Minnesota
Leyes de Privacidad de Datos de Minnesota: Guía de Derechos del Consumidor (2026)

La Ley de Privacidad de Datos del Consumidor de Minnesota, Minn. Stat. secciones 325M.10 a 325M.21, entró en vigor el 31 de julio de 2025 y otorga a los consumidores el derecho de acceder, corregir, eliminar y transferir sus datos personales, optar por no participar en publicidad dirigida y venta de datos, e impugnar decisiones de perfilado automatizado que afecten el empleo, la vivienda o los seguros.
Minnesota ha construido uno de los marcos de privacidad de datos más completos de Estados Unidos. El estado combina un amplio estatuto de protección de datos del consumidor, reglas estrictas de privacidad de registros de salud, requisitos sólidos de notificación de violaciones de datos, una ley de transparencia de datos gubernamentales de larga data, y una aplicación activa a través de la oficina del Fiscal General.
Esta guía cubre todas las leyes principales de privacidad de datos de Minnesota, los derechos específicos que usted tiene como consumidor, las obligaciones que las empresas deben cumplir a partir del 31 de julio de 2025, y cómo ha sido la aplicación de la ley desde que la MCDPA entró en vigor.
Este artículo aborda la ley estatal de privacidad de datos de Minnesota y las leyes federales que se aplican a los residentes y empresas de Minnesota. No cubre las leyes de privacidad de datos de otros estados.
Ley de Privacidad de Datos del Consumidor de Minnesota (MCDPA)
La Ley de Privacidad de Datos del Consumidor de Minnesota, codificada como Minn. Stat. secciones 325M.10 a 325M.21, fue promulgada mediante el House File 2309 durante la 93.ª Sesión Legislativa de Minnesota. El gobernador Tim Walz firmó el proyecto de ley en mayo de 2024. Entró en vigor el 31 de julio de 2025.
La MCDPA regula la forma en que las empresas recopilan, usan, procesan, almacenan, venden, comparten y analizan los datos personales pertenecientes a los consumidores de Minnesota. La ley es ampliamente considerada como uno de los estatutos de privacidad estatales más sólidos del país debido a sus protecciones únicas de perfilado, sus requisitos de inventario de datos, y el vencimiento de su período de subsanación tras solo seis meses.

A Quién Se Aplica la MCDPA
La MCDPA se aplica a las entidades legales que realizan negocios en Minnesota o producen productos o servicios dirigidos a los residentes de Minnesota, y que cumplen con al menos uno de dos umbrales durante un año calendario según la Sección 325M.12:
- Controlar o procesar los datos personales de al menos 100,000 consumidores de Minnesota anualmente, excluyendo los datos procesados únicamente para completar transacciones de pago, O
- Obtener más del 25% de los ingresos brutos de la venta de datos personales Y procesar los datos personales de al menos 25,000 consumidores
El umbral de 100,000 consumidores cubre aproximadamente el 1.75% de los 5.7 millones de residentes de Minnesota. La mayoría de las empresas medianas y grandes que atienden a clientes de Minnesota quedarán sujetas a la ley.
Entidades Exentas
La MCDPA exime a varias categorías de entidades de sus requisitos según la Sección 325M.12:
- Entidades gubernamentales estatales y locales
- Tribus indígenas reconocidas federalmente
- Instituciones financieras reguladas por la Ley Gramm-Leach-Bliley (GLBA)
- Entidades cubiertas por HIPAA
- Agencias federales de informes crediticios que operan bajo la Ley de Informe Crediticio Justo (FCRA)
- Instituciones educativas reguladas por la Ley de Derechos Educativos y Privacidad Familiar (FERPA)
- Compañías de seguros reguladas bajo la ley de Minnesota
- Aerolíneas reguladas bajo la Ley de Desregulación de Aerolíneas
- Organizaciones sin fines de lucro establecidas para detectar y prevenir el fraude de seguros
- Pequeñas empresas según la definición de la Administración de Pequeñas Empresas de EE. UU. (con una excepción importante para datos sensibles)
Las corporaciones sin fines de lucro y las instituciones postsecundarias reguladas por la Oficina de Educación Superior no están obligadas a cumplir hasta el 31 de julio de 2029.
La exención para pequeñas empresas tiene una limitación importante. Según la Sección 325M.17, incluso las pequeñas empresas que de otro modo estarían exentas de la MCDPA no pueden vender los datos sensibles de un consumidor sin antes obtener su consentimiento. Las infracciones de este requisito conllevan las mismas sanciones que otras infracciones de la MCDPA.
Derechos del Consumidor Bajo la MCDPA
La MCDPA otorga a los consumidores de Minnesota siete derechos fundamentales de privacidad de datos personales según la Sección 325M.14. Estos derechos se encuentran entre los más amplios de cualquier ley estatal de privacidad de datos en el país.
