Blog

TDPSA: Guia de Requisitos + Conformidade para Sites

Entenda as regras da Lei de Privacidade e Segurança de Dados do Texas, os prazos de aplicação e como gerenciar scripts de terceiros corretamente.

Dec 18, 2025 • 15 min read

Juan Combariza Growth Marketer

TDPSA - Texas Data Privacy and Security Act - Requisitos e Conformidade para Sites

Resumo:

O que é a TDPSA? A Lei de Privacidade e Segurança de Dados do Texas (TDPSA) é uma lei estadual de privacidade que garante aos residentes do Texas direitos sobre seus dados pessoais e exige que as organizações implementem salvaguardas de segurança razoáveis em todo o ciclo de vida dos dados, incluindo sites e ferramentas de terceiros.
A quem a TDPSA se aplica? A TDPSA se aplica a organizações que fazem negócios no Texas ou têm como alvo residentes do Texas, processam ou vendem dados pessoais e não se qualificam como pequenas empresas segundo os padrões da SBA.
Quais são as causas mais comuns de falhas de conformidade com a TDPSA? A maioria das falhas resulta de organizações que não atendem adequadamente às solicitações de opt-out dos consumidores, mantêm divulgações de privacidade incompletas ou desatualizadas, não têm visibilidade sobre o processamento de dados por scripts de terceiros ou carecem de salvaguardas de segurança razoáveis.
Por que o monitoramento de sites é essencial para a conformidade com a TDPSA? Como dados pessoais frequentemente são coletados, compartilhados ou expostos no navegador por scripts que sua equipe não controla totalmente, monitorar o lado do cliente e os rastreadores de dados de terceiros é fundamental para evitar vazamentos de dados e demonstrar conformidade.

Administrar um negócio hoje significa guardar as chaves de muitas informações de outras pessoas. Como violações de dados já não são raras, os reguladores estão elevando o padrão sobre como você lida com essas informações. A Lei de Privacidade e Segurança de Dados do Texas é um exemplo claro dessa mudança.

Muitas empresas já eram cuidadosas, mas a TDPSA torna a proteção obrigatória e deixa claras as consequências quando a segurança é ignorada. Vale destacar que grande parte dos dados sensíveis é acessada, processada ou exposta no lado do cliente, por meio de navegadores e scripts de terceiros que rodam silenciosamente no seu site. Essa falta de visibilidade deixa sua organização vulnerável a violações da TDPSA.

Neste artigo, discutimos o que é a TDPSA, se ela se aplica à sua organização, as razões mais comuns para violações e por que você não pode ignorar a segurança do lado do cliente para estar em plena conformidade com a TDPSA.

O que é a Lei de Privacidade e Segurança de Dados do Texas?

A Lei de Privacidade e Segurança de Dados do Texas (TDPSA) é uma lei de privacidade do consumidor que garante aos residentes do Texas direitos específicos sobre suas informações pessoais. Ela foi sancionada em 18 de junho de 2023.

A lei exige que as organizações (controladores) limitem a coleta de dados apenas ao necessário para uma "finalidade(s)" específica. A lei dá aos texanos o direito de saber se e como uma empresa está usando suas informações pessoais. Eles também podem acessar, corrigir, excluir ou solicitar uma cópia de seus dados e optar por não participar de publicidade direcionada, vendas de dados e criação de perfis.

Violações da TDPSA podem acarretar multas civis de até US$ 7.500 por violação, e a autoridade de aplicação é exclusiva do Procurador-Geral do Texas.

A TDPSA se Aplica à Minha Organização?

