Texas
Leyes de Privacidad de Datos de Texas: Guía de la TDPSA y Derechos del Consumidor (2026)

La Texas Data Privacy and Security Act (TDPSA), la Ley de Privacidad y Seguridad de Datos de Texas, codificada en Tex. Bus. and Com. Code, Capítulo 541, entró en vigor el 1 de julio de 2024 y otorga a los residentes de Texas derechos de acceso, corrección, eliminación y exclusión respecto del procesamiento de sus datos personales. Solo el Fiscal General de Texas aplica la ley; las sanciones civiles alcanzan hasta USD 7,500 por infracción.
Texas ha construido uno de los marcos de aplicación de privacidad de datos más agresivos del país. El estado combina una amplia ley de protección de datos del consumidor, protecciones biométricas dedicadas, requisitos estrictos de notificación de violaciones, reglas de privacidad infantil en línea, un registro de corredores de datos, y un nuevo estatuto de gobernanza de inteligencia artificial.
La oficina del Fiscal General de Texas ha respaldado este marco con una aplicación histórica. El acuerdo de USD 1.4 mil millones con Meta en julio de 2024 y el acuerdo de USD 1.375 mil millones con Google finalizado en octubre de 2025 representan juntos las mayores recuperaciones de privacidad a nivel estatal en la historia de Estados Unidos.
Esta guía cubre cada uno de los principales estatutos de privacidad de Texas, los derechos que tienen los consumidores, lo que deben hacer las empresas, y cuáles son las sanciones por incumplimiento. Está actualizada a mayo de 2026.
Ley de Privacidad y Seguridad de Datos de Texas (TDPSA)
La Texas Data Privacy and Security Act está codificada en el Capítulo 541 del Código de Negocios y Comercio de Texas. Fue promulgada mediante el House Bill 4 durante la 88ª Sesión Legislativa de Texas y entró en vigor el 1 de julio de 2024.

La TDPSA es la ley integral de protección de datos del consumidor de Texas. Rige cómo las empresas recopilan, usan, procesan, almacenan, venden, comparten, analizan y manejan de otro modo los datos personales pertenecientes a residentes de Texas.
A Quién Cubre la TDPSA
La TDPSA se aplica a cualquier persona o entidad que realice negocios en Texas o produzca un producto o servicio consumido por residentes de Texas, y que recopile, use, almacene, venda, comparta, analice o procese los datos personales de los consumidores.
Este es un disparador notablemente amplio. La mayoría de las leyes de privacidad estatales establecen umbrales mínimos de ingresos o de volumen de datos antes de que aplique la cobertura. Texas no lo hace. Cualquier negocio que toque datos de consumidores de Texas está potencialmente cubierto, sujeto a las exenciones descritas a continuación.
Entidades Exentas
La TDPSA exime a seis categorías de sus requisitos:
- Agencias estatales y subdivisiones políticas de Texas
- Instituciones financieras regidas por la Ley Gramm-Leach-Bliley (GLBA)
- Entidades cubiertas y asociados comerciales regidos por HIPAA
- Organizaciones sin fines de lucro
- Instituciones de educación superior
- Pequeñas empresas según la definición de la Administración Federal de Pequeños Negocios (SBA)
La exención para pequeñas empresas conlleva una salvedad importante. Una pequeña empresa que vende datos sensibles del consumidor debe obtener de todos modos el consentimiento del consumidor antes de hacerlo. El tamaño no permite la venta de información de salud, datos biométricos, geolocalización precisa o datos de menores sin autorización.
Derechos del Consumidor Bajo la TDPSA
La TDPSA otorga a los consumidores de Texas los siguientes derechos:
Confirmar y acceder. Puede pedirle a una empresa que confirme si procesa sus datos personales y solicitar una copia de esos datos.
Corregir inexactitudes. Puede solicitar que una empresa corrija datos personales inexactos que mantenga sobre usted.
Eliminar sus datos. Puede solicitar la eliminación de datos personales recopilados de usted o sobre usted.
Portabilidad. Puede solicitar una copia de sus datos en un formato portátil y fácilmente utilizable.
Excluirse de la publicidad dirigida. Puede excluirse del uso de sus datos personales para fines de publicidad dirigida.
Excluirse de la venta de datos. Puede excluirse de la venta de sus datos personales a terceros.
Excluirse de la elaboración de perfiles. Puede excluirse de la elaboración de perfiles que produzca efectos legales o de importancia similar sobre usted.
