Connecticut
Leyes de Privacidad Biometrica de Connecticut: Recopilacion, Consentimiento y Sanciones (2026)

Connecticut regula los datos biometricos bajo la Ley de Privacidad de Datos de Connecticut (CTDPA, Conn. Gen. Stat. 42-515 y siguientes), que clasifica los identificadores biometricos como huellas dactilares y huellas de voz como datos sensibles. Las empresas deben obtener consentimiento de inclusion voluntaria antes de recopilar datos biometricos de residentes de Connecticut. Connecticut no tiene un estatuto biometrico independiente como la BIPA de Illinois.
Connecticut ofrece algunas de las protecciones de privacidad biometrica mas solidas del noreste de Estados Unidos. En lugar de promulgar una ley biometrica independiente como hizo Illinois con la BIPA, Connecticut incorporo las protecciones de datos biometricos en su Ley de Privacidad de Datos de Connecticut (CTDPA), integral, firmada como PA 22-15 el 10 de mayo de 2022, y vigente desde el 1 de julio de 2023.
La CTDPA trata los datos biometricos como datos sensibles, lo que activa un estandar de proteccion mas alto que los datos personales ordinarios. Cualquier empresa que recopile huellas dactilares, escaneos faciales, huellas de voz o identificadores similares de residentes de Connecticut debe obtener primero un consentimiento afirmativo.
Para un contexto mas amplio sobre el marco general de privacidad de Connecticut, consulte la guia principal sobre las Leyes de Privacidad de Datos de Connecticut.
Como Define la CTDPA los Datos Biometricos
Bajo Conn. Gen. Stat. 42-515(3), "datos biometricos" significa datos generados por mediciones automaticas de las caracteristicas biologicas de una persona. El estatuto enumera ejemplos especificos:
- Huellas dactilares recopiladas a traves de escaneres o dispositivos tactiles
- Huellas de voz capturadas a traves de sistemas de reconocimiento de voz
- Retinas e iris del ojo escaneados con fines de identificacion
- Otros patrones o caracteristicas biologicas unicos usados para identificar a una persona especifica
La definicion incluye una excepcion importante. Las fotografias, grabaciones de audio y grabaciones de video no califican como datos biometricos a menos que se procesen especificamente para generar una plantilla de identificador biometrico. Una camara de seguridad que graba un vestibulo, por ejemplo, no es un dato biometrico. Pero pasar esas imagenes por un software de reconocimiento facial para extraer mediciones de geometria facial crearia datos biometricos sujetos a la CTDPA.
Definicion Ampliada de 2025
Las reformas de 2025 a la CTDPA ampliaron lo que califica como informacion biometrica protegida de dos maneras significativas. Primero, la ley ahora cubre la "informacion derivada" de los datos biometricos, no solo los datos biometricos crudos en si. Segundo, la legislatura agrego los "datos neuronales" como una nueva categoria de datos sensibles, convirtiendo a Connecticut en uno de los primeros estados junto con California y Colorado en proteger los datos de interfaces cerebro-computadora.
Las reformas tambien eliminaron el requisito de que los datos biometricos debian ser "procesados con el proposito de identificar de manera unica a una persona" para calificar como datos sensibles. Bajo la ley actualizada, los datos biometricos son sensibles independientemente de si el controlador los esta usando activamente para identificacion.
Quien Debe Cumplir
La CTDPA aplica a cualquier persona que haga negocios en Connecticut o produzca productos o servicios dirigidos a residentes de Connecticut y cumpla con uno de estos umbrales durante el ano calendario anterior:
- Controlo o proceso los datos personales de al menos 100,000 consumidores (excluyendo los datos procesados unicamente para transacciones de pago), o
- Controlo o proceso los datos personales de al menos 25,000 consumidores y obtuvo mas del 25% de los ingresos brutos de la venta de datos personales
Las reformas de 2025 agregaron una expansion critica. A partir del 1 de julio de 2025, cualquier entidad que controle o procese cualquier dato sensible (lo cual incluye datos biometricos) debe cumplir con la CTDPA independientemente de si cumple con los umbrales numericos anteriores. La unica excepcion son los datos sensibles procesados unicamente para completar una transaccion de pago.
Esto significa que incluso las pequenas empresas que recopilan huellas dactilares para relojes de asistencia de empleados o usan reconocimiento facial para el acceso a edificios ahora caen bajo la CTDPA si manejan datos biometricos de residentes de Connecticut.

