La Ley de Privacidad de Datos del Consumidor de Iowa (ICDPA), que entrará en vigor a partir de enero de 2025, introduce requisitos específicos para las organizaciones que tratan los datos de los residentes de Iowa.
Iowa cuenta ahora con su propia ley de privacidad de datos. La Ley de Privacidad de Datos del Consumidor de Iowa (ICDPA) fue promulgada en 2020 y requiere que las empresas proporcionen a los consumidores un mayor control sobre su información personal. Esta ley entrará en vigor el 1 de enero de 2025, dando a las organizaciones un período de tiempo dentro del cual se espera que adapten sus prácticas y procesos para cumplir con los requisitos. Es importante que las organizaciones revisen y comprendan las obligaciones específicas de la ICDPA, a fin de garantizar el cumplimiento y proteger los datos del consumidor. La ley es bastante similar en contenido a la Ley de Protección de Datos del Consumidor de Virginia (VCDPA), por lo que es posible que las organizaciones que ya hayan cumplido con la VCDPA y el RGPD ya no necesiten hacer muchos cambios para cumplir con la ICDPA.
La ICDPA se aplica a las organizaciones que recopilan, utilizan y divulgan la información personal de los residentes de Iowa, con diversas exenciones.
La Ley de Privacidad de Datos del Consumidor de Iowa se aplica a las empresas que recopilan, utilizan y divulgan información personal de los residentes de Iowa. Esto incluye a las empresas que cumplen con criterios específicos, como tener ingresos brutos anuales superiores a 25 millones de dólares, tratar la información personal de más de 100.000 consumidores o derivar más del 50% de sus ingresos de la venta de información personal si tratan los datos personales de al menos 25.000 consumidores de Iowa. Iowa define el término “consumidor” como una persona natural que es residente del estado actuando en un contexto no comercial y no laboral, y describe los derechos de los consumidores bajo esta ley.
La ICDPA incluye varias exenciones basadas en la naturaleza de los datos recopilados y su uso por parte de las empresas. Estas exenciones protegen la información personal que está cubierta por otras leyes federales. Además, la ley no se aplica a ciertos tipos de datos, como la información anónima o aquella que se encuentra disponible públicamente.
Información de salud:
La Ley de Portabilidad y Responsabilidad del Seguro de Salud (HIPAA) tiene prioridad sobre la ley de privacidad de Iowa al cubrir datos personales en el sector de la salud. Los registros de salud y la información médica se consideran sensibles y están exentos de la ley de privacidad de Iowa.
Privacidad de los niños:
La Ley de Protección de la Privacidad en Línea de los Niños (COPPA) es una ley federal que regula la recopilación, uso y divulgación de información personal de niños menores de 13 años. Las empresas que cumplan con la COPPA estarán exentas de la ley de privacidad de Iowa en este sentido.
Datos educativos:
La Ley de Derechos Educativos y Privacidad de la Familia (FERPA) protege la privacidad de los registros educativos de los estudiantes. Las instituciones y agencias que cumplan con las pautas de FERPA estarán exentas de la ley de privacidad de Iowa en lo que respecta a los datos educativos.
Privacidad del conductor:
La Ley de Protección de la Privacidad del Conductor protege la información personal relacionada con los registros de vehículos de motor. Las empresas que cumplan con esta ley federal estarán exentas de la ley de privacidad de Iowa en relación con la privacidad del conductor.
Datos de crédito agrícola:
La Ley de Crédito Agrícola regula la recopilación y uso de información personal por parte de instituciones de crédito agrícola. Las empresas que cumplan con la Ley de Crédito Agrícola estarán exentas de la ley de privacidad de Iowa en lo que respecta a los datos de crédito agrícola.
Datos de investigación con sujetos humanos:
Los datos de investigación con sujetos humanos protegidos por leyes federales o estándares de comités de revisión institucionales también están exentos de la ICDPA. Esta exención respeta consideraciones éticas y garantías de privacidad en entornos de investigación.
Datos de empleo:
Los datos personales tratados o almacenados con fines de empleo, como registros de empleados e información de nómina, están exentos de la ley de privacidad de Iowa. Esta exención asegura que las empresas puedan gestionar funciones internas de recursos humanos sin entrar en conflicto con la ley estatal.
La ICDPA establece derechos específicos de los consumidores que las organizaciones están obligadas a respetar.
La Ley de Privacidad de Datos del Consumidor de Iowa establece varios derechos del consumidor para proteger su información personal. Estos derechos incluyen el derecho a saber qué información personal se está tratando, el derecho a acceder y solicitar una copia de su información personal, el derecho a solicitar la eliminación de su información personal, el derecho a oponerse a la venta de su información personal y el derecho a no ser discriminado por ejercer sus derechos de privacidad. Estos derechos tienen como objetivo otorgar a los consumidores un mayor control sobre sus datos personales y garantizar que su privacidad sea respetada por las empresas que operan en Iowa.
Así, conforme a Ley de Privacidad de Datos del Consumidor de Iowa, las entidades cubiertas estarán obligadas a proporcionar a los consumidores avisos sobre la recopilación de su información personal, alertar antes de tratar información sensible, implementar medidas de seguridad para proteger la información personal y proporcionar a los consumidores derechos de acceso, eliminación y corrección de su información. Las entidades que caigan bajo el ámbito de aplicación de la ley también estarán obligadas a cumplir con las solicitudes de oposición a la venta de información personal de los consumidores, lo que difiere un poco de otras leyes de privacidad a nivel estatal, que en su lugar requieren que los consumidores otorguen su consentimiento a estos efectos. La ley también prohíbe que los consumidores sean discriminados por ejercer sus derechos de privacidad.
La aplicación de la ICDPA es responsabilidad exclusiva del Fiscal General de Iowa y proporciona a las organizaciones un período 90 días para corregir las infracciones.
El Fiscal General de Iowa tiene la autoridad exclusiva para emitir demandas civiles de investigación y llevar a cabo acciones de cumplimiento. En caso de que el Fiscal General planee iniciar una acción contra un negocio por cualquier infracción de la ley, deberá proporcionarle primero un aviso por escrito de la infracción y otorgarle 90 días para mejorar la situación. Este período de gracia es más largo que el período de corrección típico proporcionado bajo cualquier ley similar. Aunque la legislatura de Iowa se ha alineado con la mayoría de las otras legislaturas estatales que promulgan leyes similares, excepto California, en que el Fiscal General del Estado tiene autoridad exclusiva de aplicación y no hay derecho de acción privada, la ICDPA permite al Fiscal General imponer multas de hasta 7.500 dólares por infracción y no distingue entre infracciones intencionales o no intencionales.