Derecho a Confirmar y Acceder
Los consumidores pueden confirmar si una empresa está procesando sus datos personales y acceder a las categorías específicas de datos personales que se están recopilando y utilizando. Esto permite a los consumidores entender exactamente qué información tiene una empresa sobre ellos.
Derecho a Corregir
Los consumidores pueden solicitar que una empresa corrija datos personales inexactos. La empresa debe tener en cuenta la naturaleza de los datos personales y los propósitos del procesamiento al evaluar la solicitud de corrección.
Derecho a Eliminar
Los consumidores pueden solicitar que una empresa elimine los datos personales que ha recopilado sobre ellos. Las empresas deben cumplir a menos que se aplique una excepción, como una obligación legal de conservar los datos. El derecho a eliminar fue uno de los derechos más invocados durante los primeros seis meses de aplicación de la ley.
Derecho a la Portabilidad de Datos
Los consumidores pueden obtener una copia de sus datos personales en un formato portátil y, en la medida técnicamente posible, fácilmente utilizable, que permita la transmisión a otro responsable del tratamiento. Este derecho ayuda a los consumidores a cambiar de proveedor de servicios sin perder sus datos.
Derecho a Optar por No Participar
Los consumidores pueden optar por no participar en tres tipos de procesamiento de datos:
- Publicidad dirigida basada en datos personales recopilados de las actividades del consumidor en sitios web o aplicaciones en línea no afiliados
- Venta de datos personales a terceros a cambio de una contraprestación monetaria u otra de valor
- Perfilado en apoyo de decisiones automatizadas que produzcan efectos legales o de importancia similar
Derecho a Cuestionar Decisiones de Perfilado
Esta es una de las disposiciones más distintivas de la MCDPA. Cuando un consumidor ha sido objeto de perfilado que produce efectos legales o de importancia similar, tiene derecho a:
- Cuestionar el resultado de la decisión de perfilado
- Conocer la razón por la cual el perfilado resultó en esa decisión en particular
- Entender qué acciones podría haber tomado el consumidor para producir una decisión diferente
- Solicitar una reevaluación si la decisión de perfilado se basó en datos personales inexactos
Esta disposición está diseñada específicamente para proteger a los residentes de Minnesota de decisiones perjudiciales impulsadas por IA que afecten el acceso al empleo, la vivienda, los seguros y otros servicios críticos. Minnesota es uno de los primeros estados en crear estos derechos, garantizando que los sistemas automatizados no puedan privar a los residentes de oportunidades importantes sin explicación ni posibilidad de recurso.
Derecho a una Lista de Divulgación a Terceros
Los consumidores pueden obtener una lista de los terceros específicos a los que una empresa ha divulgado sus datos personales. Esto va más allá de lo que exigen la mayoría de las leyes estatales de privacidad, que típicamente solo exigen la divulgación de categorías de terceros en lugar de los nombres específicos de las empresas.
Cómo Ejercer Sus Derechos
Los consumidores pueden ejercer cualquiera de estos derechos presentando una solicitud a un responsable del tratamiento en cualquier momento. Los padres o tutores legales pueden ejercer los derechos en nombre de menores conocidos. Los agentes autorizados pueden ejercer los derechos de exclusión en nombre de un consumidor.
Las empresas deben responder a las solicitudes de exclusión dentro de 45 días o tan pronto como sea posible. Para todas las demás solicitudes, las empresas deben responder dentro de 45 días, con una posible extensión única de 45 días adicionales para solicitudes complejas.
Los consumidores tienen derecho a realizar estas solicitudes de forma gratuita dos veces al año. Las empresas pueden cobrar una tarifa razonable por solicitudes adicionales que sean manifiestamente infundadas o excesivas.
Mecanismo Universal de Exclusión
La MCDPA exige que las empresas respeten las señales universales de preferencia de exclusión provenientes de plataformas y tecnologías aprobadas. Estas señales, que pueden activarse a través de un navegador web, permiten a los consumidores optar por no participar en la publicidad dirigida y la venta de datos en múltiples sitios web sin presentar solicitudes individuales a cada empresa.
El mecanismo de exclusión no debe perjudicar injustamente a los competidores, debe requerir una elección afirmativa del consumidor en lugar de depender de configuraciones predeterminadas, debe ser fácil de usar para el consumidor, y debe permitir que el responsable del tratamiento verifique la residencia del consumidor en Minnesota.
Proceso de Apelación
Las empresas deben establecer un proceso interno de apelación accesible. Si se deniega una solicitud de derechos de un consumidor, la empresa debe proporcionar una decisión dentro de los 45 días posteriores a la apelación (prorrogable por 60 días en casos complejos), junto con instrucciones claras para presentar una queja ante el Fiscal General de Minnesota.

