En mayo de 2024, los legisladores de Minnesota aprobaron la primera ley de privacidad de datos del consumidor del estado, la Ley de Privacidad de Datos del Consumidor de Minnesota(MCDPA).
A continuación, le explico la MCDPA, incluyendo lo que exige, cómo afecta a las empresas y los consumidores, y cuáles son las sanciones por incumplimiento.
- ¿Qué es la Ley de Protección de Datos de los Consumidores de Minnesota (MCDPA)?
- Términos clave y definiciones de la MCDPA
- ¿Qué cubre la Ley de Protección de Datos del Consumidor de Minnesota?
- Requisitos de la Ley de Protección de Datos de los Consumidores de Minnesota
- Ley de Privacidad de Datos del Consumidor de Minnesota frente a otros Estados: Similitudes y diferencias
- ¿Cómo afectará la MCDPA a los consumidores?
- ¿A quién se aplica la MCDPA?
- ¿Cómo afectará la MCDPA a las empresas?
- ¿Quién debe cumplir la nueva Ley de Protección de Datos de Minnesota?
- ¿Cómo pueden prepararse las empresas para la MCDPA?
- ¿Cómo se hará cumplir la MCDPA?
- Multas y sanciones en virtud de la Ley de Protección de Datos de los Consumidores de Minnesota
- ¿Cómo ayudará Termly a cumplir la MCDPA?
- ¿Existen otras leyes relacionadas con la privacidad en Minnesota?
- Resumen
¿Qué es la Ley de Protección de Datos de los Consumidores de Minnesota (MCDPA)?
La Ley de Privacidad de Datos de los Consumidores de Minnesota (MCDPA) es la primera ley integral de privacidad de los consumidores del Estado.
Describe las protecciones y derechos de los residentes sobre cómo se recopila, procesa y utiliza su información personal por entidades externas.
La ley también describe las sanciones por incumplimiento.
Fecha de entrada en vigor del MCDPA
El MCDPA entrará en vigor el 31 de julio de 2025.
Términos clave y definiciones de la MCDPA
Para ayudarle a entender mejor la MCDPA, he incluido varios términos clave y sus definiciones exactamente como aparecen en el texto de la ley:
Estos términos se utilizan a lo largo de esta guía teniendo en cuenta estas definiciones.
¿Qué cubre la Ley de Protección de Datos del Consumidor de Minnesota?
La MCDPA cubre la información personal de los residentes del estado de Minnesota.
No cubre la información desidentificada o públicamente disponible.
Requisitos de la Ley de Protección de Datos de los Consumidores de Minnesota
A continuación, explico algunos de los requisitos empresariales fundamentales señalados por la MCDPA.
Base jurídica para el tratamiento de datos personales
Según la MCDPA, las entidades sólo pueden recoger los datos personales que se consideren razonables y necesarios para alcanzar los fines del tratamiento comunicados al consumidor.
Para recopilar cualquier información que vaya más allá de este ámbito o para recopilar categorías de datos sensibles o datos de un menor conocido, deberá obtener el consentimiento legal de los usuarios o de sus tutores legales.
Consentimiento
La MCDPA esboza una definición precisa del consentimiento del consumidor y, para que se considere lícito, debe cumplir las siguientes condiciones:
- El consentimiento debe ser libre, informado e inequívoco.
- La aceptación no puede enrevesarse con una amplia condiciones de uso u otro lenguaje similar.
- Pasar el ratón por encima de un contenido, silenciarlo, pausarlo o cerrarlo no se considera consentimiento.
- El consentimiento no puede obtenerse a través de un patrón oscuro.
- Los consumidores pueden revocar su consentimiento en cualquier momento.
Obligaciones contractuales entre responsables y encargados del tratamiento
La MCDPA exige que los responsables del tratamiento que trabajen con terceros encargados del tratamiento firmen un contrato vinculante en el que se especifique lo siguiente:
- Establecer las instrucciones para el tratamiento, su naturaleza y finalidad, los tipos de datos objeto del tratamiento, su duración y los derechos y obligaciones de ambas partes.
- Garantizar que toda persona que trate datos esté sujeta al deber de confidencialidad.
