Colorado
Leyes de Privacidad Biométrica de Colorado: Recopilación, Consentimiento y Sanciones (2026)

Colorado regula los datos biométricos mediante dos leyes superpuestas: la Ley de Privacidad de Colorado (C.R.S. § 6-1-1301) clasifica los datos biométricos como datos sensibles que requieren consentimiento afirmativo, y la HB24-1130 (C.R.S. § 6-1-1314), vigente desde el 1 de julio de 2025, agrega obligaciones específicas sobre datos biométricos relacionadas con políticas escritas, plazos de retención y reglas de consentimiento para empleadores.
Colorado se destaca entre los estados de EE. UU. por contar con dos capas superpuestas de protección de la privacidad biométrica. La Ley de Privacidad de Colorado (CPA) ha tratado los datos biométricos como datos sensibles desde 2023, exigiendo consentimiento afirmativo antes de su procesamiento. Luego, en 2024, la legislatura aprobó la HB24-1130, creando un estatuto dedicado de privacidad biométrica (C.R.S. § 6-1-1314) que entró en vigor el 1 de julio de 2025.
Este marco dual otorga a Colorado uno de los regímenes de privacidad biométrica más sólidos del país. Si su organización recopila huellas dactilares, escaneos faciales, huellas de voz u otros identificadores biométricos de residentes de Colorado, debe cumplir tanto con las reglas de datos sensibles de la CPA como con los requisitos específicos de la HB24-1130 sobre datos biométricos.
Para un panorama más amplio del marco de privacidad de Colorado, consulte la guía principal: Leyes de Privacidad de Datos de Colorado.
Qué Cubre la HB24-1130
El Gobernador Jared Polis firmó la HB24-1130 el 31 de mayo de 2024. El proyecto de ley se aprobó con amplio apoyo bipartidista de 34 miembros de la Cámara y 13 Senadores. Enmienda la CPA al agregar la Sección 6-1-1314, que se enfoca exclusivamente en los identificadores y datos biométricos.
La ley define un identificador biométrico como los datos generados por el procesamiento tecnológico, la medición o el análisis de las características biológicas, físicas o de comportamiento de un consumidor que pueden procesarse para identificar de manera única a una persona. Los ejemplos específicos incluyen:
- Huellas dactilares
- Huellas de voz
- Escaneos de retina o iris
- Mapas faciales, geometría facial o plantillas faciales
- Otros patrones o características biológicas, físicas o de comportamiento únicos
Los datos biométricos se definen como uno o más identificadores biométricos que se utilizan o se pretenden utilizar, individualmente o en combinación con otros datos personales, para identificar a una persona. La ley excluye explícitamente las fotografías, las grabaciones de audio o video, y los datos derivados de estas, a menos que dichos datos se utilicen para fines de identificación.
Una característica destacada de la HB24-1130 es su alcance. La CPA generalmente se aplica solo a las entidades que procesan datos de 100,000 o más residentes de Colorado, o de 25,000 o más residentes si la entidad obtiene ingresos de la venta de datos. La HB24-1130 elimina esos umbrales numéricos para los datos biométricos, lo que significa que cualquier controlador que procese identificadores biométricos de residentes de Colorado debe cumplir, sin importar el volumen.
Requisitos de Consentimiento y Divulgación
La HB24-1130 prohíbe que un controlador recopile un identificador biométrico a menos que primero proporcione aviso y obtenga el consentimiento del consumidor. El aviso debe incluir:
- El propósito específico para recopilar el identificador biométrico
- El período de retención de los datos biométricos
- Si el controlador divulgará el identificador biométrico a algún tercero
Este consentimiento debe ser afirmativo, otorgado libremente, específico, informado e inequívoco. La aceptación general de los términos de servicio no califica. El controlador no puede esconder el consentimiento en letra pequeña ni usar patrones de diseño engañosos para obtenerlo.

