Guía Completa de la Ley de Protección de Datos del Consumidor de Indiana
La Ley de Protección de Datos del Consumidor de Indiana (conocida como “Indiana CDPA” o “la Ley”) es una ley integral de privacidad de datos a nivel estatal que busca proporcionar a los consumidores residentes en el estado de Indiana un mayor control sobre su información personal. La Ley está destinada a convertirse en la séptima ley de privacidad integral en los Estados Unidos. La Indiana CDPA está inspirada e influenciada por varias otras leyes de privacidad, incluyendo la Ley de Privacidad del Consumidor de California (CCPA), la Ley de Protección de Datos del Consumidor de Virginia (VCDPA) y la Ley de Privacidad de Colorado (CPA). La Ley entra en vigor el 1 de enero de 2026.
La Ley establece nuevos derechos para que los consumidores accedan, eliminen o se excluyan de la venta o intercambio de su información personal. También impone nuevas obligaciones a las empresas para proteger los datos del consumidor, proporcionar transparencia sobre las prácticas de recopilación y uso de datos, y mantener la seguridad de los datos. Este artículo profundiza en los detalles de la Indiana CDPA, proporcionando una guía completa sobre lo que las empresas necesitan saber para cumplir con la nueva ley.
¿A Quién Cubre la Ley de Protección de Datos del Consumidor de Indiana?
La Indiana CDPA se aplica a las empresas que cumplen con ciertos umbrales, a saber, aquellas que:
- Controlan o procesan los datos personales de al menos 25,000 residentes de Indiana; o
- Obtienen más del 50% de sus ingresos brutos de la venta de datos personales de residentes de Indiana y controlan o procesan los datos personales de al menos 5,000 residentes de Indiana.
La Indiana CDPA no se aplica a ciertas organizaciones, incluyendo entidades gubernamentales estatales o locales, ciertas instituciones financieras sujetas a la Ley Gramm-Leach-Bliley (GLBA), o entidades cubiertas bajo la Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA). Además, los datos de empleados y los datos business-to-business generalmente están exentos de los requisitos de la Ley.
¿Qué Son los Datos Personales Según la Ley de Protección de Datos del Consumidor de Indiana?
Según la Indiana CDPA, los datos personales se definen como cualquier información que pueda asociarse, vincularse o ser capaz de vincularse a un individuo. Esto puede incluir información como nombres, direcciones, direcciones de correo electrónico, números de Seguro Social y más. La Ley también incluye disposiciones especiales para datos sensibles, que incluyen datos relacionados con raza, etnicidad, religión, orientación sexual, datos biométricos o genéticos, y datos de geolocalización.
Derechos del Consumidor Según la Ley de Protección de Datos del Consumidor de Indiana
Con la Indiana CDPA firmada como ley, los habitantes de Indiana ahora disfrutan de varios derechos inalienables diseñados para proteger su privacidad de datos. Los derechos del consumidor bajo la Indiana CDPA incluyen:
Derecho a Saber y Acceder
Los consumidores de Indiana tienen el derecho de solicitar y obtener información sobre los datos personales que las empresas recopilan, usan, comparten o venden. Las empresas deben responder a tales solicitudes dentro de 45 días, proporcionando a los consumidores un informe que incluya detalles sobre las categorías de datos personales recopilados, los propósitos de la recopilación y con quién se comparten o venden los datos.
Derecho a Eliminar
Los consumidores tienen el derecho de solicitar la eliminación de sus datos personales, sujeto a ciertas excepciones. Las empresas deben eliminar rápidamente los datos al recibir una solicitud válida y notificar a terceros a quienes se haya divulgado la información, si corresponde.
Derecho a Optar por No Participar
Los consumidores tienen el derecho de optar por no participar en la venta o intercambio de sus datos personales para publicidad dirigida. Las empresas deben proporcionar un método claro y visible para que los consumidores opten por no participar y deben respetar la elección del consumidor.