Critérios de elegibilidade para a TDPSA (Lei de Privacidade e Segurança de Dados do Texas) mostrando como determinar se a TDPSA se aplica a uma organização — Critérios de elegibilidade simplificados sob a Lei de Privacidade e Segurança de Dados do Texas (TDPSA)

A TDPSA se aplica à sua organização se você atender às três condições abaixo:

a. Você faz negócios no Texas ou produz bens ou serviços consumidos por residentes do Texas (isso pode incluir produtos/serviços online que alcançam consumidores texanos).

b. Você processa ou vende "dados pessoais" desses residentes do Texas. Aqui, dados pessoais significam qualquer informação vinculada ou razoavelmente vinculável a uma pessoa identificada ou identificável. Ao contrário da CCPA da Califórnia ou da CPA do Colorado, a TDPSA não inclui um limite de receita/contagem de consumidores para determinar a aplicabilidade.

c. Você não é uma "pequena empresa" segundo as regras da Administração de Pequenas Empresas dos Estados Unidos (SBA).

Se você responder verdadeiro para as três condições acima, as principais proteções de privacidade e obrigações empresariais da TDPSA se aplicam à sua organização.

Exceções à TPDSA

Existem certas exceções, independentemente dessas condições. Estas incluem:

Agências estaduais e subdivisões políticas, organizações sem fins lucrativos, instituições de ensino superior (públicas ou privadas), instituições financeiras reguladas pela Lei Gramm-Leach-Bliley, entidades de saúde cobertas pela HIPAA e seus associados comerciais, e alguns provedores de serviços regulados e de utilidade pública.

Quais São os Principais Requisitos da TDPSA?

Estes são alguns dos requisitos fundamentais para organizações sob a TDPSA:

Divulgar as práticas de dados pessoais com clareza

A TDPSA exige que você explique quais dados pessoais são coletados, por que são coletados, como são usados e com quem são compartilhados.

Você deve notificar claramente os clientes sobre como usará e processará seus dados em linguagem de fácil compreensão.

Obter consentimento afirmativo para o processamento de dados sensíveis

Você deve coletar consentimento explícito de opt-in antes de processar dados sensíveis, como geolocalização precisa ou informações biométricas. A lei proíbe o uso de consentimento implícito, agrupado ou oculto. Em outras palavras, o acordo com o usuário deve ser específico e inequívoco.

Responder às solicitações de direitos do consumidor dentro dos prazos exigidos

A TDPSA permite que os consumidores acessem, corrijam, excluam ou obtenham cópias de seus dados e optem por não participar de determinados processamentos. As organizações que receberem qualquer uma dessas solicitações devem atendê-las em 45 dias, com apenas uma prorrogação limitada quando justificada.

Habilitar opt-out de vendas de dados, publicidade direcionada e criação de perfis

As organizações devem informar claramente os consumidores quando essas atividades ocorrem e fornecer um mecanismo de opt-out real e funcional que interrompa o processamento.

Os mecanismos de opt-out devem funcionar em todos os fluxos de dados, incluindo os acionados no lado do cliente. Se scripts de rastreamento ou pixels continuarem enviando dados após um opt-out, a organização permanece em violação da TDPSA.

Gerenciar e monitorar fornecedores e processadores

As empresas devem estabelecer contratos que limitem o uso de dados e supervisionar ativamente o comportamento dos fornecedores. Isso inclui entender quais atividades de processamento de dados os fornecedores estão realizando nas sessões dos usuários no site.

O Lado do Cliente é a Superfície de Risco de Privacidade Moderna

Riscos do lado do cliente para a TDPSA, ilustrando como a atividade do lado do cliente pode impactar a conformidade com a Lei de Privacidade e Segurança de Dados do Texas — Riscos do lado do cliente para a TDPSA, destacando como a coleta de dados e scripts no navegador podem afetar a conformidade com a Lei de Privacidade e Segurança de Dados do Texas.

O lado do cliente tornou-se uma das principais superfícies de risco de privacidade para violações de leis de proteção de dados como a TDPSA. Isso ocorre porque a maior parte dos dados pessoais é cada vez mais coletada e transmitida pelo navegador do usuário.

Scripts de terceiros são um risco de conformidade de privacidade sob a TDPSA

Scripts de terceiros rodam no navegador do usuário, mas ainda são responsabilidade da organização que os inseriu no site.

