¿Qué es la Ley de Protección de la Información de Tennessee?
La Ley de Protección de la Información de Tennessee, comúnmente conocida como TIPA, es una ley estatal diseñada para salvaguardar la información personal de los residentesEstablece reglas para las empresas que manejan dichos datos, incluidas medidas de seguridad, notificación de infracciones, eliminación adecuada y sanciones por incumplimiento. La TIPA entrará en vigor el 1 de julio de 2025.
¿Cómo define la regulación la PII?
La Ley de Protección de la Información de Tennessee define la información personal como cualquier dato vinculado o razonablemente vinculado a una persona física identificada. Esta definición excluye la información pública, anónima o agregada del consumidor.
La TIPA también proporciona una definición de “datos sensibles”, que incluye pero no es información personal que revele origen racial o étnico, creencias religiosas, diagnóstico de salud mental o física, orientación sexual o estado de ciudadanía o inmigración, datos de geolocalización precisos, información personal recopilada de un niño conocido y procesamiento que involucra datos genéticos o biométricos con el propósito de identificar de manera única a una persona física.
Derechos del consumidor en Tennessee
La Ley de Protección de la Información de Tennessee (TIPA) otorga a las personas ciertos derechos en relación con su información personal. Estos derechos incluyen la posibilidad de solicitar la corrección de inexactitudes, la eliminación y el acceso a su información personal. Las personas también pueden optar por no participar en la venta de su información personal, la publicidad dirigida o la elaboración de perfiles para la aplicación de decisiones que tengan efectos legales o de similar importancia para el consumidor. Además, la TIPA exige el consentimiento para el tratamiento de datos sensibles.
Tras recibir una solicitud de un consumidor, los responsables del tratamiento deben responder en un plazo de 45 días, con una posible prórroga de 45 días para solicitudes complejas o numerosas. Similar a las leyes de privacidad en Colorado, Connecticut, Virginia, Ioway IndianaLa TIPA exige que los controladores ofrezcan un proceso de apelación para las solicitudes denegadas, con un plazo de respuesta de 60 días. Si la apelación es denegada, el controlador también debe proporcionar al consumidor un mecanismo en línea, si está disponible, u otro método mediante el cual pueda contactar al fiscal general y al reportero para presentar una queja.
La TIPA no otorga un derecho de acción privado. En cambio, la autoridad de aplicación reside exclusivamente en el Fiscal General de Tennessee, quien puede imponer sanciones civiles de hasta 15.000 T/T por cada infracción, una cantidad superior a la de la mayoría de las demás leyes estatales de privacidad.
La TIPA considera cada disposición infringida y cada consumidor afectado como infracciones independientes, lo que podría resultar en una rápida acumulación de sanciones. En casos de infracciones intencionales o deliberadas, los tribunales pueden conceder el triple de daños. Sin embargo, los infractores tienen un plazo de 60 días para subsanar las infracciones tras recibir la notificación del Fiscal General antes de que se impongan las sanciones.
Violaciones de la TIPA
La Ley de Protección de la Información de Tennessee (TIPA) asigna la Fiscal General de Tennessee (AG) como única autoridad para hacer cumplir sus disposiciones, excluyendo cualquier derecho de acción privada. En caso de una presunta infracción, los responsables y encargados del tratamiento tienen un plazo de 60 días para subsanar el incumplimiento, lo que se distingue de otras leyes estatales de privacidad por su carácter permanente. De no subsanarse dentro de este plazo, el Procurador General podría imponer sanciones civiles de hasta $7,500 por infracción.
RGPD vs TIPA: ¿Cómo se comparan?
TIPA (Ley de Protección de la Información de Tennessee) y RGPD (Reglamento General de Protección de Datos) Son dos leyes de protección de datos distintas con algunas diferencias notables:
- Jurisdicción: TIPA es una ley estatal en Tennessee, EE. UU., mientras que GDPR Es un reglamento completo aplicable a todos los Estados miembros de la UE.
- Alcance: TIPA se centra principalmente en proteger la información personal de los residentes de Tennessee, mientras que el GDPR se aplica a los datos personales de las personas dentro de la UE, independientemente de su residencia.
- Aplicación: La TIPA otorga autoridad de cumplimiento exclusivamente al Fiscal General y al Relator de Tennessee, mientras que el RGPD permite que tanto las autoridades supervisoras como los individuos hagan cumplir sus disposiciones mediante acciones legales.
- Derecho privado de acción: La TIPA no otorga un derecho de acción privado, lo que significa que las personas no pueden demandar directamente por violaciones, mientras que el RGPD permite a las personas buscar recursos legales y buscar compensación por los daños causados por el incumplimiento.
- Periodo de curación: La TIPA incluye un período de derecho a subsanar de 60 días, durante el cual los controladores y procesadores pueden remediar el incumplimiento, mientras que el RGPD no especifica un período de subsanación fijo para las violaciones.
- Sanciones: La TIPA permite al Fiscal General de Tennessee imponer sanciones civiles de hasta $7,500 por violación, mientras que el GDPR impone multas de hasta 20 millones de euros o 4% de la facturación global anual del año financiero anterior, lo que sea mayor.
- Alcance territorial: La TIPA se aplica principalmente a los controladores y procesadores de datos que operan dentro del estado de Tennessee, mientras que el GDPR tiene alcance extraterritorial y afecta a organizaciones fuera de la UE si procesan datos personales de residentes de la UE.
¿Qué pueden hacer las organizaciones para prepararse?
Para prepararse para el cumplimiento de TIPA, las organizaciones pueden seguir estos pasos:
- Familiarícese: Comprenda completamente los requisitos y disposiciones de la Ley de Protección de la Información de Tennessee (TIPA) para identificar cómo se aplica a su organización.
- Realizar una auditoría de datos: Evaluar la información personal que usted recopila, almacena y maneja para determinar qué datos caen bajo el ámbito de competencia de TIPA y garantizar su protección.
- Implementar medidas de seguridad: Establecer medidas de seguridad razonables para salvaguardar la información personal, incluido el cifrado, los controles de acceso, los firewalls y las evaluaciones de seguridad periódicas.
- Desarrollar políticas y procedimientos: Crear políticas y procedimientos integrales de protección de datos que se ajusten a los requisitos de la TIPA. Esto incluye directrices para la notificación de violaciones de datos, la correcta eliminación de datos y los derechos del consumidor.
- Capacitar al personal y supervisar su cumplimiento: Educar a los empleados sobre las disposiciones de TIPA, sus responsabilidades con respecto a la protección de datos y supervisar periódicamente el cumplimiento para garantizar el cumplimiento de los requisitos de la ley.
El enfoque de BigID para el cumplimiento de TIPA
El cumplimiento de la TIPA es un esfuerzo continuo que requiere soluciones flexibles y escalables que se ajusten a las necesidades de su organización. BigID es una plataforma de inteligencia de datos de última generación para privacidad, seguridad, y gobernanza que utiliza aprendizaje automático e IA avanzada para la automatización descubrimiento y clasificación de datos en profundidadEvalúe el riesgo de privacidad y tome medidas proactivas para proteger todos los datos empresariales más confidenciales.
Suite de privacidad de BigID Cuenta con una variedad de herramientas poderosas para ayudar a administrar y rastrear Solicitudes de DSAR, supervisar la gobernanza del consentimiento, realizar evaluaciones de impacto específicas sobre la privacidad y mucho más.
Para un cumplimiento optimizado de la TIPA, Programe hoy una demostración gratuita individual con nuestros expertos en privacidad.
Autor
