Arkansas
Leyes de Privacidad Biométrica de Arkansas: Recopilación, Consentimiento y Sanciones (2026)

Arkansas no cuenta con una ley independiente de privacidad biométrica. La Ley de Protección de Información Personal del estado (Ark. Code Ann. 4-110-101 y siguientes) clasifica los datos biométricos como información personal protegida, pero las obligaciones se limitan a la notificación de filtraciones y la seguridad de los datos. El Fiscal General hace cumplir las infracciones; los consumidores individuales no tienen un derecho de acción privado.
Arkansas adopta un enfoque centrado en las filtraciones para la privacidad biométrica. En lugar de regular cómo las empresas recopilan, almacenan o usan los identificadores biométricos, el estado trata los datos biométricos como una categoría de información personal protegida dentro de su marco existente de notificación de filtraciones. Si su organización maneja huellas dactilares, datos de reconocimiento facial u otros identificadores biométricos pertenecientes a residentes de Arkansas, necesita entender qué exige la ley y dónde están las brechas.
Para obtener un panorama completo de los requisitos de protección de datos de Arkansas, consulte la guía principal sobre las Leyes de Privacidad de Datos de Arkansas.
Cómo Define Arkansas los Datos Biométricos
Arkansas Code Ann. 4-110-103(1) define los "datos biométricos" como datos generados por mediciones automáticas de las características biológicas de una persona. El estatuto enumera ejemplos específicos, entre ellos:
- Huellas dactilares
- Huellas faciales
- Escaneos de retina
- Escaneos de iris
- Geometría de la mano
- Análisis de huellas de voz
- Ácido desoxirribonucleico (ADN)
- Cualquier otra característica biológica única
Existe una limitación crítica incorporada en esta definición. Los datos biométricos solo califican como información personal protegida cuando son "utilizados por el propietario o licenciatario para autenticar de manera única la identidad de la persona cuando esta accede a un sistema o cuenta." Los datos biométricos recopilados para fines distintos de la autenticación, como la investigación o el análisis general, quedan fuera de esta protección específica.
Esta definición vinculada a la autenticación es más limitada que la que usan estados como Illinois, Texas y Washington en sus leyes dedicadas de privacidad biométrica.
La Ley de Protección de Información Personal y los Datos Biométricos
Cómo se Protegieron los Datos Biométricos
Arkansas promulgó originalmente la Ley de Protección de Información Personal en 2005, pero los datos biométricos no estaban incluidos en la definición original de información personal. Eso cambió el 23 de julio de 2019, cuando entró en vigor la Ley 1030 de 2019.
La Ley 1030 (originalmente House Bill 1943) amplió la definición de "información personal" conforme a Ark. Code Ann. 4-110-103(7) para incluir tres nuevas categorías: información médica, información de seguro médico y datos biométricos. Esta enmienda incorporó a Arkansas a un grupo creciente de estados que reconocen explícitamente los identificadores biométricos como información personal sensible dentro de sus leyes de notificación de filtraciones.
Qué Exige la Ley
La Ley de Protección de Información Personal impone dos obligaciones principales a las entidades que manejan información personal, incluidos los datos biométricos:
Medidas de Seguridad Razonables (Ark. Code Ann. 4-110-104(a))
Cualquier persona o empresa que adquiera, posea o tenga licencia sobre información personal de un residente de Arkansas debe implementar y mantener procedimientos y prácticas de seguridad razonables, apropiados para la naturaleza de la información. Estas medidas deben proteger la información personal contra el acceso, la destrucción, el uso, la modificación o la divulgación no autorizados.
El estatuto no define qué significa "razonable," dejando esa determinación a evaluarse caso por caso según el tipo y la sensibilidad de los datos involucrados.
Destrucción de Datos (Ark. Code Ann. 4-110-104(b))
Cuando una empresa ya no necesita conservar información personal, debe tomar todas las medidas razonables para destruir o disponer la destrucción de los datos. Los métodos aceptables incluyen triturar, borrar o modificar de otra manera la información para hacerla ilegible o indescifrable por cualquier medio.
Para las organizaciones que almacenan plantillas biométricas, esto significa que no pueden simplemente abandonar los datos cuando se retira un sistema de servicio. Se requiere una destrucción activa.
Requisitos de Notificación de Filtraciones para Datos Biométricos
Si los datos biométricos se ven comprometidos en una filtración de seguridad, la ley de Arkansas activa obligaciones de notificación específicas conforme a Ark. Code Ann. 4-110-105.