Protecciones de Datos Sensibles
La MCDPA proporciona protecciones reforzadas para los datos personales sensibles según la Sección 325M.16. Las empresas no pueden procesar datos sensibles sin antes obtener el consentimiento expreso del consumidor, o en el caso de menores, el consentimiento parental de conformidad con COPPA.
Categorías de Datos Sensibles
La MCDPA define los datos sensibles para incluir:
- Origen racial o étnico
- Creencias religiosas
- Condiciones o diagnósticos de salud mental o física
- Orientación sexual
- Ciudadanía o estatus migratorio
- Datos genéticos
- Datos biométricos procesados con el fin de identificar de manera única a una persona específica
- Datos personales de un menor conocido menor de 13 años
- Datos de geolocalización específica (definidos como coordenadas con una precisión de más de tres grados decimales)
Protecciones de Datos Biométricos
Minnesota define los datos biométricos como mediciones automáticas de características biológicas, incluyendo huellas dactilares, huellas de voz, escaneos de iris o retina, y otros patrones biológicos utilizados para identificar a una persona específica. Las fotografías digitales o físicas y las grabaciones de audio o video estándar quedan excluidas de esta definición, a menos que se procesen específicamente para generar un identificador de una persona.
Las empresas deben obtener el consentimiento expreso antes de recopilar o procesar datos biométricos. Este requisito se aplica independientemente del tamaño de la empresa, lo que significa que incluso las pequeñas empresas que de otro modo estarían exentas de la MCDPA deben seguir las reglas de consentimiento de datos biométricos al vender dichos datos.
Protecciones de Datos de Menores
La MCDPA proporciona protecciones escalonadas para los datos de menores:
- Menores de 13 años: Cualquier dato personal sobre un menor conocido menor de 13 años se clasifica automáticamente como dato sensible y requiere el consentimiento parental bajo COPPA antes de su procesamiento
- Menores de 13 a 16 años: Las empresas no pueden procesar los datos personales de consumidores conocidos por tener entre 13 y 16 años con fines de publicidad dirigida o venta de datos personales sin el consentimiento expreso del consumidor
Estas disposiciones funcionan junto con las protecciones federales de COPPA para crear un fuerte escudo para la información personal de los menores en Minnesota.
Obligaciones del Responsable y del Encargado del Tratamiento
Responsabilidades del Responsable del Tratamiento
Las empresas que actúan como responsables del tratamiento deben cumplir con varias obligaciones según la Sección 325M.16:
Aviso de Privacidad: Los responsables del tratamiento deben proporcionar un aviso de privacidad claro y accesible que incluya las categorías de datos personales procesados, los propósitos del procesamiento, una explicación de los derechos del consumidor, las categorías de datos vendidos o compartidos con terceros, la información de contacto, las políticas de retención de datos, y la fecha de la última actualización. El aviso debe aparecer como un hipervínculo visible que use la palabra "privacidad" en la página de inicio o la aplicación.
Minimización de Datos: Los responsables del tratamiento solo pueden recopilar datos personales que sean adecuados, relevantes y razonablemente necesarios para los propósitos declarados.
Seguridad de Datos: Los responsables del tratamiento deben establecer y mantener prácticas razonables de seguridad de datos administrativas, técnicas y físicas apropiadas para el volumen y la naturaleza de los datos personales procesados.
Inventario de Datos: La MCDPA exige que los responsables del tratamiento mantengan un inventario de los datos que procesan. Esto es único entre las leyes estatales de privacidad y ayuda a garantizar que las empresas sepan qué datos personales poseen y cómo se están utilizando.
Revocación del Consentimiento: Los responsables del tratamiento deben proporcionar un mecanismo para que los consumidores revoquen el consentimiento que sea al menos tan fácil como el mecanismo utilizado para otorgarlo. Una vez revocado, el responsable del tratamiento debe cesar el procesamiento dentro de 15 días.
No Discriminación: Los responsables del tratamiento no pueden usar los datos personales para discriminar ilegalmente por raza, color, etnia, religión, origen nacional, sexo, identidad de género, orientación sexual, estado familiar, fuente de ingresos o discapacidad. Los responsables del tratamiento tampoco pueden discriminar contra los consumidores por ejercer sus derechos de privacidad de datos, negando bienes o servicios, cobrando precios diferentes, o proporcionando una calidad de servicio inferior.
Prohibición de Renuncia: Cualquier disposición contractual que exija a un consumidor renunciar a sus derechos bajo la MCDPA es nula e inaplicable.
Obligaciones del Encargado del Tratamiento
Los encargados del tratamiento deben cumplir con las instrucciones del responsable del tratamiento, asistir con las solicitudes de derechos de los consumidores, proporcionar información sobre seguridad de datos, contratar subcontratistas solo con la aprobación del responsable del tratamiento y un contrato por escrito, y permitir que el responsable del tratamiento realice evaluaciones e inspecciones.
