Indiana
Leyes de Notificación de Filtraciones de Datos de Indiana: Reglas de Reporte y Plazos (2026)

La ley de Indiana exige a las empresas notificar a los residentes afectados de una filtración de datos sin demora injustificada y a más tardar 45 días después de su descubrimiento, conforme al Ind. Code 24-4.9. La notificación también debe enviarse al Fiscal General de Indiana por cada filtración que califique, y a las agencias de informes crediticios cuando se vean afectados 1,000 o más residentes.
Si su empresa maneja información personal perteneciente a residentes de Indiana, una filtración de datos activa obligaciones legales específicas. La ley de Divulgación de Violación de Seguridad de Indiana, Ind. Code 24-4.9, establece a quién se debe notificar, qué información activa ese deber y con qué rapidez debe actuar. Promulgada originalmente en 2006, la ley recibió una enmienda significativa mediante la HEA 1341 (2022), que añadió un plazo firme de notificación de 45 días.
Esta guía cubre el alcance completo de los requisitos de notificación de filtraciones de Indiana, incluyendo qué información personal activa la ley, a quién se debe notificar, el cronograma, las sanciones, las exenciones, y cómo interactúa la Ley de Protección de Datos del Consumidor de Indiana (ICDPA) con las obligaciones de notificación de filtraciones.
Quién Debe Cumplir con la Ley de Notificación de Filtraciones de Indiana
La ley de notificación de filtraciones de Indiana se aplica a cualquier persona, corporación, empresa u otra entidad que posea o tenga licencia sobre datos computarizados que contengan información personal de residentes de Indiana. Esto incluye a las empresas ubicadas fuera de Indiana si poseen datos pertenecientes a residentes de Indiana (Hoosiers).
La ley distingue entre propietarios de datos y administradores de datos. Si un tercero (como un proveedor de alojamiento en la nube o un procesador de pagos) administra datos en nombre de un propietario o licenciatario, ese tercero debe notificar al propietario de los datos inmediatamente al descubrir una filtración. El propietario de los datos entonces carga con la responsabilidad de notificar a los consumidores afectados y al Fiscal General.
Entidades con Marcos de Cumplimiento Federal Separados
Las empresas que ya cumplen con los procedimientos de notificación de filtraciones bajo ciertas leyes federales pueden seguir esos marcos en lugar del estatuto estatal. Conforme al IC 24-4.9-3-3.5, los marcos federales que califican incluyen:
- Ley Gramm-Leach-Bliley (GLBA) para instituciones financieras
- HIPAA para entidades de atención médica y sus asociados comerciales
- Ley USA PATRIOT y la Orden Ejecutiva 13224 para entidades cubiertas
- Ley de Protección de la Privacidad del Conductor (DPPA)
- Ley de Informe Justo de Crédito (FCRA)
Además, cualquier entidad que mantenga su propia política de privacidad o seguridad de la información con procedimientos de notificación de filtraciones al menos tan estrictos como el estatuto estatal está exenta del cumplimiento separado bajo la ley de Indiana.
Qué Califica como una Violación de Seguridad
Conforme al IC 24-4.9-2-2, una violación de la seguridad de un sistema significa la adquisición no autorizada de datos computarizados que compromete la seguridad, confidencialidad o integridad de la información personal.
La definición es deliberadamente amplia. Cubre los datos que se han transferido a otro medio, incluidos el papel o el microfilm, si los datos se mantenían originalmente en forma computarizada.
Excepción de Buena Fe
No todo acceso no autorizado cuenta como una filtración. La adquisición de buena fe de información personal por parte de un empleado o agente de la entidad no activa los requisitos de notificación, siempre que los datos se hayan obtenido para fines lícitos y no se hayan usado ni divulgado posteriormente sin autorización.
Excepción de Dispositivo Portátil
El estatuto también excluye la adquisición no autorizada de un dispositivo electrónico portátil en el que se almacena información personal, si el acceso al dispositivo está protegido por una contraseña que no ha sido divulgada.
El Puerto Seguro de Cifrado