Organizações modernas executam vários scripts, a maioria instalada por equipes diferentes para finalidades distintas.
Esses scripts frequentemente rodam sem controle, coletando dados pessoais como endereços IP, identificadores, entradas de formulários ou sinais comportamentais.
Sob a TDPSA, a organização é o "controlador" porque decide usar esses scripts e se beneficia deles. Mesmo que um fornecedor terceiro colete os dados, o controlador permanece responsável pela forma como os dados pessoais são "processados".
Se os scripts coletam dados além do que é divulgado no aviso de privacidade, as organizações correm o risco de violar as regras de limitação de finalidade e transparência da TDPSA, incluindo "publicidade direcionada" ou "venda de dados" não intencionais.

Ataques do lado do cliente são um risco de violação de dados de privacidade sob a TDPSA

Ataques do lado do cliente ocorrem quando código malicioso ou comprometido é executado no navegador. Isso pode acontecer por meio de uma biblioteca de terceiros hackeada, uma atualização de script comprometida ou uma tag injetada.
Se uma organização não monitora ou controla o que é executado no lado do cliente, pode ser incapaz de demonstrar que tomou medidas técnicas razoáveis para proteger os dados pessoais.
Violações do lado do cliente também dificultam o atendimento às solicitações de direitos do consumidor.
Além disso, se os dados vazados não puderem ser rastreados ou excluídos, o controlador pode deixar de cumprir as obrigações de acesso, exclusão ou opt-out.

Banners de cookies são suficientes para a conformidade com a TDPSA?

Não, banners de cookies sozinhos não são suficientes para a conformidade com a TDPSA. Um banner pode coletar consentimento, mas tem controle limitado sobre o que os scripts realmente fazem depois que a página carrega.

Banners de cookies também não impedem que cookies e scripts "aceitos" coletem mais dados do que o necessário ou os enviem a destinatários inesperados.

CMPs e banners de cookies são elementos valiosos de uma estratégia de conformidade para sites, mas por si só não abordam os requisitos relacionados a salvaguardas de segurança ou à manutenção de visibilidade sobre como os dados são compartilhados entre diferentes jurisdições.

Onde as Falhas de Conformidade com a TDPSA Geralmente Acontecem

Onde as falhas de conformidade com a TDPSA acontecem em sites e fluxos de dados sob a Lei de Privacidade e Segurança de Dados do Texas — Onde as falhas de conformidade com a TDPSA acontecem, mostrando os pontos de ruptura mais comuns sob a Lei de Privacidade e Segurança de Dados do Texas.

As falhas de conformidade com a TDPSA geralmente ocorrem quando as organizações presumem que o tratamento de dados é mais simples do que realmente é.

Em uma organização típica, os dados pessoais transitam por muitos sistemas, equipes e fornecedores, e cada transferência introduz riscos. Sem sistemas e processos claros para armazenar, tratar e cortar o acesso a esses dados, as organizações correm o risco de violar a TDPSA.

Abaixo estão algumas razões comuns para falhas de conformidade com a TDPSA:

1. Processar dados sensíveis sem obter consentimento primeiro

Muitas empresas coletam ou vendem dados de localização precisa e outras informações sensíveis. Isso às vezes acontece sem o consentimento explícito do usuário.

Com a TDPSA, o estado do Texas tentou coibir essa prática.

Sob a lei, a transparência é fundamental. Se os dados são compartilhados com terceiros ou usados para finalidades que não são claramente divulgadas, a organização deixa de cumprir suas obrigações, mesmo que a omissão tenha sido não intencional.

Uma das primeiras e mais notáveis ações de aplicação foi quando o Procurador-Geral do estado processou a Allstate e seu braço de dados, a Arity, por coletar, usar e vender dados de localização e movimentação de celulares de texanos sem as devidas permissões.

2. Salvaguardas de Segurança Inadequadas

A TDPSA exige práticas de segurança razoáveis. Isso inclui entender onde os dados estão expostos. Muitas organizações concentram seus esforços de segurança em servidores e bancos de dados. No entanto, ignoram integrações, ferramentas de terceiros e elementos de sites que lidam com o processamento de dados dos usuários.