Exenciones
La CTDPA exime a ciertas entidades y tipos de datos de la cobertura:
- Agencias gubernamentales y entidades que actuan en nombre del gobierno estatal o local
- Organizaciones sin fines de lucro
- Instituciones de educacion superior
- Datos protegidos bajo HIPAA, GLBA (Ley Gramm-Leach-Bliley) y ciertos otros marcos federales
- Datos de empleados y contactos comerciales (aunque las reformas de 2025 redujeron esta exencion para el procesamiento de datos sensibles)
Requisitos de Consentimiento para Datos Biometricos
Debido a que los datos biometricos califican como datos sensibles, los controladores deben obtener el consentimiento de inclusion voluntaria del consumidor antes de procesarlos. Este es un estandar mas alto que el de los datos personales ordinarios, donde los controladores solo necesitan proporcionar aviso y respetar las solicitudes de exclusion voluntaria.
El consentimiento debe ser:
- Otorgado libremente por el consumidor sin coercion
- Informado, lo que significa que el consumidor entiende que datos biometricos se estan recopilando y como se usaran
- Especifico para la actividad de procesamiento biometrico
- Inequivoco, demostrado a traves de una accion afirmativa clara
Los controladores no pueden ocultar el consentimiento dentro de un acuerdo general de terminos de servicio. La CTDPA exige que el consentimiento para el procesamiento de datos sensibles sea separado y distinto de otros permisos.
Requisitos de Tecnologia de Reconocimiento Facial
Las reformas de 2025 agregaron obligaciones especificas para las empresas que despliegan tecnologia de reconocimiento facial (FRT). Las organizaciones que usan FRT deben:
- Proporcionar un aviso razonablemente accesible, claro y significativo sobre el uso del reconocimiento facial
- Obtener consentimiento informado y otorgado libremente antes de procesar datos biometricos a traves de FRT
- Proporcionar un mecanismo efectivo para que los consumidores revoquen el consentimiento
- Realizar evaluaciones de proteccion de datos que aborden especificamente los riesgos de sesgo y discriminacion
La Fiscalia General de Connecticut ha senalado que el cumplimiento de FRT es una prioridad de cumplimiento. Despues de recibir quejas sobre supermercados que usan software biometrico para la deteccion de hurtos, la oficina de la Fiscalia General declaro que "las empresas que despliegan FRT deben cumplir con la CTDPA" sin excepcion general para la prevencion de perdidas.
Evaluaciones de Proteccion de Datos
Los controladores que procesan datos biometricos deben realizar evaluaciones de proteccion de datos (DPA) antes de comenzar ese procesamiento. Bajo Conn. Gen. Stat. 42-520, se requiere una DPA para cualquier procesamiento que presente un "riesgo elevado de dano a un consumidor", lo cual incluye explicitamente el procesamiento de datos sensibles.
Cada evaluacion debe sopesar los beneficios del procesamiento contra los riesgos potenciales para los consumidores, considerando:
- El uso de datos desidentificados cuando sea posible
- Las expectativas razonables de los consumidores
- La relacion entre el procesamiento y el proposito declarado
- Cualquier salvaguarda que el controlador haya implementado
Para los datos biometricos usados en perfilamiento que produce efectos legales o similarmente significativos, las reformas de 2025 exigen que los controladores documenten las entradas y salidas de datos, las metricas de rendimiento, y las salvaguardas especificas contra el sesgo y la discriminacion. Los controladores tambien deben proporcionar "capacitacion especifica sobre sesgo y discriminacion en FRT" para el personal relevante.
Las DPA deben ponerse a disposicion de la Fiscalia General a solicitud.
Cumplimiento y Sanciones

La Fiscalia General de Connecticut tiene autoridad exclusiva de cumplimiento sobre la CTDPA. No existe un derecho de accion privado, lo que significa que las personas no pueden presentar demandas contra las empresas por infracciones de privacidad biometrica.