Cuándo Se Requiere Notificación
Una entidad debe notificar a los residentes afectados de Arkansas cuando tome conocimiento de una filtración de seguridad que involucre la adquisición no autorizada de información personal no cifrada o no redactada que comprometa la seguridad, confidencialidad o integridad de los datos.
Existe una excepción: no se requiere notificación si, tras una investigación de buena fe, la entidad determina que no existe una probabilidad razonable de daño para los consumidores afectados.

Plazo de Notificación
La ley de Arkansas exige la divulgación "de la manera y en el tiempo más expedito posible y sin demora injustificada." El plazo comienza después de que la entidad haya tomado las medidas necesarias para determinar el alcance de la filtración y restaurar la integridad del sistema.
Notificación al Fiscal General
Cuando una filtración afecta a más de 1,000 personas, la entidad también debe notificar al Fiscal General de Arkansas. Este aviso debe proporcionarse ya sea al mismo tiempo que la entidad notifica a las personas afectadas, o dentro de los 45 días posteriores a determinar que existe una probabilidad razonable de daño, lo que ocurra primero.
Retención de Registros
Las entidades que sufren una filtración deben conservar una copia por escrito de su determinación y toda la documentación de respaldo durante cinco años a partir de la fecha de la determinación.
Cumplimiento y Sanciones
Cumplimiento del Fiscal General
El Fiscal General de Arkansas hace cumplir la Ley de Protección de Información Personal a través de la Ley de Prácticas Comerciales Engañosas de Arkansas (ADTPA), Ark. Code Ann. 4-88-101 y siguientes. El Fiscal General puede iniciar acciones de cumplimiento buscando:
- Sanciones civiles de hasta $10,000 por infracción
- Medidas cautelares para detener infracciones en curso
- Restitución al consumidor
- Recuperación de honorarios de abogados y costos de investigación

Sanciones Penales
Conforme a Ark. Code Ann. 4-110-108, las infracciones intencionales y deliberadas de la Ley de Protección de Información Personal constituyen un delito menor de Clase A. En Arkansas, un delito menor de Clase A conlleva sanciones de hasta un año en la cárcel del condado y multas de hasta $2,500.
No Existe un Derecho de Acción Privado
Arkansas no ofrece un derecho de acción privado bajo la Ley de Protección de Información Personal. Los consumidores individuales no pueden demandar directamente a las empresas por el manejo indebido de sus datos biométricos conforme a este estatuto. Solo el Fiscal General puede iniciar acciones de cumplimiento.
Esta es una diferencia significativa respecto a Illinois, donde la Ley de Privacidad de Información Biométrica (BIPA) permite a las personas demandar y recuperar daños estatutarios de $1,000 a $5,000 por infracción.
Qué No Cubre la Ley de Arkansas
Entender las brechas en la ley de privacidad biométrica de Arkansas es tan importante como saber qué cubre.
No existe un requisito de consentimiento. A diferencia de Illinois, Texas y Washington, Arkansas no exige a las empresas obtener el consentimiento informado antes de recopilar datos biométricos. No existe la obligación de proporcionar un aviso por escrito que explique qué datos biométricos se recopilarán, por qué se recopilarán o durante cuánto tiempo se almacenarán.
No existe un cronograma de retención o destrucción. Aunque la ley exige la destrucción de los datos cuando ya no son necesarios, no establece un período de retención específico ni exige a las empresas publicar una política de retención para los datos biométricos.
No existen restricciones sobre la venta o divulgación. La ley de Arkansas no prohíbe la venta, el arrendamiento, el intercambio ni otra divulgación de datos biométricos a terceros. Las protecciones solo se activan cuando ocurre una filtración.
No existen reglas específicas para empleadores. Algunos estados exigen a los empleadores obtener consentimiento antes de usar escáneres de huellas dactilares para relojes de tiempo o reconocimiento facial para el acceso a edificios. Arkansas no tiene tal requisito.
El Intento Legislativo de 2025: SB 258
En febrero de 2025, el senador Clint Penzo presentó el Senate Bill 258, la Arkansas Digital Responsibility, Safety, and Trust Act. El proyecto de ley original incluía disposiciones integrales para el procesamiento de datos biométricos, incluidos requisitos de consentimiento y límites sobre las condiciones legales de procesamiento.
