Tennessee
Leyes de Privacidad de Datos de Tennessee: Guía de Derechos del Consumidor bajo TIPA (2026)

La Ley de Protección de la Información de Tennessee (TIPA), codificada en Tenn. Code Ann. secciones 47-18-3201 a 47-18-3213, otorga a los consumidores el derecho de acceder, corregir, eliminar y trasladar sus datos personales, así como de optar por no participar en la venta de datos y la publicidad dirigida. La ley entró en vigor el 1 de julio de 2025 y es aplicada exclusivamente por el Fiscal General de Tennessee.
La Ley de Protección de la Información de Tennessee (TIPA) entró en vigor el 1 de julio de 2025, convirtiendo a Tennessee en el octavo estado en implementar legislación integral de privacidad de datos del consumidor. TIPA está codificada en Tenn. Code Ann. §§ 47-18-3201 a 47-18-3213 y otorga a los residentes de Tennessee un control significativo sobre cómo las empresas recopilan y utilizan su información personal.
Esta guía cubre TIPA y cuatro regímenes de privacidad relacionados de Tennessee: la Ley ELVIS (protección de voz e imagen mediante IA), el estatuto de notificación de violación de datos, la Ley de Disuasión del Robo de Identidad, y el marco federal que aplica a todas las empresas de Tennessee, independientemente de la cobertura de TIPA.
Panorama general de la Ley de Protección de la Información de Tennessee (TIPA)
El gobernador Bill Lee firmó TIPA el 11 de mayo de 2023. La ley se promulgó como el Capítulo Público N.º 408 y se modeló de cerca según la Ley de Protección de Datos del Consumidor de Virginia (VCDPA), pero con varias disposiciones exclusivas de Tennessee, en particular la defensa afirmativa del Marco de Privacidad del NIST.
En abril de 2025, la oficina del Fiscal General de Tennessee emitió orientación para empresas y consumidores antes de la fecha de entrada en vigor del 1 de julio de 2025. Hasta mayo de 2026, no se han anunciado públicamente acciones formales de aplicación de TIPA; la oficina del Fiscal General se ha concentrado en la orientación de cumplimiento en lugar de la aplicación punitiva durante el primer año de la ley.
Quién debe cumplir con TIPA
TIPA aplica a las personas que realizan negocios en Tennessee o que producen productos o servicios dirigidos a residentes de Tennessee, siempre que la empresa cumpla con los tres requisitos siguientes.
Umbral de ingresos. La empresa debe superar los $25 millones en ingresos anuales. Este piso excluye efectivamente a la mayoría de las pequeñas empresas del alcance de TIPA, siguiendo el modelo de Utah en lugar del de Virginia (que no tiene piso de ingresos).
Umbral de datos de consumidores. La empresa debe cumplir con una de dos pruebas alternativas. Según la primera, la empresa controla o procesa la información personal de al menos 175,000 consumidores de Tennessee durante un año calendario. Según la segunda, la empresa controla o procesa información personal de al menos 25,000 consumidores de Tennessee mientras obtiene más del 50% de sus ingresos brutos de la venta de esos datos.
El umbral de 175,000 consumidores es superior al umbral de 100,000 consumidores de Virginia, lo que reduce el alcance de las entidades cubiertas.
Quién está exento de TIPA
TIPA proporciona exenciones a nivel de entidad para:
- Entidades gubernamentales estatales y locales
- Compañías de seguros autorizadas (exclusivo de Tennessee entre las leyes estatales de privacidad)
- Organizaciones sin fines de lucro
- Instituciones financieras sujetas al Título V de la Ley Gramm-Leach-Bliley (GLBA)
- Entidades cubiertas por HIPAA
- Instituciones de educación superior
TIPA también exime categorías específicas de datos regulados según la FCRA, COPPA, FERPA, la Ley de Protección de la Privacidad del Conductor y la Ley de Crédito Agrícola. Los datos de empleados y solicitantes de empleo utilizados en el contexto laboral también están exentos.