Cronologia de Cumplimiento
El marco de cumplimiento de la CTDPA ha evolucionado desde que la ley entro en vigor:
- Del 1 de julio de 2023 al 31 de diciembre de 2024: La Fiscalia General debia dar a las empresas un periodo de subsanacion de 60 dias antes de iniciar una accion de cumplimiento
- Desde el 1 de enero de 2025: El periodo de subsanacion expiro. La Fiscalia General ahora puede iniciar el cumplimiento inmediato de las infracciones sin ofrecer primero la oportunidad de corregirlas
Sanciones
Las infracciones de la CTDPA se tratan como practicas comerciales injustas bajo la Ley de Practicas Comerciales Justas de Connecticut (CUTPA, Conn. Gen. Stat. 42-110a y siguientes). Las sanciones incluyen:
- Sanciones civiles de hasta $5,000 por infraccion deliberada
- Medidas cautelares para detener infracciones en curso
- Restitucion a los consumidores afectados
- Desembolso de las ganancias obtenidas a traves de infracciones
Actividad de Cumplimiento en 2025
El Fiscal General William Tong publico un reporte de cumplimiento de 2025 que documenta el primer ano completo de cumplimiento activo de la CTDPA por parte de la oficina. Los hallazgos clave incluyen:
- La oficina emitio 63 cartas de advertencia y docenas de avisos de infracciones
- Se finalizaron multiples acuerdos por violaciones de datos, incluyendo un acuerdo de $200,000 con PharMerica (que afecto a 105,000 residentes de Connecticut) y un acuerdo de $200,000 con WebTPA Employer Services
- TicketNetwork pago $85,000 por infracciones al aviso de privacidad, incluyendo avisos dificiles de leer y mecanismos de derechos inoperables
- Se abrieron investigaciones activas sobre vehiculos conectados, plataformas de redes sociales, plataformas de videojuegos, chatbots de IA y corredores de datos
Aunque la oficina de la Fiscalia General todavia no ha anunciado una accion de cumplimiento especifica sobre biometria, la oficina ha dejado claro que el cumplimiento de datos biometricos es un area de enfoque, particularmente en torno al despliegue de tecnologia de reconocimiento facial.
Datos Biometricos y Notificacion de Violacion
El estatuto separado de notificacion de violacion de datos de Connecticut (Conn. Gen. Stat. 36a-701b) proporciona una capa adicional de proteccion para los datos biometricos.
Cualquier persona que sea propietaria, tenga licencia sobre, o mantenga datos computarizados que contengan informacion personal debe notificar a la Fiscalia General y a los residentes afectados de Connecticut dentro de 60 dias de descubrir una violacion. La ley de Connecticut incluye los datos biometricos dentro de su definicion de informacion personal que activa los requisitos de notificacion de violacion.
Si una violacion involucra datos biometricos, la entidad afectada debe:
- Notificar a la Fiscalia General a mas tardar cuando se notifica a los residentes
- Notificar a los residentes afectados sin demora injustificada y dentro de 60 dias
- Describir las categorias de informacion involucradas en la violacion
- Proporcionar informacion de contacto de la entidad y las agencias gubernamentales relevantes
El incumplimiento de los requisitos de notificacion de violacion constituye una infraccion de la CUTPA, con el mismo marco de sanciones que las infracciones de la CTDPA.
Obligaciones del Empleador para Datos Biometricos
Los empleadores de Connecticut que usan tecnologia biometrica en el lugar de trabajo enfrentan requisitos especificos de cumplimiento bajo la CTDPA. Los usos comunes en el lugar de trabajo incluyen escaneres de huellas dactilares para asistencia, reconocimiento facial para el acceso a edificios, y lectores de geometria de mano o palma para areas seguras.
Los empleadores deben:
- Obtener consentimiento de inclusion voluntaria de los empleados antes de recopilar cualquier dato biometrico
- Proporcionar un aviso claro que explique que datos biometricos se recopilan, por que, y cuanto tiempo se conservaran
- Limitar la recopilacion a lo que sea razonablemente necesario para el proposito declarado
- Implementar medidas de seguridad apropiadas para proteger los datos biometricos almacenados
- Establecer cronogramas de retencion y eliminacion y seguirlos
- Realizar una evaluacion de proteccion de datos antes de desplegar sistemas biometricos
Las reformas de 2025 redujeron la exencion de datos de empleados, lo que significa que los empleadores ya no pueden confiar ampliamente en el contexto laboral para evitar las obligaciones de la CTDPA al procesar datos biometricos.
