Privacidad de Datos del Empleado: Obligaciones del Empleador por Estado (2026)
Los empleadores recopilan grandes cantidades de datos personales de sus trabajadores: números de Seguro Social, información de salud, escaneos biométricos, datos de ubicación, contenido de correos electrónicos, historial de navegación web y, cada vez más, análisis de comportamiento provenientes de herramientas de monitoreo impulsadas por IA. El marco legal que rige lo que los empleadores pueden y no pueden hacer con estos datos varía drásticamente según el estado, lo que crea un desafío de cumplimiento para los empleadores con operaciones en varios estados y una confusión genuina para los empleados sobre sus derechos.
Leyes Federales de Privacidad del Empleado
Aunque ningún estatuto federal único aborda de manera integral la privacidad de datos del empleado, varias leyes federales establecen protecciones básicas.
Ley de Privacidad de las Comunicaciones Electrónicas (ECPA)
La Ley de Privacidad de las Comunicaciones Electrónicas de 1986 (18 USC 2510-2522) es la principal ley federal que rige el monitoreo por parte del empleador de las comunicaciones electrónicas de los empleados. La ECPA generalmente prohíbe interceptar comunicaciones electrónicas, pero dos excepciones hacen que el monitoreo por parte del empleador sea ampliamente permisible:
La excepción de consentimiento. Si un empleado consiente el monitoreo, la interceptación es lícita. La mayoría de los empleadores obtienen el consentimiento a través de manuales del empleado, políticas de uso aceptable o avisos de inicio de sesión que indican que las comunicaciones en los sistemas de la empresa están sujetas a monitoreo.
La excepción de uso comercial (excepción del proveedor). Un empleador que proporciona el sistema de comunicaciones (servidores de correo electrónico, sistemas telefónicos, computadoras de la empresa) puede monitorear las comunicaciones realizadas en esos sistemas con fines comerciales legítimos. Los tribunales han interpretado esta excepción de manera amplia, permitiendo a los empleadores monitorear el correo electrónico, el uso de internet y los mensajes de chat en dispositivos y redes proporcionados por la empresa.
La ECPA sí limita el monitoreo de comunicaciones puramente personales incluso en los sistemas de la empresa, aunque los límites de esta restricción dependen de los hechos y varían según el circuito judicial.
Ley de Comunicaciones Almacenadas (SCA)
La Ley de Comunicaciones Almacenadas (18 USC 2701-2712), parte de la ECPA, regula el acceso a las comunicaciones electrónicas almacenadas. Bajo la SCA, los empleadores generalmente pueden acceder a los correos electrónicos almacenados en los servidores de la empresa. Sin embargo, acceder a la cuenta de correo electrónico personal de un empleado (Gmail, Yahoo) sin autorización viola la SCA, incluso si se accede desde una computadora de la empresa.
Ley de Estadounidenses con Discapacidades (ADA)
La ADA restringe la recopilación y el uso de información médica por parte del empleador. Los empleadores no pueden hacer preguntas relacionadas con discapacidades ni exigir exámenes médicos a menos que estén relacionados con el trabajo y sean coherentes con la necesidad del negocio (42 USC 12112(d)). Los registros médicos deben mantenerse en archivos separados y confidenciales con acceso restringido.
Ley de No Discriminación por Información Genética (GINA)
La GINA (42 USC 2000ff) prohíbe a los empleadores solicitar, exigir o comprar información genética sobre los empleados o sus familiares, con excepciones limitadas. La información genética incluye el historial médico familiar, los resultados de pruebas genéticas y el hecho de que alguien haya buscado servicios genéticos. Las infracciones pueden dar lugar a la aplicación de la ley por parte de la EEOC.
Ley de Informe Justo de Crédito (FCRA)
La FCRA (15 USC 1681) regula el uso por parte del empleador de verificaciones de antecedentes obtenidas de agencias de informes al consumidor. Antes de obtener una verificación de antecedentes, los empleadores deben proporcionar una divulgación por escrito y obtener la autorización por escrito del empleado o solicitante. Si el empleador toma una acción adversa basada en el informe, debe proporcionar una copia del informe y un resumen de derechos antes de que la acción entre en vigor.
