFID, Wifi, o cualquier otra detección espacial o de ubicación.

Dos conclusiones. Primero, el alcance jurisdiccional va más allá de las empresas domiciliadas en Washington: un SaaS de Texas que comercializa una aplicación de sueño a usuarios de Washington puede estar cubierto si dirige sus productos a consumidores de Washington y determina los propósitos y medios de recopilar, procesar, compartir o vender Consumer Health Data. Segundo, la definición alcanza las inferencias; un modelo de IA que infiere el estado de salud a partir de patrones de compra, historial de búsqueda o ubicación está generando Consumer Health Data.

RCW 19.373.020 es la sección de política de privacidad y la brecha de cumplimiento más pasada por alto: "Except as provided in subsection (2) of this section, beginning March 31, 2024, a regulated entity and a small business shall maintain a consumer health data privacy policy that clearly and conspicuously discloses: (i) The categories of consumer health data collected and the purpose for which the data is collected, including how the data will be used; (ii) the categories of sources from which the consumer health data is collected; (iii) the categories of consumer health data that is shared; (iv) a list of the categories of third parties and specific affiliates with whom the regulated entity or the small business shares the consumer health data; and (v) how a consumer can exercise the rights provided in RCW 19.373.040. (b) A regulated entity and a small business shall prominently publish a link to its consumer health data privacy policy on its homepage." Las subsecciones (c)-(d) requieren consentimiento afirmativo antes de agregar categorías o nuevos propósitos; la (e) hace que los contratos con procesadores inconsistentes con la política sean una violación.

Consentimiento, venta y la prohibición de geofencing (RCW 19.373.030, .060, .070, .080)

RCW 19.373.030 impone un régimen de consentimiento de dos capas. Una entidad regulada no puede recopilar Consumer Health Data excepto con consentimiento para un propósito especificado, o cuando la recopilación es necesaria para proporcionar un producto o servicio solicitado. No puede compartir Consumer Health Data excepto con consentimiento separado, distinto del consentimiento de recopilación, o cuando compartirlo es necesario para proporcionar el producto o servicio solicitado. La solicitud de autorización debe divulgar categorías de datos, propósito y métodos de uso, entidades receptoras, y mecanismo de retiro. Se prohíbe la discriminación contra consumidores que ejerzan estos derechos. Una aceptación unificada de la política de privacidad es insuficiente; se requieren dos consentimientos. Los flujos de consentimiento genéricos de CCPA, CPRA o Connecticut Data Privacy Act fallan en este punto.

RCW 19.373.060 regula la relación con el procesador y previamente no había sido citada en el mapa de autoridad subyacente. Texto operativo: "(1)(a)(i) Except as provided in subsection (2) of this section, beginning March 31, 2024, a processor may process consumer health data only pursuant to a binding contract between the processor and the regulated entity or the small business that sets forth the processing instructions and limit the actions the processor may take with respect to the consumer health data it processes on behalf of the regulated entity or the small business. (ii) A processor may process consumer health data only in a manner that is consistent with the binding instructions set forth in the contract with the regulated entity or the small business. (b) A processor shall assist the regulated entity or the small business by appropriate technical and organizational measures, insofar as this is possible, in fulfilling the regulated entity's and the small business's obligations under this chapter. (c) If a processor fails to adhere to the regulated entity's or the small business's instructions or processes consumer health data in a manner that is outside the scope of the processor's contract with the regulated entity or the small business, the processor is considered a regulated entity or a small business with regard to such data and is subject to all the requirements of this chapter with regard to such data. (2) A small business must comply with this section beginning June 30, 2024." Los contratos de procesador bajo la MHMDA no son intercambiables con los DPA del GDPR o los acuerdos de proveedor de servicios de la CCPA; un procesador que se sale de las instrucciones se convierte en una entidad regulada respecto de los datos en cuestión.

