Blog

TDPSA: Guía de Requisitos y Cumplimiento para Sitios Web

Obtén un desglose claro de las normas de la Ley de Privacidad y Seguridad de Datos de Texas, los plazos de aplicación y cómo gestionar correctamente los scripts de terceros.

Dec 18, 2025 • 16 min read

Juan Combariza Growth Marketer

TDPSA - Texas Data Privacy and Security Act - Requirements and Website Compliance

Resumen rápido:

¿Qué es la TDPSA? La Ley de Privacidad y Seguridad de Datos de Texas (TDPSA) es una ley de privacidad estatal que otorga a los residentes de Texas derechos sobre sus datos personales y exige a las organizaciones implementar salvaguardias de seguridad razonables a lo largo de todo el ciclo de vida de los datos, incluidos los sitios web y las herramientas de terceros.
¿A quién aplica la TDPSA? La TDPSA aplica a organizaciones que hacen negocios en Texas o se dirigen a residentes de Texas, procesan o venden datos personales, y no califican como pequeña empresa según los criterios de la SBA.
¿Cuáles son las causas más comunes de incumplimiento de la TDPSA? La mayoría de los fallos se producen cuando las organizaciones no respetan correctamente las solicitudes de exclusión voluntaria de los consumidores, mantienen divulgaciones de privacidad incompletas u obsoletas, carecen de visibilidad sobre el procesamiento de datos por parte de scripts de terceros, o no cuentan con salvaguardias de seguridad razonables.
¿Por qué es esencial la monitorización del sitio web para el cumplimiento de la TDPSA? Dado que los datos personales a menudo se recopilan, comparten o exponen en el navegador a través de scripts web que tu equipo no controla completamente, monitorizar el lado del cliente y los rastreadores de datos de terceros es fundamental para prevenir fugas de datos y demostrar el cumplimiento.

Gestionar un negocio hoy en día implica custodiar una gran cantidad de información de otras personas. Dado que las brechas de datos ya no son algo excepcional, los reguladores están elevando el listón en cuanto a cómo se maneja esa información. La Ley de Privacidad y Seguridad de Datos de Texas es un ejemplo claro de ese cambio.

Muchas empresas ya actuaban con cuidado, pero la TDPSA convierte la protección en algo obligatorio y establece las consecuencias cuando se ignora la seguridad. Cabe destacar que gran parte de los datos sensibles se accede, procesa o expone en el lado del cliente a través de navegadores y scripts de terceros que se ejecutan silenciosamente en tu sitio web. Esta falta de visibilidad te hace vulnerable a infracciones de la TDPSA.

En este artículo analizamos qué es la TDPSA, si aplica a tu organización, las razones más comunes de las infracciones y por qué no puedes ignorar la seguridad del lado del cliente para cumplir plenamente con la TDPSA.

¿Qué es la Ley de Privacidad y Seguridad de Datos de Texas?

La Ley de Privacidad y Seguridad de Datos de Texas (TDPSA) es una ley de privacidad del consumidor que otorga a los residentes de Texas derechos específicos sobre su información personal. Fue promulgada el 18 de junio de 2023.

Exige a las organizaciones (responsables del tratamiento) limitar la recopilación de datos únicamente a lo necesario para una "finalidad(es)" concreta. La ley otorga a los texanos el derecho a conocer si una empresa está utilizando su información personal y de qué manera. También pueden acceder a sus datos, corregirlos, eliminarlos o solicitar una copia, y optar por no participar en publicidad dirigida, venta de datos y elaboración de perfiles.

Las infracciones de la TDPSA pueden acarrear sanciones civiles de hasta 7.500 dólares por infracción, y la autoridad de aplicación recae exclusivamente en el Fiscal General de Texas.

¿Aplica la TDPSA a Mi Organización?

