Minnesota
¿Qué es la Ley de Privacidad de Datos del Consumidor de Minnesota (MCDPA)?

La Ley de Privacidad de Datos del Consumidor de Minnesota (MCDPA), codificada en el Capítulo 325M de los Estatutos de Minnesota, entró en vigor el 31 de julio de 2025 para la mayoría de los responsables del tratamiento, con una fecha de cumplimiento retrasada al 31 de julio de 2029 para las instituciones postsecundarias reguladas por la Oficina de Educación Superior y las corporaciones sin fines de lucro regidas por el Capítulo 317A. Promulgada en 2024 como parte de una medida general (HF 4757) y firmada por el gobernador Tim Walz, otorga a los residentes de Minnesota un conjunto completo de derechos de datos más dos características que la distinguen a nivel nacional: el derecho a obtener una lista de los terceros específicos que recibieron sus datos, y el derecho a cuestionar el resultado de una decisión de perfilado automatizado.
A partir de 2026, el Fiscal General de Minnesota tiene autoridad exclusiva de aplicación de la ley y puede buscar sanciones civiles de hasta $7,500 por infracción según Minn. Stat. 325M.20. El derecho de subsanación de 30 días en el que confiaban los responsables del tratamiento hasta 2025 venció el 31 de enero de 2026, por lo que una empresa ya no puede contar con un período de gracia garantizado antes de que el estado actúe.
Alcance jurisdiccional: Esto cubre la Ley de Privacidad de Datos del Consumidor de Minnesota (Minn. Stat. cap. 325M). Es información legal general, no asesoría legal.
Qué es la MCDPA: estatuto, promulgación y fechas de vigencia
La Ley de Privacidad de Datos del Consumidor de Minnesota es la primera ley integral de privacidad de datos del consumidor de Minnesota. Está codificada en el Capítulo 325M de los Estatutos de Minnesota, desde la Sección 325M.10 hasta la Sección 325M.21, y se aprobó en la sesión legislativa de 2024 como parte de una gran medida general, el House File 4757. El gobernador Tim Walz la firmó como ley, y la mayoría de sus obligaciones sustantivas entraron en vigor el 31 de julio de 2025.
La ley utiliza una fecha de cumplimiento retrasada para una categoría de organización. Según la disposición de fecha de vigencia de la ley, las instituciones postsecundarias reguladas por la Oficina de Educación Superior no están obligadas a cumplir hasta el 31 de julio de 2029. Todos los demás responsables del tratamiento cubiertos han estado sujetos a la MCDPA desde el 31 de julio de 2025.
A partir de 2026, la MCDPA coloca a Minnesota entre los aproximadamente veinte estados que han promulgado estatutos integrales de privacidad del consumidor. Lo que distingue a Minnesota no es la amplitud de sus derechos, que siguen el modelo ahora común de Virginia, sino dos adiciones distintivas: un derecho a la lista de terceros específicos y un derecho único en su tipo a cuestionar las decisiones de perfilado automatizado.
Para conocer las obligaciones completas del responsable y el encargado del tratamiento, las reglas de contenido del aviso de privacidad, y los requisitos de evaluación de protección de datos, consulte la página principal de leyes de privacidad de datos de Minnesota.
A quién cubre la MCDPA: umbrales de aplicabilidad
La prueba de aplicabilidad de la MCDPA se encuentra en Minn. Stat. 325M.12. La ley se aplica a una persona que realiza negocios en Minnesota, o que produce productos o servicios dirigidos a los residentes de Minnesota, y que durante un año calendario cumple con una de dos pruebas de volumen de datos.
El primer activador es controlar o procesar los datos personales de 100,000 o más consumidores. Los datos procesados únicamente para completar una transacción de pago no cuentan para esta cifra, por lo que un minorista no supera el umbral solo por los datos de tarjetas de compras individuales.
El segundo activador es controlar o procesar los datos personales de 25,000 o más consumidores mientras se obtiene más del 25 por ciento de los ingresos brutos de la venta de datos personales. Este umbral más bajo de número de consumidores captura a las empresas basadas en datos cuyo modelo depende de la venta de información personal.
