Texas
Lista de Verificación de Cumplimiento de la TDPSA para Empresas (2026)

Si su empresa opera en Texas o presta servicios a residentes de Texas, la Ley de Privacidad de Datos y Seguridad de Texas (TDPSA), Tex. Bus. & Com. Code cap. 541, vigente desde el 1 de julio de 2024, puede imponerle obligaciones como controlador. A diferencia de otras leyes estatales de privacidad que establecen umbrales fijos de volumen de consumidores o ingresos, la TDPSA utiliza los estándares de tamaño específicos por industria de la Administración de Pequeñas Empresas de EE. UU. (SBA) como único filtro de aplicabilidad, lo que significa que muchas empresas medianas que suponen ser demasiado pequeñas para cumplir en realidad pueden estar totalmente cubiertas. Esta lista de verificación de diez pasos recorre cada deber del controlador, desde la autoevaluación de aplicabilidad hasta los contratos con procesadores y la exposición a sanciones, para que pueda evaluar su postura de cumplimiento o cerrar brechas antes de que llegue la carta de aviso de 30 días del Fiscal General de Texas.
Para un resumen en lenguaje sencillo de lo que exige la TDPSA, consulte la guía complementaria. Para más detalles sobre los cinco derechos que sus clientes de Texas pueden invocar contra su empresa, consulte los derechos del consumidor bajo la TDPSA.
Paso 1: Realice la Autoevaluación de Aplicabilidad
El filtro de aplicabilidad de la TDPSA es distinto al de cualquier otra ley estatal de privacidad importante. No hay un umbral fijo de ingresos, ni un piso de 100,000 consumidores, ni una prueba de porcentaje de ingresos provenientes de la venta de datos. El único filtro es si su empresa califica como pequeña empresa según los estándares de tamaño de la Administración de Pequeñas Empresas de EE. UU. Tex. Bus. & Com. Code § 541.002(a).
Los estándares de tamaño de la SBA se establecen por código de industria NAICS y se publican en 13 C.F.R. Parte 121. La mayoría de las empresas de los sectores minorista y de servicios se miden por los ingresos anuales promedio en un período móvil de tres años. La mayoría de las empresas de manufactura y venta al por mayor se miden por el número promedio de empleados en un período móvil de doce meses. Los umbrales comúnmente van de $7.5 millones a $47 millones en ingresos para las industrias minorista y de servicios, y de 500 a 1,500 empleados para la manufactura. Busque su código NAICS específico usando la Herramienta de Estándares de Tamaño de la SBA en sba.gov/size-standards.
Dos reglas de agregación son importantes. Primero, debe contar las entidades afiliadas al calcular el tamaño, por lo que una empresa con una matriz o sociedad tenedora grande puede exceder el umbral aunque la subsidiaria operativa por sí sola no lo haría. Segundo, calcule el tamaño para cada industria en la que opera, porque una empresa que abarca dos sectores puede cumplir con el estándar de pequeña empresa en uno pero no en el otro.
Si su empresa excede el umbral de la SBA para su industria principal, la TDPSA se aplica en su totalidad y debe proceder con todos los pasos restantes. Si está por debajo del umbral como una verdadera pequeña empresa según la SBA, la mayoría de las obligaciones de la TDPSA no se aplican, pero no asuma una exención total todavía: el § 541.107 igual le prohíbe vender datos personales sensibles sin el consentimiento previo del consumidor, sin importar su estatus de tamaño.
Documente la conclusión de su autoevaluación con el código NAICS que utilizó, el estándar de tamaño aplicable y los ingresos anuales o el número de empleados que produjeron su resultado. Si el Fiscal General llega a investigar, un análisis de umbral documentado es mucho más persuasivo que una simple afirmación de que la TDPSA no se aplicaba.
