Indiana
Leyes de Privacidad de Datos de Indiana: Guía de Derechos del Consumidor bajo la INCDPA (2026)

La Ley de Protección de Datos del Consumidor de Indiana (INCDPA) entró en vigor el 1 de enero de 2026, otorgando a los residentes de Indiana el derecho a acceder, corregir, eliminar y optar por no participar en la venta de sus datos personales. El Fiscal General de Indiana aplica la ley de manera exclusiva, y la aplicación activa comenzará el 1 de julio de 2026. Las empresas que procesan datos de 100,000 o más consumidores de Indiana, o de 25,000 consumidores mientras obtienen más del 50 por ciento de sus ingresos brutos de la venta de datos, deben cumplir con el Código de Indiana, Título 24, Artículo 15.
Indiana promulgó la INCDPA de privacidad de datos mediante votos legislativos unánimes en 2023, convirtiéndose en uno de los primeros estados en aprobar un marco integral de privacidad del consumidor. La ley está modelada estrechamente según la Ley de Protección de Datos del Consumidor de Virginia, lo que le da una estructura favorable para las empresas en comparación con el enfoque de California. Esta guía cubre todos los aspectos de las leyes de privacidad de datos de Indiana, desde los derechos del consumidor y las obligaciones de las empresas bajo la INCDPA hasta el estatuto separado de notificación de violaciones del estado y la superposición federal.
Resumen de la Ley de Protección de Datos del Consumidor de Indiana (INCDPA)
La Ley de Protección de Datos del Consumidor de Indiana fue promulgada mediante el Proyecto de Ley del Senado 5 durante la sesión legislativa de 2023. El Senado de Indiana aprobó el SB 5 de manera unánime (49-0) el 9 de febrero de 2023, y la Cámara de Indiana aprobó la versión enmendada por un voto de 98-0 el 11 de abril de 2023. El gobernador Eric Holcomb firmó el proyecto de ley el 1 de mayo de 2023.

La ley está codificada en el Código de Indiana, Título 24, Artículo 15 y entró en vigor el 1 de enero de 2026. Cuando Indiana promulgó el SB 5 en 2023, se convirtió en el séptimo estado del país en aprobar una ley integral de privacidad de datos del consumidor. A partir de 2026, más de veinte estados han promulgado marcos integrales de privacidad del consumidor, con Indiana uniéndose a la primera ola junto con California, Virginia, Colorado, Connecticut, Utah e Iowa.
La INCDPA está modelada estrechamente según la Ley de Protección de Datos del Consumidor de Virginia (VCDPA), compartiendo una estructura, definiciones y enfoque de aplicación similares. Esto la convierte en un marco de privacidad relativamente favorable para las empresas en comparación con leyes más estrictas como la CCPA/CPRA de California.
Quién Debe Cumplir con la INCDPA
La INCDPA se aplica a las personas que hacen negocios en Indiana o producen productos o servicios dirigidos a residentes de Indiana y que, durante un año calendario, cumplen con uno de dos umbrales:
- Umbral 1: Controlan o procesan datos personales de al menos 100,000 consumidores de Indiana, O
- Umbral 2: Controlan o procesan datos personales de al menos 25,000 consumidores de Indiana Y derivan más del 50% de sus ingresos brutos de la venta de datos personales
Estos umbrales se encuentran entre los más altos de cualquier ley estatal de privacidad, lo que significa que muchas empresas pequeñas y medianas que operan en Indiana no estarán sujetas a la INCDPA.
Quién Está Exento de la INCDPA
La INCDPA ofrece amplias exenciones tanto a nivel de entidad como de datos.
Las exenciones a nivel de entidad incluyen:
- Organismos gubernamentales estatales y locales (y sus contratistas que actúan en su nombre)
- Organizaciones sin fines de lucro
- Instituciones de educación superior
- Entidades cubiertas por la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA)
- Instituciones financieras sujetas a la Ley Gramm-Leach-Bliley (GLBA)
- Empresas de servicios públicos
Las exenciones a nivel de datos incluyen:
- Información de salud protegida bajo la HIPAA
- Datos sujetos a la GLBA
- Datos regulados por la Ley de Informe Justo de Crédito (FCRA)
- Datos regulados por la Ley de Derechos Educativos y Privacidad Familiar (FERPA)
- Datos cubiertos por la Ley de Protección de la Privacidad del Conductor (DPPA)
- Datos cubiertos por la Ley Federal de Crédito Agrícola
- Datos relacionados con el empleo procesados en un contexto laboral
- Datos entre empresas (B2B)
- Datos de investigación científica
Derechos del Consumidor Bajo la INCDPA
La INCDPA otorga a los residentes de Indiana varios derechos importantes sobre sus datos personales. Los consumidores pueden ejercer estos derechos presentando una solicitud a una empresa que actúa como "controlador" de sus datos.
