Tennessee
¿Qué Es la TIPA? Ley de Protección de la Información de Tennessee

La Tennessee Information Protection Act (TIPA), codificada en Tenn. Code Ann. 47-18-3201 y siguientes, es la ley integral de privacidad de datos del consumidor de Tennessee. Fue promulgada como House Bill 1181 (Public Chapter 408), firmada por el gobernador Bill Lee el 11 de mayo de 2023, y entró en vigor el 1 de julio de 2025, otorgando a los residentes de Tennessee derechos para acceder, corregir, eliminar y transferir su información personal, y para excluirse de su venta, de la publicidad dirigida y de ciertas actividades de elaboración de perfiles.
A partir de 2026, el Fiscal General y Procurador de Tennessee tiene autoridad exclusiva de aplicación y puede buscar sanciones civiles de hasta $7,500 por infracción, más daños triplicados por infracciones intencionales o con conocimiento de causa. La característica distintiva de la TIPA no se encuentra en ninguna otra parte del país: un controlador o procesador que mantiene un programa de privacidad por escrito que se ajusta razonablemente al NIST Privacy Framework obtiene una defensa afirmativa ante un reclamo bajo la TIPA.
Alcance jurisdiccional: Esto cubre la Tennessee Information Protection Act de Tennessee (Tenn. Code Ann. 47-18-3201 y siguientes). Es información legal general, no asesoría legal.
Qué es la TIPA: estatuto, promulgación y fecha de entrada en vigor
La Tennessee Information Protection Act es la primera ley integral de privacidad de datos del consumidor de Tennessee. Está codificada en las secciones 47-18-3201 a 47-18-3214 del Código Anotado de Tennessee, dentro del capítulo más amplio de protección al consumidor del estado. La Asamblea General la aprobó como House Bill 1181 durante la sesión de 2023, y fue promulgada como Public Chapter 408.
El gobernador Bill Lee firmó la TIPA como ley el 11 de mayo de 2023. La legislatura dio a las empresas un plazo amplio: la ley no entró en vigor hasta el 1 de julio de 2025. A partir de 2026, esa fecha ya pasó, por lo que todo negocio cubierto está ahora plenamente sujeto a la TIPA.
La ley, tal como se introdujo, pasó por enmiendas significativas antes de su aprobación. La versión promulgada elevó los umbrales de aplicabilidad, redujo la sanción civil máxima de $15,000 a $7,500, y mantuvo la defensa afirmativa del NIST Privacy Framework que se convirtió en su característica definitoria. El texto codificado en la sección 47-18-3201 y siguientes refleja esas decisiones finales, y esa es la versión vigente hoy.
Para conocer en detalle las obligaciones de controladores y procesadores, las reglas del aviso de privacidad y los requisitos de evaluación de protección de datos, consulte la página principal de leyes de privacidad de datos de Tennessee.
A quién cubre la TIPA: uno de los umbrales más altos del país
La prueba de aplicabilidad de la TIPA se encuentra en la sección 47-18-3202, y es mucho más restringida que la mayoría de las leyes de privacidad estatales. La ley se aplica a una persona que realiza negocios en Tennessee, o que produce productos o servicios dirigidos a residentes de Tennessee, pero solo si esa persona supera un umbral de ingresos y un factor de activación de volumen de datos.
El umbral de ingresos viene primero. Un negocio está cubierto solo si supera los $25,000,000 en ingresos. Una empresa por debajo de esa cifra queda fuera de la TIPA sin importar cuántos datos de consumidores procese. Ese único umbral excluye a la mayoría de las pequeñas y medianas empresas del alcance de la ley.
Un negocio que supera el umbral de ingresos está cubierto solo si también cumple con uno de dos factores de activación de datos. El primero es controlar o procesar la información personal de al menos 175,000 consumidores durante un año calendario. El segundo es controlar o procesar los datos de al menos 25,000 consumidores mientras obtiene más del 50 por ciento de los ingresos brutos de la venta de información personal.
Esas cifras importan porque se ubican en el extremo alto a nivel nacional. La mayoría de las leyes de privacidad estatales usan un factor de activación de 100,000 consumidores o no tienen un piso de ingresos en absoluto. Tennessee combinó un umbral de ingresos de $25 millones con un factor de activación de 175,000 consumidores, por lo que el umbral combinado está entre los más elevados de cualquier estatuto de privacidad estatal a partir de 2026. Un "consumidor" bajo la sección 47-18-3201 es un residente de Tennessee que actúa en un contexto personal, no en un contexto comercial o laboral.