Essas superfícies não monitoradas podem levar à exposição não intencional de dados sensíveis por meio de código mal configurado ou injeções maliciosas que capturam PII.

As ações e orientações da FTC sobre pixels de rastreamento (vistas nos casos GoodRx e BetterHelp) mostram que o vazamento do lado do cliente de informações de saúde ou localização aciona medidas de aplicação.

Esses são também exatamente os tipos de falhas técnicas que a TDPSA trata como falhas no dever de proteger e limitar adequadamente o processamento de dados.

3. Falta de transparência sobre vendas de dados e publicidade direcionada

O Procurador-Geral do Texas, Ken Paxton, comentou sobre o incidente com a Allstate:

"Os dados pessoais de milhões de americanos foram vendidos a seguradoras sem seu conhecimento ou consentimento, em violação à lei. Os texanos merecem mais e responsabilizaremos todas essas empresas."

Mesmo que você troque dados pessoais de consumidores por valor, como análises, segmentação de anúncios ou enriquecimento de dados, isso ainda conta.

Os reguladores querem saber se os consumidores entendem que seu comportamento, localização ou outros identificadores estão sendo usados para criar perfis ou exibir anúncios direcionados. Se uma empresa não divulgar claramente esse processamento e oferecer um mecanismo de opt-out, o Texas trata isso como uma violação, independentemente de a empresa considerar a prática um marketing padrão.

Linguagem vaga como "podemos compartilhar dados com parceiros" não é suficiente. Se publicidade direcionada ou vendas de dados ocorrerem, elas devem ser explicitamente divulgadas.

4. Falha em honrar solicitações de opt-out

Os avisos de privacidade podem ser enganosos. Muitos sites informam aos usuários que podem optar por não participar de vendas de dados ou publicidade direcionada. No entanto, esses opt-outs podem levar a links quebrados, formulários não funcionais ou sistemas que ignoram sinais baseados no navegador, como o Global Privacy Control.

Os reguladores não veem isso como um problema técnico menor, mas como uma negação de direitos do consumidor.

A ação de aplicação contra a Sephora na Califórnia ilustra isso claramente.

A Sephora informou aos usuários que poderiam optar por não participar das vendas de dados, mas continuou enviando dados a parceiros de publicidade. Os reguladores trataram isso como uma violação dos direitos do consumidor, exigindo que a marca de beleza pagasse uma multa de US$ 1,2 milhão.

O Texas também está aplicando requisitos semelhantes sob a TDPSA.

Recursos Oficiais da TDPSA e Links Governamentais

Aqui estão os principais recursos oficiais onde você pode ler a lei e obter orientações autorizadas sobre a Lei de Privacidade e Segurança de Dados do Texas (TDPSA):

Procurador-Geral do Texas, Página Principal da TDPSA: Esta é a página oficial do Gabinete do Procurador-Geral que explica a Lei de Privacidade e Segurança de Dados do Texas. Ela abrange uma visão geral básica dos direitos, obrigações e quem deve cumprir a lei.
Código de Negócios e Comércio do Texas, Capítulo 541 – Texto Estatutário Completo: Este é o texto oficial do estatuto conforme codificado no Código de Negócios e Comércio do Texas. Inclui todas as definições, direitos do consumidor, deveres do controlador, requisitos de aviso, regras de aplicação e muito mais.

Biblioteca Jurídica do Estado do Texas, Histórico da TDPSA e Links para o Texto do Projeto de Lei: Esta página oferece um resumo da biblioteca pública e direciona para o texto real do projeto de lei e as definições no Capítulo 541 do Código de Negócios e Comércio do Texas.

Cronologia da TDPSA

18 de junho de 2023: A Lei de Privacidade e Segurança de Dados do Texas (TDPSA) foi sancionada.

1º de julho de 2024: A maioria das disposições da TDPSA entra em vigor. Isso inclui obrigações fundamentais como deveres de processamento de dados, avisos de privacidade, respostas a solicitações de direitos do consumidor, avaliações de proteção de dados e requisitos de segurança.

