Iowa
¿Qué es la ICDPA? La Ley de Privacidad de Datos de Iowa Explicada

La Ley de Protección de Datos del Consumidor de Iowa (ICDPA) es la ley integral de privacidad de datos del consumidor de Iowa, codificada en el Iowa Code Capítulo 715D (Secciones 715D.1 a 715D.9). La legislatura la aprobó como el Senate File 262, la gobernadora Kim Reynolds la firmó el 28 de marzo de 2023, y entró en vigor el 1 de enero de 2025. Otorga a los residentes de Iowa un conjunto limitado de derechos sobre sus datos personales, mientras impone las obligaciones más ligeras de cualquier ley estatal de privacidad del país.
A partir de 2026, el Fiscal General de Iowa tiene autoridad exclusiva para hacer cumplir la ICDPA bajo la Sección 715D.8, con sanciones civiles de hasta $7,500 por infracción. Antes de cualquier acción, un controlador recibe una ventana de 90 días para subsanar la presunta infracción, el período de subsanación más largo del país, y no tiene fecha de vencimiento. No existe derecho de acción privado.
Alcance jurisdiccional: Esto cubre la Ley de Protección de Datos del Consumidor de Iowa (Iowa Code Capítulo 715D). Es información legal general, no asesoría legal.
Qué es la ICDPA: estatuto, promulgación y fecha de entrada en vigor
La Ley de Protección de Datos del Consumidor de Iowa es la primera ley integral de privacidad de datos del consumidor de Iowa. El encabezado del capítulo en el Iowa Code dice "Protecciones de Datos del Consumidor", y la ley es ampliamente conocida por el nombre corto Ley de Protección de Datos del Consumidor de Iowa, o ICDPA. Está codificada en el Iowa Code Capítulo 715D, que va desde la Sección 715D.1 (definiciones) hasta la Sección 715D.9 (preferencia normativa).
La legislatura la aprobó como el Senate File 262 durante la sesión de 2023, y la gobernadora Kim Reynolds la firmó el 28 de marzo de 2023. Cada sección del capítulo lleva la cita de promulgación "2023 Acts, ch 17", la forma que tomó el proyecto de ley una vez codificado. La ley entró en vigor el 1 de enero de 2025, dando a las empresas cubiertas más de un año para prepararse.
Ese calendario convirtió a Iowa en el sexto estado en promulgar una ley amplia de privacidad del consumidor, después de California, Virginia, Colorado, Utah y Connecticut. La ICDPA se ubica claramente en el linaje de Virginia y Utah en lugar del de California. Utiliza el vocabulario de controlador y encargado del tratamiento de esos estatutos y otorga una lista de derechos del consumidor familiar, pero inusualmente corta.
Lo que distingue a la ICDPA no es su estructura sino cuánto reduce las obligaciones que impone y los derechos que otorga. En casi cada decisión de diseño en disputa, Iowa eligió la opción más favorable para las empresas disponible, razón por la cual los comentaristas describen regularmente a la ICDPA como la ley estatal integral de privacidad más débil en Estados Unidos a partir de 2026.
A quién cubre la ICDPA: los umbrales de la Sección 715D.2
La prueba de aplicabilidad en la Sección 715D.2(1) controla quién debe cumplir. La ley se aplica a una persona que realiza negocios en Iowa, o que produce productos o servicios dirigidos a residentes de Iowa, que durante un año calendario hace una de dos cosas.
Primero, bajo la Sección 715D.2(1)(a), la empresa "controla o procesa datos personales de al menos cien mil consumidores". Segundo, bajo la Sección 715D.2(1)(b), "controla o procesa datos personales de al menos veinticinco mil consumidores y obtiene más del cincuenta por ciento de sus ingresos brutos de la venta de datos personales".
Un "consumidor" se define en la Sección 715D.1 como una persona natural que es residente de Iowa y actúa en un contexto individual o del hogar. La definición excluye expresamente a una persona que actúa en un contexto comercial o laboral, por lo que los contactos entre empresas y los empleados no cuentan para estos umbrales.
