Indiana
Lista de Verificación de Cumplimiento de la INCDPA para Empresas de Indiana

Una empresa cumple con la Ley de Protección de Datos del Consumidor de Indiana (INCDPA) al confirmar que cumple con los umbrales del IC 24-15-1-1, publicar un aviso de privacidad que cubra los elementos del IC 24-15-4-3, obtener consentimiento expreso (opt-in) antes de procesar datos sensibles, construir un flujo de trabajo de solicitudes y apelaciones de los consumidores, realizar evaluaciones de protección de datos para el procesamiento de alto riesgo, y firmar acuerdos de procesamiento de datos con cada encargado del tratamiento. La ley entra en vigor el 1 de enero de 2026, el plazo de preparación más largo que cualquier estado ha otorgado.
A partir de 2026, la aplicación de la ley corresponde únicamente al Fiscal General de Indiana bajo el IC 24-15-10. Un controlador obtiene un período de subsanación de 30 días bajo el IC 24-15-10-3 que no tiene fecha de vencimiento, pero una infracción no subsanada puede acarrear una sanción civil de hasta $7,500 cada una bajo el IC 24-15-10-2. No existe un derecho de acción privado.
Alcance jurisdiccional: Esto cubre la Ley de Protección de Datos del Consumidor de Indiana (Código de Indiana, Artículo 24-15). Es información legal general, no asesoría legal.
Paso 1: Confirme si la INCDPA se Aplica
La primera tarea es la prueba de aplicabilidad del IC 24-15-1-1. La ley alcanza a toda persona que realiza negocios en Indiana, o produce productos o servicios dirigidos a los residentes de Indiana, y que durante un año calendario controla o procesa datos personales de al menos 100,000 consumidores de Indiana, O de al menos 25,000 consumidores de Indiana mientras obtiene más del 50% de los ingresos brutos de la venta de datos personales.
Cuente con cuidado. Un "consumidor" es un residente de Indiana que actúa en un contexto individual o doméstico, por lo que los empleados, los solicitantes de empleo y los contactos entre empresas no cuentan. Muchas empresas medianas quedan por debajo del umbral de 100,000 consumidores y completamente fuera de la ley.
Luego verifique las exenciones de entidad en el IC 24-15-1-1. El artículo no se aplica al estado y sus agencias y subdivisiones políticas, a las instituciones financieras cubiertas por la GLBA, a las entidades cubiertas por HIPAA y sus asociados comerciales, a las organizaciones sin fines de lucro, ni a las instituciones de educación superior. Si se aplica una exención total de entidad, el análisis puede terminar allí.
Finalmente, revise las exenciones de datos en el IC 24-15-1-2 para los datos ya regulados por HIPAA, la Ley de Informe Justo de Crédito, la Ley de Protección de la Privacidad del Conductor, la FERPA, la Ley de Crédito Agrícola y la COPPA. Una empresa cubierta aún podría necesitar un programa para sus datos no exentos, incluso si gran parte de sus datos están excluidos.
Paso 2: Redacte un Aviso de Privacidad Conforme
Los controladores cubiertos deben publicar un aviso de privacidad. El IC 24-15-4-3 exige un aviso razonablemente accesible, claro y significativo que incluya cinco elementos, y un aviso que omita alguno de ellos no cumple con la ley.
El aviso debe divulgar: las categorías de datos personales que procesa el controlador; el propósito del procesamiento; cómo pueden los consumidores ejercer sus derechos bajo el Capítulo 3, incluyendo cómo apelar una decisión del controlador; las categorías de datos personales que el controlador comparte con terceros, si las hay; y las categorías de terceros con quienes comparte datos personales.
Debido a que la INCDPA refleja a Virginia, una empresa que ya mantiene un aviso conforme con la VCDPA generalmente puede adaptarlo para Indiana con cambios mínimos. Los elementos requeridos son casi idénticos.
Por separado, el IC 24-15-4-4 impone una divulgación de exclusión. Si el controlador vende datos personales o los utiliza para publicidad dirigida, debe divulgar de manera clara y visible esa actividad y la forma en que un consumidor puede excluirse. Esta divulgación es distinta del aviso de privacidad general y debe ser inequívoca.
Paso 3: Maneje los Datos Sensibles con Consentimiento Expreso (Opt-In)
Indiana adopta la ruta más estricta de opt-in para los datos sensibles. Conforme al IC 24-15-4-1(5), un controlador "no procesará datos sensibles relacionados con un consumidor sin obtener el consentimiento del consumidor". No existe una alternativa de aviso y exclusión como la que hay en Iowa o Utah.