Monitoreo en el Lugar de Trabajo por Estado
Monitoreo del Correo Electrónico y las Computadoras
La ley federal permite el monitoreo de computadoras en el lugar de trabajo con restricciones mínimas. Las leyes estatales agregan requisitos modestos:
Connecticut (Conn. Gen. Stat. 31-48d) es el estado más protector. Los empleadores deben dar aviso previo por escrito a los empleados antes de monitorear el correo electrónico o la actividad en internet. El aviso debe describir los tipos de monitoreo que pueden ocurrir. No proporcionar el aviso antes de monitorear viola el estatuto.
Delaware (Del. Code tit. 19, 705) exige de manera similar que los empleadores proporcionen aviso electrónico previo del monitoreo al menos una vez. El aviso debe ser reconocido por el empleado.
Nueva York promulgó la Sección 52-c*2 de la Ley de Derechos Civiles de Nueva York, vigente desde el 7 de mayo de 2022, que exige a los empleadores que monitorean llamadas telefónicas, correo electrónico o acceso a internet proporcionar aviso previo por escrito al momento de la contratación. El aviso debe publicarse en un lugar visible y ser reconocido por escrito por el empleado.
En todos los demás estados, el monitoreo por parte del empleador del correo electrónico y los dispositivos proporcionados por la empresa está en gran medida sin restricciones bajo la ley federal, siempre que el empleador no haya creado una expectativa razonable de privacidad (generalmente anulada mediante políticas del manual y avisos de inicio de sesión).
Recopilación de Datos Biométricos
La privacidad biométrica es una de las áreas de más rápida evolución en el derecho de datos del empleado. Varios estados han promulgado estatutos específicos que rigen la recopilación por parte del empleador de huellas dactilares, geometría facial, escaneos de retina, huellas de voz y otros identificadores biométricos.
Ley de Privacidad de la Información Biométrica de Illinois (BIPA). 740 ILCS 14 es la ley de privacidad biométrica más significativa del país porque ofrece un derecho de acción privada con daños estatutarios. Bajo la BIPA, los empleadores deben:
- Proporcionar aviso por escrito sobre los datos biométricos que se recopilan y su propósito
- Obtener una autorización por escrito del empleado antes de la recopilación
- Publicar un cronograma de retención y pautas de destrucción
- No vender, arrendar, intercambiar ni lucrar con los datos biométricos
Los daños estatutarios son de $1,000 por infracción negligente y $5,000 por infracción intencional o imprudente. Tras la decisión de la Corte Suprema de Illinois en 2023 en Cothron v. White Castle, cada escaneo o evento de recopilación individual constituye una infracción separada. Esto ha generado miles de millones de dólares en exposición potencial para los empleadores que usan sistemas biométricos de control de horario. Una enmienda de 2024 limitó los daños a una infracción por empleado por método de recopilación en respuesta a esto.
Texas (Tex. Bus. & Com. Code 503.001) prohíbe capturar identificadores biométricos con fines comerciales sin consentimiento. A diferencia de Illinois, Texas no ofrece un derecho de acción privada; la aplicación recae en el Fiscal General de Texas, quien puede buscar sanciones de hasta $25,000 por infracción.
Washington (RCW 19.375) restringe el uso comercial de identificadores biométricos y exige aviso y consentimiento. La aplicación se realiza a través del Fiscal General de Washington.
Estados adicionales: Colorado, Virginia, Connecticut y otros estados con leyes de privacidad integrales incluyen los datos biométricos como "datos sensibles" que requieren consentimiento para su procesamiento, aunque estas leyes generalmente no ofrecen derechos de acción privada.
Leyes sobre Contraseñas de Redes Sociales
Un número creciente de estados prohíbe a los empleadores solicitar o exigir que los empleados o solicitantes de empleo divulguen las credenciales de inicio de sesión de sus redes sociales. A principios de 2026, al menos 28 estados han promulgado dichas leyes, entre ellos:
| Estado | Estatuto | Disposiciones Clave |
|---|---|---|
| California | Lab. Code 980 | Prohíbe solicitar nombres de usuario o contraseñas de redes sociales; prohíbe represalias |
| Illinois | 820 ILCS 55 | Prohíbe solicitar acceso; cubre a solicitantes y empleados |
| Maryland | Lab. & Empl. 3-712 | Primer estado en aprobar una ley de este tipo (2012); prohíbe exigir la divulgación |
| Nueva Jersey | N.J.S.A. 34:6B-5 | Prohíbe exigir acceso a cuentas personales de redes sociales |
| Oregón | ORS 659A.330 | Prohíbe exigir la divulgación; incluye disposiciones de sanción civil |
Estas leyes generalmente prohíben a los empleadores: solicitar credenciales de inicio de sesión, exigir a los empleados que inicien sesión en cuentas personales en presencia del empleador, exigir a los empleados que agreguen al empleador o a sus agentes a sus contactos, y tomar represalias contra los empleados que se nieguen a cumplir.
