Según la INCDPA, las empresas deben obtener un consentimiento claro y afirmativo antes de procesar datos personales sensibles, lo que incluye las cookies que recopilan información precisa de geolocalización o biometría. El consentimiento debe estar documentado, ser retractable y estar vinculado directamente a los fines específicos de las cookies. ¿Su gestión del consentimiento se ajusta a las mejores prácticas?
La Ley de Protección de Datos del Consumidor de Indiana (INCDPA), firmada el 1 de mayo de 2023 y vigente desde el 1 de enero de 2026, es una ley estatal integral de privacidad basada en la VCDPA de Virginia. Establece los derechos de los consumidores en materia de datos y las obligaciones de los responsables/encargados del tratamiento.
Las empresas que se dirigen a los residentes de Indiana deben evaluar la aplicabilidad, actualizar los avisos de cookies, perfeccionar los mecanismos de consentimiento, realizar evaluaciones de impacto de la protección de datos (EIPD) e implementar avisos de privacidad rigurosos, utilizando herramientas como las plataformas de gestión del consentimiento para optimizar el cumplimiento normativo y reducir el riesgo.
Para determinar si la INCDPA aplica, pregunte si opera en Indiana o se dirige a residentes de Indiana. De ser así, ¿procesa datos personales de ≥100,000 residentes de Indiana al año o de ≥25,000 residentes, generando más del 50% de sus ingresos con la venta de sus datos?
En caso afirmativo, el cumplimiento exige que:
Revisar las prácticas de datos:
Mapear todos los datos personales y sensibles recopilados (incluidas las cookies).
Implementar la gestión del consentimiento:
Revise los banners de consentimiento y los avisos de cookies.
Implementar medidas de exclusión voluntaria:
Asegúrese de tener opciones de exclusión voluntaria para la venta de datos, la elaboración de perfiles y la publicidad dirigida.
Provisión de seguridad de datos:
Implementar medidas de seguridad de datos y evaluaciones de impacto de la protección de datos para actividades de alto riesgo.
Los responsables o encargados del tratamiento deben cumplir con la INCDPA si:
Operan en Indiana o se dirigen a sus residentes, y
Procesan datos personales de ≥100.000 residentes al año o
Procesan datos de ≥25.000 residentes al año y obtienen más del 50 % de sus ingresos de la venta de datos personales.
Las exenciones incluyen:
Organismos gubernamentales, organizaciones sin fines de lucro, instituciones educativas, servicios públicos, entidades cubiertas por la GLBA o la HIPAA, datos relacionados con el empleo y casinos fluviales que utilizan reconocimiento facial aprobado por el estado.
Los residentes de Indiana tienen los siguientes derechos:
Los consumidores pueden acceder y confirmar el procesamiento de datos personales
Los consumidores pueden solicitar la corrección de inexactitudes
Los consumidores pueden solicitar que se eliminen sus datos personales
Los consumidores tienen derecho a portar/descargar/transmitir su información en un formato utilizable
Los consumidores pueden optar por no participar en la venta de datos personales, la publicidad dirigida y la elaboración de perfiles que produzcan efectos legales/significativos.
Las solicitudes deben procesarse dentro de los 45 días (extensible a 90 días) y la denegación debe permitir apelación.
Las cookies que rastrean datos sensibles o personales (p. ej., ubicación, perfiles de uso) requieren el consentimiento explícito del usuario. Incluso las cookies analíticas pueden estar sujetas a la ley si procesan datos personales de suficientes residentes de Indiana.
Los banners de cookies transparentes, las opciones de exclusión voluntaria y los controles de consentimiento detallados son esenciales.
Las organizaciones que incumplan con la INCDPA podrían enfrentar sanciones por incumplimiento. Aplicadas por el Fiscal General de Indiana, las sanciones civiles posteriores a la subsanación pueden alcanzar los 7500 USD por infracción.
Para comprobar su cumplimiento con la INCDPA, las organizaciones deben:
Auditoría:
Realizar una auditoría de datos para identificar todas las cookies y rastreadores en sus sitios web
Clasificar por categorías:
Categorizar las cookies (por ejemplo, necesarias, de preferencia, analíticas, de marketing)
Implementar la gestión del consentimiento:
Asegúrese de que los banners de consentimiento se implementen correctamente con opciones granulares, permitan a los usuarios retirar el consentimiento en cualquier momento y mantengan registros de consentimiento.
Consultar contratos con terceros:
Revisar las prácticas de intercambio de datos de terceros
Una plataforma de gestión de consentimiento como CookieHub centraliza y automatiza la implementación de banners de cookies, permite la captura granular del consentimiento, proporciona la aplicación de la exclusión voluntaria y habilita el registro de auditoría, lo que simplifica el cumplimiento de la INCDPA para las empresas.
Aplica a empresas dirigidas a residentes de Indiana (o que operan allí) que procesan datos personales de ≥100,000 consumidores o de ≥25,000 consumidores cuyos ingresos por datos superen el 50% de sus ingresos brutos. Se aplican exclusiones.
Cualquier información que esté vinculada o que pueda vincularse razonablemente a un individuo identificado o identificable, como nombre, correo electrónico, dirección IP, información de salud o comportamiento de navegación.
Incluye datos que revelan raza, religión, orientación sexual, ciudadanía, salud, biometría, geolocalización precisa y datos conocidos de menores. Requiere consentimiento explícito.
El Fiscal General de Indiana, con autoridad de ejecución exclusiva y poder para emitir sanciones después de un aviso de subsanación de 30 días.
Las entidades exentas incluyen agencias gubernamentales, organizaciones sin fines de lucro, escuelas, servicios públicos, instituciones reguladas por GLBA o HIPAA, datos de empleadores y empleados y casinos fluviales que siguen reglas de reconocimiento facial.
Se puede encontrar más información consultando el Proyecto de Ley 5 del Senado de Indiana (Código de Indiana §24-15) y el sitio web del Fiscal General de Indiana para ver ejemplos de avisos.
Disclaimer: Le informazioni fornite in questa pagina hanno solo scopo di riferimento generale e non intendono costituire consulenza legale o normativa. Le normative sulla privacy dei dati sono complesse e soggette a frequenti aggiornamenti, interpretazioni e variazioni giurisdizionali. Sebbene ci impegniamo a mantenere il materiale accurato e aggiornato, non possiamo garantirne la completezza o l'applicabilità alle vostre circostanze specifiche. Per indicazioni sulla conformità o sugli obblighi legali, si prega di consultare professionisti legali qualificati o le autorità di regolamentazione competenti.
©2025 CookieHub ehf.
