Ley de Protección de Datos de los Consumidores de Indiana: Primer vistazo y resumen

La Ley de Protección de Datos de los Consumidores de Indiana, o Indiana CDPA, se promulgó el 1 de mayo de 2023 y entrará en vigor en 2026.

Se parece a la mayoría de las leyes estatales, pero introduce algunos requisitos clave que los empresarios deben conocer.

A continuación, describo todo lo que las empresas deben saber sobre la CDPA de Indiana, incluidos los requisitos que establece, las sanciones por infringir la ley y mucho más.

¿Qué es la Ley de Protección de Datos de los Consumidores de Indiana (Indiana CDPA)?

La Ley de Protección de Datos de los Consumidores de Indiana, o CDPA de Indiana, es una ley de privacidad de datos que protege la información personal de los consumidores o residentes de Indiana.

Describe los derechos de privacidad que tienen estas personas con respecto al modo en que diversas entidades recogen, procesan y utilizan su información.

También describe las obligaciones y requisitos legales que deben seguir las entidades para procesar la información de los residentes de Indiana y esboza las sanciones por infringir cualquier parte de la ley.

¿Cuándo entra en vigor la CDPA de Indiana?

La Ley de Protección de Datos de los Consumidores de Indiana entra en vigor el 1 de enero de 2026, lo que da a las empresas más de dos años para cumplirla.

Establece un nuevo artículo en el Código de Indiana, que contiene la codificación de todas las leyes actualmente en vigor en el estado.

Términos clave y definiciones de la CDPA de Indiana

A continuación encontrará varios términos importantes descritos en el capítulo 2 de la CDPA de Indiana que debe comprender para cumplir con esta nueva ley.

• Datos biométricos: Datos generados por mediciones automáticas de las características biológicas de un individuo, como una huella dactilar, una huella vocal, imágenes de la retina o el iris, u otros patrones o características biológicas únicas.
  • No incluye una fotografía física o digital, ni los datos generados a partir de una fotografía física o digital; una grabación de vídeo o audio, ni los datos generados a partir de una grabación de vídeo o audio; ni la información recopilada, utilizada o almacenada para el tratamiento, pago u operaciones de asistencia sanitaria en virtud de la HIPAA.
• Consumidor: Persona física residente en Indiana que actúa únicamente con fines personales, familiares o domésticos.
  • No incluye a las personas que actúan en un contexto comercial o laboral.
• Consentimiento: Un acto afirmativo claro que significa el acuerdo libremente dado, específico, informado e inequívoco de un consumidor para procesar datos personales relacionados con el consumidor.
• Responsable del tratamiento: Persona que, sola o conjuntamente con otras, determina la finalidad y los medios del tratamiento de datos personales.
• Encargado del tratamiento: Persona que trata datos personales por cuenta de un responsable del tratamiento.
• Datos personales: Información vinculada o razonablemente vinculable a una persona identificada o identificable.
  • No incluye datos desidentificados, datos agregados ni información disponible públicamente.
• Datos seudónimos: Datos personales que no pueden atribuirse a una persona concreta porque la información adicional que permitiría atribuir los datos a una persona concreta se conserva por separado y está sujeta a medidas técnicas y organizativas adecuadas para garantizar que los datos personales no se atribuyan a una persona identificada o identificable.
• Tratamiento: Con respecto a los datos personales, significa cualquier operación o conjunto de operaciones realizadas, ya sea por medios manuales o automatizados, sobre datos personales o conjuntos de datos personales, como la recogida, uso, almacenamiento, divulgación, análisis, supresión o modificación de datos personales.
• Datos sensibles: Categoría de datos personales que incluye cualquiera de los siguientes: datos personales que revelen el origen racial o étnico, las creencias religiosas, un diagnóstico de salud mental o física realizado por un profesional sanitario, la orientación sexual o los estados de ciudadanía o inmigración. Datos genéticos o biométricos, datos personales recogidos de un niño conocido y datos precisos de geolocalización.

¿Qué cubre la Ley de Protección de Datos del Consumidor de Indiana?

