Alabama
Leyes de Privacidad Biométrica de Alabama: Recopilación, Consentimiento y Sanciones (2026)

Alabama no tiene una ley independiente de privacidad biométrica y no exige consentimiento antes de recopilar huellas dactilares, escaneos faciales u otros identificadores biométricos. Existe una protección limitada conforme a la Ley de Notificación de Violación de Datos (Ala. Code 8-38-1 y siguientes), que exige a las entidades cubiertas notificar a los residentes dentro de 45 días si una violación expone datos biométricos junto con su nombre.
Alabama no tiene una ley independiente de privacidad biométrica. A diferencia de Illinois, Texas y Washington, el estado no ha promulgado legislación que regule específicamente cómo las empresas privadas recopilan, almacenan, usan o comparten identificadores biométricos como huellas dactilares, geometría facial o escaneos de iris.
Lo que Alabama sí tiene es una ley de notificación de violaciones que incluye los datos biométricos en su definición de información personal sensible identificable protegida. Esta protección es limitada en comparación con los estados que cuentan con leyes biométricas dedicadas, pero crea obligaciones reales para las empresas que manejan datos biométricos en Alabama.
Esta guía explica el marco legal actual, qué protecciones existen, dónde están las brechas y qué podría cambiar.
Para un contexto más amplio sobre el marco general de privacidad de Alabama, consulte la guía principal de Leyes de Privacidad de Datos de Alabama.
Cómo define Alabama los datos biométricos
La Ley de Notificación de Violación de Datos de Alabama define los datos biométricos conforme al Ala. Code 8-38-2 como los datos generados por mediciones electrónicas de las características físicas únicas de una persona, utilizadas para autenticar o determinar su identidad. Los ejemplos enumerados en la ley incluyen huellas dactilares, huellas de voz e imágenes de retina o iris.
Esta definición es más restringida que la utilizada por estados como Illinois. Solo cubre los datos biométricos utilizados con fines de autenticación o verificación de identidad. Los datos biométricos recopilados para otros usos, como cámaras de vigilancia que utilizan reconocimiento facial para analizar el tránsito peatonal, pueden quedar fuera de esta definición.
La ley también exige que los datos biométricos estén acompañados del nombre (o la inicial del nombre) y el apellido de una persona para calificar como "información personal sensible identificable" protegida.
Ley de Notificación de Violación de Datos de Alabama de 2018 (Ala. Code 8-38-1 y siguientes)
La principal protección biométrica de Alabama proviene de la Ley de Notificación de Violación de Datos de 2018, promulgada como la Ley 2018-396. Esta ley estuvo entre las últimas leyes estatales de notificación de violaciones promulgadas en Estados Unidos. Alabama y Dakota del Sur fueron los dos últimos estados en adoptar requisitos de notificación de violaciones.
Cualquier entidad cubierta que adquiera o use información personal sensible identificable de residentes de Alabama debe cumplir con varios requisitos conforme a esta ley.
Qué exige la ley
Medidas de seguridad razonables. Las entidades cubiertas deben implementar y mantener medidas de seguridad razonables para proteger la información personal sensible identificable contra una violación de seguridad (Ala. Code 8-38-3).
Investigación de buena fe. Después de descubrir o ser notificada de una violación, una entidad cubierta debe realizar una investigación de buena fe y oportuna para determinar la probabilidad de que la información haya sido o vaya a ser utilizada de manera indebida.
Notificación individual dentro de 45 días. Si una violación compromete datos biométricos combinados con el nombre de una persona y es razonablemente probable que cause un daño sustancial, la entidad debe notificar a los residentes afectados de Alabama tan pronto como sea posible, pero a más tardar 45 días después de determinar que ocurrió una violación (Ala. Code 8-38-5).
Notificación al Fiscal General. Si la violación afecta a más de 1,000 personas, la entidad también debe notificar al Fiscal General de Alabama dentro de 45 días.
Notificación de agentes externos. Los agentes externos que mantienen datos en nombre de una entidad cubierta deben notificar a esa entidad dentro de los 10 días posteriores a descubrir una violación.
Sanciones por incumplimiento
Una entidad cubierta que no cumpla con los requisitos de notificación enfrenta sanciones conforme al Ala. Code 8-38-9.
Las sanciones civiles pueden alcanzar hasta $5,000 por día por cada día consecutivo en que la entidad no tome medidas razonables para cumplir con los requisitos de notificación. La sanción civil total tiene un límite de $500,000 por violación.