La relación entre los responsables y los encargados del tratamiento debe regirse por un acuerdo vinculante que especifique la naturaleza y el propósito del procesamiento, el tipo de datos involucrados, la duración del procesamiento, y las obligaciones y derechos de ambas partes.
Evaluaciones de Protección de Datos
La MCDPA exige que los responsables del tratamiento realicen evaluaciones de privacidad y protección de datos según la Sección 325M.18 para varios tipos de actividades de procesamiento de datos de alto riesgo:
| Actividad que Requiere Evaluación | Consideraciones Clave |
|---|---|
| Publicidad dirigida | Tipo y sensibilidad de los datos, expectativas del consumidor |
| Venta de datos personales | Beneficios para el responsable del tratamiento frente a riesgos para los derechos del consumidor |
| Procesamiento de datos sensibles | Contexto del procesamiento, medidas de anonimización utilizadas |
| Procesamiento que presenta un riesgo elevado de daño | Naturaleza de la relación entre el responsable del tratamiento y el consumidor |
| Perfilado con riesgo de trato injusto | Potencial de daño financiero, físico o reputacional |
Cada evaluación debe documentar el nombre e información de contacto del director de privacidad, las políticas de privacidad, las prácticas de diseño que integran la privacidad, los procedimientos de identificación de datos, las prácticas de seguridad, los procedimientos de limitación de recolección, las políticas de retención, y los procedimientos de remediación de infracciones.
El Fiscal General de Minnesota puede solicitar estas evaluaciones mediante una citación de investigación civil. Sin embargo, las evaluaciones se clasifican como datos no públicos, y su divulgación al Fiscal General no constituye una renuncia al privilegio abogado-cliente.
Aplicación de la Ley y Sanciones
Autoridad del Fiscal General
El Fiscal General de Minnesota tiene autoridad exclusiva de aplicación de la ley sobre la MCDPA según la Sección 325M.20. No existe un derecho de acción privado, lo que significa que los consumidores individuales no pueden demandar directamente a las empresas por infracciones de la MCDPA. Los consumidores que crean que se han violado sus derechos deben presentar una queja ante la oficina del Fiscal General de Minnesota o a través del portal estatal de privacidad del consumidor en privacymn.com.
Estado del Período de Subsanación: Vencido
Desde el 31 de julio de 2025 hasta el 31 de enero de 2026, la MCDPA exigía que el Fiscal General emitiera una advertencia por escrito identificando las presuntas infracciones específicas y otorgara a la empresa un período de subsanación de 30 días antes de tomar medidas de aplicación de la ley. Este período de subsanación fue diseñado intencionalmente como una medida temporal.
A partir del 31 de enero de 2026, el período de subsanación ha vencido. El Fiscal General de Minnesota ya no está obligado a proporcionar una carta de advertencia ni una oportunidad de subsanación antes de iniciar acciones de aplicación de la ley.
Actividad Temprana de Aplicación de la Ley
El 5 de febrero de 2026, el Fiscal General Keith Ellison anunció la fase de aplicación plena de la MCDPA. La oficina del Fiscal General informó que desde el 31 de julio de 2025 hasta febrero de 2026:
- La oficina recibió más de 200 quejas de consumidores relacionadas con infracciones de la MCDPA
- Muchas quejas involucraban a consumidores que intentaban ejercer el derecho a eliminar sus datos personales
- La oficina envió decenas de cartas de advertencia a empresas con problemas relacionados con las políticas de privacidad, los procedimientos para atender las solicitudes de derechos del consumidor, los mecanismos de consentimiento para la recolección de datos sensibles, y el incumplimiento en respetar las señales universales de exclusión
- Las respuestas de las empresas fueron generalmente productivas, y la mayoría corrigió rápidamente los problemas identificados
La oficina del Fiscal General enfatizó que, a partir de febrero de 2026, la aplicación de la ley puede proceder sin previo aviso. El portal privacymn.com proporciona formularios modelo que los consumidores pueden usar para ejercer sus derechos y presentar quejas.
Sanciones
| Tipo de Infracción | Sanción Máxima |
|---|---|
| Cada infracción de la MCDPA | Hasta $7,500 por infracción |
| Medida cautelar | Orden judicial para detener las infracciones |
| Gastos de litigio | Costos razonables recuperados por el estado |
Dado que las sanciones se evalúan por infracción, una empresa que incurra en prácticas de incumplimiento generalizadas entre muchos consumidores podría enfrentar sanciones totales sustanciales. El Fiscal General puede iniciar acciones de aplicación de la ley bajo el Estatuto de Minnesota 8.31 y buscar sanciones civiles, medidas cautelares y gastos de litigio razonables.

Ley de Notificación de Violaciones de Datos
La ley de notificación de violaciones de datos de Minnesota, Minn. Stat. sección 325E.61, exige que las empresas notifiquen a los consumidores cuando su información personal haya sido comprometida. Esta ley funciona junto con la MCDPA para crear un marco integral de protección de la privacidad.