- Contrate a un subcontratista sólo después de dar al responsable del tratamiento la oportunidad de oponerse y exija al subcontratista que firme un constructo en el que se expongan estas mismas obligaciones.
- Por orden del responsable del tratamiento, el encargado del tratamiento debe suprimir o devolver todos los datos al término del contrato, a menos que la ley exija su conservación.
- A petición del responsable del tratamiento, el encargado del tratamiento debe facilitar toda la información necesaria para demostrar el cumplimiento de la MCDPA.
- Exigir al encargado del tratamiento que permita y contribuya a las evaluaciones e inspecciones razonables del responsable del tratamiento o de un evaluador designado.
No discriminación
La MCDPA explica que los responsables del tratamiento no pueden tratar datos personales de forma que se discrimine ilegalmente al consumidor o a una clase de consumidores por razón de la oferta o el suministro de:
- Vivienda
- Empleo
- Crédito
- Educación
- Mercancías
- Servicios
- Instalaciones
- Privilegios
- Ventajas
- Alojamientos de cualquier lugar público
Mecanismos Universales de Exclusión Voluntaria
La MCDPA otorga explícitamente a los consumidores el derecho a utilizar un mecanismo universal de exclusión voluntaria (UOOM) para presentar solicitudes verificables de seguimiento de sus derechos de exclusión voluntaria.
La tecnología UOOM, al igual que los Controles Globales de Privacidad(GPC), es un ajuste o extensión del navegador que los usuarios pueden activar para informar automáticamente a los sitios web de que no desean ser objeto de publicidad dirigida ni que sus datos se vendan o compartan con terceros.
Evaluaciones de privacidad y protección de datos
La MCDPA describe unos sólidos requisitos de evaluación de la protección y privacidad de los datos en el artículo 10 de la ley.
Los responsables del tratamiento están obligados a realizar evaluaciones de la protección y la privacidad de los datos por cualquiera de los siguientes motivos:
- Tratar los datos con fines de publicidad selectiva
- Venta de datos personales
- Tratar datos personales sensibles
- Cualquier actividad de tratamiento de datos personales que suponga un mayor riesgo de perjuicio para los consumidores.
- Tratamiento de datos personales para la elaboración de perfiles
La evaluación debe identificar y sopesar los beneficios del tratamiento frente a los riesgos potenciales asociados al mismo, atenuados por cualquier salvaguardia empleada por el responsable del tratamiento.
Una evaluación utilizada para cumplir requisitos similares de otra ley de privacidad de datos que sea similar en su alcance también puede contar para la MCDPA.
Requisitos para las pequeñas empresas
Según el artículo 9 de la MCDPA, las entidades que cumplen los requisitos para ser consideradas pequeñas empresas según la definición de la Administración de Pequeñas Empresas de Estados Unidos y fabrican productos en Minnesota o se dirigen a residentes del estado no pueden vender datos personales sensibles sin obtener el consentimiento.
Aunque estas pequeñas empresas no están sujetas a seguir el resto de las directrices de la MCDPA, deben respetar estos derechos de consentimiento del consumidor o corren el riesgo de ser multadas con hasta 7.500 dólares por infracción.