Los controladores deben responder a las solicitudes verificadas de los consumidores dentro de 45 días. Si se necesita tiempo adicional, los controladores pueden extender el plazo por otros 45 días con previo aviso. Si un controlador rechaza una solicitud, debe proporcionar un motivo y explicar cómo puede apelar el consumidor. La apelación debe resolverse dentro de 60 días.
Mecanismos Universales de Exclusión
Texas es uno de los estados que exige a los controladores cubiertos honrar las señales universales de exclusión. Los consumidores pueden designar a un agente autorizado para presentar solicitudes de exclusión en su nombre usando herramientas como Global Privacy Control (GPC). Un controlador que procese datos para publicidad dirigida o venda datos personales debe proporcionar un medio claro y visible para que los consumidores se excluyan, y debe reconocer los mecanismos universales de exclusión válidos.
Datos Personales y Datos Sensibles
"Datos personales" significa cualquier información que esté vinculada o razonablemente vinculable a una persona identificada o identificable. La información disponible públicamente y los datos correctamente desidentificados quedan fuera de esta definición.
Los "datos sensibles" reciben una protección reforzada y requieren el consentimiento afirmativo del consumidor antes de su procesamiento. Las categorías de datos sensibles de la TDPSA son:
- Origen racial o étnico
- Creencias religiosas
- Diagnóstico de salud mental o física
- Sexualidad u orientación sexual
- Ciudadanía o estatus migratorio
- Datos genéticos
- Datos biométricos procesados con el fin de identificación única
- Datos de geolocalización precisa (dentro de un radio de 1,750 pies)
- Datos personales de un menor de 13 años
El consentimiento obtenido mediante patrones oscuros (dark patterns) o escondido dentro de términos de servicio generales no satisface el estándar de consentimiento de la TDPSA.
Obligaciones del Controlador y del Procesador
Los controladores de datos bajo la TDPSA deben cumplir con estos requisitos básicos:
Minimización de datos. La recopilación debe limitarse a lo que sea adecuado, relevante y razonablemente necesario para el propósito divulgado.
Limitación de propósito. Los datos no pueden procesarse para propósitos incompatibles con lo que se divulgó al consumidor al momento de la recopilación.
Seguridad. Los controladores deben implementar y mantener prácticas de seguridad administrativas, técnicas y físicas razonables, apropiadas para el volumen y la naturaleza de los datos personales.
Evaluaciones de protección de datos. Los controladores deben realizar y documentar evaluaciones de protección de datos antes de emprender actividades de procesamiento que presenten un riesgo elevado: publicidad dirigida, venta de datos, ciertos usos de elaboración de perfiles, y el procesamiento de datos sensibles. El Fiscal General de Texas puede solicitar estas evaluaciones, y los controladores deben presentarlas.
Contratos con procesadores. Los contratos con procesadores de datos deben incluir todos los elementos que exige la TDPSA, incluyendo obligaciones de asistir con las solicitudes de derechos del consumidor y las evaluaciones de protección de datos.
Aplicación de la TDPSA y Sanciones
El Fiscal General de Texas tiene autoridad exclusiva de aplicación. No existe un derecho de acción privada bajo la TDPSA.
Antes de presentar una demanda, el Fiscal General debe dar a la empresa un aviso escrito de la presunta infracción y un plazo de 30 días para subsanarla. Si la empresa subsana y proporciona una declaración escrita de cumplimiento, no puede proceder ninguna acción de aplicación por esa infracción. Si la empresa no subsana, o posteriormente incumple su declaración escrita de subsanación, el Fiscal General puede buscar:
- Sanciones civiles de hasta USD 7,500 por infracción
- Medidas cautelares
- Honorarios de abogados y costos de investigación
No existe un límite agregado de sanciones por acción de aplicación.
Ley de Captura o Uso de Identificadores Biométricos de Texas (CUBI)

La Capture or Use of Biometric Identifier Act (CUBI), o Ley de Captura o Uso de Identificadores Biométricos, está codificada en el Capítulo 503 del Código de Negocios y Comercio de Texas. Es anterior a la TDPSA y ofrece protecciones dedicadas para los datos biométricos más allá de lo que exigen las disposiciones de datos sensibles de la TDPSA.
Qué Cubre la CUBI
La CUBI regula la captura y el uso comercial de identificadores biométricos. La ley define los identificadores biométricos como:
- Escaneos de retina o iris
- Huellas dactilares
- Huellas de voz
- Registros de geometría de la mano o del rostro
Requisitos de la CUBI
Antes de capturar el identificador biométrico de una persona con fines comerciales, una persona o entidad debe:
- Informar a la persona que se está recopilando o almacenando un identificador biométrico
- Obtener el consentimiento de la persona para esa recopilación o almacenamiento
La CUBI también prohíbe vender, arrendar o divulgar de otro modo un identificador biométrico a un tercero sin consentimiento, y exige la destrucción de los datos biométricos dentro de un tiempo razonable.
