Tennessee
Lista de Verificación de Cumplimiento de la TIPA: Ley de Privacidad de Tennessee

El cumplimiento de la Tennessee Information Protection Act (TIPA), bajo Tenn. Code Ann. 47-18-3201 y siguientes, gira en torno a una medida que ninguna otra ley de privacidad estatal recompensa: construir un programa de privacidad por escrito que se ajuste razonablemente al NIST Privacy Framework (Marco de Privacidad del NIST). Bajo las secciones 47-18-3213 y 47-18-3214, ese programa no es solo una buena práctica; es una defensa afirmativa ante un reclamo bajo la TIPA. La ley entró en vigor el 1 de julio de 2025 y se aplica únicamente a empresas más grandes que superan un umbral de ingresos de $25,000,000.
A partir de 2026, el Fiscal General y Procurador de Tennessee (Attorney General and Reporter) aplica la TIPA de forma exclusiva bajo la sección 47-18-3212, con un período de subsanación permanente de 60 días, sanciones civiles de hasta $7,500 por infracción y daños triplicados discrecionales por infracciones intencionales o con conocimiento de causa. No existe un derecho de acción privada. Esta lista de verificación recorre los pasos prácticos, centrados en el programa conforme al NIST que otorga la defensa afirmativa.
Alcance jurisdiccional: Esto cubre la Tennessee Information Protection Act de Tennessee (Tenn. Code Ann. 47-18-3201 y siguientes). Es información legal general, no asesoría legal.
Paso 1: Confirme si la TIPA se aplica a su negocio
Antes de invertir en cumplimiento, determine si la TIPA siquiera alcanza a su organización. El umbral de la sección 47-18-3202 está entre los más altos del país, por lo que muchos negocios quedan fuera de su alcance.
La TIPA se aplica a una persona que realiza negocios en Tennessee o produce productos o servicios dirigidos a residentes de Tennessee y que supera los $25,000,000 en ingresos. Ese umbral de ingresos es un piso rígido: por debajo de él, la TIPA no se aplica sin importar el volumen de datos.
Un negocio que supera el umbral de ingresos solo está cubierto si también cumple con un factor de activación de datos: controlar o procesar los datos de al menos 175,000 consumidores, o de al menos 25,000 consumidores mientras obtiene más del 50 por ciento de los ingresos brutos de la venta de información personal. Un "consumidor" bajo la sección 47-18-3201 es un residente de Tennessee que actúa en un contexto personal.
Verifique también las exenciones a nivel de entidad en la sección 47-18-3210. Los organismos gubernamentales, las instituciones financieras cubiertas por la GLBA y sus afiliadas, las aseguradoras con licencia, las entidades cubiertas por HIPAA y sus asociados comerciales, las organizaciones sin fines de lucro y las instituciones de educación superior están exentas. La guía de qué es la TIPA explica estas exclusiones con más profundidad.
Paso 2: Construya un programa de privacidad por escrito conforme al NIST
La pieza central del cumplimiento de la TIPA es el programa de privacidad por escrito de la sección 47-18-3213, porque desbloquea la defensa afirmativa de la sección 47-18-3214. Ninguna otra ley de privacidad estatal ofrece esto, por lo que el programa conforme al NIST es la inversión de mayor impacto que puede hacer un negocio cubierto en Tennessee.
Bajo la sección 47-18-3213(a), el programa debe ajustarse razonablemente al marco de privacidad del NIST titulado "A Tool for Improving Privacy through Enterprise Risk Management Version 1.0" (Una Herramienta para Mejorar la Privacidad mediante la Gestión de Riesgos Empresariales, Versión 1.0). El NIST Privacy Framework organiza la gestión del riesgo de privacidad en cinco funciones: Identificar, Gobernar, Controlar, Comunicar y Proteger. Un programa conforme documenta cómo el negocio inventaria sus datos, establece gobernanza y políticas, controla el procesamiento de datos, se comunica con los consumidores y protege la información.
El programa también debe otorgar a los consumidores los derechos sustantivos que garantiza la TIPA, bajo la sección 47-18-3213(b), y divulgar los propósitos comerciales por los cuales el negocio procesa información personal, bajo la sección 47-18-3213(d). Cuando el NIST publique una revisión del marco, la sección 47-18-3213(a)(2) exige que el negocio ajuste su programa a la revisión dentro de un año a partir de la fecha de publicación de la revisión. Mantener el programa actualizado es parte de la obligación, no una tarea única.

Paso 3: Ajuste la escala del programa a su negocio
Un programa conforme al NIST no tiene que ser idéntico para cada empresa. Bajo la sección 47-18-3213(c), la escala y el alcance apropiados del programa se evalúan según cinco factores, de modo que la defensa se calibra al negocio en lugar de imponerse como un estándar fijo.