Derecho a la No Discriminación
Se prohíbe a las empresas discriminar a los consumidores que ejercen sus derechos bajo la Indiana CDPA. La discriminación puede incluir negar bienes o servicios, cobrar precios o tarifas diferentes, proporcionar un nivel de calidad diferente o sugerir que cualquiera de las acciones anteriores ocurrirá.
Obligaciones Empresariales Según la Ley de Protección de Datos del Consumidor de Indiana
La Indiana CDPA impone varias obligaciones legalmente vinculantes a las empresas que recopilan, procesan o comparten información personal de residentes de Indiana, incluyendo:
Requisitos de Transparencia y Aviso
Las empresas deben proporcionar avisos claros y visibles a los consumidores sobre sus prácticas de recopilación y uso de datos. Estos avisos deben incluir una descripción de los derechos del consumidor, las categorías de datos personales recopilados, los propósitos de la recopilación, cualquier tercero con quien se comparten o venden los datos, e instrucciones para enviar solicitudes relacionadas con los datos personales.
Minimización de Datos y Limitación de Propósitos
La Indiana CDPA requiere que las empresas recopilen solo la cantidad mínima de datos personales necesarios para cumplir con los propósitos para los cuales se recopilaron los datos. Las empresas también deben asegurarse de que el uso de los datos personales esté limitado a los propósitos específicos divulgados al consumidor.
Seguridad de los Datos
Se requiere que las empresas implementen medidas de seguridad razonables para proteger los datos personales de accesos, divulgaciones o destrucciones no autorizadas. La Ley no proporciona orientación específica sobre qué constituye medidas de seguridad razonables, pero las empresas deben considerar las mejores prácticas de la industria y sus factores de riesgo específicos al desarrollar y mantener programas de seguridad de datos.
Evaluaciones de Protección de Datos
Las empresas deben realizar evaluaciones de protección de datos para ciertas actividades de procesamiento de datos de alto riesgo, como la venta de datos personales, la publicidad dirigida o el procesamiento de datos sensibles. Estas evaluaciones deben evaluar los riesgos y beneficios de las actividades de procesamiento de datos y considerar el impacto potencial en la privacidad del consumidor.
Requisitos Contractuales con Proveedores de Servicios
Las empresas que comparten datos personales con proveedores de servicios deben celebrar contratos que incluyan ciertas disposiciones, como el acuerdo del proveedor de servicios para cumplir con la Indiana CDPA, restricciones sobre el uso de datos personales para propósitos distintos a los especificados en el contrato, y requisitos para que el proveedor de servicios implemente y mantenga medidas de seguridad de datos adecuadas.
Similitudes y Diferencias Entre la Ley de Protección de Datos del Consumidor de Indiana y Otras Leyes Estatales y Federales
Indiana es uno de varios estados que tienen leyes de privacidad de datos que protegen a sus residentes. No es sorprendente que varias otras leyes de privacidad estatales y federales compartan similitudes con la Ley de Protección de Datos del Consumidor de Indiana, incluyendo:
Ley de Privacidad del Consumidor de California (CCPA)
La Ley de Privacidad del Consumidor de California (CCPA) es una ley de privacidad integral que proporciona a los residentes de California derechos similares a los de la Indiana CDPA, como el derecho a acceder, eliminar y optar por no participar en la venta de su información personal. Sin embargo, hay diferencias clave, como la definición más amplia de “venta” en la CCPA y sus umbrales más altos para la aplicabilidad a las empresas.
Ley de Protección de Datos del Consumidor de Virginia
La Ley de Protección de Datos del Consumidor de Virginia (VCDPA) también ofrece derechos y protecciones similares para los consumidores, pero no incluye un derecho privado de acción, confiando únicamente en la autoridad de aplicación del Fiscal General de Virginia.
Reglamento General de Protección de Datos (RGPD)
El Reglamento General de Protección de Datos (RGPD) de la Unión Europea es más extenso y estricto que la Indiana CDPA, con derechos del consumidor más robustos, obligaciones para las empresas que manejan información personal y sanciones más estrictas por incumplimiento.
