Texas
¿Qué es la TDPSA? Ley de Privacidad y Seguridad de Datos de Texas

La Ley de Privacidad de Datos y Seguridad de Texas (TDPSA), codificada en el Tex. Bus. & Com. Code cap. 541, entró en vigor el 1 de julio de 2024. Firmada por el gobernador Greg Abbott el 18 de junio de 2023, otorga a los residentes de Texas derechos sobre sus datos personales y establece un umbral de cobertura que no se encuentra en ninguna otra ley estatal de privacidad de EE. UU.: en lugar de un piso de ingresos o un mínimo de volumen de datos, simplemente cubre a toda empresa que no sea una pequeña empresa según la Administración de Pequeñas Empresas de EE. UU.
A partir de 2026, el Fiscal General de Texas tiene autoridad exclusiva de aplicación sobre la TDPSA y puede buscar sanciones civiles de hasta $7,500 por infracción. Las empresas que reciben un aviso de infracción por escrito tienen 30 días para subsanar antes de que pueda proceder cualquier acción.
Qué es la TDPSA: estatuto, promulgación y fechas de entrada en vigor
La Ley de Privacidad y Seguridad de Datos de Texas es la primera ley integral de privacidad de datos del consumidor de Texas. Está codificada en el Capítulo 541 del Código de Negocios y Comercio de Texas, Secciones 541.001 a 541.204, y fue promulgada como el Proyecto de Ley de la Cámara 4 durante la 88ª Sesión Legislativa. El gobernador Greg Abbott firmó el HB 4 el 18 de junio de 2023. El cuerpo principal de la ley entró en vigor el 1 de julio de 2024, dando a las empresas aproximadamente un año para prepararse después de su promulgación.
Una disposición específica entró en vigor en una fecha posterior. La Sección 541.055(e), que exige que los controladores respeten las señales de exclusión universal enviadas por el agente autorizado de un consumidor a través de tecnología calificada, entró en vigor el 1 de enero de 2025. El texto promulgado de la ley establece expresamente: "The Act takes effect July 1, 2024, except for Section 541.055(e), Business & Commerce Code...takes effect January 1, 2025." Esa estructura escalonada dio a las empresas tiempo adicional para implementar los mecanismos técnicos necesarios para detectar y respetar las preferencias de exclusión a nivel de navegador antes de que el requisito entrara en vigor.
Texas se une a más de 20 estados que han promulgado legislación integral de privacidad de datos a mediados de 2026. Lo que distingue a la TDPSA de ese grupo no es su fecha de entrada en vigor ni sus derechos del consumidor (que están en gran medida alineados con el patrón nacional), sino la forma en que define a qué empresas cubre. El umbral de pequeña empresa de la SBA es una decisión de diseño que ninguna otra legislatura estatal ha replicado, y tiene consecuencias prácticas significativas para las empresas medianas que no estarían cubiertas por la CCPA.
Para el marco de cumplimiento completo que cubre las obligaciones del controlador y del procesador, los requisitos de evaluación de protección de datos y los requisitos de contenido del aviso de privacidad, consulte la página principal de leyes de privacidad de datos de Texas.
A quién cubre la TDPSA: el umbral de pequeña empresa de la SBA
La prueba de aplicabilidad de la TDPSA es única entre las leyes estatales de privacidad de EE. UU. Según la Sección 541.002(a), la ley se aplica a cualquier persona que: (1) haga negocios en Texas o produzca un producto o servicio consumido por residentes de Texas; Y (2) procese o realice la venta de datos personales; Y (3) no sea una pequeña empresa según la definición de la Administración de Pequeñas Empresas de EE. UU.
El propio lenguaje del estatuto es directo: "This chapter applies only to a person that: (1) conducts business in this state or produces a product or service consumed by residents of this state; (2) processes or engages in the sale of personal data; and (3) is not a small business as defined by the United States Small Business Administration."