Derecho a Confirmar y Acceder
Los consumidores de Indiana tienen derecho a confirmar si un controlador está procesando sus datos personales. De ser así, pueden acceder a esos datos en un formato legible.
Derecho a Corregir
Los consumidores pueden solicitar que un controlador corrija imprecisiones en sus datos personales, teniendo en cuenta la naturaleza de los datos y los propósitos del procesamiento.
Derecho a Eliminar
Los consumidores tienen derecho a solicitar la eliminación de los datos personales que el controlador mantiene sobre ellos, incluidos los datos proporcionados por el consumidor y los datos obtenidos de otras fuentes.
Derecho a la Portabilidad de Datos
Los consumidores pueden obtener una copia de sus datos personales en un formato portátil y fácilmente utilizable que les permita transmitir los datos a otro controlador. Este derecho puede ejercerse no más de una vez cada 12 meses.
Derecho a Optar por No Participar
Los consumidores de Indiana tienen derecho a optar por no participar en el procesamiento de sus datos personales para los siguientes propósitos:
- Publicidad dirigida basada en datos personales recopilados a través de diferentes sitios web y servicios
- Venta de datos personales a terceros
- Perfilamiento que produce efectos legales o efectos igualmente significativos sobre el consumidor
La INCDPA no exige que las empresas respeten los mecanismos universales de exclusión, como el Control de Privacidad Global (GPC). Las empresas pueden optar por admitir el GPC de manera voluntaria, pero no existe un mandato estatutario para hacerlo.
Cómo Ejercer los Derechos del Consumidor
Los consumidores presentan sus solicitudes directamente al controlador. El controlador debe responder sin demora indebida, pero a más tardar 45 días después de recibir la solicitud. El controlador puede extender el periodo de respuesta por 45 días adicionales cuando sea razonablemente necesario, siempre que se informe al consumidor de la extensión y el motivo de la misma.
Si un controlador se niega a actuar sobre la solicitud de un consumidor, el controlador debe informar al consumidor sin demora indebida, proporcionando las razones de la negativa e instrucciones sobre cómo apelar la decisión.
Derecho a Apelar
Si un controlador niega la solicitud de un consumidor, el consumidor tiene derecho a apelar la decisión. El controlador debe establecer un proceso interno de apelaciones y responder a la apelación dentro de 60 días.
Si se niega la apelación, el controlador debe proporcionar al consumidor un método para contactar al Fiscal General de Indiana para presentar una queja.
Datos Sensibles Bajo la INCDPA
La INCDPA define "datos sensibles" como una categoría específica de datos personales que requiere protección reforzada. Los controladores deben obtener el consentimiento expreso (opt-in) del consumidor antes de procesar datos sensibles.
Categorías de Datos Sensibles
Los datos sensibles bajo la INCDPA incluyen:
- Origen racial o étnico
- Creencias religiosas
- Diagnóstico de salud mental o física realizado por un proveedor de atención médica
- Orientación sexual
- Estatus de ciudadanía o inmigración
- Datos genéticos usados para identificar de manera única a una persona natural
- Datos biométricos usados para identificar de manera única a una persona natural
- Datos de geolocalización precisa (dentro de un radio de 1,750 pies)
- Datos personales recopilados de un menor conocido de menos de 13 años
Definición de Datos Biométricos
Los datos biométricos bajo la INCDPA significan los datos generados por mediciones automáticas de las características biológicas de un individuo, como una huella dactilar, huella de voz, imagen de retina o iris, u otros patrones biológicos únicos. La definición excluye específicamente las fotografías físicas o digitales, las grabaciones de video o audio, y los datos generados a partir de esas grabaciones. También excluye la información recopilada para tratamiento, pago u operaciones de atención médica bajo la HIPAA.
Datos de Menores
Para los datos personales de un menor conocido de menos de 13 años, el cumplimiento de la Ley federal de Protección de la Privacidad Infantil en Línea (COPPA) satisface los requisitos de consentimiento parental de la INCDPA, según lo establecido en el Código de Indiana 24-15-1-3.
Obligaciones de las Empresas Bajo la INCDPA
La INCDPA impone varias obligaciones clave a las empresas que actúan como controladores de datos.