Paso 2: Confirme si Aplica una Exención de Entidad o de Datos
Incluso si su empresa excede el umbral de tamaño de la SBA, la TDPSA contiene exenciones categóricas de entidad que eliminan clases enteras de organizaciones del alcance de la ley. Según el Tex. Bus. & Com. Code § 541.002(b), las siguientes entidades están totalmente exentas: las agencias estatales y subdivisiones políticas de Texas; las instituciones financieras y sus afiliadas sujetas al Título V de la Ley Gramm-Leach-Bliley; las entidades cubiertas por HIPAA y sus asociados comerciales; las organizaciones sin fines de lucro; las instituciones de educación superior; y las empresas de servicios públicos eléctricos y de generación de energía.
Más allá de las exenciones a nivel de entidad, categorías específicas de datos quedan excluidas según el § 541.003, sin importar qué empresa las posea. Las categorías de datos exentas incluyen la información de salud protegida por HIPAA, los registros médicos, el producto de trabajo de seguridad del paciente y ciertos conjuntos de datos de salud desidentificados; los datos de crédito al consumidor regulados por la FCRA; los datos de vehículos motorizados de la Ley de Protección de la Privacidad del Conductor; los registros educativos de FERPA; los datos de la Ley de Crédito Agrícola; los datos personales procesados en el contexto de empleo, contratista independiente o solicitud de empleo; la información de contacto de emergencia; y los datos de administración de beneficios.
La exención de entidad y la exención de datos son pruebas independientes que debe aplicar por separado. Un hospital cubierto por HIPAA está exento a nivel de entidad en toda su operación. Una empresa de software no regulada por HIPAA puede seguir procesando algunos flujos de datos regulados por HIPAA como asociado comercial, los cuales están exentos a nivel de datos, aunque la empresa en sí esté cubierta por la TDPSA para sus otras actividades de datos.
Aplique una doble verificación a cada flujo de datos: primero, ¿una exención a nivel de entidad elimina a toda su organización de la cobertura? Segundo, incluso si su organización está cubierta, ¿una exención de categoría de datos elimina este tipo particular de dato de los requisitos de la TDPSA? Solo después de ambas verificaciones debe tratar un flujo como regido por el conjunto completo de deberes del controlador según la TDPSA.
Paso 3: Mapee sus Datos Sensibles y Prepare los Flujos de Consentimiento de Inclusión
La obligación más exigente de la TDPSA orientada al consumidor es su requisito de consentimiento afirmativo de inclusión (opt-in) antes de procesar datos sensibles. Este no es un estándar de exclusión (opt-out) que permita que la recopilación comience mientras se ofrece cancelar más tarde. Necesita un "sí" informado y voluntario antes de que comience cualquier procesamiento de datos sensibles. Tex. Bus. & Com. Code § 541.101(b)(4).
La TDPSA define los datos sensibles en el § 541.001 para incluir ocho categorías: los datos personales que revelan el origen racial o étnico; las creencias religiosas; los diagnósticos de salud mental o física; la sexualidad; el estatus de ciudadanía o inmigración; los datos genéticos; los datos biométricos procesados para identificar de manera única a una persona, como huellas dactilares, huellas de voz, escaneos de iris o retina y mediciones biológicas relacionadas; los datos personales recopilados de un niño conocido; y los datos de geolocalización precisa. Revise cada producto, herramienta de análisis, plataforma publicitaria, formulario de salud, perfil de cuenta y campo generado por el usuario en sus sistemas frente a esta lista.
La lista es más amplia de lo que la mayoría de las empresas espera. Una aplicación de bienestar que invita a los usuarios a registrar síntomas está procesando datos de diagnóstico de salud. Una aplicación móvil que comparte coordenadas GPS con socios publicitarios está procesando datos de geolocalización precisa. Una plataforma de recursos humanos que recopila datos biométricos de empleados para el control de horarios está procesando datos biométricos. Un programa de lealtad que infiere características demográficas a partir del historial de compras y las aplica a segmentos publicitarios puede estar generando datos sensibles incluso sin divulgación explícita al usuario.
