Delaware
Leyes de Privacidad Biométrica de Delaware: Recolección, Consentimiento y Sanciones (2026)

Delaware protege los datos biométricos, incluidas las huellas dactilares, las huellas de voz y los escaneos de iris, como una categoría de datos personales sensibles bajo la Ley de Privacidad de Datos Personales de Delaware (DPDPA), que entró en vigencia el 1 de enero de 2025. La DPDPA exige consentimiento afirmativo de inclusión antes de la recolección y otorga al Fiscal General autoridad exclusiva de aplicación, sin derecho de acción privada.
Delaware no cuenta con una ley independiente de privacidad biométrica como la BIPA de Illinois. En cambio, el estado protege la información biométrica a través de la Ley de Privacidad de Datos Personales de Delaware (DPDPA), una ley integral de privacidad de datos firmada por el gobernador John Carney el 11 de septiembre de 2023, vigente desde el 1 de enero de 2025. La DPDPA trata los datos biométricos como una categoría de "datos sensibles" que activa requisitos de consentimiento reforzados y restricciones de procesamiento.
Esta guía cubre cómo la ley de Delaware define y regula los datos biométricos, qué obligaciones enfrentan las empresas, cómo funciona la aplicación de la ley, y cómo se aplican las reglas de notificación de violaciones a la información biométrica.
Cómo Define la Ley de Delaware los Datos Biométricos
Según la Sección 12D-102(3) de la DPDPA, los datos biométricos son los datos generados por mediciones automáticas de las características biológicas únicas de una persona. El estatuto enumera ejemplos específicos:
- Huellas dactilares
- Huellas de voz
- Retinas oculares
- Iris
- Otros patrones o características biológicas únicas
El requisito definitorio es que estas mediciones deben usarse para identificar a una persona específica.
Qué Está Excluido
La DPDPA excluye explícitamente ciertas categorías de la definición de datos biométricos. Las fotografías digitales o físicas, las grabaciones de audio y las grabaciones de video no califican como datos biométricos, a menos que alguien las procese específicamente para identificar a una persona en particular.
Esta distinción importa en la práctica. Una grabación de cámara de seguridad en un lugar de trabajo de Delaware no es, por sí sola, datos biométricos. Sin embargo, si una empresa procesa esa grabación con software de reconocimiento facial para identificar a los empleados, los datos de huella facial extraídos se convierten en datos biométricos sujetos a los requisitos de la DPDPA.
Los Datos Biométricos como Datos Sensibles Bajo la DPDPA
La Sección 12D-102(30) clasifica los datos biométricos junto con otras categorías de datos personales sensibles, incluidas:
- Origen racial o étnico
- Creencias religiosas
- Condiciones o diagnósticos de salud mental o física
- Orientación sexual
- Ciudadanía o estatus migratorio
- Datos genéticos
- Datos de geolocalización precisa (dentro de un radio de 1,750 pies)
- Datos relativos a menores conocidos
Esta clasificación es significativa porque los datos sensibles reciben protecciones más fuertes que los datos personales ordinarios bajo la DPDPA. Los controladores enfrentan obligaciones adicionales antes de poder recopilar o usar cualquier información en estas categorías.
Requisitos de Consentimiento para los Datos Biométricos
La protección biométrica más importante de la DPDPA es su mandato de consentimiento. Según la Sección 12D-105, los controladores no pueden procesar datos sensibles, incluidos los datos biométricos, sin obtener primero el consentimiento del consumidor.
Qué Cuenta como Consentimiento Válido
La ley de Delaware establece un estándar alto para el consentimiento válido. La Sección 12D-102(7) exige un "acto afirmativo claro" que sea:
- Otorgado libremente por el consumidor sin coacción
- Específico para la actividad de procesamiento de datos
- Informado, con un aviso claro sobre qué datos se recopilan y por qué
- Inequívoco al expresar el acuerdo

Qué No Cuenta como Consentimiento
La DPDPA rechaza específicamente varias prácticas comerciales comunes como consentimiento válido:
- Aceptar términos de servicio amplios o políticas generales de uso
- Pasar el cursor sobre, detenerse en, o interactuar de otra manera con el contenido del sitio web
- Acuerdo obtenido mediante un diseño de página web engañoso o manipulador (patrones oscuros)
Esto significa que una empresa no puede ocultar el consentimiento de datos biométricos en un extenso acuerdo de términos de servicio y alegar cumplimiento. La recolección de datos biométricos requiere un mecanismo de consentimiento separado y específico.
