Arizona
Leyes de Privacidad Biométrica de Arizona: Recopilación, Consentimiento y Sanciones (2026)

Arizona no cuenta con una ley independiente de privacidad biométrica. La Ley de Notificación de Violación de Datos del estado (A.R.S. 18-551 y 18-552) protege los datos biométricos al exigir que las entidades notifiquen a los residentes dentro de los 45 días si una filtración expone sus datos biométricos junto con su nombre. No existe un derecho de acción privado.
Arizona no cuenta con una ley independiente de privacidad biométrica. A diferencia de Illinois, Texas y Washington, el estado no ha promulgado legislación que regule de manera integral cómo las empresas privadas recopilan, almacenan, usan o comparten identificadores biométricos como huellas dactilares, geometría facial o escaneos de iris.
Lo que Arizona sí tiene es una ley de notificación de filtraciones que incluye los datos biométricos en su definición de información personal protegida, un estatuto de protección de datos biométricos estudiantiles y propuestas legislativas pendientes que podrían ampliar las protecciones. Estas protecciones existentes son limitadas en comparación con los estados que tienen estatutos biométricos dedicados, pero crean obligaciones reales para las empresas que manejan datos biométricos en Arizona.
Esta guía explica el marco legal actual, qué protecciones existen, dónde están las brechas y qué podría cambiar con la legislación propuesta.
Para un contexto más amplio sobre el marco general de privacidad de Arizona, consulte la guía principal sobre las Leyes de Privacidad de Datos de Arizona.
Cómo Define Arizona los Datos Biométricos
La Ley de Notificación de Violación de Datos de Arizona define los datos biométricos conforme a ARS 18-551 como "datos biométricos únicos generados a partir de una medición o análisis de las características del cuerpo humano para autenticar a una persona cuando esta accede a una cuenta en línea."
Esta definición es notablemente limitada. Solo cubre los datos biométricos utilizados para autenticar el acceso a una cuenta en línea. Los datos biométricos utilizados para el control de acceso físico (como un escáner de huellas dactilares en una puerta), el control de horarios (relojes de tiempo con huella dactilar) o la vigilancia (cámaras de reconocimiento facial) quedan fuera de esta definición estatutaria.
La ley exige que los datos biométricos se combinen con el nombre de pila (o la inicial del nombre) y el apellido de una persona para calificar como "información personal" protegida.

Ley de Notificación de Violación de Datos de Arizona (ARS 18-551 y 18-552)
La principal protección biométrica de Arizona proviene de la Ley de Notificación de Violación de Datos, promulgada originalmente en 2006 y modificada significativamente en 2018 por la HB 2154 y nuevamente en 2022 por la HB 2146. Las enmiendas de 2018 añadieron los datos biométricos a la lista de elementos de datos especificados.
Qué Exige la Ley
Cualquier persona que posea, mantenga o tenga licencia sobre datos computarizados no cifrados y no redactados que incluyan información personal de residentes de Arizona debe seguir estos requisitos.
Investigación. Tras descubrir una violación del sistema de seguridad, la entidad debe realizar una investigación razonable para determinar de inmediato si ha ocurrido una filtración que sea razonablemente probable que cause un daño sustancial.
Notificación individual dentro de los 45 días. Si una filtración compromete datos biométricos combinados con el nombre de una persona, la entidad debe notificar a los residentes de Arizona afectados dentro de los 45 días posteriores a determinar que ocurrió una filtración (ARS 18-552).
Notificación al Fiscal General y a las agencias de crédito. Si la filtración afecta a más de 1,000 personas, la entidad debe notificar por escrito al Fiscal General de Arizona y a las tres agencias de informes crediticios más grandes a nivel nacional.
Notificación al Departamento de Seguridad Nacional. Conforme a las enmiendas de 2022, las entidades también deben notificar al Departamento de Seguridad Nacional de Arizona cuando ocurra una filtración que deba reportarse.
Sanciones por Incumplimiento
Una infracción intencional y deliberada de la ley de notificación se clasifica como una práctica ilegal conforme a ARS 44-1522 (la Ley de Fraude al Consumidor de Arizona).
El Fiscal General puede imponer sanciones civiles de hasta $10,000 por persona afectada, o el monto total de la pérdida económica sufrida por las personas afectadas, lo que sea menor. La sanción civil máxima para una sola filtración o serie de filtraciones relacionadas tiene un tope de $500,000.
El Fiscal General también puede recuperar una restitución para las personas afectadas, además de las sanciones civiles.