Compárelo con el enfoque de California según la CCPA, que exige que una empresa con fines de lucro cumpla al menos uno de tres umbrales cuantitativos: más de $25 millones en ingresos brutos anuales, procesar la información personal de 100,000 o más consumidores u hogares de California, u obtener el 50% o más de los ingresos anuales de la venta o el intercambio de información personal. Una empresa que gana $10 millones al año y maneja datos de 40,000 californianos no está sujeta a la CCPA. Esa misma empresa, si procesa datos personales de cualquier residente de Texas y no califica como pequeña empresa según la SBA, está sujeta a la TDPSA.
La Administración de Pequeñas Empresas de EE. UU. publica estándares de tamaño por código de industria NAICS. Los umbrales varían ampliamente: una empresa en un sector de servicios profesionales puede ser "pequeña" con menos de 150 empleados, mientras que una empresa manufacturera puede calificar hasta con 1,500 empleados o $47 millones en ingresos. Debido a que la TDPSA delega la determinación de tamaño en los estándares federales de la SBA, el estatus de cobertura de una empresa bajo la TDPSA puede depender de su clasificación de industria específica, no solo de su número de empleados o ingresos en abstracto. Las empresas que operan en múltiples códigos NAICS deben identificar qué estándar rige sus actividades principales.
El resultado práctico: muchos corredores de datos medianos, empresas de software como servicio y firmas de análisis que no cumplen con el piso de ingresos de la CCPA, sin embargo, están cubiertas por la TDPSA tan pronto como procesan datos relacionados con incluso un pequeño número de residentes de Texas.
Exenciones categóricas según la Sección 541.002(b)
Además de la exclusión de pequeña empresa de la SBA, la Sección 541.002(b) enumera exenciones categóricas de entidad que eliminan ciertos tipos de organizaciones del alcance de la TDPSA sin importar su tamaño o volumen de datos. Los siguientes tipos de entidades están exentos:
- Las agencias estatales y subdivisiones políticas de Texas
- Las instituciones financieras y sus afiliadas sujetas a la Ley Gramm-Leach-Bliley (GLBA)
- Las entidades cubiertas por HIPAA y sus asociados comerciales
- Las organizaciones sin fines de lucro
- Las instituciones de educación superior
- Las empresas de servicios públicos eléctricos, las compañías de generación de energía y los proveedores minoristas de electricidad regulados según el Código de Servicios Públicos de Texas
Estas exenciones significan que los hospitales, bancos, cooperativas de crédito, compañías de seguros reguladas bajo la GLBA, universidades, organizaciones benéficas y organismos gubernamentales estatales operan todos fuera de la TDPSA, incluso si manejan grandes volúmenes de datos de residentes de Texas. Un sistema de salud cubierto por HIPAA, por ejemplo, está exento de las obligaciones de la TDPSA sobre los mismos datos de pacientes que mantiene, aunque permanece sujeto a los propios derechos de datos y obligaciones de seguridad de HIPAA.
Los controladores que están parcialmente exentos (por ejemplo, una empresa que opera tanto una división de salud regulada por HIPAA como una división de consumo no regulada) deben aplicar la TDPSA únicamente a los datos que caen fuera de la categoría exenta. El estatuto no otorga una exención de toda la organización basada en una superposición regulatoria parcial.

La excepción de pequeña empresa y la exclusión de datos sensibles
Las empresas que califican como pequeñas empresas según la SBA están exentas de la mayoría de los requisitos de la TDPSA. No necesitan responder a las solicitudes de acceso, corrección, eliminación o portabilidad del consumidor. No necesitan proporcionar un aviso de privacidad que cumpla con los requisitos de contenido de la Sección 541.102. No necesitan respetar las señales de exclusión universal.
Pero la exención no es total. La Sección 541.107(a) crea una obligación específica que se aplica particularmente a las pequeñas empresas: "A person described by Section 541.002(a)(3) may not engage in the sale of personal data that is sensitive data without receiving prior consent from the consumer."