Otras Leyes de Privacidad Estatales
Varios otros estados, como Colorado, Connecticut y Nevada, han promulgado leyes de privacidad que comparten similitudes con la Indiana CDPA pero pueden diferir en alcance, definiciones y requisitos. Para un mapa y lista completa de los estados que han propuesto, aprobado o firmado una ley de privacidad de datos, y más información sobre cada uno, haz clic aquí.
Estrategias de Cumplimiento de la Ley de Protección de Datos del Consumidor de Indiana para Empresas
Para cumplir con la Indiana CDPA, las empresas deben tomar varios pasos, incluyendo:
Paso 1 | Revisar y actualizar las políticas y avisos de privacidad para asegurarse de que describan clara y precisamente las actividades de procesamiento de datos y cumplan con los requisitos de la Ley. |
Paso 2 | Implementar procesos para responder a las solicitudes de los consumidores para acceder, eliminar o optar por no participar en la venta o intercambio de su información personal. |
Paso 3 | Asegurarse de que las medidas de seguridad de datos adecuadas estén en su lugar para proteger la información personal de accesos, usos o divulgaciones no autorizadas. |
Paso 4 | Realizar evaluaciones de riesgos regularmente y actualizar todas las actividades de procesamiento de datos según sea necesario para mitigar los riesgos identificados. |
Paso 5 | Nombrar a un responsable de protección de datos, si es necesario, para supervisar el cumplimiento de la Ley y establecer un programa integral de privacidad que incluya capacitación para empleados y auditorías y evaluaciones regulares de las actividades de procesamiento de datos. |
Kiteworks presume de una larga lista de logros en cumplimiento y certificación.
Preguntas Frecuentes Sobre la Indiana CDPA
1. ¿Qué es la Ley de Protección de Datos del Consumidor de Indiana y qué busca lograr?
La Ley de Protección de Datos del Consumidor de Indiana es una ley de privacidad integral que busca proteger la información personal de los residentes de Indiana. La Ley se aplica a cualquier empresa que recopile, procese o retenga información personal sobre residentes de Indiana, independientemente de dónde se encuentre la empresa. La Indiana CDPA busca dar a los residentes de Indiana un mayor control sobre su información personal y requiere que las empresas implementen medidas para proteger contra violaciones de datos y mantener la seguridad y confidencialidad de la información personal.
2. ¿Qué tipos de información personal están cubiertos por la Ley de Protección de Datos del Consumidor de Indiana?
La Indiana CDPA cubre una amplia gama de información personal, incluyendo pero no limitado a nombres, direcciones, números de teléfono, direcciones de correo electrónico, números de Seguro Social, números de licencia de conducir, números de pasaporte, datos biométricos, información de salud, información financiera e historial de navegación y búsqueda en línea. La Ley también cubre información sobre las interacciones de un consumidor con una empresa, como historial de compras, consultas de servicio al cliente y preferencias de marketing.
3. ¿Cuáles son los requisitos clave para las empresas bajo la Ley de Protección de Datos del Consumidor de Indiana?
Bajo la Indiana CDPA, se requiere que las empresas obtengan el consentimiento afirmativo de los consumidores antes de recopilar, procesar o divulgar su información personal. Las empresas también deben proporcionar a los consumidores ciertos derechos relacionados con su información personal, como el derecho a acceder, eliminar y corregir su información personal. Las empresas deben implementar medidas de seguridad razonables para proteger contra violaciones de datos y deben notificar a los consumidores y a la Oficina del Fiscal General de Indiana en caso de una violación de datos que afecte a más de 500 residentes de Indiana. Las empresas también están obligadas a realizar evaluaciones de protección de datos e implementar políticas de retención y minimización de datos.
4. ¿Cuáles son las sanciones por incumplimiento de la Ley de Protección de Datos del Consumidor de Indiana?