La CDPA de Indiana sólo cubre a los residentes del estado de Indiana que actúen con fines personales, familiares o domésticos, tal y como se describe en la Sección 8 (a) del Capítulo 2 de la ley.

No cubre a nadie en Indiana que actúe en un contexto comercial o laboral.

Requisitos de la Ley de Protección de Datos de los Consumidores de Indiana

La CDPA de Indiana establece varios requisitos que las empresas deben cumplir, que se tratan en detalle en la siguiente sección.

Tenga en cuenta que la ley establece obligaciones tanto para los responsables del tratamiento como para los encargados del tratamiento, por lo que abordaremos sus obligaciones por separado.

Obligaciones de los responsables del tratamiento de datos

En virtud de la CDPA de Indiana, los responsables del tratamiento de datos tienen las siguientes responsabilidades, que se describen en el capítulo 4 de la ley:

• Como responsable del tratamiento, debe limitar la recopilación de información personal a lo que sea "adecuado, pertinente y razonablemente necesario" para los fines para los que procesa los datos tal y como se han comunicado al consumidor.
• No procesará información personal para fines que no sean razonablemente necesarios ni compatibles con los fines divulgados, a menos que obtenga el consentimiento de los consumidores.
• Debe establecer, aplicar y mantener prácticas razonables de seguridad técnica, administrativa y física de los datos para proteger adecuadamente la integridad y confidencialidad de los datos en función del volumen y la naturaleza de los datos recopilados.
• No puede tratar datos personales infringiendo las leyes estatales o federales que prohíben la discriminación ilegal de los consumidores.
• No puede procesar información personal sensible sin obtener el consentimiento.
• Cualquier contrato o disposición que renuncie a los derechos de los consumidores o los limite de algún modo, tal como se indica en la CDPA de Indiana, es nulo e inaplicable.

Obligaciones de consentimiento

Como ya se ha mencionado, los responsables del tratamiento pueden tratar la información para fines que no sean "razonablemente necesarios" o "compatibles con los fines divulgados" si obtienen el consentimiento del consumidor.

Para que el consentimiento se considere legalmente obtenido con arreglo a la ICDPA, el usuario debe realizar una acción clara y afirmativa. Por ejemplo, puede pedirle que haga clic en una casilla de verificación sin marcar o que seleccione un botón claramente etiquetado como "Acepto".

Según esta ley, el consentimiento también debe ser libre, específico, informado e inequívoco.

En otras palabras, el usuario debe saber exactamente a qué está accediendo y no se le puede obligar o coaccionar para que dé su consentimiento.

Obligaciones contractuales entre responsables y encargados del tratamiento

En virtud de la CDPA de Indiana, los responsables y encargados del tratamiento de datos deben utilizar contratos con cláusulas específicas, a veces denominados Acuerdos de Tratamiento de Datos (APD), tal y como se describe en el capítulo 5, sección 2 de la ley.

Dichas disposiciones incluyen la exigencia de todo lo siguiente al encargado del tratamiento:

• Garantizar que cada persona implicada en el tratamiento de datos personales esté sujeta a un deber de confidencialidad en relación con los datos.
• Suprimir los datos personales o devolverlos en su totalidad por orden del responsable del tratamiento, a menos que la ley obligue a conservar los datos personales.
• Poner a disposición del responsable del tratamiento toda la información que obre en su poder para demostrar su cumplimiento de la CDPA de Indiana a petición razonable del responsable del tratamiento.
• Cooperar y permitir evaluaciones razonables por parte del evaluador designado por el controlador o permitir que un evaluador independiente realice el procedimiento de evaluación.
• Exigir a los subcontratistas del transformador que firmen un contrato escrito con las mismas obligaciones que la CDPA de Indiana.

Evaluaciones de impacto de la protección de datos

La ICDPA exige a las entidades que realicen Evaluaciones de Impacto sobre la Protección de Datos (EIPD) para llevar a cabo determinadas actividades de tratamiento de datos, tal y como se describe en el capítulo 6 de la ley.