Minnesota también exime a las pequeñas empresas según la definición de la Administración de Pequeñas Empresas de Estados Unidos, aunque incluso una pequeña empresa exenta no puede vender los datos sensibles de un consumidor sin antes obtener su consentimiento. La MCDPA también conlleva las exenciones familiares a nivel de entidad y de datos para los datos y entidades reguladas bajo la Ley Gramm-Leach-Bliley y la Ley de Portabilidad y Responsabilidad del Seguro Médico, entre otras.

El derecho a la lista de terceros específicos
La primera característica principal de la MCDPA es la capacidad de conocer exactamente qué terceros recibieron los datos de un consumidor. Según Minn. Stat. 325M.14, un consumidor de Minnesota puede obtener una lista de los terceros específicos a los que el responsable del tratamiento ha divulgado los datos personales del consumidor, o, a opción del responsable del tratamiento, cualquier dato personal.
Esto es significativamente diferente de la divulgación que exige la mayoría de las leyes estatales de privacidad. Bajo el modelo más común, un consumidor puede conocer solo las categorías de terceros, como "socios publicitarios" o "proveedores de análisis". Minnesota, al igual que Oregon, va más allá y permite al consumidor solicitar las entidades nombradas y específicas.
Para las empresas, el derecho a la lista de terceros específicos es una de las obligaciones más difíciles de diseñar de la MCDPA, porque requiere rastrear las divulgaciones a nivel de destinatarios nombrados en lugar de categorías amplias. Para los consumidores, ofrece mucha más transparencia sobre dónde realmente viajaron sus datos. La guía de derechos del consumidor bajo la MCDPA de Minnesota cubre este derecho y el procedimiento de respuesta en profundidad.
El derecho a cuestionar un resultado de perfilado: la característica única de Minnesota
El derecho más distintivo de la MCDPA no tiene paralelo en la ley de privacidad de ningún otro estado a partir de 2026. Cuando un consumidor está sujeto a perfilado en apoyo de decisiones que producen efectos legales o de importancia similar, Minn. Stat. 325M.14 otorga al consumidor cuatro derechos interrelacionados vinculados a ese perfilado.
El consumidor puede cuestionar el resultado del perfilado. Se le puede informar al consumidor sobre la razón por la cual el perfilado resultó en la decisión, y, si es factible, se le puede informar qué acciones podría tomar el consumidor para obtener una decisión diferente en el futuro. El consumidor puede revisar los datos personales utilizados en el perfilado, y puede lograr que esos datos se corrijan y que la decisión se reevalúe si se basó en datos inexactos.
Ningún otro estado otorga a un consumidor un derecho afirmativo a impugnar el resultado de una decisión automatizada y exigir el razonamiento detrás de ella. La mayoría de las leyes estatales integrales se limitan a permitir que un consumidor opte por no participar en el perfilado. Minnesota va más allá, permitiendo a un consumidor que ya ha sido perfilado rechazar el resultado en sí. Esta es la distinción central de la MCDPA y una vista previa significativa de hacia dónde podría dirigirse la regulación de decisiones automatizadas a nivel nacional.

La obligación de inventario de datos: una obligación afirmativa poco común
La MCDPA también impone un deber de documentación que pocas otras leyes estatales de privacidad exigen. Según Minn. Stat. 325M.18, un responsable del tratamiento debe establecer, implementar y mantener prácticas razonables de seguridad de datos administrativas, técnicas y físicas, y como parte de ese programa debe mantener un inventario de los datos personales que debe administrar para cumplir con sus obligaciones.
Los responsables del tratamiento también deben documentar y mantener una descripción de las políticas y procedimientos que el responsable del tratamiento ha adoptado para cumplir con la ley, incluyendo una descripción de las prácticas de minimización y retención de datos y el nombre y la información de contacto del director de privacidad del responsable del tratamiento u otra persona responsable. Esto a veces se describe como el primer requisito estatal en exigir un inventario de datos documentado de este tipo, una obligación conocida desde hace mucho tiempo bajo el Reglamento General de Protección de Datos de la Unión Europea.
La consecuencia práctica es que un responsable del tratamiento de Minnesota no puede tratar la privacidad como un conjunto de respuestas puntuales a las solicitudes del consumidor. Debe construir y documentar un programa de gobernanza continuo. La lista de verificación de cumplimiento de la MCDPA de Minnesota explica cómo construir ese inventario y ese programa.