Derechos del consumidor según TIPA

Los residentes de Tennessee obtienen cinco derechos fundamentales de privacidad según TIPA. Estos derechos aplican a la información personal que esté vinculada o razonablemente vinculable a un individuo identificado o identificable.
Derecho a confirmar y acceder
Los consumidores pueden confirmar si un controlador está procesando su información personal y, de ser así, acceder a esos datos.
Derecho a corregir
Los consumidores pueden solicitar la corrección de inexactitudes en su información personal, tomando en cuenta la naturaleza de los datos y los propósitos del procesamiento.
Derecho a eliminar
Los consumidores pueden solicitar la eliminación de su información personal proporcionada por ellos u obtenida sobre ellos. Aplican excepciones para datos agregados y anonimizados.
Derecho a la portabilidad de datos
Los consumidores pueden obtener una copia de su información personal en un formato portátil y de fácil uso que permita su transmisión a otra entidad sin obstáculos.
Derecho a optar por no participar
Los consumidores pueden optar por no participar en el procesamiento para tres fines específicos:
- Venta de información personal. TIPA define "venta" como el intercambio de información personal por una contraprestación monetaria del controlador hacia un tercero. Esto es más limitado que algunas leyes estatales porque solo cubre intercambios monetarios, no el intercambio no monetario de datos.
- Publicidad dirigida. Los consumidores pueden impedir que los controladores utilicen sus datos para ofrecer anuncios personalizados basados en la actividad en sitios web o aplicaciones no afiliados.
- Elaboración de perfiles. Los consumidores pueden optar por no participar en el procesamiento automatizado que produce efectos legales o efectos igualmente significativos respecto al consumidor.
TIPA no exige que las empresas reconozcan mecanismos universales de exclusión, como el Control de Privacidad Global (GPC), a diferencia de Colorado y Connecticut.
Cómo ejercer estos derechos
Los controladores deben responder a las solicitudes autenticadas de los consumidores dentro de 45 días de recibidas. Está disponible una extensión adicional de 45 días cuando el controlador proporciona aviso y explicación de la demora. Si un controlador rechaza una solicitud, el consumidor tiene derecho a apelar; el controlador debe responder a la apelación dentro de 60 días.
Los controladores no pueden cobrar tarifas por procesar solicitudes, a menos que sean manifiestamente infundadas, excesivas o repetitivas. Se prohíbe la discriminación contra los consumidores que ejerzan sus derechos, aunque los programas de lealtad o recompensas que ofrecen precios diferentes siguen siendo permitidos.
Obligaciones de las empresas según TIPA
Requisitos del aviso de privacidad
Los controladores deben proporcionar un aviso de privacidad razonablemente accesible y claro que divulgue: las categorías de información personal procesada; los propósitos del procesamiento; cómo pueden los consumidores ejercer sus derechos; las categorías de información personal compartida con terceros; las categorías de esos terceros; y un método activo para que los consumidores envíen solicitudes sin necesidad de crear una cuenta.
Minimización de datos
Los controladores deben limitar la recopilación de información personal a lo que sea adecuado, pertinente y razonablemente necesario en relación con los propósitos divulgados. Esto aplica tanto al alcance como a la duración de la retención de datos.
Limitación de propósito
Procesar información personal para propósitos más allá de los razonablemente necesarios y compatibles con el propósito originalmente divulgado requiere obtener el consentimiento adicional del consumidor.
Salvaguardas de seguridad
Los controladores deben establecer, implementar y mantener prácticas razonables de seguridad de datos administrativas, técnicas y físicas apropiadas para el volumen y la naturaleza de la información personal en cuestión.
Evaluaciones de protección de datos
Los controladores deben realizar y documentar evaluaciones de protección de datos antes de participar en actividades de procesamiento de alto riesgo, incluyendo: publicidad dirigida; venta de información personal; elaboración de perfiles que presente un riesgo razonablemente previsible de daño; procesamiento de datos sensibles; y cualquier otro procesamiento que presente un riesgo elevado para los consumidores.