RCW 19.373.070 rige la venta de Consumer Health Data, tomando prestada la arquitectura de una autorización de divulgación de HIPAA. A partir del 31 de marzo de 2024, es ilegal vender u ofrecer vender Consumer Health Data sin autorización válida. Los nueve elementos requeridos: (1) identificación específica de los datos; (2) nombre y datos de contacto del vendedor; (3) nombre y datos de contacto del comprador; (4) descripción del propósito, incluyendo cómo se recopilarán y usarán los datos; (5) una declaración de que "provision of goods or services may not be conditioned on" la firma; (6) derecho de revocación e instrucciones; (7) aviso de que los datos comprados pueden estar sujetos a redivulgación adicional; (8) vencimiento un año desde la firma; y (9) firma y fecha del consumidor. La autorización es inválida si está vencida, le falta cualquier elemento, está revocada, está combinada con otros documentos, o condiciona el servicio a la firma.

RCW 19.373.080 es la prohibición de geofencing: "It is unlawful for any person to implement a geofence around an entity that provides in-person health care services where such geofence is used to: (1) Identify or track consumers seeking health care services; (2) collect consumer health data from consumers; or (3) send notifications, messages, or advertisements to consumers related to their consumer health data or health care services." El perímetro de 2,000 pies está en las definiciones de RCW 19.373.010. Fuente de la ley de sesión: 2023 c 191 s 10. La ley promulgadora 2023 c 191 entró en vigor el 23 de julio de 2023 bajo la regla por defecto y la s 10 no contiene lenguaje de cumplimiento diferido; confirme contra la ley de sesión antes de basarse en una fecha de conducta anterior al 23 de julio de 2023.

La Consumer Health Data Privacy Policy separada (RCW 19.373.040, .050)

La política requerida por RCW 19.373.020 es un documento independiente, no una sección dentro de una política de privacidad general. Debe estar vinculada de manera prominente desde la página de inicio: un enlace al pie de página que sobreviva el colapso móvil o un enlace dedicado al nivel del chrome de la página. Agrupar las divulgaciones de la MHMDA en la política de privacidad general es el patrón de falla más común en revisiones del lado del operador.

RCW 19.373.040 confiere los derechos que la política debe explicar: confirmación de si la entidad está recopilando, compartiendo o vendiendo Consumer Health Data, con acceso y una lista de todos los terceros más información de contacto; retiro del consentimiento para recopilación e intercambio; eliminación, con notificación posterior a afiliados, procesadores, contratistas y terceros. Ventana de respuesta: 45 días más una extensión de 45 días. La eliminación de datos archivados puede retrasarse hasta seis meses. Un proceso de apelación debe producir una decisión por escrito dentro de 45 días.

RCW 19.373.050 impone obligaciones de seguridad de datos con un anclaje de cuidado razonable: "(a) Restrict access to consumer health data by the employees, processors, and contractors of the regulated entity or the small business to only those employees, processors, and contractors for which access is necessary to further the purposes for which the consumer provided consent. (b) Establish, implement, and maintain administrative, technical, and physical data security practices that, at a minimum, satisfy a reasonable standard of care within the regulated entity's or the small business's industry." El componente de restricción de acceso atado al consentimiento es más granular de lo que normalmente entregan las políticas de acceso basadas en roles.

Por qué la MHMDA cambia la postura de privacidad para SaaS, aplicaciones de bienestar y herramientas de IA

RCW 19.373.090 es la sección arquitectónicamente más consecuente: "The legislature finds that the practices covered by this chapter are matters vitally affecting the public interest for the purpose of applying the consumer protection act, chapter 19.86 RCW. A violation of this chapter is not reasonable in relation to the development and preservation of business, and is an unfair or deceptive act in trade or commerce and an unfair method of competition for the purpose of applying the consumer protection act, chapter 19.86 RCW." Esa oración convierte cada violación de la MHMDA en una violación per se de la CPA de Washington. Un demandante no necesita alegar impacto de interés público bajo el marco Hangman Ridge / RCW 19.86.093 de Washington; la .090 lo proporciona por declaración. El demandante aún debe alegar daño y causalidad, pero los primeros tres elementos de la CPA están resueltos. Combinado con los daños triplicados discrecionales con tope de $25,000, el cambio de honorarios unidireccional, y la prescripción (SOL) de cuatro años bajo RCW 19.86.120, la MHMDA es el estatuto estatal de privacidad de salud con mayor apalancamiento en Estados Unidos. Si su aplicación recopila datos de cuestionarios de salud mental de usuarios de Washington y su política es un documento combinado único sin una Consumer Health Data Privacy Policy independiente y sin enlace en la página de inicio, usted tiene exposición per se a la CPA antes de que cualquier consumidor sea perjudicado o el AG indague.