Rastreo por GPS y Ubicación
El rastreo de la ubicación del empleado por parte del empleador plantea cuestiones legales distintas según si el rastreo ocurre en dispositivos y vehículos propiedad de la empresa o personales.
Vehículos y dispositivos de la empresa. Los empleadores generalmente pueden rastrear vehículos y dispositivos propiedad de la empresa sin el consentimiento específico del empleado bajo la ley federal. El razonamiento es paralelo a la excepción de uso comercial de la ECPA: el empleador es dueño del equipo.
Vehículos personales. Varios estados restringen o prohíben el rastreo GPS por parte del empleador de los vehículos personales de los empleados:
- Los tribunales de California han sostenido que rastrear el vehículo personal de un empleado sin consentimiento puede constituir una invasión de la privacidad bajo la Constitución de California.
- Nueva York (N.Y. Penal Law 158.10) penaliza el uso de dispositivos GPS para rastrear a otra persona sin consentimiento, lo que los tribunales han aplicado a contextos entre empleador y empleado que involucran vehículos personales.
- Texas (Tex. Penal Code 16.06) prohíbe instalar dispositivos de rastreo en vehículos propiedad o arrendados por otra persona sin consentimiento.
Rastreo fuera del horario laboral. Incluso donde el rastreo GPS de vehículos de la empresa es legal, rastrear a los empleados durante horas fuera del trabajo plantea preocupaciones adicionales. Los tribunales de California, Colorado y Nueva York han reconocido intereses de privacidad de los empleados en los datos de ubicación fuera de servicio, y varios proyectos de ley estatales propuestos restringirían explícitamente el rastreo fuera de horario.
Pruebas de Drogas
La privacidad en las pruebas de drogas varía significativamente según el estado:
- Pruebas aleatorias: Algunos estados (Vermont, Connecticut, Minnesota, Montana, Rhode Island) restringen las pruebas aleatorias a puestos sensibles para la seguridad únicamente.
- Protecciones para la marihuana: A medida que se expande la legalización de la marihuana, un número creciente de estados (California, Nueva York, Nueva Jersey, Montana, Nevada, Washington) prohíbe a los empleadores tomar acciones adversas basadas en el uso de marihuana fuera del horario laboral o en pruebas positivas de THC, con excepciones para puestos sensibles para la seguridad y requisitos federales.
- Requisitos de aviso: Muchos estados exigen aviso previo por escrito de las políticas y procedimientos de pruebas de drogas.
Derechos de Datos del Empleado Bajo la CCPA
La CCPA originalmente incluía una moratoria sobre los derechos de datos de los empleados, que expiró el 1 de enero de 2023. Los empleados de California ahora tienen los mismos derechos que los consumidores bajo la CCPA/CPRA, incluyendo:
- Derecho a saber qué información personal recopila el empleador y cómo se usa
- Derecho a eliminar información personal (sujeto a excepciones por obligaciones legales y administración del empleo)
- Derecho a corregir información personal inexacta
- Derecho a excluirse de la venta o el intercambio de información personal
- Derecho a limitar el uso de información personal sensible
- Derecho a no sufrir represalias por ejercer estos derechos
Bajo el Cal. Civ. Code 1798.100, los empleadores deben proporcionar un aviso de privacidad a los empleados al momento o antes de la recopilación, describiendo las categorías de información personal recopilada y los propósitos de cada categoría. Esto es independiente de la política de privacidad pública y debe abordar específicamente el contexto laboral.
El impacto práctico ha sido significativo. Los grandes empleadores de California han tenido que construir nuevos sistemas de admisión para las solicitudes de datos de los empleados, capacitar a los departamentos de recursos humanos sobre procedimientos de respuesta y auditar el flujo de datos de los empleados hacia terceros (procesadores de nómina, administradores de beneficios, proveedores de verificación de antecedentes).