Una enmienda de 2023 aclaró que una persona no consiente a la captura simplemente porque exista en algún lugar de internet o en fuentes públicamente disponibles una imagen que contenga sus identificadores biométricos, a menos que la persona misma haya hecho pública esa imagen.
Sanciones de la CUBI
Cada infracción de la CUBI conlleva una sanción civil de hasta USD 25,000. El Fiscal General de Texas aplica el estatuto. A diferencia de la TDPSA, la CUBI no incluye un período de subsanación de 30 días antes de que el Fiscal General pueda buscar sanciones.
Acuerdo con Meta (Julio de 2024)
En julio de 2024, el Fiscal General Ken Paxton obtuvo un acuerdo de USD 1.4 mil millones con Meta por presuntas violaciones de la CUBI. La demanda del Fiscal General alegaba que Meta capturó la geometría facial de residentes de Texas a través de su función de reconocimiento facial "Tag Suggestions" sin obtener consentimiento informado. La cifra de USD 1.4 mil millones es el acuerdo de privacidad más grande jamás obtenido por un solo fiscal general estatal.
Acuerdo con Google (Finalizado en Octubre de 2025)
Texas demandó a Google en 2022 alegando violaciones de la CUBI y otros estatutos de privacidad de Texas, incluyendo la captura no autorizada de identificadores biométricos a través de Google Photos y Google Assistant. Las partes llegaron a un acuerdo de principio el 9 de mayo de 2025, y finalizaron un acuerdo de USD 1.375 mil millones el 31 de octubre de 2025. El acuerdo también resolvió reclamos relacionados con el rastreo de ubicación y la recopilación de datos en el modo Incógnito.
Requisitos de Notificación de Violaciones de Datos (ITEPA)
La Texas Identity Theft Enforcement and Protection Act (ITEPA), codificada en el Capítulo 521 del Código de Negocios y Comercio de Texas, rige las obligaciones de notificación de violaciones para las empresas que mantienen información personal sensible sobre residentes de Texas.

Qué Activa la Notificación
Una "violación de la seguridad del sistema" ocurre cuando información personal sensible es adquirida por una persona no autorizada. La información personal sensible bajo la ITEPA incluye:
- Números de Seguro Social
- Números de licencia de conducir o de tarjeta de identificación estatal
- Números de cuentas financieras combinados con códigos de seguridad, contraseñas o códigos de acceso
- Números de póliza de seguro médico o de suscriptor combinados con información de salud
- Información sobre la condición o el tratamiento de salud física o mental de una persona
Plazos de Notificación
Texas impone dos plazos paralelos:
Notificación al consumidor. La empresa debe notificar a las personas afectadas a más tardar 60 días después de la fecha en que determina que ocurrió una violación. La notificación puede entregarse por correo postal, correo electrónico, publicación visible en el sitio web, o difusión en medios estatales.
Notificación al Fiscal General. Si la violación afecta a 250 o más residentes de Texas, la empresa también debe notificar al Fiscal General de Texas tan pronto como sea posible y a más tardar 30 días después de descubrir la violación. Los reportes se presentan a través del portal de notificación de violaciones de datos del Fiscal General.
Requisitos de Eliminación de Datos
La ITEPA exige que, cuando una empresa deseche registros que contengan información de identificación personal, el método de eliminación haga que los datos sean ilegibles o indescifrables. Esto aplica tanto a registros físicos como a medios de almacenamiento electrónico.
Sanciones de la ITEPA
El Fiscal General puede buscar sanciones civiles de entre USD 2,000 y USD 50,000 por infracción. Por no tomar acciones razonables para notificar a los consumidores, puede aplicar una sanción adicional de hasta USD 250,000 por evento de violación. El Fiscal General también puede recuperar honorarios de abogados, costos de investigación y costas judiciales.
Ley SCOPE (Securing Children Online Through Parental Empowerment)
La SCOPE Act, codificada en el Capítulo 509 del Código de Negocios y Comercio de Texas, entró en vigor el 1 de septiembre de 2024. Impone obligaciones específicas a los proveedores de servicios digitales que operan plataformas en línea para interacción social cuando esas plataformas son utilizadas por menores de 18 años.