El requisito de evaluación aplicó a las actividades de procesamiento creadas o generadas a partir del 1 de julio de 2024. Las evaluaciones realizadas según otras leyes estatales de privacidad con un alcance razonablemente comparable satisfacen este requisito.
Contratos con procesadores
Cuando un controlador contrata a un procesador, TIPA exige un contrato vinculante por escrito que especifique la naturaleza, el propósito, el tipo de datos, la duración, y los derechos y obligaciones de ambas partes. Los procesadores deben mantener la confidencialidad, eliminar o devolver los datos cuando se solicite, poner los datos a disposición para las evaluaciones del controlador, y contratar subprocesadores solo bajo obligaciones escritas equivalentes.
Protecciones para datos sensibles
TIPA crea protecciones elevadas para los datos sensibles. Los controladores deben obtener el consentimiento explícito (opt-in) del consumidor mediante un "acto afirmativo claro" antes de procesar cualquier dato sensible.

Categorías de datos sensibles
| Categoría | Descripción |
|---|---|
| Origen racial o étnico | Información personal que revela el origen racial o étnico |
| Creencias religiosas | Datos que revelan la fe o las prácticas religiosas |
| Salud mental o física | Información de diagnóstico de salud |
| Orientación sexual | Datos que revelan la orientación sexual |
| Ciudadanía o estatus migratorio | Información sobre ciudadanía o estatus migratorio |
| Datos genéticos | Información genética utilizada para identificar de forma única a un individuo |
| Datos biométricos | Huellas dactilares, huellas de voz, escaneos de retina o iris, y otras características biológicas únicas utilizadas para la identificación. No incluye fotografías, grabaciones de video o audio, ni datos generados a partir de ellas |
| Geolocalización precisa | Datos de ubicación con precisión dentro de un radio de 1,750 pies, derivados de GPS o tecnología similar |
| Datos de menores | Información personal recopilada de un menor conocido de 13 años, procesada conforme a COPPA |
La defensa afirmativa del Marco de Privacidad del NIST
Una de las disposiciones más significativas de TIPA es la defensa afirmativa disponible para las empresas que alinean sus prácticas de privacidad con el Marco de Privacidad del NIST.
Cómo funciona la defensa
Un controlador o procesador puede invocar una defensa afirmativa contra una acción de aplicación de TIPA si crea, mantiene y cumple voluntariamente con un programa de privacidad por escrito que se ajuste razonablemente al Marco de Privacidad del NIST, específicamente "A Tool for Improving Privacy through Enterprise Risk Management, Versión 1.0".
El programa de privacidad debe actualizarse regularmente y debe proporcionar a los individuos los derechos sustantivos establecidos según TIPA. Tennessee es el primer estado en incorporar formalmente el Marco de Privacidad del NIST en su estructura de aplicación de la privacidad de datos.
Funciones centrales del Marco de Privacidad del NIST
El Marco de Privacidad del NIST está organizado en torno a cinco funciones centrales:
- Identificar. Comprender los procesos organizacionales de gestión de riesgos de privacidad y el ciclo de vida de los datos
- Gobernar. Desarrollar e implementar estructuras de gobernanza para la gestión de riesgos de privacidad
- Controlar. Desarrollar e implementar políticas para gestionar las actividades de procesamiento de datos
- Comunicar. Fomentar la conciencia sobre las prácticas de procesamiento de datos entre el personal y las partes interesadas
- Proteger. Implementar salvaguardas de procesamiento de datos para prevenir eventos de privacidad relacionados con la ciberseguridad
Estándares que califican
Las empresas no están limitadas al marco del NIST. TIPA también acepta programas conformes con "otras políticas, estándares y procedimientos documentados diseñados para salvaguardar la privacidad del consumidor", incluyendo los sistemas de Reglas de Privacidad Transfronteriza de APEC o de Reconocimiento de Privacidad para Procesadores de APEC.