Criterios de elegibilidad para la TDPSA (Ley de Privacidad y Seguridad de Datos de Texas) que muestran cómo determinar si la TDPSA aplica a una organización — Criterios de elegibilidad simplificados bajo la Ley de Privacidad y Seguridad de Datos de Texas (TDPSA)

La TDPSA aplica a tu organización si cumples las tres condiciones siguientes:

a. Haces negocios en Texas o produces bienes o servicios que consumen residentes de Texas (esto puede incluir productos/servicios en línea que llegan a consumidores texanos).

b. Procesas o vendes "datos personales" de esos residentes de Texas. Aquí, datos personales significa cualquier información vinculada o razonablemente vinculable a una persona identificada o identificable. A diferencia de la CCPA de California o la CPA de Colorado, la TDPSA no incluye un umbral de ingresos o número de consumidores para determinar la aplicabilidad.

c. No eres una "pequeña empresa" según las normas de la Administración de Pequeñas Empresas de los Estados Unidos (SBA).

Si respondes afirmativamente a las tres condiciones anteriores, las principales protecciones de privacidad y obligaciones empresariales de la TDPSA aplican a tu organización.

Excepciones a la TDPSA

Existen ciertas excepciones, independientemente de estas condiciones. Entre ellas se incluyen:

Agencias estatales y subdivisiones políticas, organizaciones sin fines de lucro, instituciones de educación superior (públicas o privadas), instituciones financieras reguladas por la Ley Gramm-Leach-Bliley, entidades sanitarias cubiertas por la HIPAA y sus socios comerciales, y algunos proveedores de servicios regulados y de suministros.

¿Cuáles Son los Requisitos Clave de la TDPSA?

Estos son algunos de los requisitos fundamentales para las organizaciones bajo la TDPSA:

Divulgar las prácticas de datos personales con claridad

La TDPSA exige que expliques qué datos personales se recopilan, por qué se recopilan, cómo se utilizan y con quién se comparten.

Debes informar claramente a los clientes sobre cómo utilizarás y procesarás sus datos en un lenguaje fácil de entender.

Obtener consentimiento afirmativo para el tratamiento de datos sensibles

Debes recopilar consentimiento explícito de adhesión voluntaria antes de procesar datos sensibles como la geolocalización precisa o la información biométrica. La ley prohíbe basarse en un consentimiento implícito, agrupado u oculto. En otras palabras, el acuerdo del usuario debe ser específico e inequívoco.

Responder a las solicitudes de derechos de los consumidores dentro de los plazos requeridos

La TDPSA permite a los consumidores acceder, corregir, eliminar u obtener copias de sus datos, y optar por no participar en determinados tratamientos. Las organizaciones que reciban cualquiera de estas solicitudes deben atenderlas en un plazo de 45 días, con una única prórroga limitada cuando esté justificada.

Habilitar la exclusión voluntaria de la venta de datos, la publicidad dirigida y la elaboración de perfiles

Las organizaciones deben informar claramente a los consumidores cuando se produzcan estas actividades y proporcionar un mecanismo de exclusión voluntaria real y funcional que detenga el tratamiento.

Los mecanismos de exclusión voluntaria deben funcionar en todos los flujos de datos, incluidos los que se activan en el lado del cliente. Si los scripts de seguimiento o los píxeles continúan enviando datos después de una exclusión voluntaria, la organización sigue incumpliendo la TDPSA.

Gestionar y supervisar a los proveedores y encargados del tratamiento

Las empresas deben establecer contratos que limiten el uso de los datos y supervisar activamente el comportamiento de los proveedores. Esto incluye comprender qué actividades de tratamiento de datos realizan los proveedores durante las sesiones de los usuarios en el sitio web.

El Lado del Cliente es la Superficie de Riesgo de Privacidad Moderna

Riesgos del lado del cliente para la TDPSA que ilustran cómo la actividad del lado del cliente puede afectar al cumplimiento de la Ley de Privacidad y Seguridad de Datos de Texas — Riesgos del lado del cliente para la TDPSA, destacando cómo la recopilación de datos en el navegador y los scripts pueden afectar al cumplimiento de la Ley de Privacidad y Seguridad de Datos de Texas.

El lado del cliente se ha convertido en una superficie de riesgo de privacidad primaria para las infracciones de leyes de protección de datos como la TDPSA. Esto se debe a que cada vez más datos personales se recopilan y transmiten a través del navegador del usuario.

Los scripts de terceros son un riesgo de cumplimiento de privacidad bajo la TDPSA

Los scripts de terceros se ejecutan en el navegador del usuario, pero siguen siendo responsabilidad de la organización que los instaló en el sitio.