Los cinco factores son el tamaño y la complejidad del negocio, la naturaleza y el alcance de sus actividades, la sensibilidad de la información personal que procesa, el costo y la disponibilidad de herramientas para mejorar las protecciones de privacidad y la gobernanza de datos, y el cumplimiento de una ley estatal o federal comparable. Se espera que un gran corredor de datos que maneja información sensible haga más que un negocio cubierto más pequeño con procesamiento limitado.
Este estándar de escala según el tamaño es un activo práctico. Significa que un negocio que ya cumple con una ley comparable, como el estatuto integral de privacidad de otro estado, puede apoyarse en ese trabajo, y que a un negocio cubierto más pequeño no se le exige un programa de nivel empresarial que no puede costear. Documente cómo el programa se corresponde con cada uno de los cinco factores, porque esa correspondencia es lo que demuestra que el programa fue apropiado cuando se invoca la defensa afirmativa.
Paso 4: Publique un aviso de privacidad conforme y canales de solicitud
La TIPA exige transparencia a través de un aviso de privacidad y métodos de solicitud accesibles. Bajo la sección 47-18-3204(c), ante una solicitud autenticada de un consumidor, un controlador debe proporcionar un aviso de privacidad razonablemente accesible, claro y significativo.
Ese aviso debe incluir las categorías de información personal procesada, el propósito del procesamiento, cómo los consumidores pueden ejercer sus derechos, incluyendo cómo apelar una decisión, las categorías de información personal que el controlador vende a terceros, si las hay, las categorías de terceros a quienes vende, si las hay, y el derecho a excluirse de la venta junto con la posibilidad de solicitar eliminación o corrección. Si el controlador vende datos o realiza publicidad dirigida, la sección 47-18-3204(d) exige una divulgación clara y visible de ese procesamiento y de cómo excluirse.
Establezca al menos un canal de solicitud bajo la sección 47-18-3204(e): un número telefónico gratuito, una dirección de correo electrónico, un formulario web, o un enlace claro y visible en la página de inicio. El canal debe poder autenticar al consumidor, y el negocio no puede exigir que un consumidor cree una cuenta nueva para ejercer sus derechos.
Paso 5: Obtenga consentimiento expreso para datos sensibles y ejecute el flujo de derechos
Dos sistemas operativos son el núcleo del cumplimiento diario: una barrera de consentimiento para datos sensibles y un flujo de respuesta a los derechos del consumidor.
Para los datos sensibles, la sección 47-18-3204(a)(6) prohíbe el procesamiento sin el consentimiento del consumidor. Construya un mecanismo de captura de consentimiento que cumpla con la definición de consentimiento de la TIPA: un acto afirmativo claro que indique un acuerdo otorgado libremente, específico, informado e inequívoco. Los datos sensibles bajo la sección 47-18-3201 incluyen datos que revelan raza u origen étnico, religión, un diagnóstico de salud, orientación sexual o estatus migratorio, además de identificadores genéticos o biométricos, los datos de un menor conocido, y la geolocalización precisa dentro de 1,750 pies. Para un menor conocido, debe cumplirse con la ley federal Children's Online Privacy Protection Act (COPPA).
Para los derechos del consumidor, construya un flujo de trabajo que cumpla con los plazos de la sección 47-18-3203. Responda a las solicitudes dentro de 45 días, con una extensión permitida de 45 días adicionales si notifica al consumidor y el motivo dentro de los primeros 45 días. Proporcione un proceso de apelación gratuito y visible, y responda a las apelaciones dentro de 60 días, y ante una apelación denegada, dirija al consumidor al proceso de queja ante el Fiscal General. La guía de derechos del consumidor bajo la TIPA detalla cada derecho y plazo.

Paso 6: Realice evaluaciones de protección de datos y contratos con procesadores
La TIPA exige evaluaciones de riesgo documentadas para el procesamiento de mayor riesgo y contratos vinculantes con proveedores que procesan datos en su nombre.
Bajo la sección 47-18-3206(a), un controlador debe realizar y documentar una evaluación de protección de datos para cada una de estas actividades: el procesamiento de información personal para publicidad dirigida, la venta de información personal, la elaboración de perfiles que presente un riesgo razonablemente previsible de daño, el procesamiento de datos sensibles, y cualquier procesamiento que presente un riesgo elevado de daño para los consumidores. La evaluación debe sopesar los beneficios del procesamiento frente a los riesgos para los consumidores, considerando las salvaguardas, la desidentificación y las expectativas del consumidor. El Fiscal General puede solicitar estas evaluaciones durante una investigación, y permanecen confidenciales y privilegiadas.