Requisitos de escalamiento
El programa de privacidad debe ser proporcional al tamaño de la empresa. TIPA exige que las organizaciones consideren el tamaño y la complejidad del negocio, la naturaleza y el alcance de las actividades, la sensibilidad de la información personal procesada, el costo y la disponibilidad de herramientas de protección de la privacidad, y el cumplimiento de leyes estatales o federales comparables. Las empresas tienen dos años después de cualquier revisión del Marco de Privacidad del NIST para actualizar sus propios programas.
Aplicación y sanciones
Autoridad del Fiscal General
El Fiscal General y Registrador de Tennessee tiene autoridad exclusiva para hacer cumplir TIPA. No existe un derecho de acción privada según la ley, y TIPA prohíbe explícitamente las demandas colectivas basadas en sus disposiciones.
Período de subsanación de 60 días
Antes de que el Fiscal General pueda tomar cualquier acción de aplicación, debe proporcionar un aviso por escrito que identifique las violaciones específicas. La empresa entonces tiene 60 días para subsanarlas. El período de subsanación de TIPA no tiene fecha de vencimiento, lo que significa que permanecerá vigente indefinidamente a menos que la legislatura modifique la ley. Virginia, Utah e Indiana proporcionan períodos de subsanación de solo 30 días.
Si el controlador o procesador subsana las violaciones dentro de 60 días y proporciona al Fiscal General una declaración expresa por escrito de que las violaciones se han subsanado y no se repetirán, no procede ninguna acción de aplicación.
Estructura de sanciones
| Tipo de violación | Sanción máxima |
|---|---|
| Violación estándar (después del período de subsanación) | $7,500 por violación |
| Violación intencional o deliberada | Daños triplicados (hasta $22,500 por violación) |
| Remedios adicionales | Medidas cautelares, medidas declarativas, honorarios de abogados y costos de investigación |
No mantener un programa de privacidad conforme constituye una práctica comercial desleal y engañosa según la Ley de Protección al Consumidor de Tennessee, aunque solo el Fiscal General puede presentar esa reclamación.
Estado de la aplicación
Hasta mayo de 2026, el Fiscal General de Tennessee no ha anunciado públicamente ninguna acción formal de aplicación según TIPA. La oficina del Fiscal General se ha concentrado en la orientación de cumplimiento y la educación durante el primer año de operación de la ley.
Ley ELVIS de Tennessee: protección de voz e imagen mediante IA

El gobernador Lee firmó la Ley de Aseguramiento de la Seguridad de la Semejanza, la Voz y la Imagen (Ley ELVIS) el 21 de marzo de 2024. La ley entró en vigor el 1 de julio de 2024, convirtiendo a Tennessee en el primer estado en abordar específicamente la clonación de voz generada por IA en el contexto de las protecciones de derecho de publicidad. La Ley ELVIS está codificada en Tenn. Code Ann. §§ 47-25-1101 a 47-25-1108.
Qué prohíbe la Ley ELVIS
La Ley ELVIS extiende la ley existente de derecho de publicidad de Tennessee para cubrir la inteligencia artificial. La ley prohíbe usar un sistema de IA para producir una "réplica de voz" de un individuo sin autorización. Una réplica de voz significa una grabación de sonido producida utilizando los datos de voz del individuo de una manera que resulta indistinguible de una grabación auténtica de ese individuo.
La Ley ELVIS extiende la responsabilidad no solo a quienes crean directamente contenido infractor generado por IA, sino también a las entidades que publican, distribuyen o proporcionan a sabiendas las tecnologías de IA subyacentes cuyo propósito principal es facilitar réplicas de voz no autorizadas.
