Leyes de Privacidad Biométrica por Estado (2026): BIPA, CUBI y Consentimiento
La mayoría de los estados de EE. UU. no tienen una ley dedicada de privacidad biométrica. Solo Illinois (BIPA), Texas (CUBI) y Washington cuentan con estatutos biométricos independientes. Cerca de veinte estados más protegen los datos biométricos como datos sensibles bajo una ley de privacidad del consumidor más amplia, y el resto los cubre únicamente mediante reglas de notificación de violación de datos. No existe una ley federal de privacidad biométrica.
Alcance jurisdiccional: Esta guía cubre las leyes estatales de privacidad biométrica de EE. UU. (huellas dactilares, geometría facial, huellas de voz, escaneos de retina e iris) a partir de 2026. Es información legal general, no asesoría legal.
¿Qué Estados Tienen Leyes de Privacidad Biométrica?
Un identificador biométrico es una medición de un rasgo físico único, como una huella dactilar, una huella facial, una huella de voz o un escaneo de iris. A partir de 2026, solo tres estados regulan la recopilación de identificadores biométricos mediante un estatuto dedicado. En el resto del país, los datos biométricos están protegidos ya sea como una categoría de datos sensibles bajo una ley general de privacidad del consumidor, o únicamente mediante reglas de notificación de violación de datos. Ninguna ley federal regula específicamente los datos biométricos comerciales, por lo que las protecciones que se le aplican dependen enteramente de su estado.
La distinción más importante es si un estado otorga a las personas un derecho de acción privada, es decir, la capacidad de demandar por su cuenta. Solo Illinois lo hace. Esa única característica es la razón por la que Illinois es el centro de los litigios biométricos en el país.
Las Tres Leyes Biométricas Dedicadas
Illinois, Biometric Information Privacy Act (BIPA), 740 ILCS 14. Promulgada en 2008, BIPA es la ley biométrica más estricta de Estados Unidos. Una entidad privada debe obtener el consentimiento por escrito antes de recopilar el identificador biométrico de una persona, publicar un calendario de retención y destrucción, y nunca vender datos biométricos. BIPA es la única ley biométrica con derecho de acción privada, y establece daños estatutarios de $1,000 por infracción negligente y $5,000 por infracción imprudente o intencional, más honorarios de abogados. La Corte Suprema de Illinois ha resuelto que una persona no necesita probar un daño real para demandar (Rosenbach v. Six Flags, 2019).
Texas, Capture or Use of Biometric Identifier Act (CUBI), Business and Commerce Code § 503.001. Texas exige el consentimiento informado antes de capturar un identificador biométrico con fines comerciales y limita el tiempo que puede conservarse. A diferencia de BIPA, CUBI no tiene derecho de acción privada; solo el Fiscal General de Texas puede hacerla cumplir, con sanciones civiles de hasta $25,000 por infracción.
Washington, RCW 19.375 y la My Health My Data Act. La ley biométrica de Washington de 2017 exige aviso y consentimiento antes de inscribir un identificador biométrico en una base de datos con fines comerciales, aplicada por el Fiscal General. Washington fue más allá en 2023 con la My Health My Data Act, que trata los datos biométricos vinculados a la salud como datos de salud del consumidor protegidos e incluye un derecho de acción privada.
Los Datos Biométricos como Datos Sensibles Bajo las Leyes Estatales de Privacidad
Aproximadamente veinte estados han aprobado leyes integrales de privacidad del consumidor, y casi todos clasifican los datos biométricos como datos sensibles. Estos incluyen California, Virginia, Colorado, Connecticut, Texas, Oregon, Montana y otros. Bajo estas leyes, una empresa generalmente debe obtener consentimiento previo (opt-in) (o, en California, respetar una exclusión voluntaria) antes de procesar datos biométricos, y los consumidores adquieren derechos de acceso y eliminación. Colorado enmendó su ley de privacidad en 2024 para agregar disposiciones biométricas específicas. Estas protecciones son reales, pero son aplicadas por el Fiscal General estatal, no mediante demandas individuales.
Estados Sin una Ley Biométrica Dedicada
En el resto de los estados, no existe un estatuto que restrinja específicamente la recopilación de identificadores biométricos. Los datos biométricos generalmente todavía figuran como información personal protegida en la ley de notificación de violación de datos del estado, por lo que una empresa que sufre una violación que involucra datos biométricos debe notificar a los residentes afectados. Pero, por lo general, no existe la obligación de obtener consentimiento antes de la recopilación, ni un derecho individual a demandar por la recopilación en sí.