En términos simples, si una pequeña empresa quiere vender datos personales sensibles, primero debe obtener el consentimiento de inclusión del consumidor. No existe una exoneración basada en el tamaño para este requisito. La legislatura trazó una línea entre las obligaciones operativas (que solo se aplican a las empresas que no son pequeñas según la SBA) y los derechos de protección sobre las categorías más sensibles de datos (que se aplican incluso a la entidad cubierta más pequeña que vende datos).
Los datos sensibles según la Sección 541.001 del estatuto incluyen: los datos que revelan origen racial o étnico, creencias religiosas, diagnóstico de salud mental o física, sexualidad, o estatus de ciudadanía o inmigración; los datos genéticos o biométricos procesados con el propósito de identificar de manera única a una persona; los datos personales recopilados de un niño conocido menor de 13 años; y los datos de geolocalización precisa dentro de un radio de 1,750 pies. Una pequeña empresa que recopila y vende, por ejemplo, datos de ubicación de usuarios cerca de una instalación médica, o que monetiza respuestas de encuestas relacionadas con la salud, no puede simplemente alegar la exención de la SBA y proceder sin consentimiento.
Los cinco derechos del consumidor bajo la TDPSA
Los residentes de Texas cubiertos por la TDPSA tienen cinco derechos frente a los controladores cubiertos según la Sección 541.051(a)(1) a (5):
- Derecho de acceso. Un consumidor puede confirmar si un controlador está procesando sus datos personales y recibir una copia de esos datos en un formato portátil y fácilmente utilizable.
- Derecho de corrección. Un consumidor puede exigir que un controlador corrija datos personales inexactos sobre él, tomando en cuenta la naturaleza y el propósito del procesamiento.
- Derecho de eliminación. Un consumidor puede solicitar la eliminación de los datos personales proporcionados por él o recopilados sobre él, sujeto a excepciones limitadas cuando el controlador pueda demostrar una base legal para continuar reteniéndolos.
- Derecho de portabilidad. Un consumidor puede obtener una copia de sus datos personales en un formato digital fácilmente utilizable que permita la transferencia a otro controlador sin obstáculos, en la medida técnicamente factible.
- Derecho de exclusión. Un consumidor puede excluirse de tres categorías de procesamiento: la publicidad dirigida a ese consumidor; la venta de los datos personales del consumidor a terceros; y el perfilamiento que produce un efecto legal o de importancia similar, como decisiones que afectan el acceso al crédito, el empleo, la educación, el seguro o la vivienda.
Los controladores deben responder a una solicitud autenticada de derechos del consumidor dentro de 45 días de recibida. Si el controlador necesita más tiempo, puede extender el período de respuesta por 45 días adicionales (90 días en total) cuando sea razonablemente necesario, siempre que notifique al consumidor de la extensión dentro de la ventana inicial de 45 días. Si el controlador deniega una solicitud, debe notificar al consumidor y explicar el fundamento de la denegación. El consumidor entonces tiene el derecho de apelar la denegación, y el controlador debe responder a la apelación dentro de 60 días con una explicación por escrito si la apelación es denegada nuevamente.
Para el marco de cumplimiento completo que cubre las obligaciones del controlador y del procesador, los requisitos de evaluación de protección de datos y los procedimientos de respuesta a los derechos del consumidor, consulte la página principal de leyes de privacidad de datos de Texas.
Señales de exclusión universal: lo que exige la TDPSA a partir del 1 de enero de 2025
La Sección 541.055(e), vigente desde el 1 de enero de 2025, exige que los controladores respeten las preferencias de exclusión expresadas a través de un agente autorizado usando tecnología calificada. El estatuto describe esta tecnología como que incluye "a link to an Internet website, an Internet browser setting or extension, or a global setting on an electronic device, that allows the consumer to indicate the consumer's intent to opt out of the processing" de sus datos personales para publicidad dirigida o venta.
