Iowa
Leyes de Privacidad de Datos de Iowa: Guía de Derechos del Consumidor de la ICDPA (2026)

La Ley de Protección de Datos del Consumidor de Iowa (ICDPA), codificada como el Capítulo 715D del Código de Iowa, entró en vigor el 1 de enero de 2025, otorgando a los consumidores de Iowa cuatro derechos sobre sus datos personales: acceso, eliminación, portabilidad, y exclusión de ventas. El Fiscal General de Iowa aplica la ley de manera exclusiva, con sanciones civiles que alcanzan los $7,500 por infracción.
Iowa tiene dos leyes principales de privacidad de datos que los residentes y las empresas deben entender. La Ley de Protección de Datos del Consumidor de Iowa (ICDPA), que se encuentra en el Capítulo 715D del Código de Iowa, establece derechos integrales del consumidor sobre los datos personales en poder de las empresas cubiertas. La ley estatal de notificación de violaciones de datos, el Capítulo 715C del Código de Iowa, exige notificación cuando se compromete información personal.
En conjunto, estas leyes crean un marco protector que es notablemente más favorable para las empresas que las leyes de California, Colorado y Connecticut. Iowa carece de un derecho a corregir datos inexactos, exige únicamente consentimiento de exclusión (opt-out, no opt-in) para el procesamiento de datos sensibles, y proporciona el período de subsanación más largo de cualquier ley estatal de privacidad. Esta guía cubre ambas leyes, su alcance, los derechos del consumidor, las acciones de aplicación reales, la superposición federal, y los pasos prácticos para el cumplimiento.
¿Qué es la Ley de Protección de Datos del Consumidor de Iowa (ICDPA)?
La ICDPA es la ley integral de privacidad de datos del consumidor de Iowa. El Senate File 262 fue aprobado por unanimidad en el Senado y la Cámara de Iowa. La Gobernadora Kim Reynolds la firmó como ley el 28 de marzo de 2023. La ley entró en vigor el 1 de enero de 2025, dando a las empresas aproximadamente 21 meses para prepararse.
Iowa se convirtió en el sexto estado de Estados Unidos en adoptar una ley integral de privacidad de datos, siguiendo a California, Virginia, Colorado, Connecticut y Utah. La ICDPA está codificada en el Capítulo 715D del Código de Iowa, dentro del Título XVI (Derecho y Procedimiento Penal).
Los analistas legales han descrito la ICDPA como una de las leyes integrales de privacidad más favorables para las empresas entre los estados. Se asemeja mucho a la Ley de Privacidad del Consumidor de Utah y a la Ley de Protección de Datos del Consumidor de Virginia en alcance y enfoque, con reducciones significativas en la carga de cumplimiento en comparación con la CCPA/CPRA de California y la CPA de Colorado.
¿A Quién se Aplica la ICDPA?
La ICDPA se aplica a las personas que realizan negocios en Iowa o producen productos o servicios dirigidos a consumidores de Iowa y que cumplen con uno de dos umbrales durante un año calendario.

Umbral 1: Controlar o procesar los datos personales de al menos 100,000 consumidores de Iowa.
Umbral 2: Derivar más del 50% de los ingresos brutos de la venta de datos personales y controlar o procesar los datos personales de al menos 25,000 consumidores de Iowa.
Una distinción significativa con respecto a algunas otras leyes estatales de privacidad es que la ICDPA no incluye un requisito mínimo de ingresos anuales. Esto significa que las empresas más pequeñas que procesan grandes volúmenes de datos de consumidores de Iowa aún pueden entrar dentro del alcance de la ley incluso si sus ingresos totales son modestos.
El término "consumidor" bajo la Sección 715D.1 del Código de Iowa significa una persona física residente de Iowa que actúa únicamente en un contexto individual o doméstico. No incluye a las personas físicas que actúan en un contexto comercial o laboral. Los empleados están explícitamente excluidos.
Derechos del Consumidor bajo la ICDPA
La Sección 715D.3 del Código de Iowa otorga a los consumidores de Iowa cuatro derechos específicos con respecto a sus datos personales. Un controlador debe cumplir con una solicitud del consumidor autenticada para ejercer estos derechos.
Derecho de Acceso
Los consumidores tienen el derecho de confirmar si un controlador está procesando sus datos personales y de acceder a esos datos personales. Esto permite a las personas saber qué información tiene una empresa sobre ellas y cómo se está utilizando.
