Beancount.io LogoBeancount.io

Llei de Privacitat de Dades de Texas i el mosaic de 20 estats: un manual de compliment per al 2026

15 minuts de lecturaMike ThriftMike Thrift
Llei de Privacitat de Dades de Texas i el mosaic de 20 estats: un manual de compliment per al 2026

En el moment que hàgiu acabat de llegir aquesta frase, en algun lloc dels Estats Units un consumidor acaba de fer clic a "No vinguis ni comparteixis la meva informació personal". Si la vostra empresa gestiona un lloc web, publica anuncis o emmagatzema adreces de correu electrònic de clients, aquest simple clic ja podria obligar-vos segons una o més de les vint lleis integrals de privadesa estatals que actualment estan en vigor a tot el país — i la majoria de propietaris de petites empreses no en tenen ni idea.

La Llei de Privadesa i Seguretat de Dades de Texas (TDPSA) va entrar en vigor l'1 de juliol de 2024, i Texas es va convertir en l'estat més poblat sense una llei de privadesa integral que finalment n'adoptava una. Però la TDPSA no és l'única història. A partir del 2026, vint estats tenen lleis de privadesa del consumidor integrals actives, dotze estats requereixen el reconeixement de senyals d'opt-out universal com el Global Privacy Control (GPC), i tres lleis totalment noves —Indiana, Kentucky i Rhode Island— van entrar en vigor l'1 de gener de 2026. Els períodes de cura que van donar a les lleis dels primers estats els seus rodetes d'aprenentatge s'estan eliminant al llarg del 2026, el que significa que l'aplicació està a punt de tornar-se més estricta.

Aquesta guia explica el que realment cal fer el 2026 per mantenir els reguladors lluny de la vostra porta — sense haver de comprar un programa de privadesa de cinquanta mil dòlars que no necessiteu.

Per què Texas importa més del que creieu

La llei de privadesa de Texas té una peculiaritat que la fa diferent de qualsevol altra llei estatal: no li importa quants diners guanyeu ni quants registres tingueu. Només li importa si compliu la definició de petita empresa de l'Administració de la Petita Empresa dels EUA (SBA) — generalment menys de 500 empleats, amb límits d'ingressos específics segons el sector.

La majoria de les lleis de privadesa estatals (CCPA de Califòrnia, VCDPA de Virgínia, CPA de Colorado, CTDPA de Connecticut) vinculen l'aplicabilitat a llindars numèrics: 100.000 consumidors, o 25.000 consumidors si més de la meitat dels vostres ingressos prové de la venda de dades personals, o uns ingressos bruts anuals de més de 25 milions de dòlars. La TDPSA descarta aquests llindars.

Això crea una inversió estranya. Una empresa de SaaS amb seu a Texas de mida mitjana amb 600 empleats i ingressos modests pot estar totalment subjecta a la TDPSA, mentre que una startup de Califòrnia amb ingressos alts i 30 empleats podria estar exempta sota el llindar de la SBA però subjecta sota la prova d'ingressos de la CCPA. Si feu negocis en ambdós estats, no podeu triar el més amable — heu de complir amb el que s'apliqui al consumidor que fa la sol·licitud.

L'exempció de dades sensibles de la TDPSA que no ho és

Aquí ve la part enganyosa. Encara que la vostra empresa es qualifiqui com a petita empresa segons els estàndards de mida de la SBA i estigui exempta de la TDPSA, encara heu d'obtenir el consentiment del consumidor abans de vendre dades personals sensibles. Per tant, "exempt" no vol dir "feu el que vulgueu". Si veneu adreces de correu electrònic vinculades a interessos de salut, afiliacions religioses, geolocalització precisa o identificadors biomètrics, necessiteu el consentiment previ (opt-in) independentment de la mida.