Ley de Privacidad de Datos del Consumidor de Minnesota frente a otros Estados: Similitudes y diferencias
Varios otros estados de EE.UU. también tienen leyes de privacidad en vigor, incluyendo los siguientes:
- Ley de Protección del Consumidor de California (CCPA), modificada por la Ley de Derechos de Privacidad de California (CPRA) - actualmente en vigor
- Ley de Privacidad de Colorado (CPA) - actualmente en vigor
- Ley de Privacidad de Datos de Connecticut (CTDPA) - actualmente en vigor
- Ley de Privacidad de Datos Personales de Delaware (DPDPA) - actualmente en vigor
- Carta de Derechos Digitales de Florida (FDBR) - actualmente en vigor
- Ley de Protección de Datos de los Consumidores de Iowa (Iowa CDPA) - actualmente en vigor
- Ley de Protección de Datos de los Consumidores de Indiana (Indiana CDPA) - en vigor desde el 1 de enero de 2026
- Ley de Protección de Datos de los Consumidores de Kentucky (KCDPA) - en vigor desde el 1 de enero de 2026
- Ley de Privacidad de Datos en Línea de Maryland (MODPA) - en vigor desde el 1 de octubre de 2025
- Ley de Protección de Datos de los Consumidores de Montana (MCDPA) - actualmente en vigor
- Ley de Protección de Datos de Nebraska (NDPA) - actualmente en vigor
- Ley de Privacidad de Datos de New Hampshire (NHDPL) - actualmente en vigor
- Ley de Protección de Datos de Nueva Jersey (NJDPA) - actualmente en vigor
- Ley de Privacidad del Consumidor de Oregón (OCPA) - actualmente en vigor
- Ley de Protección de la Información de Tennessee (TIPA) - en vigor desde el 1 de julio de 2025
- Ley de Privacidad y Seguridad de Datos de Texas (TDPSA) - actualmente en vigor
- Ley de Privacidad del Consumidor de Utah (UCPA) - actualmente en vigor
- Ley de Protección de Datos de los Consumidores de Virginia (VCDPA) - actualmente en vigor
Puede comparar estas leyes con la NDPA en la tabla siguiente.
| Legislación estatal | Consentimiento expreso para determinados tipos de tratamiento de datos | Consentimiento expreso para determinados tipos de tratamiento de datos | Debe presentar a los usuarios una política de privacidad (o aviso) | Requiere evaluaciones de protección de datos | Esboza la obligación contractual con terceros procesadores | Permite las demandas civiles o el derecho de acción privado | Debe respetar los controles globales de privacidad y la configuración de privacidad del navegador. |
| MN CDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| CCPA/CPRA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| CPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| CTDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| DPDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| FDBR | ✓ | ✓ | ✓ | ✓ | |||
| CDPA de Indiana | ✓ | ✓ | ✓ | ✓ | |||
| Iowa CDPA | ✓ | ✓ | ✓ | ||||
| KCDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| MT CDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| MODPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| NDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| NHDPL | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| NJDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| OCPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| TIPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| TDPSA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| UCPA | ✓ | ✓ | ✓ | ||||
| VCDPA | ✓ | ✓ | ✓ | ✓ |
¿Cómo afectará la MCDPA a los consumidores?
La MCDPA afecta a los consumidores al concederles los siguientes derechos sobre sus datos personales:
- Confirmar si un responsable del tratamiento está tratando sus datos personales y acceder a las categorías de datos personales que se están tratando.
- Corregir inexactitudes en sus datos personales.
- Borrar sus datos personales.
- Obtener los datos personales recogidos sobre ellos en un formato portátil.
- Exclusión del tratamiento con fines de publicidad dirigida.
- Optar por que no se vendan sus datos personales.
- Exclusión voluntaria de la elaboración de perfiles en el marco de decisiones automatizadas que produzcan efectos jurídicos.
Los consumidores también tienen derecho a obtener una lista de los terceros a los que el responsable del tratamiento ha revelado su información personal.
Pueden ejercer estos derechos presentando una solicitud al responsable del tratamiento en cualquier momento, especificando qué derechos desean ejercer.
¿A quién se aplica la MCDPA?
La MCDPA se aplica a los residentes de Minnesota que actúan en un contexto individual o doméstico y no cubre a nadie en el estado que actúe en un contexto laboral o comercial.
¿Cómo afectará la MCDPA a las empresas?
Más allá de las obligaciones contractuales y los requisitos del UOOM que he descrito anteriormente en esta guía, la MCDPA también afecta a las políticas de privacidad y cookies de las empresas.
¿Cómo afectará la MCDPA a mi política de privacidad?
La MCDPA tiene un fuerte impacto en las políticas de privacidad y esboza requisitos más específicos que la mayoría de las leyes estatales de privacidad vigentes en Estados Unidos.
En concreto, el artículo 8 de la MCDPA afecta a las políticas de privacidad de las empresas al exigirles que incluyan toda la información siguiente:
Además, la ley establece que los avisos de privacidad deben ponerse a disposición del público en cada lengua en la que el responsable del tratamiento ofrezca un producto o servicio sujeto al aviso de privacidad.