Los datos sensibles se definen en el IC 24-15-2-28. Incluyen los datos personales que revelan el origen racial o étnico, las creencias religiosas, un diagnóstico de salud mental o física, la orientación sexual, o el estatus de ciudadanía o migratorio, además de los datos genéticos o biométricos utilizados para identificar de manera única a una persona, los datos recopilados de un niño conocido, y los datos de geolocalización precisa dentro de un radio de 1,750 pies.
Para un niño conocido, el IC 24-15-4-1(5) exige al controlador procesar los datos de conformidad con la Ley federal de Protección de la Privacidad Infantil en Línea, en lugar de depender del consentimiento ordinario. Construya un flujo de consentimiento que capture, registre y pueda demostrar posteriormente el opt-in para cada uso de datos sensibles.
Primero, mapee sus datos. Muchas empresas descubren que recopilan datos sensibles, como la ubicación precisa o campos relacionados con la salud, sin un mecanismo de consentimiento. Identificar esos flujos antes del 1 de enero de 2026 es el núcleo práctico de este paso.

Paso 4: Construya el Flujo de Trabajo de Solicitudes y Apelaciones de los Consumidores
Un controlador cubierto debe poder recibir y cumplir con los cinco derechos del IC 24-15-3-1: confirmar y acceder, corregir, eliminar, portabilidad, y las tres exclusiones. Establezca canales de recepción seguros y un proceso de verificación de identidad antes de la fecha de entrada en vigor.
Cumpla con los plazos. Conforme al IC 24-15-3-1(c)(1), responda dentro de los 45 días, con una extensión opcional de 45 días que debe anunciar dentro de los primeros 45 días. Conforme al IC 24-15-3-1(c)(3), proporcione la información de forma gratuita hasta una vez al año por consumidor, cobrando solo por solicitudes manifiestamente excesivas, y solo cuando pueda demostrar que la solicitud es excesiva.
Construya el proceso de apelación. El IC 24-15-3-1(d) exige un mecanismo de apelación visible, similar al mecanismo de solicitud, con una decisión por escrito dentro de los 60 días. Si deniega una apelación, debe proporcionar al consumidor una forma de contactar al Fiscal General de Indiana para presentar una queja.
Recuerde la disposición para datos de terceros. Conforme al IC 24-15-3-1(c)(5), si obtuvo los datos de una fuente distinta al consumidor, cumple con una solicitud de eliminación conservando únicamente un registro de la solicitud y los datos mínimos necesarios para mantener suprimidos los datos del consumidor, sin usarlos para ningún otro propósito.
Paso 5: Realice Evaluaciones de Impacto en la Protección de Datos
Indiana exige evaluaciones de impacto en la protección de datos para el procesamiento de mayor riesgo. El IC 24-15-6-1 enumera las actividades que activan una evaluación, y el requisito se aplica a las actividades de procesamiento creadas o generadas después del 31 de diciembre de 2025.
Un controlador debe realizar y documentar una evaluación para: el procesamiento con fines de publicidad dirigida; la venta de datos personales; la elaboración de perfiles que presente un riesgo razonablemente previsible de trato injusto o engañoso, perjuicio financiero, físico o reputacional, intrusión en la soledad, u otro perjuicio sustancial; el procesamiento de datos sensibles; y cualquier procesamiento que presente un riesgo elevado de daño para los consumidores.
Cada evaluación debe sopesar los beneficios del procesamiento frente a los riesgos para el consumidor, mitigados por las salvaguardas, y debe tener en cuenta la desidentificación, las expectativas del consumidor y el contexto de la relación entre el controlador y el consumidor. Una sola evaluación puede cubrir un conjunto comparable de operaciones de procesamiento similares.
Una evaluación realizada para otra ley o regulación puede satisfacer la INCDPA si tiene un alcance y efecto razonablemente comparables, por lo que una evaluación del RGPD o de la VCDPA a menudo puede reutilizarse. Conserve estas evaluaciones porque el Fiscal General puede exigir su divulgación durante una investigación.

Paso 6: Establezca Contratos con los Encargados del Tratamiento
La INCDPA distingue a los controladores de los encargados del tratamiento y exige un contrato entre ellos, siguiendo el modelo de Virginia en el Capítulo 5. Un encargado del tratamiento que maneja datos personales en nombre de un controlador debe hacerlo bajo un acuerdo vinculante.
Ese contrato debe establecer las instrucciones de procesamiento, la naturaleza y el propósito del procesamiento, el tipo de datos, la duración, y los derechos y obligaciones de ambas partes. También debe obligar al encargado del tratamiento a mantener la confidencialidad, a ayudar al controlador a responder a las solicitudes de los consumidores, a eliminar o devolver los datos al finalizar la relación, y a trasladar los mismos términos a cualquier subcontratista.