Bajo la sección 47-18-3205, un contrato entre un controlador y un procesador debe regir el manejo de datos del procesador. El contrato debe establecer las instrucciones de procesamiento, la naturaleza y el propósito, el tipo de datos y la duración, y debe exigir que el procesador mantenga los datos confidenciales, elimine o devuelva los datos al finalizar los servicios, demuestre el cumplimiento cuando se le solicite, permita evaluaciones, y obligue a cualquier subcontratista a las mismas obligaciones. Identifique a sus proveedores y ajuste cada contrato con procesadores en consecuencia.
Paso 7: Prepárese para la aplicación, la subsanación y las sanciones
Incluso un programa bien construido debe tener en cuenta cómo funciona la aplicación de la ley, porque tanto el proceso de subsanación como la defensa afirmativa determinan la exposición. El Fiscal General y Procurador tiene autoridad exclusiva de aplicación bajo la sección 47-18-3212(a), y no existe un derecho de acción privada bajo la sección 47-18-3212(h).
Antes de demandar, el Fiscal General debe dar un aviso escrito de 60 días que identifique las disposiciones específicas presuntamente infringidas, bajo la sección 47-18-3212(b). Si el negocio subsana dentro de ese plazo y proporciona una declaración escrita de que las infracciones han sido corregidas y no se repetirán, el Fiscal General no puede iniciar una acción. A diferencia de algunos estados donde el período de subsanación expira, el período de 60 días de Tennessee es permanente, por lo que la ventana de gracia no vence.
Si un negocio no subsana, las sanciones pueden ser considerables. Un tribunal puede imponer una sanción civil de hasta $7,500 por infracción bajo la sección 47-18-3212(d), y cada disposición infringida y cada consumidor afectado cuentan como infracciones separadas. Bajo la sección 47-18-3212(g), un tribunal puede, a su discreción, otorgar daños triplicados cuando el controlador o procesador haya infringido la TIPA de manera intencional o con conocimiento de causa. Aquí es donde el programa conforme al NIST vuelve a rendir frutos: un programa conforme bajo la sección 47-18-3213 proporciona la defensa afirmativa de la sección 47-18-3214, la protección estructural más fuerte que la TIPA ofrece a un negocio cubierto.
Más Leyes de Tennessee
- Leyes de Grabación de Reuniones con IA de Tennessee
- Leyes de Pensión Alimenticia Conyugal de Tennessee
- Leyes de Empleo a Voluntad de Tennessee
- Leyes de Accidentes de Auto de Tennessee
- Leyes de Asientos de Auto para Niños de Tennessee
- Leyes de Custodia de Menores de Tennessee
- Leyes de Manutención de Menores de Tennessee
- Leyes de Matrimonio de Hecho de Tennessee
- Leyes de Deepfakes de Tennessee
- Leyes de Divorcio de Tennessee
- Leyes de Mordeduras de Perro de Tennessee
- Leyes de Emancipación de Tennessee
- Leyes de Eliminación de Antecedentes Penales de Tennessee
- Leyes de Choque y Fuga de Tennessee
- Leyes de Propietarios e Inquilinos de Tennessee
- Leyes del Limón de Tennessee
Guías relacionadas
Preguntas frecuentes
¿Cómo sé si mi negocio debe cumplir con la TIPA?
Bajo la sección 47-18-3202, la TIPA se aplica solo si su negocio realiza negocios en Tennessee o se dirige a residentes de Tennessee y supera los $25,000,000 en ingresos Y además procesa los datos de 175,000 o más consumidores, o de 25,000 o más consumidores con más del 50 por ciento de los ingresos brutos provenientes de la venta de información personal. Deben cumplirse tanto el umbral de ingresos como un factor de activación de datos. Revise también las exenciones de la sección 47-18-3210, que excluyen a las instituciones financieras cubiertas por la GLBA, las entidades cubiertas por HIPAA, las organizaciones sin fines de lucro y las instituciones de educación superior.
¿Qué es la defensa afirmativa del NIST Privacy Framework y cómo la obtengo?
Bajo las secciones 47-18-3213 y 47-18-3214, un controlador o procesador que crea, mantiene y cumple con un programa de privacidad por escrito que se ajusta razonablemente al NIST Privacy Framework (Versión 1.0) tiene una defensa afirmativa ante un reclamo bajo la TIPA. Para obtenerla, documente un programa que cubra las funciones del marco, otorgue a los consumidores sus derechos bajo la TIPA, divulgue sus propósitos comerciales de procesamiento, y actualice el programa dentro de un año de cualquier revisión del NIST. Ninguna otra ley de privacidad estatal ofrece esta defensa.
¿Una pequeña empresa debe construir el mismo programa NIST que una grande?