Quién está protegido
La Ley ELVIS protege a cualquier individuo, no solo a los músicos profesionales, contra el uso comercial no autorizado de su nombre, fotografía, voz o semejanza. La ley fortalece las protecciones existentes de derecho de publicidad de Tennessee según Tenn. Code Ann. § 47-25-1105 al incluir explícitamente las réplicas generadas por IA dentro del alcance de los usos prohibidos.
Aplicación y sanciones
A diferencia de TIPA, la Ley ELVIS permite que los individuos privados presenten demandas civiles. La aplicación incluye:
- Medidas cautelares para detener el uso no autorizado
- Daños reales y ganancias perdidas atribuibles al uso no autorizado
- Embargo o destrucción de materiales creados en violación de la Ley
- Aplicación penal como delito menor de Clase A, con penas de hasta 11 meses y 29 días de prisión y multas de hasta $2,500 por infracción
Por qué la Ley ELVIS importa más allá de la música
La Ley ELVIS se llama así en honor a Elvis Presley, cuyo patrimonio tiene su sede en Memphis, pero sus protecciones se extienden a cualquier individuo. La ley tiene implicaciones significativas para las empresas que utilizan síntesis de voz mediante IA, tecnología de deepfake o herramientas de IA generativa que incorporan las características de voz de una persona identificable sin su consentimiento. Cualquier plataforma o desarrollador que despliegue audio generado por IA en Tennessee debe revisar el cumplimiento de la Ley.
Ley de Notificación de Violación de Datos de Tennessee
Separada de TIPA, Tennessee mantiene un estatuto de notificación de violación de datos según Tenn. Code Ann. § 47-18-2107. Esta ley es anterior a TIPA y establece requisitos de notificación cuando se compromete información personal.

Cuándo se requiere la notificación
Se requiere notificación cuando la adquisición no autorizada de datos computarizados compromete materialmente la seguridad, confidencialidad o integridad de la información personal mantenida por el titular de la información. La ley aplica a cualquier persona o empresa que realice negocios en Tennessee y que sea propietaria o tenga licencia de datos computarizados que contengan información personal.
Definición de información personal
Según el estatuto de notificación de violaciones, información personal significa el primer nombre o la inicial del primer nombre y el apellido de un individuo combinado con uno o más de los siguientes:
- Número de Seguro Social
- Número de licencia de conducir
- Número de cuenta, tarjeta de crédito o tarjeta de débito combinado con cualquier código de seguridad, código de acceso o contraseña requerido que permita el acceso a una cuenta financiera
La información disponible legalmente en registros gubernamentales o redactada hasta el punto de ser inutilizable no está cubierta.
Plazo de notificación
La divulgación debe realizarse a más tardar 45 días después del descubrimiento o de la notificación de la violación. Se permite una demora por parte de las autoridades si la notificación impediría una investigación criminal, pero la notificación debe ocurrir dentro de 45 días después de que las autoridades determinen que no comprometerá la investigación.
Quién debe ser notificado
Consumidores afectados. Debe enviarse un aviso escrito o electrónico a todos los residentes de Tennessee cuya información personal fue, o se cree razonablemente que fue, adquirida por una persona no autorizada.
Titulares de datos de terceros. Las entidades que mantienen información personal que no poseen deben notificar al propietario o titular de la licencia de los datos dentro de 45 días de descubrir la violación.
Agencias de reporte de crédito al consumidor. Si la violación afecta a más de 1,000 residentes de Tennessee, el titular de la información debe notificar a todas las agencias nacionales de reporte de crédito sobre el momento, la distribución y el contenido de los avisos.
Notificación sustituta
Cuando el costo de la notificación excede $250,000, la clase afectada supera las 500,000 personas, o el titular de la información carece de información de contacto suficiente, se permite la notificación sustituta. La notificación sustituta requiere aviso por correo electrónico donde haya direcciones disponibles, publicación visible en el sitio web de la entidad y notificación a los principales medios de comunicación estatales.