Derechos del Consumidor Sobre los Datos Biometricos

Los residentes de Connecticut tienen varios derechos con respecto a sus datos biometricos bajo la CTDPA:
- Derecho a saber: Los consumidores pueden confirmar si un controlador esta procesando sus datos biometricos y acceder a esos datos. Sin embargo, bajo las reformas de 2025, los controladores no pueden divulgar directamente los datos biometricos en si en respuesta a las solicitudes de acceso. En cambio, deben informar a los consumidores "con suficiente particularidad" sobre que informacion biometrica se recopilo.
- Derecho de correccion: Los consumidores pueden solicitar la correccion de datos biometricos inexactos.
- Derecho de eliminacion: Los consumidores pueden solicitar la eliminacion de sus datos biometricos.
- Derecho a la portabilidad de datos: Los consumidores pueden obtener una copia de sus datos en un formato portatil.
- Derecho de exclusion voluntaria: Los consumidores pueden excluirse de la venta de datos biometricos, la publicidad dirigida basada en datos biometricos, y el perfilamiento que usa datos biometricos.
- Derecho a revocar el consentimiento: Los consumidores pueden retirar el consentimiento previamente otorgado para el procesamiento de datos biometricos. Los controladores deben detener el procesamiento dentro de 15 dias de recibir la revocacion.
Los controladores deben responder a las solicitudes de derechos del consumidor dentro de 45 dias, con la posibilidad de una extension de 45 dias cuando sea razonablemente necesario.
Legislacion Pendiente (2026)
La sesion 2026 de la Asamblea General de Connecticut (del 4 de febrero al 6 de mayo de 2026) incluye legislacion propuesta que fortaleceria aun mas las protecciones de privacidad biometrica:
- Regulacion ampliada del reconocimiento facial: Propuestas para definir la tecnologia de reconocimiento facial de manera mas especifica e imponer requisitos adicionales de despliegue
- Restricciones sobre la venta de geolocalizacion y datos biometricos: Proyectos de ley para prohibir la venta, el intercambio o la transferencia de datos de geolocalizacion precisa e identificadores biometricos
- Privacidad de datos geneticos independiente: La oficina de la Fiscalia General ha recomendado que la legislatura considere una legislacion separada sobre privacidad de datos geneticos
El reporte de cumplimiento de 2025 de la Fiscalia General tambien recomendo reducir la definicion de "informacion publicamente disponible" para fortalecer la supervision de los corredores de datos que pueden manejar datos biometricos.
Como se Compara Connecticut con Otros Estados
El marco de privacidad biometrica de Connecticut se ubica en un nivel intermedio entre los estados de EE. UU.:
| Caracteristica | Connecticut (CTDPA) | Illinois (BIPA) | Texas (CUBI) |
|---|---|---|---|
| Tipo de ley | Ley integral de privacidad | Ley biometrica independiente | Ley biometrica independiente |
| Derecho de accion privado | No | Si | No |
| Consentimiento requerido | Si (inclusion voluntaria) | Si (por escrito) | Si (informado) |
| Sanciones | $5,000/infraccion (CUTPA) | $1,000-$5,000/infraccion | $25,000/infraccion |
| Periodo de subsanacion | Expiro en dic. 2024 | Ninguno | 30 dias |
| Cubre a empleados | Si (exenciones limitadas) | Si | Si |
| Evaluacion de proteccion de datos | Requerida | No requerida | No requerida |
El enfoque de Connecticut de incorporar las protecciones biometricas dentro de una ley integral de privacidad proporciona una cobertura mas amplia que los estatutos biometricos independientes, pero la ausencia de un derecho de accion privado limita las opciones de cumplimiento individual en comparacion con Illinois.
Mas Leyes de Connecticut
- Leyes de grabacion de reuniones con IA en Connecticut
- Leyes de pension alimenticia en Connecticut
- Leyes de empleo a voluntad en Connecticut
- Leyes de accidentes automovilisticos en Connecticut
- Leyes de asientos de seguridad para ninos en Connecticut
- Leyes de custodia de menores en Connecticut
- Leyes de manutencion infantil en Connecticut
- Leyes de matrimonio de hecho en Connecticut
- Leyes sobre deepfakes en Connecticut
- Leyes de divorcio en Connecticut
- Leyes sobre mordeduras de perro en Connecticut
- Leyes de emancipacion en Connecticut
- Leyes de eliminacion de antecedentes penales en Connecticut
- Leyes sobre atropello y fuga en Connecticut
- Leyes de propietarios e inquilinos en Connecticut
- Leyes del limon en Connecticut
Descargo de Responsabilidad
Este articulo proporciona informacion legal general sobre las leyes de privacidad biometrica de Connecticut y no constituye asesoria legal. Las leyes y regulaciones cambian con frecuencia, y su aplicacion varia segun las circunstancias especificas. Consulte a un abogado calificado con licencia en Connecticut para orientacion sobre su situacion particular.