Para cada flujo de datos sensibles que identifique, construya un mecanismo de inclusión granular que nombre claramente el tipo de dato sensible que se recopila, explique el propósito específico y ofrezca una opción genuina de rechazar sin eliminar el acceso al servicio principal, cuando sea razonablemente posible. Las casillas premarcadas, la inclusión general en los términos de servicio y los consentimientos pasivos por desplazamiento no satisfacen un estándar de inclusión afirmativa.
Para los datos recopilados de niños que se sabe tienen menos de 13 años, el § 541.101(b)(4) dirige el cumplimiento hacia el marco de consentimiento parental verificable de la COPPA, en lugar del consentimiento directo del consumidor. Si su servicio está dirigido a niños o tiene conocimiento real de que está recopilando datos de un niño, el cumplimiento de la COPPA es el mecanismo requerido.

Paso 4: Publique los Avisos de Venta Obligatorios para Datos Sensibles y Biométricos
Este es uno de los requisitos más distintivos de la TDPSA y uno que no tiene un paralelo directo en la mayoría de las demás leyes estatales de privacidad. Si su empresa vende datos personales sensibles a terceros, debe publicar un aviso claro y visible usando el lenguaje estatutario exacto especificado en el Tex. Bus. & Com. Code § 541.102(b): "NOTICE: We may sell your sensitive personal data."
Si su empresa vende datos personales biométricos por separado, se requiere un aviso textual adicional según el § 541.102(c): "NOTICE: We may sell your biometric personal data."
Ambos avisos son requisitos adicionales a, no en lugar de, la divulgación general de exclusión requerida siempre que se venda cualquier dato personal. Una empresa que vende tanto datos sensibles como datos biométricos debe publicar las tres divulgaciones: la exclusión general de venta, el aviso textual de datos sensibles y el aviso textual de datos biométricos.
Estos avisos deben mostrarse de manera visible. El estatuto exige que aparezcan en el aviso de privacidad del controlador o de otra manera razonablemente accesible para los consumidores. Enterrar cualquiera de los avisos en el decimoquinto párrafo de una política de privacidad densa o presentarlo en texto gris de ocho puntos sobre un fondo blanco no satisfará un estándar claro y visible. Considere colocar ambos avisos cerca de la parte superior de su aviso de privacidad, sin necesidad de desplazarse, en un texto destacado con formato.
Fundamentalmente, incluso las pequeñas empresas según la SBA que de otro modo están exentas de las obligaciones del controlador bajo la TDPSA siguen teniendo prohibido vender datos sensibles sin el consentimiento previo del consumidor según el § 541.107. La exención de pequeña empresa no alcanza esta disposición. Tenga en cuenta que el requisito de aviso textual del § 541.102(b)-(c) es una obligación del controlador y se aplica a las empresas no exentas que realizan ventas de datos; las pequeñas empresas sujetas solo al § 541.107 deben obtener consentimiento, pero sus obligaciones de divulgación específicas se rigen por esa sección y no por el marco completo del aviso de privacidad del controlador del § 541.102.
Paso 5: Actualice su Aviso de Privacidad
Un aviso de privacidad conforme con la TDPSA debe contener seis elementos obligatorios según el Tex. Bus. & Com. Code § 541.102. Primero, las categorías de datos personales que usted procesa, con identificación explícita de cualquier categoría de datos sensibles. Segundo, los propósitos para los que procesa cada categoría de datos personales. Tercero, cómo pueden los consumidores ejercer sus cinco derechos estatutarios y el proceso para apelar la denegación de una solicitud de derechos. Cuarto, las categorías de datos personales que comparte con terceros. Quinto, las categorías de terceros con quienes comparte datos personales. Sexto, los métodos mediante los cuales los consumidores pueden presentar solicitudes de derechos, como una dirección de correo electrónico, un formulario web o un número telefónico gratuito.
Si su empresa vende datos personales a terceros o procesa datos personales para publicidad dirigida, el aviso también debe incluir una divulgación clara y visible de esa práctica, y un mecanismo funcional para que los consumidores se excluyan. Tex. Bus. & Com. Code § 541.102(b).