Solo el Fiscal General puede hacer cumplir las infracciones. El estatuto no crea un derecho de acción privado para las personas.
Exenciones
La ley incluye varias exenciones importantes. Los datos cifrados o redactados quedan excluidos de la definición de información personal. Los requisitos de notificación tampoco se aplican a las personas sujetas al Título V de la Ley Gramm-Leach-Bliley ni a las entidades que mantienen procedimientos de notificación de filtraciones conforme a HIPAA.
Protecciones Biométricas Estudiantiles
Arizona ha promulgado protecciones específicas para los datos biométricos estudiantiles. La versión original de ARS 15-109 exigía a las escuelas proporcionar un aviso por escrito al menos 30 días antes de recopilar información biométrica de los estudiantes y exigía el consentimiento parental por escrito.
El estatuto definía la "información biométrica" de manera amplia como la medición y evaluación electrónica no invasiva de cualquier característica física atribuible a una sola persona, incluidas las características de las huellas dactilares, las características de los ojos, las características de las manos, las características vocales, las características faciales y cualquier otra característica física utilizada para la identificación electrónica.
Estas protecciones de privacidad de datos estudiantiles se han actualizado y consolidado conforme a ARS 15-1046, que establece estándares más amplios de privacidad de datos estudiantiles, incluidas protecciones para la información biométrica recopilada por las escuelas y los proveedores de tecnología educativa.

Qué No Cubre la Ley de Arizona
Las leyes existentes de Arizona dejan brechas significativas en la protección de la privacidad biométrica para los adultos.
No existe un requisito general de consentimiento para adultos. Fuera del contexto escolar, Arizona no exige a las empresas ni a los empleadores obtener consentimiento antes de recopilar datos biométricos de los adultos. Un empleador puede implementar relojes de tiempo con huella dactilar o sistemas de reconocimiento facial sin notificar a los empleados ni obtener su aprobación.
Definición limitada solo para el ámbito en línea. La ley de notificación de filtraciones solo cubre los datos biométricos utilizados para autenticar el acceso a cuentas en línea. Los datos biométricos utilizados para la seguridad física, el control de horarios o la vigilancia quedan fuera del estatuto.
No existen plazos de retención o destrucción. El estado no exige cronogramas específicos de retención ni plazos de destrucción para los datos biométricos en poder de entidades privadas.
No existen restricciones sobre la venta de datos biométricos. Arizona no prohíbe ni restringe la venta o el intercambio de datos biométricos con terceros conforme a la ley vigente.
No existe un derecho de acción privado. No hay ninguna ley estatal que permita a las personas demandar porque una empresa recopiló sus datos biométricos sin consentimiento o no los protegió.
Uso de Datos Biométricos por los Empleadores en Arizona
Arizona no tiene ninguna ley estatal que restrinja a los empleadores de recopilar datos biométricos de sus empleados. Las empresas que operan en Arizona y utilizan escáneres de huellas dactilares para el control de horarios, reconocimiento facial para el acceso a edificios u otros sistemas biométricos no están obligadas por la ley estatal a:
- Proporcionar un aviso por escrito antes de recopilar datos biométricos
- Obtener el consentimiento del empleado
- Establecer políticas de retención o destrucción de datos
- Limitar el intercambio de datos biométricos de los empleados con proveedores o terceros

Esto contrasta marcadamente con Illinois, donde los empleadores enfrentan daños estatutarios de $1,000 a $5,000 por infracción de la Ley de Privacidad de Información Biométrica.
Aun así, los empleadores deben implementar medidas de seguridad razonables. Si ocurre una filtración que expone los datos biométricos de los empleados utilizados para la autenticación de cuentas en línea junto con sus nombres, el empleador debe cumplir con el requisito de notificación de 45 días o enfrentar sanciones de hasta $500,000.
Legislación Pendiente
Arizona ha visto varios intentos legislativos para ampliar las protecciones de privacidad biométrica.
SB 1238 (56.ª Legislatura, 1.ª Sesión Ordinaria). Este proyecto de ley propone una ley integral de identificadores biométricos inspirada en parte en la BIPA de Illinois. Las disposiciones clave exigirían a las entidades privadas desarrollar políticas escritas de retención y destrucción, obtener consentimiento por escrito antes de recopilar identificadores biométricos, prohibir la venta o el lucro con datos biométricos, y exigir la destrucción de los datos dentro de los tres años posteriores a la última interacción de una persona o cuando se cumpla el propósito original. Hasta marzo de 2026, la SB 1238 se ha presentado pero no se ha promulgado.