Debe ser accesible y utilizable por personas con discapacidad.
Si la política se modifica sustancialmente, el responsable del tratamiento debe notificarlo a los consumidores afectados por el cambio y darles la oportunidad de optar por no participar o retirar su consentimiento.
Por último, la política de privacidad debe publicarse mediante un hipervínculo visible con la palabra "privacidad" en la página de inicio del sitio web o en la tienda de aplicaciones o página de descarga de la aplicación móvil.
Si el responsable del tratamiento no utiliza un sitio web, la política de privacidad debe presentarse a los usuarios de cualquier forma en que interactúen habitualmente con el responsable del tratamiento, incluido el correo postal.
¿Cómo afectará el MCDPA a mi política de cookies?
La MCDPA afecta a las políticas de cookies de las empresas porque la ley otorga a los consumidores el derecho a optar por no participar en el tratamiento de datos, que a menudo se realiza instalando cookies de Internet en los navegadores de los usuarios. También establece los requisitos de transparencia que deben cumplirse.
Si utiliza cookies de Internet para recopilar datos personales de los usuarios de Minnesota, debe revelarlo claramente a los consumidores e informarles de cómo pueden hacer valer sus derechos.
Por lo tanto, según la MCDPA, su sitio política de cookies debe estar actualizado, ser preciso y estar vinculado a su política de privacidad.
¿Quién debe cumplir la nueva Ley de Protección de Datos de Minnesota?
Su empresa debe cumplir la MCDPA si desarrolla su actividad en Minnesota o produce productos y servicios dirigidos a residentes del estado y cumple uno o varios de los siguientes requisitos:
- Controla o procesa los datos personales de 100.000 consumidores durante un año natural, excluyendo los datos procesados únicamente para completar una transacción de pago.
- Obtiene más del 25% de sus ingresos brutos de la venta de datos personales y procesa o controla los datos de 25.000 consumidores o más.
¿Quién está exento de la MCDPA?
Varias entidades diferentes están exentas de cumplir la MCDPA, entre ellas las siguientes:
- Entidades gubernamentales
- Organizaciones sin ánimo de lucro creadas para detectar y prevenir el fraude en los seguros
- Tribus indígenas reconocidas a nivel federal
- Algunos bancos, cooperativas de crédito y compañías de seguros
- Información sanitaria protegida regulada por la Ley de Portabilidad y Accesibilidad de los Seguros Sanitarios (HIPAA)
- Datos financieros regulados por la Ley Gramm-Leach-Bliley (GLBA)
¿Cómo pueden prepararse las empresas para la MCDPA?
Para prepararse para la nueva ley de privacidad de datos de Minnesota, las empresas deben actualizar las políticas de privacidad y cookies para cumplir todas las directrices de notificación establecidas por la MCDPA.
Utilice también una plataforma gestión del consentimiento (CMP) para ofrecer a los usuarios la posibilidad de ejercer sus derechos de exclusión en determinados tratamientos de datos, como la publicidad dirigida.
Añada a su sitio web un formulario de Solicitud de Acceso a Datos del Sujeto (DSAR) para que los residentes de Minnesota puedan presentar solicitudes verificables para ejercer sus derechos, y establezca un proceso de apelación.
Por último, asegúrese de que su sitio web está preparado para reconocer las preferencias de exclusión voluntaria de los consumidores establecidas por los UOOM como GPC y otras extensiones y configuraciones del navegador.
¿Cómo se hará cumplir la MCDPA?
El fiscal general de Minnesota es el único facultado para hacer cumplir la MCDPA.
Las entidades que presuntamente infrinjan la ley disponen de un periodo de subsanación de 30 días que expira el 31 de enero de 2026.
Multas y sanciones en virtud de la Ley de Protección de Datos de los Consumidores de Minnesota
Las multas por infringir la MCDPA pueden alcanzar los 7.500 dólares por infracción.
Sin embargo, los consumidores no tienen derecho a emprender acciones privadas en virtud de esta ley.
¿Cómo ayudará Termly a cumplir la MCDPA?