Requisitos de Aviso de Privacidad
Los controladores deben proporcionar a los consumidores un aviso de privacidad claro y accesible que incluya:
- Las categorías de datos personales procesados
- Los propósitos del procesamiento de datos personales
- Cómo pueden los consumidores ejercer sus derechos, incluido el derecho a apelar
- Las categorías de datos personales compartidos con terceros
- Las categorías de terceros con quienes se comparten los datos
El Fiscal General de Indiana ha convertido los avisos de privacidad simples y comprensibles en una prioridad explícita de aplicación, según la guía pública de la oficina publicada en noviembre de 2025.
Minimización de Datos
Los controladores deben limitar la recopilación de datos personales a lo que sea adecuado, relevante y razonablemente necesario para los propósitos divulgados. Las empresas no pueden recopilar más datos de los necesarios para cumplir el propósito declarado.
Limitación de Propósito
Los controladores no pueden procesar datos personales para propósitos que no sean razonablemente necesarios o compatibles con los propósitos divulgados, a menos que el controlador obtenga el consentimiento del consumidor.
Requisitos de Seguridad
Los controladores deben implementar prácticas razonables de seguridad de datos administrativas, técnicas y físicas para proteger la confidencialidad, integridad y accesibilidad de los datos personales. Las medidas de seguridad deben ser apropiadas al volumen y la naturaleza de los datos.
Acuerdos de Procesamiento de Datos
Cuando un controlador contrata a un procesador de datos, las dos partes deben celebrar un contrato escrito que establezca claramente:
- Las instrucciones para el procesamiento de datos personales
- La naturaleza y el propósito del procesamiento
- El tipo de datos sujetos a procesamiento
- La duración del procesamiento
- Los derechos y obligaciones de ambas partes
Evaluaciones de Protección de Datos
La INCDPA exige que los controladores realicen evaluaciones de protección de datos para ciertas actividades de procesamiento de alto riesgo. Estas evaluaciones deben ponderar los beneficios del procesamiento frente a los riesgos potenciales para los derechos del consumidor. Se requieren evaluaciones para:
- Procesar datos personales para publicidad dirigida
- Vender datos personales
- Procesar datos personales para perfilamiento que presente un riesgo de trato injusto o engañoso, daño financiero o físico, o intrusión en la soledad o el aislamiento
- Procesar datos sensibles
Las evaluaciones de protección de datos deben ponerse a disposición del Fiscal General a solicitud durante una investigación.
Aplicación y Sanciones
Aplicación por el Fiscal General
La INCDPA es aplicada exclusivamente por el Fiscal General de Indiana. No existe un derecho de acción privado, lo que significa que los consumidores individuales no pueden presentar demandas contra las empresas por violaciones de la INCDPA.
En noviembre de 2025, el Fiscal General Todd Rokita publicó una Declaración de Derechos de Protección de Datos del Consumidor para ayudar a los consumidores a entender sus nuevos derechos y para señalar las prioridades de aplicación. La oficina del Fiscal General ha enfatizado el cumplimiento del requisito de proporcionar avisos de privacidad simples y comprensibles. La aplicación procederá a través de quejas de consumidores presentadas en el portal en línea del Fiscal General y a través de revisiones independientes del personal sobre las prácticas de las empresas.
Periodo de Gracia de Aplicación
Indiana incorporó un periodo de gracia de aplicación de seis meses en la INCDPA. Aunque la ley entró en vigor el 1 de enero de 2026, el Fiscal General no comenzará la aplicación activa hasta el 1 de julio de 2026. Las empresas que aún no hayan logrado el cumplimiento total deben tratar el periodo desde ahora hasta el 30 de junio de 2026 como su ventana final de cumplimiento.
Después del 1 de julio de 2026, cualquier empresa que reciba un aviso de violación del Fiscal General tendrá 30 días para subsanar antes de enfrentar sanciones.
Periodo de Subsanación de 30 Días
Antes de iniciar una acción de aplicación, el Fiscal General debe proporcionar al controlador o procesador un aviso por escrito de 30 días identificando las disposiciones específicas que han sido o están siendo violadas.
Durante el periodo de subsanación de 30 días, la empresa puede corregir la presunta violación y proporcionar al Fiscal General una declaración por escrito confirmando que:
- La violación ha sido subsanada
- No ocurrirán más violaciones
Una característica crítica de la ley de Indiana es que el periodo de subsanación de 30 días es permanente y no tiene fecha de vencimiento. A diferencia de Colorado y Connecticut (donde los periodos de subsanación tenían fechas de vencimiento) o California (que eliminó su periodo de subsanación bajo la CPRA), las empresas de Indiana siempre tendrán esta ventana de 30 días para remediar violaciones antes de enfrentar sanciones.