Una infracción de la Ley constituye una práctica comercial ilícita conforme a la Ley de Prácticas Comerciales Engañosas de Alabama (Ala. Code 8-19-1 y siguientes).
El Fiscal General de Alabama tiene la autoridad exclusiva para iniciar acciones de aplicación por sanciones civiles y para reclamar daños en nombre de personas identificadas. La recuperación en dichas acciones se limita a los daños reales más los honorarios de abogados y costos razonables.
Sin derecho de acción privado
La ley de notificación de violaciones de Alabama no crea una causa de acción privada. Las personas no pueden demandar directamente a una entidad cubierta conforme a esta ley por no proporcionar una notificación oportuna. Solo el Fiscal General puede iniciar acciones de aplicación.
Esta es una distinción importante respecto a estados como Illinois, donde la BIPA otorga a las personas el derecho a demandar y recuperar daños estatutarios de $1,000 a $5,000 por infracción.
Exenciones
La ley incluye varias exenciones. La información que ha sido encriptada, asegurada o modificada por cualquier método o tecnología que elimine los elementos de identificación personal o que la inutilice queda excluida de la definición de información personal sensible identificable.
Las instituciones financieras que cumplen con la Ley Gramm-Leach-Bliley y las entidades que cumplen con la HIPAA se consideran conformes con los requisitos de seguridad de Alabama.
Lo que la ley de Alabama no cubre
Las leyes actuales de Alabama dejan brechas significativas en la protección de la privacidad biométrica.
Sin requisito general de consentimiento. Alabama no exige que las empresas o los empleadores obtengan consentimiento antes de recopilar datos biométricos de adultos. Un empleador puede implementar relojes de asistencia con huella dactilar o sistemas de reconocimiento facial sin notificar a los empleados ni obtener su aprobación.
Sin plazos de retención o destrucción. El estado no exige cronogramas específicos de retención o destrucción para los datos biométricos en poder de entidades privadas.
Sin restricciones sobre la venta de datos biométricos. Alabama no prohíbe ni restringe la venta o el intercambio de datos biométricos con terceros.
Sin derecho de acción privado por prácticas de recopilación. No existe ninguna ley estatal que permita a las personas demandar porque una empresa recopiló sus huellas dactilares o escaneos faciales sin consentimiento.
Sin restricciones para las fuerzas del orden. Alabama no ha promulgado límites al uso gubernamental o policial del reconocimiento facial u otras tecnologías de vigilancia biométrica.
Uso de datos biométricos por parte de empleadores en Alabama
Alabama no tiene ninguna ley estatal que restrinja a los empleadores de recopilar datos biométricos de sus empleados. Las empresas que operan en Alabama y utilizan escáneres de huellas dactilares para el control de asistencia, reconocimiento facial para el acceso a edificios, u otros sistemas biométricos no están obligadas por la ley estatal a:
- Proporcionar aviso por escrito antes de recopilar datos biométricos
- Obtener el consentimiento del empleado
- Establecer políticas de retención o destrucción de datos
- Limitar el intercambio de datos biométricos de los empleados con proveedores o terceros
Esto contrasta fuertemente con Illinois, donde los empleadores enfrentan daños estatutarios de $1,000 a $5,000 por infracción de la Ley de Privacidad de la Información Biométrica.
Dicho esto, los empleadores deben implementar medidas de seguridad razonables para los datos biométricos. Si ocurre una violación que expone datos biométricos de empleados junto con sus nombres, el empleador debe cumplir con el requisito de notificación de 45 días o enfrentar sanciones de hasta $500,000.
Legislación pendiente
Alabama ha experimentado actividad legislativa que podría ampliar las protecciones biométricas.
SB272 (Sesión Ordinaria de 2026). Este proyecto de ley, presentado por el Senador Orr, propone enmiendas al marco de protección de datos de Alabama. A marzo de 2026, la SB272 ha sido aprobada en su forma definitiva por una cámara, pero no ha sido promulgada como ley.
HB283 (Sesión Ordinaria de 2025). Este proyecto de ley proponía la Ley de Protección de Datos Personales de Alabama, que habría creado un marco integral de privacidad del consumidor. El proyecto fue presentado, pero no avanzó hasta convertirse en ley.