Las exenciones de la TIPA: amplias exclusiones a nivel de entidad
La TIPA exime a categorías enteras de organizaciones a nivel de entidad bajo la sección 47-18-3210, una estructura que saca a muchas empresas del alcance de la ley sin importar cuántos datos manejen. Varias de estas exenciones son amplias.
Los organismos gubernamentales estatales y locales están exentos. También lo están las instituciones financieras, sus afiliadas, y los datos sujetos al Título V de la ley federal Gramm-Leach-Bliley. Las compañías de seguros con licencia bajo el Título 56 de Tennessee y los productores de seguros también quedan excluidos.
Las exenciones relacionadas con el cuidado de la salud son extensas. Las entidades cubiertas y los asociados comerciales regidos por HIPAA están exentos, al igual que la información de salud protegida y varias otras categorías de datos de salud e investigación. Las organizaciones sin fines de lucro están exentas, al igual que las instituciones de educación superior. Estas exclusiones a nivel de entidad significan que una organización puede quedar completamente fuera de la TIPA según lo que es, no solo según los datos específicos que maneja.
El efecto práctico es que la población cubierta por la TIPA es más pequeña que la de leyes similares de dos maneras a la vez: los altos umbrales de ingresos y volumen filtran a las empresas más pequeñas, y las amplias exenciones a nivel de entidad eliminan sectores completos. Una empresa debería mapear su situación frente a la sección 47-18-3210 en lugar de asumir que está cubierta, porque las exenciones están enmarcadas en torno a regímenes federales específicos y roles con licencia.
La regla de opt-in para datos sensibles
Los datos sensibles llevan una regla más estricta que la información personal ordinaria. Bajo la sección 47-18-3204(a)(6), un controlador no puede procesar datos sensibles relativos a un consumidor sin obtener primero el consentimiento del consumidor. Este es un modelo de opt-in: la regla predeterminada es no procesar hasta que el consumidor acepte de manera afirmativa.
Los datos sensibles se definen en la sección 47-18-3201. Incluyen información personal que revela origen racial o étnico, creencias religiosas, un diagnóstico de salud mental o física, orientación sexual, o ciudadanía o estatus migratorio. También incluye datos genéticos o biométricos procesados para identificar de manera única a una persona, información personal recopilada de un menor conocido, y datos de geolocalización precisa.
"Consentimiento" bajo la TIPA no es una casilla escondida. El estatuto lo define como un acto afirmativo claro que indique el acuerdo de un consumidor otorgado libremente, específico, informado e inequívoco. Para un menor conocido, el controlador debe seguir en su lugar la ley federal Children's Online Privacy Protection Act (COPPA). Debido a que la barrera de consentimiento se antepone a toda una categoría de datos, obtener correctamente la definición de datos sensibles es una prioridad operativa para las empresas cubiertas.

La defensa afirmativa del NIST Privacy Framework: la característica distintiva de la TIPA
La disposición más distintiva de la TIPA, y la que la diferencia de cualquier otra ley de privacidad estatal, es la defensa afirmativa del NIST Privacy Framework. Dos secciones trabajan juntas para crearla. La sección 47-18-3213 exige un programa de privacidad por escrito, y la sección 47-18-3214 convierte el cumplimiento de ese programa en una defensa afirmativa ante un reclamo bajo la TIPA.
Bajo la sección 47-18-3213(a), un controlador o procesador debe crear, mantener y cumplir con un programa de privacidad por escrito que se ajuste razonablemente al marco de privacidad del NIST titulado "A Tool for Improving Privacy through Enterprise Risk Management Version 1.0" (Una Herramienta para Mejorar la Privacidad mediante la Gestión de Riesgos Empresariales, Versión 1.0). Cuando el NIST publique una revisión, el negocio debe ajustar su programa al marco revisado dentro de un año a partir de la fecha de publicación. El programa debe otorgar a los consumidores los derechos sustantivos que garantiza la TIPA y debe divulgar los propósitos comerciales por los cuales el negocio procesa información personal.
La defensa en sí se encuentra en la sección 47-18-3214: un controlador o procesador "tiene una defensa afirmativa ante una causa de acción por infracción de esta parte" si crea, mantiene y cumple con un programa de privacidad por escrito como el descrito en la sección 47-18-3213. Ninguna otra ley de privacidad estatal a partir de 2026 vincula un marco de privacidad documentado a una defensa afirmativa de esta manera. Tennessee es el primer estado y, hasta ahora, el único en incorporar formalmente el NIST Privacy Framework a su estructura de aplicación.