Qué Exige la Ley SCOPE
Las plataformas cubiertas deben:
- Limitar la recopilación y el uso de la información de identificación personal de un menor y prohibir compartirla o venderla
- Abstenerse de recopilar los datos de geolocalización de un menor
- Abstenerse de mostrar publicidad dirigida a menores
- Impedir que los menores realicen compras o transacciones financieras en la plataforma
- Desarrollar e implementar una estrategia para prevenir la exposición de los menores a material que promueva el autolesionismo, el abuso de sustancias, el acoso, el hostigamiento, la trata de personas o la explotación sexual
- Proporcionar a los padres herramientas para gestionar y controlar la configuración de privacidad de su hijo
Una infracción de la Ley SCOPE se trata como una práctica comercial engañosa. El Fiscal General puede buscar medidas cautelares y sanciones civiles de hasta USD 10,000 por infracción.
Ley de Registro de Corredores de Datos de Texas
Texas exige que ciertos corredores de datos se registren ante el Secretario de Estado bajo el Capítulo 510 del Código de Negocios y Comercio. La ley original de corredores de datos (promulgada como SB 2105 durante la 88ª Legislatura, vigente desde el 1 de septiembre de 2023) fue ampliada por dos proyectos de ley firmados el 20 de junio de 2025, ambos vigentes desde el 1 de septiembre de 2025.
Quién Debe Registrarse
Un "corredor de datos" ahora se define (tras las enmiendas de 2025 de SB 2121 y SB 1343) como una entidad comercial que recopila, procesa o transfiere datos personales que la entidad no recopiló directamente de la persona. La enmienda de 2025 eliminó el requisito previo de que la corretaje de datos fuera la "fuente principal de ingresos" de la empresa, ampliando sustancialmente la obligación de registro.
Se exige el registro si la entidad, en un período de 12 meses, obtiene más del 50 por ciento de sus ingresos del procesamiento o transferencia de dichos datos, o procesa o transfiere los datos personales de más de 50,000 personas no recopilados directamente de esas personas.
Proceso de Registro
Los corredores de datos que califiquen deben registrarse ante el Secretario de Estado de Texas presentando una declaración de registro y pagando una tarifa anual de USD 300. El registro debe incluir:
- El nombre legal del corredor de datos y la información de contacto
- Una dirección física
- Un enlace a una página que explique cómo los consumidores pueden ejercer sus derechos bajo la Sección 541.051 de la TDPSA
En 2024, el Fiscal General notificó a más de 100 empresas sobre su aparente incumplimiento del requisito de registro de corredores de datos. El Fiscal General ha continuado con una aplicación activa del registro desde entonces.
Ley de Gobernanza Responsable de la Inteligencia Artificial de Texas (TRAIGA)
La Texas Responsible AI Governance Act (TRAIGA), firmada en 2025, entró en vigor el 1 de enero de 2026. La TRAIGA enmienda e interactúa con la TDPSA imponiendo obligaciones a las personas y entidades que desarrollan o implementan sistemas de inteligencia artificial en Texas.

Requisitos Clave de la TRAIGA
La TRAIGA prohíbe el uso de sistemas de inteligencia artificial para la manipulación conductual, la discriminación, la creación o distribución de deepfakes ilegales o material de abuso sexual infantil, y la infracción de derechos constitucionales.
Para los sistemas de IA que interactúan con consumidores de Texas, las entidades gubernamentales deben divulgar a los consumidores que están interactuando con un sistema de IA. El estatuto también establece un programa de sandbox regulatorio para desarrolladores de IA y crea el Consejo Asesor de Inteligencia Artificial de Texas.
El marco de responsabilidad de la TRAIGA se basa en la intención: a diferencia de los estatutos que imponen responsabilidad estricta por resultados discriminatorios, la TRAIGA exige prueba de mala conducta intencional. El Fiscal General tiene autoridad exclusiva de aplicación, con un período de subsanación de 60 días antes de que pueda proceder cualquier acción de aplicación.
La enmienda de la TRAIGA a la TDPSA aclara que los procesadores de datos deben ayudar a los controladores a cumplir con los requisitos de seguridad al procesar datos a través de sistemas de IA.
Acciones de Aplicación Recientes
La oficina del Fiscal General de Texas ha sido uno de los aplicadores estatales más agresivos de la privacidad de datos en el país.
Texas contra Allstate y Arity (Enero de 2025)
El 13 de enero de 2025, el Fiscal General de Texas presentó la primera demanda jamás interpuesta bajo cualquier ley integral de privacidad de datos estatal. La demanda alegaba que Allstate y su subsidiaria Arity recopilaron en secreto datos de ubicación y movimiento de más de 45 millones de estadounidenses al incrustar un kit de desarrollo de software en aplicaciones móviles populares, incluyendo Life360, GasBuddy y Fuel Rewards. El kit rastreaba la ubicación en tiempo real, los patrones de movimiento y el comportamiento de conducción sin el conocimiento ni el consentimiento del usuario. El Fiscal General alegó violaciones de la TDPSA, incluyendo fallas relacionadas con datos de geolocalización sensibles, y también alegó que Arity violó el requisito de registro de corredores de datos al no registrarse a pesar de procesar datos de millones de personas.