Derecho de Eliminación
Los consumidores pueden solicitar la eliminación de los datos personales que proporcionaron al controlador. Este derecho se limita a los datos que el consumidor proporcionó directamente, no a los datos que el controlador recopiló de otras fuentes o infirió sobre el consumidor. Este alcance más limitado distingue a Iowa de California y Colorado, que cubren todos los datos personales que posee el controlador.
Derecho a la Portabilidad de Datos
Los consumidores pueden obtener una copia de sus datos personales en un formato portable y, en la medida técnicamente factible, fácilmente utilizable que permita la transmisión a otro controlador sin obstáculos. El procesamiento debe realizarse por medios automatizados.
Derecho a Excluirse de la Venta de Datos
Los consumidores tienen el derecho de excluirse de la venta de sus datos personales. Bajo la ICDPA, "venta" se define de manera restringida como el intercambio de datos personales por contraprestación monetaria por parte del controlador a un tercero. Esta es una definición más restringida que la de California, que también cubre los intercambios por "otra contraprestación valiosa".
¿Qué Derechos Faltan?
La ICDPA es notablemente más limitada que las leyes de privacidad de estados como California, Colorado y Connecticut. Los consumidores de Iowa no tienen:
- Derecho a corregir datos personales inexactos. Todas las demás leyes estatales integrales de privacidad incluyen este derecho.
- Derecho a excluirse de la publicidad dirigida. Los controladores deben divulgar las actividades de publicidad dirigida y cómo los usuarios pueden excluirse, pero el consumidor no tiene un derecho de exclusión legal bajo la ICDPA.
- Derecho a excluirse de la elaboración de perfiles. Iowa no aborda la toma de decisiones automatizada ni la elaboración de perfiles en la sección de derechos del consumidor.
Estas omisiones son una razón central por la que se considera que la ICDPA es más favorable para las empresas que otras leyes estatales de privacidad.
Plazo de Respuesta
Los controladores deben responder a las solicitudes del consumidor sin demora injustificada, pero en todos los casos dentro de 90 días de recibida la solicitud. La información proporcionada en respuesta a una solicitud del consumidor debe entregarse de forma gratuita, hasta dos veces al año por consumidor.
Definiciones Clave bajo la ICDPA
Comprender la ICDPA requiere familiaridad con varios términos definidos en la Sección 715D.1 del Código de Iowa.

Datos personales significa cualquier información que esté vinculada o razonablemente vinculable a una persona física identificada o identificable. No incluye los datos desidentificados, los datos agregados, ni la información disponible públicamente.
Datos sensibles incluyen el origen racial o étnico, las creencias religiosas, un diagnóstico de salud mental o física, la orientación sexual, o el estatus de ciudadanía o inmigración (excepto cuando se usa para prevenir la discriminación). También incluye los datos genéticos o biométricos procesados con el propósito de identificar de manera única a una persona, los datos personales recopilados de un menor conocido, y los datos de geolocalización precisa.
Controlador significa una persona que, sola o conjuntamente con otras, determina el propósito y los medios del procesamiento de datos personales.
Procesador significa una persona que procesa datos personales en nombre de un controlador.
Publicidad dirigida significa mostrar anuncios a un consumidor donde el anuncio se selecciona basándose en los datos personales obtenidos de las actividades de ese consumidor a lo largo del tiempo y a través de sitios web o aplicaciones en línea no afiliados, para predecir las preferencias o intereses de dicho consumidor.
Deberes del Controlador de Datos
La Sección 715D.4 del Código de Iowa describe varias obligaciones para los controladores.
Requisitos de Transparencia
Los controladores deben proporcionar a los consumidores un aviso de privacidad razonablemente accesible y claro que divulgue las categorías de datos personales procesados, el propósito del procesamiento, cómo los consumidores pueden ejercer sus derechos, las categorías de datos personales compartidos con terceros, y las categorías de terceros con quienes se comparten los datos.
Si un controlador vende datos personales o procesa datos personales para publicidad dirigida, el controlador debe divulgar esa actividad de manera clara y visible y proporcionar un mecanismo para que los consumidores se excluyan.
Seguridad de Datos
Los controladores deben adoptar e implementar prácticas razonables de seguridad de datos administrativas, técnicas y físicas para proteger la confidencialidad, integridad y accesibilidad de los datos personales. Estas prácticas deben ser apropiadas para el volumen y la naturaleza de los datos personales en cuestión.