Reglas Especiales para Menores
Al procesar datos biométricos de un menor conocido, los controladores deben obtener el consentimiento del padre, madre o tutor legal del menor. El controlador también debe cumplir con la Sección 1204C del Código de Delaware, que se alinea con las protecciones federales de la COPPA.
Quién Debe Cumplir: Umbrales de Aplicabilidad
La DPDPA no se aplica a todas las empresas que operan en Delaware. Según la Sección 12D-103, la ley cubre a las entidades que realizan negocios en Delaware y cumplen con al menos uno de estos umbrales:
- Controlaron o procesaron los datos personales de 35,000 o más consumidores durante el año calendario anterior, O
- Controlaron o procesaron los datos personales de 10,000 o más consumidores y derivaron más del 20% de los ingresos brutos de la venta de datos personales
Exenciones Clave
Varias categorías de organizaciones y datos están exentas de la DPDPA:
- Entidades gubernamentales (excluyendo las instituciones estatales de educación superior)
- Instituciones financieras sujetas a la Ley Gramm-Leach-Bliley (GLBA)
- Entidades cubiertas por HIPAA e información de salud protegida
- Registros educativos regidos por la FERPA
- Actividades de la Fair Credit Reporting Act
- Organizaciones sin fines de lucro que atienden a víctimas de abuso, tráfico o acoso
Estas exenciones significan que un hospital que recopila huellas dactilares para la identificación de pacientes probablemente esté cubierto por HIPAA en lugar de la DPDPA. Un banco que use autenticación por huella dactilar típicamente caería bajo la GLBA en su lugar.
Obligaciones de los Controladores para los Datos Biométricos
Más allá del requisito de consentimiento, la DPDPA impone varios deberes a los controladores que manejan datos biométricos.
Minimización de Datos
Los controladores deben limitar su recolección de datos biométricos a lo que sea "adecuado, relevante y razonablemente necesario" para el propósito divulgado. Un minorista que necesita escaneos de huellas dactilares para el control de asistencia de los empleados no puede también usar esos escaneos para analítica de marketing.
Requisitos de Seguridad
Los controladores deben establecer "prácticas razonables de seguridad de datos administrativas, técnicas y físicas" para proteger los datos biométricos. Si bien el estatuto no especifica estándares de seguridad exactos, la Sección 12D-106 hace referencia a marcos como los estándares del NIST y de ISO/IEC como puntos de referencia aceptables.
Aviso de Privacidad
Todo controlador que procese datos biométricos debe proporcionar un "aviso de privacidad razonablemente accesible, claro y significativo" que divulgue las categorías de datos personales procesados, los fines del procesamiento, cómo los consumidores pueden ejercer sus derechos, y qué categorías de datos se comparten con terceros.
Revocación Sencilla
Si un consumidor otorgó su consentimiento para el procesamiento de datos biométricos, el controlador debe proporcionar una forma de revocar ese consentimiento. El mecanismo de revocación debe ser "al menos tan fácil como" el método utilizado para otorgar el consentimiento originalmente.
No Discriminación
Los controladores no pueden discriminar a los consumidores que ejercen sus derechos de privacidad. Una empresa no puede negar servicios ni cobrar precios más altos a un empleado que se niegue a proporcionar datos de huellas dactilares, siempre que los datos biométricos no sean estrictamente necesarios para el servicio.
Derechos del Consumidor sobre los Datos Biométricos
Los residentes de Delaware tienen varios derechos según la Sección 12D-104 que se aplican a sus datos biométricos:
- Derecho a confirmar y acceder: los consumidores pueden preguntar si una empresa procesa sus datos biométricos y solicitar una copia.
- Derecho de corrección: los consumidores pueden exigir la corrección de registros biométricos inexactos.
- Derecho de eliminación: los consumidores pueden solicitar la eliminación de sus datos biométricos.
- Derecho a la portabilidad: los consumidores pueden obtener sus datos biométricos en un formato portátil.