Indiana ofrece un puerto seguro claro para los datos cifrados. Una filtración no requiere notificación si la información personal comprometida estaba cifrada o redactada, y la clave de cifrado no fue accedida ni adquirida durante la filtración.
Esto significa que las empresas que cifran la información personal en reposo y en tránsito pueden evitar los requisitos de notificación, pero solo mientras las claves de cifrado permanezcan seguras. Si tanto los datos cifrados como la clave se ven comprometidos, se aplican las obligaciones completas de notificación.
Información Personal que Activa la Notificación
La definición de información personal de Indiana conforme al IC 24-4.9-2-10 toma dos formas:
Activador independiente: un número de Seguro Social que no esté cifrado ni redactado.
Activador de nombre combinado: el nombre y apellido de una persona (o la inicial del nombre y el apellido) combinados con uno o más de los siguientes elementos de datos:
- Número de licencia de conducir o número de tarjeta de identificación estatal
- Número de tarjeta de crédito
- Número de cuenta financiera o número de tarjeta de débito, combinado con cualquier código de seguridad, código de acceso o contraseña requerido que permitiera el acceso a la cuenta
La información personal no incluye la información obtenida lícitamente de fuentes disponibles públicamente o de registros gubernamentales federales, estatales o locales que se ponen lícitamente a disposición del público.
Qué No Cubre la Ley de Indiana
En comparación con muchos estados que han actualizado sus leyes de notificación de filtraciones en años recientes, la definición de información personal de Indiana es notablemente limitada. La ley no cubre:
- Datos biométricos (huellas dactilares, escaneos de retina, huellas de voz)
- Información médica o de salud
- Números de identificación de seguro médico
- Números de pasaporte
- Credenciales de inicio de sesión (nombres de usuario combinados con contraseñas)
- Números de identificación fiscal (distintos de los números de Seguro Social)
Este vacío es particularmente significativo para los datos biométricos. Si bien la ICDPA (IC 24-15) define los datos biométricos y los clasifica como datos personales sensibles que requieren consentimiento antes de su procesamiento, el estatuto de notificación de filtraciones no exige notificación si únicamente se ven comprometidos los datos biométricos. Una empresa podría sufrir una filtración que exponga miles de registros de huellas dactilares pertenecientes a residentes de Indiana y no tener ninguna obligación de notificarles bajo la ley estatal de notificación de filtraciones.

El Cronograma de Notificación de 45 Días
Antes de 2022, la ley de Indiana exigía la notificación "sin demora injustificada", pero no establecía un plazo firme. La HEA 1341 (2022), vigente desde el 1 de julio de 2022, añadió un plazo firme de 45 días.
Conforme al IC 24-4.9-3-3, la notificación debe realizarse sin demora injustificada, pero a más tardar 45 días después del descubrimiento de la filtración. El plazo comienza cuando la entidad descubre la filtración o es notificada de ella, no cuando ocurrió la filtración en sí.
Cuándo se Permite la Demora
Una demora más allá del período inicial de descubrimiento se considera razonable solo si es:
- Necesaria para restaurar la integridad del sistema y prevenir un mayor acceso no autorizado
- Necesaria para determinar el alcance de la filtración
- Solicitada por el Fiscal General o las fuerzas del orden porque la divulgación impediría una investigación penal o civil o pondría en peligro la seguridad nacional
Cuando ocurre una demora bajo estas excepciones, la notificación debe realizarse tan pronto como sea posible una vez que deje de existir el motivo de la demora.
A Quién se Debe Notificar
Personas Afectadas
La obligación principal es notificar a todo residente de Indiana cuya información personal no cifrada haya sido, o pueda haber sido, adquirida por una persona no autorizada. También se requiere notificación para las personas cuya información personal cifrada haya sido adquirida por alguien que también accedió a la clave de cifrado.
El activador de notificación incluye una evaluación de riesgo: la divulgación es obligatoria cuando la entidad sabe, debería saber o debería haber sabido que la filtración ha resultado o podría resultar en engaño de identidad, robo de identidad o fraude.
Fiscal General de Indiana

Se debe notificar al Fiscal General de Indiana de cada filtración que active la notificación al consumidor. Las empresas presentan el Formulario de Notificación de Filtraciones de Datos por correo electrónico a DataBreach@atg.in.gov o por correo postal a la Unidad de Privacidad de Datos y Robo de Identidad en Indiana Government Center South, 5th Floor, 302 West Washington Street, Indianapolis, IN 46204.
Se debe incluir una muestra de la carta de notificación al consumidor junto con la presentación al Fiscal General.
Agencias de Informes Crediticios
Cuando una filtración afecta a más de 1,000 residentes de Indiana, la entidad también debe notificar a las agencias nacionales de informes crediticios. Esta notificación debe incluir información suficiente para ayudar a las agencias a prevenir el fraude, como el momento de la filtración y los tipos de información personal expuesta. Las tres agencias principales y sus contactos para reportar filtraciones son:
- Equifax: SecurityMonitoring@equifax.com
- Experian: BusinessRecordsVictimAssistance@experian.com
- TransUnion: databreach@transunion.com
Cómo Proporcionar la Notificación
La ley de Indiana permite varios métodos para notificar a las personas afectadas:
- Aviso por escrito enviado por correo postal
- Notificación telefónica
- Facsímil (fax)
- Correo electrónico, si se dispone de una dirección de correo electrónico de la persona
Aviso Sustituto
El aviso sustituto está disponible como alternativa cuando el costo de la notificación estándar excedería los $250,000 o cuando la clase afectada excede los 500,000 residentes de Indiana. El aviso sustituto debe consistir en ambos:
- Publicación visible del aviso de filtración en el sitio web de la entidad
- Notificación a los principales medios de comunicación en las áreas geográficas donde viven los residentes afectados
La entidad debe demostrar al Fiscal General que califica para el aviso sustituto antes de usar este método.
Aplicación de la Ley y Sanciones