Haga un inventario de cada proveedor que maneje datos personales de residentes de Indiana: proveedores de alojamiento en la nube, proveedores de análisis, plataformas de marketing y herramientas de soporte. Cada uno necesita un acuerdo de procesamiento de datos que satisfaga el Capítulo 5 antes de que la relación continúe más allá de la fecha de entrada en vigor.
Clasificar erróneamente a un encargado del tratamiento como un simple proveedor es una brecha común. Si un proveedor de servicios determina los propósitos y los medios del procesamiento, podría ser en sí mismo un controlador con deberes independientes, lo que cambia el contrato y la postura de cumplimiento.
Paso 7: Planifique la Aplicación de la Ley y la Subsanación de 30 Días
La INCDPA es aplicada únicamente por el Fiscal General de Indiana. El IC 24-15-10-1 otorga autoridad exclusiva de aplicación, y el Capítulo 9 otorga al Fiscal General herramientas de investigación, incluida la capacidad de exigir información.
La exposición a sanciones está establecida por el IC 24-15-10-2: una medida cautelar más una sanción civil de hasta $7,500 por cada infracción, y el Fiscal General puede recuperar los gastos razonables de investigación y litigio. No existe un derecho de acción privado, por lo que el riesgo es de naturaleza regulatoria en lugar de estar impulsado por demandas colectivas.
Indiana ofrece un período de subsanación permanente. Conforme al IC 24-15-10-3, antes de iniciar una acción, el Fiscal General debe dar un aviso por escrito de 30 días que identifique las disposiciones específicas presuntamente infringidas. Si el controlador subsana la infracción dentro de los 30 días y proporciona una declaración expresa por escrito de que la infracción ha sido subsanada y que se tomaron medidas para prevenir su recurrencia, el Fiscal General "no iniciará una acción". A diferencia de varios estados cuyos derechos de subsanación vencen, el de Indiana no tiene fecha de vencimiento, por lo que la oportunidad de subsanación permanece disponible indefinidamente.
Cumplimiento de la INCDPA de un Vistazo
| Requisito | Cita de la INCDPA de Indiana | Punto clave |
|---|---|---|
| Aplicabilidad | IC 24-15-1-1 | 100,000 consumidores, o 25,000 más el 50% de ingresos por venta |
| Aviso de privacidad | IC 24-15-4-3 | Cinco elementos de divulgación requeridos |
| Datos sensibles | IC 24-15-4-1(5) | Consentimiento opt-in; COPPA para niños |
| Divulgación de exclusión | IC 24-15-4-4 | Divulgar exclusiones de venta y publicidad dirigida; sin mandato de UOOM |
| Solicitudes de consumidores | IC 24-15-3-1(c) | Respuesta de 45 días, una extensión de 45 días |
| Apelaciones | IC 24-15-3-1(d) | Decisión de 60 días; derivar al Fiscal General |
| Evaluaciones | IC 24-15-6-1 | Obligatorias para el procesamiento de alto riesgo |
| Aplicación de la ley | IC 24-15-10 | Solo el Fiscal General; subsanación de 30 días; hasta $7,500 por infracción |
Más Leyes de Indiana
- Leyes de Grabación en Reuniones con IA de Indiana
- Leyes de Pensión Alimenticia Conyugal de Indiana
- Leyes de Empleo a Voluntad de Indiana
- Leyes de Accidentes Automovilísticos de Indiana
- Leyes de Asientos de Auto para Niños de Indiana
- Leyes de Custodia de Menores de Indiana
- Leyes de Manutención Infantil de Indiana
- Leyes de Matrimonio de Hecho de Indiana
- Leyes sobre Deepfakes de Indiana
- Leyes de Divorcio de Indiana
- Leyes sobre Mordeduras de Perro de Indiana
- Leyes de Emancipación de Indiana
- Leyes de Eliminación de Antecedentes Penales de Indiana
- Leyes sobre Choque y Fuga de Indiana
- Leyes de Propietarios e Inquilinos de Indiana
- Leyes de Vehículos Defectuosos (Lemon Law) de Indiana
Guías Relacionadas
- Leyes de Privacidad de Datos de Indiana (centro de la INCDPA)
- ¿Qué es la INCDPA? La Ley de Privacidad de Datos de Indiana Explicada
- Derechos del Consumidor bajo la INCDPA: Qué Pueden Hacer los Residentes de Indiana
- Comparación de Leyes Estatales de Privacidad de EE. UU.
- ¿Qué es la CCPA? La Ley de Privacidad de California Explicada
Preguntas frecuentes
¿Cuándo deben las empresas cumplir con la INCDPA?