No. Bajo la sección 47-18-3213(c), la escala y el alcance apropiados del programa dependen del tamaño y la complejidad del negocio, la naturaleza y el alcance de sus actividades, la sensibilidad de los datos que procesa, el costo y la disponibilidad de herramientas, y el cumplimiento de leyes comparables. A un negocio cubierto más pequeño no se le exige el mismo programa que a un gran corredor de datos. Documente cómo su programa se corresponde con esos cinco factores.
¿Qué debe incluir un aviso de privacidad bajo la TIPA?
Bajo la sección 47-18-3204(c), el aviso debe indicar las categorías de información personal procesada, el propósito del procesamiento, cómo los consumidores ejercen y apelan sus derechos, las categorías de información personal vendida a terceros, si las hay, las categorías de terceros a quienes se vende, si las hay, y el derecho a excluirse de la venta más la posibilidad de solicitar eliminación o corrección. Si vende datos o realiza publicidad dirigida, la sección 47-18-3204(d) exige una divulgación clara y visible y un método de exclusión.
¿Necesito consentimiento para procesar datos sensibles bajo la TIPA?
Sí. Bajo la sección 47-18-3204(a)(6), no puede procesar datos sensibles sin obtener primero el consentimiento del consumidor, una regla de tipo opt-in. Construya un mecanismo de consentimiento que capture un acuerdo afirmativo claro, otorgado libremente, específico, informado e inequívoco. Los datos sensibles bajo la sección 47-18-3201 incluyen raza u origen étnico, religión, diagnóstico de salud, orientación sexual, estatus migratorio, identificadores genéticos o biométricos, los datos de un menor conocido, y la geolocalización precisa.
¿Cuándo debo realizar una evaluación de protección de datos?
Bajo la sección 47-18-3206(a), debe realizar y documentar una evaluación de protección de datos para la publicidad dirigida, la venta de información personal, la elaboración de perfiles que presente un riesgo previsible de daño, el procesamiento de datos sensibles, y cualquier procesamiento que presente un riesgo elevado de daño. La evaluación sopesa los beneficios del procesamiento frente a los riesgos para los consumidores. El Fiscal General puede solicitarlas durante una investigación, y permanecen confidenciales y privilegiadas.
¿Qué es el período de subsanación de la TIPA y expira?
Bajo la sección 47-18-3212(b), el Fiscal General debe dar un aviso escrito de 60 días antes de demandar, y si el negocio subsana la infracción y certifica por escrito que no se repetirá, el Fiscal General no puede iniciar una acción. Este período de subsanación de 60 días es permanente, sin fecha de vencimiento, lo cual difiere de estados cuyas ventanas de subsanación expiran. No existe un derecho de acción privada bajo la sección 47-18-3212(h).
¿Cuáles son las sanciones por infringir la TIPA?
Bajo la sección 47-18-3212(d), un tribunal puede imponer una sanción civil de hasta $7,500 por infracción, contando cada disposición infringida y cada consumidor afectado como una infracción separada. Bajo la sección 47-18-3212(g), un tribunal puede otorgar daños triplicados por infracciones intencionales o con conocimiento de causa. El Fiscal General también puede recuperar honorarios de abogados y costos de investigación. Un programa conforme al NIST bajo la sección 47-18-3213 proporciona una defensa afirmativa bajo la sección 47-18-3214.
Fuentes y referencias
- Tennessee HB 1181 (2023): Tennessee Information Protection Act (Texto del Proyecto de Ley)(capitol.tn.gov).gov
- Asamblea General de Tennessee: Página del Proyecto HB 1181 y Public Chapter 408(wapp.capitol.tn.gov).gov
- Fiscal General de Tennessee: Consejos y Lineamientos sobre la Tennessee Information Protection Act (30 de abril de 2025)(tn.gov).gov
- NIST Privacy Framework: Una Herramienta para Mejorar la Privacidad mediante la Gestión de Riesgos Empresariales, Versión 1.0(nist.gov).gov
- Tenn. Code Ann. 47-18-3213: Programa de Privacidad por Escrito (NIST Privacy Framework)(capitol.tn.gov).gov
- Tenn. Code Ann. 47-18-3214: Defensa Afirmativa(capitol.tn.gov).gov
- Tenn. Code Ann. 47-18-3206: Evaluaciones de Protección de Datos(capitol.tn.gov).gov
- Tenn. Code Ann. 47-18-3205: Requisitos del Contrato entre Controlador y Procesador(capitol.tn.gov).gov
- Tenn. Code Ann. 47-18-3212: Aplicación de la Ley, Subsanación de 60 Días, Sanción Civil y Daños Triplicados(capitol.tn.gov).gov