Los controladores también enfrentan restricciones sobre lo que pueden hacer con los identificadores biométricos una vez recopilados. No pueden vender, arrendar, intercambiar ni divulgar identificadores biométricos a terceros, a menos que el consumidor consienta, la divulgación cumpla con el propósito original de recopilación, los datos completen una transacción financiera solicitada por el consumidor, o la ley exija la divulgación.
La compra de identificadores biométricos de otra parte también está restringida. Un controlador no puede comprar datos biométricos a menos que pague al consumidor, obtenga consentimiento, y la compra no esté relacionada con la provisión de los productos o servicios del controlador.
Requisitos de Política Escrita
Cualquier controlador que controle o procese identificadores biométricos debe adoptar una política escrita que cubra:
- Cronograma de retención: Cuánto tiempo se almacenarán los identificadores y datos biométricos
- Protocolo de incidentes de seguridad: Pasos para responder a una violación de datos que pueda comprometer la información biométrica
- Lineamientos de eliminación: Cuándo y cómo se destruirán permanentemente los identificadores biométricos
Los controladores deben poner esta política escrita a disposición del público. Existen excepciones limitadas: las políticas que se aplican únicamente a los empleados actuales o que contienen protocolos internos de respuesta a incidentes no necesitan publicarse.
Estas políticas escritas no son opcionales. Deben estar vigentes antes de que el controlador comience a recopilar identificadores biométricos. La Fiscalía General de Colorado tiene autoridad de reglamentación para establecer estándares adicionales sobre lo que estas políticas deben contener.
Plazos de Retención y Destrucción
La HB24-1130 establece plazos claros para destruir los identificadores biométricos. Los controladores deben destruir permanentemente un identificador biométrico en la fecha más temprana de tres posibles:
- Propósito cumplido: La fecha en que se haya cumplido el propósito inicial de recopilar el identificador biométrico
- 24 meses de inactividad: Veinticuatro meses después de que el consumidor interactuó por última vez con el controlador
- Fecha factible más temprana: No más de 45 días después de que un controlador determine, mediante una revisión anual, que el almacenamiento del identificador biométrico ya no es necesario ni relevante para el propósito de procesamiento declarado
Si el volumen o la complejidad de los datos biométricos hacen impráctico el plazo de 45 días, el controlador puede extenderlo hasta 45 días adicionales. Esto significa que la extensión máxima absoluta es de 90 días desde la fecha en que el controlador determina que los datos ya no son necesarios.
Los controladores deben realizar revisiones anuales para identificar los identificadores biométricos elegibles para eliminación. Esto no es una sugerencia. El estatuto lo exige como parte de la política escrita.
Protecciones Específicas para Empleadores
La HB24-1130 contiene algunas de las protecciones biométricas específicas para empleadores más sólidas del país. La ley traza una línea clara entre lo que los empleadores pueden y no pueden exigir.
Usos permitidos como condición de empleo:
Un empleador puede exigir el consentimiento biométrico como condición de empleo únicamente para estos fines limitados:
- Acceder a una instalación segura o a hardware seguro (excluyendo el rastreo de ubicación o el monitoreo del tiempo de uso de aplicaciones)
- Registrar las horas de inicio y fin de la jornada laboral
- Mejorar la seguridad en el lugar de trabajo
- Proteger la seguridad pública durante emergencias
Conducta prohibida para los empleadores:
Para cualquier uso biométrico fuera de esas cuatro categorías, un empleador no puede exigir que un empleado o candidato consienta como condición de empleo. Los empleadores tampoco pueden tomar represalias contra ningún empleado o candidato que se niegue a otorgar el consentimiento biométrico.

La ley define ampliamente el término "empleado" para incluir a los trabajadores de tiempo completo, medio tiempo, disponibilidad, contratistas, pasantes y becarios. Esto es significativo porque las disposiciones generales de la CPA históricamente excluían los datos personales en el contexto laboral. La HB24-1130 crea una excepción dentro de esa exención para llevar las protecciones biométricas al lugar de trabajo.
Si un empleador recopila huellas dactilares para un reloj checador, eso se encuentra dentro de los usos permitidos. Si el mismo empleador desea usar el reconocimiento facial para rastrear cuánto tiempo pasan los empleados en ciertas áreas del edificio, eso requiere un consentimiento separado y voluntario, y no puede ser una condición para la continuidad del empleo.