Sin embargo, los grupos empresariales argumentaron que las disposiciones sobre datos biométricos e inteligencia artificial eran demasiado amplias. El Comité de Transporte, Tecnología y Asuntos Legislativos del Senado eliminó todas las secciones sobre datos biométricos e inteligencia artificial del proyecto de ley antes de aprobarlo. El consultor de privacidad Josh Bryant, quien ayudó a redactar la legislación, confirmó que "todo lo relacionado con lo biométrico desapareció" de la versión enmendada.
La SB 258 finalmente murió en el calendario del Senado en el aplazamiento sine die del 5 de mayo de 2025, sin convertirse en ley. El senador Penzo indicó que podría impulsar legislación separada sobre privacidad e inteligencia artificial en futuras sesiones, pero hasta principios de 2026, Arkansas sigue sin protecciones dedicadas de privacidad biométrica.

La Ley de Prácticas Comerciales Engañosas como Respaldo
Incluso sin un estatuto biométrico dedicado, la ADTPA proporciona un respaldo general. Conforme a Ark. Code Ann. 4-88-107, es ilegal participar en cualquier acto o práctica inconcebible, falsa o engañosa en los negocios, el comercio o el intercambio.
Si una empresa hace declaraciones engañosas sobre cómo maneja los datos biométricos, o si recopila información biométrica de maneras que un consumidor razonable consideraría engañosas, el Fiscal General podría potencialmente iniciar una acción conforme a la ADTPA. Esta no es una protección específica para datos biométricos, pero crea cierta responsabilidad para los usos más flagrantes de dichos datos.
Pasos Prácticos de Cumplimiento para las Empresas
Aunque la ley de Arkansas no exige consentimiento ni políticas de retención publicadas, las organizaciones que operan en el estado deberían considerar estas mejores prácticas:
-
Implemente controles de seguridad sólidos en torno a las bases de datos biométricas, ya que la ley exige "procedimientos de seguridad razonables" sin definir el término.
-
Desarrolle un plan de respuesta a filtraciones que tenga en cuenta el plazo de notificación de 45 días al Fiscal General y el requisito de retención de registros durante cinco años.
-
Cree un protocolo de destrucción de datos para los datos biométricos que ya no sean necesarios para su propósito original.
-
Supervise la exposición multiestatal. Si recopila datos biométricos de residentes de Illinois, Texas, Washington u otros estados con leyes biométricas dedicadas, esos requisitos más estrictos pueden aplicarse sin importar dónde esté ubicada su empresa.
-
Siga los desarrollos legislativos. El fracaso de la SB 258 no significa que Arkansas haya terminado de considerar legislación biométrica. Futuras sesiones podrían producir nuevos proyectos de ley.
More Arkansas Laws
- Arkansas AI Meeting Recording Laws
- Arkansas Alimony Laws
- Arkansas At-Will Employment Laws
- Arkansas Car Accident Laws
- Arkansas Car Seat Laws
- Arkansas Child Custody Laws
- Arkansas Child Support Laws
- Arkansas Common Law Marriage Laws
- Arkansas Deepfake Laws
- Arkansas Divorce Laws
- Arkansas Dog Bite Laws
- Arkansas Emancipation Laws
- Arkansas Expungement Laws
- Arkansas Hit and Run Laws
- Arkansas Landlord-Tenant Laws
- Arkansas Lemon Laws
Este artículo ofrece información legal general sobre las protecciones de privacidad biométrica de Arkansas y no constituye asesoría legal. Las leyes y regulaciones cambian con frecuencia. Consulte a un abogado calificado con licencia en Arkansas para obtener asesoría sobre su situación específica.
¿Afectado por una filtración de datos o una violación de privacidad biométrica?
Si sus datos personales quedaron expuestos en una filtración, o si su huella dactilar o escaneo facial se recopiló sin su consentimiento, podría ser elegible para unirse a un reclamo por compensación. Averígüelo gratis y sin compromiso.
Fuentes y referencias
- Ley de Protección de Información Personal de Arkansas(law.justia.com)
- Ley 1030 de 2019 - Legislatura Estatal de Arkansas(arkleg.state.ar.us).gov
- Ley de Prácticas Comerciales Engañosas de Arkansas(law.justia.com)
- Filtraciones o Violaciones de Seguridad - Fiscal General de Arkansas(arkansasag.gov).gov
- SB 258 - Sesión de 2025(arkleg.state.ar.us).gov
- Tabla de Notificación de Filtraciones de Perkins Coie - Arkansas(perkinscoie.com)