Minnesota
Lista de Verificación de Cumplimiento de la MCDPA de Minnesota (Minn. Stat. 325M)

Cumplir con la Ley de Privacidad de Datos del Consumidor de Minnesota (MCDPA), codificada en Minn. Stat. cap. 325M, significa más que responder a las solicitudes del consumidor. Un responsable del tratamiento cubierto debe construir y documentar un programa de gobernanza de privacidad, incluyendo un inventario de datos que pocas otras leyes estatales exigen, y estar preparado para reconocer las señales universales de exclusión, obtener el consentimiento previo para datos sensibles, y responder a las preguntas de un consumidor sobre una decisión de perfilado automatizado.
La MCDPA entró en vigor el 31 de julio de 2025 para la mayoría de los responsables del tratamiento, con una fecha retrasada al 31 de julio de 2029 para las instituciones postsecundarias reguladas por la Oficina de Educación Superior. A partir de 2026, el Fiscal General de Minnesota aplica la ley según Minn. Stat. 325M.20, el período de subsanación de 30 días ha vencido, y las sanciones alcanzan hasta $7,500 por infracción.
Alcance jurisdiccional: Esto cubre la Ley de Privacidad de Datos del Consumidor de Minnesota (Minn. Stat. cap. 325M). Es información legal general, no asesoría legal.
Paso 1: Determine si la MCDPA se aplica a usted
Comience con la prueba de aplicabilidad en Minn. Stat. 325M.12. La MCDPA alcanza a un responsable del tratamiento que realiza negocios en Minnesota, o que produce productos o servicios dirigidos a los residentes de Minnesota, y que durante un año calendario cumple con uno de dos umbrales.
El primer umbral es controlar o procesar los datos personales de 100,000 o más consumidores, sin contar los datos procesados únicamente para completar una transacción de pago. El segundo es controlar o procesar los datos de 25,000 o más consumidores mientras se obtiene más del 25 por ciento de los ingresos brutos de la venta de datos personales.
Minnesota también exime a las pequeñas empresas según la definición de la Administración de Pequeñas Empresas de Estados Unidos, aunque una pequeña empresa exenta aún no puede vender los datos sensibles de un consumidor sin su consentimiento. Compare su entidad y sus conjuntos de datos con las exenciones de la ley, incluyendo las exclusiones de GLBA y HIPAA, antes de concluir que está fuera del alcance.
Paso 2: Construya un inventario de datos y un programa de gobernanza
Esta es la carga de cumplimiento distintiva de la MCDPA. Según Minn. Stat. 325M.18, un responsable del tratamiento debe establecer, implementar y mantener prácticas razonables de seguridad de datos administrativas, técnicas y físicas, y como parte de ese programa debe mantener un inventario de los datos personales que administra.
El responsable del tratamiento también debe documentar y mantener una descripción de las políticas y procedimientos que ha adoptado para cumplir con la ley. Esa documentación debe abordar las prácticas de minimización y retención de datos e incluir el nombre y la información de contacto del director de privacidad del responsable del tratamiento u otra persona con responsabilidad principal sobre la privacidad de datos.
Pocas otras leyes estatales de privacidad exigen un inventario de datos documentado de este tipo, por lo que un responsable del tratamiento no puede simplemente copiar un programa al estilo de Virginia. El inventario también es la base para satisfacer el derecho a la lista de terceros específicos, porque no se puede informar a un consumidor qué destinatarios nombrados recibieron sus datos a menos que se hayan mapeado los flujos de datos. Construya esto primero; el resto del programa depende de ello.

Paso 3: Actualice su aviso de privacidad
Bajo la MCDPA, un responsable del tratamiento debe proporcionar a los consumidores un aviso de privacidad razonablemente accesible, claro y significativo. El aviso debe describir las categorías de datos personales procesados, los propósitos del procesamiento, las categorías de datos personales compartidos con terceros, y las categorías de terceros involucrados.
El aviso también debe explicar cómo los consumidores pueden ejercer sus derechos y apelar la decisión de un responsable del tratamiento, y debe divulgar si el responsable del tratamiento vende datos personales o los procesa para publicidad dirigida o perfilado, junto con cómo optar por no participar. Debido a que Minnesota exige el reconocimiento de las señales universales de exclusión, el aviso debe explicar que el responsable del tratamiento respeta dichas señales.
Paso 4: Maneje los datos sensibles y la exclusión universal
Dos obligaciones de consentimiento y señales se encuentran en el corazón del procesamiento de la MCDPA. Primero, un responsable del tratamiento debe obtener el consentimiento previo antes de procesar datos sensibles, que incluyen datos que revelan el origen racial o étnico, la religión, una condición o diagnóstico de salud, la orientación sexual, la ciudadanía o el estatus migratorio, los datos genéticos o biométricos, la geolocalización precisa, y los datos de un menor conocido. El consentimiento debe ser un acto afirmativo claro; no puede estar oculto ni inferirse de la inacción.