Este lenguaje estatutario cubre las tecnologías de exclusión que operan a nivel de navegador o dispositivo, en lugar de exigir que el consumidor visite cada sitio web individualmente para hacer clic en un botón de exclusión. El Control de Privacidad Global (GPC), una señal basada en el navegador desarrollada por defensores de la privacidad y respaldada por un número creciente de navegadores y extensiones, encaja dentro de esta descripción. El estatuto no menciona al GPC por su nombre de marca, pero la descripción técnica abarca las señales de tipo GPC: una configuración global de navegador o dispositivo mediante la cual un consumidor ha indicado su intención de excluirse.
Un requisito limita qué señales califican. La Sección 541.055(f)(2) establece que la tecnología debe "require the consumer to make an affirmative, freely given, and unambiguous choice to opt out of the processing" y no puede depender de una configuración predeterminada. Un navegador configurado de fábrica para enviar una señal de no procesar, sin ninguna acción deliberada del usuario, no cumple con este estándar. La señal debe reflejar algo que el consumidor eligió activamente activar.
Los controladores pueden negarse a respetar una señal únicamente si no pueden verificar, con un esfuerzo comercialmente razonable, que el consumidor es residente de Texas o que el agente autorizado tiene la facultad de actuar en nombre del consumidor. Esta excepción restringida impide que los controladores ignoren todas las señales de tipo GPC simplemente porque la verificación de residencia es imperfecta.
El requisito de exclusión universal de Texas es comparable en su efecto al mandato de California de que las empresas cubiertas respeten las señales de GPC, pero la regla de Texas se fundamenta en una disposición estatutaria y no en una interpretación regulatoria. La VCDPA de Virginia, por el contrario, no exige que los controladores respeten las señales de exclusión universal incluso a mediados de 2026, lo que hace que el mandato estatutario de Texas sea más amplio en este punto que el marco de Virginia.

Datos sensibles y biométricos: consentimiento de inclusión y avisos de venta obligatorios
La TDPSA impone dos capas distintas de protección para los datos personales sensibles, y ambas capas se aplican a cualquier controlador cubierto, no solo a aquellos que manejan grandes volúmenes de datos.
La primera capa es el requisito de consentimiento. La Sección 541.101(b)(4) prohíbe que cualquier controlador cubierto procese datos sensibles sobre un consumidor "without obtaining the consumer's consent, or, in the case of processing the sensitive data of a known child, without processing that data in accordance with the Children's Online Privacy Protection Act." Este es un estándar de inclusión (opt-in): antes de que se pueda procesar cualquier dato sensible, el controlador debe obtener afirmativamente el acuerdo del consumidor. No existe un procesamiento activado de forma predeterminada con una vía de exclusión para las categorías sensibles.
Los datos sensibles según la Sección 541.001 incluyen: (1) los datos que revelan origen racial o étnico, creencias religiosas, diagnóstico de salud mental o física, sexualidad, o estatus de ciudadanía o inmigración; (2) los datos genéticos o biométricos procesados con el propósito de identificar de manera única a una persona; (3) los datos personales recopilados de un niño conocido menor de 13 años; y (4) los datos de geolocalización precisa dentro de un radio de 1,750 pies. La categoría biométrica cubre específicamente las plantillas de reconocimiento facial, las huellas dactilares, las huellas de voz, los escaneos de iris y identificadores similares: cualquier dato procesado para identificar de manera única a una persona por características biológicas.
La segunda capa es el requisito de aviso. Cuando un controlador vende datos personales sensibles, la Sección 541.102(b) le exige publicar un aviso estatutario específico en el mismo lugar y de la misma manera que su aviso de privacidad: "NOTICE: We may sell your sensitive personal data." El estatuto no le da a los controladores discreción para redactar esto de manera diferente ni incorporarlo en un lenguaje estándar genérico. Cuando un controlador vende datos personales biométricos específicamente, la Sección 541.102(c) exige un aviso adicional separado: "NOTICE: We may sell your biometric personal data." Ambos avisos deben aparecer en el mismo lugar que el aviso de privacidad, no enterrados en una nota al pie de los términos de servicio, sino mostrados junto al documento de divulgación principal.