Sanciones Civiles
| Tipo de Violación | Sanción Máxima |
|---|---|
| Violación de la INCDPA (por violación) | $7,500 |
| Violación de notificación de violación de datos (por acto engañoso) | $150,000 |
| Honorarios de abogados y costos de investigación | Recuperables por el Fiscal General |
| Medidas cautelares | Disponibles para el Fiscal General |
Si el periodo de subsanación expira sin una remediación adecuada, o si la violación es insubsanable, el Fiscal General puede iniciar una acción en nombre del estado buscando:
- Una medida cautelar para restringir las violaciones
- Sanciones civiles que no excedan los $7,500 por cada violación
- Recuperación de gastos razonables incurridos en la investigación y preparación del caso, incluidos los honorarios de abogados

Ley de Notificación de Violación de Datos de Indiana
Además de la INCDPA, Indiana tiene un estatuto separado de notificación de violación de datos codificado en el Código de Indiana 24-4.9 (Divulgación de Violación de Seguridad). Esta ley ha estado vigente desde 2006 y se actualizó por última vez cuando la legislatura de 2024 agregó los datos de verificación de edad a la definición de información personal sujeta a la notificación de violación, vigente desde el 1 de julio de 2024.
Qué Activa una Notificación
Se requiere una notificación de violación de datos cuando hay una adquisición no autorizada de datos computarizados que compromete la seguridad, confidencialidad o integridad de la información personal mantenida por una entidad, y la violación ha resultado o podría resultar en engaño de identidad, robo de identidad o fraude.
Definición de Información Personal
Bajo la ley de notificación de violación de Indiana, la información personal incluye:
- Un número de Seguro Social por sí solo, O
- El primer nombre o inicial y el apellido de un individuo combinados con uno o más de:
- Número de licencia de conducir
- Número de tarjeta de identificación estatal
- Número de tarjeta de crédito
- Número de cuenta financiera o número de tarjeta de débito en combinación con un código de seguridad, contraseña o código de acceso requerido
- Datos recopilados por sitios web de contenido para adultos sujetos a la ley de verificación de edad de Indiana (Código de Indiana 24-4-23), agregada por la sesión legislativa de 2024
La información personal no incluye información obtenida legalmente de fuentes disponibles públicamente.
Puerto Seguro de Cifrado
No se requiere notificación si los datos vulnerados estaban cifrados o redactados, siempre que la clave de cifrado en sí no se haya visto comprometida durante la violación.
Requisitos de Notificación
Las empresas deben proporcionar aviso de una violación de datos de la siguiente manera:
| Requisito | Detalle |
|---|---|
| Plazo | Sin demora injustificada, pero no más de 45 días después del descubrimiento |
| Métodos de notificación al consumidor | Correo escrito, teléfono, fax o correo electrónico |
| Notificación al Fiscal General | Requerida cuando se envía un aviso de violación a los residentes de Indiana |
| Notificación a agencias de reporte de crédito | Requerida cuando se ven afectados más de 1,000 residentes de Indiana |
| Umbral de notificación sustitutiva | Disponible cuando el costo excede los $250,000 o la clase afectada excede los 500,000 residentes |
La notificación sustitutiva consiste en la publicación visible en el sitio web de la entidad y la notificación a los medios de comunicación estatales que sirven al área geográfica afectada.
Sanciones por Notificación de Violación
El Fiscal General puede buscar una acción de aplicación contra las entidades que incumplan los requisitos de notificación de violación. Las sanciones incluyen:
- Sanciones civiles de hasta $150,000 por acto engañoso
- Medidas cautelares
- Recuperación de costos razonables para investigar y mantener la acción
Las empresas pueden reportar una violación de datos a la oficina del Fiscal General de Indiana enviando el Formulario de Notificación de Violación de Datos a DataBreach@atg.in.gov.
Exenciones de la Notificación de Violación
Las entidades que mantienen sus propios procedimientos de notificación de violación de seguridad como parte de una política de privacidad o seguridad de la información están exentas de los requisitos de notificación, siempre que esos procedimientos sean al menos tan estrictos como los requisitos de notificación del estatuto. Además, las entidades sujetas y en cumplimiento con los requisitos de notificación bajo la HIPAA, la GLBA, la Ley PATRIOTA de EE. UU., la DPPA o la FCRA pueden seguir esos marcos federales en su lugar.

