Recurso educativo de Washington

Derecho de privacidad de Washington para empresas SaaS: el mapa del operador a través de tres leyes

Una empresa SaaS que atiende clientes en Washington opera dentro de tres leyes que se relacionan entre sí: Chapter 19.255 RCW (notificación de filtración de datos, aplicable a "personal information" sobre residentes de Washington), Chapter 19.373 RCW (la My Health My Data Act, MHMDA, aplicable a "consumer health data" de consumidores de Washington), y Chapter 19.86 RCW (la Consumer Protection Act, CPA, a través de la cual ambas leyes encauzan su exigibilidad). Washington no tiene un equivalente a la CCPA o CPRA en el sentido amplio de derechos del consumidor y controladores en todas partes; el mapa estatutario es más estrecho y más específico. El mapa a continuación es por el que recorro cuando un operador SaaS me envía su postura de privacidad de Washington para una evaluación escrita por abogado. Es educativo, no asesoría legal de Washington sobre una postura específica.

Última revisión legal: 2026-05-19. Texto de las leyes obtenido de Chapter 19.255 RCW, Chapter 19.373 RCW y Chapter 19.86 RCW en app.leg.wa.gov en esa fecha.

Ley 1: Chapter 19.255 RCW (notificación de filtraciones)

Aplica cuando usted posee o licencia "personal information" computarizada de residentes de Washington dentro de la definición en RCW 19.255.010 (nombre más un identificador listado).
El detonante es la adquisición no autorizada, no la exposición. El puerto seguro de cifrado aplica cuando los datos estaban cifrados y la clave de descifrado no fue también adquirida.
Aviso al consumidor en no más de treinta días desde el descubrimiento; aviso al Attorney General en la misma ventana para filtraciones que afectan a más de quinientos residentes de Washington.
Asignación al procesador conforme a RCW 19.255.020: el proveedor notifica con prontitud al propietario; el propietario se encarga del aviso al consumidor y al AG.
Sección de protección al consumidor en RCW 19.255.040: otorga al Attorney General autoridad de exigibilidad al estilo CPA para violaciones del Chapter 19.255 y por separado permite al consumidor lesionado presentar una acción civil por daños y medida cautelar. La propia ley dice que una acción para hacer cumplir el Chapter 19.255 no puede entablarse bajo RCW 19.86.090, por lo que toda la pila de remedios privados de la CPA de RCW 19.86.090 (daños triples con tope de $25,000, honorarios de abogado en una sola dirección) no aplica automáticamente a una reclamación por notificación de filtración. Una reclamación separada del Chapter 19.86 CPA aún puede estar disponible si los hechos satisfacen de manera independiente los elementos de la CPA.

Ley 2: Chapter 19.373 RCW (MHMDA, My Health My Data Act)

Aplica a "regulated entities" que realizan actividades comerciales en Washington o producen o proveen productos o servicios dirigidos a consumidores de Washington Y determinan los propósitos y medios del procesamiento de "consumer health data" dentro de la definición en RCW 19.373.010.
Consumer Health Data Privacy Policy separada, enlazada desde la página de inicio conforme a RCW 19.373.020. No es una sección de la política de privacidad general.
Consentimiento en la recolección, autorización separada para la venta y autorización separada para el intercambio conforme a RCW 19.373.030.
Derechos del consumidor (acceso, eliminación, retiro del consentimiento) conforme a RCW 19.373.040.
Obligaciones de seguridad de datos conforme a RCW 19.373.050.
Contratos con procesadores conforme a RCW 19.373.060.
Geofence alrededor de instalaciones de atención médica en persona prohibido conforme a RCW 19.373.080.
Violación per se de la CPA conforme a RCW 19.373.090.

Ley 3: Chapter 19.86 RCW (Consumer Protection Act, CPA)

Prohibición sustantiva de actos o prácticas desleales o engañosas en el comercio en RCW 19.86.020.
Codificación de las vías de interés público en RCW 19.86.093.
El remedio privado en RCW 19.86.090 (daños reales, triplicación discrecional con tope de $25,000 por violación de RCW 19.86.020, honorarios de abogado en una sola dirección) está disponible solo cuando los hechos satisfacen de manera independiente los elementos de la CPA; la propia ley dice que una acción para hacer cumplir el Chapter 19.255 no puede entablarse bajo RCW 19.86.090.
Plazo de prescripción de cuatro años en RCW 19.86.120.
Para operadores SaaS, el marco de la CPA alcanza el ángulo de la MHMDA como una violación per se de la CPA conforme a RCW 19.373.090. El ángulo de la notificación de filtraciones es diferente: RCW 19.255.040 otorga al AG autoridad de exigibilidad al estilo CPA y permite al consumidor lesionado demandar por daños y medida cautelar, pero la ley dice que una acción para hacer cumplir el Chapter 19.255 no puede entablarse bajo RCW 19.86.090, por lo que toda la pila de remedios privados de RCW 19.86.090 no se adhiere automáticamente. Una reclamación separada del Chapter 19.86 CPA aún puede estar disponible si los hechos satisfacen de manera independiente los elementos de la CPA (una política de privacidad que contradice la práctica real, un píxel de seguimiento no divulgado, una venta de datos a terceros no divulgada).