Estos dos requisitos interactúan: un controlador que vende datos sensibles debe tanto obtener el consentimiento de inclusión antes del procesamiento como publicar el aviso estatutario. El consentimiento y el aviso cumplen funciones diferentes. El consentimiento autoriza el procesamiento; el aviso informa a los consumidores que puede ocurrir una venta. Ambos deben estar implementados antes de que comience la venta.
Aplicación de la TDPSA: exclusiva del Fiscal General, subsanación de 30 días, hasta $7,500 por infracción
La aplicación de la TDPSA le pertenece exclusivamente al Fiscal General de Texas. La Sección 541.156 establece que el capítulo "may not be construed as providing a basis for, or being subject to, a private right of action for a violation of this chapter or any other law." Ningún consumidor puede demandar directamente a una empresa cubierta bajo el Capítulo 541, sin importar cuán clara o deliberada sea la infracción. Toda la aplicación pasa por la oficina del Fiscal General.
Antes de que el Fiscal General pueda presentar cualquier acción de aplicación, la Sección 541.154 exige que la oficina proporcione un aviso por escrito al presunto infractor identificando la(s) disposición(es) específica(s) del Capítulo 541 en cuestión y dándole a la empresa 30 días para subsanar la infracción. El lenguaje del estatuto es preciso: el Fiscal General "must notify violators in writing not later than the 30th day before bringing the action, identifying the specific provisions of this chapter the attorney general alleges have been or are being violated." Si la empresa subsana la infracción y proporciona documentación por escrito dentro de ese plazo de 30 días, no se puede proceder con ninguna acción de aplicación por esa infracción.
El período de subsanación bajo la TDPSA es permanente, sin fecha de vencimiento. Esta es una distinción significativa respecto a otras leyes estatales de privacidad que comenzaron con disposiciones de subsanación y luego las eliminaron. La ley de privacidad de Colorado, por ejemplo, comenzó con un período de subsanación que venció el 1 de enero de 2025; el período de subsanación de Connecticut también venció. La legislatura de Texas no incorporó ninguna fecha de vencimiento en el mecanismo de subsanación, lo que lo convierte en una característica duradera del panorama de aplicación. Una empresa que descubre una brecha de cumplimiento de la TDPSA y la corrige antes de que el Fiscal General presente una demanda puede evitar sanciones por esa infracción específica.
Si la infracción no se subsana dentro de 30 días, o si la empresa posteriormente infringe una declaración de subsanación por escrito que proporcionó previamente al Fiscal General, la Sección 541.155(a) autoriza sanciones civiles de hasta $7,500 por cada infracción. El Fiscal General también puede recuperar gastos razonables, costos judiciales y honorarios de abogados. El tope de $7,500 se aplica por infracción. Para una empresa que denegó sistemáticamente las solicitudes de eliminación de consumidores en miles de cuentas, la acumulación por infracción puede volverse significativa.
Las evaluaciones de protección de datos también son un objetivo de aplicación. La Sección 541.105(a) exige que los controladores documenten evaluaciones para las actividades de procesamiento de alto riesgo, incluyendo la publicidad dirigida, la venta de datos personales, cierto perfilamiento y el procesamiento de datos sensibles. Estas evaluaciones se aplican únicamente a las actividades de procesamiento que comenzaron después de la fecha de entrada en vigor del 1 de julio de 2024 y no son retroactivas. El Fiscal General puede solicitar documentación de las evaluaciones durante una investigación, lo que las convierte tanto en un requisito de cumplimiento como en una posible prueba de aplicación.
Para las obligaciones del controlador y del procesador, los requisitos de contenido del aviso de privacidad, los mandatos de contratos con proveedores y las reglas de documentación de las evaluaciones de protección de datos, consulte la página principal de leyes de privacidad de datos de Texas.