El mapa de compliment dels 20 estats

El 2026, les lleis de privadesa integrals estaran en vigor o a punt d'entrar en vigor a: Califòrnia, Virgínia, Colorado, Connecticut, Utah, Iowa, Indiana, Tennessee, Montana, Oregon, Texas, Delaware, New Hampshire, Nova Jersey, Kentucky, Minnesota, Maryland, Rhode Island, Nebraska i Maryland (Llei de Privadesa de Dades en Línia).

La majoria d'aquestes lleis segueixen una estructura del "model de Virgínia": drets d'accés, rectificació, supressió, portabilitat i exclusió voluntària, a més de les obligacions del responsable del tractament quant a avisos, minimització de dades i límits de tractament. Califòrnia es troba en la seva pròpia illa amb la cobertura més àmplia per a empleats i B2B de la CCPA/CPRA i les regulacions úniques d'auditoria de ciberseguretat i presa de decisions automatitzada.

La conclusió pràctica: construïu per al denominador comú més estricte, no per a cada estat de manera aïllada. Un programa de privadesa ajustat als requisits de Califòrnia, Colorado i Texas inclourà les obligacions de les altres 17 lleis estatals.

Drets dels consumidors que heu de respectar en quaranta-cinc dies

En gairebé totes les lleis estatals, els consumidors tenen els mateixos drets fonamentals:

  • Accés — poden preguntar quines dades personals teniu sobre ells.
  • Rectificació — poden exigir que corregiu les dades inexactes.
  • Supressió — poden exigir que suprimiu les seves dades (amb excepcions per a requeriments legals, prevenció de frau, ús intern).
  • Portabilitat — poden demanar una còpia llegible per màquina.
  • Exclusió voluntària (opt-out) de venda, publicitat dirigida i perfils — tres drets d'exclusió diferents agrupats en la majoria dels estats.

La majoria de les lleis us donen 45 dies per respondre, amb una pròrroga de 45 dies quan sigui raonablement necessari. La CCPA de Califòrnia dóna 45 dies amb una pròrroga de 45 dies. Texas dóna 45 dies amb una pròrroga de 45 dies. Necessiteu un flux de treball de sol·licitud autenticat que rebi, verifiqui, compleixi i registri — i el necessiteu per escalar més enllà d'una única bústia de correu electrònic legal desbordada.

Què significa "autenticat" a la pràctica

No es pot acceptar una sol·licitud sense verificar-la. Si algú envia un correu electrònic dient "elimina totes les meves dades", cal verificar que aquesta persona és realment el titular de les dades. Els enfocaments de verificació habituals inclouen:

  • Confirmar la sol·licitud des de l'inici de sessió d'un compte.
  • Contrastar la informació enviada amb els registres d'arxiu.
  • Enviar un correu electrònic de confirmació amb un codi d'un sol ús.
  • Requerir una declaració jurada davant de notari per a sol·licituds d'alt risc (poc freqüent; reservat per a casos on la pèrdua de dades seria catastròfica).

No autenticar les sol·licituds crea dos riscos: suprimir dades d'un suplantador (un atac de supressió) o revelar dades personals a la persona equivocada (una bretxa de confidencialitat). Ambdós casos són infraccions.

El Control de Privadesa Global: un únic senyal de navegador que activa dotzenes de lleis

El canvi de compliment tècnic més important per al 2026 és el Global Privacy Control (GPC). És un senyal a nivell de navegador que indica automàticament a cada lloc web que visita un usuari: "Vull autoexcloure'm de la venda o compartició de la meva informació personal".

Per l'1 de gener de 2026, dotze estats exigeixen que les empreses respectin el GPC com una sol·licitud d'autoexclusió vàlida: Califòrnia, Colorado, Connecticut, Montana, Nebraska, Nou Hampshire, Nova Jersey, Minnesota, Maryland, Delaware, Oregon i Texas. Alguns d'aquests estats han anomenat explícitament el GPC; d'altres simplement requereixen el reconeixement de qualsevol "mecanisme d'autoexclusió universal", i el GPC n'és la implementació dominant.

