Iubenda logo
Genera tus documentos

Documentación

Tabla de contenidos

Ley de Privacidad y Seguridad de Datos de Texas (TDPSA): un análisis general de esta nueva ley de protección de datos

Texas se ha unido a la creciente lista de estados de Estados Unidos que han promulgado leyes detalladas sobre la privacidad de los datos. El 29 de mayo, el órgano legislativo de Texas aprobó la Ley de Privacidad y Seguridad de Datos de Texas (TDPSA), también conocida como H.B.4. Esta Ley fue promulgada el 18 de junio por el gobernador Greg Abbott.  

La Ley entrará en vigor el 1 de julio de 2024, lo que da a las empresas poco más de un año para prepararse para su cumplimiento.

Este artículo ofrece un análisis general de las principales disposiciones de la Ley de Privacidad y Seguridad de Datos de Texas (TDPSA) y sus implicaciones para las empresas y los consumidores.

Ley de Privacidad y Seguridad de Datos de Texas

¿A quién se aplica la TDPSA? 

La TDPSA incluye diferencias con respecto a las leyes estatales de privacidad existentes, ya que no establece ningún umbral de ingresos ni de volumen de tratamiento de datos. Se aplica a empresas y particulares que:

  1. llevan a cabo negocios en Texas o fabrican productos o prestan servicios a los residentes en Texas;
  2. tratan o venden datos personales; y 
  3. no se ajustan a la definición de pequeño negocio, según la definición de la Agencia Federal de Pequeños Negocios de Estados Unidos (SBA)
La ley no se aplica, entre otros, a: 
  • organismos estatales;
  • organizaciones sin ánimo de lucro;
  • instituciones de enseñanza superior; o 
  • entidades regidas por la Ley de Responsabilidad y Transferibilidad de Seguros Médicos (HIPAA) o la Ley Gramm-Leach-Bliley.

Ten en cuenta lo siguiente: Como se preveía, la Ley no establece ningún umbral de ingresos ni de volumen de tratamiento de datos, así que resulta aplicable para la mayoría de las empresas de Texas. Sin embargo, los pequeños negocios*, según la definición de la Agencia Federal de Pequeños Negocios de Estados Unidos (SBA), están exentos de determinadas disposiciones. 


Un pequeño negocio, según la definición prevista en los estándares de tamaño de la Agencia Federal de Pequeños Negocios de Estados Unidos (SBA), es una empresa que cumple unos criterios específicos según los códigos del Sistema de Clasificación Industrial de América del Norte (SCIAN). Estos criterios varían considerablemente de un sector a otro: empresas con ingresos desde 1 hasta más de 40 millones de dólares y con entre 100 y más de 1.500 trabajadores.

Derechos de los consumidores según la TDPSA

La TDPSA concede varios derechos a los consumidores en relación con sus datos personales. 

Los consumidores tienen derecho a: 
  • confirmar si se están tratando sus datos;
  • acceder a sus datos personales;
  • corregir inexactitudes;
  • suprimir sus datos;
  • obtener una copia portátil de sus datos;
  • excluirse del tratamiento para publicidad dirigida; 
  • oponerse a la venta de datos personales; y 
  • excluirse de determinadas actividades de elaboración de perfiles.

Estos derechos proporcionan a los consumidores un mayor control sobre sus datos personales y su uso por parte de las empresas.

Normas para el tratamiento de datos personales en virtud de la TDPSA

La Ley impone restricciones a la recogida y el tratamiento de datos personales por parte de los responsables del tratamiento. 

Los responsables del tratamiento deben:
  1. Solamente recoger los datos que sean necesarios para las finalidades indicadas. No pueden tratar los datos para finalidades que no sean razonablemente necesarios o compatibles sin el consentimiento del consumidor. 
  2. Establecer medidas para proteger los datos. Tienen prohibido utilizar “patrones oscuros” para obtener el consentimiento para el tratamiento.

Los datos sensibles, incluida la información como la raza, la etnia, la religión, los datos genéticos o biométricos y la geolocalización precisa, solo pueden tratarse con el consentimiento del consumidor.

Aviso de privacidad y evaluaciones de protección de datos según la TDPSA

La TDPSA exige a los responsables del tratamiento que faciliten a los consumidores un aviso de privacidad razonablemente accesible y claro, en el que se indiquen, entre otras cosas:

  1. las categorías de datos personales, incluidos los datos sensibles, si procede, que se están tratando y las finalidades del tratamiento;
  2. como pueden ejercer sus derechos los consumidores; y
  3. las categorías de datos personales compartidas con terceros y las categorías de terceros con los que se comparte la información.

Si los responsables del tratamiento venden datos sensibles, están obligados a proporcionar una información adecuada a los consumidores. 

Para determinados tipos de tratamiento de datos, los responsables del tratamiento deben realizar evaluaciones de protección de datos. 

Ejecución y sanciones en virtud de la TDPSA

El Fiscal General de Texas es la única autoridad de aplicación e investigación de la TDPSA.

Antes de tomar medidas contra un presunto infractor, el Fiscal General debe conceder un plazo de 30 días para subsanar la infracción. Tras el periodo de subsanación, el Fiscal General puede imponer sanciones de hasta 7.500 dólares por infracción, así como solicitar medidas cautelares y honorarios de abogados.