District of Columbia
Leyes de Privacidad Biométrica del Distrito de Columbia: Recopilación, Consentimiento y Sanciones (2026)

El Distrito de Columbia no tiene una ley independiente de privacidad biométrica. El Código de DC 28-3851 clasifica las huellas dactilares, los escaneos de iris y las impresiones de voz como información personal protegida bajo el estatuto de notificación de violaciones, que exige a las organizaciones notificar a los residentes y al Fiscal General después de una violación. DC no impone ningún requisito de consentimiento antes de recopilar datos biométricos.
El Distrito de Columbia protege los datos biométricos a través de su marco de notificación de violaciones en lugar de una ley dedicada de privacidad biométrica. Si su huella dactilar, escaneo facial o imagen de iris se ve comprometida en una violación de datos, la ley de DC exige que la organización que posee esos datos le notifique a usted y al Fiscal General. Pero DC no exige que las empresas obtengan su permiso antes de recopilar datos biométricos en primer lugar.
Esta guía explica cómo la ley de DC define y protege la información biométrica, qué derechos tiene usted cuando ocurre una violación, cómo funciona la aplicación de la ley, y en qué posición se encuentra el Distrito en comparación con los estados que tienen protecciones de privacidad biométrica más sólidas. Para el panorama completo de las reglas de privacidad de DC, consulte la guía principal sobre las Leyes de Privacidad de Datos del Distrito de Columbia.
Cómo Define la Ley de DC los Datos Biométricos
El Código de DC 28-3851 define los datos biométricos como información "generada por mediciones automáticas de las características biológicas de una persona, como una huella dactilar, una impresión de voz, una huella genética, una imagen de retina o iris, u otra característica biológica única, que se usa para autenticar de manera exclusiva la identidad de la persona cuando accede a un sistema o cuenta".
Esa definición cubre una variedad de identificadores:
- Huellas dactilares y de palma
- Escaneos de retina e iris
- Impresiones de voz
- Huellas genéticas
- Otras características biológicas únicas usadas para autenticación
Una limitación importante: la definición se aplica únicamente a los datos biométricos usados para "autenticar de manera exclusiva" la identidad de una persona. Los datos biométricos recopilados para propósitos distintos a la autenticación, como la detección de emociones o el análisis de la marcha, pueden quedar fuera de esta definición.
Los datos biométricos se clasifican como "información personal" bajo el estatuto. Eso significa que reciben las mismas protecciones de notificación de violaciones que los números de Seguro Social, los números de licencia de conducir y la información de cuentas financieras.
Requisitos de Notificación de Violaciones para Datos Biométricos

La Ley de Enmienda de Protección contra Violaciones de Seguridad de 2020 (D.C. Law 23-98), que entró en vigor el 17 de junio de 2020, fortaleció significativamente los requisitos de notificación de violaciones de DC. Bajo el Código de DC 28-3852, cualquier persona o entidad que realiza negocios en DC y descubre una violación que involucra datos biométricos debe:
Notificar a los residentes afectados. La notificación debe ocurrir "en el tiempo más expedito posible y sin demora injustificada". El aviso debe describir las categorías de información comprometida, proporcionar información de contacto de la entidad que notifica, e incluir información sobre las agencias de informes de crédito al consumidor, los congelamientos de crédito, la FTC y el Fiscal General de DC.
Reportar al Fiscal General. Si la violación afecta a 50 o más residentes de DC, la entidad debe enviar un aviso por escrito a la Oficina del Fiscal General del Distrito de Columbia al mismo tiempo que notifica a los residentes.
Alertar a las agencias de informes de crédito al consumidor. Cuando se notifica a 1,000 o más personas, la entidad también debe informar a las agencias de informes de crédito a nivel nacional sobre el momento y el alcance de la violación.
Requisitos de Seguridad para Datos Biométricos
El Código de DC 28-3852.01 exige que cualquier entidad que posea información personal de residentes de DC, incluidos los datos biométricos, "implemente y mantenga salvaguardas de seguridad razonables, incluidos procedimientos y prácticas que sean apropiados para la naturaleza de la información personal".
Este estándar se aplica ampliamente:
- Las entidades deben evaluar la sensibilidad de los datos que poseen y aplicar salvaguardas proporcionales
- Los proveedores de servicios externos deben estar sujetos a acuerdos escritos que les exijan mantener procedimientos de seguridad razonables
- Al destruir registros que contienen datos biométricos, las organizaciones deben tomar medidas razonables para prevenir el acceso no autorizado, considerando la sensibilidad de los registros, el tamaño de la empresa, la tecnología disponible y el costo
Las entidades que cumplen con las regulaciones federales de seguridad de datos bajo HIPAA, la Ley HITECH, o la Ley Gramm-Leach-Bliley, se consideran conformes con los requisitos de seguridad de DC bajo una disposición de puerto seguro.
Aplicación de la Ley y Sanciones
El Código de DC 28-3853 clasifica cualquier infracción del subcapítulo de notificación de violaciones como una práctica comercial injusta o engañosa bajo el Código de DC 28-3904. Esta clasificación abre dos vías de aplicación de la ley.
Demandas de consumidores. Las personas perjudicadas por una infracción de notificación de violaciones pueden demandar y recuperar daños triplicados o $1,500 por infracción, lo que sea mayor. Para infracciones de los requisitos de seguridad de datos específicamente (Sección 28-3852.01), los consumidores pueden recuperar daños reales.
Aplicación por el Fiscal General. El Fiscal General de DC puede iniciar acciones en el Tribunal Superior de DC buscando medidas cautelares y restitución sin tener que probar daños. La oficina del Fiscal General ha buscado activamente la aplicación de la ley en casos de violaciones de datos, incluido un acuerdo de más de $350,000 contra la firma de software Blackbaud en una acción multiestatal relacionada con una violación que afectó a organizaciones sin fines de lucro y escuelas.
Los derechos y remedios son acumulativos, lo que significa que los consumidores pueden presentar reclamos tanto bajo el estatuto de notificación de violaciones como bajo otras leyes aplicables simultáneamente.
Lo que la Ley de DC No Cubre

