Indiana
¿Qué es la INCDPA? La Ley de Privacidad de Datos de Indiana

La Ley de Protección de Datos del Consumidor de Indiana (INCDPA) es la ley integral de privacidad de datos del consumidor de Indiana, codificada en el Artículo 24-15 del Código de Indiana (Capítulos 1 a 11). La legislatura la aprobó como el Proyecto de Ley del Senado 5, el Gobernador Eric Holcomb la firmó el 1 de mayo de 2023, y entra en vigor el 1 de enero de 2026. Otorga a los residentes de Indiana un conjunto completo de derechos al estilo de Virginia sobre sus datos personales, mientras sigue el marco de controlador y procesador que ahora comparten la mayoría de las leyes estatales.
A partir de 2026, el Fiscal General de Indiana tiene autoridad exclusiva para hacer cumplir la INCDPA conforme al IC 24-15-10-1, con sanciones civiles de hasta $7,500 por infracción. Antes de cualquier acción, un controlador obtiene un período de 30 días para subsanar la presunta infracción conforme al IC 24-15-10-3, y ese derecho de subsanación no tiene fecha de expiración. No existe derecho de acción privado.
Alcance jurisdiccional: Esto cubre la Ley de Protección de Datos del Consumidor de Indiana (Código de Indiana, Artículo 24-15). Es información legal general, no asesoría legal.
Qué es la INCDPA: Ley, Promulgación y Fecha de Vigencia
La Ley de Protección de Datos del Consumidor de Indiana es la primera ley integral de privacidad de datos del consumidor de Indiana. Está codificada en el Artículo 24-15 del Código de Indiana, que abarca desde el Capítulo 1 (Aplicabilidad) hasta el Capítulo 11 (Prelación; Otras Leyes), con las definiciones en el Capítulo 2, los derechos del consumidor en el Capítulo 3, los deberes del controlador en el Capítulo 4, y la aplicación en el Capítulo 10.
La legislatura la aprobó como el Proyecto de Ley del Senado 5 durante la sesión de 2023, y el Gobernador Eric Holcomb la firmó el 1 de mayo de 2023. Cada sección del artículo lleva la anotación de fecha de vigencia "Sección vigente a partir del 1 de enero de 2026", confirmando un inicio retrasado incorporado directamente en el texto.
Ese plazo es la característica más distintiva de la ley. Indiana otorgó a las empresas cubiertas aproximadamente dos años y medio entre la firma y la vigencia, el plazo más largo de cualquier ley estatal de privacidad del país. Mientras que Virginia, Colorado y Connecticut pasaron de la firma a la vigencia en bastante menos de dos años, Indiana empujó deliberadamente su fecha de inicio al 1 de enero de 2026.
Cuando promulgó el SB 5, Indiana se convirtió en el séptimo estado en aprobar una ley amplia de privacidad del consumidor, siguiendo a California, Virginia, Colorado, Connecticut, Utah e Iowa. La INCDPA se ubica en el linaje de Virginia en lugar del de California, usando el mismo vocabulario de controlador y procesador y la misma estructura de derechos de exclusión.
El Clon de Virginia: Por Qué Indiana se Modeló en la VCDPA
Los comentaristas describen consistentemente a la INCDPA como una copia cercana de la Ley de Protección de Datos del Consumidor de Virginia (VCDPA). Las dos leyes comparten los mismos umbrales de cobertura, la misma lista de cinco derechos, el mismo tratamiento de consentimiento previo para datos sensibles, y el mismo diseño de aplicación exclusiva por el fiscal general.
Ese linaje importa para el cumplimiento. Una empresa que ya construyó un programa para la VCDPA puede reutilizarlo en gran medida para Indiana, porque los deberes sustantivos coinciden casi sección por sección. Los elementos del aviso de privacidad, el proceso de apelación, y los factores que activan las evaluaciones de impacto de protección de datos son todos reconociblemente de origen virginiano.