La Indiana CDPA prevé sanciones civiles de hasta $5,000 por violación, con una sanción máxima de $500,000 por incidente. Además, la Oficina del Fiscal General de Indiana puede presentar una acción para prohibir una violación de la Ley o para obtener daños en nombre de los consumidores afectados. Las empresas también pueden enfrentar daños reputacionales y pérdida de confianza del consumidor en caso de una violación de datos o violación de la Indiana CDPA.
5. ¿Cómo se compara la Ley de Protección de Datos del Consumidor de Indiana con otras leyes de privacidad estatales?
La Indiana CDPA es una de varias leyes de privacidad estatales que se han promulgado en los últimos años, incluyendo la Ley de Privacidad del Consumidor de California (CCPA), la Ley de Protección de Datos del Consumidor de Virginia (VCDPA) y la Ley de Privacidad de Colorado (CPA). Si bien hay similitudes entre estas leyes, la Indiana CDPA tiene algunas disposiciones distintas que la diferencian. Por ejemplo, la Indiana CDPA requiere que las empresas realicen evaluaciones de protección de datos, que no son requeridas bajo la CCPA o VCDPA. La Indiana CDPA también requiere que las empresas implementen políticas de retención y minimización de datos, que no están explícitamente requeridas bajo las otras leyes estatales. Además, las sanciones por incumplimiento de la Indiana CDPA son más bajas que las bajo la CCPA o VCDPA, pero más altas que las bajo la Ley de Derechos de Privacidad de California (CPRA). En general, la Indiana CDPA refleja una tendencia creciente hacia leyes de privacidad estatales integrales, y las empresas deberán considerar cuidadosamente sus obligaciones bajo cada ley aplicable.
Kiteworks Ayuda a las Empresas a Cumplir con la Ley de Protección de Datos del Consumidor de Indiana
Las comunicaciones de contenido sensible son una parte vital para asegurar el cumplimiento de regulaciones como la Ley de Protección de Datos del Consumidor de Indiana. Para proteger eficazmente la información personal identificable (PII) de los residentes de Indiana, las empresas del sector privado deben tener un sistema en su lugar para rastrear, controlar y asegurar las comunicaciones digitales de PII. En el pasado, las empresas han confiado en múltiples herramientas y enfoques para gestionar los diferentes canales de comunicación, como el correo electrónico, el intercambio de archivos y las interfaces de programación de aplicaciones (APIs), lo que lleva a una fragmentación de los metadatos que dificulta mantener, proteger y controlar un sistema centralizado y automatizado.
La Red de Contenido Privado de Kiteworks permite a las organizaciones consolidar sus comunicaciones sensibles que involucran PII, incluyendo correo electrónico, transferencia de archivos administrada, intercambio de archivos, formularios web y más. Con Kiteworks, las organizaciones rastrean, controlan y aseguran los datos sensibles compartidos y enviados dentro y fuera de sus organizaciones, todo lo cual ayuda a asegurar el cumplimiento de la Indiana CDPA.
Kiteworks proporciona a las empresas varias características para proteger la PII de los clientes. Por ejemplo, todos los datos en tránsito y en reposo están cifrados para asegurar la máxima seguridad. Controles de acceso robustos limitan quién puede acceder a la PII sensible y los permisos basados en roles controlan quién puede descargar, editar o solo ver este y otros contenidos. De acuerdo con los principios de “derecho al olvido”, Kiteworks permite el borrado de PII cuando sea necesario. Con la función de borrado remoto, las organizaciones pueden borrar datos de dispositivos perdidos o robados, protegiendo aún más la PII. Por último, Kiteworks emplea capacidades de gestión de derechos digitales (DRM) para prevenir la difusión no autorizada de datos, mejorando el cumplimiento de la Indiana CDPA.
Programa una demostración personalizada hoy para conocer la Red de Contenido Privado de Kiteworks y cómo puede ayudar a tu organización a cumplir con la Indiana CDPA y otras leyes de privacidad estatales.