Iowa
Lista de Verificación de Cumplimiento de la ICDPA para Empresas (Iowa)

Cumplir con la Ley de Protección de Datos del Consumidor de Iowa (Iowa Code Capítulo 715D) es más sencillo que cumplir con casi cualquier otra ley estatal de privacidad. Una empresa cubierta debe confirmar que cumple con los umbrales de la Sección 715D.2, publicar un aviso de privacidad claro, ofrecer una forma de excluirse de la venta de datos, dar una exclusión de datos sensibles, y firmar contratos con los encargados del tratamiento. La ley entró en vigor el 1 de enero de 2025.
A partir de 2026, el Fiscal General de Iowa aplica la ICDPA de manera exclusiva bajo la Sección 715D.8, con un período de subsanación de 90 días y sanciones de hasta $7,500 por infracción. Iowa no exige evaluaciones de protección de datos ni el respeto de señales universales de exclusión, por lo que la carga de cumplimiento es real pero menor que en Colorado, Connecticut o California.
Alcance jurisdiccional: Esto cubre la Ley de Protección de Datos del Consumidor de Iowa (Iowa Code Capítulo 715D). Es información legal general, no asesoría legal.
Paso 1: Determine si la ICDPA se aplica a usted
La primera tarea es ejecutar la prueba de aplicabilidad de la Sección 715D.2(1). La ICDPA alcanza a una persona que realiza negocios en Iowa, o que produce productos o servicios dirigidos a residentes de Iowa, que durante un año calendario hace una de dos cosas.
Bajo la Sección 715D.2(1)(a), la empresa controla o procesa datos personales de al menos 100,000 consumidores. Bajo la Sección 715D.2(1)(b), controla o procesa datos personales de al menos 25,000 consumidores y obtiene más del 50% de sus ingresos brutos de la venta de datos personales. Una empresa que cumpla con cualquiera de estos dos criterios está cubierta.
Cuente con cuidado. Un "consumidor" bajo la Sección 715D.1 es un residente de Iowa que actúa en un contexto individual o del hogar, y la definición excluye a una persona que actúa en un contexto comercial o laboral. Los contactos entre empresas y sus propios empleados no cuentan para los umbrales.
Iowa no añade un piso de ingresos separado a estos umbrales de datos, por lo que un procesador de gran volumen puede estar cubierto sin importar sus ingresos totales. Si sus cifras se acercan a un umbral, documente su recuento y revíselo cada año calendario.
Paso 2: Revise las exenciones
Aunque supere el umbral, puede estar exento. La Sección 715D.2(2) proporciona exenciones a nivel de entidad para el estado y sus subdivisiones políticas, las instituciones financieras y sus afiliadas sujetas a la Ley Gramm-Leach-Bliley, las personas que cumplen con HIPAA y la Ley HITECH, las organizaciones sin fines de lucro y las instituciones de educación superior.
La Sección 715D.2(3) añade exenciones a nivel de datos. Estas cubren la información de salud protegida y los registros médicos, la información regulada por la Ley Federal de Informe Justo de Crédito bajo el inciso (m), los datos bajo la Ley de Protección de la Privacidad del Conductor bajo el inciso (n), los registros educativos bajo FERPA bajo el inciso (o), y los datos bajo la Ley de Crédito Agrícola bajo el inciso (p).
Los datos laborales y de contacto de emergencia se excluyen bajo la Sección 715D.2(3)(q), y los datos usados de conformidad con la Ley Federal de Protección de la Privacidad Infantil en Línea se excluyen bajo el inciso (r). Compare su inventario de datos con estas exenciones; una entidad que supera el umbral puede aun así descubrir que gran parte de sus datos está exenta.
Documente su análisis. Si el Fiscal General inicia una investigación, un registro claro de por qué una categoría está exenta es lo primero que querrá presentar.

Paso 3: Publique un aviso de privacidad conforme
La Sección 715D.4(5) exige un aviso de privacidad razonablemente accesible, claro y significativo. El aviso debe incluir cinco elementos, y una lista de verificación facilita su seguimiento.