A diferencia de Illinois, Texas y Washington, el Distrito de Columbia no tiene un estatuto independiente de privacidad biométrica. Esto significa que la ley de DC actualmente no tiene un requisito de:
- Consentimiento informado antes de la recopilación. Las empresas pueden recopilar huellas dactilares, geometría facial o escaneos de iris de residentes de DC sin aviso ni consentimiento, siempre que no ocurra una violación.
- Políticas escritas de datos biométricos. No existe la obligación de publicar un calendario de retención o una política de destrucción para los datos biométricos.
- Limitaciones de propósito. Las organizaciones no enfrentan restricciones sobre cómo usan los datos biométricos una vez recopilados.
- Restricciones de venta o intercambio. La ley de DC no prohíbe vender datos biométricos a terceros.
- Derecho de acción privado por la recopilación. Usted no puede demandar a una empresa simplemente por recopilar sus datos biométricos sin permiso. La acción legal solo está disponible después de una violación o una falla en notificar.
Para los residentes de DC, esta brecha significa que la ley entra en acción después de que algo sale mal, no antes.
Uso de Datos Biométricos por Empleadores en DC

Los empleadores de DC usan cada vez más escáneres de huellas dactilares, reconocimiento facial y otras herramientas biométricas para el control de horarios y el acceso a edificios. Debido a que el Distrito carece de un estatuto dedicado de privacidad biométrica, los empleadores tienen amplia libertad para implementar estos sistemas.
Ninguna ley específica de DC exige que los empleadores:
- Informen a los empleados antes de recopilar datos biométricos
- Obtengan consentimiento escrito para el uso de huellas dactilares o reconocimiento facial
- Publiquen una política de retención y destrucción de datos biométricos
- Limiten el uso de los datos biométricos recopilados a los propósitos declarados
Sin embargo, los empleadores deben mantener salvaguardas de seguridad razonables para cualquier dato biométrico que posean bajo el Código de DC 28-3852.01. Una violación de los datos biométricos de un empleado activaría las mismas obligaciones de notificación y sanciones potenciales que cualquier otra violación de información personal.
Los empleadores sujetos a regulaciones federales como HIPAA en entornos de atención médica pueden enfrentar obligaciones adicionales de datos biométricos más allá de la ley de DC.
Legislación Pendiente y Perspectiva Futura
El Consejo de DC ha mostrado interés en ampliar las protecciones de privacidad de datos más allá de la notificación de violaciones. La Ley de Enmienda de Seguridad de Datos de Salud Personal de 2025 (Proyecto de Ley 26-0525), presentada en diciembre de 2025, exigiría el consentimiento antes de recopilar datos de salud personal, establecería derechos de eliminación, y prohibiría el geocercado alrededor de instalaciones de atención médica. Aunque este proyecto de ley se enfoca en datos de salud en lugar de datos biométricos específicamente, su marco de consentimiento y eliminación señala una dirección potencial para la futura legislación de privacidad de DC.
A partir de marzo de 2026, el proyecto de ley había avanzado a una audiencia de mesa redonda en el Consejo de DC. Ningún proyecto de ley independiente de privacidad biométrica se ha presentado en la sesión actual (26.ª) del Consejo.
La tendencia nacional se mueve hacia protecciones biométricas más sólidas. Más de una docena de estados ahora tienen leyes integrales de privacidad que cubren los datos biométricos, y los estatutos dedicados de privacidad biométrica continúan proliferando. Los residentes y las empresas de DC deben monitorear al Consejo para futura legislación que pueda imponer requisitos de consentimiento, límites de retención, o un derecho de acción privado para la recopilación de datos biométricos.
Este artículo proporciona información legal general sobre las leyes de privacidad biométrica del Distrito de Columbia y no constituye asesoría legal. La ley de privacidad biométrica evoluciona rápidamente a nivel estatal y federal. Consulte a un abogado con licencia en DC para obtener orientación sobre su situación específica.
¿Afectado por una filtración de datos o una violación de privacidad biométrica?
Si sus datos personales quedaron expuestos en una filtración, o si su huella dactilar o escaneo facial se recopiló sin su consentimiento, podría ser elegible para unirse a un reclamo por compensación. Averígüelo gratis y sin compromiso.
Fuentes y referencias
- Código de DC 28-3851 - Definiciones (definición de datos biométricos)(code.dccouncil.gov).gov
- Código de DC 28-3852 - Notificación de violación de seguridad(code.dccouncil.gov).gov
- Código de DC 28-3852.01 - Requisitos de seguridad(code.dccouncil.gov).gov
- Código de DC 28-3852.02 - Remedios(code.dccouncil.gov).gov
- Código de DC 28-3853 - Aplicación de la ley(code.dccouncil.gov).gov
- Código de DC 28-3904 - Prácticas comerciales injustas o engañosas(code.dccouncil.gov).gov
- Ley de Enmienda de Protección contra Violaciones de Seguridad de 2020 (D.C. Law 23-98)(code.dccouncil.gov).gov
- Fiscal General de DC - Alerta al Consumidor: Privacidad en Línea(oag.dc.gov).gov
- El Fiscal General Schwalb obtiene más de $350,000 de Blackbaud por violación de datos(oag.dc.gov).gov
- Ley de Enmienda de Seguridad de Datos de Salud Personal de 2025 (B26-0525)(legiscan.com)