Los responsables del tratamiento de datos deben realizar y documentar DPIA para cualquiera de las siguientes actividades de tratamiento:

• Tratamiento de datos personales para publicidad dirigida
• Venta de datos personales
• El tratamiento de datos personales con fines de elaboración de perfiles si presenta un riesgo razonablemente previsible para la persona.
• Tratamiento de datos personales sensibles
• Cualquier actividad de tratamiento que presente un mayor riesgo de perjuicio para los consumidores

La EIPD debe sopesar los riesgos y beneficios que pueden derivarse directa o indirectamente del tratamiento de datos y su impacto en el responsable del tratamiento, el consumidor, otras partes interesadas y el público, y considerar las salvaguardias existentes.

Las entidades pueden utilizar una única DPIA para dar cuenta de múltiples actividades de tratamiento de datos para cumplir con esta parte de la ley.

Las directrices DPIA se aplican a todas las actividades de procesamiento posteriores al 31 de diciembre de 2025, y no se aplican retroactivamente a ningún dato generado antes del 1 de enero de 2026.

Datos relativos a los niños conocidos

Si su empresa recopila información personal de niños conocidos y entra en el ámbito de aplicación de la CDPA de Indiana, sólo podrá hacerlo si también se adhiere a la ley federal Children's Online Privacy Protection Act(COPPA).

Según la CDPA de Indiana, por "niño" se entiende cualquier persona menor de 13 años.

La ley de privacidad de datos de Indiana considera que cualquier información sobre niños conocidos entra en la categoría de datos personales sensibles.

Debe proporcionar un medio para que los tutores legales actúen en nombre de sus hijos y hagan valer los derechos de privacidad de datos que les otorga esta ley.

Obligaciones que deben cumplir los encargados del tratamiento de datos

La Ley de Protección de Datos de los Consumidores de Indiana exige específicamente a los encargados del tratamiento que ayuden a los responsables del tratamiento a cumplir sus obligaciones con el fin de:

• Permitir que el responsable del tratamiento cumpla su obligación de responder a las solicitudes de los interesados.
• Permitir que el responsable del tratamiento de datos cumpla sus obligaciones relativas a garantizar la seguridad de los datos personales, realizar DPIA y notificar a las partes las violaciones de datos.

La Ley de Indiana frente a las Leyes de Privacidad de Datos de otros Estados: Similitudes y diferencias

La ley de privacidad de datos de Indiana es una de las varias leyes estatales estadounidenses aprobadas recientemente para proteger los derechos de privacidad de los consumidores. Entre ellas figuran la:

• Ley de Protección del Consumidor de California (CCPA), modificada por la Ley de Derechos de Privacidad de California (CPRA) - actualmente en vigor
• Ley de Privacidad de Colorado (CPA) - actualmente en vigor
• Ley de Privacidad de Datos de Connecticut (CTDPA) - actualmente en vigor
• Ley de Privacidad de Datos Personales de Delaware (DPDPA) - actualmente en vigor
• Carta de Derechos Digitales de Florida (FDBR) - actualmente en vigor
• Ley de Protección de Datos de los Consumidores de Iowa (Iowa CDPA) - actualmente en vigor
• Ley de Protección de Datos de los Consumidores de Kentucky (KCDPA) - en vigor desde el 1 de enero de 2026
• Ley de Protección de Datos de los Consumidores de Minnesota (MCDPA) - en vigor desde el 31 de julio de 2025
• Ley de Privacidad de Datos en Línea de Maryland (MODPA) - en vigor desde el 1 de octubre de 2025
• Ley de Protección de Datos de los Consumidores de Montana (MCDPA) - actualmente en vigor
• Ley de Protección de Datos de Nebraska (NDPA) - actualmente en vigor
• Ley de Privacidad de Datos de New Hampshire (NHDPL) - actualmente en vigor
• Ley de Protección de Datos de Nueva Jersey (NJDPA) - actualmente en vigor
• Ley de Privacidad del Consumidor de Oregón (OCPA) - actualmente en vigor
• Ley de Protección de la Información de Tennessee (TIPA) - en vigor desde el 1 de julio de 2025
• Ley de Privacidad y Seguridad de Datos de Texas (TDPSA) - actualmente en vigor
• Ley de Privacidad del Consumidor de Utah (UCPA) - actualmente en vigor
• Ley de Protección de Datos de los Consumidores de Virginia (VCDPA) - actualmente en vigor

Aunque las leyes comparten algunas similitudes, también presentan muchas diferencias significativas que las empresas deben reconocer y comprender, especialmente a la hora de lograr el cumplimiento legal.