Indiana sí hizo sus propias elecciones en algunas cifras. El período de subsanación es de 30 días en lugar de los 30 días originales de Virginia que luego expiraron, y el derecho de subsanación de Indiana es permanente y no tiene fecha de expiración. La fecha de vigencia, el 1 de enero de 2026, también es mucho más tardía que el inicio del 1 de enero de 2023 de Virginia.
La conclusión práctica es que la INCDPA es una ley estatal de privacidad convencional, de nivel intermedio. No es ni la más estricta (California, Colorado) ni la más favorable para las empresas (Iowa, Utah), y la plantilla de Virginia es el mejor modelo mental para entenderla.

A Quién Cubre la INCDPA: Los Umbrales del IC 24-15-1-1
La prueba de aplicabilidad en el IC 24-15-1-1 controla quién debe cumplir. El artículo se aplica a una persona que realiza negocios en Indiana, o que produce productos o servicios dirigidos a residentes de Indiana, que durante un año calendario cumple con uno de dos umbrales.
Primero, la empresa "controla o procesa datos personales de al menos cien mil (100,000) consumidores que son residentes de Indiana". Segundo, la empresa "controla o procesa datos personales de al menos veinticinco mil (25,000) consumidores que son residentes de Indiana y deriva más del cincuenta por ciento (50%) de sus ingresos brutos de la venta de datos personales".
Un "consumidor" se define en el Capítulo 2 como una persona física residente de Indiana que actúa únicamente en un contexto individual o doméstico. La definición excluye a una persona que actúa en un contexto comercial o laboral, por lo que los contactos comerciales y los empleados no cuentan para los umbrales.
Indiana no combina sus umbrales de datos con un piso de ingresos separado. Una empresa cumple la prueba al alcanzar la marca de 100,000 consumidores, o la marca de 25,000 consumidores más venta de datos, sin importar los ingresos totales. Las pequeñas empresas por debajo de esos volúmenes de datos quedan completamente fuera de la INCDPA.
Exenciones bajo el IC 24-15-1-1 y el IC 24-15-1-2
Incluso entre las empresas que superan el umbral, el Capítulo 1 elimina categorías completas de organizaciones y datos del alcance de la ley. Estas exenciones son tanto basadas en la entidad como en los datos, siguiendo el patrón establecido por Virginia y las demás leyes estatales.
En el lado de las entidades, el IC 24-15-1-1 establece que el artículo no se aplica al estado, a una agencia estatal, o a una subdivisión política; a una institución financiera o datos sujetos al Título V de la Ley federal Gramm-Leach-Bliley; a una entidad cubierta o asociado comercial regido por la HIPAA y sus regulaciones en 45 CFR Partes 160 y 164; a una organización sin fines de lucro; o a una institución de educación superior. Las exenciones para organizaciones sin fines de lucro e instituciones de educación superior son exenciones completas de entidad, por lo que las organizaciones benéficas y las universidades generalmente quedan fuera de la ley incluso cuando manejan grandes volúmenes de datos de residentes de Indiana.
En el lado de los datos, el IC 24-15-1-2 excluye la información de salud protegida bajo la HIPAA, la información de identificación de pacientes, los datos de investigación con sujetos humanos, y la información regulada por leyes federales como la Ley de Reporte Justo de Crédito, la Ley de Protección de la Privacidad del Conductor, la Ley de Derechos Educativos y Privacidad Familiar, y la Ley de Crédito Agrícola. Los datos relacionados con el empleo y los datos procesados conforme a la Ley federal de Protección de la Privacidad Infantil en Internet también están excluidos.
La conclusión práctica es que los bancos, las cooperativas de crédito, los hospitales, las escuelas, y las agencias estatales generalmente operan fuera de la INCDPA en cuanto a los datos que esas leyes federales ya regulan. La lista de exenciones de Indiana es amplia y coincide estrechamente con la de Virginia.