Què significa això tècnicament: el vostre lloc web ha de llegir la capçalera HTTP Sec-GPC (o l'equivalent de l'API de navegació) a cada sol·licitud i, quan detecti el senyal, suprimir les vendes de dades, la publicitat de comportament entre contexts i la compartició — sense preguntar a l'usuari. Sense baner de galetes. Sense clics addicionals. Simplement suprimir.

Califòrnia ha afegit un requisit de visualització per al 2026: les empreses han d'indicar visiblement si s'ha processat el senyal de preferència d'autoexclusió del consumidor. Un indicador de "Sol·licitud d'autoexclusió acceptada" a la pàgina s'està convertint en l'estàndard emergent. Si ometeu això, un regulador (o un demandant en sèrie) pot argumentar que no heu notificat que l'autoexclusió ha estat acceptada.

La trampa del flux d'Adtech

Aquí és on fallen la majoria d'empreses. Respectar el GPC a nivell de pàgina és fàcil. Respectar-lo a través de tota la vostra pila tecnològica publicitària posterior — Google Ads, Meta Pixel, TikTok Pixel, LinkedIn Insight Tag i cada proveïdor de remàrqueting dinàmic — és difícil. Cadascun d'aquests proveïdors té el seu propi senyal, marcador d'autoexclusió o paràmetre de píxel que heu de configurar quan es detecta el GPC. Si en descuideu un, continuareu compartint dades amb aquest proveïdor infringint la llei estatal.

Auditeu el vostre gestor d'etiquetes. Per a cada proveïdor que s'activi al vostre lloc, documenteu com respecta el GPC. No us fieu de les afirmacions de màrqueting: feu proves amb un navegador que tingui el GPC activat i un analitzador de xarxa.

Dades sensibles: cal consentiment d'acceptació (Opt-In)

En gairebé totes les lleis estatals, el tractament de dades personals sensibles requereix un consentiment d'acceptació afirmatiu. Les dades sensibles solen incloure:

  • Números de la Seguretat Social, números del permís de conduir, números de passaport, credencials de comptes financers.
  • Dades biomètriques utilitzades per identificar una persona.
  • Informació de salut i mèdica no coberta per la HIPAA.
  • Geolocalització precisa (sovint definida com a un radi de 1.750 peus o similar).
  • Origen racial o ètnic.
  • Creences religioses.
  • Orientació sexual, identitat de gènere.
  • Ciutadania o estatus migratori.
  • Dades personals de menors (menors de 13 anys, a vegades menors de 16).

El consentiment ha de ser lliure, específic, informat i inequívoc. Les caselles marcades prèviament no compten. Incloure el consentiment dins d'una acceptació general dels termes del servei no compta. Les clàusules ocultes no compten. Si tracteu dades sensibles, necessiteu un flux de consentiment dedicat amb un llenguatge clar i un registre de com, quan i on es va obtenir el consentiment.

Acords de tractament de dades: els contractes amb proveïdors són ara un requisit de compliment

Totes les lleis estatals de privadesa exigeixen que les empreses que comparteixen dades personals amb tercers proveïdors (anomenats "encarregats del tractament" o "proveïdors de serveis") signin un contracte per escrit — un Acord de Tractament de Dades (DPA, per les seves sigles en anglès) — que reguli aquestes dades.

Un DPA que compleixi la normativa el 2026 ha de:

  1. Especificar la naturalesa, la finalitat i la durada del tractament.
  2. Identificar els tipus de dades i les categories de consumidors implicats.
  3. Obligar l'encarregat a deures de confidencialitat.
  4. Requerir que l'encarregat ajudi amb les sol·licituds de drets dels consumidors.
  5. Requerir que l'encarregat elimini o retorni les dades en finalitzar el contracte.
  6. Permetre auditories i exigir el compliment dels mateixos deures per part dels subencarregats.
  7. Restringir les transferències internacionals i imposar obligacions de seguretat.