TDPSA frente a CCPA: las diferencias clave
La TDPSA y la CCPA de California son las dos leyes estatales de privacidad de EE. UU. más comparadas por las empresas que operan a nivel nacional. Nuestra página de comparación de leyes estatales de privacidad de datos cubre el panorama completo entre múltiples estados, pero tres distinciones entre la TDPSA y la CCPA de California son las más importantes en la práctica.
Umbral de cobertura. La CCPA se aplica a las empresas con fines de lucro que cumplen al menos uno de tres umbrales cuantitativos: más de $25 millones en ingresos brutos anuales, datos de 100,000 o más consumidores u hogares de California, o el 50% o más de los ingresos anuales de la venta o el intercambio de información personal. La TDPSA no establece un piso de ingresos ni un piso de volumen de datos. Su único filtro de tamaño es el estatus de pequeña empresa según la SBA. Una empresa que gana $18 millones al año y procesa datos de 30,000 residentes de Texas no está cubierta por la CCPA, pero sí está cubierta por la TDPSA, siempre que no sea una pequeña empresa según la SBA en su industria. Por el contrario, una empresa muy grande que no califica para la SBA y que maneja datos mínimos de Texas puede estar cubierta por la TDPSA, mientras que una empresa californiana más pequeña de alto volumen está cubierta por la CCPA. Las dos leyes lanzan redes diferentes.
Exclusión universal. Tanto la TDPSA como la CCPA/CPRA ahora exigen que las empresas cubiertas respeten las señales de exclusión a nivel de navegador y dispositivo enviadas por los consumidores. La obligación de California se estableció mediante orientación regulatoria de la Agencia de Protección de la Privacidad de California que interpreta la CPRA. La obligación de Texas está escrita directamente en el estatuto en la Sección 541.055(e), vigente desde el 1 de enero de 2025. El efecto práctico es similar, pero el fundamento legal difiere: el requisito de exclusión universal de Texas se basa en un mandato estatutario claro; el de California se basa en la interpretación de una agencia de un mandato de exclusión más amplio.
Derecho de acción privado. La CCPA mantiene un derecho de acción privado limitado para los consumidores cuya información personal sin cifrar y sin redactar quede expuesta en una violación de datos causada por el incumplimiento de una empresa en implementar procedimientos de seguridad razonables. Los consumidores pueden buscar daños estatutarios de $100 a $750 por consumidor por incidente, o daños reales si son mayores. La TDPSA no tiene ningún tipo de derecho de acción privado. Un residente de Texas cuyos datos se vendan sin consentimiento, cuya solicitud de eliminación sea ignorada, o cuyos datos sensibles se procesen sin consentimiento, no puede demandar directamente a la empresa cubierta según el Capítulo 541. Toda la aplicación pasa exclusivamente por el Fiscal General.
More Texas Laws
- Texas AI Meeting Recording Laws
- Texas Alimony Laws
- Texas At-Will Employment Laws
- Texas Car Accident Laws
- Texas Car Seat Laws
- Texas Child Custody Laws
- Texas Child Support Laws
- Texas Common Law Marriage Laws
- Texas Deepfake Laws
- Texas Divorce Laws
- Texas Dog Bite Laws
- Texas Emancipation Laws
- Texas Expungement Laws
- Texas Hit and Run Laws
- Texas Landlord-Tenant Laws
- Texas Lemon Laws
Guías relacionadas
- Derechos del Consumidor bajo la TDPSA: Sus Derechos de Privacidad de Datos en Texas
- Lista de Verificación de Cumplimiento de la TDPSA para Empresas (2026)
- Leyes de Privacidad de Datos de Texas: Guía de la TDPSA y Derechos del Consumidor (2026)
- Leyes de Privacidad Biométrica de Texas: Recopilación, Consentimiento y Sanciones (2026)
- Tabla Comparativa de Leyes Estatales de Privacidad de EE. UU. (2026)
Preguntas frecuentes
¿Qué es la TDPSA?