En segundo lugar, el responsable del tratamiento debe reconocer un mecanismo universal de exclusión, a veces llamado señal de preferencia de exclusión, como el Control de Privacidad Global, que permite a un consumidor optar por no participar en la venta y la publicidad dirigida a través de una sola señal de navegador o dispositivo. Configure sus sistemas para detectar y respetar esas señales, no solo las solicitudes de exclusión presentadas una por una.
Paso 5: Establezca el manejo de solicitudes, el plazo de 45 días y las apelaciones
Establezca un proceso para que los consumidores presenten solicitudes de derechos verificadas a través de los métodos que describa en su aviso de privacidad. El responsable del tratamiento generalmente debe responder dentro de 45 días, con una extensión de 45 días cuando sea razonablemente necesario y se divulgue al consumidor.
También debe ofrecer un proceso de apelaciones para cualquier rechazo. El proceso de apelaciones debe ser visible y fácil de usar, y cuando se deniega una apelación debe proporcionar al consumidor un método para contactar al Fiscal General de Minnesota. Generalmente se requieren respuestas gratuitas una vez por consumidor al año, con tarifas razonables permitidas solo para solicitudes repetidas o manifiestamente excesivas.

Paso 6: Construya un mecanismo de respuesta a resultados de perfilado
Minnesota es el único estado, a partir de 2026, que exige que un responsable del tratamiento responda a las preguntas de un consumidor sobre una decisión de perfilado automatizado, por lo que la mayoría de los programas de cumplimiento estándar no lo cubrirán. Si utiliza el perfilado en apoyo de decisiones que producen efectos legales o de importancia similar, necesita una forma operativa de responder.
Según Minn. Stat. 325M.14, un consumidor puede cuestionar el resultado del perfilado. Debe poder informar al consumidor sobre la razón por la cual el perfilado resultó en la decisión y, si es factible, qué podría hacer el consumidor para obtener una decisión diferente en el futuro. También debe permitir que el consumidor revise los datos personales utilizados, los corrija, y haga que la decisión se reevalúe si se basó en datos inexactos. Documente cómo sus modelos llegan a las decisiones lo suficientemente bien como para explicarlas, porque no puede responder estas preguntas sobre un modelo que no puede interpretar.
Paso 7: Evaluaciones, contratos con encargados del tratamiento, y la realidad de la aplicación de la ley
Realice y documente evaluaciones de protección de datos para el procesamiento de mayor riesgo, incluyendo la venta de datos personales, el procesamiento para publicidad dirigida, cierto perfilado, y el procesamiento de datos sensibles. El Fiscal General puede exigir que un responsable del tratamiento divulgue una evaluación relevante en relación con una investigación, así que manténgalas recuperables.
Establezca contratos por escrito con cada encargado del tratamiento. Esos contratos deben establecer las instrucciones de procesamiento y exigir que el encargado del tratamiento mantenga la confidencialidad, elimine o devuelva los datos, apoye las obligaciones del responsable del tratamiento, y se someta a auditorías, de conformidad con las obligaciones entre el responsable y el encargado del tratamiento establecidas en la ley.
Finalmente, presupueste para la realidad de la aplicación de la ley. El Fiscal General de Minnesota es el único aplicador según Minn. Stat. 325M.20, las sanciones civiles alcanzan hasta $7,500 por infracción, y no existe un derecho de acción privado. El derecho de subsanación de 30 días en el que confiaban los responsables del tratamiento hasta 2025 venció el 31 de enero de 2026, por lo que a partir de 2026 una oportunidad de subsanación es discrecional en lugar de garantizada. La postura más segura es cumplir antes de que llegue una queja, no confiar en corregir los problemas después del hecho.
Más Leyes de Minnesota
- Leyes de Grabación de Reuniones con IA de Minnesota
- Leyes de Pensión Alimenticia de Minnesota
- Leyes de Empleo a Voluntad de Minnesota
- Leyes de Accidentes Automovilísticos de Minnesota
- Leyes de Asientos de Seguridad para Niños de Minnesota
- Leyes de Custodia de Menores de Minnesota
- Leyes de Manutención Infantil de Minnesota
- Leyes de Matrimonio de Hecho de Minnesota
- Leyes sobre Deepfakes de Minnesota
- Leyes de Divorcio de Minnesota
- Leyes sobre Mordeduras de Perro de Minnesota
- Leyes de Emancipación de Minnesota
- Leyes de Eliminación de Antecedentes Penales de Minnesota
- Leyes de Fuga del Lugar del Accidente de Minnesota
- Leyes de Propietarios e Inquilinos de Minnesota
- Leyes del Limón de Minnesota
Guías relacionadas
Preguntas frecuentes
¿Mi empresa tiene que cumplir con la MCDPA de Minnesota?