Procesamiento de Datos Sensibles
La ICDPA adopta un enfoque diferente para los datos sensibles que la mayoría de las demás leyes estatales de privacidad. En lugar de exigir el consentimiento previo (opt-in) antes de procesar datos sensibles, Iowa exige que los controladores proporcionen un aviso claro y una oportunidad para que los consumidores se excluyan (opt-out) antes de procesar datos sensibles. Este es un estándar menos restrictivo y otra razón por la que se considera que la ley es favorable para las empresas.
No se Exigen Evaluaciones de Impacto de Protección de Datos
A diferencia de Colorado, Connecticut y Virginia, la ICDPA no exige que los controladores realicen evaluaciones de impacto de protección de datos para las actividades de procesamiento que presenten un riesgo elevado de daño a los consumidores. Tampoco impone requisitos de minimización de datos o limitación de propósito.
No se Exige una Señal Universal de Exclusión
La ICDPA no exige que los controladores reconozcan o respondan a mecanismos universales de exclusión como el Global Privacy Control (GPC). Estados como Colorado y Connecticut sí exigen que las empresas respeten dichas señales.
Deberes del Procesador
La Sección 715D.5 del Código de Iowa exige que los procesadores asistan a los controladores con las solicitudes del consumidor e implementen medidas apropiadas de seguridad de datos. Los controladores y procesadores deben celebrar contratos que especifiquen las instrucciones para el procesamiento, la naturaleza y el propósito del procesamiento, el tipo de datos sujetos al procesamiento, la duración del procesamiento, y los derechos y obligaciones de ambas partes.
Los procesadores también deben permitir que los controladores soliciten la devolución o eliminación de los datos personales al finalizar la relación de procesamiento.
Exenciones bajo la ICDPA
La Sección 715D.7 del Código de Iowa proporciona exenciones amplias tanto a nivel de entidad como a nivel de datos.

Exenciones a Nivel de Entidad
Los siguientes tipos de organizaciones están exentos por completo de la ICDPA:
- Entidades gubernamentales (agencias estatales y locales)
- Organizaciones sin fines de lucro
- Instituciones financieras sujetas a la Ley Gramm-Leach-Bliley (GLBA)
- Entidades cubiertas por la HIPAA (Ley de Portabilidad y Responsabilidad del Seguro Médico) y la Ley HITECH
- Instituciones de educación superior
Exenciones a Nivel de Datos
Ciertas categorías de datos están exentas de la ICDPA sin importar la entidad que las procese:
| Categoría de Datos Exenta | Ley Federal Correspondiente |
|---|---|
| Información de salud protegida | HIPAA |
| Información de identificación de pacientes | 42 U.S.C. Sección 290dd-2 |
| Información de crédito del consumidor | Ley de Reporte Justo de Crédito (FCRA) |
| Registros educativos de estudiantes | Ley de Derechos Educativos y Privacidad Familiar (FERPA) |
| Datos en línea de menores | Ley de Protección de la Privacidad Infantil en Internet (COPPA) |
| Información del conductor | Ley de Protección de la Privacidad del Conductor (DPPA) |
| Datos de crédito agrícola | Ley de Crédito Agrícola |
| Datos relacionados con el empleo | Diversas leyes laborales federales y estatales |
| Datos desidentificados y agregados | N/A |
Aplicación de la ICDPA
La Sección 715D.8 del Código de Iowa establece el marco de aplicación.
Autoridad del Fiscal General
El Fiscal General de Iowa tiene autoridad exclusiva para hacer cumplir la ICDPA. No existe derecho de acción privado, lo que significa que los consumidores individuales no pueden presentar demandas contra las empresas por infracciones a la ICDPA. Los consumidores pueden reportar infracciones a la oficina del Fiscal General para su investigación.
Período de Subsanación de 90 Días
Antes de iniciar cualquier acción de aplicación, el Fiscal General debe proporcionar al controlador o procesador un aviso por escrito de 90 días identificando las disposiciones específicas presuntamente infringidas. Si la empresa subsana la infracción dentro del período de 90 días y proporciona una declaración expresa por escrito de que las infracciones han sido subsanadas y no ocurrirán más infracciones, el Fiscal General no toma más acciones.
Este período de subsanación de 90 días es el más largo entre todas las leyes estatales integrales de privacidad. Para comparación, Virginia comenzó con un período de subsanación de 30 días (que expiró en 2025), Colorado proporcionó un período de subsanación de 60 días (que expiró en 2025), y el período de subsanación de 60 días de Connecticut expiró en 2025. El período de subsanación de 90 días de Iowa no tiene cláusula de expiración y sigue siendo una característica permanente de la ley.