Para que le resulte más fácil, a continuación encontrará una tabla comparativa de las leyes estatales estadounidenses vigentes o cuya entrada en vigor está prevista para los próximos años.

¿Cómo afectará la CDPA de Indiana a los consumidores?

La CDPA de Indiana afecta a los consumidores de Indiana al concederles nuevos derechos sobre la forma en que las entidades recogen, procesan y utilizan su información personal.

En concreto, el capítulo 3 de la ley explica que tienen derecho a:

• Confirmar si un responsable del tratamiento está tratando sus datos personales
• Corregir inexactitudes en sus datos personales
• Solicitar la supresión de sus datos personales
• Obtener una copia o un resumen representativo de sus datos personales
• Impedir el tratamiento de sus datos con fines de publicidad dirigida, venta de sus datos o elaboración de perfiles.

Los consumidores también tienen derecho a recurrir la decisión de un controlador basada en sus solicitudes originales.

¿A quién protege la CDPA de Indiana?

La CDPA de Indiana se aplica a la información personal de cualquier residente de Indiana que actúe en un contexto personal o doméstico.

Sin embargo, la CDPA de Indiana excluye de su ámbito de aplicación determinadas categorías de datos personales.

Entre ellas se incluyen:

• Información sanitaria protegida que entra en el ámbito de aplicación de la HIPAA
• Datos personales tratados de conformidad con la ley COPPA

¿Cómo afectará la CDPA de Indiana a las empresas?

La CDPA de Indiana afecta a las empresas de varias maneras. Además de las DPIA exigidas, los contratos con terceros procesadores y las obligaciones de consentimiento cubiertas anteriormente, también afecta a las políticas de privacidad y cookies.

Las siguientes secciones tratan exactamente de cómo afecta esta nueva ley a estas políticas.

¿Cómo afectará la CDPA de Indiana a mi política de privacidad?

En virtud del artículo 3 de la CDPA de Indiana, las entidades deben presentar a los consumidores un "aviso de privacidad razonablemente accesible, claro y significativo."

Debe incluir todos los datos siguientes:

• Las categorías de datos personales que recoge
• Finalidad del tratamiento de sus datos personales
• Cómo pueden ejercer sus derechos los consumidores y cómo pueden recurrir la decisión del responsable del tratamiento en relación con su solicitud.
• Las categorías de datos que comparte con terceros, en su caso
• Las categorías de terceros con los que comparte datos, en su caso

Además, los artículos 4 y 5 de la ley también afectan a lo que las empresas deben incluir en su política de privacidad.

De forma similar a los requisitos de política de privacidad de la Ley de Privacidad del Consumidor de California (CCPA), debe informar clara y visiblemente a los consumidores si vende datos personales a terceros o utiliza sus datos para publicidad dirigida.

Su política también debe explicar cómo un consumidor puede optar por no participar en ambos tipos de tratamiento de datos.

También debe describir una o varias vías seguras y fiables para que los consumidores presenten solicitudes para que se actúe sobre sus derechos de privacidad de datos.

La ley establece que debe tener en cuenta todo lo siguiente:

• Las formas en que sus consumidores interactúan normalmente con su empresa
• La necesidad de una comunicación segura y fiable
• Capacidad del controlador para autenticar la identidad del consumidor que envía la solicitud.

¿Cómo afectará la CDPA de Indiana a mi política de cookies?

La Ley de Privacidad de Datos del Consumidor de Indiana puede afectar a su política de cookies y a su uso de las cookies de Internet en general si recoge y trata datos personales, que se definen como información vinculada o razonablemente vinculable a una persona física identificada o identificable.

En virtud de esta ley, los consumidores tienen derecho a oponerse a que su información personal se utilice para publicidad dirigida o para la venta de datos personales. También tienen derecho a oponerse al tratamiento de sus datos personales sensibles.

