California
Leyes de Privacidad Biométrica de California: Recolección, Consentimiento y Sanciones (2026)

California trata los datos biométricos como información personal sensible bajo la CCPA/CPRA (Cal. Civ. Code 1798.100 y siguientes) en lugar de mediante un estatuto independiente. Esto otorga a los consumidores el derecho a saber qué información biométrica recolectan las empresas, solicitar su eliminación y limitar su uso más allá de lo razonablemente necesario.
California no cuenta con un estatuto de privacidad biométrica independiente como la BIPA de Illinois. En cambio, el estado incorpora los datos biométricos a su marco integral de privacidad del consumidor bajo la California Consumer Privacy Act (CCPA), modificada por la California Privacy Rights Act (CPRA). Para cualquier persona que recolecte huellas dactilares, escaneos faciales o huellas de voz en California, las reglas están integradas en todo el ecosistema de las Leyes de Privacidad de Datos de California.
Esto significa que las protecciones biométricas en California provienen de múltiples fuentes superpuestas: derechos del consumidor bajo la CCPA/CPRA, estatutos de notificación de filtraciones, restricciones del código laboral, y nuevas regulaciones de la CPPA sobre toma de decisiones automatizada. Esto es lo que necesita saber.
Cómo Define California la Información Biométrica
La CCPA define la "información biométrica" bajo el Cal. Civ. Code 1798.140(c) como:
Las características fisiológicas, biológicas o conductuales de una persona, incluido el ADN, que puedan usarse, individualmente o en combinación entre sí o con otros datos de identificación, para establecer la identidad individual.
El estatuto enumera ejemplos específicos:
- Imágenes de huellas dactilares, rostro, mano, palma y patrones de venas
- Escaneos de iris y retina
- Grabaciones de voz de las que se pueden extraer identificadores
- Patrones o ritmos de tecleo
- Patrones o ritmos de marcha
- Datos de sueño, salud o ejercicio que contengan información de identificación
La información biométrica también se clasifica como un tipo de "información personal" bajo la Sección 1798.140(o)(1)(E).

Clasificación como Información Personal Sensible
Bajo las enmiendas de la CPRA, la información biométrica procesada con el fin de identificar de manera única a un consumidor califica como "información personal sensible" según la Sección 1798.140(ae). Esta clasificación elevada activa protecciones más estrictas que la información personal regular.
Una distinción importante: las fotografías por sí solas no son información biométrica bajo la CCPA. Sin embargo, las fotografías usadas o almacenadas con fines de reconocimiento facial sí califican.
Derechos del Consumidor Sobre los Datos Biométricos
Debido a que los datos biométricos son información personal sensible, los consumidores de California tienen varios derechos específicos bajo la CCPA/CPRA:
Derecho a Limitar el Uso y la Divulgación. Los consumidores pueden indicar a las empresas que limiten el uso de sus datos biométricos a lo "necesario para realizar los servicios o proporcionar los bienes que razonablemente espera un consumidor promedio". Las empresas deben proporcionar un enlace "Limitar el Uso de Mi Información Personal Sensible" en sus sitios web.
Derecho a Saber. Los consumidores pueden solicitar que una empresa revele qué información biométrica ha recolectado, las fuentes de las que la recolectó, el propósito comercial de recolectarla, y las categorías de terceros con quienes se ha compartido.
Derecho a Eliminar. Los consumidores pueden solicitar la eliminación de sus datos biométricos. Las empresas deben cumplir e indicar a los proveedores de servicios que también eliminen los datos.
Derecho a Corregir. Si los datos biométricos son inexactos, los consumidores pueden solicitar su corrección.
Derecho a Optar por No Participar en la Venta o el Intercambio. Los consumidores pueden optar por no participar en la venta o el intercambio de su información biométrica con terceros.
Sin Represalias. Las empresas no pueden discriminar a los consumidores que ejerzan estos derechos negándoles bienes, cobrándoles precios diferentes u ofreciéndoles un nivel de calidad de servicio distinto.

Derecho de Acción Privado por Filtraciones de Datos Biométricos
El Cal. Civ. Code 1798.150 otorga a los consumidores el derecho a demandar cuando su información personal no cifrada es expuesta mediante una filtración de datos causada por la falta de una empresa en mantener una seguridad razonable. Esta es una de las pocas áreas donde la ley de California permite demandas privadas en lugar de depender únicamente de la aplicación por parte de agencias.