- Derecho a conocer a los destinatarios externos: los consumidores pueden solicitar una lista de los terceros que recibieron sus datos biométricos.
- Derecho de exclusión: los consumidores pueden excluirse de la venta de sus datos biométricos, de su uso para publicidad dirigida, o de la elaboración automatizada de perfiles.
Los controladores deben responder a estas solicitudes dentro de los 45 días, con una posible extensión de 45 días. La primera solicitud en cualquier período de 12 meses debe procesarse sin costo.
Los consumidores también pueden designar a un agente autorizado para ejercer los derechos de exclusión en su nombre, incluso a través de la configuración del navegador, extensiones enfocadas en la privacidad, u otros mecanismos técnicos.
Obligaciones de los Empleadores en el Lugar de Trabajo
La DPDPA no contiene una exención separada para empleadores en materia de datos biométricos. Si un empleador de Delaware cumple con los umbrales de aplicabilidad, debe cumplir con los requisitos de la DPDPA al recopilar datos biométricos de sus empleados.
Los usos biométricos comunes en el lugar de trabajo que generan obligaciones de cumplimiento incluyen:
- Relojes de asistencia basados en huellas dactilares para el control de asistencia
- Sistemas de reconocimiento facial para el acceso a edificios
- Escáneres de palma o lectores de geometría de la mano en instalaciones seguras
- Reconocimiento de voz para la autenticación telefónica
Los empleadores deben proporcionar un aviso claro, obtener consentimiento afirmativo, limitar la recolección a lo necesario, proteger los datos con medidas de seguridad razonables, y atender las solicitudes de los empleados para acceder, corregir o eliminar su información biométrica.

Pasos Prácticos de Cumplimiento para los Empleadores
- Auditar todos los sistemas que recopilan datos biométricos de los empleados
- Crear un formulario de consentimiento de datos biométricos independiente, separado de los acuerdos generales de empleo
- Redactar un aviso de privacidad que aborde específicamente la recolección de datos biométricos
- Implementar un proceso para que los empleados revoquen el consentimiento o soliciten la eliminación
- Revisar las prácticas de retención de datos y eliminar los datos biométricos que ya no sean necesarios
Notificación de Violaciones para los Datos Biométricos
La ley de Violaciones de Seguridad Informática de Delaware (Título 6, Capítulo 12B) proporciona una capa separada de protección para los datos biométricos. Según la Sección 12B-101(7), "los datos biométricos únicos generados a partir de mediciones o análisis de características del cuerpo humano con fines de autenticación" califican como información personal que activa las obligaciones de notificación de violaciones.
Si una empresa sufre una violación de datos que involucra datos biométricos, debe:
- Notificar a los residentes afectados de Delaware sin demora injustificada y a más tardar 60 días después de descubrir la violación
- Notificar al Fiscal General de Delaware si la violación afecta a 500 o más residentes de Delaware
- Investigar si es probable que la violación resulte en daño para las personas afectadas
Para más detalles sobre los requisitos de reporte de violaciones de Delaware, consulte nuestra guía sobre las Leyes de Notificación de Violaciones de Datos de Delaware.
Aplicación de la Ley y Sanciones
Aplicación por Parte del Fiscal General
El Departamento de Justicia de Delaware tiene autoridad exclusiva para aplicar la DPDPA según la Sección 12D-111. Esto significa que solo el Fiscal General puede iniciar acciones de aplicación contra las empresas que violen las disposiciones de datos biométricos de la ley.

Sin Derecho de Acción Privada
A diferencia de la Biometric Information Privacy Act (BIPA) de Illinois, que permite a las personas demandar directamente a las empresas, la DPDPA declara explícitamente que nada en el capítulo "deberá interpretarse como la base para... un derecho de acción privada". Los residentes de Delaware no pueden presentar demandas contra empresas por el manejo indebido de sus datos biométricos bajo esta ley.