Quién Debe Notificar
Cualquier persona o empresa que realice negocios en Minnesota y posea o tenga licencia sobre datos que contengan información personal debe divulgar una violación del sistema de seguridad a cualquier residente de Minnesota cuya información personal no cifrada haya sido, o se crea razonablemente que haya sido, adquirida por una persona no autorizada.
Las entidades que mantienen información personal en nombre de otra empresa pero no son propietarias de los datos deben notificar al propietario o titular de la licencia de los datos inmediatamente después de descubrir la violación.
Definición de Información Personal
Según la sección 325E.61, información personal significa el nombre o la inicial del nombre y el apellido de una persona combinados con uno o más de los siguientes elementos de datos cuando no estén cifrados:
- Número de Seguro Social
- Número de licencia de conducir o número de tarjeta de identificación de Minnesota
- Número de cuenta financiera, número de tarjeta de crédito o número de tarjeta de débito en combinación con cualquier código de seguridad, código de acceso o contraseña requerida que permita el acceso a la cuenta
Plazo de Notificación
Las empresas deben proporcionar la notificación en el plazo más expedito posible y sin demora injustificada. La notificación puede retrasarse si las fuerzas del orden determinan que impediría una investigación criminal, pero debe proporcionarse una vez que las fuerzas del orden lo aprueben.
Métodos de Notificación
Las empresas pueden notificar a los consumidores afectados a través de:
- Notificación escrita enviada por correo a la dirección más reciente registrada
- Notificación electrónica si la comunicación electrónica es el método principal de contacto o si cumple con las leyes federales de registros electrónicos
- Notificación sustitutiva cuando los costos superen los $250,000, se vean afectadas más de 500,000 personas, o la empresa carezca de información de contacto suficiente. La notificación sustitutiva requiere una combinación de notificación por correo electrónico, publicación en el sitio web, y notificación a los principales medios de comunicación a nivel estatal.
Notificación a Agencias de Informes Crediticios del Consumidor
Si una violación afecta a 500 o más personas a la vez, la empresa debe notificar a todas las agencias nacionales de informes crediticios del consumidor dentro de las 48 horas sobre el momento, la distribución y el contenido de los avisos de violación enviados a los consumidores.
Exenciones
Las instituciones financieras, según se definen en la ley federal (15 U.S.C. sección 6809(3)), que mantienen sus propios procedimientos de notificación consistentes con los requisitos de plazo de la sección 325E.61, están exentas de los requisitos de notificación estatales.
Ley de Registros de Salud de Minnesota
La Ley de Registros de Salud de Minnesota (MHRA), codificada en Minn. Stat. secciones 144.291 a 144.298, establece un marco integral para proteger la confidencialidad de la información de salud de los pacientes en Minnesota. La MHRA debe interpretarse de manera que proteja los registros de salud de los pacientes de forma más estricta que las reglas federales de seguridad y privacidad de HIPAA.
Diferencias Clave con HIPAA
La MHRA va más allá de HIPAA en varios aspectos importantes:
- Se requiere consentimiento por escrito para remisiones de tratamiento: Un médico de Minnesota debe obtener el consentimiento por escrito del paciente antes de enviar registros a un especialista, incluso con fines de tratamiento. Bajo HIPAA, un médico de atención primaria puede compartir registros con un especialista sin el consentimiento escrito del paciente.
- Cubre a los profesionales de medicina alternativa: La MHRA se aplica a quiroprácticos, acupunturistas, masajistas terapéuticos y naturópatas, incluso cuando no pueden facturar al seguro electrónicamente. HIPAA no se aplica automáticamente a dichos profesionales.
- Derecho de acción privado: Los pacientes de Minnesota tienen un derecho de acción privado por infracciones de la MHRA. HIPAA no ofrece ningún derecho de acción privado, dejando la aplicación federal exclusivamente al Departamento de Salud y Servicios Humanos.
Derechos del Paciente Bajo la MHRA
Según Minn. Stat. sección 144.292, los pacientes en Minnesota tienen derecho a:
- Solicitar y recibir una copia completa de su registro de salud
- Conocer la identidad de las personas que tienen acceso a sus registros
- Dar su consentimiento por escrito antes de que se divulguen sus registros
- Inspeccionar y copiar registros dentro de un plazo razonable
- Impugnar la exactitud o integridad de su registro de salud
Los proveedores de atención médica generalmente deben responder a las solicitudes de registros dentro de 30 días.
Requisitos de Consentimiento
La Sección 144.293 exige el consentimiento explícito por escrito para la mayoría de las divulgaciones de registros de salud de pacientes, incluyendo las remisiones de tratamiento entre proveedores. El consentimiento por escrito debe identificar a la persona autorizada a divulgar los registros, a la persona autorizada a recibirlos, los registros que se divulgarán, el propósito de la divulgación, y la fecha de vencimiento del consentimiento. La sesión legislativa de 2025 modificó los requisitos de duración y documentación del consentimiento según 2025 c 20 s 118.