Agravios de Privacidad del Derecho Consuetudinario
Más allá de las protecciones estatutarias, los empleados pueden presentar reclamos de agravio de derecho consuetudinario contra los empleadores por violaciones de privacidad. Los cuatro agravios de privacidad tradicionales, según se definen en el Restatement (Second) of Torts, son:
Intrusión en la reclusión. Un empleador invade la privacidad de un empleado al intrometerse intencionalmente en un asunto en el que el empleado tiene una expectativa razonable de privacidad. Los tribunales han encontrado reclamos de intrusión viables por: registrar pertenencias personales sin causa justificada, vigilancia con cámaras ocultas en baños o vestidores, y acceder a cuentas de correo electrónico personales sin autorización.
Divulgación pública de hechos privados. Un empleador publica hechos privados vergonzosos sobre un empleado. Los ejemplos incluyen divulgar condiciones médicas, compartir públicamente información salarial (en estados sin leyes de transparencia salarial), o revelar los resultados de pruebas de drogas.
Presentación bajo una luz falsa. Un empleador publica información que presenta a un empleado bajo una luz falsa. Esto es menos común en el contexto laboral, pero puede surgir de caracterizaciones engañosas en referencias o declaraciones públicas.
Apropiación de nombre o imagen. Un empleador usa el nombre o la imagen de un empleado con fines comerciales sin consentimiento. Esto se ha vuelto más relevante con las prácticas de redes sociales de los empleadores y el uso de imágenes de empleados en materiales de marketing.
Estos reclamos de derecho consuetudinario están disponibles en la mayoría de los estados y existen independientemente de las protecciones estatutarias. Proporcionan una base legal para que los empleados impugnen violaciones de privacidad incluso en estados sin estatutos específicos de privacidad del empleado.
Temas Emergentes
Monitoreo del Lugar de Trabajo Impulsado por IA
El uso de herramientas de IA para monitorear la productividad de los empleados, analizar comunicaciones y predecir comportamientos está creciendo rápidamente. El registro de pulsaciones de teclas, la captura de pantalla, el análisis de sentimiento de mensajes e incluso el "seguimiento de atención" basado en cámara web ahora están disponibles comercialmente. Pocas leyes existentes abordan directamente el monitoreo laboral con IA, aunque:
- La Ley de IA de Colorado (SB 205, vigente desde febrero de 2026) exige a los empleadores notificar a los empleados cuando se usa IA en decisiones consecuentes que afectan el empleo.
- La Ley de Entrevistas por Video con IA de Illinois (820 ILCS 42) exige a los empleadores proporcionar aviso y obtener consentimiento antes de usar IA para analizar entrevistas por video, y destruir los videos dentro de los 30 días de una solicitud.
- La FTC ha advertido que las prácticas de gestión basadas en la vigilancia pueden constituir prácticas injustas bajo la Sección 5.
Privacidad de la Salud Reproductiva
Tras Dobbs v. Jackson Women's Health Organization (2022), varios estados promulgaron leyes que protegen los datos de salud reproductiva de los empleados. Washington, California e Illinois han promulgado o propuesto legislación que restringe el acceso del empleador a información de salud reproductiva y prohíbe acciones laborales adversas basadas en decisiones de salud reproductiva.
Fuentes y Referencias
Este artículo ofrece información legal general sobre la privacidad de datos del empleado en las jurisdicciones de EE. UU. El derecho laboral varía según el estado y cambia con frecuencia. Consulte a un abogado para obtener asesoría específica a su situación.
Preguntas frecuentes
¿Puede mi empleador leer mis correos electrónicos de trabajo?
Bajo la ley federal (ECPA), los empleadores generalmente pueden monitorear el correo electrónico en los sistemas proporcionados por la empresa bajo la excepción de uso comercial y la excepción de consentimiento. La mayoría de los empleadores establecen derechos de monitoreo a través de políticas de uso aceptable y reconocimientos del manual del empleado. Connecticut, Delaware y Nueva York exigen aviso previo por escrito antes de monitorear. Las cuentas de correo electrónico personales están protegidas por la Ley de Comunicaciones Almacenadas incluso cuando se accede a ellas desde dispositivos de trabajo.
¿Puede un empleador exigir escaneos de huellas dactilares para el control de horario?
Sí, pero la ley estatal puede exigir consentimiento y aviso. La BIPA de Illinois exige aviso por escrito y una autorización firmada antes de recopilar datos biométricos, con daños estatutarios de $1,000 a $5,000 por infracción. Texas y Washington también exigen consentimiento. En estados sin leyes biométricas específicas, los empleadores generalmente pueden exigir el control de horario biométrico, aunque los empleados pueden tener reclamos de privacidad de derecho consuetudinario.