Según Minn. Stat. 325M.12, la MCDPA se aplica si realiza negocios en Minnesota o se dirige a sus residentes y, en un año calendario, controla o procesa los datos personales de 100,000 o más consumidores, o de 25,000 o más consumidores mientras obtiene más del 25 por ciento de los ingresos brutos de la venta de datos. Las pequeñas empresas según la definición de la Administración de Pequeñas Empresas de EE. UU. están exentas, aunque todavía necesitan consentimiento para vender datos sensibles.
¿Cuál es el requisito de inventario de datos de Minnesota?
Según Minn. Stat. 325M.18, un responsable del tratamiento de Minnesota debe mantener un inventario de los datos personales que administra y documentar sus políticas y procedimientos de privacidad y seguridad de datos, incluyendo las prácticas de minimización y retención de datos y la información de contacto de su director de privacidad. Este inventario de datos documentado es poco común entre las leyes estatales de privacidad y es la base para responder al derecho a la lista de terceros específicos.
¿Cuándo entró en vigor la MCDPA de Minnesota para efectos de cumplimiento?
La MCDPA entró en vigor el 31 de julio de 2025 para la mayoría de los responsables del tratamiento. Las instituciones postsecundarias reguladas por la Oficina de Educación Superior tienen una fecha de cumplimiento retrasada al 31 de julio de 2029. A partir de 2026, la mayoría de las empresas cubiertas ya deben cumplir.
¿Necesito consentimiento para procesar datos sensibles en Minnesota?
Sí. La MCDPA exige el consentimiento previo antes de procesar datos sensibles, que incluyen datos que revelan el origen racial o étnico, la religión, condiciones de salud, la orientación sexual, la ciudadanía o el estatus migratorio, los datos genéticos o biométricos, la geolocalización precisa, y los datos de un menor conocido. El consentimiento debe ser un acto afirmativo claro y no puede inferirse de la inacción o de una casilla premarcada.
¿Con qué rapidez debe un responsable del tratamiento de Minnesota responder a una solicitud?
Un responsable del tratamiento generalmente debe responder a una solicitud verificada del consumidor dentro de 45 días. Puede extender ese período una vez por otros 45 días cuando sea razonablemente necesario, siempre que informe al consumidor sobre la extensión y el motivo dentro de los primeros 45 días. La primera respuesta en un período de 12 meses generalmente es gratuita.
¿Qué exige Minnesota para las decisiones de perfilado?
Si perfila a los consumidores en apoyo de decisiones con efectos legales o de importancia similar, Minn. Stat. 325M.14 exige que permita a un consumidor cuestionar el resultado, conocer la razón de la decisión, saber qué podría hacer para cambiarla, y revisar y corregir los datos utilizados. Necesita una forma operativa y documentada de explicar sus decisiones automatizadas, lo cual es exclusivo de Minnesota entre los estados a partir de 2026.
¿Necesito evaluaciones de protección de datos bajo la MCDPA?
Sí, para el procesamiento de mayor riesgo. La MCDPA exige que los responsables del tratamiento realicen y documenten evaluaciones de protección de datos para actividades como la venta de datos personales, la publicidad dirigida, cierto perfilado, y el procesamiento de datos sensibles. El Fiscal General de Minnesota puede exigir la divulgación de una evaluación relevante durante una investigación, así que manténgalas actualizadas y recuperables.
¿Todavía existe un período de subsanación bajo la MCDPA de Minnesota, y pueden los consumidores demandar?
El derecho de subsanación de 30 días de la MCDPA venció el 31 de enero de 2026, por lo que a partir de 2026 cualquier oportunidad de subsanación queda a discreción del Fiscal General de Minnesota en lugar de estar garantizada. Tampoco existe un derecho de acción privado: la aplicación recae únicamente en el Fiscal General según Minn. Stat. 325M.20, quien puede buscar sanciones civiles de hasta $7,500 por infracción. Los consumidores presentan quejas ante el Fiscal General en lugar de demandar directamente.
Fuentes y referencias
- Estatutos de Minnesota Capítulo 325M: Ley de Privacidad de Datos del Consumidor (Capítulo Completo)(revisor.mn.gov).gov
- Minn. Stat. 325M.12: Alcance; Exclusiones (Umbrales de Aplicabilidad)(revisor.mn.gov).gov
- Minn. Stat. 325M.14: Derechos de Datos Personales del Consumidor y Perfilado(revisor.mn.gov).gov
- Minn. Stat. 325M.14: Respuesta del Responsable del Tratamiento y Apelaciones(revisor.mn.gov).gov
- Minn. Stat. 325M.18: Obligaciones del Responsable del Tratamiento, Inventario de Datos y Seguridad(revisor.mn.gov).gov
- Minn. Stat. 325M.20: Aplicación de la Ley y Sanciones Civiles(revisor.mn.gov).gov
- Fiscal General de Minnesota: Cumplimiento Empresarial de la MCDPA(ag.state.mn.us).gov
- Fiscal General de Minnesota: Visión General de la Aplicación Empresarial de la MCDPA(ag.state.mn.us).gov