1º de janeiro de 2025: Os controladores devem reconhecer métodos universais de opt-out que permitem aos consumidores usar sinais e ferramentas globais para expressar suas preferências de privacidade. Isso pode incluir configurações do navegador, extensões ou links de opt-out no nível do dispositivo.

Por que a TDPSA Foi Introduzida

A TDPSA foi introduzida para proteger os dados pessoais dos residentes do Texas em um momento em que as violações de dados tornaram-se uma realidade cotidiana.

Um Relatório do Comitê da Câmara do Texas de novembro de 2022 observa que a ameaça representada por empresas que possuem e negociam dados de consumidores sem o conhecimento deles é real. O relatório chega a nomear empresas específicas que tratam mal os dados dos consumidores.

Este relatório analisa as leis de privacidade já aprovadas por outros estados dos EUA, como Califórnia e Virgínia, e defende uma legislação semelhante no Texas.

Nas próprias palavras do relatório:

"O Texas deve considerar a aprovação de legislação que dê aos consumidores mais controle sobre seus dados. Disposições importantes para uma lei robusta incluiriam o direito dos consumidores de corrigir e excluir suas informações."

Como o cside Ajuda Organizações a Alcançar a Conformidade com a TDPSA

O cside Privacy Watch ajuda a fechar uma grande lacuna de privacidade que muitas ferramentas de segurança tradicionais ignoram: o que realmente é executado no navegador do usuário.

Visibilidade sobre a Coleta de Dados no Site

O cside oferece uma visão clara de quais scripts operam no seu site, quais dados eles acessam e para onde esses dados são enviados. Isso ajuda as equipes a manter registros precisos da coleta de dados e suporta divulgações de privacidade claras e atualizadas.

Minimização de Dados por Meio de Monitoramento Contínuo

À medida que as ferramentas de terceiros mudam ao longo do tempo, elas podem começar a coletar mais dados do que o originalmente pretendido. O cside detecta essas mudanças à medida que acontecem, permitindo que as equipes identifiquem coletas de dados desnecessárias.

Suporte a Salvaguardas de Segurança Razoáveis

A TDPSA exige que as organizações implementem medidas razoáveis para proteger os dados pessoais. O cside monitora comportamentos suspeitos de scripts, alterações não autorizadas e padrões de exfiltração de dados para prevenir vazamentos de dados provenientes de ataques do lado do cliente.

Supervisão de Ferramentas de Terceiros

Muitas falhas de conformidade têm origem em fornecedores terceiros. O cside valida que os scripts de terceiros estão se comportando da forma pretendida dentro das suas expectativas de privacidade.

Documentação e Evidências Prontas para Auditoria

O cside mantém registros detalhados da atividade de scripts, alterações de configuração e comportamento de tratamento de dados. Esses registros fornecem evidências defensáveis nas quais as organizações podem se basear durante auditorias ou investigações regulatórias.

Você pode começar com nosso plano gratuito para sempre ou agendar uma demonstração para saber mais sobre os requisitos do lado do cliente das leis estaduais dos EUA, como a TDPSA.

Growth Marketer Juan Combariza

Researching & writing about client side security.

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

A TDPSA se aplica a empresas que operam no Texas ou oferecem produtos ou serviços a residentes do Texas e processam seus dados pessoais. Ela exclui pequenas empresas, exceto quando vendem dados pessoais sensíveis. Nesse caso, os requisitos de consentimento ainda se aplicam.

Embora não exista um equivalente exato do GDPR no Texas, a TDPSA cumpre um papel semelhante no âmbito estadual. Ela garante direitos de privacidade ao consumidor, regula dados sensíveis e impõe obrigações de segurança e transparência. A aplicação da TDPSA é de responsabilidade exclusiva do Procurador-Geral do Texas.

A primeira grande ação de aplicação da TDPSA foi o processo movido pelo Texas contra a Allstate e a Arity. Esse processo alegou que a Allstate coletou e vendeu dados de localização sensíveis sem aviso ou consentimento adequados. O Texas também moveu grandes ações de privacidade contra o Google por rastreamento e uso de dados não divulgados.