Si utilitzeu eines SaaS — Stripe, HubSpot, Mailchimp, Intercom, Slack, AWS, Google Workspace — necessiteu tenir els DPA arxivats amb tots ells. La majoria dels grans proveïdors ofereixen DPA d'acceptació amb un clic. L'error sol ocórrer amb eines de nínxol, autònoms, contractistes i integracions puntuals que ningú va considerar "proveïdors".

Avaluacions de protecció de dades: quan cal documentar el risc

La majoria de les lleis estatals requereixen Avaluacions de Protecció de Dades (DPA — de manera confusa, les mateixes sigles en anglès que per a l'Acord de Tractament de Dades) per a activitats de tractament que presentin un risc elevat. Les activitats que les activen inclouen:

  • Tractament per a publicitat dirigida.
  • Venda de dades personals.
  • Elaboració de perfils que produeixin efectes jurídics o significatius de manera similar.
  • Tractament de dades sensibles.
  • Qualsevol tractament que presenti un risc elevat de dany.

Texas, Virgínia, Colorado, Connecticut i altres estats les exigeixen. L'avaluació ha de sopesar els beneficis per al responsable del tractament, el consumidor, el públic i l'encarregat davant dels riscos per al consumidor, amb les mitigacions documentades. Arxiveu-les. Els reguladors poden sol·licitar-les mitjançant requeriment judicial durant una investigació.

El precipici del període de rectificació: Per què el 2026 és diferent

Les primeres lleis estatals de privadesa incloïen disposicions sobre el "dret a rectificar": un període de gràcia de 30 o 60 dies després que un regulador emetés un avís d'infracció, durant el qual l'empresa podia solucionar el problema abans que s'apliqués cap sanció. Això es va dissenyar com unes rodetes d'aprenentatge.

El 2026, aquestes rodetes d'aprenentatge desapareixen. Els períodes de rectificació finalitzen al llarg de 2026 a Connecticut, Delaware, Kentucky, Minnesota i Montana. La flamant llei de Rhode Island directament no preveia cap període de rectificació des del principi. El període de rectificació de Califòrnia va expirar fa anys.

Texas ha mantingut el seu període de rectificació de 30 dies sense data de finalització, la qual cosa és inusualment generosa. Però les sancions després d'aquesta finestra de 30 dies són de fins a 7.500 $ per infracció. En les reclamacions de privadesa dels consumidors, "per infracció" sovint significa per cada consumidor afectat; multipliqueu això per la vostra base de dades de clients i els números es disparen ràpidament.

Vincular el compliment de la privadesa amb la vostra comptabilitat

El compliment de la privadesa afecta les finances més del que la majoria d'operadors creuen. Tres àrees en particular:

Assignació de costos de proveïdors. Els proveïdors de compliment de privadesa —plataformes de gestió de consentiment, eines de compliment de DSAR, serveis de verificació d'identitat, honoraris d'assessoria en privadesa— són despeses operatives que hauríeu de rastrejar per separat per poder informar del cost de compliment a la vostra junta i prendre decisions de ROI sobre quines lleis complir amb escreix versus on acceptar el risc.

Reserva per a filtracions. La majoria de les lleis estatals no exigeixen explícitament reservar fons per a possibles filtracions, però si processeu dades sensibles a escala, crear una reserva per a passius contingents és una bona pràctica. Fins i tot les filtracions petites generen costos de notificació, ofertes de monitoratge de crèdit i tarifes d'investigació forense que poden arribar a les sis xifres.

Documentació de l'assegurança. Les asseguradores de ciberresponsabilitat exigeixen cada cop més documentació del vostre programa de privadesa —polítiques escrites, inventari de DPA, proves d'implementació de GPC, registres de resposta a DSAR— en el moment de la renovació. Mantenir registres nets pot marcar la diferència en les primes.