Cabe destacar que Iowa no combina sus umbrales de datos con un piso de ingresos separado como lo hacen algunos estados. Una empresa supera la prueba simplemente al alcanzar la marca de 100,000 consumidores, o la marca de 25,000 consumidores más venta de datos, sin importar los ingresos totales. Las pequeñas empresas por debajo de esos volúmenes de datos quedan completamente fuera de la ICDPA.

Exenciones categóricas bajo la Sección 715D.2(2) y (3)
Aun entre las empresas que superan el umbral, la Sección 715D.2 elimina categorías completas de organizaciones y datos del alcance de la ley. Estas exenciones son tanto a nivel de entidad como de datos, y siguen el patrón establecido por otras leyes estatales.
En el lado de las entidades, la Sección 715D.2(2) establece que el capítulo no se aplica al estado ni a ninguna subdivisión política del estado; a las instituciones financieras, sus afiliadas, o los datos sujetos al Título V de la Ley Federal Gramm-Leach-Bliley; a las personas que cumplen con HIPAA y la Ley HITECH; a las organizaciones sin fines de lucro; ni a las instituciones de educación superior. Las exenciones para organizaciones sin fines de lucro y educación superior son exenciones completas a nivel de entidad, por lo que las organizaciones benéficas y las universidades generalmente quedan fuera del alcance de la ley aun cuando manejen grandes volúmenes de datos de residentes de Iowa.
En el lado de los datos, la Sección 715D.2(3) excluye la información de salud protegida y los registros médicos, la información que identifica a pacientes bajo 42 U.S.C. 290dd-2, los datos de investigación con seres humanos, y la información regulada por la Ley Federal de Informe Justo de Crédito bajo la Sección 715D.2(3)(m). También excluye los datos regidos por la Ley de Protección de la Privacidad del Conductor bajo el inciso (n), los registros educativos bajo FERPA bajo el inciso (o), y los datos bajo la Ley Federal de Crédito Agrícola bajo el inciso (p).
Los datos laborales y de contacto de emergencia se excluyen bajo la Sección 715D.2(3)(q), y los datos personales usados de conformidad con la Ley Federal de Protección de la Privacidad Infantil en Línea se excluyen bajo el inciso (r). El resultado práctico es que los bancos, las cooperativas de crédito, los hospitales, las escuelas y las agencias estatales generalmente operan fuera de la ICDPA en cuanto a los datos que esas leyes federales ya regulan.
El conjunto de derechos marcadamente limitado: por qué Iowa es la más favorable para las empresas
La razón más clara por la que la ICDPA se llama la ley integral de privacidad más débil es su corta lista de derechos. La Sección 715D.3(1) otorga a un consumidor el derecho a confirmar si un controlador está procesando los datos personales del consumidor y a acceder a esos datos, el derecho a eliminar los datos personales que el consumidor proporcionó, el derecho a obtener una copia portátil de los datos que el consumidor proporcionó, y el derecho a excluirse de la venta de datos personales.
Esa es toda la lista. No existe derecho a corregir datos inexactos, un derecho que Virginia, Colorado, Connecticut y Texas otorgan. No existe derecho a excluirse de la publicidad dirigida, aunque el estatuto define la "publicidad dirigida" en la Sección 715D.1 y exige una divulgación al respecto en la Sección 715D.4(6). Y no existe derecho a excluirse del perfilamiento, algo que varios otros estados extienden a las decisiones que producen efectos legales o de importancia similar.
El derecho de eliminación de Iowa también es más restringido que en la mayoría de los estados. Bajo la Sección 715D.3(1)(b), un consumidor puede eliminar "datos personales proporcionados por el consumidor", no todos los datos personales que un controlador ha recopilado sobre el consumidor de otras fuentes. El derecho de portabilidad en la Sección 715D.3(1)(c) está igualmente limitado a los datos que el consumidor proporcionó previamente.