Puerto seguro de encriptación
Los datos encriptados no están sujetos al requisito de notificación si la encriptación se ajusta a la versión vigente de FIPS 140-2 y la clave de encriptación no fue también adquirida, divulgada o usada sin autorización. La adquisición de buena fe por parte de un empleado o agente del titular de la información no activa el requisito de notificación, siempre que la información no se use para un propósito no autorizado.
Exenciones de la notificación de violaciones
Las entidades ya sujetas a, y en cumplimiento con, la GLBA o HIPAA están exentas de los requisitos de notificación de violaciones de Tennessee.
Marco federal de privacidad
Varias leyes federales aplican a las empresas de Tennessee independientemente de si TIPA las cubre.
Ley TAKE IT DOWN (2025)
El Congreso aprobó la Ley de Herramientas para Abordar la Explotación Conocida al Inmovilizar Deepfakes Tecnológicos en Sitios Web y Redes (Ley TAKE IT DOWN), Ley Pública 119-12, y el presidente Trump la firmó el 19 de mayo de 2025. La prohibición penal contra la publicación de imágenes íntimas no consentidas entró en vigor inmediatamente al firmarse. Las plataformas cubiertas tuvieron un año para establecer procesos de notificación y eliminación, haciendo que la obligación de eliminación de las plataformas entrara en vigor el 19 de mayo de 2026, aplicada por la FTC con multas de hasta $53,088 por violación por día.
La Ley TAKE IT DOWN exige que las plataformas cubiertas eliminen las imágenes íntimas no consentidas reportadas dentro de 48 horas de recibir una solicitud válida. La ley cubre tanto las imágenes reales como las imágenes sintéticas generadas por IA, complementando las protecciones específicas de IA de la Ley ELVIS a nivel federal.
HIPAA
La Ley de Portabilidad y Responsabilidad de Seguros de Salud aplica a las entidades cubiertas (planes de salud, cámaras de compensación de atención médica y la mayoría de los proveedores de atención médica) y sus asociados comerciales. Las entidades cubiertas por HIPAA en Tennessee deben cumplir tanto con la Regla de Privacidad de HIPAA como con la Regla de Seguridad, y están exentas de TIPA y de la ley de notificación de violaciones de Tennessee.
Ley Gramm-Leach-Bliley (GLBA)
La GLBA rige cómo las instituciones financieras recopilan, usan y protegen la información financiera de los clientes. Las instituciones financieras sujetas a la GLBA están exentas de TIPA y del estatuto de notificación de violaciones de Tennessee. La Regla de Salvaguardas de la FTC (revisada en 2023) establece requisitos técnicos de seguridad específicos para las instituciones financieras no bancarias.
Ley de Reporte Justo de Crédito (FCRA)
La FCRA rige a las agencias de reporte de crédito al consumidor y el uso de los reportes de consumidores. La información de reporte de consumidores está exenta de la cobertura de TIPA. Los consumidores de Tennessee que impugnan errores en sus reportes de crédito tienen derechos según la FCRA, independientemente de TIPA.
COPPA
La Ley de Protección de la Privacidad Infantil en Línea cubre la recopilación en línea de información personal de menores de 13 años. La categoría de datos sensibles de TIPA para los datos de menores exige expresamente el cumplimiento de COPPA. Los datos cubiertos por COPPA están exentos de TIPA.
Sección 5 de la Ley de la FTC
La Comisión Federal de Comercio puede perseguir prácticas de datos desleales o engañosas según la Sección 5 de la Ley de la FTC contra empresas que violen sus propias políticas de privacidad o que participen en la recopilación engañosa de datos, independientemente de la cobertura de TIPA.
Ley de Derechos de Privacidad Estadounidense (APRA)
El Congreso presentó la Ley de Derechos de Privacidad Estadounidense, bipartidista, en abril de 2024. El proyecto fue aprobado por el subcomité de la Cámara, pero quedó estancado en el comité completo y expiró al final del Congreso 118 en enero de 2025. El proyecto no ha sido reintroducido en el Congreso 119 hasta mayo de 2026. No existe una ley federal integral de privacidad; Estados Unidos continúa operando bajo un mosaico de leyes estatales.