Una comptabilitat precisa amb un pla de comptes clar que segregui els costos de compliment de la privadesa, les despeses de proveïdors i les reserves de resposta a incidents fa que les revisions anuals del pressupost, els informes de la junta i les renovacions d'assegurances siguin molt menys doloroses.

L'estructura pràctica de compliment per al 2026

Si esteu començant de zero, aquest és el programa de privadesa mínim viable per a una petita o mitjana empresa dels EUA el 2026:

  1. Identifiqueu quines lleis s'apliquen. Mapegeu la vostra base de clients, plantilla i ingressos amb els llindars d'aplicabilitat de cada estat.
  2. Publiqueu un únic avís de privadesa consolidat que satisfaci la llei aplicable més estricta. Incloeu divulgacions de dades sensibles, divulgacions de venda/intercanvi, finalitats del tractament, períodes de retenció, drets dels consumidors i un canal de contacte.
  3. Creeu un flux de treball DSAR. Trieu una eina (o un procés estructurat de correu electrònic i full de càlcul si sou petits) que rebi, autentiqui, compleixi i registri les sol·licituds en un termini de 45 dies.
  4. Implementeu el respecte al GPC. Llegiu el senyal a nivell de pàgina. Suprimiu els proveïdors de vendes i publicitat dirigida quan estigui activat. Mostreu un indicador de "renúncia respectada" si teniu trànsit de Califòrnia.
  5. Signeu DPA amb cada proveïdor. Inventarieu tots els proveïdors. Signeu el DPA (Acord de Tractament de Dades). Guardeu-lo on el pugueu trobar.
  6. Realitzeu DPA per a tractaments d'alt risc. Documenteu cadascun d'ells. Arxiveu-los.
  7. Establiu un flux de consentiment de dades sensibles amb una acceptació afirmativa (opt-in) i proves registrades.
  8. Documenteu el vostre programa de seguretat. La majoria de les lleis estatals exigeixen una seguretat "raonable". El que es considera raonable són polítiques escrites, controls d'accés, xifratge en trànsit i en repòs, gestió de vulnerabilitats i procediments de resposta a incidents.

Errors comuns que cometen les petites empreses

  • Assumir que l'exempció per a petites empreses de l'SBA us eximeix completament de la TDPSA. No és així; el tractament de dades sensibles encara requereix consentiment.
  • Tractar els bàners de galetes com un programa de privadesa. Els bàners són una tàctica. No substitueixen els processos DSAR, els DPA o el respecte al GPC.
  • Ignorar la transferència d'obligacions als proveïdors. Els vostres DPA amb els proveïdors han d'exigir que aquests traslladin les obligacions als seus sots-processadors. La majoria dels DPA estàndard ho cobreixen, però llegiu-los abans de signar.
  • Tractar les renúncies (opt-outs) com a decisions de màrqueting. Respectar una renúncia és un requisit legal, no una preferència. Atureu el flux de dades encara que això perjudiqui el rendiment del retargeting.
  • Deixar que els períodes de rectificació expirin abans d'actuar. Si rebeu un avís d'infracció, teniu una finestra de temps limitada. Actueu immediatament, documenteu la rectificació i obteniu una confirmació per escrit del regulador.

Mantingueu els vostres registres de compliment nets des del primer dia

A mesura que construïu un programa de compliment de privadesa a través del mosaic multiestatal, acumulareu factures de proveïdors, honoraris de consultors, primes d'assegurances i costos de resposta a incidents que caldrà rastrejar, categoritzar i informar. Beancount.io ofereix una comptabilitat en text pla que us proporciona una transparència total i control de versions sobre les vostres dades financeres, fent que els informes anuals de la junta, les renovacions d'assegurances i les anàlisis dels costos de compliment siguin dràsticament més fàcils que haver de lluitar amb un llibre major tancat o opac. Comenceu de franc i descobriu per què desenvolupadors, professionals de les finances i operadors conscients de la privadesa confien en la comptabilitat en text pla per als seus llibres de negoci.