Estas brechas son el titular. Donde la mayoría de los estados otorgan cinco o seis derechos, Iowa otorga cuatro, y dos de las protecciones más importantes para el consumidor, la corrección y una exclusión de publicidad dirigida, simplemente están ausentes.
El modelo de exclusión para datos sensibles y la carga de cumplimiento más ligera
Iowa también adopta el enfoque más ligero posible para los datos sensibles. Bajo la Sección 715D.4(2), un controlador "no procesará datos sensibles recopilados de un consumidor para un propósito no exento sin que se le haya presentado al consumidor un aviso claro y una oportunidad de exclusión". Para un niño identificado, el controlador debe procesar en cambio los datos de conformidad con la Ley Federal de Protección de la Privacidad Infantil en Línea.
Ese es un modelo de exclusión, el mismo enfoque que usa Utah. La mayoría de las demás leyes estatales integrales, incluidas las de Virginia, Colorado, Connecticut y Texas, exigen consentimiento de inclusión antes de que un controlador pueda procesar datos sensibles. Iowa invierte el valor predeterminado: un controlador puede procesar datos sensibles y simplemente dar al consumidor aviso y la oportunidad de rechazarlo.
Los datos sensibles se definen en la Sección 715D.1 e incluyen el origen racial o étnico, las creencias religiosas, el diagnóstico de salud mental o física, la orientación sexual, el estatus de ciudadanía o inmigración, los datos genéticos o biométricos procesados para identificar de manera única a una persona, los datos personales recopilados de un niño identificado, y los datos de geolocalización precisa con una exactitud de 1,750 pies.
Dos deberes que se han vuelto estándar en otros lugares también están ausentes. La ICDPA no contiene un requisito de evaluación de protección de datos, por lo que un controlador cubierto de Iowa no tiene que documentar evaluaciones de riesgo para el procesamiento de alto riesgo. Y el estatuto no exige a los controladores respetar señales universales de exclusión como el Control de Privacidad Global; los derechos de exclusión en la Sección 715D.3 se ejercen a través del método que el controlador designe bajo la Sección 715D.4.

Aplicación, la subsanación de 90 días, y ningún derecho de acción privado
La ICDPA se aplica únicamente a través del Fiscal General. La Sección 715D.8(1) otorga al Fiscal General "autoridad exclusiva para hacer cumplir las disposiciones de este capítulo" y el poder de emitir una solicitud de investigación civil por causa razonable.
Antes de presentar cualquier acción, el Fiscal General debe dar a la empresa un aviso escrito de 90 días que identifique las disposiciones específicas presuntamente infringidas. Bajo la Sección 715D.8(2), si el controlador o encargado subsana la infracción notificada dentro de ese plazo y proporciona una declaración escrita de que las infracciones han sido subsanadas y no volverán a ocurrir, no se puede iniciar ninguna acción. Este período de subsanación es el más largo de cualquier ley estatal de privacidad, y a diferencia de varios estados que dejan que sus ventanas de subsanación expiren, la de Iowa no tiene fecha de vencimiento.
Si la empresa no subsana la infracción, o incumple su declaración escrita de subsanación, la Sección 715D.8(3) autoriza al Fiscal General a buscar una medida cautelar y sanciones civiles de hasta $7,500 por cada infracción. Las sanciones recaudadas se pagan al fondo de educación y litigio del consumidor bajo la Sección 714.16C. La Sección 715D.8(4) establece que el capítulo no crea un derecho de acción privado, por lo que los habitantes individuales de Iowa no pueden demandar directamente a una empresa bajo la ICDPA.