Las organizaciones modernas ejecutan varios scripts, la mayoría instalados por distintos equipos para distintos fines.
Estos scripts suelen ejecutarse sin control, recopilando datos personales como direcciones IP, identificadores, entradas de formularios o señales de comportamiento.
Bajo la TDPSA, la organización es el "responsable del tratamiento" porque decide utilizar esos scripts y se beneficia de ellos. Aunque un proveedor externo recopile los datos, el responsable sigue siendo responsable de cómo se "procesan" los datos personales.
Si los scripts recopilan datos más allá de lo divulgado en el aviso de privacidad, las organizaciones corren el riesgo de infringir las normas de limitación de finalidad y transparencia de la TDPSA, incluida la "publicidad dirigida" o la "venta de datos" no intencionadas.

Los ataques del lado del cliente son un riesgo de brecha de datos de privacidad bajo la TDPSA

Los ataques del lado del cliente se producen cuando código malicioso o comprometido se ejecuta en el navegador. Esto puede ocurrir a través de una biblioteca de terceros hackeada, una actualización de script envenenada o una etiqueta inyectada.
Si una organización no monitoriza ni controla lo que se ejecuta en el lado del cliente, puede ser incapaz de demostrar que tomó medidas técnicas razonables para proteger los datos personales.
Las brechas del lado del cliente también dificultan la respuesta a las solicitudes de derechos de los consumidores.
Además, si los datos filtrados no pueden rastrearse ni eliminarse, el responsable del tratamiento puede no cumplir con las obligaciones de acceso, eliminación o exclusión voluntaria.

¿Son suficientes los banners de cookies para el cumplimiento de la TDPSA?

No, los banners de cookies por sí solos no son suficientes para el cumplimiento de la TDPSA. Un banner puede recopilar el consentimiento, pero tiene un control limitado sobre lo que los scripts hacen realmente una vez que la página se carga.

Los banners de cookies tampoco impiden que las cookies y scripts "aceptados" recopilen más datos de los necesarios o los envíen a destinatarios inesperados.

Las plataformas de gestión del consentimiento (CMP) y los banners de cookies son elementos valiosos de una estrategia de cumplimiento para sitios web, pero por sí solos no abordan los requisitos relativos a las salvaguardias de seguridad ni al mantenimiento de la visibilidad sobre cómo se comparten los datos entre distintas jurisdicciones.

Dónde Suelen Producirse los Fallos de Cumplimiento de la TDPSA

Dónde se producen los fallos de cumplimiento de la TDPSA en sitios web y flujos de datos bajo la Ley de Privacidad y Seguridad de Datos de Texas — Dónde se producen los fallos de cumplimiento de la TDPSA, mostrando los puntos de quiebre más comunes bajo la Ley de Privacidad y Seguridad de Datos de Texas.

Los fallos de cumplimiento de la TDPSA suelen producirse cuando las organizaciones asumen que el manejo de datos es más sencillo de lo que realmente es.

En una organización típica, los datos personales circulan por muchos sistemas, equipos y proveedores, y cada transferencia introduce un riesgo. Sin sistemas y procesos claros para almacenar, gestionar y revocar el acceso a estos datos, las organizaciones corren el riesgo de infringir la TDPSA.

A continuación se presentan algunas razones comunes de los fallos de cumplimiento de la TDPSA:

1. Procesar datos sensibles sin obtener el consentimiento previo

Muchas empresas recopilan o venden datos de ubicación precisa y otra información sensible. Esto ocurre a veces sin el consentimiento explícito del usuario.

Con la TDPSA, el estado de Texas ha intentado frenar esta práctica.

Bajo la ley, la transparencia es primordial. Si los datos se comparten con terceros o se utilizan para fines que no se divulgan claramente, la organización deja de cumplir sus obligaciones, aunque la omisión haya sido involuntaria.

Una de sus primeras y más destacadas acciones de aplicación fue cuando el Fiscal General del estado demandó a Allstate y a su filial de datos, Arity, por recopilar, utilizar y vender datos de ubicación y movimiento de teléfonos móviles de texanos sin los permisos adecuados.