La Regla de Consentimiento Previo para Datos Sensibles y la Elección de No Exigir un UOOM
Indiana adopta el enfoque más estricto, de consentimiento previo, para los datos sensibles. Conforme al IC 24-15-4-1(5), un controlador "no procesará datos sensibles concernientes a un consumidor sin obtener el consentimiento del consumidor", y en el caso de un menor conocido debe en cambio procesar los datos de conformidad con la Ley federal de Protección de la Privacidad Infantil en Internet.
Eso es consentimiento previo, el mismo enfoque que usan Virginia, Colorado, Connecticut y la mayoría de los demás estados, y lo opuesto al modelo de aviso y exclusión de Utah e Iowa. Los datos sensibles se definen en el IC 24-15-2-28 para incluir los datos personales que revelan el origen racial o étnico, las creencias religiosas, un diagnóstico de salud mental o física, la orientación sexual, o el estatus de ciudadanía o inmigración, además de los datos genéticos o biométricos usados para identificar de manera única a una persona, los datos personales recopilados de un menor conocido, y los datos de geolocalización precisa que ubican a una persona dentro de un radio de 1,750 pies.
En cuanto a las señales de exclusión, Indiana tomó la decisión favorable a las empresas. El IC 24-15-4-4 exige que un controlador que vende datos personales o los usa para publicidad dirigida "divulgue de manera clara y visible" esa actividad y cómo puede un consumidor optar por no participar, pero la ley no exige que el controlador reconozca un mecanismo universal de exclusión. No existe obligación de respetar el Global Privacy Control ni señales similares a nivel de navegador, un deber que sí imponen Colorado, Connecticut y varios otros estados.

Aplicación, la Subsanación de 30 Días, y Ningún Derecho de Acción Privado
La INCDPA se aplica únicamente a través del Fiscal General. El IC 24-15-10-1 establece que "el fiscal general tiene autoridad exclusiva para hacer cumplir las disposiciones de este artículo", respaldado por la autoridad investigativa del Capítulo 9.
Conforme al IC 24-15-10-2, el Fiscal General puede iniciar una acción en nombre del estado, buscar una medida cautelar para restringir infracciones, y recuperar una sanción civil "que no exceda los siete mil quinientos dólares ($7,500) por cada infracción". El Fiscal General también puede recuperar gastos razonables de investigación y litigio.
Antes de presentar una demanda, el IC 24-15-10-3 exige que el Fiscal General otorgue al controlador o procesador 30 días de aviso por escrito identificando las disposiciones específicas presuntamente infringidas. Si la empresa subsana la infracción dentro de ese plazo y proporciona una declaración expresa por escrito de que la infracción ha sido subsanada y que se han tomado medidas para prevenir su recurrencia, el Fiscal General "no iniciará una acción". A diferencia de varios estados cuyos derechos de subsanación expiran, la subsanación de 30 días de Indiana no tiene fecha de expiración y es una característica permanente de la ley. El artículo no contiene ningún derecho de acción privado, por lo que los residentes individuales de Indiana no pueden demandar directamente a una empresa conforme a la INCDPA.
INCDPA vs. CCPA: Las Diferencias Clave
Las empresas que operan a nivel nacional a menudo comparan la ley de Indiana con la CCPA de California. Nuestra página de comparación de leyes de privacidad estatales cubre el panorama completo de múltiples estados, pero algunas distinciones entre la INCDPA y la CCPA de California son las más importantes.
| Característica | Indiana INCDPA (Art. 24-15) | California CCPA |
|---|---|---|
| Modelo legal | Clon de la VCDPA de Virginia | California sui generis |
| Datos sensibles | Consentimiento previo (24-15-4-1(5)) | Derecho a limitar el uso |
| Señal universal de exclusión | No exigida (24-15-4-4) | Exigida (GPC) |
| Plazo de respuesta | 45 días (24-15-3-1(c)) | 45 días |
| Período de subsanación | 30 días, permanente (24-15-10-3) | Ninguno a partir de 2023 |
| Derecho de acción privado | Ninguno | Limitado, para violaciones de datos |
Modelo y derechos. La INCDPA sigue la plantilla de Virginia, otorgando acceso, corrección, eliminación, portabilidad, y tres exclusiones conforme al IC 24-15-3-1. La CCPA de California usa una estructura diferente construida en torno a un derecho a limitar el uso de información personal sensible y un derecho a optar por no participar en el intercambio para publicidad conductual entre contextos.