La "información personal" en el contexto de filtraciones incluye el nombre de una persona combinado con "datos biométricos únicos generados a partir de mediciones o análisis técnicos de características del cuerpo humano, como una huella dactilar, retina o imagen del iris, utilizados para autenticar a una persona específica".
Qué Pueden Recuperar los Consumidores
- Daños legales: de $100 a $750 por consumidor por incidente
- Daños reales si son mayores que los daños legales
- Compensación cautelar o declaratoria
- Cualquier otra compensación que el tribunal considere apropiada
Requisitos Antes de Presentar una Demanda
Los consumidores deben proporcionar a la empresa un aviso escrito de 30 días identificando las infracciones específicas antes de presentar una demanda por daños legales. Si la empresa subsana la infracción dentro de 30 días y proporciona una declaración escrita confirmando la corrección, no se pueden buscar daños legales. Las demandas por daños reales no requieren aviso previo.
Este derecho de acción privado se aplica únicamente a los escenarios de filtraciones de datos. Para otras infracciones de la CCPA que involucren datos biométricos, el cumplimiento se realiza a través de la Fiscalía General y la CPPA.
Requisitos de Notificación de Filtraciones
Los estatutos de notificación de filtraciones de California, Cal. Civ. Code 1798.29 (agencias gubernamentales) y 1798.82 (empresas), exigen notificación cuando se comprometen datos biométricos no cifrados. Obtenga más información en nuestra guía de Leyes de Notificación de Filtraciones de Datos de California.
Los requisitos clave para las filtraciones de datos biométricos incluyen:
- Plazo: La notificación debe ocurrir dentro de los 30 días calendario posteriores al descubrimiento de la filtración
- Aviso a la Fiscalía General: Requerido cuando se ven afectados más de 500 residentes de California
- Instrucciones especiales para datos biométricos: Los avisos de filtración que involucren datos biométricos deben incluir instrucciones sobre cómo notificar a otras entidades que usaron los mismos datos biométricos para autenticación, para que esas entidades puedan dejar de confiar en los datos comprometidos
- Contenido requerido: Los avisos deben seguir un formato prescrito con encabezados que incluyan "Qué Sucedió", "Qué Información Estuvo Involucrada", "Qué Estamos Haciendo", "Qué Puede Hacer Usted" y "Para Más Información"
Obligaciones de los Empleadores en Materia de Datos Biométricos
Los empleadores de California enfrentan requisitos específicos de datos biométricos provenientes de múltiples fuentes.
Cobertura de Empleados Bajo la CCPA/CPRA
La exención de información personal de empleados bajo la CCPA expiró el 1 de enero de 2023. Desde entonces, los empleados de California tienen los mismos derechos que los consumidores con respecto a sus datos biométricos. Los empleadores que recolectan huellas dactilares para relojes de tiempo, escaneos faciales para acceso a edificios, u otros identificadores biométricos deben:
- Proporcionar aviso en o antes del momento de la recolección de datos biométricos
- Respetar las solicitudes de los empleados para saber, eliminar, corregir y limitar el uso de datos biométricos
- Permitir que los empleados limiten el uso de datos biométricos a lo necesario para la relación laboral
- Mantener procedimientos de seguridad razonables para proteger los datos biométricos
Sección 1051 del Código Laboral de California
El Código Laboral de California 1051 agrega otra capa. Prohíbe a los empleadores compartir las huellas dactilares o fotografías de los empleados con terceros cuando la información pudiera usarse en perjuicio del empleado. La infracción es un delito menor.
Esto significa que los empleadores pueden recolectar huellas dactilares para propósitos internos como el control de asistencia, pero no pueden compartir esos datos con terceros que puedan usarlos en contra del empleado.

Cumplimiento y Sanciones
Dos agencias comparten la autoridad de cumplimiento sobre las infracciones de datos biométricos en California.