Sanciones
Si un controlador o procesador no subsana una infracción dentro del plazo de 90 días, o incumple la declaración escrita expresa proporcionada al Fiscal General, están disponibles las siguientes herramientas de aplicación:
| Acción de Aplicación | Detalles |
|---|---|
| Sanciones civiles | Hasta $7,500 por infracción |
| Medida cautelar | Orden judicial para detener infracciones en curso |
| Costos y honorarios de abogados | Recuperables por el estado |
| Destino de los fondos | Todos los montos recaudados van al Fondo de Educación y Litigio del Consumidor bajo la Sección 714.16C del Código de Iowa |
Prelación
La Sección 715D.9 del Código de Iowa establece que la ICDPA sustituye y prevalece sobre todas las reglas, regulaciones, códigos, ordenanzas y otras leyes adoptadas por cualquier ciudad, condado, municipio o agencia local con respecto al procesamiento de datos personales por parte de los controladores o procesadores. Los gobiernos locales de Iowa no pueden promulgar sus propias ordenanzas de privacidad de datos que entren en conflicto con la ICDPA.
Acciones de Aplicación Recientes de la Fiscal General de Iowa Brenna Bird
Aunque la ICDPA en sí misma aún no ha generado una acción de aplicación reportada, la Fiscal General Brenna Bird ha perseguido varios casos de protección al consumidor relacionados con datos bajo el Capítulo 714.16 del Código de Iowa (Ley de Fraude al Consumidor de Iowa) y el Capítulo 715C (notificación de violaciones). Estos casos señalan el enfoque y las prioridades de aplicación de la Fiscal General para las empresas intensivas en datos que operan en Iowa.
General Motors / OnStar (Presentada el 26 de Febrero de 2026)
La Fiscal General Bird presentó una demanda en el Tribunal de Distrito del Condado de Polk contra General Motors LLC y su subsidiaria OnStar, alegando infracciones a la Ley de Fraude al Consumidor de Iowa. La petición alegaba que desde 2015 GM instaló sistemas de rastreo en sus vehículos que recopilaban la velocidad, el uso del cinturón de seguridad, los hábitos de conducción y los datos de ubicación precisa. GM luego vendió esos datos a corredores de datos externos, que los revendieron a compañías de seguros que los usaron para aumentar las tarifas, negar la cobertura o cancelar pólizas. La demanda alegaba que GM engañó a los consumidores en el punto de venta al tergiversar la naturaleza y el alcance de los servicios conectados a OnStar. El estado busca restitución para los habitantes de Iowa afectados, sanciones civiles, y una orden judicial que prohíba prácticas adicionales de intercambio de datos en Iowa.
Change Healthcare (Presentada el 31 de Marzo de 2026)
La Fiscal General Bird presentó una demanda contra Change Healthcare Inc. y sus propietarios bajo tanto la Ley de Fraude al Consumidor de Iowa como la Ley de Protección de Violaciones de Seguridad de Información Personal (Capítulo 715C del Código de Iowa). La demanda alegaba que un ciberataque de febrero de 2024 pasó desapercibido durante diez días mientras un actor criminal instalaba malware, creaba cuentas de administrador con privilegios, y robaba los datos personales de salud, financieros e identificativos de aproximadamente 2.2 millones de habitantes de Iowa, incluyendo números de Seguro Social, números de licencia de conducir, información de seguro médico, y registros médicos. Change Healthcare presuntamente no notificó a los residentes afectados de Iowa durante cinco meses después del descubrimiento. El estado buscó sanciones civiles, mejoras obligatorias a la seguridad de datos, y la restitución de ganancias ilícitas. La Sección 714.16(7) del Código de Iowa permite sanciones civiles de hasta $40,000 por infracción bajo la Ley de Fraude al Consumidor.
TikTok (Demanda Enmendada, Abril de 2026)
La demanda original de Iowa contra TikTok alegaba que la plataforma desplegaba funciones de diseño adictivo dirigidas a menores. En abril de 2026, la Fiscal General Bird presentó una demanda enmendada agregando una dimensión de privacidad de datos: el estado alegó que TikTok representó falsamente a los usuarios de Iowa que sus datos personales estaban a salvo del acceso del gobierno chino, constituyendo prácticas comerciales engañosas bajo la Ley de Fraude al Consumidor de Iowa. La demanda busca medida cautelar, sanciones civiles, restitución de ganancias, y honorarios.
Ley de Notificación de Violaciones de Datos de Iowa (Capítulo 715C del Código de Iowa)
Aparte de la ICDPA, Iowa ha mantenido una ley de notificación de violaciones de datos desde 2008, enmendada por última vez en 2014. El Capítulo 715C del Código de Iowa exige que las empresas y otras entidades notifiquen a los residentes de Iowa cuando se comprometa su información personal.