La publicidad dirigida se define de manera restringida. Mostrar anuncios basados en datos recopilados de la actividad del consumidor a través de sitios web o aplicaciones no afiliadas a lo largo del tiempo califica. Mostrar anuncios contextuales basados en la actividad dentro de su propio sitio o aplicación en el momento de la visita no califica. Asegúrese de que su divulgación describa con precisión qué prácticas publicitarias realmente lleva a cabo su empresa, para que el aviso no sea ni demasiado amplio ni engañoso.
El aviso de privacidad debe ser razonablemente accesible. Esto significa que debe estar enlazado de manera prominente desde su página de inicio y desde cada punto de recopilación de datos, no solo enterrado en el pie de página del sitio o accesible únicamente a través de una página de ayuda anidada. Si agrega los avisos de venta obligatorios descritos en el Paso 4, intégrelos de manera visible cerca de la parte superior del documento del aviso.
Para conocer el detalle completo de cada derecho del consumidor, incluyendo el acceso, la corrección, la eliminación, la portabilidad y la exclusión, así como el plazo exacto de respuesta de 45 días y el proceso de apelación, consulte la guía complementaria sobre los derechos del consumidor bajo la TDPSA.
Paso 6: Implemente el Mecanismo de Exclusión Universal
A partir del 1 de enero de 2025, los controladores sujetos a la TDPSA deben respetar las señales de exclusión universal enviadas en nombre de los consumidores de Texas. Esta obligación está codificada en el Tex. Bus. & Com. Code § 541.055(e), que entró en vigor seis meses después de que las disposiciones principales de la TDPSA comenzaran el 1 de julio de 2024.
Un mecanismo de exclusión universal se define de manera amplia para incluir configuraciones y extensiones del navegador (como las señales de Control de Privacidad Global), enlaces a páginas de internet dedicadas a la exclusión y configuraciones globales en dispositivos electrónicos. Cuando un consumidor o su agente autorizado designado envía una señal reconocida, usted debe procesar la exclusión con un esfuerzo comercialmente razonable, incluyendo verificar la residencia en Texas y la autoridad del agente para actuar en nombre del consumidor.
Usted no puede exigir que los consumidores creen una cuenta o inicien sesión como condición previa para ejercer los derechos de exclusión a través de un mecanismo universal. El requisito está diseñado específicamente para permitir exclusiones anónimas a nivel de navegador sin forzar la creación de una cuenta.
Las empresas que ya respetaban las señales de Control de Privacidad Global para cumplir con la CPRA de California deben revisar si su implementación también satisface la versión del requisito de la TDPSA, particularmente el componente de verificación de residencia en Texas. Las señales que funcionan en todos los estados de EE. UU. pueden necesitar ajustes para garantizar un manejo adecuado específico por estado.
Cualquier retraso en reconocer y procesar las señales de exclusión universal es una infracción subsanable dentro del marco de aviso de 30 días del Fiscal General. La implicación práctica es que, al recibir un aviso por escrito del Fiscal General, usted tiene 30 días para implementar el reconocimiento de la señal, confirmar por escrito que lo ha hecho y documentar la corrección para el expediente.
Paso 7: Realice y Documente Evaluaciones de Protección de Datos
Las Evaluaciones de Protección de Datos (DPA) escritas son obligatorias para cinco categorías de procesamiento según el Tex. Bus. & Com. Code § 541.105(a). Los cinco disparadores son: procesar datos personales para publicidad dirigida; vender datos personales; procesar datos personales para un perfilamiento que presente un riesgo razonablemente previsible de trato injusto o engañoso, daño financiero, daño físico, daño reputacional, intrusión en la soledad o el aislamiento, u otro daño sustancial al consumidor; procesar datos sensibles; y cualquier otro procesamiento que presente un riesgo elevado de daño a los consumidores.