La defensa se ajusta a la escala del negocio. Bajo la sección 47-18-3213(c), la escala y el alcance apropiados de un programa dependen del tamaño y la complejidad del negocio, la naturaleza y el alcance de sus actividades, la sensibilidad de la información personal que procesa, el costo y la disponibilidad de herramientas de privacidad, y el cumplimiento de leyes estatales o federales comparables. A un pequeño negocio cubierto no se le exige el mismo programa que a un gran corredor de datos. La guía de lista de verificación de cumplimiento de la TIPA recorre cómo construir un programa conforme.
TIPA frente a CCPA: las diferencias clave
La TIPA de Tennessee y la CCPA de California suelen compararse por empresas que operan a nivel nacional. La página de comparación de leyes de privacidad de datos por estado cubre el panorama más amplio de varios estados, pero varias diferencias entre la TIPA y la CCPA de California destacan.
| Característica | TIPA de Tennessee | CCPA/CPRA de California |
|---|---|---|
| Umbral de cobertura | Debe superar $25M en ingresos Y 175,000 consumidores, o 25,000 más 50% de ingresos por venta de datos | $25M en ingresos, O 100,000 consumidores, O 50% de ingresos por venta de datos |
| Estructura del umbral | Se requieren ambos: umbral de ingresos Y factor de activación de datos | Basta con cumplir cualquiera de los factores |
| Defensa afirmativa NIST | Sí (47-18-3213, 47-18-3214); única a nivel nacional | No |
| Datos sensibles | Se requiere consentimiento expreso (opt-in) (47-18-3204(a)(6)) | Derecho a limitar el uso; modelo de exclusión (opt-out) |
| Derecho de acción privada | Ninguno (47-18-3212(h)) | Limitado, para ciertas violaciones de datos |
| Período de subsanación | Subsanación permanente de 60 días (47-18-3212(b)) | Disposición de subsanación reducida con el tiempo |
La diferencia más importante es la estructura de cobertura. Los umbrales de California son disyuntivos, por lo que cumplir con cualquiera de ellos hace que una empresa quede cubierta; una empresa puede estar cubierta solo por ingresos o solo por volumen de datos. Los de Tennessee son conjuntivos: un negocio debe superar el umbral de ingresos de $25 millones y un factor de activación de datos. Ese diseño conjuntivo, más la cifra más alta de 175,000 consumidores, hace que la red de la TIPA sea mucho más pequeña que la de la CCPA.
La segunda diferencia importante es la defensa afirmativa del NIST, que California no ofrece. Un negocio cubierto por la TIPA que construye un programa conforme al NIST obtiene una defensa que no tiene equivalente en la CCPA ni en ninguna otra ley estatal a partir de 2026.
Más Leyes de Tennessee
- Leyes de Grabación de Reuniones con IA de Tennessee
- Leyes de Pensión Alimenticia Conyugal de Tennessee
- Leyes de Empleo a Voluntad de Tennessee
- Leyes de Accidentes de Auto de Tennessee
- Leyes de Asientos de Auto para Niños de Tennessee
- Leyes de Custodia de Menores de Tennessee
- Leyes de Manutención de Menores de Tennessee
- Leyes de Matrimonio de Hecho de Tennessee
- Leyes de Deepfakes de Tennessee
- Leyes de Divorcio de Tennessee
- Leyes de Mordeduras de Perro de Tennessee
- Leyes de Emancipación de Tennessee
- Leyes de Eliminación de Antecedentes Penales de Tennessee
- Leyes de Choque y Fuga de Tennessee
- Leyes de Propietarios e Inquilinos de Tennessee
- Leyes del Limón de Tennessee
Guías relacionadas
Preguntas frecuentes
¿Qué es la TIPA?
La TIPA, o Tennessee Information Protection Act, es la ley integral de privacidad de datos del consumidor de Tennessee, codificada en Tenn. Code Ann. 47-18-3201 a 47-18-3214. Fue promulgada como House Bill 1181 (Public Chapter 408), firmada por el gobernador Bill Lee el 11 de mayo de 2023, y entró en vigor el 1 de julio de 2025. Otorga a los residentes de Tennessee derechos sobre su información personal y exige a las empresas cubiertas ser transparentes sobre cómo la recopilan, usan y divulgan.
¿Cuándo entró en vigor la TIPA?
La TIPA entró en vigor el 1 de julio de 2025, más de dos años después de ser firmada el 11 de mayo de 2023. El amplio plazo dio a las empresas cubiertas tiempo para construir programas de privacidad antes de que comenzaran sus obligaciones. A partir de 2026, la fecha de entrada en vigor ya pasó y todo negocio cubierto está plenamente sujeto a la ley.
¿Quién debe cumplir con la TIPA?