Superposición de Privacidad Federal para los Residentes de Indiana
Los residentes de Indiana se benefician de varias leyes federales de privacidad que operan junto con la INCDPA y el estatuto de notificación de violación. Las protecciones federales se aplican independientemente de si una empresa cumple con los umbrales de la ley estatal de la INCDPA.
Ley TAKE IT DOWN (2025)
El Congreso promulgó la Ley TAKE IT DOWN (Pub. L. 119-12) el 28 de abril de 2025, y el presidente Trump la firmó como ley el 19 de mayo de 2025. La ley penaliza la publicación consciente de imágenes íntimas no consentidas (NCII, por sus siglas en inglés), incluidos los deepfakes generados por IA, y crea un derecho federal para exigir la eliminación de dicho contenido.
Disposiciones clave que afectan a los residentes de Indiana:
- Sanciones penales: hasta dos años de prisión federal por publicar NCII de adultos, hasta tres años para imágenes que involucren a menores
- Obligación de eliminación de plataformas: las plataformas digitales cubiertas deben eliminar las NCII reportadas dentro de las 48 horas posteriores a una solicitud de eliminación válida y eliminar todas las copias idénticas conocidas
- Aplicación por la FTC: la Comisión Federal de Comercio hace cumplir las obligaciones de eliminación de las plataformas. El plazo de cumplimiento para que las plataformas establezcan sistemas de eliminación fue el 19 de mayo de 2026. La FTC comenzó la aplicación activa en esa fecha.
- Sanciones civiles: las plataformas que violen la obligación de eliminación pueden enfrentar la aplicación de la FTC con sanciones civiles de hasta $53,088 por violación
Los residentes de Indiana que tengan imágenes íntimas no consentidas publicadas en línea pueden presentar quejas en TakeItDown.ftc.gov o comunicarse con la FTC en consumer.ftc.gov.
HIPAA
La Ley de Portabilidad y Responsabilidad del Seguro Médico protege la información de salud que mantienen las entidades cubiertas (hospitales, aseguradoras, proveedores de atención médica) y sus asociados comerciales. Los datos cubiertos por HIPAA están explícitamente exentos de la INCDPA a nivel de entidad, por lo que las organizaciones de atención médica en Indiana siguen las reglas federales de HIPAA en lugar de la INCDPA para esos datos.
Ley Gramm-Leach-Bliley (GLBA)
Las instituciones financieras sujetas a la GLBA deben proteger los datos financieros de los clientes y proporcionar avisos de privacidad bajo la Regla de Salvaguardas de la FTC. Las entidades reguladas por la GLBA están exentas de la INCDPA.
Ley de Informe Justo de Crédito (FCRA)
La FCRA rige cómo las agencias de informes de consumo recopilan, comparten y usan la información crediticia y de antecedentes del consumidor. Los datos sujetos a la FCRA están exentos de la cobertura de la INCDPA.
COPPA
La Ley de Protección de la Privacidad Infantil en Línea exige el consentimiento parental verificable antes de recopilar información personal de menores de 13 años. La INCDPA establece expresamente que el cumplimiento de la COPPA satisface los requisitos de consentimiento parental de la ley estatal bajo el Código de Indiana 24-15-1-3.
Sección 5 de la Ley de la FTC
La autoridad general de la Comisión Federal de Comercio bajo la Sección 5 de la Ley de la FTC para prohibir actos o prácticas injustas o engañosas se aplica a todas las empresas en Indiana. Cualquier política de privacidad engañosa o práctica de manejo de datos que perjudique a los consumidores puede ser la base de una acción de aplicación de la FTC, independientemente de si se aplica la INCDPA.
Ley de Derechos de Privacidad Estadounidense (APRA)
El Congreso presentó un borrador bicameral de la Ley de Derechos de Privacidad Estadounidense en 2024. El proyecto no fue aprobado en 2024. Se presentó una versión revisada, a veces llamada APRA 2.0, en 2025. Hasta mayo de 2026, no se ha promulgado ninguna ley federal integral de privacidad. Si la APRA o un proyecto sucesor se aprueba, crearía un piso federal que afectaría a todas las empresas y residentes de Indiana.
Cómo Se Compara la INCDPA con Otras Leyes Estatales de Privacidad
La ley de privacidad de datos de Indiana comparte similitudes significativas con la VCDPA de Virginia, pero existen diferencias notables en comparación con otros marcos estatales.