Pasos prácticos de cumplimiento para las empresas
Las empresas cubiertas por TIPA deben priorizar los siguientes pasos.
Paso 1: Confirmar la cobertura. Verifique que los ingresos anuales superen los $25 millones y que la empresa cumpla con uno de los dos umbrales de datos de consumidores. Muchas empresas pequeñas y medianas de Tennessee están por debajo de estos umbrales.
Paso 2: Realizar un inventario de datos. Mapee qué información personal recopila la empresa, dónde se almacena, cómo se utiliza y con quién se comparte. El inventario de datos es la base de todas las demás obligaciones de cumplimiento.
Paso 3: Actualizar el aviso de privacidad. El aviso debe divulgar las categorías de datos recopilados, los propósitos, los derechos del consumidor, el intercambio con terceros y un método activo para enviar solicitudes de derechos.
Paso 4: Construir un flujo de trabajo de derechos del consumidor. Establezca procesos de recepción, autenticación y respuesta para los cinco derechos del consumidor según TIPA. Incorpore la ventana de respuesta de 45 días y la extensión de 45 días en el flujo de trabajo. Cree un proceso interno de apelación con una ventana de respuesta de 60 días.
Paso 5: Revisar los acuerdos con procesadores. Audite todos los contratos con procesadores de datos para confirmar que contienen las disposiciones requeridas por TIPA. Actualice los acuerdos con proveedores, servicios en la nube y proveedores de análisis.
Paso 6: Realizar evaluaciones de protección de datos. Antes de cualquier nueva actividad de publicidad dirigida, venta de datos, elaboración de perfiles o procesamiento de datos sensibles, documente una evaluación por escrito del propósito, la necesidad y el riesgo de la actividad.
Paso 7: Construir un programa basado en el Marco de Privacidad del NIST. Las organizaciones que buscan la defensa afirmativa deben documentar un programa de privacidad por escrito organizado en torno a las cinco funciones centrales del NIST (Identificar, Gobernar, Controlar, Comunicar, Proteger) y calibrar el programa según el tamaño y el perfil de riesgo de la organización.
Paso 8: Revisar la Ley ELVIS para herramientas de IA. Cualquier empresa que despliegue síntesis de voz mediante IA, deepfakes de audio o herramientas de audio generativo debe verificar que la herramienta no produzca réplicas de voz de individuos identificables sin autorización por escrito.
Cómo ejercen sus derechos los residentes de Tennessee
Los residentes de Tennessee cubiertos por TIPA pueden ejercer sus derechos de privacidad directamente con cualquier empresa cubierta. Para enviar una solicitud:
- Identifique el aviso de privacidad de la empresa, que debe incluir un método activo para enviar solicitudes de derechos (correo electrónico, formulario web o número gratuito).
- Envíe una solicitud autenticada especificando qué derecho está ejerciendo (acceso, corrección, eliminación, portabilidad u exclusión).
- La empresa debe responder dentro de 45 días, con una posible extensión de 45 días.
- Si la empresa niega la solicitud, envíe una apelación. La empresa debe responder a la apelación dentro de 60 días.
- Si una empresa no responde o niega indebidamente una solicitud válida, presente una queja ante la División de Protección al Consumidor del Fiscal General de Tennessee. El Fiscal General puede investigar y proceder con la aplicación en nombre del consumidor.
Para las notificaciones de violaciones de datos, los residentes de Tennessee pueden reportar violaciones sospechadas ante la oficina del Contralor de Tennessee.
Cómo se compara TIPA con otras leyes estatales de privacidad
El enfoque de Tennessee refleja un equilibrio deliberado entre la protección del consumidor y la flexibilidad empresarial.