California Privacy Protection Agency (CPPA)
La CPPA fue creada por la CPRA en 2020 y tiene la autoridad principal de cumplimiento. A partir de 2025, la CPPA puede imponer:
- $2,663 por infracción no intencional (ajustado anualmente por inflación)
- $7,988 por infracción intencional
- $7,988 por infracción que involucre datos de un menor
La CPPA ha estado activa. Solo en 2025, emitió una multa de $632,500 contra Honda, una multa de $345,178 contra Todd Snyder, y lanzó un Grupo Especial de Cumplimiento contra Corredores de Datos. Aunque ninguna de estas acciones apuntó específicamente al mal uso de datos biométricos, demuestran la disposición de la agencia a imponer sanciones significativas.
Fiscalía General
La Fiscalía General de California conserva autoridad de cumplimiento concurrente bajo el Cal. Civ. Code 1798.199.90. La AG puede emprender acciones civiles por infracciones de la CCPA, incluidas las que involucren datos biométricos.

Nuevas Regulaciones de la CPPA Vigentes en 2026
La CPPA finalizó nuevas regulaciones el 22 de septiembre de 2025, vigentes desde el 1 de enero de 2026, que cubren tecnología de toma de decisiones automatizada (ADMT), evaluaciones de riesgo y auditorías de ciberseguridad. Estas regulaciones tienen implicaciones directas para los datos biométricos:
Tecnología de Toma de Decisiones Automatizada. Las empresas que usan ADMT para procesar información biométrica con fines de elaboración de perfiles o verificación de identidad deben cumplir con nuevos requisitos a partir del 1 de enero de 2027. Esto incluye proporcionar avisos previos al uso, ofrecer opciones de exclusión, y realizar evaluaciones de precisión y auditorías de no discriminación.
Evaluaciones de Riesgo. El procesamiento de datos biométricos con fines de elaboración de perfiles o verificación de identidad califica como procesamiento de "riesgo significativo". Las empresas que realizan dicho procesamiento deben completar evaluaciones de riesgo y presentar certificaciones a la CPPA antes del 1 de abril de 2028.
Auditorías de Ciberseguridad. Las empresas que procesan información personal sensible, incluidos datos biométricos, a gran escala pueden necesitar realizar auditorías anuales de ciberseguridad. Los plazos están escalonados según los ingresos, y las empresas más grandes (más de $100 millones) deben presentar certificaciones antes del 1 de abril de 2028.
Expansiones Legislativas Recientes
California continúa ampliando el alcance de las protecciones relacionadas con lo biométrico a través de nueva legislación.
SB 1223: Protección de Datos Neuronales (Vigente desde el 1 de Enero de 2025)
La SB 1223 agregó los "datos neuronales" a la definición de información personal sensible bajo la Sección 1798.140(ae). Los datos neuronales se definen como información generada al medir la actividad del sistema nervioso central o periférico de un consumidor, que no se infiere a partir de información no neuronal.
Esto otorga a los datos de ondas cerebrales provenientes de dispositivos EEG, dispositivos de neurorretroalimentación e interfaces cerebro-computadora el mismo nivel de protección que las huellas dactilares y los escaneos faciales. California se convirtió en el primer estado en proteger explícitamente los datos neuronales bajo una ley de privacidad del consumidor.
AB 1008: Cobertura de Modelos de IA (Vigente desde el 1 de Enero de 2025)
La AB 1008 aclaró que los datos biométricos recolectados sin el conocimiento de un consumidor nunca pueden considerarse información "disponible públicamente", sin importar el contexto. La ley también amplió la definición de "información personal" para cubrir formatos digitales abstractos, incluyendo los pesos y tokens de modelos de IA derivados de la información personal de un consumidor.
Para los datos biométricos específicamente, esto significa que un modelo de reconocimiento facial entrenado con imágenes del rostro de un consumidor sin su conocimiento no puede alegar que esos datos estaban "disponibles públicamente" y, por lo tanto, exentos de los requisitos de la CCPA.