Leyes de Privacidad Biométrica por Estado
La siguiente tabla enlaza a una guía detallada para cada estado. Seleccione su estado para conocer el estatuto específico, las reglas de consentimiento, las sanciones y los cambios recientes.
| Estado | ¿Ley biométrica dedicada? | Estatuto clave | Cómo se protegen los datos biométricos |
|---|---|---|---|
| Alabama | No | Ninguno | Principalmente cobertura mediante notificación de violación de datos |
| Alaska | No | Ninguno | Principalmente cobertura mediante notificación de violación de datos |
| Arizona | No | Ninguno | Principalmente cobertura mediante notificación de violación de datos |
| Arkansas | No | Ninguno | Principalmente cobertura mediante notificación de violación de datos |
| California | No | Ninguno | Datos sensibles, consentimiento previo bajo la ley de privacidad de California |
| Colorado | No | Ninguno | Datos sensibles, consentimiento previo bajo la ley de privacidad de Colorado |
| Connecticut | No | Ninguno | Datos sensibles, consentimiento previo bajo la ley de privacidad de Connecticut |
| Delaware | No | Ninguno | Datos sensibles, consentimiento previo bajo la ley de privacidad de Delaware |
| Distrito de Columbia | No | Ninguno | Principalmente cobertura mediante notificación de violación de datos |
| Florida | No | Ninguno | Principalmente cobertura mediante notificación de violación de datos |
| Georgia | No | Ninguno | Principalmente cobertura mediante notificación de violación de datos |
| Hawái | No | Ninguno | Principalmente cobertura mediante notificación de violación de datos |
| Idaho | No | Ninguno | Principalmente cobertura mediante notificación de violación de datos |
| Illinois | Sí | BIPA (740 ILCS 14) | Estatuto dedicado (la protección más fuerte) |
| Indiana | No | Ninguno | Datos sensibles, consentimiento previo bajo la ley de privacidad de Indiana |
| Iowa | No | Ninguno | Datos sensibles, consentimiento previo bajo la ley de privacidad de Iowa |
| Kansas | No | Ninguno | Principalmente cobertura mediante notificación de violación de datos |
| Kentucky | No | Ninguno | Datos sensibles, consentimiento previo bajo la ley de privacidad de Kentucky |
| Luisiana | No | Ninguno | Principalmente cobertura mediante notificación de violación de datos |
| Maine | No | Ninguno | Principalmente cobertura mediante notificación de violación de datos |
| Maryland | No | Ninguno | Datos sensibles, consentimiento previo bajo la ley de privacidad de Maryland |
| Massachusetts | No | Ninguno | Principalmente cobertura mediante notificación de violación de datos |
| Michigan | No | Ninguno | Principalmente cobertura mediante notificación de violación de datos |
| Minnesota | No | Ninguno | Datos sensibles, consentimiento previo bajo la ley de privacidad de Minnesota |
| Mississippi | No | Ninguno | Principalmente cobertura mediante notificación de violación de datos |
| Missouri | No | Ninguno | Principalmente cobertura mediante notificación de violación de datos |
| Montana | No | Ninguno | Datos sensibles, consentimiento previo bajo la ley de privacidad de Montana |
| Nebraska | No | Ninguno | Datos sensibles, consentimiento previo bajo la ley de privacidad de Nebraska |
| Nevada | No | Ninguno | Principalmente cobertura mediante notificación de violación de datos |
| Nuevo Hampshire | No | Ninguno | Datos sensibles, consentimiento previo bajo la ley de privacidad de Nuevo Hampshire |
| Nueva Jersey | No | Ninguno | Datos sensibles, consentimiento previo bajo la ley de privacidad de Nueva Jersey |
| Nuevo México | No | Ninguno | Principalmente cobertura mediante notificación de violación de datos |
| Nueva York | No | Ninguno | Principalmente cobertura mediante notificación de violación de datos |
| Carolina del Norte | No | Ninguno | Principalmente cobertura mediante notificación de violación de datos |
| Dakota del Norte | No | Ninguno | Principalmente cobertura mediante notificación de violación de datos |
| Ohio | No | Ninguno | Principalmente cobertura mediante notificación de violación de datos |
| Oklahoma | No | Ninguno | Principalmente cobertura mediante notificación de violación de datos |