Ninguno de los dos proyectos ha sido promulgado. Si se aprueba una ley integral de privacidad en Alabama, podría acercar al estado a los marcos adoptados por estados como Colorado, Connecticut y Virginia, que clasifican los datos biométricos como información sensible que requiere consentimiento afirmativo.
Protecciones federales aplicables en Alabama
Debido a que Alabama carece de una ley integral de privacidad biométrica, las leyes federales proporcionan protecciones adicionales para los residentes.
La Sección 5 de la Ley de la FTC permite a la Comisión Federal de Comercio tomar medidas de aplicación contra empresas que incurren en prácticas desleales o engañosas relacionadas con datos biométricos, incluidas las fallas en asegurar la información biométrica.
La HIPAA protege los datos biométricos recopilados o utilizados por entidades de atención médica cubiertas y sus asociados comerciales conforme a la Regla de Privacidad.
La COPPA exige el consentimiento parental antes de recopilar datos biométricos de menores de 13 años, y es aplicada por la FTC.
Cómo se compara Alabama con otros estados
Alabama se ubica en un nivel inferior entre los estados en cuanto a la protección de la privacidad biométrica. Si bien la inclusión de los datos biométricos en la ley de notificación de violaciones es significativa, el estado carece de las protecciones a nivel de recopilación que se encuentran en los estados más protectores.
- Illinois tiene la ley biométrica más sólida del país (BIPA), con un derecho de acción privado y daños estatutarios de $1,000 a $5,000 por infracción
- Texas y Washington cuentan con leyes específicas sobre biometría aplicadas por sus fiscales generales
- Los estados con leyes integrales de privacidad (Colorado, Connecticut, Virginia) clasifican los datos biométricos como sensibles y requieren consentimiento expreso (opt-in)
- Alabama protege los datos biométricos únicamente mediante la notificación de violaciones y la aplicación general de las leyes de prácticas comerciales desleales
Más leyes de Alabama
- Leyes de Grabación de Reuniones con IA de Alabama
- Leyes de Pensión Alimenticia de Alabama
- Leyes de Empleo a Voluntad de Alabama
- Leyes de Accidentes de Auto de Alabama
- Leyes de Asientos de Seguridad para Niños de Alabama
- Leyes de Custodia de los Hijos de Alabama
- Leyes de Manutención de los Hijos de Alabama
- Leyes de Matrimonio de Hecho de Alabama
- Leyes de Deepfake de Alabama
- Leyes de Divorcio de Alabama
- Leyes de Mordedura de Perro de Alabama
- Leyes de Emancipación de Alabama
- Leyes de Eliminación de Antecedentes de Alabama
- Leyes de Atropello y Fuga de Alabama
- Leyes de Propietarios e Inquilinos de Alabama
- Leyes Limón de Alabama
Este artículo proporciona información legal general sobre las leyes de privacidad biométrica de Alabama. No constituye asesoría legal. Las leyes y regulaciones cambian con frecuencia, y este contenido puede no reflejar los desarrollos más recientes. Consulte a un abogado calificado con licencia en Alabama para obtener asesoría sobre su situación específica.
¿Afectado por una filtración de datos o una violación de privacidad biométrica?
Si sus datos personales quedaron expuestos en una filtración, o si su huella dactilar o escaneo facial se recopiló sin su consentimiento, podría ser elegible para unirse a un reclamo por compensación. Averígüelo gratis y sin compromiso.
Fuentes y referencias
- Ala. Code 8-38-2, definiciones que incluyen datos biométricos(alisondb.legislature.state.al.us).gov
- Ley de Notificación de Violación de Datos de Alabama de 2018 (Ley 2018-396)(alabamaag.gov).gov
- Ala. Code 8-38-5, requisitos de notificación individual de violaciones(law.justia.com)
- Ala. Code 8-38-9, sanciones por infracción de hasta $500,000 por violación(law.justia.com)
- Página de notificación de violación de datos del Fiscal General de Alabama(alabamaag.gov).gov
- SB272 de Alabama (Sesión Ordinaria de 2026)(alison.legislature.state.al.us).gov
- HB283 de Alabama, Ley de Protección de Datos Personales (2025)(alison.legislature.state.al.us).gov
- Autoridad de aplicación de la Sección 5 de la Ley de la FTC(ftc.gov).gov
- Regla de Privacidad de la HIPAA(hhs.gov).gov
- Regla de la COPPA sobre la privacidad infantil en línea(ftc.gov).gov