Termly contribuirá al cumplimiento de la MCDPA garantizando que nuestra Generador de Política de Privacidad se actualice para incluir todos los detalles de notificación requeridos antes de que la ley entre en vigor en 2025.
Nuestro equipo jurídico y nuestros expertos en privacidad de datos respaldan nuestros generadores, que son increíblemente fáciles de usar.
Le hace preguntas sencillas sobre su negocio y, basándose en sus respuestas, crea una póliza completa para usted.
También ofrecemos una plataforma gestión del consentimiento (CMP) que puede configurar para cumplir todos los requisitos de exclusión voluntaria establecidos por la ley.
Viene con un formulario gratuito de Solicitud de Acceso del Sujeto a los Datos(DSAR), que le facilita presentar a sus usuarios de Minnesota una forma de enviar solicitudes verificables para dar curso a sus nuevos derechos de privacidad.
¿Existen otras leyes relacionadas con la privacidad en Minnesota?
Minnesota está protegida por algunas otras leyes relacionadas con la privacidad que funcionarán en tándem con la MCDPA una vez que entre en vigor, incluidas las siguientes:
- Capítulo 325M, Privacidad en Internet: Este capítulo señala cuándo está prohibida la divulgación de información personal en Internet, cuándo es obligatoria y describe las directrices para permisos y autorizaciones relativas a los proveedores de servicios de Internet.
- Capítulo 325E, Sección 61, la Ley de Notificación de Infracciones: Este capítulo describe las directrices para notificar a las personas si sus datos se han visto comprometidos en una violación y las responsabilidades de la entidad cubierta.
- Capítulo 325E, Sección 64, Ley de Seguridad de las Tarjetas de Plástico: Este capítulo describe los requisitos de notificación de violación de datos en relación con las instituciones financieras.
- Capítulo 325E, sección 59, Uso de números de la Seguridad Social: Este capítulo prohíbe a las entidades exigir a los consumidores que compartan sus números de la seguridad social a través de Internet sin las protecciones adecuadas.
- Capítulo 626A, Sección 02, Interceptación y divulgación de comunicaciones: Este capítulo impide a las entidades interceptar ciertas formas de comunicación a través de medios alámbricos, electrónicos o de otro tipo.
- Capítulo 609, Sección 527, Robo de identidad: Este capítulo describe las penas si alguien transfiere o utiliza los datos o la identidad de otra persona con fines nefastos.
- Capítulo 13, Ley de Prácticas de Datos del Gobierno de Minnesota (MGDPA): Este capítulo describe los requisitos para que las entidades gubernamentales recojan y utilicen datos personales.
Resumen
Si su empresa está sujeta al cumplimiento de la Ley de Protección de Datos de los Consumidores de Minnesota, asegúrese de tomar las medidas adecuadas para prepararse para su cumplimiento:
- Asegúrese de que sus políticas de privacidad y cookies estén actualizadas y sean precisas.
- Configure su sitio web para que comprenda y respete las preferencias de exclusión voluntaria de los consumidores mediante una tecnología como UOOM.
- Añada un formulario DSAR en su sitio web y describa el procedimiento de apelación que pueden seguir los consumidores para recurrir sus decisiones basadas en sus solicitudes de privacidad.
- Elabore y firme contratos adecuados si trabaja con terceros encargados del tratamiento de datos.
- Realizar evaluaciones de protección y privacidad de datos para actividades de tratamiento específicas.
Elimine algunas de las molestias del cumplimiento de la privacidad utilizando soluciones como nuestro Generador de Política de Privacidad y CMP para cumplir los requisitos establecidos por leyes como la MCDPA.
Más sobre el autor
Escrito por Anokhy Desai CIPP/US, CIPT, CIPM
Anokhy es abogada especializada en privacidad con experiencia previa en privacidad y ciberseguridad en los sectores público y privado. Como antigua Westin Fellow en la IAPP, publicó varios artículos, libros blancos e infografías, y dirigió, coordinó y moderó seminarios web y paneles, todos ellos sobre privacidad y tecnología de la privacidad en Estados Unidos. Anokhy obtuvo su máster en la Universidad Carnegie Mellon y su doctorado en Derecho en la Universidad de Pittsburgh. Más sobre el autor