La TDPSA, o Ley de Privacidad y Seguridad de Datos de Texas, es la ley integral de privacidad de datos del consumidor de Texas codificada en el Capítulo 541 del Código de Negocios y Comercio de Texas (Secciones 541.001 a 541.204). El gobernador Greg Abbott firmó el HB 4 como ley el 18 de junio de 2023, y el estatuto entró en vigor el 1 de julio de 2024. Otorga a los residentes de Texas cinco derechos de datos y exige que las empresas cubiertas sean transparentes sobre cómo recopilan, usan y venden los datos personales. Una disposición que rige las señales de exclusión universal entró en vigor el 1 de enero de 2025.
¿A quién se aplica la TDPSA?
La TDPSA se aplica a cualquier persona o empresa que (1) haga negocios en Texas o produzca productos o servicios consumidos por residentes de Texas, (2) procese o venda datos personales, y (3) no sea una pequeña empresa según la definición de la Administración de Pequeñas Empresas de EE. UU. No hay un umbral mínimo de ingresos ni un piso de volumen de datos de consumidores. Los estándares de tamaño de la SBA varían según el código de industria, por lo que si una empresa califica como pequeña empresa según la SBA depende de su clasificación NAICS principal y de su número de empleados o ingresos anuales.
¿Se aplica la TDPSA a las pequeñas empresas?
Mayormente no. Las pequeñas empresas definidas por la SBA están exentas de la mayoría de las obligaciones de la TDPSA, incluyendo los requisitos de aviso de privacidad, los deberes de respuesta a los derechos del consumidor y el respeto a la exclusión universal. Sin embargo, incluso las pequeñas empresas no pueden vender datos personales sensibles (incluyendo datos de salud, identificadores biométricos, datos de niños, datos de geolocalización precisa, o datos que revelen raza o estatus de inmigración) sin antes obtener el consentimiento de inclusión del consumidor afectado. Esa restricción se aplica a las pequeñas empresas sin importar su exención de otros requisitos de la TDPSA.
¿Qué derechos tienen los consumidores de Texas bajo la TDPSA?
Los residentes de Texas tienen cinco derechos según la Sección 541.051: (1) acceso: confirmar si sus datos están siendo procesados y obtener una copia; (2) corrección: exigir que un controlador corrija datos inexactos; (3) eliminación: solicitar la eliminación de los datos personales que el consumidor proporcionó o que fueron recopilados sobre él; (4) portabilidad: recibir una copia legible por máquina para transferirla a otro controlador; y (5) exclusión: de la publicidad dirigida, la venta de datos personales y el perfilamiento que produce efectos legales o de importancia similar. Los controladores deben responder dentro de 45 días, con una extensión de 45 días permitida.
¿Cuál es la sanción por infringir la TDPSA?
Hasta $7,500 en sanciones civiles por infracción, más gastos razonables, costos judiciales y honorarios de abogados recuperables por el Fiscal General. Antes de presentar una demanda, el Fiscal General de Texas debe entregar un aviso por escrito identificando la(s) disposición(es) estatutaria(s) específica(s) presuntamente infringida(s) y permitir 30 días para subsanar. Si la empresa remedia la infracción y presenta documentación por escrito del cumplimiento dentro de ese plazo, no se puede proceder con ninguna acción de aplicación por esa infracción. El período de subsanación es permanente; la TDPSA no contiene fecha de vencimiento para la disposición de subsanación.
¿Tiene la TDPSA un derecho de acción privado?
No. La Sección 541.156 establece expresamente que la TDPSA 'may not be construed as providing a basis for, or being subject to, a private right of action for a violation of this chapter or any other law.' La aplicación es exclusivamente autoridad del Fiscal General de Texas. Los consumidores individuales no pueden demandar directamente a las empresas cubiertas según el Capítulo 541 por ninguna infracción, incluyendo ventas de datos no autorizadas, solicitudes de eliminación ignoradas, o procesamiento de datos sensibles sin consentimiento.