¿Qué Activa una Obligación de Notificación?
Se requiere notificación cuando ocurre cualquier adquisición no autorizada de información personal mantenida en forma computarizada y existe una probabilidad razonable de daño financiero al consumidor. Una "violación de seguridad" significa la adquisición no autorizada de información personal que compromete su seguridad, confidencialidad o integridad.
¿Qué Información Personal Está Cubierta?
Bajo la Sección 715C.1 del Código de Iowa, la "información personal" es el nombre o la inicial del nombre de una persona junto con su apellido, combinados con uno o más de los siguientes elementos:
- Número de Seguro Social
- Número de licencia de conducir u otro número único de identificación gubernamental
- Número de cuenta financiera, número de tarjeta de crédito o número de tarjeta de débito en combinación con cualquier código de seguridad o contraseña requerida
- Identificador electrónico único o código de enrutamiento en combinación con cualquier código de seguridad o contraseña requerida que permita el acceso a una cuenta financiera
- Datos biométricos únicos (huella dactilar, imagen de retina o iris, u otra representación física única)
La definición también cubre cualquiera de los elementos anteriores cuando no está combinado con un nombre, si el elemento por sí solo fuera suficiente para permitir el robo de identidad.
Plazo de Notificación
La ley exige notificación de la manera más expedita posible y sin demora injustificada, de manera consistente con las necesidades legítimas de las fuerzas del orden y cualquier medida necesaria para determinar el alcance de la violación y restaurar la integridad y seguridad razonables de los datos.
Iowa no establece un número específico de días para la notificación al consumidor. Esto es menos prescriptivo que estados como Colorado y Florida, que exigen notificación dentro de 30 días.
Notificación al Fiscal General
Cualquier entidad cuya violación afecte a 500 o más residentes de Iowa debe proporcionar aviso por escrito al Director de la División de Protección al Consumidor de la Oficina del Fiscal General de Iowa dentro de cinco días hábiles después de notificar a los consumidores afectados.
Información de contacto para el reporte de violaciones:
- Correo electrónico: consumer@ag.iowa.gov
- Teléfono: 515-281-5926
- Correo postal: División de Protección al Consumidor, Oficina del Fiscal General
¿Qué Debe Incluir la Notificación?
Las notificaciones de violaciones a los consumidores deben contener:
- Una descripción de la violación de seguridad
- La fecha aproximada de la violación
- El tipo de información personal obtenida como resultado de la violación
- Información de contacto de las agencias de reporte de crédito al consumidor
- Recomendación al consumidor de reportar incidentes sospechosos de robo de identidad a las fuerzas del orden locales o al Fiscal General
Notificación Sustituta
Iowa permite la notificación sustituta cuando el costo de proporcionar notificación directa excedería los $250,000, la clase afectada excede las 350,000 personas, o la entidad carece de información de contacto suficiente. La notificación sustituta consiste en aviso por correo electrónico (cuando esté disponible), publicación visible en el sitio web de la entidad, y notificación a los medios de comunicación estatales principales.
Cuándo No se Requiere Notificación
No se requiere notificación si, después de una investigación apropiada o consulta con las fuerzas del orden pertinentes, la entidad determina que no ha resultado ni resultará ninguna probabilidad razonable de daño financiero a los consumidores como consecuencia de la violación. Esta determinación debe documentarse por escrito y conservarse durante cinco años.
Aplicación de la Ley de Notificación de Violaciones
Una infracción del Capítulo 715C del Código de Iowa es una práctica ilícita bajo la ley estatal de fraude al consumidor de Iowa. El Fiscal General de Iowa puede solicitar una orden que exija a la parte infractora pagar daños en nombre de las personas perjudicadas. Las entidades que cumplen con leyes federales que brindan protección equivalente o mayor (como la GLBA o la HIPAA) se consideran en cumplimiento con los requisitos de notificación de violaciones de Iowa.
Ley de Seguridad de Datos de Seguros de Iowa
Iowa promulgó una ley separada de seguridad de datos específicamente para los licenciatarios de seguros. La Ley de Seguridad de Datos de Seguros de Iowa, codificada en el Capítulo 507F del Código de Iowa, se firmó el 30 de abril de 2021, y entró en vigor el 1 de enero de 2022. Se basa en la ley modelo de ciberseguridad de la Asociación Nacional de Comisionados de Seguros (NAIC).