Señales de exclusión. California exige a las empresas respetar las señales de preferencia de exclusión como el Global Privacy Control. Indiana no; el IC 24-15-4-4 solo exige la divulgación de cómo optar por no participar, dejando el reconocimiento de la señal universal como voluntario.
Remedios. California conserva un derecho de acción privado limitado para ciertas violaciones de datos, con daños estatutarios. La INCDPA no tiene ningún derecho de acción privado; conforme al IC 24-15-10, solo el Fiscal General de Indiana puede hacer cumplir la ley.
Más Leyes de Indiana
- Leyes de Grabación de Reuniones con IA de Indiana
- Leyes de Pensión Alimenticia de Indiana
- Leyes de Empleo a Voluntad de Indiana
- Leyes de Accidentes de Auto de Indiana
- Leyes de Asientos de Seguridad para Niños de Indiana
- Leyes de Custodia de los Hijos de Indiana
- Leyes de Manutención de los Hijos de Indiana
- Leyes de Matrimonio de Hecho de Indiana
- Leyes de Deepfake de Indiana
- Leyes de Divorcio de Indiana
- Leyes de Mordedura de Perro de Indiana
- Leyes de Emancipación de Indiana
- Leyes de Eliminación de Antecedentes de Indiana
- Leyes de Atropello y Fuga de Indiana
- Leyes de Propietarios e Inquilinos de Indiana
- Leyes Limón de Indiana
Guías relacionadas
- Leyes de Privacidad de Datos de Indiana (centro de la INCDPA)
- Derechos del Consumidor bajo la INCDPA: Lo Que Pueden Hacer los Residentes de Indiana
- Lista de Verificación de Cumplimiento de la INCDPA para Empresas
- Comparación de Leyes de Privacidad Estatales de EE. UU.
- ¿Qué es la CCPA? La Ley de Privacidad de California Explicada
Preguntas frecuentes
¿Qué es la INCDPA?
La INCDPA, o Ley de Protección de Datos del Consumidor de Indiana, es la ley integral de privacidad de datos del consumidor de Indiana, codificada en el Artículo 24-15 del Código de Indiana (Capítulos 1 a 11). Fue promulgada como el Proyecto de Ley del Senado 5, firmada por el Gobernador Eric Holcomb el 1 de mayo de 2023, y entra en vigor el 1 de enero de 2026. Otorga a los residentes de Indiana un conjunto completo de derechos al estilo de Virginia sobre sus datos personales y es aplicada exclusivamente por el Fiscal General de Indiana.
¿Cuándo entra en vigor la Ley de Protección de Datos del Consumidor de Indiana?
La INCDPA entra en vigor el 1 de enero de 2026, aproximadamente dos años y medio después de que el Gobernador Eric Holcomb firmó el Proyecto de Ley del Senado 5 el 1 de mayo de 2023. Ese lapso es el plazo más largo de cualquier ley estatal de privacidad, dando a las empresas cubiertas más tiempo de preparación que cualquier ley comparable para construir avisos de privacidad y procesos de solicitudes del consumidor.
¿A quién se aplica la INCDPA?
Conforme al IC 24-15-1-1, la INCDPA se aplica a una empresa que opera en Indiana o que dirige sus servicios a residentes de Indiana y que, durante un año calendario, controla o procesa datos personales de al menos 100,000 consumidores de Indiana, o controla o procesa datos personales de al menos 25,000 consumidores de Indiana mientras deriva más del 50% de sus ingresos brutos de la venta de datos personales. Los residentes de Indiana que actúan en un contexto comercial o laboral no cuentan como consumidores.