Comparaciones Clave
| Característica | Indiana (INCDPA) | California (CCPA/CPRA) | Virginia (VCDPA) | Kentucky (KCDPA) |
|---|---|---|---|---|
| Fecha de vigencia | 1 de enero de 2026 | 1 ene 2020 / 1 ene 2023 | 1 de enero de 2023 | 1 de enero de 2026 |
| Umbral de aplicabilidad | 100K consumidores o 25K + 50% de ingresos | $25M de ingresos, 50K consumidores, o 50% de ingresos | 100K consumidores o 25K + 50% de ingresos | 100K consumidores o 25K + 50% de ingresos |
| Derecho de acción privado | No | Sí (limitado a violaciones de datos) | No | No |
| Periodo de subsanación | 30 días (permanente) | Ninguno (eliminado bajo la CPRA) | 30 días (venció el 1 ene 2025) | 30 días (permanente) |
| Exclusión universal | No requerida | Requerida (GPC) | No requerida | No requerida |
| Sanción máxima | $7,500 por violación | $7,500 por violación intencional | $7,500 por violación | $7,500 por violación |
| Autoridad reglamentaria | No | Sí (a través de la CPPA) | No | No |
| Inicio de aplicación | 1 de julio de 2026 | En curso | En curso | En curso |
Características Únicas de la Ley de Indiana
La INCDPA tiene varias características que la distinguen de otras leyes estatales de privacidad:
- Periodo de subsanación permanente: el derecho de subsanación de 30 días nunca vence, lo que brinda a las empresas una oportunidad continua de corregir violaciones antes de enfrentar sanciones.
- Sin mandato de exclusión universal: las empresas no están obligadas a respetar señales de exclusión basadas en el navegador, como el Control de Privacidad Global.
- Sin autoridad reglamentaria: el Fiscal General no puede emitir regulaciones que interpreten o amplíen el estatuto, lo que brinda a las empresas mayor certeza regulatoria.
- Umbrales de aplicabilidad altos: el umbral de 100,000 consumidores significa que la mayoría de las pequeñas empresas en Indiana no están sujetas a la ley.
- Definición limitada de datos sensibles: el requisito de un diagnóstico de un proveedor de atención médica para los datos de salud mental o física es más limitado que en algunos estados que incluyen cualquier información relacionada con la salud.
- Periodo de gracia de aplicación: el Fiscal General no aplicará la ley hasta el 1 de julio de 2026, dando a las empresas tiempo adicional para lograr el cumplimiento.
Pasos Prácticos para el Cumplimiento
Las empresas que cumplen con los umbrales de aplicabilidad de la INCDPA deben tomar los siguientes pasos para garantizar el cumplimiento antes del inicio de la aplicación el 1 de julio de 2026:
- Realizar un inventario de datos para entender qué datos personales recopila, cómo se procesan, con quién se comparten y dónde se almacenan.
- Actualizar su aviso de privacidad para incluir todas las divulgaciones requeridas sobre la recopilación de datos, los propósitos de procesamiento, los derechos del consumidor y el intercambio con terceros. El Fiscal General ha identificado los avisos de privacidad simples y comprensibles como una prioridad principal de aplicación.
- Implementar procesos de solicitud de derechos del consumidor que permitan a los residentes de Indiana presentar y rastrear solicitudes de acceso, corrección, eliminación, portabilidad y exclusión dentro de la ventana de respuesta de 45 días.
- Obtener consentimiento expreso para el procesamiento de datos sensibles, incluidos datos biométricos, genéticos, diagnósticos de salud, geolocalización y datos de menores.
- Revisar y actualizar los contratos con proveedores para garantizar que los acuerdos de procesamiento de datos cumplan con los requisitos de la INCDPA.
- Realizar evaluaciones de protección de datos para actividades de publicidad dirigida, venta de datos, perfilamiento y procesamiento de datos sensibles.
- Capacitar a su equipo sobre los nuevos requisitos y establecer procedimientos internos para responder a las solicitudes de los consumidores y posibles consultas del Fiscal General.
- Revisar las prácticas de seguridad de datos para garantizar que existan salvaguardas administrativas, técnicas y físicas razonables.
- Revisar las obligaciones de la Ley TAKE IT DOWN si opera una plataforma digital donde los usuarios puedan compartir imágenes o video. La obligación de eliminación de plataformas de la FTC entró en vigor el 19 de mayo de 2026.
