La Ley de Privacidad y Seguridad de Datos de Texas sitúa a Texas en la lista de estados con leyes de privacidad.
La Ley de Privacidad y Seguridad de Datos de Texas (TDPSA, por sus siglas en inglés) fue aprobada el 16 de junio de 2023 y entrará en vigor el 1 de julio de 2024, situando así a Texas entre los estados de Estados Unidos que han aprobado leyes de privacidad de datos. De esta forma, un porcentaje significativo de la población estadounidense cuenta ya con derechos de privacidad de datos. En consecuencia, las empresas deberán estar preparadas para implementar todos los requisitos que se derivan de la normativa. La TDPSA se basa en principios de gobernanza de datos, como la limitación del tratamiento a la finalidad del mismo y la implementación de medidas de seguridad robustas. Además, prohíbe a las empresas recopilar más información de la necesaria o utilizar los datos recopilados para fines distintos de los originales, a menos que se haya obtenido el consentimiento del consumidor o exista otra base legítima a estos efectos. La TDPSA se considera más flexible de cara a las empresas que las leyes de California y Colorado, por lo que aquellas organizaciones que ya se hayan adaptado a las mismas deberían estar bien posicionadas para cumplir con la TDPSA. Sin embargo, existen diversas disposiciones en la TDPSA que requerirán una atención particular.
La TDPSA se aplica a la mayoría de las empresas que realizan negocios en Texas o tratan datos de residentes de Texas, con algunas excepciones.
La TDPSA se aplica a personas u organizaciones que realizan negocios en Texas u ofrecen productos o servicios a residentes de Texas, que tratan o venden datos personales, y que no se consideran “pequeñas empresas” conforme a la normativa local y nacional. A diferencia de las leyes de privacidad de otros estados, la TDPSA no establece umbrales específicos determinados por los ingresos anuales o el volumen de datos personales que tratan. Sin embargo, la TDPSA establece ciertas exenciones para situaciones concretas, según el tipo de empresa o los datos tratados, y también en el contexto laboral. Por otro lado, la TDPSA define algunas exenciones para actividades de tratamiento que sean necesarias para cumplir con una obligación legal, proteger a los interesados o proporcionar un producto o servicio que el consumidor ha solicitado.
La TDPSA impone obligaciones específicas a los responsables y concreta los derechos de los consumidores.
La TDPSA impone obligaciones específicas a los responsables, incluida la limitación del tratamiento, la no discriminación, los derechos de oposición en relación a la venta de datos personales y publicidad dirigida, la protección de datos sensibles y los avisos de privacidad. Además, la TDPSA otorga a los consumidores ciertos derechos con respecto a sus datos personales, incluidos los derechos de acceso, rectificación, supresión y portabilidad. Las empresas sujetas a la TDPSA deberán habilitar dos métodos para que los consumidores ejerzan sus derechos, y las respuestas a las solicitudes tendrán que realizarse dentro de los 45 días posteriores a la recepción, con una posible extensión de 45 días adicionales. El ejercicio de los derechos será gratuito, salvo cuando el mismo se considere excesivo. Las disposiciones contractuales que supongan una renuncia o limitación de los derechos del consumidor serán nulas. En cuanto a las bases legítimas, el tratamiento de datos sensibles (por ejemplo, raciales, creencias religiosas, salud, orientación sexual, ciudadanía) deberá contar con el consentimiento del consumidor. Se incluyen aquí datos genéticos y biométricos y datos de geolocalización dentro de un radio determinado. Para la recopilación de datos de niños menores de 13 años, será preciso el consentimiento parental verificado conforme a la COPPA.
Se requieren evaluaciones de protección de datos y contratos de encargados.
Según la TDPSA, los responsables deben realizar evaluaciones de protección de datos para ciertos tratamientos de datos con riesgos significativos para los consumidores. Similar a la ley de privacidad de Connecticut, estos incluyen publicidad dirigida, ventas de datos personales, elaboración de perfiles, tratamiento de datos sensibles y actividades que representan un riesgo elevado. Es importante tener en cuenta que las evaluaciones no necesitan aplicarse con retroactividad. La TDPSA también aplica un marco responsable-encargado que requiere que los responsables y encargados firmen acuerdos que estipulen las instrucciones de tratamiento de datos, tipo de datos, la duración del mismo y los derechos y obligaciones de las partes. Se tendrán que incluir cláusulas de confidencialidad, contratación de sub-encargados, eliminación o devolución de datos al finalizar el contrato y asistencia al responsable.
El fiscal del estado de Texas será el encargado de aplicar la TDPSA y se otorgará un período de corrección de 30 días para permitir que las empresas rectifiquen las infracciones.
La TDPSA se aplica únicamente por el fiscal general del estado. Existen las sanciones civiles de hasta 7.500 dólares por infracciones, las medidas cautelares y la recuperación de daños, aunque los consumidores carecen de un derecho de acción privada. Antes de imponer sanciones por incumplimiento de la TDPSA, el fiscal general deberá proporcionar un período de corrección de 30 días, durante el cual las empresas podrán rectificar las infracciones y evitar la acción de ejecución. La corrección adecuada requiere una declaración por escrito y medidas apropiadas. El derecho a corregir bajo la TDPSA es permanente, a diferencia de ciertos estados donde éste expira.
Si necesitas ayuda para cumplir con la TDPSA u otras leyes de privacidad de Estados Unidos, o si quieres revisar tus prácticas y políticas de protección de datos, contacta con Aphaia para saber más.