Acuerdo con Meta (Julio de 2024)
El Fiscal General de Texas obtuvo un acuerdo de USD 1.4 mil millones con Meta en julio de 2024 por presuntas violaciones de la CUBI relacionadas con la tecnología de reconocimiento facial. El acuerdo es el mayor acuerdo de privacidad jamás obtenido por un solo fiscal general estatal.
Acuerdo con Google (Octubre de 2025)
El Fiscal General de Texas finalizó un acuerdo de USD 1.375 mil millones con Google en octubre de 2025, resolviendo reclamos relacionados con la recopilación de datos biométricos a través de Google Photos y Google Assistant, el rastreo no autorizado de ubicación, y la recopilación de datos en el modo Incógnito. El acuerdo es el mayor acuerdo de privacidad a nivel estatal jamás obtenido contra Google.
Investigaciones Sobre la Seguridad de las Plataformas para Menores
El Fiscal General inició investigaciones sobre Character.AI, Reddit, Instagram, Discord y otras plataformas por sus prácticas de privacidad y seguridad para menores bajo la Ley SCOPE y estatutos relacionados.
Acciones Contra Empresas Extranjeras
Texas también emprendió acciones legales contra empresas chinas por presuntas violaciones de los derechos de privacidad de los residentes de Texas, señalando que la aplicación de Texas se extiende más allá de las empresas tecnológicas nacionales.
Marco Federal de Privacidad Superpuesto
Varios estatutos federales se aplican junto con la ley de Texas y ofrecen protecciones adicionales para los residentes de Texas.

TAKE IT DOWN Act (Pub. L. 119-12, firmada el 19 de mayo de 2025). Esta ley federal criminaliza la publicación de imágenes íntimas no consentidas (NCII), incluyendo deepfakes generados por IA. La prohibición penal entró en vigor de inmediato el 19 de mayo de 2025. Las obligaciones de retiro para plataformas (que exigen a las plataformas cubiertas establecer un proceso de aviso y retiro dentro de 48 horas) se volvieron efectivas el 19 de mayo de 2026, con autoridad de aplicación de la FTC.
HIPAA. Las entidades cubiertas y los asociados comerciales que manejan información de salud protegida están regidos por las Reglas de Privacidad y Seguridad de HIPAA, que se superponen a las disposiciones de datos sensibles de la TDPSA para información de salud.
Ley Gramm-Leach-Bliley (GLBA). Las instituciones financieras sujetas a la GLBA están exentas del alcance de la TDPSA, pero la Regla de Salvaguardas de la GLBA impone sus propios requisitos de seguridad de datos y de aviso de privacidad.
Children's Online Privacy Protection Act (COPPA). La COPPA rige la recopilación en línea de información personal de menores de 13 años y se aplica junto con la Ley SCOPE de Texas para los operadores cubiertos.
Fair Credit Reporting Act (FCRA). Las agencias de informes crediticios y los usuarios de informes de consumo enfrentan obligaciones bajo la FCRA independientes de la ley estatal.
Sección 5 de la Ley de la FTC. La Comisión Federal de Comercio puede perseguir prácticas de datos desleales o engañosas contra la mayoría de las empresas bajo la Sección 5, proporcionando un respaldo federal de aplicación.
American Privacy Rights Act (APRA). El borrador bicameral de la APRA de 2024 no fue aprobado. Una propuesta de APRA 2.0 circuló en 2025 pero no había sido promulgada a mayo de 2026. No hay una ley federal integral de privacidad en vigor.