Qué no cubre HIPAA que sí cubre la MHMDA. HIPAA alcanza solo a las entidades cubiertas (Covered Entities: planes de salud, centros de procesamiento, proveedores que transmiten información de salud electrónicamente en transacciones HIPAA) y sus socios comerciales (Business Associates). Las aplicaciones de bienestar fuera de una oferta de Covered Entity, los rastreadores de fitness para consumidores, las aplicaciones de salud mental directas al consumidor, las aplicaciones de menstruación y fertilidad, las aplicaciones de sueño, los verificadores de síntomas por IA, y las aplicaciones de uso general que infieren salud a partir de señales no médicas no están cubiertas por HIPAA. La MHMDA llena el vacío. La exención en RCW 19.373.100 es específica de los datos, no aplicable de manera general a la entidad: un hospital cubierto por HIPAA está exento por su PHI (Protected Health Information) pero no por los datos de píxeles de marketing en su sitio web público. La carga de la exención recae sobre la entidad que la reclama.

Aplicación y exenciones (RCW 19.373.090, .100)

RCW 19.373.090 preserva la aplicación por parte del Washington Attorney General (WAG) bajo el Capítulo 19.86 RCW (sanciones civiles, medidas cautelares, restitución). Las vías del AG y de la CPA privada son paralelas; una entidad que atrae una investigación del AG también está expuesta a litigios privados sobre los mismos hechos.

Las exenciones en RCW 19.373.100 son más estrechas de lo que parecen. Categorías excluidas: PHI bajo HIPAA (con datos relacionados bajo Ch. 70.02 RCW y 42 CFR Part 2); GLBA; FCRA; FERPA; actividades de salud pública bajo 45 CFR 164.512; datos desidentificados que cumplen con 45 CFR Part 164; y procesamiento necesario para prevenir, detectar, proteger contra o responder a incidentes de seguridad, robo de identidad, fraude, acoso, o actividades maliciosas o engañosas. La carga de la exención recae sobre la entidad que la reclama, y las exenciones son específicas de los datos, no aplicables de manera general a la entidad. Un hospital está cubierto por HIPAA por la PHI en tratamiento, pago y operaciones, pero los píxeles publicitarios del sitio web en una página de "encuentra un médico" recopilan datos que no son PHI y no están exentos.

Qué reviso cuando me envía un asunto MHMDA

El trabajo se divide en revisión de cumplimiento y respuesta a disputas. Puntos de control del lado del operador:

Política de privacidad contra RCW 19.373.020. ¿Documento independiente, vinculado prominentemente desde la página de inicio de manera que sobreviva el colapso móvil? ¿Cinco divulgaciones sustantivas incluyendo la lista de afiliados específicos? ¿Coincide con los flujos de datos reales?
UX de consentimiento contra RCW 19.373.030. ¿Consentimiento afirmativo para recopilación separado del consentimiento afirmativo para intercambio? ¿Categorías, propósitos, destinatarios y retiro divulgados? ¿Desagrupado de la aceptación de términos generales?
Auditoría de flujo de datos. Qué Consumer Health Data toca el producto (incluyendo inferencias), hacia dónde fluye, y si el flujo coincide con la política.
Venta y autorización bajo RCW 19.373.070. ¿Autorización válida con los nueve elementos?
Auditoría de geofencing bajo RCW 19.373.080. Mapear los geofences de campaña contra direcciones de instalaciones de atención médica con un búfer de 2,000 pies.
Revisión del contrato del procesador bajo RCW 19.373.060. ¿Lenguaje de instrucción vinculante y asistencia razonable presente? ¿Propósitos permitidos delimitados con precisión?
Respuesta a indagatoria del AG. La ventana de respuesta y la postura de privilegio para documentos internos de cumplimiento importan de inmediato. Defender un reclamo privado de CPA basado en una violación per se de la MHMDA se ve diferente de un asunto ordinario de CPA porque el campo de batalla del interés público ya no existe.