MCDPA vs. CCPA: las diferencias clave
La MCDPA de Minnesota y la CCPA de California son a menudo comparadas por las empresas que operan a nivel nacional. La página de comparación de leyes estatales de privacidad de datos cubre el panorama más amplio entre estados, pero varias diferencias entre la MCDPA y la CCPA de California se destacan.
| Característica | MCDPA de Minnesota | CCPA/CPRA de California |
|---|---|---|
| Umbral de cobertura | 100,000 consumidores, o 25,000 más del 25% de ingresos por venta de datos; pequeñas empresas de la SBA exentas | $25M de ingresos, 100,000 consumidores, o 50% de ingresos por venta de datos |
| Cuestionar un resultado de perfilado | Sí (Minn. Stat. 325M.14), único a nivel nacional | No |
| Derecho de divulgación a terceros | Terceros específicos nombrados (Minn. Stat. 325M.14) | Categorías de terceros |
| Obligación de inventario de datos | Requerida (Minn. Stat. 325M.18) | No requerida como obligación independiente |
| Datos sensibles | Se requiere consentimiento previo | Derecho a limitar el uso; modelo de exclusión |
| Derecho de acción privado | Ninguno | Limitado, para ciertas violaciones de datos |
Las diferencias más consecuentes son el derecho a cuestionar el perfilado y el derecho a la lista de terceros, ninguno de los cuales ofrece la CCPA, y la obligación afirmativa de inventario de datos. Las dos leyes también difieren en cuanto a los datos sensibles: California utiliza un "derecho a limitar" de exclusión, mientras que Minnesota exige el consentimiento previo antes de que los datos sensibles puedan procesarse en absoluto.
Más Leyes de Minnesota
- Leyes de Grabación de Reuniones con IA de Minnesota
- Leyes de Pensión Alimenticia de Minnesota
- Leyes de Empleo a Voluntad de Minnesota
- Leyes de Accidentes Automovilísticos de Minnesota
- Leyes de Asientos de Seguridad para Niños de Minnesota
- Leyes de Custodia de Menores de Minnesota
- Leyes de Manutención Infantil de Minnesota
- Leyes de Matrimonio de Hecho de Minnesota
- Leyes sobre Deepfakes de Minnesota
- Leyes de Divorcio de Minnesota
- Leyes sobre Mordeduras de Perro de Minnesota
- Leyes de Emancipación de Minnesota
- Leyes de Eliminación de Antecedentes Penales de Minnesota
- Leyes de Fuga del Lugar del Accidente de Minnesota
- Leyes de Propietarios e Inquilinos de Minnesota
- Leyes del Limón de Minnesota
Guías relacionadas
Preguntas frecuentes
¿Qué es la Ley de Privacidad de Datos del Consumidor de Minnesota (MCDPA)?
La MCDPA es la ley integral de privacidad de datos del consumidor de Minnesota, codificada en Minn. Stat. cap. 325M. Se promulgó en 2024 como parte del proyecto de ley general HF 4757, firmado por el gobernador Tim Walz, y entró en vigor el 31 de julio de 2025 para la mayoría de los responsables del tratamiento. Otorga a los residentes de Minnesota derechos sobre sus datos personales y exige que las empresas cubiertas sean transparentes sobre cómo los recopilan, usan y divulgan. Tenga en cuenta que Minnesota comparte las siglas MCDPA con la ley de Montana, por lo que esta guía siempre se refiere a la ley de Minnesota.
¿Cuándo entró en vigor la MCDPA de Minnesota?
La MCDPA entró en vigor el 31 de julio de 2025 para la mayoría de los responsables del tratamiento. Las instituciones postsecundarias reguladas por la Oficina de Educación Superior tienen una fecha de cumplimiento retrasada al 31 de julio de 2029. A partir de 2026, la fecha de vigencia general ya pasó, por lo que la mayoría de las empresas cubiertas están plenamente sujetas a la ley.
¿Quién debe cumplir con la MCDPA de Minnesota?