¿Exige la TDPSA respetar las señales de Control de Privacidad Global (GPC)?
Sí, en efecto. La Sección 541.055(e), vigente desde el 1 de enero de 2025, exige que los controladores respeten las señales de exclusión enviadas por el agente autorizado de un consumidor a través de tecnología calificada, incluyendo configuraciones del navegador, extensiones del navegador y configuraciones globales a nivel de dispositivo. La descripción estatutaria abarca las señales de tipo GPC, aunque el estatuto no menciona al GPC por su nombre de marca. Se aplica una condición: la tecnología debe representar una elección afirmativa e inequívoca del consumidor (no una configuración predeterminada del navegador) antes de que el controlador esté obligado a respetarla.
¿Qué aviso debe publicar un controlador si vende datos personales sensibles?
Los controladores que venden datos personales sensibles deben publicar el texto estatutario exacto: 'NOTICE: We may sell your sensitive personal data.' Este aviso debe aparecer en el mismo lugar y de la misma manera que el aviso de privacidad. Los controladores que venden datos personales biométricos específicamente también deben publicar un aviso separado: 'NOTICE: We may sell your biometric personal data.' Ambos avisos se requieren además de, no en lugar de, obtener el consentimiento de inclusión antes de procesar datos sensibles.
¿En qué se diferencia la TDPSA de la CCPA?
Tres diferencias clave: (1) Umbral de cobertura: la CCPA usa mínimos de ingresos y volumen de datos ($25M/100,000 consumidores); la TDPSA usa el estatus de pequeña empresa según la SBA como su único filtro de tamaño, lo que significa que muchas empresas medianas cubiertas por la TDPSA no están cubiertas por la CCPA, y viceversa. (2) Exclusión universal: ambas ahora exigen respetar las señales de exclusión del navegador, pero el requisito de Texas es un mandato estatutario directo en la Sección 541.055(e), mientras que el de California se fundamenta en una interpretación regulatoria. (3) Derecho de acción privado: la CCPA incluye un derecho de acción privado limitado para las víctimas de violaciones de datos; la TDPSA no tiene ninguno.
Fuentes y referencias
- Tex. Bus. & Com. Code cap. 541: Ley de Privacidad y Seguridad de Datos de Texas (Texto Completo)(statutes.capitol.texas.gov).gov
- Texas HB 4, 88ª Legislatura (2023): Texto Promulgado del Proyecto de Ley(capitol.texas.gov).gov
- Texas HB 4: Historial Legislativo (88ª Sesión Regular)(capitol.texas.gov).gov
- Tex. Bus. & Com. Code § 541.002: Aplicabilidad(statutes.capitol.texas.gov).gov
- Tex. Bus. & Com. Code § 541.051: Derechos del Consumidor(statutes.capitol.texas.gov).gov
- Tex. Bus. & Com. Code § 541.055: Derechos de Exclusión del Consumidor y Señales de Exclusión Universal(statutes.capitol.texas.gov).gov
- Tex. Bus. & Com. Code § 541.101: Responsabilidades del Controlador(statutes.capitol.texas.gov).gov
- Tex. Bus. & Com. Code § 541.102: Aviso de Privacidad y Avisos de Venta de Datos Sensibles(statutes.capitol.texas.gov).gov
- Tex. Bus. & Com. Code § 541.105: Evaluaciones de Protección de Datos(statutes.capitol.texas.gov).gov
- Tex. Bus. & Com. Code § 541.107: Restricción de Datos Sensibles para Pequeñas Empresas(statutes.capitol.texas.gov).gov
- Tex. Bus. & Com. Code § 541.154: Período de Subsanación de 30 Días(statutes.capitol.texas.gov).gov
- Tex. Bus. & Com. Code § 541.155: Sanción Civil; Medida Cautelar(statutes.capitol.texas.gov).gov
- Tex. Bus. & Com. Code § 541.156: Sin Derecho de Acción Privado(statutes.capitol.texas.gov).gov