Dos vías de servicio

Para operadores de SaaS, bienestar e IA. Revisión de la política de privacidad, revisión de la UX de consentimiento, y auditoría de flujo de datos contra los requisitos específicos de la MHMDA. El resultado es una evaluación por escrito del abogado que identifica brechas, clasificación de severidad y pasos de remediación. Cuando ha llegado una indagatoria del AG, el alcance se extiende a la redacción de respuesta y la postura de privilegio. El CTA principal en esta página está calibrado para esta vía.

Para consumidores de Washington cuyos datos fueron mal utilizados. Una carta de reclamo basada en la MHMDA que afirma la subsección específica violada, identifica el gancho per se de la CPA bajo RCW 19.373.090, y cuantifica la exposición (daños reales, triplicación discrecional con tope de $25,000, cambio de honorarios unidireccional bajo RCW 19.86.090). Para el marco de la CPA, consulte mi hub de la Consumer Protection Act de Washington. La carta de reclamo del lado del consumidor es de $575 por una sola carta redactada por el abogado, enviada por correo certificado de USPS (con acuse de recibo solicitado) más correo electrónico.

Documentos a reunir

Lado del operador: URL actual de la Consumer Health Data Privacy Policy más captura con fecha; captura de pantalla de la página de inicio que muestre el enlace a la política en escritorio y móvil; capturas de UX de consentimiento (flujo de cuenta, banner de consentimiento, controles de intercambio); inventario de datos de categorías de Consumer Health Data; lista de procesadores y sub-procesadores; plantilla actual de DPA; cualquier arreglo de venta de datos o asociación; cualquier carta de indagatoria del AG más cronología de la conducta; historial de notificación de brechas bajo el Capítulo 19.255 RCW.

Lado del consumidor: capturas de pantalla de la cuenta que muestren el consentimiento de registro; la política de privacidad de la entidad como apareció al registrarse (Wayback Machine si fue revisada); resultados de cualquier DSAR; capturas de permisos de la aplicación; evidencia de venta o intercambio; correspondencia de quejas previas; para un reclamo de geofencing, registros de ubicación del dispositivo y capturas de anuncios cerca o después de visitar una instalación de atención médica.

Cuándo vale la pena contratar a un abogado

Contrate asesoría legal cuando uno o más sea cierto: ha llegado una carta de indagatoria del AG; se activó un disparador de notificación de brecha y hay Consumer Health Data implicado; una auditoría de geofencing contra el perímetro de 2,000 pies está atrasada; un rediseño de UX de consentimiento necesita revisión contra RCW 19.373.030 antes del lanzamiento; el producto está por lanzarse en Washington; el producto toca datos de salud mental, reproductivos, afirmación de género, biométricos o de sueño; o la diligencia de la transacción está preguntando sobre la postura MHMDA. Es menos probable que necesite contratación cuando no se toca a ningún cliente de Washington, no se recopila Consumer Health Data, los flujos se ubican enteramente dentro de una relación documentada cubierta por HIPAA, o el problema es estructuralmente una cuestión de contrato de procesador.

Nota personal. La MHMDA es del tipo de ley con la que realmente me gusta trabajar. Lo suficientemente estrecha para ser tratable, lo suficientemente amplia para captar problemas reales, y el requisito de política separada es un gancho de cumplimiento limpio. Reviso la política de privacidad, la UX de consentimiento, los flujos de datos y los contratos de procesador, luego le digo si necesita una revisión de política de privacidad de $575 o una postura de respuesta al AG más urgente. En el lado del consumidor, el gancho per se de la CPA hace que la aritmética de la carta de reclamo sea sencilla cuando el registro documental es sólido.

¿Tengo un problema de cumplimiento?

Antes de pagar por una evaluación por escrito, aplique las preguntas de alcance y política a su propio producto. Si puede responder afirmativamente a la mayoría de estas, la MHMDA puede aplicarle y vale la pena el costo de una revisión por escrito.