Umbral de aplicabilidad más alto. El umbral de $25 millones en ingresos combinado con el umbral de 175,000 consumidores significa que menos empresas quedan dentro del alcance de TIPA en comparación con Virginia (100,000 consumidores, sin piso de ingresos) o Colorado (100,000 consumidores).
Puerto seguro del NIST. Ninguna otra ley estatal de privacidad proporciona una defensa afirmativa formal vinculada al Marco de Privacidad del NIST, lo que otorga a las empresas una hoja de ruta concreta para un cumplimiento defendible.
Período de subsanación extendido. El período de subsanación de 60 días sin fecha de vencimiento está entre los más generosos del país. El período de subsanación de Connecticut venció el 31 de diciembre de 2024. El de Colorado venció el 1 de enero de 2025.
Exención de seguros. Tennessee es el único estado que exime a las compañías de seguros autorizadas a nivel de entidad de su ley integral de privacidad.
Sin mandato de exclusión universal. A diferencia de Colorado y Connecticut, TIPA no exige que los controladores reconozcan señales de privacidad basadas en el navegador, como el Control de Privacidad Global.
Definición estrecha de venta. TIPA cubre solo los intercambios monetarios de información personal, excluyendo los acuerdos de intercambio de datos no monetarios que capturan algunos estados.
Más leyes de Tennessee
¿Busca información sobre otras leyes de Tennessee? Explore nuestra colección de guías legales de Tennessee:
- Leyes de Grabación de Tennessee
- Leyes de Cámaras de Vigilancia de Tennessee
- Leyes de Verificación de Antecedentes de Tennessee
- Leyes de Sexting de Tennessee
- Leyes de Denunciantes de Tennessee
- Leyes de Mordeduras de Perro de Tennessee
- Leyes de Choque y Fuga de Tennessee
- Plazo de Prescripción de Tennessee
- Leyes de Manutención de Menores de Tennessee
- Ley del Limón de Tennessee
- Leyes de Asientos de Auto de Tennessee
- Leyes de Retención de Registros Médicos de Tennessee
- Leyes de Montaje de Parabrisas de Tennessee
- Leyes de Grabación con IA en Reuniones de Tennessee
- Leyes de Pensión Alimenticia de Tennessee
- Leyes de Empleo a Voluntad de Tennessee
- Leyes de Accidentes de Auto de Tennessee
- Leyes de Custodia de Menores de Tennessee
- Leyes de Matrimonio de Hecho de Tennessee
- Leyes de Deepfake de Tennessee
- Leyes de Divorcio de Tennessee
- Leyes de Emancipación de Tennessee
- Leyes de Eliminación de Antecedentes de Tennessee
- Leyes de Propietarios e Inquilinos de Tennessee
Guías detalladas
Fuentes y referencias
- Oficina del Fiscal General de Tennessee - Consejos y Lineamientos para el Cumplimiento de TIPA (Abril de 2025)(tn.gov).gov
- Asamblea General de Tennessee - HB1181 (Ley de Protección de la Información de Tennessee, Capítulo Público 408)(capitol.tn.gov).gov
- Asamblea General de Tennessee - Información del Proyecto de Ley SB0073(wapp.capitol.tn.gov).gov
- Tennessee Code Ann. 47-18-2107 - Divulgación de Información Personal del Consumidor(law.justia.com)
- Marco de Privacidad del NIST: Herramienta para Mejorar la Privacidad mediante la Gestión de Riesgos Empresariales, Versión 1.0(nist.gov).gov
- Fiscal General de Tennessee - Presentar una Queja de Consumidor(tn.gov).gov
- Contralor de Tennessee - Envío en Línea de Violación de Datos(comptroller.tn.gov).gov
- Departamento de Comercio y Seguros de Tennessee - Leyes del Consumidor(tn.gov).gov
- Davis Wright Tremaine - Se Firma la Ley de Protección de la Información de Tennessee(dwt.com)
- Future of Privacy Forum - Análisis de la Ley de Protección de la Información de Tennessee(fpf.org)