¿Puede mi empleador pedirme mi contraseña de redes sociales?
Al menos 28 estados prohíben a los empleadores solicitar credenciales de inicio de sesión de redes sociales a empleados o solicitantes. Estas leyes también prohíben exigir a los empleados que inicien sesión mientras el empleador observa, agregar al empleador a los contactos, o tomar represalias por negarse. En estados sin dichas leyes, ningún estatuto federal prohíbe específicamente la solicitud, aunque la Ley de Comunicaciones Almacenadas puede aplicar.
¿Se aplica la CCPA a los datos de los empleados en California?
Sí. La exención de datos del empleado expiró el 1 de enero de 2023. Los empleados de California ahora tienen todos los derechos de la CCPA/CPRA, incluyendo el derecho a saber, eliminar, corregir y excluirse de la venta de información personal. Los empleadores deben proporcionar un aviso de privacidad al momento de la recopilación y responder a las solicitudes de datos de los empleados dentro de 45 días.
¿Puede mi empleador rastrear mi ubicación con GPS?
El rastreo de vehículos y dispositivos propiedad de la empresa es generalmente legal bajo la ley federal. El rastreo de vehículos personales sin consentimiento está restringido o prohibido en varios estados, incluyendo California, Nueva York y Texas. El rastreo fuera del horario laboral de los empleados plantea preocupaciones de privacidad adicionales incluso con vehículos de la empresa, y varios estados están considerando legislación para restringir el monitoreo de ubicación fuera de horario.
¿Pueden los empleadores realizar pruebas de drogas aleatorias?
La ley federal no prohíbe las pruebas de drogas aleatorias, pero varios estados (Vermont, Connecticut, Minnesota, Montana, Rhode Island) restringen las pruebas aleatorias a puestos sensibles para la seguridad. Un número creciente de estados también prohíbe acciones adversas basadas en el uso de marihuana fuera del horario laboral o en pruebas positivas de THC, incluyendo California, Nueva York y Nueva Jersey, con excepciones para puestos sensibles para la seguridad.
¿Qué leyes federales protegen la información médica del empleado?
La ADA prohíbe las preguntas relacionadas con discapacidades y los exámenes médicos a menos que estén relacionados con el trabajo y sean coherentes con la necesidad del negocio. Los registros médicos deben mantenerse en archivos confidenciales separados. La GINA prohíbe a los empleadores solicitar información genética. La HIPAA no regula directamente a los empleadores, pero sí restringe los planes de salud que patrocinan. Las leyes estatales a menudo agregan protecciones adicionales para los datos médicos de los empleados.
¿Pueden los empleadores usar IA para monitorear el desempeño de los empleados?
Ninguna ley federal prohíbe específicamente el monitoreo de empleados impulsado por IA, aunque la FTC ha señalado que la vigilancia excesiva puede constituir prácticas injustas. La Ley de IA de Colorado (vigente desde febrero de 2026) exige aviso cuando la IA influye en decisiones laborales. Illinois exige consentimiento para el análisis con IA de entrevistas por video. Se espera más legislación estatal en esta área en los próximos años.
Fuentes y referencias
- Ley de Privacidad de las Comunicaciones Electrónicas (18 USC 2510-2522)(law.cornell.edu)
- Ley de Comunicaciones Almacenadas (18 USC 2701-2712)(law.cornell.edu)
- Panorama General de la ADA(ada.gov).gov
- Disposiciones Laborales de la ADA (42 USC 12112)(law.cornell.edu)
- GINA (42 USC 2000ff)(law.cornell.edu)
- FCRA (15 USC 1681)(law.cornell.edu)
- Ley de Monitoreo de Empleados de Connecticut (Conn. Gen. Stat. 31-48d)(cga.ct.gov).gov
- BIPA de Illinois (740 ILCS 14)(ilga.gov).gov
- Ley de Identificadores Biométricos de Texas (Tex. Bus. & Com. Code 503.001)(statutes.capitol.texas.gov).gov
- Código Laboral de California 980 (Contraseñas de Redes Sociales)(leginfo.legislature.ca.gov).gov
- CCPA Sección 1798.100(leginfo.legislature.ca.gov).gov
- Ley de Entrevistas por Video con IA de Illinois (820 ILCS 42)(ilga.gov).gov
- Identificadores Biométricos de Washington (RCW 19.375)(app.leg.wa.gov).gov