Tabla Comparativa de Sanciones
| Ley | Estatuto | Sanción Por Infracción | Notas |
|---|---|---|---|
| TDPSA | Tex. Bus. & Com. Code, Cap. 541 | Hasta USD 7,500 | Período de subsanación de 30 días; solo aplicación del Fiscal General |
| CUBI | Tex. Bus. & Com. Code, Cap. 503 | Hasta USD 25,000 | Sin período de subsanación; aplicación del Fiscal General |
| ITEPA (Notificación de Violaciones) | Tex. Bus. & Com. Code, Cap. 521 | USD 2,000 a USD 50,000 | Hasta USD 250,000 por no notificar |
| Ley SCOPE | Tex. Bus. & Com. Code, Cap. 509 | Hasta USD 10,000 | Práctica comercial engañosa; aplicación del Fiscal General |
| Corredores de Datos | Tex. Bus. & Com. Code, Cap. 510 | Variable | Registro requerido; aplicación del Fiscal General |
| TRAIGA | Código de Gobierno de Texas (IA) | Variable | Período de subsanación de 60 días; aplicación del Fiscal General; vigente desde el 1 de enero de 2026 |
Pasos Prácticos de Cumplimiento Para las Empresas
Las empresas que operan en Texas o atienden a residentes de Texas deben tomar los siguientes pasos:
Mapee sus datos. Identifique todos los datos personales recopilados de residentes de Texas, categorícelos por nivel de sensibilidad, y documente el propósito de cada actividad de procesamiento.
Actualice su aviso de privacidad. Su aviso debe divulgar claramente qué datos recopila, por qué los recopila, si los vende o los usa para publicidad dirigida, y cómo los consumidores pueden ejercer sus derechos.
Construya flujos de trabajo para los derechos del consumidor. Necesita procesos documentados para manejar solicitudes de acceso, corrección, eliminación, portabilidad y exclusión dentro de 45 días. Designe un punto de contacto o construya un portal de solicitudes de consumidores.
Honre las señales universales de exclusión. Si vende datos personales o los procesa para publicidad dirigida, debe reconocer GPC y otros mecanismos universales de exclusión aprobados.
Realice evaluaciones de protección de datos. Documente sus evaluaciones para la publicidad dirigida, la venta de datos, la elaboración de perfiles y las actividades de procesamiento de datos sensibles antes de comenzar esas actividades.
Audite sus prácticas de datos biométricos. Si recopila huellas dactilares, geometría facial, huellas de voz, escaneos de iris o geometría de la mano con fines comerciales, obtenga primero el consentimiento expreso por escrito e implemente un cronograma de retención y destrucción.
Regístrese si es un corredor de datos. Si su negocio encaja en la definición posterior a la enmienda de 2025, regístrese ante el Secretario de Estado de Texas y pague la tarifa anual de USD 300.
Revise sus implementaciones de IA. La TRAIGA entró en vigor el 1 de enero de 2026. Las empresas que desarrollan o implementan IA en Texas necesitan evaluar si sus sistemas caen dentro del alcance de la TRAIGA y qué requisitos de divulgación o prohibición aplican.
Prepare protocolos de respuesta a violaciones. Conozca su plazo de notificación al consumidor de 60 días y su plazo de notificación al Fiscal General de 30 días para violaciones que afecten a 250 o más residentes de Texas.
Cómo Pueden los Consumidores de Texas Ejercer Sus Derechos
Si usted es residente de Texas, tiene varias vías para proteger sus datos personales:
Presente solicitudes directamente a las empresas. Contacte al equipo de privacidad de la empresa o use su portal de privacidad designado para presentar solicitudes de acceso, corrección, eliminación, portabilidad o exclusión. Las empresas deben responder dentro de 45 días.
Use Global Privacy Control. Active GPC en su navegador (compatible con Firefox, Brave, y mediante extensiones de navegador) para enviar señales automáticas de exclusión a las empresas cubiertas mientras navega.
Apele una negativa. Si una empresa niega su solicitud, puede presentar una apelación. La empresa debe responder a su apelación dentro de 60 días y explicar el motivo de cualquier negativa continuada.
Presente una queja ante el Fiscal General de Texas. La División de Protección al Consumidor del Fiscal General acepta quejas de privacidad de datos en línea. El Fiscal General maneja quejas bajo la TDPSA, la CUBI, la ITEPA, la Ley SCOPE y la Ley de Corredores de Datos.
Reporte a la FTC. Las quejas federales sobre prácticas de datos engañosas pueden presentarse en ReportFraud.ftc.gov. La FTC aplica la COPPA, la FCRA y la Sección 5 de la Ley de la FTC.