Sanciones
Las infracciones de la DPDPA constituyen una "práctica ilícita" según la Sección 2513 del Código de Delaware. El Fiscal General puede buscar:
- Sanciones civiles de hasta $10,000 por infracción
- Medidas cautelares para detener infracciones en curso
- Restitución para los consumidores afectados
- Recuperación de las ganancias obtenidas mediante infracciones
Cambios en el Período de Subsanación
El cronograma de aplicación ha cambiado desde que la DPDPA entró en vigencia:
- Hasta el 31 de diciembre de 2025: el Fiscal General estaba obligado a emitir un aviso de infracción y dar a los controladores 60 días para subsanar el problema antes de tomar medidas de aplicación.
- Desde el 1 de enero de 2026: el período obligatorio de subsanación ha terminado. El Fiscal General ahora tiene la facultad discrecional de considerar la gravedad de la infracción, el tamaño y la complejidad de la empresa, el número de consumidores afectados, y cualquier infracción previa al decidir si ofrece una oportunidad de subsanación.
Los consumidores pueden presentar quejas ante el Departamento de Justicia de Delaware en privacy@delaware.gov.
Historial Legislativo y Perspectivas Futuras
El camino de Delaware hacia la protección de la privacidad biométrica ha evolucionado a lo largo de varios años.
En 2018, la Asamblea General de Delaware presentó el HB 350, un proyecto de ley independiente de privacidad biométrica basado en la BIPA de Illinois. Ese proyecto habría exigido políticas de retención por escrito, consentimiento específico antes de la recolección, y una prohibición de vender datos biométricos. El HB 350 murió en el Comité de Desarrollo Económico/Bancario/Seguros/Comercio de la Cámara sin recibir una votación.
En lugar de retomar una ley biométrica independiente, Delaware adoptó un enfoque más amplio. La DPDPA, promulgada como ley en septiembre de 2023, incorporó las protecciones biométricas dentro de un marco integral de privacidad de datos del consumidor. Este enfoque aborda los datos biométricos como una categoría más de información sensible en lugar de crear un esquema regulatorio separado.
Hasta principios de 2026, la Asamblea General de Delaware también ha comenzado a explorar protecciones de privacidad de datos neuronales, que podrían ampliar la definición de datos biométricos para incluir datos de interfaces cerebro-computadora y otros resultados de neurotecnología. Aún no se ha presentado ningún proyecto de ley, pero el informe temático señala un creciente interés legislativo en las tecnologías biométricas emergentes.
Cómo Se Compara Delaware con Otros Estados
El enfoque de Delaware sobre la privacidad biométrica se ubica en un punto intermedio del panorama nacional:
| Característica | Delaware (DPDPA) | Illinois (BIPA) | Texas (CUBI) |
|---|---|---|---|
| Tipo de ley | Ley integral de privacidad | Ley biométrica independiente | Ley biométrica independiente |
| Derecho de acción privada | No | Sí | No |
| Consentimiento requerido | Sí (datos sensibles) | Sí (autorización escrita) | Sí (consentimiento informado) |
| Sanción máxima | $10,000/infracción | $1,000-$5,000/infracción | $25,000/infracción |
| Política de retención/destrucción | No exigida explícitamente | Exigida (máximo 3 años) | Exigida |
| Fecha de vigencia | 1 de enero de 2025 | 3 de octubre de 2008 | 1 de septiembre de 2009 |
Delaware ofrece protecciones biométricas sólidas, pero carece del derecho de acción privada que hace de la BIPA de Illinois la ley de privacidad biométrica más fuerte del país. La ausencia de un estatuto biométrico independiente también significa que Delaware no exige políticas escritas explícitas de retención y destrucción para los datos biométricos.
Para una visión más amplia del marco de privacidad de Delaware, consulte nuestra guía sobre las Leyes de Privacidad de Datos de Delaware.
Más Leyes de Delaware
- Leyes de Grabación de Reuniones con IA de Delaware
- Leyes de Pensión Alimenticia Conyugal de Delaware
- Leyes de Empleo a Voluntad de Delaware
- Leyes de Accidentes de Auto de Delaware
- Leyes de Asientos de Auto para Niños de Delaware
- Leyes de Custodia de Menores de Delaware
- Leyes de Manutención Infantil de Delaware
- Leyes de Matrimonio de Hecho de Delaware
- Leyes sobre Deepfakes de Delaware
- Leyes de Divorcio de Delaware
- Leyes sobre Mordeduras de Perro de Delaware
- Leyes de Emancipación de Delaware
- Leyes de Eliminación de Antecedentes Penales de Delaware
- Leyes de Choque y Fuga de Delaware
- Leyes de Propietarios e Inquilinos de Delaware
- Leyes del Limón de Delaware
Este artículo es solo para fines informativos y no constituye asesoría legal. La ley de privacidad biométrica está evolucionando rápidamente, y la información aquí presentada refleja la ley de Delaware a principios de 2026. Consulte a un abogado calificado con licencia en Delaware para obtener orientación sobre su situación específica.