También debe explicar claramente en su política de cookies si utiliza cookies para cualquiera de estos fines, identificar qué cookies está utilizando, explicar qué hacen y describir cómo los consumidores pueden actuar sobre sus derechos de exclusión voluntaria.

¿Quién debe cumplir la nueva Ley de Protección de Datos de Indiana?

Su empresa debe cumplir la ley de privacidad de Indiana si realiza negocios en Indiana o produce productos o servicios dirigidos a residentes de Indiana y, durante un año natural, cumple alguna de las siguientes condiciones:

• Controla o trata los datos personales de al menos 100.000 residentes en Indiana
• Controla o procesa los datos personales de al menos 25.000 residentes de Indiana y obtiene más del 50% de sus ingresos brutos anuales de la venta de datos personales.

El ámbito legal de la Ley de Protección de Datos de los Consumidores de Indiana se explica en la Sección 1 de la ley.

¿Quién está exento de la Cdpa de Indiana?

Las siguientes entidades están exentas de la CDPA de Indiana:

• El gobierno del estado de Indiana o cualquier tercero contratado que actúe en nombre del gobierno del estado.
• Instituciones financieras y filiales sujetas a la ley federal Gramm Leach Bliley Act (GBLA).
• Entidades cubiertas o empresas regidas por el Departamento de Salud y Servicios Humanos de los Estados Unidos y la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA).
• Organizaciones sin ánimo de lucro.
• Instituciones de enseñanza superior.
• Empresas de servicios públicos.

¿Cómo pueden prepararse las empresas para la CDPA de Indiana?

Generador de Política de Privacidad

Para prepararse para la Ley de Protección de Datos de los Consumidores de Indiana, las empresas deben generar -o actualizar- sus políticas de privacidad para cumplir todos los requisitos de la nueva ley estatal.

gestión del consentimiento

También debe utilizar una plataformagestión del consentimiento que ofrezca a los consumidores un banner de consentimiento para que puedan ejercer su derecho a rechazar la publicidad dirigida y la venta de sus datos personales.

DPIA/DPA

Dependiendo del tipo de datos que trate y de cómo los utilice, puede que también necesite realizar Evaluaciones de Impacto sobre la Protección de Datos (EIPD).

Si trabaja con terceros encargados del tratamiento, ambos deben firmar contratos adecuados, o Acuerdos de Tratamiento de Datos (APD), que cumplan todos los requisitos expresados por la CDPA de Indiana.

DSAR

Por último, como otro medio para que los usuarios puedan hacer valer sus derechos como consumidores, debe poner a su disposición un formulario de solicitud de acceso del interesado o DSAR en su sitio web o aplicación móvil.

¿Cómo se hará cumplir la CDPA de Indiana?

El Fiscal General de Indiana tiene el derecho exclusivo de hacer cumplir la CDPA de Indiana, como se explica en el capítulo 10 de la ley.

El fiscal general enviará a los responsables o encargados del tratamiento una notificación por escrito con 30 días de antelación en la que indicará qué partes de la CDPA de Indiana ha infringido la entidad. A continuación, dispondrán de 30 días para subsanar la infracción y entregar al fiscal general una notificación por escrito en la que se indique que:

• La ofensa se ha curado
• Se han tomado medidas para evitar futuras infracciones.

Pero si el responsable o el encargado del tratamiento continúan con la presunta infracción tras el periodo de subsanación o no facilitan una declaración expresa por escrito al fiscal general, se enfrentan a sanciones económicas.

Multas y sanciones en virtud de la Ley de Protección de Datos de los Consumidores de Indiana

Los responsables o encargados del tratamiento que no resuelvan la presunta infracción durante el periodo de subsanación de 30 días están sujetos a sanciones económicas de hasta 7.500 dólares por infracción.

Además, también pueden solicitar la imposición de una medida cautelar para impedir las infracciones de la ley.

El fiscal general también puede recuperar los gastos razonables asegurados durante la investigación y preparación del caso, incluidos los honorarios de los abogados.

¿Cómo ayudará Termly a cumplir la CDPA de Indiana?