Preguntas frecuentes
Tiene Connecticut una ley de privacidad biometrica independiente como la BIPA de Illinois?
No. Connecticut protege los datos biometricos a traves de su Ley de Privacidad de Datos de Connecticut integral (CTDPA, Conn. Gen. Stat. 42-515 y siguientes) en lugar de un estatuto biometrico independiente. La CTDPA clasifica los datos biometricos como datos sensibles, lo que activa requisitos de consentimiento de inclusion voluntaria y otras protecciones elevadas. Este enfoque proporciona una cobertura amplia pero no incluye un derecho de accion privado como la BIPA de Illinois.
Que datos biometricos protege la CTDPA?
La CTDPA protege huellas dactilares, huellas de voz, escaneos de retina, escaneos de iris y otros patrones o caracteristicas biologicas unicos generados por mediciones automaticas y usados para identificar a una persona especifica. A partir de 2025, la ley tambien cubre la informacion derivada de datos biometricos y los datos neuronales. Las fotografias y grabaciones de audio/video estan excluidas a menos que se procesen para extraer identificadores biometricos.
Puedo demandar a una empresa en Connecticut por el mal uso de mis datos biometricos?
No. La CTDPA no incluye un derecho de accion privado. Solo la Fiscalia General de Connecticut puede hacer cumplir la ley. Si cree que una empresa ha violado sus derechos de privacidad biometrica, puede presentar una queja ante la oficina de la Fiscalia General en portal.ct.gov/ag. La Fiscalia General puede buscar sanciones civiles de hasta $5,000 por infraccion deliberada y solicitar medidas cautelares, restitucion y desembolso de ganancias.
Necesitan los empleadores de Connecticut consentimiento para usar relojes de huella dactilar?
Si. Debido a que las huellas dactilares son datos biometricos clasificados como datos sensibles bajo la CTDPA, los empleadores deben obtener consentimiento de inclusion voluntaria de los empleados antes de recopilar huellas dactilares para sistemas de asistencia. Los empleadores tambien deben proporcionar un aviso claro sobre que datos se recopilan, como se usaran, y cuanto tiempo se conservaran. Las reformas de 2025 eliminaron la exencion de umbral numerico para las entidades que procesan datos sensibles, por lo que esto aplica sin importar el tamano de la empresa.
Que sucede si una empresa sufre una violacion de datos que involucra datos biometricos en Connecticut?
La ley de notificacion de violacion de Connecticut (Conn. Gen. Stat. 36a-701b) exige que la entidad notifique tanto a la Fiscalia General como a los residentes afectados dentro de 60 dias de descubrir la violacion. La notificacion debe describir las categorias de informacion involucradas y proporcionar datos de contacto. El incumplimiento es una infraccion de la Ley de Practicas Comerciales Justas de Connecticut, que conlleva sanciones civiles. En 2025, la Fiscalia General finalizo multiples acuerdos por violaciones de datos, incluyendo una sancion de $200,000 contra PharMerica por una violacion que afecto a mas de 100,000 residentes de Connecticut.
¿Afectado por una filtración de datos o una violación de privacidad biométrica?
Si sus datos personales quedaron expuestos en una filtración, o si su huella dactilar o escaneo facial se recopiló sin su consentimiento, podría ser elegible para unirse a un reclamo por compensación. Averígüelo gratis y sin compromiso.
Fuentes y referencias
- Connecticut Data Privacy Act full statutory text(cga.ct.gov).gov
- CT Attorney General CTDPA overview and guidance(portal.ct.gov).gov
- PA 22-15 (SB 6) original CTDPA enactment(cga.ct.gov).gov
- PA 25-113 (SB 1295) 2025 CTDPA amendments(cga.ct.gov).gov
- AG Tong 2025 CTDPA enforcement report(portal.ct.gov).gov
- CT AG consumer rights advisory(portal.ct.gov).gov
- CT breach notification reporting requirements(portal.ct.gov).gov
- SB 1356 (2025) bill status and analysis(cga.ct.gov).gov