El Capítulo 507F se aplica a los licenciatarios de la División de Seguros de Iowa e impone requisitos para desarrollar y mantener un Programa de Seguridad de la Información, investigar eventos de ciberseguridad, y notificar al Comisionado de Seguros dentro de tres días hábiles después de determinar que ha ocurrido un evento de ciberseguridad. Establece estándares estatales exclusivos para la seguridad de datos y la investigación de eventos de ciberseguridad para las entidades de seguros reguladas, operando por separado de los marcos de la ICDPA y del Capítulo 715C.
Leyes Federales de Privacidad Aplicables en Iowa
La ley federal crea obligaciones paralelas para las empresas de Iowa que se aplican sin importar si se cumple el umbral de la ICDPA.
Ley TAKE IT DOWN (Pub. L. 119-12)
El Presidente Trump firmó la Ley TAKE IT DOWN el 19 de mayo de 2025. La ley penaliza la publicación de imágenes íntimas sin consentimiento (NCII), incluyendo los deepfakes generados por IA. La prohibición penal fue inmediata al firmarse. Las obligaciones de retiro de las plataformas, que exigen a las plataformas en línea cubiertas eliminar el contenido NCII reportado dentro de 48 horas de la notificación, entraron en vigor el 19 de mayo de 2026, con la Comisión Federal de Comercio como autoridad de aplicación. Las plataformas cubiertas que no "cumplan razonablemente" con los requisitos de notificación y retiro se consideran en infracción de las disposiciones de actos o prácticas desleales o engañosas de la Ley de la FTC.
HIPAA y HITECH
La Ley de Portabilidad y Responsabilidad del Seguro Médico rige a las entidades cubiertas (planes de salud, cámaras de compensación de atención médica, y la mayoría de los proveedores de atención médica) y sus asociados comerciales. La Regla de Privacidad y la Regla de Seguridad de la HIPAA imponen requisitos de acceso, uso, divulgación y seguridad sobre la información de salud protegida. La ICDPA de Iowa exime a las entidades cubiertas por la HIPAA a nivel de entidad y exime la información de salud protegida a nivel de datos, pero la HIPAA se aplica directamente a esas entidades.
Ley Gramm-Leach-Bliley (GLBA)
Las instituciones financieras sujetas a la GLBA están exentas de la ICDPA. La Regla de Salvaguardas de la GLBA, actualizada por la FTC en 2023, exige que las instituciones financieras cubiertas desarrollen, implementen y mantengan un programa integral de seguridad de la información, y proporcionen a los clientes avisos sobre las prácticas de intercambio de información.
Ley de Reporte Justo de Crédito (FCRA)
La FCRA rige a las agencias de reporte de crédito del consumidor y a quienes proporcionan o usan información de reportes del consumidor. Los datos regulados por la FCRA están exentos de las exenciones a nivel de datos de la ICDPA. Los consumidores tienen derechos a acceder a sus reportes de crédito, disputar información inexacta, y restringir ciertos usos de sus datos bajo la ley federal sin importar la ley estatal de Iowa.
Ley de Protección de la Privacidad Infantil en Internet (COPPA)
La COPPA se aplica a los operadores de sitios web y servicios en línea dirigidos a menores de 13 años, y a los servicios de audiencia general que tienen conocimiento real de que están recopilando información personal de menores de 13 años. La COPPA exige el consentimiento parental verificable antes de recopilar información personal de menores. La ICDPA proporciona una exención a nivel de datos para la información personal recopilada bajo la COPPA, pero la COPPA en sí misma continúa aplicándose de manera independiente.
Sección 5 de la Ley de la FTC
La autoridad de la FTC para prohibir actos o prácticas desleales o engañosas en el comercio proporciona un piso federal de protección al consumidor. Las empresas que hacen tergiversaciones materiales sobre sus prácticas de datos enfrentan la aplicación de la FTC independientemente de cualquier ley estatal. Las tendencias de aplicación de GM/OnStar y TikTok mencionadas anteriormente reflejan la aplicación federal paralela de la FTC.