2. Salvaguardias de seguridad inadecuadas

La TDPSA exige prácticas de seguridad razonables. Esto incluye comprender dónde están expuestos los datos. Muchas organizaciones centran sus esfuerzos de seguridad en servidores y bases de datos. Sin embargo, ignoran las integraciones, las herramientas de terceros y los elementos del sitio web que gestionan el tratamiento de datos de los usuarios.

Esas superficies no monitorizadas pueden dar lugar a una exposición no intencionada de datos sensibles a través de código mal configurado o inyecciones maliciosas que extraen información de identificación personal (PII).

Las acciones y orientaciones de la FTC sobre píxeles de seguimiento (como se vio en los casos GoodRx y BetterHelp) demuestran que la filtración del lado del cliente de información sanitaria o de ubicación desencadena acciones de aplicación.

Estos son también precisamente el tipo de fallos técnicos que la TDPSA trata como incumplimientos de la obligación de proteger y limitar adecuadamente el tratamiento de datos.

3. No ser transparente sobre la venta de datos y la publicidad dirigida

El Fiscal General de Texas, Ken Paxton, comentó sobre el incidente de Allstate:

"Los datos personales de millones de estadounidenses fueron vendidos a compañías de seguros sin su conocimiento ni consentimiento, en violación de la ley. Los texanos merecen algo mejor y pediremos cuentas a todas estas empresas."

Incluso si intercambias datos personales de consumidores por valor, como análisis, segmentación publicitaria o enriquecimiento de datos, eso sigue contando.

Los reguladores quieren saber si los consumidores entienden que su comportamiento, ubicación u otros identificadores se están utilizando para elaborar perfiles o mostrarles anuncios dirigidos. Si una empresa no divulga claramente este tratamiento y no ofrece un mecanismo de exclusión voluntaria, Texas lo considera una infracción, independientemente de que la empresa considere que la práctica es marketing estándar.

El lenguaje vago como "podemos compartir datos con socios" no es suficiente. Si se produce publicidad dirigida o venta de datos, debe divulgarse explícitamente.

4. No respetar las solicitudes de exclusión voluntaria

Los avisos de privacidad pueden ser engañosos. Muchos sitios web informan a los usuarios de que pueden optar por no participar en la venta de datos o en la publicidad dirigida. Sin embargo, esas exclusiones voluntarias pueden llevar a enlaces rotos, formularios no funcionales o sistemas que ignoran señales basadas en el navegador como el Control de Privacidad Global (Global Privacy Control).

Los reguladores no consideran esto un problema técnico menor, sino una denegación de los derechos del consumidor.

La acción de aplicación contra Sephora en California ilustra esto claramente.

Sephora informó a los usuarios de que podían optar por no participar en la venta de datos, pero continuó enviando datos a socios publicitarios. Los reguladores trataron esto como una violación de los derechos del consumidor, obligando a la marca de belleza a pagar una sanción de 1,2 millones de dólares.

Texas también está aplicando requisitos similares bajo la TDPSA.

Recursos Oficiales de la TDPSA y Enlaces Gubernamentales

Aquí están los principales recursos oficiales donde puedes leer la ley y obtener orientación autorizada sobre la Ley de Privacidad y Seguridad de Datos de Texas (TDPSA):

Fiscal General de Texas, Página principal de la TDPSA: Esta es la página oficial de la Oficina del Fiscal General que explica la Ley de Privacidad y Seguridad de Datos de Texas. Incluye una descripción general de los derechos, las obligaciones y quiénes deben cumplirla.
Código de Comercio y Negocios de Texas, Capítulo 541 – Texto Estatutario Completo: Este es el texto oficial del estatuto tal como está codificado en el Código de Comercio y Negocios de Texas. Incluye todas las definiciones, derechos del consumidor, obligaciones del responsable del tratamiento, requisitos de aviso, normas de aplicación y más.

Biblioteca Jurídica del Estado de Texas, Antecedentes de la TDPSA y enlaces al texto del proyecto de ley: Esta página ofrece un resumen de la biblioteca pública y dirige al texto real del proyecto de ley y las definiciones del Capítulo 541 del Código de Comercio y Negocios de Texas.

Cronología de la TDPSA

18 de junio de 2023: La Ley de Privacidad y Seguridad de Datos de Texas (TDPSA) fue promulgada.