Ley de Prácticas de Datos Gubernamentales de Minnesota
Minnesota también cuenta con la Ley de Prácticas de Datos Gubernamentales (Minn. Stat. Capítulo 13), una de las leyes de transparencia gubernamental más antiguas y completas de Estados Unidos. Aunque regula principalmente la forma en que las agencias gubernamentales estatales y locales manejan los datos, otorga derechos importantes a los residentes de Minnesota que buscan acceder a registros gubernamentales o corregirlos.
Disposiciones Clave
La Ley de Prácticas de Datos Gubernamentales establece una presunción de que los datos gubernamentales son públicos y accesibles para su inspección y copia, a menos que la ley estatal o federal los clasifique como privados o no públicos. Las disposiciones clave incluyen:
- Derecho de acceso: Cualquier persona puede ver y copiar datos clasificados como públicos
- Derecho a una explicación: Si se deniega el acceso, el gobierno debe explicar el motivo
- Derecho a impugnar: Los titulares de los datos pueden impugnar por escrito la exactitud o integridad de sus datos
- Recursos: Las infracciones deliberadas conllevan sanciones de $1,000 a $15,000 por infracción, más daños reales, costos y honorarios de abogados
La Ley se aplica a las agencias estatales, condados, ciudades, distritos escolares, y ciertos municipios de áreas metropolitanas, pero no se aplica a la legislatura ni al poder judicial. La Oficina de Prácticas de Datos de Minnesota administra la Ley y atiende las quejas relacionadas con prácticas de datos. La sesión legislativa de 2025 realizó enmiendas técnicas a varias subdivisiones del Capítulo 13 relacionadas con las clasificaciones y la retención de datos.
Leyes Federales de Privacidad que se Aplican en Minnesota
Varias leyes federales crean un marco de privacidad que se aplica a los residentes de Minnesota independientemente de si una entidad cubierta está sujeta a la MCDPA.
Ley TAKE IT DOWN (2025)
El Congreso promulgó la Ley TAKE IT DOWN (Pub. L. 119-12) en abril de 2025. El presidente Trump la convirtió en ley el 19 de mayo de 2025. La ley:
- Penaliza la publicación de representaciones visuales íntimas no consentidas (NCII, por sus siglas en inglés), incluidos los deepfakes generados por IA, con sanciones de hasta dos años de prisión (mayores para contenido que involucre a menores)
- Exige que las plataformas cubiertas implementen un proceso de notificación y retiro para las solicitudes de eliminación de NCII dentro de las 48 horas
- Las plataformas tenían hasta el 19 de mayo de 2026 para implementar el proceso de notificación y retiro
La Comisión Federal de Comercio hace cumplir las obligaciones de retiro de las plataformas. Las disposiciones penales entraron en vigor de inmediato al momento de la firma.
HIPAA
La Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) se aplica a las entidades cubiertas (planes de salud, proveedores de atención médica, y cámaras de compensación de atención médica) y sus asociados comerciales en Minnesota. HIPAA establece normas mínimas para la protección de la información de salud protegida. La MCDPA exime expresamente a las entidades ya cubiertas por HIPAA, pero la Ley de Registros de Salud de Minnesota aplica una capa adicional de protección a los registros de atención médica, incluso para los proveedores cubiertos por HIPAA.
GLBA
La Ley Gramm-Leach-Bliley se aplica a las instituciones financieras en Minnesota y les exige explicar a los clientes sus prácticas de intercambio de información y proteger los datos financieros sensibles del consumidor. Las instituciones financieras sujetas a GLBA están exentas de la MCDPA, pero siguen sujetas a las reglas de salvaguardas y notificación de GLBA.
FCRA y FACTA
La Ley de Informe Crediticio Justo regula a las agencias de informes crediticios del consumidor y el uso de informes de consumidor en Minnesota. Las entidades que actúan como agencias de informes crediticios del consumidor están exentas de la MCDPA, pero permanecen sujetas a los requisitos de exactitud, acceso y disputa de la FCRA.
COPPA
La Ley de Protección de la Privacidad Infantil en Línea exige que los operadores de sitios web y servicios en línea dirigidos a menores de 13 años obtengan el consentimiento parental verificable antes de recopilar información personal. La MCDPA se basa en el fundamento de COPPA para los usuarios más jóvenes y extiende protecciones adicionales a los consumidores de 13 a 16 años.
Sección 5 de la Ley de la FTC
La sección 5 de la Ley de la Comisión Federal de Comercio prohíbe actos o prácticas desleales o engañosas en el comercio. La FTC aplica esta autoridad contra las empresas que tergiversan sus prácticas de privacidad de datos o no implementan una seguridad de datos adecuada. Esta autoridad se aplica a la mayoría de las empresas de Minnesota independientemente de si están sujetas a la MCDPA.