La INCDPA entra en vigor el 1 de enero de 2026. El gobernador Eric Holcomb la firmó como el Proyecto de Ley del Senado 5 el 1 de mayo de 2023, dando a las empresas aproximadamente dos años y medio para prepararse, el plazo de preparación más largo de cualquier ley de privacidad estatal. Las obligaciones de cumplimiento comienzan en la fecha de entrada en vigor del 1 de enero de 2026.
¿Cómo sabe una empresa si la INCDPA se le aplica?
Conforme al IC 24-15-1-1, la INCDPA se aplica a una empresa que opera en Indiana o que se dirige a los residentes de Indiana y que, en un año calendario, controla o procesa datos personales de al menos 100,000 consumidores de Indiana, o de al menos 25,000 consumidores de Indiana mientras obtiene más del 50% de los ingresos brutos de la venta de datos personales. Los empleados y los contactos comerciales no se cuentan como consumidores.
¿La INCDPA exige respetar las señales universales de exclusión?
No. La INCDPA no exige un mecanismo universal de exclusión. El IC 24-15-4-4 exige a un controlador que vende datos o los utiliza para publicidad dirigida divulgar de manera clara y visible esa actividad y cómo excluirse, pero no exige reconocer señales del navegador como el Control de Privacidad Global, a diferencia de Colorado y Connecticut.
¿Qué debe incluir un aviso de privacidad de la INCDPA?
Conforme al IC 24-15-4-3, el aviso de privacidad debe ser razonablemente accesible, claro y significativo, y debe divulgar las categorías de datos personales procesados, el propósito del procesamiento, cómo pueden los consumidores ejercer y apelar sus derechos, las categorías de datos compartidos con terceros, y las categorías de esos terceros.
¿La INCDPA exige consentimiento para los datos sensibles?
Sí. Conforme al IC 24-15-4-1(5), un controlador no puede procesar datos sensibles sin obtener el consentimiento expreso (opt-in) del consumidor, y debe seguir la ley federal COPPA para un niño conocido. Los datos sensibles se definen en el IC 24-15-2-28 e incluyen salud, biometría, geolocalización, estatus migratorio y otras categorías.
¿Se requieren evaluaciones de protección de datos bajo la INCDPA?
Sí. El IC 24-15-6-1 exige a los controladores realizar y documentar evaluaciones de impacto en la protección de datos para la publicidad dirigida, la venta de datos personales, la elaboración de perfiles riesgosa, el procesamiento de datos sensibles y cualquier procesamiento que presente un riesgo elevado de daño. Una evaluación realizada para otra ley con un alcance comparable puede reutilizarse.
¿Cuáles son las sanciones por violar la INCDPA?
Conforme al IC 24-15-10-2, el Fiscal General de Indiana puede solicitar una medida cautelar y una sanción civil de hasta $7,500 por infracción, más los gastos razonables de investigación y litigio. Antes de demandar, el Fiscal General debe otorgar un período de subsanación de 30 días conforme al IC 24-15-10-3, que es permanente. No existe un derecho de acción privado.
¿Es permanente el período de subsanación de la INCDPA?
Sí. El período de subsanación de 30 días del IC 24-15-10-3 no tiene fecha de vencimiento. Si un controlador subsana una presunta infracción dentro de los 30 días posteriores al aviso por escrito del Fiscal General y proporciona una declaración expresa por escrito de subsanación y no recurrencia, el Fiscal General no iniciará una acción. Esta oportunidad de subsanación permanece disponible indefinidamente.
Fuentes y referencias
- Código de Indiana 24-15-1-1: Aplicabilidad y Exenciones de Entidad(iga.in.gov).gov
- Código de Indiana 24-15-4-3: Requisitos del Aviso de Privacidad(iga.in.gov).gov
- Código de Indiana 24-15-4-1: Responsabilidades del Controlador; Consentimiento para Datos Sensibles(iga.in.gov).gov
- Código de Indiana 24-15-4-4: Divulgación de Exclusión para Venta y Publicidad Dirigida(iga.in.gov).gov
- Código de Indiana 24-15-3-1: Solicitudes de Consumidores, Plazos de Respuesta y Apelaciones(iga.in.gov).gov
- Código de Indiana 24-15-6-1: Evaluaciones de Impacto en la Protección de Datos(iga.in.gov).gov
- Código de Indiana 24-15-10-2: Medida Cautelar y Sanción Civil(iga.in.gov).gov
- Código de Indiana 24-15-10-3: Período de Subsanación de 30 Días(iga.in.gov).gov
- Código de Indiana, Artículo 24-15: Protección de Datos del Consumidor (Texto Completo)(iga.in.gov).gov
- Fiscal General de Indiana: Protección al Consumidor(in.gov).gov
- Proyecto de Ley del Senado 5 de Indiana (2023): Protección de Datos del Consumidor(iga.in.gov).gov