1 de julio de 2024: La mayoría de las disposiciones de la TDPSA entran en vigor. Estas incluyen obligaciones fundamentales como los deberes de tratamiento de datos, los avisos de privacidad, las respuestas a los derechos de los consumidores, las evaluaciones de protección de datos y los requisitos de seguridad.

1 de enero de 2025: Los responsables del tratamiento deben reconocer los métodos de exclusión voluntaria universales que permiten a los consumidores utilizar señales y herramientas globales para expresar sus preferencias de privacidad. Estos pueden incluir configuraciones del navegador, extensiones o enlaces de exclusión voluntaria a nivel de dispositivo.

Por Qué Se Introdujo la TDPSA

La TDPSA se introdujo para proteger los datos personales de los residentes de Texas en un momento en que las brechas de datos se han convertido en una realidad cotidiana.

Un informe del Comité de la Cámara de Representantes de Texas de noviembre de 2022 señala que la amenaza que representan las empresas que poseen y comercian con datos de consumidores sin el conocimiento de estos es real. Incluso nombra empresas específicas que manejan mal los datos de los consumidores.

Este informe analiza las leyes de privacidad ya aprobadas por otros estados de EE. UU., como California y Virginia, y argumenta a favor de una legislación similar en Texas.

En palabras del propio informe:

"Texas debería considerar la aprobación de legislación que otorgue a los consumidores mayor control sobre sus datos. Las disposiciones importantes para una ley sólida incluirían el derecho de los consumidores a corregir y eliminar su información."

Cómo cside Ayuda a las Organizaciones a Lograr el Cumplimiento de la TDPSA

cside Privacy Watch ayuda a cerrar una brecha de privacidad importante que muchas herramientas de seguridad tradicionales pasan por alto: lo que realmente se ejecuta en el navegador del usuario.

Visibilidad sobre la recopilación de datos en el sitio web

cside proporciona una visión clara de qué scripts operan en tu sitio web, a qué datos acceden y a dónde se envían esos datos. Esto ayuda a los equipos a mantener registros precisos de la recopilación de datos y respalda divulgaciones de privacidad claras y actualizadas.

Minimización de datos mediante monitorización continua

A medida que las herramientas de terceros cambian con el tiempo, pueden empezar a recopilar más datos de los que originalmente se pretendía. cside detecta estos cambios a medida que se producen, permitiendo a los equipos identificar la recopilación de datos innecesaria.

Apoyo a las salvaguardias de seguridad razonables

La TDPSA exige a las organizaciones implementar medidas razonables para proteger los datos personales. cside monitoriza el comportamiento sospechoso de los scripts, los cambios no autorizados y los patrones de exfiltración de datos para prevenir fugas de datos provocadas por ataques del lado del cliente.

Supervisión de herramientas de terceros

Muchos fallos de cumplimiento se originan en proveedores externos. cside valida que los scripts de terceros se comporten de la manera prevista dentro de tus expectativas de privacidad.

Documentación y evidencia lista para auditorías

cside mantiene registros detallados de la actividad de los scripts, los cambios de configuración y el comportamiento en el manejo de datos. Estos registros proporcionan evidencia defendible en la que las organizaciones pueden apoyarse durante auditorías o investigaciones regulatorias.

Puedes comenzar con nuestro plan gratuito permanente o reservar una demostración para obtener más información sobre los requisitos del lado del cliente de las leyes estatales de EE. UU. como la TDPSA.

Growth Marketer Juan Combariza

Researching & writing about client side security.

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

La TDPSA aplica a empresas que operan en Texas u ofrecen productos o servicios a residentes de Texas y procesan sus datos personales. Excluye a las pequeñas empresas, salvo cuando venden datos personales sensibles. En ese caso, los requisitos de consentimiento siguen siendo aplicables.

Aunque no existe un equivalente exacto al RGPD en Texas, la TDPSA cumple una función similar a nivel estatal. Otorga derechos de privacidad a los consumidores, regula los datos sensibles e impone obligaciones de seguridad y transparencia. La aplicación de la TDPSA recae exclusivamente en el Fiscal General de Texas.

La primera acción de aplicación importante de la TDPSA fue la demanda de Texas contra Allstate y Arity. Dicha demanda alegaba que Allstate recopiló y vendió datos de ubicación sensibles sin el aviso ni el consentimiento adecuados. Texas también ha emprendido acciones de privacidad de gran envergadura contra Google por el seguimiento y el uso de datos no divulgados.