HB 2478 (54.ª Legislatura). Este proyecto de ley anterior también proponía regular los identificadores biométricos, pero no avanzó hasta convertirse en ley.
Si la SB 1238 se aprueba, acercaría significativamente a Arizona a las protecciones disponibles en Illinois, creando requisitos de consentimiento, límites de retención y restricciones sobre el uso comercial de los datos biométricos.
Protecciones Federales Aplicables en Arizona
Debido a que Arizona carece de una ley integral de privacidad biométrica, los estatutos federales proporcionan protecciones adicionales para los residentes.
La Sección 5 de la Ley de la FTC permite a la Comisión Federal de Comercio tomar medidas de cumplimiento contra las empresas que participen en prácticas desleales o engañosas relacionadas con los datos biométricos.
HIPAA protege los datos biométricos recopilados o utilizados por entidades de atención médica cubiertas y sus asociados comerciales conforme a la Regla de Privacidad.
COPPA exige el consentimiento parental antes de recopilar datos biométricos de niños menores de 13 años, y es aplicada por la FTC.
Cómo Se Compara Arizona con Otros Estados
Arizona se ubica en un nivel inferior entre los estados en cuanto a la protección de la privacidad biométrica. Si bien la inclusión de los datos biométricos en la ley de notificación de filtraciones es significativa, la definición limitada solo para cuentas en línea y la falta de protecciones a nivel de recopilación la colocan por detrás de estados más protectores.
- Illinois tiene la ley biométrica más sólida del país (BIPA), con un derecho de acción privado y daños estatutarios de $1,000 a $5,000 por infracción
- Texas y Washington tienen estatutos específicos sobre datos biométricos que sus fiscales generales hacen cumplir
- Los estados con leyes integrales de privacidad (Colorado, Connecticut, Virginia) clasifican los datos biométricos como sensibles y exigen consentimiento de inclusión voluntaria (opt-in)
- Arizona protege los datos biométricos únicamente a través de una ley de notificación de filtraciones de alcance limitado y de estándares de privacidad de datos estudiantiles
More Arizona Laws
- Arizona AI Meeting Recording Laws
- Arizona Alimony Laws
- Arizona At-Will Employment Laws
- Arizona Car Accident Laws
- Arizona Car Seat Laws
- Arizona Child Custody Laws
- Arizona Child Support Laws
- Arizona Common Law Marriage Laws
- Arizona Deepfake Laws
- Arizona Divorce Laws
- Arizona Dog Bite Laws
- Arizona Emancipation Laws
- Arizona Expungement Laws
- Arizona Hit and Run Laws
- Arizona Landlord-Tenant Laws
- Arizona Lemon Laws
Este artículo ofrece información legal general sobre las leyes de privacidad biométrica de Arizona. No constituye asesoría legal. Las leyes y regulaciones cambian con frecuencia, y este contenido puede no reflejar los desarrollos más recientes. Consulte a un abogado calificado con licencia en Arizona para obtener asesoría sobre su situación específica.
¿Afectado por una filtración de datos o una violación de privacidad biométrica?
Si sus datos personales quedaron expuestos en una filtración, o si su huella dactilar o escaneo facial se recopiló sin su consentimiento, podría ser elegible para unirse a un reclamo por compensación. Averígüelo gratis y sin compromiso.
Fuentes y referencias
- ARS 18-551, definiciones que incluyen datos biométricos(azleg.gov).gov
- ARS 18-552, requisitos de notificación de filtraciones, cumplimiento y sanciones civiles(azleg.gov).gov
- Preguntas Frecuentes sobre Notificación de Filtraciones del Fiscal General de Arizona(azag.gov).gov
- Formulario de Notificación de Filtraciones del Fiscal General de Arizona(azag.gov).gov
- HB 2154 (2018), ampliación de las definiciones de notificación de filtraciones(azleg.gov).gov
- HB 2146 (2022), enmienda de los requisitos de notificación de filtraciones(azleg.gov).gov
- ARS 15-1046, protecciones de privacidad de datos estudiantiles(azleg.gov).gov
- SB 1238, ley propuesta de privacidad de identificadores biométricos(azleg.gov).gov
- Autoridad de cumplimiento de la Sección 5 de la Ley de la FTC(ftc.gov).gov
- Regla de Privacidad de HIPAA(hhs.gov).gov
- Regla COPPA sobre privacidad infantil en línea(ftc.gov).gov