Cómo Se Compara California con la BIPA de Illinois
El enfoque de California difiere significativamente del de la Ley de Privacidad de Información Biométrica de Illinois (BIPA), que es la ley de privacidad biométrica independiente más agresiva del país.
| Característica | California (CCPA/CPRA) | Illinois (BIPA) |
|---|---|---|
| Tipo de Ley | Ley integral de privacidad | Estatuto biométrico independiente |
| Consentimiento Requerido | Aviso + derecho a limitar el uso | Consentimiento informado por escrito antes de la recolección |
| Derecho de Acción Privado | Solo filtraciones de datos (1798.150) | Cualquier infracción del estatuto |
| Daños | $100-$750 por incidente de filtración | $1,000-$5,000 por infracción |
| Retención/Destrucción | Derechos generales de eliminación | Política de retención escrita obligatoria |
| Cumplimiento | CPPA + AG + acción privada limitada | Demandas privadas + AG |
California proporciona una cobertura más amplia ya que las protecciones biométricas forman parte de un marco integral de privacidad de datos. Sin embargo, el derecho de acción privado es mucho más limitado que en Illinois, donde los demandantes individuales han impulsado miles de millones de dólares en acuerdos.
Más Leyes de California
- Leyes de Grabación de Reuniones con IA de California
- Leyes de Pensión Alimenticia Conyugal de California
- Leyes de Empleo a Voluntad de California
- Leyes de Accidentes Automovilísticos de California
- Leyes de Asientos de Seguridad para Niños de California
- Leyes de Custodia de Menores de California
- Leyes de Manutención Infantil de California
- Leyes de Matrimonio de Hecho de California
- Leyes sobre Deepfakes de California
- Leyes de Divorcio de California
- Leyes sobre Mordeduras de Perro de California
- Leyes de Emancipación de California
- Leyes de Eliminación de Antecedentes Penales de California
- Leyes sobre Atropello y Fuga de California
- Leyes de Propietarios e Inquilinos de California
- Ley del Limón de California
Fuentes y Referencias
Este artículo hace referencia a estatutos de California, materiales regulatorios y publicaciones oficiales de agencias. Para el texto completo de la CCPA/CPRA, visite el sitio de California Legislative Information. Para la actividad de cumplimiento y elaboración de normas vigente de la CPPA, visite cppa.ca.gov.
Este artículo proporciona información legal general sobre las leyes de privacidad biométrica de California. No constituye asesoría legal. Consulte a un abogado calificado para obtener orientación sobre su situación específica. Las leyes y regulaciones cambian con frecuencia. Verifique los requisitos vigentes a través de fuentes oficiales del gobierno de California.
¿Afectado por una filtración de datos o una violación de privacidad biométrica?
Si sus datos personales quedaron expuestos en una filtración, o si su huella dactilar o escaneo facial se recopiló sin su consentimiento, podría ser elegible para unirse a un reclamo por compensación. Averígüelo gratis y sin compromiso.
Fuentes y referencias
- Texto completo de la California Consumer Privacy Act(leginfo.legislature.ca.gov).gov
- Cal. Civ. Code 1798.140 - Definiciones de la CCPA, incluyendo información biométrica(leginfo.legislature.ca.gov).gov
- Cal. Civ. Code 1798.150 - Derecho de acción privado por filtraciones de datos(leginfo.legislature.ca.gov).gov
- Cal. Civ. Code 1798.82 - Requisitos de notificación de filtraciones(leginfo.legislature.ca.gov).gov
- Cal. Civ. Code 1798.29 - Requisitos de notificación de filtraciones para agencias(leginfo.legislature.ca.gov).gov
- Código Laboral de California Sección 1051 - Prohibición de compartir huellas dactilares de empleados(leginfo.legislature.ca.gov).gov
- SB 1223 - Datos neuronales como información personal sensible(leginfo.legislature.ca.gov).gov
- AB 1008 - Cobertura de modelos de IA y aclaraciones sobre datos biométricos(leginfo.legislature.ca.gov).gov
- CPPA Acerca de Nosotros - Autoridad y misión de la agencia(cppa.ca.gov).gov
- Anuncio de aumento de sanciones de la CPPA para 2025(cppa.ca.gov).gov
- La CPPA finalizó las regulaciones de ADMT, evaluación de riesgos y auditoría de ciberseguridad(cppa.ca.gov).gov
- Acción de cumplimiento del acuerdo de la CPPA con Honda(cppa.ca.gov).gov
- Acción de cumplimiento de la CPPA con Todd Snyder(cppa.ca.gov).gov
- Información de la CCPA de la Fiscalía General de California(oag.ca.gov).gov
- Requisitos de reporte de filtraciones de datos de la OAG(oag.ca.gov).gov