Cada evaluación debe sopesar los beneficios de la actividad de procesamiento frente a los riesgos para los consumidores, tomando en cuenta varios factores: en qué medida los datos desidentificados podrían sustituir a los datos personales, las expectativas razonables del consumidor sobre cómo se usarán sus datos, la naturaleza y el contexto de la relación de procesamiento, y si las salvaguardas existentes mitigan adecuadamente los riesgos identificados. Tex. Bus. & Com. Code § 541.105(b).
Una sola evaluación puede cubrir un conjunto de operaciones de procesamiento comparables, en lugar de requerir un documento separado para cada campaña individual, acuerdo de intercambio de datos o función del producto. Si usted ejecuta cinco campañas de publicidad dirigida que usan tipos de datos, propósitos y salvaguardas idénticos, una sola DPA bien documentada que cubra ese programa es defendible. Si una campaña cambia materialmente los tipos de datos utilizados o la población de consumidores objetivo, actualice la evaluación.
El Fiscal General de Texas puede exigir que un controlador divulgue una evaluación de protección de datos relevante para una investigación, y las evaluaciones completadas están protegidas de la divulgación pública mientras estén en posesión del Fiscal General. Tex. Bus. & Com. Code § 541.105(c)-(d). Trate las DPA completadas como documentos legales sensibles desde el principio: involucre a un asesor legal, manténgalas en un sistema de registros confidencial y anote cualquier reclamo de privilegio abogado-cliente en el propio documento.
El momento también importa. Comience las DPA antes de que se lance una nueva actividad de procesamiento, no después. Una DPA completada retroactivamente después de una queja es menos creíble que una que formó parte del proceso de diseño del producto.

Paso 8: Ejecute Contratos Escritos con los Procesadores
Todo proveedor de servicios, vendedor o tercero que procese datos personales en su nombre, bajo sus instrucciones, debe estar regido por un contrato vinculante y escrito entre controlador y procesador antes de que se comparta o se acceda a cualquier dato personal. Tex. Bus. & Com. Code § 541.104(b). No existen excepciones de minimis para proveedores pequeños o contrataciones de corto plazo.
El contrato debe especificar cinco elementos estructurales: las instrucciones para el procesamiento de datos personales; la naturaleza y el propósito del procesamiento; el tipo de datos sujetos al procesamiento; la duración del procesamiento; y los derechos y obligaciones de ambas partes. Estos elementos definen los límites externos de lo que el procesador está autorizado a hacer. Cualquier procesamiento fuera de esos parámetros definidos convierte al procesador en un controlador por derecho propio, con su propia exposición a responsabilidad.
Más allá de los elementos de alcance estructural, el contrato debe imponer seis obligaciones operativas al procesador: el deber de garantizar que todo el personal que acceda a datos personales esté sujeto a obligaciones de confidencialidad; el deber de eliminar o devolverle todos los datos personales al finalizar o a solicitud, a menos que la ley exija una retención más prolongada; el deber de proporcionar información suficiente para que usted evalúe su cumplimiento con la TDPSA; el deber de cooperar con y permitir auditorías razonables del controlador o evaluaciones independientes de terceros sobre sus prácticas de datos; y el deber de trasladar obligaciones equivalentes de protección de datos a cualquier subprocesador que contrate mediante contratos escritos.
Comience con un inventario de proveedores. Enumere cada tercero que tenga contacto con los datos personales que usted controla: proveedores de infraestructura en la nube, plataformas de análisis, herramientas de automatización de marketing, procesadores de pagos, sistemas CRM, software de atención al cliente y cualquier otra plataforma SaaS o de servicios que ingiera o almacene datos de sus sistemas. Determine si cada relación es la de un procesador (que actúa bajo sus instrucciones) o la de un controlador externo (que actúa para sus propios fines), porque esa distinción determina si un acuerdo de procesamiento de datos o un acuerdo de intercambio de datos es el instrumento correcto.