¿Conduce negocios en Washington, o dirige productos o servicios a consumidores de Washington? No se requiere oficina en Washington; sí dirigirse al estado.
¿(Solo o conjuntamente) determina los propósitos y medios de procesamiento de Consumer Health Data? Si solo procesa bajo las instrucciones vinculantes de otra entidad regulada, sus obligaciones se ven diferentes.
¿Procesa datos que plausiblemente cuenten como Consumer Health Data: biométrico, salud mental, salud reproductiva o sexual, fitness, sueño, ubicación precisa cerca de una instalación de atención médica, o cualquier inferencia que ubique a un consumidor en una categoría relacionada con la salud?
¿Mantiene una Consumer Health Data Privacy Policy SEPARADA, vinculada prominentemente desde su página de inicio de manera que sobreviva el colapso móvil, distinta de su política de privacidad general? Agrupar la MHMDA en una política general es la brecha de cumplimiento más común.
¿Su consentimiento es opt-in (afirmativo, desagrupado, con un consentimiento separado para el intercambio), como lo exige RCW 19.373.030, en lugar de implícito a través de una aceptación unificada de términos?

¿Qué hechos son los más importantes en un asunto MHMDA?

En un asunto MHMDA, el apalancamiento y el riesgo suben o bajan según un pequeño conjunto de anclajes fácticos. Los hechos que más importan son (1) la presencia de cualquier consumidor de Washington (residencia, recopilación en Washington, o dirigirse al estado), ya que sin eso la Ley no le alcanza en absoluto, (2) si los datos caen dentro de la amplia definición de Consumer Health Data, especialmente inferencias hechas por IA o ML a partir de señales no médicas (aquí es donde la mayoría de operadores descubren que están dentro de la Ley), (3) si existe una Consumer Health Data Privacy Policy separada, está vinculada prominentemente desde la página de inicio, y coincide con los flujos de datos reales, (4) la postura de la UX de consentimiento (un solo paquete versus consentimientos afirmativos separados para recopilación e intercambio), y (5) si se usa geofencing o anuncios basados en ubicación dentro de los 2,000 pies de cualquier instalación presencial de atención médica, ya que RCW 19.373.080 es una prohibición plana.

Documentos a cargar para una Consulta escrita con abogado de $240 (Written Attorney Consultation)

Cuando envíe un asunto MHMDA para evaluación por escrito, los documentos a continuación me permiten aplicar el estatuto a su producto en lugar de a una plantilla SaaS genérica.

URL actual de la Consumer Health Data Privacy Policy más una captura con fecha.
Captura de pantalla de la página de inicio que muestre el enlace a la política en escritorio y en móvil (después de cualquier colapso o menú de hamburguesa).
Capturas de UX de consentimiento: flujo de creación de cuenta, banner de consentimiento, controles de intercambio, y cualquier mecanismo de retiro.
Inventario de datos de categorías de Consumer Health Data recopilados, procesados, compartidos o vendidos, incluyendo inferencias.
Lista de procesadores y sub-procesadores, más la plantilla actual de DPA o contrato de procesador.
Cualquier arreglo de venta de datos o asociación que toque Consumer Health Data.
Cualquier carta de indagatoria del Washington Attorney General (WAG) más la cronología de la conducta que la precedió.
Historial de notificación de brechas bajo el Capítulo 19.255 RCW donde estuvo implicado Consumer Health Data.
Para preguntas de geofencing, la configuración del geofence de la plataforma publicitaria y un mapa del área dirigida en relación con direcciones de instalaciones de atención médica.
Breve descripción del producto: qué hace, qué datos recopila, qué usuarios residentes de Washington (o puntos de recopilación en Washington) toca.

Qué enfatizaría una revisión de cumplimiento MHMDA o carta de reclamo

Un compromiso MHMDA no es una auditoría genérica de privacidad. Está calibrado a los ganchos específicos de cumplimiento de la Ley y al puente per se de la CPA bajo RCW 19.373.090. El trabajo típicamente enfatiza lo siguiente.