APRA 2.0 (Pendiente)
La Ley de Derechos de Privacidad Estadounidense (APRA) fue un borrador federal bicameral de 2024 que no fue aprobado. Una versión revisada, conocida como APRA 2.0, se presentó en la sesión de 2025. Hasta mayo de 2026, la APRA 2.0 no se ha convertido en ley. Las empresas y consumidores de Minnesota no deben asumir que existe una ley federal integral de privacidad vigente.
Qué Hace Únicas a las Leyes de Privacidad de Minnesota
El marco de privacidad de datos de Minnesota se distingue de otros estados en varios aspectos importantes.
Derecho a Cuestionar Decisiones de IA: Minnesota es uno de los primeros estados en otorgar a los consumidores un derecho específico a cuestionar los resultados de decisiones de perfilado automatizado que afecten el acceso al empleo, la vivienda, los seguros y otros servicios críticos. Los consumidores pueden exigir una explicación del razonamiento detrás de la decisión y saber qué podrían haber hecho de manera diferente.
Requisito de Inventario de Datos: Minnesota exige que los responsables del tratamiento mantengan un inventario formal de los datos personales que procesan. Ningún otro estado ha impuesto esta obligación. Ayuda a garantizar que las empresas sepan exactamente qué datos poseen, dónde se almacenan y con qué propósito.
Sin Período de Subsanación Permanente: A diferencia de la mayoría de las leyes estatales de privacidad que otorgan a las empresas una oportunidad permanente de corregir infracciones antes de enfrentar sanciones, el período de subsanación de 30 días de Minnesota venció el 31 de enero de 2026. El Fiscal General ahora puede tomar medidas de aplicación inmediatas sin advertencia previa.
Definición Específica de Geolocalización: Minnesota define los datos de geolocalización específica como coordenadas con una precisión de más de tres grados decimales, proporcionando un estándar técnico claro que otros estados no tienen.
Lista de Divulgación a Terceros: Mientras que la mayoría de los estados solo exigen que las empresas divulguen categorías de terceros que reciben datos del consumidor, Minnesota exige la divulgación de los terceros específicos por nombre.
Requisito de Exclusión Universal: Minnesota exige que las empresas respeten las señales universales de preferencia de exclusión, permitiendo a los consumidores ejercer sus derechos de exclusión automáticamente a través de la configuración del navegador.
Derecho de Acción Privado para Registros de Salud: A diferencia de HIPAA, la Ley de Registros de Salud de Minnesota otorga a los pacientes un derecho de acción privado por infracciones, permitiendo a las personas demandar por la divulgación no autorizada de sus registros médicos.

Pasos Prácticos de Cumplimiento para las Empresas de Minnesota
Las empresas sujetas a la MCDPA deben seguir estos pasos para lograr y mantener el cumplimiento:
-
Determinar la aplicabilidad: Evalúe si cumple con alguno de los dos umbrales (100,000 consumidores anualmente o 25,000 consumidores más el 25% de los ingresos provenientes de la venta de datos). Tenga en cuenta que la exclusión de transacciones de pago para el primer umbral es limitada.
-
Construir y mantener un inventario de datos: Documente cada categoría de datos personales que recopila, por qué los recopila, cuánto tiempo los conserva, y qué encargados del tratamiento o terceros los reciben. Este es un requisito legal exclusivo de Minnesota.
-
Actualizar su aviso de privacidad: El aviso debe incluir los períodos de retención de datos, las categorías específicas de datos vendidos o compartidos con terceros, e información sobre cómo los consumidores pueden ejercer sus derechos.
-
Establecer un proceso de recepción de derechos del consumidor: Cree un mecanismo para recibir y responder a las solicitudes de acceso, corrección, eliminación, portabilidad y exclusión. Configure un seguimiento interno para cumplir con el plazo de respuesta de 45 días.
-
Respetar las señales universales de exclusión: Configure su sitio web y sistemas de datos para reconocer y actuar sobre el Control de Privacidad Global u otras señales de exclusión aprobadas.
-
Obtener consentimiento para datos sensibles: Implemente un flujo de consentimiento antes de recopilar o procesar datos en cualquiera de las nueve categorías sensibles, y un flujo separado de consentimiento parental para los datos de menores de 13 años.
-
Completar evaluaciones de protección de datos: Realice evaluaciones por escrito para las cinco categorías de procesamiento de alto riesgo enumeradas en la Sección 325M.18 antes de comenzar o continuar dichas actividades.
-
Revisar los contratos con encargados del tratamiento: Asegúrese de que todos los acuerdos de procesamiento de datos con proveedores incluyan los términos requeridos según la Sección 325M.19.