Cómo Interactúa la HB24-1130 con la CPA
La Ley de Privacidad de Colorado y la HB24-1130 funcionan como protecciones superpuestas, no como alternativas. Así es como interactúan ambas leyes:
Base de la CPA (vigente desde el 1 de julio de 2023): Los datos biométricos utilizados para identificar a una persona califican como datos sensibles bajo C.R.S. § 6-1-1303(24). Los controladores deben obtener consentimiento afirmativo antes de procesar cualquier dato sensible. Los consumidores tienen derecho a acceder, corregir, eliminar y transferir sus datos biométricos. Se requieren evaluaciones de protección de datos antes de procesar datos sensibles.
Adiciones de la HB24-1130 (vigente desde el 1 de julio de 2025): Además de la base de la CPA, los controladores que procesan identificadores biométricos deben adoptar políticas escritas, seguir cronogramas específicos de retención y destrucción, cumplir con requisitos de divulgación reforzados antes de la recopilación, cumplir con las restricciones sobre la venta o el intercambio de datos biométricos, y seguir las reglas de consentimiento específicas para empleadores.
Un controlador que procese datos biométricos en Colorado debe cumplir con ambos conjuntos de requisitos simultáneamente. La CPA proporciona el marco amplio de datos sensibles, y la HB24-1130 agrega el detalle específico sobre datos biométricos.
Derechos del Consumidor Sobre los Datos Biométricos
Los residentes de Colorado tienen varios derechos sobre su información biométrica bajo el marco combinado de la CPA y la HB24-1130:
- Derecho a saber: Los consumidores pueden preguntar si un controlador recopila sus datos biométricos y qué categorías se recopilan
- Derecho de acceso: Los consumidores pueden solicitar una copia de sus datos biométricos
- Derecho a corregir: Los consumidores pueden pedir a un controlador que corrija información biométrica inexacta
- Derecho a eliminar: Los consumidores pueden solicitar la eliminación de sus identificadores biométricos
- Derecho a la portabilidad de datos: Los consumidores pueden descargar y transferir sus datos biométricos en un formato portátil
- Derecho a optar por no participar: Los consumidores pueden optar por no participar en la venta de sus datos biométricos o en su uso para publicidad dirigida
Los controladores deben responder a las solicitudes de derechos de los consumidores y no pueden discriminar a los consumidores que ejercen estos derechos.
Sanciones y Aplicación
La HB24-1130 no crea un derecho de acción privada. Los consumidores individuales no pueden presentar demandas por violaciones a las leyes de privacidad biométrica de Colorado. La autoridad de aplicación recae exclusivamente en la Fiscalía General de Colorado y los fiscales de distrito.
Las violaciones de la CPA, incluidas las disposiciones biométricas, se consideran prácticas comerciales engañosas bajo C.R.S. § 6-1-112. Las sanciones incluyen:
- Hasta $20,000 por violación para violaciones estándar
- Hasta $50,000 por violación cuando la víctima tiene 60 años de edad o más
- Hasta $500,000 por una serie relacionada de violaciones
- Sin límite estatutario en las sanciones agregadas por violaciones no relacionadas

Un cambio importante en la aplicación entró en vigor el 1 de enero de 2025: ya no se requiere el período de subsanación de 60 días que anteriormente daba a las empresas la oportunidad de corregir las violaciones antes de enfrentar sanciones. La Fiscalía General y los fiscales de distrito ahora tienen discreción para perseguir acciones de aplicación de inmediato.
La Fiscalía General también tiene autoridad de reglamentación bajo la HB24-1130 para emitir reglas que implementen las disposiciones biométricas. El Departamento de Derecho de Colorado adoptó enmiendas a las Reglas de la CPA (4 CCR 904-3) en diciembre de 2024, con reglas relacionadas con datos biométricos entrando en vigor junto con la HB24-1130 el 1 de julio de 2025. Estas reglas exigen que los avisos biométricos sean "concretos y definitivos", estén claramente etiquetados dentro de las políticas de privacidad, y se proporcionen antes de la recopilación o de cambios materiales en el procesamiento.