La ley de notificación de filtraciones de Indiana es aplicada exclusivamente por el Fiscal General de Indiana. No existe un derecho de acción privado. Las personas no pueden demandar directamente a las empresas por no proporcionar la notificación de filtraciones.
Conforme al IC 24-4.9-4-2, el incumplimiento consciente o intencional de los requisitos de notificación constituye un acto engañoso. El Fiscal General puede solicitar:
- Medidas cautelares para detener infracciones en curso
- Sanciones civiles de hasta $150,000 por acto engañoso
- Costos razonables en los que incurra el Fiscal General al investigar y mantener la acción de cumplimiento
Actividad Reciente de Aplicación de la Ley
El Fiscal General de Indiana ha estado activo en la aplicación de la ley sobre filtraciones de datos a través de coaliciones multiestatales:
- Blackbaud (2023): el Fiscal General Todd Rokita co-lideró una coalición de 50 estados que resultó en un acuerdo de $49.5 millones después de que la empresa no implementara prácticas razonables de seguridad de datos y retrasara la notificación de la filtración. Indiana recibió casi $3.6 millones, la participación más grande de cualquier estado.
- Marriott (2024): un acuerdo multiestatal de $52 millones resolvió reclamos de que Marriott no protegió los datos de reservas de huéspedes durante un período de cuatro años, comprometiendo 131.5 millones de registros en Estados Unidos. Indiana recibió más de $900,000.
- Inmediata: el Fiscal General Rokita lideró una coalición de 33 estados contra la cámara de compensación de atención médica por un error de codificación que expuso la información de salud protegida de 1.5 millones de pacientes durante casi tres años.
Cómo Interactúa la ICDPA con la Notificación de Filtraciones
La Ley de Protección de Datos del Consumidor de Indiana (IC 24-15), vigente desde el 1 de enero de 2026, creó un marco integral de privacidad para Indiana. Sin embargo, la ICDPA no contiene sus propios requisitos de notificación de filtraciones. Las empresas sujetas a la ICDPA todavía deben seguir el IC 24-4.9 para la notificación de filtraciones.
La ICDPA sí añade obligaciones relevantes que afectan la preparación ante filtraciones:
- Requisito de seguridad de datos: los controladores deben implementar prácticas razonables de seguridad de datos administrativas, técnicas y físicas para proteger los datos personales.
- Minimización de datos: los controladores deben limitar la recopilación de datos a lo que sea adecuado, relevante y razonablemente necesario para el propósito divulgado. Recopilar menos datos reduce la exposición a filtraciones.
- Consentimiento para datos sensibles: los datos biométricos, la geolocalización precisa y otras categorías sensibles requieren el consentimiento expreso del consumidor antes de su procesamiento. Si bien esto añade protección, no cambia el activador de notificación de filtraciones para esos tipos de datos.
La ICDPA es aplicada por separado por el Fiscal General, con sanciones de hasta $7,500 por infracción y un derecho permanente de subsanación de 30 días antes de cualquier acción de cumplimiento.
Más Leyes de Indiana
- Leyes de Grabación en Reuniones con IA de Indiana
- Leyes de Pensión Alimenticia Conyugal de Indiana
- Leyes de Empleo a Voluntad de Indiana
- Leyes de Accidentes Automovilísticos de Indiana
- Leyes de Asientos de Auto para Niños de Indiana
- Leyes de Custodia de Menores de Indiana
- Leyes de Manutención Infantil de Indiana
- Leyes de Matrimonio de Hecho de Indiana
- Leyes sobre Deepfakes de Indiana
- Leyes de Divorcio de Indiana
- Leyes sobre Mordeduras de Perro de Indiana
- Leyes de Emancipación de Indiana
- Leyes de Eliminación de Antecedentes Penales de Indiana
- Leyes sobre Choque y Fuga de Indiana
- Leyes de Propietarios e Inquilinos de Indiana
- Leyes de Vehículos Defectuosos (Lemon Law) de Indiana
Este artículo ofrece información legal general sobre las leyes de privacidad de datos de Indiana y los requisitos de notificación de filtraciones. No constituye asesoría legal y no crea una relación abogado-cliente. La respuesta ante una filtración de datos implica obligaciones sensibles al tiempo. Consulte a un abogado calificado con licencia en Indiana para obtener orientación específica sobre su situación.
¿Afectado por una filtración de datos o una violación de privacidad biométrica?
Si sus datos personales quedaron expuestos en una filtración, o si su huella dactilar o escaneo facial se recopiló sin su consentimiento, podría ser elegible para unirse a un reclamo por compensación. Averígüelo gratis y sin compromiso.
Fuentes y referencias
- Ind. Code 24-4.9, Divulgación de Violación de Seguridad(iga.in.gov).gov
- Fiscal General de Indiana, Portal de Filtraciones de Seguridad(in.gov).gov
- Fiscal General de Indiana, Preguntas Frecuentes y Formulario de Notificación de Filtraciones de Seguridad(in.gov).gov
- Ind. Code 24-15, Ley de Protección de Datos del Consumidor de Indiana(iga.in.gov).gov
- HEA 1341 (2022), Enmienda del Plazo de 45 Días(iga.in.gov).gov
- Fiscal General Rokita, Acuerdo de $49.5 Millones con Blackbaud(events.in.gov).gov
- Fiscal General Rokita, Acuerdo de $52 Millones con Marriott(events.in.gov).gov