El aviso debe indicar las categorías de datos personales que procesa el controlador, el propósito del procesamiento de esos datos, y cómo los consumidores pueden ejercer sus derechos bajo la Sección 715D.3, incluyendo cómo apelar una decisión del controlador. También debe indicar las categorías de datos personales que el controlador comparte con terceros, si las hay, y las categorías de esos terceros.
Más allá de los cinco elementos requeridos, la Sección 715D.4(6) añade una divulgación condicional: si vende datos personales o realiza publicidad dirigida, debe divulgar esa actividad de manera clara y visible y explicar cómo un consumidor puede excluirse de la venta. Tenga en cuenta que la exclusión que el estatuto vincula aquí es la exclusión de venta; Iowa no crea un derecho separado de exclusión de publicidad dirigida.
Mantenga el aviso actualizado. A medida que cambie su procesamiento, el aviso debe cambiar con él, porque el aviso de privacidad es el documento que el Fiscal General leerá primero.
Paso 4: Establezca la exclusión de venta y la exclusión de datos sensibles
Dos mecanismos de exclusión están en el centro del cumplimiento de la ICDPA. El primero es la exclusión de la venta de datos personales bajo la Sección 715D.3(1)(d). Debe proporcionar un método claro para que un habitante de Iowa se excluya de que sus datos personales sean vendidos, y divulgar ese método bajo la Sección 715D.4(6).
Una "venta" se define de manera restringida en la Sección 715D.1 como el intercambio de datos personales por contraprestación monetaria a un tercero, con varias exclusiones, como las divulgaciones a encargados y afiliados. Si nunca intercambia datos por dinero, es posible que no esté vendiendo bajo la ICDPA, pero debe documentar esa conclusión.
El segundo mecanismo es la exclusión de datos sensibles bajo la Sección 715D.4(2). Antes de procesar datos sensibles para un propósito no exento, debe presentar al consumidor un aviso claro y una oportunidad de exclusión. Para un niño identificado, debe cumplir en cambio con la Ley Federal de Protección de la Privacidad Infantil en Línea.
Es importante destacar que Iowa no exige que respete una señal universal de exclusión como el Control de Privacidad Global, y no exige evaluaciones de protección de datos. Ambas obligaciones existen en varios otros estados, pero están ausentes en la ICDPA, lo que representa la razón más importante por la que la carga de cumplimiento de Iowa es más ligera.
Paso 5: Establezca contratos con los encargados del tratamiento
Si utiliza proveedores para procesar datos personales en su nombre, la Sección 715D.5(2) exige un contrato escrito que rija el procesamiento. Este es un requisito estricto, no una mejor práctica.
El contrato debe establecer las instrucciones de procesamiento, la naturaleza y el propósito del procesamiento, el tipo de datos, la duración, y los derechos y deberes de ambas partes. También debe exigir al encargado que garantice que cada persona que procesa datos esté bajo un deber de confidencialidad, que elimine o devuelva los datos al finalizar la relación según las instrucciones del controlador, que ponga a disposición la información necesaria para demostrar el cumplimiento, y que traspase estos deberes a cualquier subcontratista mediante un contrato escrito.
Los encargados tienen sus propios deberes bajo la Sección 715D.5(1), incluyendo ayudar al controlador con las solicitudes de derechos del consumidor y con las obligaciones de seguridad y notificación de brechas bajo la Sección 715C.2. Revise los acuerdos existentes con proveedores y añada un anexo de procesamiento de datos donde falte uno.

Paso 6: Establezca el flujo de trabajo de solicitud, respuesta y apelación
Operativamente, necesita un proceso que cumpla con los plazos de la Sección 715D.3. Bajo la Sección 715D.4(7), debe establecer medios seguros y confiables para que los consumidores presenten solicitudes, y no puede exigir a un consumidor crear una nueva cuenta para hacerlo.
Una vez que autentique una solicitud, debe responder dentro de los 90 días bajo la Sección 715D.3(2)(a), con una extensión opcional de 45 días cuando sea razonablemente necesario. Las respuestas son gratuitas hasta dos veces al año por consumidor bajo la Sección 715D.3(2)(c). Establezca la autenticación, el seguimiento y un calendario que marque el plazo de 90 días.