Comparaciones Relacionadas Entre Estados
Comparar Texas con otros estados puede ayudar a las empresas a evaluar su postura de cumplimiento multiestatal:
- Leyes de Privacidad de Datos de California (CCPA/CPRA con autoridad regulatoria de la CPPA)
- Leyes de Privacidad de Datos de Illinois (ley biométrica BIPA; aún sin ley integral de privacidad del consumidor)
- Leyes de Privacidad de Datos de Colorado (CPA, vigente desde el 1 de julio de 2023)
- Leyes de Privacidad de Datos de Virginia (VCDPA)
- Nuestro panorama mundial de privacidad de datos para una comparación entre jurisdicciones
Más Leyes de Texas
- Leyes de Grabación de Reuniones con IA de Texas
- Leyes de Pensión Alimenticia Conyugal de Texas
- Leyes de Empleo a Voluntad de Texas
- Leyes de Accidentes de Auto de Texas
- Leyes de Asientos de Auto para Niños de Texas
- Leyes de Custodia de Menores de Texas
- Leyes de Manutención de Menores de Texas
- Leyes de Matrimonio de Hecho de Texas
- Leyes de Deepfakes de Texas
- Leyes de Divorcio de Texas
- Leyes de Mordeduras de Perro de Texas
- Leyes de Emancipación de Texas
- Leyes de Eliminación de Antecedentes Penales de Texas
- Leyes de Choque y Fuga de Texas
- Leyes de Propietarios e Inquilinos de Texas
- Leyes del Limón de Texas
Este artículo tiene fines informativos únicamente y no constituye asesoría legal. Las leyes de privacidad de datos cambian con frecuencia. Consulte a un abogado con licencia en Texas para obtener asesoría sobre su situación específica. Última revisión: mayo de 2026.
Noticias relacionadas
Guías detalladas
Preguntas frecuentes
¿La Texas Data Privacy and Security Act se aplica a las pequeñas empresas?
Las pequeñas empresas según la definición de la Administración Federal de Pequeños Negocios generalmente están exentas de la TDPSA. Hay una excepción firme: si una pequeña empresa vende datos sensibles del consumidor (incluyendo información de salud, datos biométricos, geolocalización precisa, o datos de menores de 13 años), debe obtener el consentimiento del consumidor antes de hacerlo. El tamaño no elimina esa obligación.
¿Qué derechos tienen los consumidores de Texas bajo la TDPSA?
Los consumidores de Texas tienen el derecho de confirmar si una empresa procesa sus datos personales, acceder a esos datos, corregir inexactitudes, solicitar su eliminación, obtener una copia portátil, y excluirse de la publicidad dirigida, la venta de datos y la elaboración de perfiles que produzca efectos legales o de importancia similar. Las empresas deben responder a las solicitudes verificadas dentro de 45 días y deben permitir que los consumidores apelen una negativa dentro de 60 días.
¿Con qué rapidez debe una empresa notificar a los residentes de Texas sobre una violación de datos?
Bajo la Texas Identity Theft Enforcement and Protection Act, las empresas deben notificar a las personas afectadas a más tardar 60 días después de determinar que ocurrió una violación. Si la violación afecta a 250 o más residentes de Texas, la empresa también debe notificar al Fiscal General de Texas dentro de 30 días desde el descubrimiento de la violación.
¿Puedo demandar directamente a una empresa por violar la TDPSA?
No. La TDPSA no incluye un derecho de acción privada. Solo el Fiscal General de Texas puede presentar acciones de aplicación. Si cree que una empresa ha violado sus derechos de privacidad de datos, presente una queja ante la División de Protección al Consumidor del Fiscal General de Texas en texasattorneygeneral.gov.
¿Cuál es la sanción por recopilar datos biométricos sin consentimiento en Texas?
Bajo la Texas Capture or Use of Biometric Identifier Act (CUBI), recopilar identificadores biométricos como huellas dactilares, geometría facial, escaneos de retina o huellas de voz sin consentimiento informado conlleva una sanción civil de hasta USD 25,000 por infracción. El Fiscal General de Texas aplica la CUBI y ya ha obtenido los dos acuerdos de privacidad biométrica más grandes en la historia de Estados Unidos: USD 1.4 mil millones de Meta (julio de 2024) y USD 1.375 mil millones de Google (octubre de 2025).
¿Texas exige que las empresas reconozcan Global Privacy Control?
Sí. Texas es uno de un número creciente de estados que exigen a los controladores de datos cubiertos honrar los mecanismos universales de exclusión, incluyendo Global Privacy Control. Si su empresa procesa datos personales para publicidad dirigida o vende datos personales a terceros, debe reconocer las señales universales de exclusión válidas y proporcionar un medio claro para que los consumidores se excluyan.
¿Qué es la Ley SCOPE de Texas y a quién cubre?
La Securing Children Online Through Parental Empowerment (SCOPE) Act, vigente desde el 1 de septiembre de 2024, se aplica a los proveedores de servicios digitales que operan plataformas en línea para interacción social utilizadas por menores de 18 años. Las plataformas cubiertas no pueden recopilar los datos de geolocalización de los menores, mostrarles publicidad dirigida, permitirles transacciones financieras, ni vender sus datos personales. Las infracciones se tratan como prácticas comerciales engañosas con sanciones de hasta USD 10,000 por infracción.