Más Recursos de Privacidad de Datos de Indiana
El marco de privacidad de datos de Indiana funciona junto con otras leyes estatales que protegen la información personal y los derechos del consumidor. Para más información sobre el panorama legal de Indiana, consulte nuestra cobertura en recordinglaw.com/us-laws/data-privacy-laws/.
También puede explorar las leyes de privacidad de datos en los estados vecinos:
- Leyes de Privacidad de Datos de Illinois
- Leyes de Privacidad de Datos de Ohio
- Leyes de Privacidad de Datos de Kentucky
- Leyes de Privacidad de Datos de Michigan
Este artículo tiene fines informativos únicamente y no constituye asesoría legal. La información refleja la ley de Indiana a partir de mayo de 2026. Para preguntas específicas sobre cómo se aplican las leyes de privacidad de datos de Indiana a su situación, consulte a un abogado con licencia en su jurisdicción.
Guías detalladas
- ¿Qué Es la INCDPA? Ley de Protección de Datos del Consumidor de Indiana
- Derechos del Consumidor bajo la INCDPA: Sus Derechos de Privacidad de Datos
- Lista de Verificación de Cumplimiento de la INCDPA para Empresas (2026)
Más Leyes de Indiana
- Leyes de Grabación con IA en Reuniones de Indiana
- Leyes de Pensión Alimenticia de Indiana
- Leyes de Empleo a Voluntad de Indiana
- Leyes de Accidentes Automovilísticos de Indiana
- Leyes de Asientos de Auto para Niños de Indiana
- Leyes de Custodia de Menores de Indiana
- Leyes de Manutención Infantil de Indiana
- Leyes de Matrimonio de Hecho de Indiana
- Leyes sobre Deepfakes de Indiana
- Leyes de Divorcio de Indiana
- Leyes sobre Mordeduras de Perro de Indiana
- Leyes de Emancipación de Indiana
- Leyes de Eliminación de Antecedentes Penales de Indiana
- Leyes sobre Choque y Fuga de Indiana
- Leyes de Propietarios e Inquilinos de Indiana
- Leyes del Limón de Indiana
Preguntas frecuentes
¿Cuándo entró en vigor la Ley de Protección de Datos del Consumidor de Indiana?
La Ley de Protección de Datos del Consumidor de Indiana (INCDPA) entró en vigor el 1 de enero de 2026. Fue promulgada mediante el Proyecto de Ley del Senado 5, que fue aprobado de manera unánime por la legislatura de Indiana en 2023 y firmado por el gobernador Eric Holcomb el 1 de mayo de 2023. La ley está codificada en el Código de Indiana, Título 24, Artículo 15. Aunque la ley está vigente, el Fiscal General de Indiana no comenzará la aplicación activa hasta el 1 de julio de 2026.
¿Cuándo comienza el Fiscal General de Indiana a aplicar la INCDPA?
El Fiscal General de Indiana comienza la aplicación activa de la INCDPA el 1 de julio de 2026. Indiana incorporó un periodo de gracia de aplicación de seis meses desde el 1 de abril de 2026 hasta el 30 de junio de 2026. Las empresas que aún no cumplen totalmente deben usar este periodo para actualizar los avisos de privacidad, implementar procesos de derechos del consumidor y auditar sus prácticas de datos. Después del 1 de julio de 2026, las violaciones pueden resultar en sanciones civiles de hasta $7,500 por violación después de un aviso de subsanación de 30 días.
¿Se aplica la INCDPA a las pequeñas empresas en Indiana?
La INCDPA solo se aplica a las empresas que hacen negocios en Indiana o se dirigen a residentes de Indiana y cumplen con umbrales específicos: procesar datos personales de al menos 100,000 consumidores de Indiana por año, o procesar datos de al menos 25,000 consumidores mientras derivan más del 50 por ciento de sus ingresos brutos de la venta de datos personales. La mayoría de las pequeñas empresas no cumplirán con estos umbrales. Las organizaciones sin fines de lucro, las entidades gubernamentales, las instituciones de educación superior, las entidades cubiertas por HIPAA y las instituciones financieras reguladas por la GLBA también están exentas independientemente de su tamaño.
¿Qué derechos tienen los consumidores de Indiana bajo la INCDPA?