El requisito de política separada bajo RCW 19.373.020: documento independiente, cinco divulgaciones sustantivas incluyendo afiliados específicos, enlace prominente en la página de inicio que sobreviva el colapso móvil.
El régimen de consentimiento de dos capas bajo RCW 19.373.030: consentimiento afirmativo para recopilación más un consentimiento separado y distinto para intercambio, desagrupado de la aceptación de términos generales.
La autorización de venta de datos bajo RCW 19.373.070: los nueve elementos presentes, firmados por el consumidor, con vencimiento de un año y mecanismo de revocación.
La prohibición de geofencing de 2,000 pies bajo RCW 19.373.080 mapeada contra las configuraciones reales de la plataforma publicitaria.
El puente per se de la CPA bajo RCW 19.373.090: cualquier violación de la MHMDA es per se una violación de la CPA, por lo que la entidad enfrenta daños reales, triplicación discrecional con tope de $25,000, y honorarios unidireccionales sin que el demandante tenga que alegar interés público por separado.

Qué puede analizar el AI Legal Analyst antes de contratarme

Si quiere una lectura preliminar antes de pagar por la Written Attorney Consultation, puede preguntarle al AI Legal Analyst (chatbox abajo a la derecha) sobre su asunto MHMDA. La IA hará preguntas de triaje específicas de la MHMDA (alcance de Washington, definición de Consumer Health Data incluyendo inferencias, postura de política separada, UX de consentimiento, exposición a geofencing), señalará las subsecciones relevantes del Capítulo 19.373 RCW, y le dirá si el asunto se ve como candidato para una Consulta escrita con abogado de $240, un candidato para una nota de alcance MHMDA de $499 (lado operador), un candidato para una carta de reclamo de $575 (lado consumidor), o una vía completamente diferente. No le dará una opinión legal final, para eso es la Written Attorney Consultation, pero le ayudará a delimitar sus hechos antes de enviarlos.

Nota práctica de Sergei

La MHMDA es del tipo de asunto regulatorio que realmente me gusta revisar. El requisito de política de privacidad separada bajo RCW 19.373.040 es el punto de cumplimiento más omitido que veo en la práctica. Si recopila cualquier cosa que pueda ser Consumer Health Data y está atendiendo a usuarios de Washington, envíe su política de privacidad actual, sus capturas de UX de consentimiento y una breve descripción del producto. Reviso bajo licencia de California, por lo que la revisión MHMDA en esta página es trabajo regulatorio consultivo, no representación en Washington.

Fuentes primarias

Fuentes estatutarias recuperadas el 2026-05-18 desde app.leg.wa.gov: RCW 19.373.005, .010, .020, .030, .040, .050, .060, .070, .080, .090, .100.

Nota de autoridad

Los estatutos primarios y remedios operativos citados aquí fueron extraídos del texto actual en app.leg.wa.gov. La fecha de entrada en vigor de RCW 19.373.080 se basa en la regla por defecto para 2023 c 191 s 10 (23 de julio de 2023) y debe confirmarse contra el PDF de la ley de sesión antes de basarse en una fecha de conducta anterior al 23 de julio de 2023. La guía MHMDA del Washington Attorney General, los estándares de redacción procesal de las reglas judiciales de Washington (CR 8 / CR 12), y la aplicación de la regla del descubrimiento a RCW 19.86.120 deben verificarse contra la fuente actual antes de basarse en ellos en un asunto vivo. Cito fuentes primarias en todo el documento y enlazo a leg.wa.gov para que los lectores puedan verificar el texto operativo directamente.

Recurso educativo. Sergei Tokmakov es abogado de California (CA Bar #279869) que actualmente busca admisión al Washington State Bar. Nada en esta página crea una relación abogado-cliente o constituye asesoría legal de Washington. Un abogado admitido en Washington debe verificar el texto estatutario operativo y cualquier cita de caso antes de basarse en ellos en un asunto vivo. Relacionados: Guía de Términos SaaS de Washington; Guía de Notificación de Brechas de Datos de Washington; Hub de la Consumer Protection Act de Washington.

Publicidad de abogado. Sergei Tokmakov tiene licencia de California (CA Bar #279869); la admisión en Washington está pendiente. Estas páginas proporcionan información legal general y revisión documental o de cumplimiento pagada para asuntos de Washington. No comparezco en tribunales de Washington ni me presento como abogado de Washington. Para presentaciones, representación o litigios en tribunales de Washington, coordino con un abogado calificado de Washington. El compromiso comienza solo después de una verificación de conflictos y una carta de compromiso firmada.