| Oregon | No | Ninguno | Datos sensibles, consentimiento previo bajo la ley de privacidad de Oregon |
| Pensilvania | No | Ninguno | Principalmente cobertura mediante notificación de violación de datos |
| Rhode Island | No | Ninguno | Datos sensibles, consentimiento previo bajo la ley de privacidad de Rhode Island |
| Carolina del Sur | No | Ninguno | Principalmente cobertura mediante notificación de violación de datos |
| Dakota del Sur | No | Ninguno | Principalmente cobertura mediante notificación de violación de datos |
| Tennessee | No | Ninguno | Datos sensibles, consentimiento previo bajo la ley de privacidad de Tennessee |
| Texas | Sí | CUBI (Bus. & Com. Code § 503.001) | Estatuto dedicado (la protección más fuerte) |
| Utah | No | Ninguno | Datos sensibles, consentimiento previo bajo la ley de privacidad de Utah |
| Vermont | No | Ninguno | Principalmente cobertura mediante notificación de violación de datos |
| Virginia | No | Ninguno | Datos sensibles, consentimiento previo bajo la ley de privacidad de Virginia |
| Washington | Sí | RCW 19.375 + My Health My Data Act | Estatuto dedicado (la protección más fuerte) |
| Virginia Occidental | No | Ninguno | Principalmente cobertura mediante notificación de violación de datos |
| Wisconsin | No | Ninguno | Principalmente cobertura mediante notificación de violación de datos |
| Wyoming | No | Ninguno | Principalmente cobertura mediante notificación de violación de datos |
¿Qué es la Ley de Privacidad de Información Biométrica (BIPA)?
Debido a que BIPA de Illinois genera la mayoría de los litigios biométricos del país, vale la pena entenderla por separado. Para conocer los requisitos de consentimiento y retención del estatuto, los casos históricos y cómo la cuestión de los daños por escaneo afecta a los empleadores, consulte nuestra explicación detallada de BIPA, y para el contexto estatal de Illinois, nuestra guía de privacidad biométrica de Illinois.
Preguntas frecuentes
¿Qué estados tienen leyes de privacidad biométrica?
Solo Illinois (BIPA), Texas (CUBI) y Washington tienen estatutos biométricos dedicados. Cerca de veinte estados más protegen los datos biométricos como datos sensibles bajo una ley integral de privacidad del consumidor, y el resto los cubre únicamente mediante reglas de notificación de violación de datos.
¿Existe una ley federal de privacidad biométrica?
No. No existe una ley federal que regule específicamente la recopilación comercial de identificadores biométricos. La protección depende enteramente del estado donde se recopilen los datos.
¿Puedo demandar a una empresa por recopilar mis datos biométricos?
Solo en Illinois. BIPA es la única ley biométrica con derecho de acción privada, que permite a las personas demandar por daños estatutarios de $1,000 o $5,000 por infracción. Las leyes de Texas y Washington solo son aplicadas por el Fiscal General estatal.
¿Qué se considera un identificador biométrico?
Generalmente, una medición de una característica física única utilizada para identificar a una persona, como una huella dactilar, una huella facial o geometría facial, una huella de voz, o un escaneo de retina o iris. Las definiciones exactas varían según el estado.
¿Las leyes integrales de privacidad protegen los datos biométricos?
Sí. Los estados con leyes integrales de privacidad del consumidor, como California, Virginia, Colorado y Connecticut, tratan los datos biométricos como datos sensibles que generalmente requieren consentimiento previo antes de su procesamiento, junto con derechos de acceso y eliminación.
Fuentes y referencias
- Ley de Privacidad de Información Biométrica de Illinois, 740 ILCS 14(ilga.gov).gov
- Código de Negocios y Comercio de Texas § 503.001 (CUBI)(statutes.capitol.texas.gov).gov
- RCW 19.375 de Washington (Identificadores Biométricos)(app.leg.wa.gov).gov
- My Health My Data Act de Washington, RCW 19.373(app.leg.wa.gov).gov
- Código Civil de California § 1798.140 (información personal sensible de CCPA)(leginfo.legislature.ca.gov).gov
- Colorado HB24-1130 (enmienda biométrica a la Ley de Privacidad de Colorado)(leg.colorado.gov).gov