Algunos de los requisitos clave de la TDPSA son: divulgaciones de privacidad claras, consentimiento explícito para datos sensibles, respuestas oportunas a las solicitudes de derechos de los consumidores y mecanismos de exclusión voluntaria para la venta de datos y la publicidad dirigida. La TDPSA también exige salvaguardias de seguridad razonables y responsabilidad sobre proveedores y encargados del tratamiento.

Las infracciones de la Ley de Privacidad y Seguridad de Datos de Texas son aplicadas por el Fiscal General de Texas. La ley no permite que los consumidores presenten demandas privadas, por lo que el Fiscal General tiene autoridad exclusiva para emprender acciones de aplicación.

Monitorea y Asegura tus Scripts de Terceros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Reservar una demo

Comenzar gratis

Comienza gratis, o prueba Business con una prueba de 14 días.

Interfaz del panel de cside mostrando monitoreo de scripts y análisis de seguridad

escudo de seguridad de cside monitorizando la ruta del cursor del navegador — detección de agentes de IA en la capa del navegador

Cómo Bloquear OpenAI Operator en Tu Sitio Web

OpenAI Operator navega tu sitio como un usuario real. Aprende a detectarlo y bloquearlo con señales de capa de navegador y cuándo no bloquearlo.

DBSC frente a huella digital del dispositivo: lo que la seguridad de sesión de Chrome no cubre

DBSC de Chrome frena el reenvío de cookies robadas, pero es solo Chrome, posterior al login y sin identidad de dispositivo. Mira el fraude que deja.

Detectar y bloquear Perplexity Shopper en tu sitio web — blog de cside

Cómo bloquear Perplexity Shopper en tu sitio web

Perplexity Shopper navega y compra en tiendas online en nombre de usuarios Pro. Aprende a detectar sus señales en el navegador y gobernar el tráfico.

Ilustración de una petición a la API de Claude y una respuesta devuelta que pertenece a otro usuario, marcada como «la respuesta no coincide con la petición», entre los logotipos de Anthropic y cside

Cuando una API de IA devuelve la respuesta de otro usuario: cachés compartidas y filtraciones entre clientes

Una incidencia de la API de Claude parece haber devuelto respuestas de otros usuarios. Por qué las cachés compartidas provocan fugas entre clientes.

Un token de acceso OAuth 2.0 en el centro de un diagrama que conecta un dispositivo legítimo con el dispositivo de un atacante

MFA no falló, falló el modelo de confianza: phishing por código de dispositivo y robo de tokens OAuth (Kali365)

Kali365 abusa de la concesión de autorización de dispositivo de OAuth 2.0 para robar tokens de Microsoft 365 tras MFA. Análisis técnico del flujo, FOCI y detección.

Una ventana de navegador que se disuelve en un flujo de partículas de luz azul sobre un fondo oscuro

La IA está comprimiendo el ciclo de los exploits: el zero-day desarrollado con IA de Google y qué significa para los navegadores

Google detectó un zero-day que cree desarrollado con IA. El cambio real no es el phishing, sino lo rápido que los exploits llegan al navegador.

Tokens de sesión atravesando una barrera de seguridad del navegador hacia señales de huella digital del dispositivo

La sesión del navegador ya es un plano de control de seguridad. Los atacantes lo sabían desde hace años.

La propuesta DBSC de Google valida un cambio claro: las sesiones del navegador necesitan validación del dispositivo después del login.

Las mejores soluciones de prevención de apropiación de cuentas comparadas (2026)

Suites antifraude, herramientas de fingerprinting y MFA comparadas según lo que cubren en la cadena de ataque ATO. Encuentra el stack adecuado para tu perfil de riesgo.

Cómo detener a los agentes de IA que crean cuentas falsas (Guía)

Los agentes de IA crean cuentas falsas con navegadores reales, IPs residenciales e identidades generadas. Así es la pila de señales para detenerlos.

Cómo bloquear bots de scraping de contenido basados en agentes de IA (Guía)

Los bots de scraping con IA usan navegadores reales, IPs residenciales y LLMs para extraer tus precios y contenido. Aprende a detenerlos.