Los consumidores de Indiana tienen cinco derechos clave bajo la INCDPA: el derecho a confirmar y acceder a sus datos personales, el derecho a corregir imprecisiones, el derecho a eliminar sus datos, el derecho a obtener una copia portátil de sus datos (una vez cada 12 meses), y el derecho a optar por no participar en la publicidad dirigida, la venta de datos y cierto perfilamiento. Las empresas deben responder a las solicitudes de los consumidores dentro de 45 días, con una posible extensión de 45 días. Si se niega una solicitud, los consumidores pueden apelar, y la empresa debe responder a la apelación dentro de 60 días. Los consumidores también pueden presentar quejas ante la oficina del Fiscal General.
¿Cuáles son las sanciones por violar las leyes de privacidad de datos de Indiana?
El Fiscal General de Indiana puede buscar sanciones civiles de hasta $7,500 por violación de la INCDPA, además de medidas cautelares y recuperación de costos de investigación y honorarios de abogados. Para las violaciones de notificación de violación de datos bajo el Código de Indiana 24-4.9, las sanciones pueden alcanzar $150,000 por acto engañoso. La INCDPA incluye un periodo de subsanación permanente de 30 días, lo que significa que las empresas reciben un aviso por escrito y 30 días para corregir violaciones antes de enfrentar sanciones. No existe un derecho de acción privado, por lo que solo el Fiscal General puede aplicar la INCDPA.
¿Con qué rapidez debe una empresa de Indiana reportar una violación de datos?
Bajo el Código de Indiana 24-4.9, las empresas deben notificar a los residentes de Indiana afectados sobre una violación de datos sin demora injustificada, pero a más tardar 45 días después de descubrir la violación. También se debe notificar al Fiscal General de Indiana cuando se envían avisos de violación a los residentes. Si se ven afectados más de 1,000 residentes de Indiana, también se debe notificar a las agencias de reporte de crédito al consumidor. Las empresas pueden presentar reportes de violación al Fiscal General en DataBreach@atg.in.gov usando el Formulario oficial de Notificación de Violación de Datos disponible en in.gov.
¿Es permanente el periodo de subsanación de 30 días de Indiana?
Sí. El periodo de subsanación de 30 días bajo la INCDPA es permanente y no tiene fecha de vencimiento. Antes de que el Fiscal General de Indiana pueda presentar una acción de aplicación, la oficina debe dar a la empresa un aviso por escrito de 30 días identificando las violaciones específicas. Si la empresa subsana la violación dentro de los 30 días y certifica que no volverá a ocurrir, el Fiscal General no puede proceder con el litigio. Esto difiere de Virginia, donde el periodo de subsanación venció el 1 de enero de 2025, y de California, que eliminó su periodo de subsanación bajo la CPRA.
¿Qué es la Ley TAKE IT DOWN y afecta a Indiana?
La Ley TAKE IT DOWN (Pub. L. 119-12) es una ley federal firmada el 19 de mayo de 2025. Penaliza la publicación consciente de imágenes íntimas no consentidas, incluidos los deepfakes generados por IA, con sanciones penales de hasta dos años de prisión federal por imágenes que involucren a adultos y hasta tres años para imágenes que involucren a menores. Las plataformas digitales deben eliminar las imágenes reportadas dentro de las 48 horas posteriores a una solicitud válida. La FTC comenzó a aplicar la obligación de eliminación de plataformas el 19 de mayo de 2026. La ley se aplica a nivel nacional, incluido en Indiana.
Fuentes y referencias
- Proyecto de Ley del Senado 5 - Protección de Datos del Consumidor(iga.in.gov).gov
- Código de Indiana, Título 24, Artículo 15 - Protección de Datos del Consumidor(iga.in.gov).gov
- Fiscal General de Indiana - Violaciones de Seguridad(in.gov).gov
- Fiscal General de Indiana - Preguntas Frecuentes sobre Violaciones y Formulario de Notificación(in.gov).gov
- Declaración de Derechos de Protección de Datos del Consumidor de Indiana(in.gov).gov
- Formulario de Notificación de Violación de Datos(in.gov).gov
- HIPAA - HHS(hhs.gov).gov
- Ley Gramm-Leach-Bliley - FTC(ftc.gov).gov
- Ley de Informe Justo de Crédito - FTC(ftc.gov).gov
- FERPA - Departamento de Educación(www2.ed.gov).gov
- COPPA - FTC(ftc.gov).gov
- Ley de Protección de la Privacidad del Conductor(uscode.house.gov).gov
- La FTC Comienza a Aplicar la Ley TAKE IT DOWN(ftc.gov).gov
- Cumplimiento de la Ley TAKE IT DOWN - Comisión Federal de Comercio(ftc.gov).gov
- Ley TAKE IT DOWN - Reporte CRS de Congress.gov(congress.gov).gov