Ley de Privacidad y Seguridad de Datos de Texas (TDPSA)

La Ley de Privacidad y Seguridad de Datos de Texas (TDPSA) entro en vigor el 1 de julio de 2024, convirtiendo a Texas en uno de los estados mas grandes de EE.UU. en aprobar legislacion integral de privacidad. Si su empresa recopila o procesa datos personales de residentes de Texas, esto es lo que necesita saber.

Que es la TDPSA?

La TDPSA establece un marco sobre como las empresas deben manejar los datos personales de los texanos. A diferencia de algunas leyes de privacidad estatales de EE.UU., no establece un umbral de ingresos o volumen de datos; la mayoria de las entidades comerciales que procesan datos personales y hacen negocios en Texas estan cubiertas.

La ley otorga a los consumidores derechos sobre sus datos, requiere que las empresas sean transparentes sobre sus practicas de datos y exige mecanismos de exclusion para publicidad dirigida, ventas de datos y ciertas actividades de perfilado. Los responsables del tratamiento deben responder a las solicitudes de los consumidores dentro de 45 dias, prorrogables por otros 45 dias cuando sea razonablemente necesario.

A quien se aplica la TDPSA?

La TDPSA se aplica a empresas que realizan negocios en Texas u ofrecen productos o servicios a residentes de Texas, y que procesan datos personales en el curso de esa actividad. No hay un umbral minimo de ingresos o de consumidores.

Las exenciones aplican a las agencias estatales de Texas, instituciones financieras reguladas bajo la Ley Gramm-Leach-Bliley, entidades cubiertas por HIPAA y sus socios comerciales, y organizaciones sin fines de lucro. Las instituciones de educacion superior y ciertos datos relacionados con el empleo tambien estan excluidos. Las pequenas empresas segun la definicion de la Administracion de Pequenas Empresas de EE.UU. estan exentas, siempre que no vendan datos sensibles.

Derechos del consumidor bajo la TDPSA

Los residentes de Texas pueden ejercer los siguientes derechos frente a las empresas cubiertas por la ley:

• Derecho de acceso: confirmar si una empresa esta procesando sus datos personales y solicitar una copia
• Derecho de correccion: solicitar que se corrijan datos personales inexactos
• Derecho de eliminacion: solicitar la eliminacion de datos personales proporcionados por el consumidor o recopilados sobre el
• Derecho a la portabilidad de datos: recibir una copia de sus datos personales en un formato portatil y utilizable
• Derecho de exclusion: optar por no participar en la venta de sus datos personales, publicidad dirigida y perfilado utilizado para decisiones con efectos legales o similarmente significativos

Las empresas deben responder a las solicitudes verificadas dentro de 45 dias. Si una empresa rechaza una solicitud, el consumidor puede apelar, y la empresa debe responder a la apelacion dentro de 60 dias.

Requisitos de exclusion

La TDPSA requiere que las empresas ofrezcan a los consumidores una forma clara y accesible de optar por no participar en tres actividades especificas: la venta de datos personales, la publicidad dirigida y el perfilado que produce decisiones con efectos legales significativos.

Las empresas tambien debian reconocer las senales universales de exclusion (incluyendo el Global Privacy Control) antes del 1 de enero de 2025. Esto significa que si el navegador de un usuario envia una senal GPC, la empresa debe tratarla como una solicitud de exclusion valida sin requerir que el consumidor tome ninguna accion adicional.

Datos sensibles y consentimiento de aceptacion

El procesamiento de datos sensibles bajo la TDPSA requiere consentimiento de aceptacion antes del procesamiento. La ley define los datos sensibles como origen racial o etnico, creencias religiosas, diagnostico de salud mental o fisica, orientacion sexual o estatus de ciudadania; datos geneticos o biometricos procesados para identificar de manera unica a un individuo; datos personales de un menor conocido de menos de 13 anos; y datos de geolocalizacion precisa (dentro de un radio de 1.750 pies).

Esto es mas estricto que el mecanismo de exclusion por defecto que se aplica a la mayoria de los datos personales bajo la ley, y requiere un mecanismo de consentimiento afirmativo antes de que comience cualquier procesamiento de datos sensibles.

Evaluaciones de proteccion de datos

Los responsables del tratamiento deben realizar evaluaciones de proteccion de datos antes de emprender actividades de procesamiento que presenten un riesgo elevado, incluyendo:

• Publicidad dirigida
• Venta de datos personales
• Procesamiento de datos sensibles
• Perfilado donde existe un riesgo razonablemente previsible de dano a los consumidores
• Cualquier otro procesamiento que presente un riesgo elevado de dano a los consumidores

Estas evaluaciones no necesitan ser publicadas, pero deben estar disponibles para el Fiscal General de Texas a solicitud. No se requiere un formato especifico, pero la evaluacion debe documentar el proposito del procesamiento, los beneficios sopesados frente a los riesgos y cualquier medida de proteccion implementada.

Cookies y seguimiento bajo la TDPSA

Las cookies y tecnologias de seguimiento que recopilan datos personales estan dentro del alcance de la TDPSA cuando se utilizan para publicidad dirigida o ventas de datos. Las direcciones IP, los identificadores de dispositivos, el comportamiento de navegacion y los datos de ubicacion pueden constituir datos personales bajo la ley.

Las empresas que dependen de tecnologia publicitaria de terceros deben auditar que proveedores reciben datos personales y garantizar que los mecanismos de exclusion se extiendan a esos flujos de datos, no solo a la recopilacion de primera parte. Es probable que se requiera una evaluacion de proteccion de datos para cualquier actividad de publicidad dirigida.

Utilice el Gestor de Consentimiento de Cookies de UniConsent para gestionar las preferencias de exclusion y el reconocimiento de senales universales de exclusion en su audiencia de Texas.

Como UniConsent apoya el cumplimiento de la TDPSA

UniConsent proporciona la infraestructura de gestion de consentimiento y preferencias que las empresas necesitan para cumplir con los requisitos de la TDPSA:

• Banners de consentimiento de exclusion y aceptacion configurables por jurisdiccion
• Reconocimiento de la senal Global Privacy Control (GPC)
• Gestion de solicitudes de derechos de datos del consumidor (acceso, correccion, eliminacion, portabilidad)
• Soporte y documentacion para evaluaciones de proteccion de datos
• Integracion con sitios web, aplicaciones moviles y gestores de etiquetas

Explore las herramientas de cumplimiento de UniConsent o comience con una cuenta gratuita.