Alguns dos principais requisitos da TDPSA são: divulgações de privacidade claras, consentimento explícito para dados sensíveis, respostas tempestivas a solicitações de direitos do consumidor e mecanismos de opt-out para vendas de dados e publicidade direcionada. A TDPSA também exige salvaguardas de segurança razoáveis e responsabilização de fornecedores e processadores.

As violações da Lei de Privacidade e Segurança de Dados do Texas são aplicadas pelo Procurador-Geral do Texas. A lei não permite que consumidores entrem com ações judiciais privadas, conferindo ao Procurador-Geral autoridade exclusiva para conduzir ações de aplicação.

Monitore e Proteja Seus Scripts de Terceiros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Agende uma demonstração

Comece gratuitamente

Comece grátis, ou experimente o Business com um teste de 14 dias.

Interface do painel cside mostrando monitoramento de scripts e análises de segurança

escudo de segurança cside a monitorizar o percurso do cursor do browser — deteção de agentes de IA na camada do browser

Como Bloquear o OpenAI Operator no Seu Site

O OpenAI Operator navega no seu site como um utilizador real. Aprenda a detectá-lo com sinais da camada do browser e quando não o deve bloquear.

DBSC versus fingerprint de dispositivo: o que a segurança de sessão do Chrome não cobre

O DBSC do Chrome impede o reuso de cookies roubados, mas é só Chrome, pós-login e sem identidade de dispositivo. Veja a fraude que ele deixa.

Detetar e bloquear o Perplexity Shopper no seu site — blog cside

Como bloquear o Perplexity Shopper no seu site

O Perplexity Shopper navega e compra em sites de retalho em nome de utilizadores Pro. Aprenda a detetar os seus sinais e a governar esse tráfego.

Ilustração de um pedido à API da Claude e de uma resposta devolvida que pertence a outro utilizador, marcada como «a resposta não corresponde ao pedido», entre os logótipos da Anthropic e da cside

Quando uma API de IA devolve a resposta de outro utilizador: caches partilhadas e fugas entre clientes

Um incidente na API da Claude parece ter devolvido respostas de outros utilizadores. Porque é que as caches partilhadas causam fugas entre clientes.

Um token de acesso OAuth 2.0 no centro de um diagrama conectando um dispositivo legítimo ao dispositivo de um atacante

Não foi a MFA que falhou, foi o modelo de confiança: device code phishing e roubo de tokens OAuth (Kali365)

O Kali365 abusa da concessão de autorização de dispositivo do OAuth 2.0 para roubar tokens do Microsoft 365 após MFA. Análise técnica do fluxo, FOCI e detecção.

Uma janela de navegador a dissolver-se num fluxo de partículas de luz azul sobre um fundo escuro

A IA está a comprimir o ciclo de exploração: o zero-day desenvolvido por IA da Google e o que isso significa para os navegadores

A Google sinalizou um zero-day que acredita ter sido criado por IA. A verdadeira mudança não é o phishing, é a rapidez com que chega ao navegador.

Tokens de sessão atravessando uma barreira de segurança do navegador em direção a sinais de fingerprint do dispositivo

A sessão do navegador virou um plano de controle de segurança. Os atacantes sabiam disso há anos.

A proposta DBSC do Google valida uma mudança clara: sessões do navegador precisam validar o dispositivo depois do login.

Melhores Soluções de Prevenção Contra Tomada de Conta Comparadas (2026)

Suítes antifraude, ferramentas de fingerprinting e MFA comparadas pelo que cobrem na cadeia de ataque de ATO. Encontre a combinação certa para o seu perfil de risco.

Como Impedir Agentes de IA de Criar Contas Falsas (Guia)

Agentes de IA criam contas falsas usando navegadores reais, IPs residenciais e identidades geradas. Veja os sinais de detecção para impedi-los.

Como Bloquear Bots de Scraping de Conteúdo Baseados em Agentes de IA (Guia)

Bots de scraping usam navegadores reais, IPs residenciais e extração com LLM para capturar seus preços e conteúdo. Veja como pará-los.