Bajo la sección 47-18-3202, la TIPA se aplica únicamente a un negocio que realiza negocios en Tennessee o se dirige a residentes de Tennessee y que supera los $25,000,000 en ingresos Y además controla o procesa los datos de 175,000 o más consumidores, o de 25,000 o más consumidores mientras obtiene más del 50 por ciento de los ingresos brutos de la venta de información personal. Deben cumplirse tanto el umbral de ingresos como un factor de activación de datos, por lo que la barrera de cobertura está entre las más altas del país.
¿Qué es la defensa afirmativa del NIST Privacy Framework?
Bajo las secciones 47-18-3213 y 47-18-3214, un controlador o procesador que crea, mantiene y cumple con un programa de privacidad por escrito que se ajusta razonablemente al NIST Privacy Framework (Una Herramienta para Mejorar la Privacidad mediante la Gestión de Riesgos Empresariales, Versión 1.0) tiene una defensa afirmativa ante un reclamo bajo la TIPA. El programa debe otorgar a los consumidores sus derechos bajo la TIPA y ajustarse al tamaño y la sensibilidad del negocio. Ninguna otra ley de privacidad estatal ofrece esta defensa a partir de 2026.
¿La TIPA exige consentimiento para los datos sensibles?
Sí. Bajo la sección 47-18-3204(a)(6), un controlador no puede procesar datos sensibles sin obtener primero el consentimiento del consumidor, un modelo de opt-in. Los datos sensibles bajo la sección 47-18-3201 incluyen datos que revelan origen racial o étnico, creencias religiosas, un diagnóstico de salud, orientación sexual o estatus migratorio, además de datos genéticos o biométricos usados para identificar a una persona, los datos de un menor conocido, y la geolocalización precisa.
¿Qué derechos tienen los consumidores de Tennessee bajo la TIPA?
Bajo la sección 47-18-3203, los consumidores de Tennessee pueden confirmar si un controlador está procesando sus datos y acceder a ellos, corregir inexactitudes, eliminar sus datos, obtener una copia portátil, y excluirse de la venta de información personal, la publicidad dirigida y la elaboración de perfiles en apoyo de decisiones que produzcan efectos legales o de importancia similar. Los controladores deben responder dentro de 45 días y ofrecer un proceso de apelación.
¿En qué se diferencia la TIPA de la CCPA?
Los umbrales de la TIPA son conjuntivos (un negocio debe superar $25M en ingresos Y cumplir con un factor de activación de datos), mientras que los de la CCPA son disyuntivos (basta con cumplir cualquiera de los factores), por lo que la TIPA cubre a muchas menos empresas. La TIPA ofrece una defensa afirmativa del NIST Privacy Framework que California no ofrece. La TIPA exige consentimiento expreso para los datos sensibles, mientras que California usa un derecho de exclusión para limitar su uso. Y la TIPA no tiene derecho de acción privada, mientras que California permite uno limitado para ciertas violaciones de datos.
¿Quién aplica la TIPA?
El Fiscal General y Procurador de Tennessee tiene autoridad exclusiva de aplicación bajo la sección 47-18-3212. No existe un derecho de acción privada. Antes de demandar, el Fiscal General debe dar un aviso escrito de 60 días y una oportunidad de subsanación, y ese período de subsanación es permanente, sin fecha de vencimiento. Las sanciones civiles alcanzan hasta $7,500 por infracción, y un tribunal puede otorgar daños triplicados por infracciones intencionales o con conocimiento de causa.
Fuentes y referencias
- Tennessee HB 1181 (2023): Tennessee Information Protection Act (Texto del Proyecto de Ley)(capitol.tn.gov).gov
- Asamblea General de Tennessee: Página del Proyecto HB 1181 y Public Chapter 408(wapp.capitol.tn.gov).gov
- Fiscal General de Tennessee: Consejos y Lineamientos sobre la Tennessee Information Protection Act (30 de abril de 2025)(tn.gov).gov
- NIST Privacy Framework: Una Herramienta para Mejorar la Privacidad mediante la Gestión de Riesgos Empresariales, Versión 1.0(nist.gov).gov
- Tenn. Code Ann. 47-18-3202: Alcance y Umbrales de Aplicabilidad(capitol.tn.gov).gov
- Tenn. Code Ann. 47-18-3213: Programa de Privacidad por Escrito (NIST Privacy Framework)(capitol.tn.gov).gov
- Tenn. Code Ann. 47-18-3214: Defensa Afirmativa(capitol.tn.gov).gov
- Tenn. Code Ann. 47-18-3212: Aplicación por el Fiscal General, Período de Subsanación y Sanciones Civiles(capitol.tn.gov).gov