Preguntas frecuentes
¿Tiene Delaware una ley independiente de privacidad biométrica?
No. Delaware no cuenta con una ley independiente de privacidad biométrica como la BIPA de Illinois. En cambio, los datos biométricos están protegidos como una categoría de datos sensibles bajo la Ley de Privacidad de Datos Personales de Delaware (DPDPA), que entró en vigencia el 1 de enero de 2025. Se presentó un proyecto de ley biométrico independiente (HB 350) en 2018, pero murió en comité.
¿Qué datos biométricos protege la ley de Delaware?
La DPDPA protege los datos generados por mediciones automáticas de características biológicas únicas utilizadas para identificar a una persona específica. Esto incluye huellas dactilares, huellas de voz, retinas oculares, iris, y otros patrones biológicos únicos. Las fotos, las grabaciones de audio y las grabaciones de video están excluidas, a menos que se procesen específicamente para identificar a una persona.
¿Puedo demandar a una empresa en Delaware por el uso indebido de mis datos biométricos?
No. La DPDPA prohíbe explícitamente las demandas privadas. Solo el Fiscal General de Delaware puede hacer cumplir la ley. Si cree que una empresa ha manejado indebidamente sus datos biométricos, puede presentar una queja ante el Departamento de Justicia en privacy@delaware.gov.
¿Qué consentimiento se requiere antes de recopilar datos biométricos en Delaware?
Los controladores deben obtener un consentimiento afirmativo, otorgado libremente, específico, informado e inequívoco antes de procesar datos biométricos. La aceptación de términos de servicio amplios, las interacciones pasivas en el sitio web, y los acuerdos obtenidos mediante patrones oscuros no califican como consentimiento válido.
¿Necesitan los empleadores en Delaware consentimiento para usar relojes de asistencia con huella dactilar?
Sí, si el empleador cumple con los umbrales de aplicabilidad de la DPDPA (procesar los datos de 35,000 o más consumidores, o de 10,000 o más consumidores con el 20% o más de ingresos provenientes de la venta de datos). Los empleadores cubiertos deben proporcionar un aviso claro y obtener consentimiento afirmativo antes de recopilar datos de huellas dactilares de los empleados para el control de asistencia o cualquier otro fin.
¿Afectado por una filtración de datos o una violación de privacidad biométrica?
Si sus datos personales quedaron expuestos en una filtración, o si su huella dactilar o escaneo facial se recopiló sin su consentimiento, podría ser elegible para unirse a un reclamo por compensación. Averígüelo gratis y sin compromiso.
Fuentes y referencias
- Ley de Privacidad de Datos Personales de Delaware (Título 6, Capítulo 12D)(delcode.delaware.gov).gov
- Detalle del Proyecto de Ley HB 154 - Asamblea General de Delaware(legis.delaware.gov).gov
- Portal de Privacidad de Datos Personales de Delaware - Fiscal General(attorneygeneral.delaware.gov).gov
- Preguntas Frecuentes de la DPDPA - Departamento de Justicia de Delaware(attorneygeneral.delaware.gov).gov
- Ley de Violaciones de Seguridad Informática de Delaware (Título 6, Capítulo 12B)(delcode.delaware.gov).gov
- Proyecto de Ley de Privacidad Biométrica HB 350 - Asamblea General de Delaware(legis.delaware.gov).gov
- La Fiscal General Jennings Anuncia Nuevos Derechos de Privacidad de Datos - Noticias de Delaware(news.delaware.gov).gov
- Informe Temático sobre Privacidad de Datos Neuronales - Asamblea General de Delaware(legis.delaware.gov).gov
- Violaciones de Seguridad de Datos - Departamento de Justicia de Delaware(attorneygeneral.delaware.gov).gov