Superposición contractual: términos SaaS y DPAs

Los Terms of Service deben hacer referencia a Washington para cualquier lenguaje explícito de privacidad o notificación de filtraciones y no deben contradecir la práctica de la Consumer Health Data Privacy Policy exigida por la MHMDA.
El DPA debe codificar las ventanas de notificación de filtraciones, la asignación de costos, la indemnización, las excepciones al tope de responsabilidad para costos relacionados con la filtración, y las obligaciones del procesador consistentes tanto con RCW 19.255.020 como con RCW 19.373.060.
Para operadores B2B con clientes empresariales en Washington, anticipe obligaciones flow-down del lado del cliente: controles mínimos de seguridad, derechos de auditoría, tiempos de notificación de filtraciones e indemnización.
Seguros: cyber y tech E&O con cobertura de respuesta a filtraciones; el panel breach-coach puede estar especificado por la póliza.

Superposición multiestatal

La mayoría de los operadores SaaS atienden consumidores en varios estados. El mapa de Washington opera dentro de una postura más amplia que incluye California (CCPA / CPRA, Cal. Civ. Code 1798.82 sobre notificación de filtraciones, Confidentiality of Medical Information Act para datos médicos), Colorado, Virginia, Texas y leyes sectoriales federales (HIPAA, GLBA, COPPA). La postura conservadora es adoptar por defecto el estándar más estricto aplicable en cuanto a tiempos, contenido, detonantes para el AG y derechos del consumidor, y usar el marco MHMDA de Washington como línea de base porque es el régimen estatal más exigente de consumer health data en vigor.

El error que más a menudo cometen los operadores SaaS

El error que más a menudo veo es que un operador SaaS trate la privacidad de Washington como si fuera solo una ley de notificación de filtraciones y se pierda por completo la MHMDA, o que trate la privacidad de Washington como si fuera solo la MHMDA y se pierda la postura de respuesta a incidentes del Ch. 19.255. La postura conservadora es asumir que ambas aplican cuando el SaaS maneja un conjunto de datos mixto, construir la Consumer Health Data Privacy Policy separada si se procesa cualquiera de las categorías de datos listadas por la MHMDA, y construir el runbook de respuesta a incidentes del Ch. 19.255 incluso si la categoría de datos actualmente parece benigna. El costo de construir ambos es bajo; el costo de pasar por alto cualquiera de ellos después del hecho es alto.

Qué reviso cuando me envía un asunto de privacidad SaaS de Washington

Cuando me envía el inventario de datos, los Terms of Service actuales, la política de privacidad y (si aplica) la Consumer Health Data Privacy Policy separada, la plantilla del DPA, las capturas de pantalla de la UX de consentimiento y una descripción corta del producto, recorro las tres leyes contra la postura específica y le digo dónde están las brechas de cumplimiento y cómo luce la remediación recomendada. El resultado es una evaluación escrita, no un argumento de venta.

Fuentes primarias

Chapter 19.255 RCW: notificación de filtración de datos.
Chapter 19.373 RCW: My Health My Data Act.
Chapter 19.86 RCW: Consumer Protection Act.
RCW 19.86.090: acción privada de la CPA (disponible solo si una reclamación separada del Chapter 19.86 está respaldada de manera independiente por los hechos; el Chapter 19.255 no puede hacerse cumplir bajo esta sección).
RCW 19.86.093: vías de interés público codificadas.
RCW 19.86.120: prescripción de cuatro años.

Esta página es un recurso educativo. Sergei Tokmakov es abogado licenciado en California (CA Bar #279869) actualmente en proceso de admisión al Washington State Bar.

Publicidad de abogado. Sergei Tokmakov está licenciado en California (CA Bar #279869); su admisión en Washington está pendiente. Estas páginas proveen información legal general y revisión pagada de documentos o cumplimiento para asuntos de Washington. No comparezco ante tribunales de Washington ni me presento como abogado de Washington. Para presentaciones ante tribunales de Washington, representación o litigio, coordino con un abogado calificado de Washington. La relación profesional comienza solo después de una verificación de conflictos y una carta de contratación firmada.