Cómo se Compara Iowa con Otras Leyes Estatales de Privacidad
La ICDPA se compara con frecuencia con otras leyes estatales integrales de privacidad de datos. Así es como se posiciona Iowa en disposiciones clave.
| Característica | Iowa | California (CCPA/CPRA) | Virginia | Colorado | Connecticut |
|---|---|---|---|---|---|
| Fecha de vigencia | 1 de enero de 2025 | 1 de enero de 2020 / 1 de enero de 2023 | 1 de enero de 2023 | 1 de julio de 2023 | 1 de julio de 2023 |
| Derecho de acceso | Sí | Sí | Sí | Sí | Sí |
| Derecho de eliminación | Sí (datos proporcionados por el consumidor) | Sí (todos los datos) | Sí | Sí | Sí |
| Derecho de corrección | No | Sí | Sí | Sí | Sí |
| Derecho de portabilidad | Sí | Sí | Sí | Sí | Sí |
| Derecho a excluirse de ventas | Sí (solo monetario) | Sí (monetario + contraprestación valiosa) | Sí | Sí | Sí |
| Derecho a excluirse de publicidad dirigida | No | Sí | Sí | Sí | Sí |
| Derecho a excluirse de elaboración de perfiles | No | Sí (limitado) | Sí | Sí | Sí |
| Consentimiento de datos sensibles | Opt-out | Opt-in (para ciertas categorías) | Opt-in | Opt-in | Opt-in |
| Evaluaciones de impacto de protección de datos | No exigidas | Exigidas (CPRA) | Exigidas | Exigidas | Exigidas |
| Señal universal de exclusión | No exigida | Exigida | No exigida | Exigida | Exigida |
| Período de subsanación | 90 días (permanente) | 30 días (expirado) | 30 días (expiró en 2025) | 60 días (expiró en 2025) | 60 días (expiró en 2025) |
| Aplicación | Solo el Fiscal General | Fiscal General + derecho de acción privado (limitado) | Solo el Fiscal General | Solo el Fiscal General | Solo el Fiscal General |
| Sanciones por infracción | $7,500 | $2,500 / $7,500 (intencional) | $7,500 | $20,000 | $5,000 |
Cómo los Consumidores de Iowa Ejercen Sus Derechos
Los consumidores de Iowa con preguntas sobre cómo una empresa está usando sus datos personales pueden tomar estos pasos bajo la ICDPA:
Paso 1: Identifique al controlador. Determine qué empresa controla los datos personales en cuestión. Generalmente es la empresa con la que tiene una relación directa.
Paso 2: Localice el aviso de privacidad. La ICDPA exige que los controladores mantengan un aviso de privacidad que explique cómo presentar solicitudes de acceso, eliminación, portabilidad y exclusión. Típicamente se enlaza en el pie de página del sitio web.
Paso 3: Presente una solicitud autenticada. Los controladores pueden exigirle verificar su identidad antes de responder. Proporcione la información solicitada para la autenticación, pero no está obligado a proporcionar más de lo razonablemente necesario.
Paso 4: Espere el plazo de respuesta. Los controladores tienen hasta 90 días para responder. Pueden solicitar una única extensión de 45 días notificándole el motivo.
Paso 5: Apele una denegación. Si un controlador deniega su solicitud, la ley de Iowa le otorga el derecho de apelar esa denegación ante el controlador. El controlador debe completar la apelación dentro de 60 días y explicar el resultado por escrito.
Paso 6: Contacte al Fiscal General. Si considera que una empresa ha infringido la ICDPA, puede reportarlo a la División de Protección al Consumidor del Fiscal General de Iowa. Llame al 515-281-5926, escriba a consumer@ag.iowa.gov, o visite iowaattorneygeneral.gov.
Las leyes de grabación de Iowa están regidas por el Capítulo 808B del Código de Iowa, que establece un estándar de consentimiento de una sola parte para grabar conversaciones.
Consejos para Empresas que Operan en Iowa
Las empresas que cumplen con los umbrales de aplicabilidad de la ICDPA deben tomar varios pasos para garantizar el cumplimiento.
Audite sus actividades de procesamiento de datos. Determine si procesa datos personales de 100,000 o más consumidores de Iowa, o si deriva el 50% o más de sus ingresos de las ventas de datos que involucran a 25,000 o más consumidores de Iowa.
Actualice su aviso de privacidad. Asegúrese de que su política de privacidad divulgue las categorías de datos personales procesados, los propósitos del procesamiento, cómo los consumidores pueden ejercer sus derechos, y si vende datos personales o realiza publicidad dirigida.
Establezca procedimientos de solicitud del consumidor. Implemente un sistema para recibir, autenticar y responder a las solicitudes de acceso, eliminación, portabilidad y exclusión del consumidor dentro del plazo de respuesta de 90 días.
Revise los contratos con proveedores. Si utiliza procesadores de datos, verifique que sus contratos cumplan con los requisitos de la Sección 715D.5 del Código de Iowa, incluyendo las instrucciones de procesamiento, las obligaciones de seguridad de datos, y las disposiciones de devolución o eliminación de datos.