-
Verificar su mecanismo de revocación de consentimiento: El mecanismo para revocar el consentimiento debe ser al menos tan fácil de usar como el mecanismo para otorgarlo. Una vez revocado, debe cesar el procesamiento dentro de 15 días.
-
Revisar los límites de la exención para pequeñas empresas: Incluso si califica como pequeña empresa según las definiciones de la SBA, no puede vender datos sensibles sin el consentimiento del consumidor.
Cómo los Residentes de Minnesota Pueden Ejercer sus Derechos de Datos
Los residentes de Minnesota pueden seguir estos pasos para ejercer sus derechos bajo la MCDPA:
-
Identifique quién tiene sus datos: Comience con las empresas cuyos productos o servicios usa. Verifique si el aviso de privacidad de la empresa menciona a Minnesota o el cumplimiento de la MCDPA.
-
Presente una solicitud de derechos directamente a la empresa: Envíe una solicitud por escrito por correo electrónico o a través del portal de solicitudes de privacidad de la empresa. Especifique si está solicitando acceso, corrección, eliminación, portabilidad de datos, o exclusión de publicidad dirigida o venta de datos.
-
Use los recursos del Fiscal General: Visite privacymn.com para obtener formularios modelo que puede usar para enviar solicitudes de derechos a las empresas.
-
Presente una queja ante el Fiscal General: Si una empresa rechaza su solicitud o no responde dentro de 45 días, presente una queja ante la oficina del Fiscal General de Minnesota. Los abogados de privacidad de la oficina del Fiscal General revisan cada queja.
-
Para registros de salud: Comuníquese directamente con su proveedor de atención médica bajo la Ley de Registros de Salud de Minnesota. Si el proveedor se niega, presente una queja ante el Departamento de Salud de Minnesota o consulte a un abogado privado (la MHRA otorga un derecho de acción privado).
-
Para registros gubernamentales: Presente una solicitud de datos a la agencia gubernamental estatal o local correspondiente bajo el Capítulo 13. Comuníquese con la Oficina de Prácticas de Datos de Minnesota si se le niega el acceso sin una explicación adecuada.
Más Leyes de Minnesota
¿Busca información sobre otras leyes de Minnesota? Visite nuestro centro de Leyes de Privacidad de Datos por Estado para comparar Minnesota con otros estados. También puede explorar temas relacionados:
- Leyes de Grabación de Reuniones con IA de Minnesota
- Leyes de Pensión Alimenticia de Minnesota
- Leyes de Empleo a Voluntad de Minnesota
- Leyes de Accidentes Automovilísticos de Minnesota
- Leyes de Asientos de Seguridad para Niños de Minnesota
- Leyes de Custodia de Menores de Minnesota
- Leyes de Manutención Infantil de Minnesota
- Leyes de Matrimonio de Hecho de Minnesota
- Leyes sobre Deepfakes de Minnesota
- Leyes de Divorcio de Minnesota
- Leyes sobre Mordeduras de Perro de Minnesota
- Leyes de Emancipación de Minnesota
- Leyes de Eliminación de Antecedentes Penales de Minnesota
- Leyes de Fuga del Lugar del Accidente de Minnesota
- Leyes de Propietarios e Inquilinos de Minnesota
- Leyes del Limón de Minnesota
Guías detalladas
Fuentes y referencias
- Estatutos de Minnesota Capítulo 325M - Ley de Privacidad de Datos del Consumidor(revisor.mn.gov).gov
- Estatutos de Minnesota Sección 325M.14 - Derechos de Datos Personales del Consumidor(revisor.mn.gov).gov
- Estatutos de Minnesota Sección 325M.12 - Alcance y Exclusiones(revisor.mn.gov).gov
- Estatutos de Minnesota Sección 325M.16 - Responsabilidades del Responsable del Tratamiento(revisor.mn.gov).gov
- Estatutos de Minnesota Sección 325M.18 - Evaluaciones de Protección de Datos(revisor.mn.gov).gov
- Estatutos de Minnesota Sección 325M.20 - Aplicación de la Ley(revisor.mn.gov).gov
- Estatutos de Minnesota Sección 325E.61 - Notificación de Violaciones de Datos(revisor.mn.gov).gov
- Estatutos de Minnesota Capítulo 13 - Ley de Prácticas de Datos Gubernamentales(revisor.mn.gov).gov
- Estado del Proyecto de Ley HF 2309 - 93.ª Legislatura de Minnesota(revisor.mn.gov).gov
- Fiscal General de Minnesota - Ley de Privacidad de Datos del Consumidor(ag.state.mn.us).gov
- Oficina de Prácticas de Datos de Minnesota - Notificación de Violaciones de Datos(mn.gov).gov
- Oficina de Prácticas de Datos de Minnesota - Leyes de Prácticas de Datos(mn.gov).gov