Cómo Se Compara Colorado con la BIPA de Illinois
La ley de privacidad biométrica de Colorado a menudo se compara con la Ley de Privacidad de la Información Biométrica de Illinois (BIPA), el estatuto de privacidad biométrica más agresivo del país. Las diferencias clave:
| Característica | Colorado (HB24-1130 + CPA) | Illinois (BIPA) |
|---|---|---|
| Derecho de acción privada | No | Sí |
| Daños estatutarios | Ninguno (solo sanciones de la Fiscalía General) | $1,000-$5,000 por violación |
| Consentimiento requerido | Sí | Sí |
| Política escrita requerida | Sí | Sí |
| Restricciones para empleadores | Detalladas, con usos específicos permitidos | Requisito general de consentimiento |
| Plazo de retención | 24 meses o propósito cumplido | 3 años o propósito cumplido |
| Umbral de alcance | Ninguno para datos biométricos | Ninguno |
La ausencia de un derecho de acción privada es la diferencia más significativa. La BIPA de Illinois ha generado cientos de demandas colectivas. El modelo de Colorado, basado únicamente en la aplicación gubernamental, significa que la Fiscalía General decide qué casos perseguir.
Sin embargo, las protecciones específicas para empleadores de Colorado son más detalladas que las de la BIPA de Illinois. La lista explícita de usos laborales permitidos y la disposición contra represalias otorgan a los empleados de Colorado protecciones más claras en el lugar de trabajo.

Más Leyes de Colorado
- Leyes de Grabación de Reuniones con IA de Colorado
- Leyes de Pensión Alimenticia de Colorado
- Leyes de Empleo a Voluntad de Colorado
- Leyes de Accidentes Automovilísticos de Colorado
- Leyes de Asientos de Seguridad para Niños de Colorado
- Leyes de Custodia de Menores de Colorado
- Leyes de Manutención Infantil de Colorado
- Leyes de Matrimonio de Hecho de Colorado
- Leyes de Deepfake de Colorado
- Leyes de Divorcio de Colorado
- Leyes de Mordedura de Perro de Colorado
- Leyes de Emancipación de Colorado
- Leyes de Eliminación de Antecedentes de Colorado
- Leyes de Choque y Fuga de Colorado
- Leyes de Propietario e Inquilino de Colorado
- Leyes del Limón de Colorado
Este artículo tiene fines meramente informativos y no constituye asesoría legal. Las leyes de privacidad biométrica y las interpretaciones de aplicación cambian con el tiempo. Consulte a un abogado con licencia en Colorado para obtener asesoría sobre su situación específica. Última revisión: marzo de 2026.
¿Afectado por una filtración de datos o una violación de privacidad biométrica?
Si sus datos personales quedaron expuestos en una filtración, o si su huella dactilar o escaneo facial se recopiló sin su consentimiento, podría ser elegible para unirse a un reclamo por compensación. Averígüelo gratis y sin compromiso.
Fuentes y referencias
- HB24-1130 Privacidad de Identificadores y Datos Biométricos(leg.colorado.gov).gov
- Ley de Privacidad de Colorado (SB21-190)(leg.colorado.gov).gov
- Fiscalía General de Colorado - Ley de Privacidad de Colorado(coag.gov).gov
- Fiscalía General de Colorado - Preguntas Frecuentes sobre las Leyes de Protección de Datos del Consumidor(coag.gov).gov
- Reglamentación de la Ley de Privacidad de Colorado 2025(coag.gov).gov
- La Fiscalía General de Colorado Inicia la Aplicación de la CPA(coag.gov).gov
- HB19-1289 Sanciones de la Ley de Protección al Consumidor(leg.colorado.gov).gov
- Reglas Finales de la CPA de Colorado (4 CCR 904-3)(coag.gov).gov
- Enmiendas Propuestas de 2024 a las Reglas de la CPA(coag.gov).gov