Varios estados de EEUU, incluido Indiana, han implementado leyes de privacidad integrales para proteger la información de los residentes, siguiendo las tendencias establecidas por el RGPD en la UE y otros estados de EEUU.
Con el aumento de las infracciones de protección de datos y el creciente uso de la tecnología en el día a día, muchos estados de Estados Unidos (EEUU) están adoptando leyes de privacidad integrales que protejan la información de sus residentes. Indiana se suma ahora a esta tendencia. Inspirada en el Reglamento General de Protección de Datos (RGPD) de la UE y la Ley de Privacidad del Consumidor de California (CCPA), la Ley de Protección de Datos del Consumidor de Indiana ha evolucionado hasta convertirse en una sólida legislación que se alinea de manera estrecha con la normativa de privacidad en Virginia.
La Ley de Privacidad de Datos de Indiana (ICDPA) ofrece un plazo mayor para su aplicación, en línea con otras regulaciones estatales como la CCPA.
Uno de los aspectos más singulares de la Ley de Protección de Datos del Consumidor de Indiana es el plazo para su aplicación, ya que la ley entrará en vigor en 2026. Este elemento otorga a las organizaciones más tiempo para prepararse e implementar cualquier cambio necesario para garantizar el cumplimiento con la ley. Además, al contar con provisiones similares a las de otras leyes de privacidad de EEUU como la CCPA, las empresas que ya estén adaptándose para otras regulaciones no requerirán cambios significativos adicionales para cumplir con los requisitos de la Ley de Privacidad de Datos de Indiana. Esta armonización de las leyes de privacidad entre estados demuestra un esfuerzo colaborativo para mejorar la protección de datos en todo el país.
La ICDPA se aplica a ciertas entidades que realizan negocios en Indiana o que ofrecen sus bienes y servicios a residentes de Indiana, con algunas excepciones específicas.
La Ley de Privacidad de Datos de Indiana se aplica a entidades que operan en el estado de Indiana o que ofrecen sus bienes y servicios a residentes de Indiana, con la excepción de entidades gubernamentales, organizaciones sin ánimo de lucro, instituciones de educación superior, así como entidades reguladas por la HIPAA (Ley de Portabilidad y Responsabilidad del Seguro Médico) y la Ley Gramm-Leach-Billey (también conocida como Ley de Modernización de Servicios Financieros). La ICDPA se aplica sólo a aquellas entidades que tratan datos personales de al menos 100.000 residentes de Indiana, o al menos 25.000 residentes de Indiana si obtienen más del cincuenta por ciento de sus ingresos brutos de la venta de datos personales. La ley no tiene un umbral de ingresos para el cumplimiento, y no se aplica a ciertas clases de datos como registros de salud e información relacionada con el empleo.
La ICDPA otorga a los individuos derechos para acceder, eliminar y controlar sus datos personales, así como optar por no participar en ciertas actividades de tratamiento de datos.
La ICDPA otorga a los consumidores una serie de derechos con respecto a sus datos personales, los cuales incluyen:
- Acceso a datos personales: los sujetos tienen derecho a solicitar una copia de sus datos personales a las empresas. Las empresas deben proporcionar esta información en un formato fácilmente accesible dentro de un plazo razonable, generalmente dentro de los 30 días desde la recepción de la solicitud.
- Corrección de inexactitudes: los consumidores pueden solicitar a las empresas que corrijan o actualicen cualquier inexactitud en sus datos personales. Las empresas deberán investigar estas solicitudes de manera inmediata y realizar las correcciones necesarias.
- Supresión de datos personales: los consumidores tienen derecho a solicitar que las empresas eliminen sus datos personales en ciertas circunstancias, como cuando estos se traten para finalidades distintas al propósito para el que se recopilaron. Las empresas deberán cumplir con estas solicitudes a menos que tengan una razón legítima para retener los datos.
- Portabilidad de datos: los consumidores tienen derecho a recibir sus datos personales en un formato portátil, que les permita transferirlo fácilmente a otra empresa. Este derecho mejora el control de los individuos sobre sus datos y apoya la competencia en el mercado.
- Derecho de oposición: Los consumidores pueden oponerse a ciertos tratamientos de datos personales, como la publicidad dirigida o la venta de sus datos personales. Las empresas deberán proporcionar un mecanismo claro y conspicuo para que los consumidores ejerzan este derecho.
La ICDPA impone obligaciones a las empresas que tratan datos personales para proteger los derechos de los consumidores.
Para garantizar la efectividad de los derechos otorgados a los consumidores, la ICDPA impone obligaciones específicas a las empresas que tratan los datos personales de los consumidores. Los responsables, definidos como individuos o entidades que determinan los fines y medios del tratamiento de datos, deberán:
- Responder a las solicitudes de los consumidores de manera efectiva: las empresas deberán responder a las solicitudes de los consumidores con respecto a sus datos personales dentro de un plazo concreto, generalmente dentro de los 30 días. Esto asegurará que los consumidores puedan ejercer sus derechos sin demora indebida.
- Proporcionar información clara y accesible: las empresas deberán proporcionar a los consumidores información clara y accesible sobre sus prácticas de tratamiento de datos, incluidos las finalidades de tratamiento, los tipos de datos tratados y los destinatarios de los datos. La comunicación transparente fomenta la confianza y capacita a los individuos para tomar decisiones informadas sobre sus datos.
- Establecer un proceso de apelación: si una empresa deniega la solicitud de un consumidor para ejercer sus derechos, el consumidor tendrá derecho a apelar la decisión. Las empresas deberán contar con un proceso para lidiar con las apelaciones y proporcionar a los consumidores la oportunidad de presentar su caso.
- Respetar las elecciones de los consumidores: las empresas deberán respetar las elecciones de los consumidores con respecto a sus datos personales. Esto incluye respetar las solicitudes de exclusión y garantizar que los consumidores no sean discriminados por ejercer sus derechos.
Para hacer valer estos derechos, los individuos podrán presentar una queja ante la Oficina del Fiscal General de Indiana si creen que una empresa ha infringido la ICDPA. La Oficina del Fiscal General es responsable de investigar las quejas y tomar las acciones de aplicación apropiadas contra las empresas que no cumplan con la ley.
Descubre cómo puede ayudarte Aphaia a optimizar tu estrategia de protección de datos. Nos especializamos en acercar a organizaciones como la tuya las mejores soluciones diseñadas no sólo para cumplir con la normativa, sino para superar las expectativas en el ámbito de la protección de datos. Contacta con nosotros para descubrir cómo.