Aborde el procesamiento de datos sensibles. Si procesa datos sensibles, proporcione un aviso claro y un mecanismo de exclusión antes de que comience el procesamiento.
Prepare un plan de respuesta a violaciones. Asegúrese de contar con procedimientos para detectar violaciones, investigar su alcance, notificar a las personas afectadas, y reportar al Fiscal General de Iowa dentro de cinco días hábiles cuando se vean afectados 500 o más residentes.
Si opera vehículos conectados o recopila datos de comportamiento de conducción, la acción de aplicación de GM/OnStar indica que el Fiscal General de Iowa perseguirá las prácticas de venta de datos bajo la Ley de Fraude al Consumidor incluso sin una infracción a la ICDPA. Revise qué datos de vehículos recopila, cómo los comparte, y qué divulgaciones hace en el punto de venta.
Más Leyes de Iowa
Las leyes de privacidad de datos de Iowa son parte de un conjunto más amplio de protecciones para los residentes. Explore otros temas legales de Iowa:
- Ley de Verificación de Edad de Iowa (HF 864) Entra en Vigor el 1 de Julio de 2026
- Resumen de Leyes de Privacidad de Datos Estatales
- Leyes de Grabación de Iowa
- Leyes de Grabación de Reuniones con IA de Iowa
- Leyes de Pensión Alimenticia de Iowa
- Leyes de Empleo a Voluntad de Iowa
- Leyes de Accidentes de Auto de Iowa
- Leyes de Asientos de Seguridad para Niños de Iowa
- Leyes de Custodia de los Hijos de Iowa
- Leyes de Manutención de los Hijos de Iowa
- Leyes de Matrimonio de Hecho de Iowa
- Leyes de Deepfake de Iowa
- Leyes de Divorcio de Iowa
- Leyes de Mordedura de Perro de Iowa
- Leyes de Emancipación de Iowa
- Leyes de Eliminación de Antecedentes de Iowa
- Leyes de Atropello y Fuga de Iowa
- Leyes de Propietarios e Inquilinos de Iowa
- Leyes Limón de Iowa
Guías detalladas
Fuentes y referencias
- Capítulo 715D del Código de Iowa: Protecciones de Datos del Consumidor (Texto Completo)(legis.iowa.gov).gov
- Sección 715D.1 del Código de Iowa: Definiciones(legis.iowa.gov).gov
- Sección 715D.3 del Código de Iowa: Derechos de Datos del Consumidor(legis.iowa.gov).gov
- Sección 715D.4 del Código de Iowa: Deberes del Controlador de Datos(legis.iowa.gov).gov
- Sección 715D.5 del Código de Iowa: Deberes del Procesador(legis.iowa.gov).gov
- Sección 715D.7 del Código de Iowa: Limitaciones y Exenciones(legis.iowa.gov).gov
- Sección 715D.9 del Código de Iowa: Prelación(legis.iowa.gov).gov
- Senate File 262 (Registrado): Ley de Protección de Datos del Consumidor de Iowa(legis.iowa.gov).gov
- Capítulo 715C del Código de Iowa: Protección de Violaciones de Seguridad de Información Personal(legis.iowa.gov).gov
- Sección 715C.2 del Código de Iowa: Requisitos de Notificación de Violaciones de Seguridad(legis.iowa.gov).gov
- Fiscal General de Iowa: Notificaciones de Violaciones de Seguridad(iowaattorneygeneral.gov).gov
- Sección 714.16C del Código de Iowa: Fondo de Educación y Litigio del Consumidor(legis.iowa.gov).gov
- La Fiscal General Bird Anuncia Demanda Contra Change Healthcare por Violación de Datos que Afectó a 2.2 Millones de Habitantes de Iowa(iowaattorneygeneral.gov).gov
- La Fiscal General Bird Demanda a General Motors y OnStar por Recopilación y Venta Ilegal de Datos(iowaattorneygeneral.gov).gov
- La Fiscal General Bird Enmienda la Demanda contra TikTok: Riesgo de Acceso de China a los Datos de los Habitantes de Iowa(iowaattorneygeneral.gov).gov
- Capítulo 507F del Código de Iowa: Ley de Seguridad de Datos de Seguros(legis.iowa.gov).gov
- División de Seguros de Iowa: Ley de Seguridad de Datos y Eventos de Ciberseguridad(iid.iowa.gov).gov
- FTC: Ley TAKE IT DOWN(ftc.gov).gov