¿Qué cambió con la ley de corredores de datos de Texas en 2025?
Dos proyectos de ley firmados el 20 de junio de 2025 (SB 2121 y SB 1343), ambos vigentes desde el 1 de septiembre de 2025, ampliaron significativamente el requisito de registro de corredores de datos de Texas. La definición previa exigía que la corretaje de datos fuera la fuente principal de ingresos de una empresa; la nueva definición cubre a cualquier entidad comercial que recopile, procese o transfiera datos personales que no recopiló directamente de la persona. Las empresas que califiquen deben registrarse ante el Secretario de Estado de Texas y pagar una tarifa anual de USD 300.
¿Qué exige la Ley de Gobernanza Responsable de la Inteligencia Artificial de Texas (TRAIGA)?
La TRAIGA, vigente desde el 1 de enero de 2026, prohíbe que los sistemas de IA se usen para la manipulación conductual, la discriminación, los deepfakes ilegales, o la infracción de derechos constitucionales. Las entidades gubernamentales deben divulgar cuando los consumidores están interactuando con un sistema de IA. El Fiscal General aplica la TRAIGA con un período de subsanación de 60 días. La ley también enmendó la TDPSA para aclarar que los procesadores deben ayudar a los controladores a cumplir con las obligaciones de seguridad al procesar datos a través de sistemas de IA.
Fuentes y referencias
- Código de Negocios y Comercio de Texas, Capítulo 541 - Protección de Datos del Consumidor (TDPSA)(statutes.capitol.texas.gov).gov
- Fiscal General de Texas - Panorama de la TDPSA(texasattorneygeneral.gov).gov
- Código de Negocios y Comercio de Texas, Capítulo 503 - Identificadores Biométricos(statutes.capitol.texas.gov).gov
- Fiscal General de Texas - Ley de Identificadores Biométricos(texasattorneygeneral.gov).gov
- Código de Negocios y Comercio de Texas, Capítulo 521 - Ley de Aplicación y Protección Contra el Robo de Identidad(statutes.capitol.texas.gov).gov
- Fiscal General de Texas - Reporte de Violaciones de Datos(texasattorneygeneral.gov).gov
- Fiscal General de Texas - Ley de Aplicación y Protección Contra el Robo de Identidad(texasattorneygeneral.gov).gov
- Departamento de Recursos de Información de Texas - TDPSA(dir.texas.gov).gov
- Reporte del DIR Sobre la TDPSA (Diciembre de 2024)(dir.texas.gov).gov
- Código de Negocios y Comercio de Texas, Capítulo 510 - Corredores de Datos(statutes.capitol.texas.gov).gov
- Fiscal General de Texas - Ley SCOPE(texasattorneygeneral.gov).gov
- Fiscal General de Texas - Aplicación Contra Allstate y Arity(texasattorneygeneral.gov).gov
- Fiscal General de Texas - Derechos de Privacidad del Consumidor(texasattorneygeneral.gov).gov
- Texto Promulgado del H.B. 4 (88ª Legislatura)(capitol.texas.gov).gov
- DIR de Texas - Conozca Sus Derechos Bajo la TDPSA(dir.texas.gov).gov
- Código de Negocios y Comercio de Texas, Capítulo 509: Ley SCOPE(statutes.capitol.texas.gov).gov
- Comunicado del Fiscal General de Texas: Acuerdo Biométrico de USD 1.4 Mil Millones con Meta (Julio de 2024)(texasattorneygeneral.gov).gov
- Comunicado del Fiscal General de Texas: Acuerdo de USD 1.375 Mil Millones con Google Finalizado (Octubre de 2025)(texasattorneygeneral.gov).gov
- Congress.gov: TAKE IT DOWN Act, S.146, 119º Congreso (firmada el 19 de mayo de 2025)(congress.gov).gov
- WilmerHale: El Fiscal General de Texas presenta la primera demanda bajo una ley integral de privacidad estatal (Enero de 2025)(wilmerhale.com)
- Holland and Knight - Legislación de Privacidad en Texas: Lo Ocurrido en 2025 y lo que Sigue (Febrero de 2026)(hklaw.com)
- Troutman Pepper: Cambios a la Ley de Corredores de Datos de Texas Vigentes Desde el 1 de Septiembre de 2025(troutmanprivacy.com)
- Baker Botts - Texas Promulga la Ley de Gobernanza Responsable de IA: Lo que las Empresas Deben Saber (Julio de 2025)(bakerbotts.com)