ICDPA frente a CCPA: las diferencias clave
Las empresas que operan a nivel nacional a menudo comparan la ley de Iowa con la CCPA de California. Nuestra página de comparación de leyes estatales de privacidad de datos cubre el panorama completo de múltiples estados, pero tres distinciones entre la ICDPA y la CCPA de California son las más importantes.
| Característica | ICDPA de Iowa (Cap. 715D) | CCPA de California |
|---|---|---|
| Derecho a corregir | No | Sí |
| Exclusión de publicidad dirigida | No | Sí (limitar el uso compartido) |
| Datos sensibles | Aviso más exclusión (715D.4(2)) | Derecho a limitar el uso |
| Ventana de respuesta | 90 días (715D.3(2)) | 45 días |
| Derecho de acción privado | Ninguno (715D.8(4)) | Limitado, para brechas de datos |
Derechos y correcciones. La CCPA otorga a los consumidores de California un derecho a corregir información personal inexacta y un derecho a limitar el uso compartido de datos para publicidad conductual entre contextos. La ICDPA no ofrece ninguno de los dos. Los cuatro derechos de Iowa se detienen en el acceso, la eliminación, la portabilidad y una exclusión de venta bajo la Sección 715D.3.
Tiempo de respuesta. California exige a las empresas responder a la mayoría de las solicitudes del consumidor dentro de 45 días. Iowa otorga a los controladores 90 días bajo la Sección 715D.3(2)(a), prorrogables una vez por 45 días más, la ventana de respuesta más generosa entre las leyes estatales de privacidad.
Recursos. California conserva un derecho de acción privado limitado para ciertas brechas de datos, con daños estatutarios entre $100 y $750 por consumidor por incidente. La ICDPA no tiene ningún derecho de acción privado; bajo la Sección 715D.8, solo el Fiscal General de Iowa puede hacer cumplir la ley.
Más Leyes de Iowa
- Leyes de Grabación de Reuniones con IA de Iowa
- Leyes de Pensión Alimenticia de Iowa
- Leyes de Empleo a Voluntad de Iowa
- Leyes de Accidentes Automovilísticos de Iowa
- Leyes de Asientos de Seguridad para Niños de Iowa
- Leyes de Custodia de Menores de Iowa
- Leyes de Manutención Infantil de Iowa
- Leyes de Matrimonio de Hecho de Iowa
- Leyes sobre Deepfakes de Iowa
- Leyes de Divorcio de Iowa
- Leyes sobre Mordeduras de Perro de Iowa
- Leyes de Emancipación de Iowa
- Leyes de Eliminación de Antecedentes Penales de Iowa
- Leyes de Atropello y Fuga de Iowa
- Leyes de Propietarios e Inquilinos de Iowa
- Leyes del Limón de Iowa
Guías relacionadas
- Leyes de Privacidad de Datos de Iowa (centro de la ICDPA)
- Derechos del Consumidor Bajo la ICDPA: Lo Que los Habitantes de Iowa Pueden y No Pueden Hacer
- Lista de Verificación de Cumplimiento de la ICDPA para Empresas
- Comparación de Leyes Estatales de Privacidad de EE. UU.
- ¿Qué es la CCPA? La Ley de Privacidad de California Explicada
Preguntas frecuentes
¿Qué es la ICDPA?
La ICDPA, o Ley de Protección de Datos del Consumidor de Iowa, es la ley integral de privacidad de datos del consumidor de Iowa, codificada en el Iowa Code Capítulo 715D (Secciones 715D.1 a 715D.9). Fue promulgada como el Senate File 262, firmada por la gobernadora Kim Reynolds el 28 de marzo de 2023, y entró en vigor el 1 de enero de 2025. Otorga a los residentes de Iowa un conjunto limitado de derechos sobre sus datos personales y es ampliamente considerada la ley estatal integral de privacidad más favorable para las empresas en Estados Unidos.
¿Cuándo entró en vigor la Ley de Protección de Datos del Consumidor de Iowa?
La ICDPA entró en vigor el 1 de enero de 2025, casi dos años después de que la gobernadora Kim Reynolds firmara el Senate File 262 el 28 de marzo de 2023. La fecha de entrada en vigor diferida dio a las empresas cubiertas tiempo para desarrollar avisos de privacidad y procesos de solicitud del consumidor antes de que comenzara cualquier obligación.
¿A quién se aplica la ICDPA?