Paso 9: Construya Flujos de Trabajo para Solicitudes de Consumidores
Los consumidores de Texas tienen cinco derechos estatutarios sobre sus datos según la TDPSA. Pueden pedirle que confirme si procesa sus datos personales y que les proporcione una copia. Pueden pedirle que corrija inexactitudes en los datos personales que mantiene sobre ellos. Pueden pedirle que elimine los datos personales que tiene sobre ellos. Pueden solicitar una copia portátil de sus datos en un formato fácilmente utilizable que permita la transferencia a otro controlador. Y pueden excluirse de tres usos específicos: la publicidad dirigida, la venta de datos personales y el perfilamiento utilizado para tomar decisiones con efectos legales o de importancia similar para el consumidor.
Los controladores deben responder a las solicitudes autenticadas dentro de 45 días de recibidas. Se permite una extensión de hasta 45 días adicionales si el controlador notifica al consumidor dentro del período inicial el motivo del retraso. Las respuestas deben proporcionarse de manera gratuita dos veces por año calendario por consumidor; pueden aplicarse tarifas razonables a solicitudes adicionales manifiestamente infundadas o excesivas.
Si usted deniega una solicitud, debe informar al consumidor del motivo de la denegación y proporcionarle un método para apelar. La apelación debe revisarse y decidirse dentro de un período razonable después de su presentación. Si la apelación también es denegada, usted debe proporcionar al consumidor la información de contacto del Fiscal General de Texas para una mayor escalación.
Construya el mecanismo de apelación como un flujo de trabajo interno documentado, en lugar de una cola genérica de tickets de soporte. La cadena de apelación de la TDPSA no se satisface con un correo electrónico de "contáctenos." Designe a un miembro del equipo de privacidad responsable de las apelaciones, documente cada decisión con su razonamiento y mantenga registros del paso de derivación al Fiscal General que reciben los consumidores cuando se deniegan las apelaciones.
Paso 10: Comprenda la Aplicación, el Período de Subsanación y la Advertencia de Allstate
El Fiscal General de Texas es el único encargado de hacer cumplir la TDPSA. El estatuto establece expresamente que no debe interpretarse como una base para un derecho de acción privado, lo que significa que ningún consumidor individual, bufete de demandantes o demanda colectiva puede demandar a su empresa por una infracción de la TDPSA. Tex. Bus. & Com. Code §§ 541.151, 541.156.
Antes de iniciar cualquier acción de aplicación, el Fiscal General debe proporcionar un aviso por escrito que identifique las disposiciones estatutarias específicas que presuntamente se han infringido. Usted entonces tiene 30 días para subsanar las infracciones identificadas y proporcionar una declaración por escrito al Fiscal General confirmando la subsanación y las medidas de cumplimiento implementadas. Si logra subsanar exitosamente dentro de ese plazo, no se puede iniciar ninguna acción de aplicación por esa infracción específica. Tex. Bus. & Com. Code § 541.154. A diferencia de la CPRA de California, que limitó su período de subsanación para ciertas infracciones, el período de subsanación de la TDPSA no tiene fecha de vencimiento según se promulgó actualmente.
Si el período de 30 días expira sin una subsanación satisfactoria, o si usted posteriormente infringe un compromiso de subsanación por escrito, el Fiscal General puede buscar sanciones civiles de hasta $7,500 por infracción, medidas cautelares y la recuperación de honorarios razonables de abogados y costos judiciales. Tex. Bus. & Com. Code § 541.155.
El enfoque por infracción individual importa. Una empresa que procesa datos de geolocalización precisa de 45,000 consumidores de Texas sin consentimiento no enfrenta una sola multa de $7,500. Dependiendo de cómo el Fiscal General cuente las infracciones, la exposición podría medirse en cientos de millones de dólares.
El Fiscal General ya ha demostrado su intención de hacer cumplir la ley. En enero de 2025, el Fiscal General presentó la primera acción de aplicación por parte de cualquier fiscal general estatal para hacer cumplir una ley integral de privacidad de datos, demandando a Allstate y a su subsidiaria de análisis de datos Arity por presuntamente pagar a desarrolladores de aplicaciones móviles para incrustar en secreto software de rastreo que recopilaba datos de geolocalización precisa de más de 45 millones de estadounidenses, incluidos residentes de Texas, y vender esos datos a compañías de seguros sin el conocimiento ni el consentimiento de los consumidores. El caso se dirige directamente a las obligaciones de consentimiento y aviso para datos sensibles, lo que la demanda contra Allstate señala como la prioridad de aplicación del Fiscal General.