También necesita un proceso de apelación bajo la Sección 715D.3(3). Debe estar disponible de manera visible, debe producir una decisión escrita dentro de los 60 días y, si se deniega la apelación, debe darle al consumidor un mecanismo en línea para contactar al Fiscal General. Documente cada paso, porque el registro de apelación forma parte de su postura de cumplimiento.
Aplicación, la Subsanación de 90 Días y las Sanciones
La ICDPA es aplicada únicamente por el Fiscal General de Iowa. La Sección 715D.8(1) otorga autoridad exclusiva de aplicación y el poder de emitir una solicitud de investigación civil por causa razonable.
El período de subsanación es generoso. Bajo la Sección 715D.8(2), el Fiscal General debe darle a un controlador o encargado un aviso escrito de 90 días que identifique las disposiciones específicas presuntamente infringidas. Si la empresa subsana la infracción dentro de ese plazo y proporciona una declaración escrita de que las infracciones han sido subsanadas y no volverán a ocurrir, no se puede iniciar ninguna acción. Esta subsanación de 90 días es la más larga de cualquier ley estatal de privacidad, y no tiene fecha de vencimiento, por lo que permanece disponible de manera permanente a partir de 2026.
| Elemento de cumplimiento | Requisito de la ICDPA | Sección |
|---|---|---|
| Aviso de privacidad | Requerido, cinco elementos | 715D.4(5) |
| Exclusión de venta | Requerida si vende datos | 715D.3(1)(d), 715D.4(6) |
| Datos sensibles | Aviso más exclusión | 715D.4(2) |
| Evaluación de protección de datos | No requerida | Ninguna |
| Señal universal de exclusión | No requerida | Ninguna |
| Contrato con encargado | Requerido | 715D.5(2) |
| Período de subsanación | 90 días, sin vencimiento | 715D.8(2) |
| Sanción máxima | $7,500 por infracción | 715D.8(3) |
Si una empresa no subsana la infracción o incumple su declaración de subsanación, la Sección 715D.8(3) autoriza una medida cautelar y sanciones civiles de hasta $7,500 por infracción, pagadas al fondo de educación y litigio del consumidor bajo la Sección 714.16C. Dado que la Sección 715D.8(4) prohíbe cualquier derecho de acción privado, el único riesgo de aplicación bajo la ICDPA es una acción del Fiscal General, lo que convierte a la subsanación de 90 días en una válvula de seguridad significativa para las empresas que actúan de buena fe.
Más Leyes de Iowa
- Leyes de Grabación de Reuniones con IA de Iowa
- Leyes de Pensión Alimenticia de Iowa
- Leyes de Empleo a Voluntad de Iowa
- Leyes de Accidentes Automovilísticos de Iowa
- Leyes de Asientos de Seguridad para Niños de Iowa
- Leyes de Custodia de Menores de Iowa
- Leyes de Manutención Infantil de Iowa
- Leyes de Matrimonio de Hecho de Iowa
- Leyes sobre Deepfakes de Iowa
- Leyes de Divorcio de Iowa
- Leyes sobre Mordeduras de Perro de Iowa
- Leyes de Emancipación de Iowa
- Leyes de Eliminación de Antecedentes Penales de Iowa
- Leyes de Atropello y Fuga de Iowa
- Leyes de Propietarios e Inquilinos de Iowa
- Leyes del Limón de Iowa
Guías relacionadas
- Leyes de Privacidad de Datos de Iowa (centro de la ICDPA)
- ¿Qué es la ICDPA? La Ley de Privacidad de Datos de Iowa Explicada
- Derechos del Consumidor Bajo la ICDPA: Lo Que los Habitantes de Iowa Pueden y No Pueden Hacer
- Comparación de Leyes Estatales de Privacidad de EE. UU.
- ¿Qué es la CCPA? La Ley de Privacidad de California Explicada
Preguntas frecuentes
¿Se aplica la ICDPA a mi empresa?
Se aplica si usted realiza negocios en Iowa o se dirige a residentes de Iowa y, durante un año calendario, controla o procesa datos personales de al menos 100,000 consumidores de Iowa, o de al menos 25,000 consumidores mientras obtiene más del 50% de sus ingresos brutos de la venta de datos personales, bajo la Sección 715D.2(1). Los residentes de Iowa que actúan en un contexto comercial o laboral no cuentan como consumidores.