Mientras su empresa se prepara para la CDPA de Indiana, puede confiar en los recursos de Termlypara que el proceso de cumplimiento sea más manejable.

Nuestro respaldo legal Generador de Política de Privacidad ya cuenta con las cláusulas necesarias exigidas por esta ley y otras, incluido el Reglamento General de Protección de Datos (rgpd), la CCPA, la VCDPA, y más.

Es increíblemente fácil de usar y formula preguntas sencillas sobre su empresa y sus prácticas de recopilación de datos.

A continuación, crea una política de privacidad única y personalizada basada en sus respuestas que puede incrustar directamente en su sitio web o aplicación.

A continuación puedes ver una captura de pantalla de su aspecto:

Además, disponemos de una plataforma gestión del consentimiento (CMP) que le proporciona un banner de consentimiento configurable.

Puede configurarlo para que cumpla los requisitos de exclusión voluntaria para aspectos como la publicidad dirigida, tal y como se describe en leyes como la CDPA de Indiana.

A continuación puedes ver un avance de su aspecto:

Nuestro equipo jurídico y nuestros expertos en privacidad de datos avalan nuestras herramientas y generadores de políticas. Además, actualizamos nuestras ofertas para estar al día de las nuevas leyes de privacidad de datos, que cambian y están en vigor.

Cuando decimos que simplificamos el cumplimiento de la normativa, no es sólo un truco de marketing: lo decimos en serio.

¿Existen otras leyes relacionadas con la privacidad en Indiana?

La Ley de Protección de Datos de los Consumidores de Indiana, que nació como Proyecto de Ley 5 del Senado, es la primera ley de privacidad de datos aprobada en el estado.

Sin embargo, el Código de Indiana y la Constitución del Estado incluyen disposiciones relativas a la violación de datos y otros derechos relacionados con la privacidad.

Por ejemplo, la Constitución del Estado de Indiana incluye un texto que garantiza el derecho de las personas a estar "seguras en sus personas, casas, papeles y efectos, contra registros e incautaciones irrazonables".

El Código de Indiana describe los requisitos legales relativos a la violación de datos en el artículo 4.9.

Obliga a cualquier persona o entidad con un conjunto de datos informatizados que incluya información personal a notificar a los residentes de Indiana afectados una violación o cualquier otra adquisición no autorizada.

Resumen

La nueva ley de privacidad de datos de Indiana comparte muchas similitudes con otras leyes de privacidad de EE.UU. Cumplir la ley podría ser relativamente sencillo, especialmente si ya cumple las normas exigidas por leyes como la VCDPA, la CCPA y otras.

En cualquier caso, las empresas afectadas por la CDPA de Indiana deben planificar: la actualización de su política de privacidad para cumplir todos los requisitos establecidos por la ley y añadir opciones de exclusión voluntaria a los banners de consentimiento en relación con la venta de datos personales, la publicidad dirigida y/o la recopilación de datos sensibles.

Realice DPIA para actividades específicas de procesamiento de datos y utilice contratos conformes con cualquier procesador de datos externo. Por último, proporcione a los consumidores mecanismos claros para presentar solicitudes de seguimiento de sus nuevos derechos de privacidad de datos.

Por suerte, no tiene que abordar estas leyes de privacidad de datos solo. Con Termly en su caja de herramientas, podemos ayudarle a que el cumplimiento de normativas como la próxima CDPA de Indiana sea pan comido.

Más sobre el autor

Escrito por Stefani Schmidt, M.S., CIPM, CIPP-US

Stefani es una profesional de la gestión de la privacidad de los datos, el riesgo, el cumplimiento y los programas con experiencia en los sectores de las comunicaciones, las finanzas y la tecnología publicitaria. La experiencia previa de Stefani incluye trabajar en estrecha colaboración con las partes interesadas de diferentes departamentos para impulsar las iniciativas de privacidad en todas las corporaciones, incluyendo el trabajo en las revisiones de privacidad y seguridad de las nuevas iniciativas de negocio y proveedores. Stefani tiene un máster en Tecnologías de la Seguridad por la Universidad de Minnesota - Twin Cities y una licenciatura en Periodismo y Ciencias Políticas. Más sobre el autor