Según Minn. Stat. 325M.12, la MCDPA cubre a un responsable del tratamiento que realiza negocios en Minnesota o se dirige a los residentes de Minnesota y que, en un año calendario, controla o procesa los datos personales de 100,000 o más consumidores, o de 25,000 o más consumidores mientras obtiene más del 25 por ciento de los ingresos brutos de la venta de datos personales. Las pequeñas empresas según la definición de la Administración de Pequeñas Empresas de EE. UU. están exentas, aunque todavía necesitan consentimiento para vender datos sensibles.
¿Cuál es el derecho de Minnesota a cuestionar un resultado de perfilado?
Según Minn. Stat. 325M.14, cuando un consumidor está sujeto a perfilado que produce efectos legales o de importancia similar, el consumidor puede cuestionar el resultado del perfilado, que se le informe la razón por la que se llegó a ese resultado, saber qué acciones podría tomar para obtener una decisión diferente en el futuro, y revisar y corregir los datos utilizados. Ningún otro estado otorga este derecho a partir de 2026, lo que lo convierte en la característica distintiva de la MCDPA.
¿Qué es el derecho de Minnesota a la lista de terceros específicos?
Según Minn. Stat. 325M.14, un consumidor de Minnesota puede obtener una lista de los terceros específicos a los que el responsable del tratamiento ha divulgado los datos personales del consumidor, o, a opción del responsable del tratamiento, cualquier dato personal. Esto es más amplio que la divulgación a nivel de categoría que exige la mayoría de las leyes estatales, porque identifica a los destinatarios nombrados en lugar de grupos amplios. Solo un puñado de estados, incluido Oregon, otorgan este derecho.
¿Exige la MCDPA de Minnesota un inventario de datos?
Sí. Según Minn. Stat. 325M.18, un responsable del tratamiento debe mantener un inventario de los datos personales que administra y documentar sus políticas y procedimientos de privacidad y seguridad de datos, incluyendo las prácticas de minimización y retención de datos y la información de contacto de su director de privacidad. Esta obligación documentada de inventario y gobernanza es poco común entre las leyes estatales de privacidad de EE. UU. y a menudo se describe como una primicia.
¿En qué se diferencia la MCDPA de Minnesota de la CCPA?
Diferencias clave: Minnesota permite a los consumidores cuestionar el resultado de una decisión de perfilado automatizado y solicitar una lista de terceros específicos nombrados, ninguno de los cuales ofrece la CCPA de California; Minnesota impone una obligación afirmativa de inventario de datos; Minnesota exige el consentimiento previo para los datos sensibles mientras que California utiliza un derecho de exclusión a limitar; y California tiene un derecho de acción privado limitado para ciertas violaciones mientras que Minnesota no tiene ninguno.
¿Quién aplica la MCDPA de Minnesota?
El Fiscal General de Minnesota tiene autoridad exclusiva de aplicación de la ley según Minn. Stat. 325M.20. No existe un derecho de acción privado. Las sanciones civiles alcanzan hasta $7,500 por infracción. El derecho de subsanación de 30 días en el que confiaban los responsables del tratamiento hasta 2025 venció el 31 de enero de 2026, por lo que ya no existe un período de subsanación garantizado a partir de 2026.
Fuentes y referencias
- Estatutos de Minnesota Capítulo 325M: Ley de Privacidad de Datos del Consumidor (Capítulo Completo)(revisor.mn.gov).gov
- Minn. Stat. 325M.12: Alcance; Exclusiones (Umbrales de Aplicabilidad)(revisor.mn.gov).gov
- Minn. Stat. 325M.14: Derechos de Datos Personales del Consumidor(revisor.mn.gov).gov
- Minn. Stat. 325M.18: Obligaciones del Responsable del Tratamiento, Inventario de Datos y Seguridad(revisor.mn.gov).gov
- Minn. Stat. 325M.20: Aplicación de la Ley y Sanciones Civiles(revisor.mn.gov).gov
- Fiscal General de Minnesota: Privacidad de Datos del Consumidor(ag.state.mn.us).gov
- HF 4757 (Sesión Regular de 2024): Medida General de Promulgación(revisor.mn.gov).gov
- Fiscal General de Minnesota: Visión General de la Aplicación Empresarial de la MCDPA(ag.state.mn.us).gov