La conclusión práctica: construya sus mecanismos de consentimiento para datos sensibles y sus avisos de venta obligatorios antes de recibir una carta de aviso del Fiscal General, no después. El período de subsanación es un último recurso, no un plan de cumplimiento.
More Texas Laws
- Texas AI Meeting Recording Laws
- Texas Alimony Laws
- Texas At-Will Employment Laws
- Texas Car Accident Laws
- Texas Car Seat Laws
- Texas Child Custody Laws
- Texas Child Support Laws
- Texas Common Law Marriage Laws
- Texas Deepfake Laws
- Texas Divorce Laws
- Texas Dog Bite Laws
- Texas Emancipation Laws
- Texas Expungement Laws
- Texas Hit and Run Laws
- Texas Landlord-Tenant Laws
- Texas Lemon Laws
Guías relacionadas
- ¿Qué es la TDPSA? Ley de Privacidad y Seguridad de Datos de Texas
- Derechos del Consumidor bajo la TDPSA: Sus Derechos de Privacidad de Datos en Texas
- Leyes de Privacidad de Datos de Texas: Guía de la TDPSA y Derechos del Consumidor (2026)
- Leyes de Privacidad Biométrica de Texas: Recopilación, Consentimiento y Sanciones (2026)
- Tabla Comparativa de Leyes Estatales de Privacidad de EE. UU. (2026)
Preguntas frecuentes
¿Se aplica la TDPSA a mi pequeña empresa?
Si su empresa califica como pequeña empresa según la SBA bajo 13 C.F.R. Parte 121 para su código de industria NAICS específico, la mayoría de las obligaciones del controlador bajo la TDPSA no se aplican. Sin embargo, incluso las pequeñas empresas según la SBA tienen prohibido vender datos personales sensibles sin el consentimiento previo del consumidor según el Tex. Bus. & Com. Code § 541.107. Para determinar su umbral, busque su código NAICS en sba.gov/size-standards y calcule el tamaño incluyendo todas las afiliadas.
¿Cuál es la diferencia entre inclusión (opt-in) y exclusión (opt-out) según la TDPSA?
La TDPSA exige consentimiento afirmativo de inclusión (opt-in) antes de procesar datos sensibles. Necesita un "sí" claro e informado antes de que comience cualquier recopilación o procesamiento de categorías sensibles. Para los datos personales no sensibles usados en publicidad dirigida o vendidos a terceros, el estándar es de exclusión (opt-out): usted puede procesar los datos a menos y hasta que el consumidor se oponga. Comprender esta distinción es fundamental, porque aplicar el estándar equivocado a los datos sensibles es precisamente el tipo de infracción que persigue la acción de aplicación contra Allstate.
¿Qué deben decir exactamente los avisos de venta obligatorios?
El estatuto especifica un texto textual que no puede parafrasearse. Si usted vende datos personales sensibles, el aviso debe decir exactamente: 'NOTICE: We may sell your sensitive personal data.' Si vende datos personales biométricos por separado, el aviso debe decir exactamente: 'NOTICE: We may sell your biometric personal data.' Ambos avisos deben mostrarse de manera clara y visible según el Tex. Bus. & Com. Code §§ 541.102(b) y 541.102(c).
¿Están las organizaciones sin fines de lucro sujetas a la TDPSA?
No. Las organizaciones sin fines de lucro están categóricamente exentas de la TDPSA según el Tex. Bus. & Com. Code § 541.002(b)(4). Una organización sin fines de lucro que procesa datos personales de millones de residentes de Texas no tiene obligaciones como controlador bajo la TDPSA. La organización sin fines de lucro puede tener igualmente obligaciones bajo HIPAA, COPPA u otras leyes federales o estatales, dependiendo de la naturaleza de los datos que procesa.