¿La ley de privacidad de Indiana se basa en la de Virginia?
Sí. La INCDPA sigue de cerca la Ley de Protección de Datos del Consumidor de Virginia (VCDPA). Usa los mismos umbrales de cobertura, la misma lista de cinco derechos, el mismo tratamiento de consentimiento previo para datos sensibles, y la misma aplicación exclusiva por el fiscal general. Una empresa que construyó un programa para la VCDPA puede reutilizarlo en gran medida para Indiana, porque los deberes sustantivos coinciden casi sección por sección.
¿La INCDPA exige respetar las señales universales de exclusión?
No. La INCDPA no exige un mecanismo universal de exclusión. El IC 24-15-4-4 exige que un controlador divulgue de manera clara y visible cómo puede un consumidor optar por no participar en la venta de datos personales y la publicidad dirigida, pero no exige que el controlador reconozca señales a nivel de navegador como el Global Privacy Control, a diferencia de Colorado, Connecticut y varios otros estados.
¿Cómo maneja la INCDPA los datos sensibles?
La INCDPA usa un modelo de consentimiento previo. Conforme al IC 24-15-4-1(5), un controlador no puede procesar datos sensibles sin obtener el consentimiento del consumidor, y debe seguir la COPPA federal en el caso de un menor conocido. Los datos sensibles se definen en el IC 24-15-2-28 e incluyen el origen racial o étnico, las creencias religiosas, un diagnóstico de salud, la orientación sexual, el estatus de ciudadanía o inmigración, los identificadores genéticos o biométricos, los datos de un menor conocido, y la geolocalización precisa.
¿Qué entidades están exentas de la INCDPA?
El IC 24-15-1-1 exime al estado y sus agencias y subdivisiones políticas, a las instituciones financieras cubiertas por la GLBA, a las entidades cubiertas y asociados comerciales de la HIPAA, a las organizaciones sin fines de lucro, y a las instituciones de educación superior. El IC 24-15-1-2 también exime los datos regidos por la HIPAA, la Ley de Reporte Justo de Crédito, la Ley de Protección de la Privacidad del Conductor, la FERPA, la Ley de Crédito Agrícola, y la COPPA, además de la mayoría de los datos relacionados con el empleo.
¿Cómo se aplica la INCDPA?
El Fiscal General de Indiana tiene autoridad exclusiva de aplicación conforme al IC 24-15-10-1. Antes de demandar, el Fiscal General debe dar a una empresa 30 días de aviso por escrito y una oportunidad de subsanar conforme al IC 24-15-10-3, un derecho de subsanación que no tiene fecha de expiración. Si la empresa no subsana, las sanciones alcanzan hasta $7,500 por infracción conforme al IC 24-15-10-2. No existe derecho de acción privado.
Fuentes y referencias
- Código de Indiana Artículo 24-15: Protección de Datos del Consumidor (Texto Completo)(iga.in.gov).gov
- Código de Indiana 24-15-1-1: Aplicabilidad a Personas; Excepciones(iga.in.gov).gov
- Código de Indiana 24-15-1-2: Información y Datos Exentos(iga.in.gov).gov
- Código de Indiana 24-15-2-28: Definición de Datos Sensibles(iga.in.gov).gov
- Código de Indiana 24-15-3-1: Datos Personales; Derechos del Consumidor(iga.in.gov).gov
- Código de Indiana 24-15-4-1: Responsabilidades del Controlador; Consentimiento para Datos Sensibles(iga.in.gov).gov
- Código de Indiana 24-15-4-4: Divulgación de Exclusión para Venta y Publicidad Dirigida(iga.in.gov).gov
- Código de Indiana 24-15-10: Aplicación y Sanciones(iga.in.gov).gov
- Proyecto de Ley del Senado de Indiana 5 (2023): Protección de Datos del Consumidor(iga.in.gov).gov
- Fiscal General de Indiana: Protección al Consumidor(in.gov).gov