Bajo la Sección 715D.2(1), la ICDPA se aplica a una empresa que opera en Iowa o se dirige a residentes de Iowa que, durante un año calendario, controla o procesa datos personales de al menos 100,000 consumidores, o controla o procesa datos personales de al menos 25,000 consumidores mientras obtiene más del 50% de sus ingresos brutos de la venta de datos personales. Los residentes de Iowa que actúan en un contexto comercial o laboral no se cuentan como consumidores.
¿Por qué se llama a la ley de privacidad de Iowa la más débil del país?
Porque otorga la menor cantidad de derechos e impone la menor cantidad de obligaciones. Iowa otorga solo cuatro derechos del consumidor bajo la Sección 715D.3, sin derecho a corregir datos, sin exclusión de publicidad dirigida, y sin exclusión de perfilamiento. Tampoco exige evaluaciones de protección de datos ni el respeto de señales universales de exclusión, y usa un modelo de exclusión en lugar de inclusión para los datos sensibles bajo la Sección 715D.4(2).
¿Qué entidades están exentas de la ICDPA?
La Sección 715D.2(2) exime al estado y sus subdivisiones políticas, a las instituciones financieras cubiertas por la GLBA, a las entidades que cumplen con HIPAA y HITECH, a las organizaciones sin fines de lucro, y a las instituciones de educación superior. La Sección 715D.2(3) también exime los datos regidos por HIPAA, la Ley de Informe Justo de Crédito, la Ley de Protección de la Privacidad del Conductor, FERPA, la Ley de Crédito Agrícola, y la COPPA, además de la mayoría de los datos laborales y de contacto de emergencia.
¿La ICDPA otorga a los habitantes de Iowa un derecho a corregir sus datos?
No. Los derechos del consumidor de la ICDPA en la Sección 715D.3 se limitan a confirmar y acceder a los datos, eliminar los datos que el consumidor proporcionó, obtener una copia portátil, y excluirse de la venta de datos personales. No existe derecho a corregir datos personales inexactos, lo cual distingue a Iowa de Virginia, Colorado, Connecticut, Texas y California.
¿Cómo maneja la ICDPA los datos sensibles?
La ICDPA usa un modelo de exclusión. Bajo la Sección 715D.4(2), un controlador puede procesar datos sensibles después de presentar al consumidor un aviso claro y una oportunidad de exclusión. Para un niño identificado, el controlador debe cumplir con la Ley Federal de Protección de la Privacidad Infantil en Línea. Esto es más ligero que el consentimiento de inclusión que exigen la mayoría de las demás leyes estatales de privacidad.
¿Cómo se aplica la ICDPA?
El Fiscal General de Iowa tiene autoridad exclusiva de aplicación bajo la Sección 715D.8. Antes de demandar, el Fiscal General debe dar a una empresa un aviso escrito de 90 días y la oportunidad de subsanar, el período de subsanación más largo de cualquier estado y uno sin fecha de vencimiento. Si la empresa no subsana la infracción, las sanciones alcanzan hasta $7,500 por infracción. No existe derecho de acción privado bajo la Sección 715D.8(4).
Fuentes y referencias
- Iowa Code Capítulo 715D: Protecciones de Datos del Consumidor (Texto Completo)(legis.iowa.gov).gov
- Iowa Code Sección 715D.1: Definiciones(legis.iowa.gov).gov
- Iowa Code Sección 715D.2: Alcance y Exenciones(legis.iowa.gov).gov
- Iowa Code Sección 715D.3: Derechos de Datos del Consumidor(legis.iowa.gov).gov
- Iowa Code Sección 715D.4: Deberes del Controlador de Datos (Exclusión de Datos Sensibles)(legis.iowa.gov).gov
- Iowa Code Sección 715D.8: Aplicación y Sanciones(legis.iowa.gov).gov
- Iowa Senate File 262 (2023): Ley de Protección de Datos del Consumidor(legis.iowa.gov).gov
- Fiscal General de Iowa: Protección al Consumidor(iowaattorneygeneral.gov).gov