¿Qué debe incluir un aviso de privacidad de la ICDPA?
Bajo la Sección 715D.4(5), el aviso debe indicar las categorías de datos personales que usted procesa, los propósitos del procesamiento, cómo los consumidores pueden ejercer sus derechos y apelar una decisión, las categorías de datos que comparte con terceros, y las categorías de esos terceros. Si vende datos o realiza publicidad dirigida, la Sección 715D.4(6) exige que lo divulgue y explique cómo excluirse de la venta.
¿Iowa exige evaluaciones de protección de datos?
No. La ICDPA no contiene un requisito de evaluación de protección de datos, a diferencia de Colorado, Connecticut y Texas. Esta omisión es una de las principales razones por las que la carga de cumplimiento de Iowa es más ligera que en la mayoría de los estados. Aun así, debe mantener seguridad razonable y documentación bajo la Sección 715D.4(1), pero no tiene que preparar evaluaciones de riesgo formales.
¿Tengo que respetar el Control de Privacidad Global en Iowa?
No. La ICDPA no exige a los controladores reconocer señales universales de exclusión como el Control de Privacidad Global. Los consumidores ejercen la exclusión de venta a través del método que usted designe bajo la Sección 715D.4. Esto es diferente de estados como Colorado, Connecticut y California, que exigen respetar las señales a nivel de navegador.
¿Qué contratos necesito con mis proveedores?
La Sección 715D.5(2) exige un contrato escrito de procesamiento de datos con cada encargado. Debe establecer las instrucciones de procesamiento, la naturaleza y el propósito, el tipo de datos y la duración, y exigir confidencialidad, eliminación o devolución de datos, demostraciones de cumplimiento y términos de traspaso a subcontratistas. Añada un anexo de procesamiento de datos a cualquier acuerdo con proveedores que carezca de uno.
¿Cuánto tiempo tengo para responder a una solicitud del consumidor?
Bajo la Sección 715D.3(2)(a), debe responder dentro de los 90 días de una solicitud autenticada, con una extensión opcional de 45 días cuando sea razonablemente necesario si notifica al consumidor a tiempo. También debe proporcionar un proceso de apelación bajo la Sección 715D.3(3) con una decisión escrita dentro de 60 días. Las respuestas son gratuitas hasta dos veces al año por consumidor.
¿Qué es el período de subsanación de la ICDPA?
Bajo la Sección 715D.8(2), el Fiscal General debe dar un aviso escrito de 90 días antes de iniciar cualquier acción. Si usted subsana la infracción notificada dentro de ese plazo y proporciona una declaración escrita de que ha sido subsanada y no volverá a ocurrir, no se puede iniciar ninguna acción. Esta subsanación de 90 días es la más larga de cualquier ley estatal de privacidad y no tiene fecha de vencimiento a partir de 2026.
¿Cuáles son las sanciones por infringir la ICDPA?
Si una empresa no subsana la infracción dentro del plazo de 90 días, la Sección 715D.8(3) autoriza una medida cautelar y sanciones civiles de hasta $7,500 por infracción, pagadas al fondo de educación y litigio del consumidor de Iowa. La aplicación es exclusivamente del Fiscal General bajo la Sección 715D.8(1), y la Sección 715D.8(4) prohíbe cualquier derecho de acción privado.
Fuentes y referencias
- Iowa Code Capítulo 715D: Protecciones de Datos del Consumidor (Texto Completo)(legis.iowa.gov).gov
- Iowa Code Sección 715D.2: Alcance y Exenciones(legis.iowa.gov).gov
- Iowa Code Sección 715D.4: Deberes del Controlador de Datos(legis.iowa.gov).gov
- Iowa Code Sección 715D.5: Deberes del Encargado del Tratamiento(legis.iowa.gov).gov
- Iowa Code Sección 715D.3: Derechos de Datos del Consumidor (Ventana de Respuesta)(legis.iowa.gov).gov
- Iowa Code Sección 715D.8: Aplicación y Sanciones (Subsanación de 90 Días)(legis.iowa.gov).gov
- Iowa Senate File 262 (2023): Ley de Protección de Datos del Consumidor(legis.iowa.gov).gov
- Fiscal General de Iowa: Protección al Consumidor(iowaattorneygeneral.gov).gov