¿Tiene la TDPSA un derecho de acción privado?
No. El Tex. Bus. & Com. Code § 541.156 establece expresamente que la TDPSA no debe interpretarse como una base para un derecho de acción privado. Solo el Fiscal General de Texas puede hacer cumplir la ley. Esta es una protección estructural significativa en comparación con leyes estatales biométricas como la BIPA de Illinois, que permite demandas individuales y ha generado una responsabilidad sustancial por demandas colectivas.
¿Cuánto dura el período de subsanación de la TDPSA y tiene fecha de vencimiento?
El período de subsanación es de 30 días después del aviso por escrito del Fiscal General que identifica infracciones específicas. Si usted logra subsanar y proporciona confirmación por escrito de la corrección, el Fiscal General no puede iniciar una acción de aplicación por esa infracción. A diferencia de algunas otras leyes estatales de privacidad, el período de subsanación de la TDPSA no tiene una fecha de vencimiento programada según el texto actual del Tex. Bus. & Com. Code § 541.154.
¿Cuál es la sanción máxima por una infracción de la TDPSA?
Sanciones civiles de hasta $7,500 por infracción. El Fiscal General también puede buscar medidas cautelares y recuperar honorarios razonables de abogados y costos judiciales según el Tex. Bus. & Com. Code § 541.155. Debido a que la sanción se aplica por infracción y no por acción de aplicación, la exposición agregada por infracciones de procesamiento a gran escala puede ser enorme, como lo ilustra la demanda contra Allstate que alega infracciones que afectan a 45 millones de consumidores.
¿Necesito una evaluación de protección de datos para todo mi procesamiento de datos?
No. Las DPA se requieren únicamente para las actividades de procesamiento que presentan un riesgo elevado: la publicidad dirigida, la venta de datos personales, el perfilamiento riesgoso, el procesamiento de datos sensibles y cualquier otro procesamiento de alto riesgo según el Tex. Bus. & Com. Code § 541.105(a). El procesamiento comercial rutinario que queda fuera de esas cinco categorías no requiere una DPA formal. Sin embargo, mantener un breve registro escrito de su análisis de umbral para actividades limítrofes es una buena práctica, ya que el Fiscal General puede exigir las DPA durante una investigación.
Fuentes y referencias
- Tex. Bus. & Com. Code cap. 541 (texto completo de la TDPSA)(statutes.capitol.texas.gov).gov
- Texas H.B. 4 (88ª Legislatura, versión promulgada) - Texto original del proyecto de ley de la TDPSA(capitol.texas.gov).gov
- Fiscal General de Texas - Página de información al consumidor sobre la Ley de Privacidad y Seguridad de Datos de Texas(texasattorneygeneral.gov).gov
- Comunicado de Prensa del Fiscal General de Texas: Paxton Demanda a Allstate y Arity por Recopilar, Usar y Vender Ilegalmente los Datos de Manejo de Más de 45 Millones de Estadounidenses(texasattorneygeneral.gov).gov
- Departamento de Recursos de Información de Texas - Página de implementación de la TDPSA(dir.texas.gov).gov
- Biblioteca Estatal de Derecho de Texas - Reseña de la Ley de Privacidad y Seguridad de Datos de Texas (julio de 2024)(sll.texas.gov).gov
- Administración de Pequeñas Empresas de EE. UU. - Resumen de los Estándares de Tamaño (definición de pequeña empresa SBA usada en el § 541.002)(sba.gov).gov
- SBA de EE. UU. - Tabla de Estándares de Tamaño de Pequeñas Empresas (13 C.F.R. Parte 121)(sba.gov).gov
- Tex. Bus. & Com. Code cap. 510 - Ley de Registro de Corredores de Datos de Texas (anteriormente cap. 509, redesignado a partir del 1 de septiembre de 2025)(statutes.capitol.texas.gov).gov