Florida
Leyes de Privacidad Biométrica de Florida: Recopilación, Consentimiento y Sanciones (2026)

Florida regula los datos biométricos a través de la Carta de Derechos Digitales de Florida (FDBR), que clasifica las huellas dactilares, las huellas de voz y los escaneos de iris como datos personales sensibles bajo Fla. Stat. 501.702(4). La FDBR, vigente desde el 1 de julio de 2024, otorga a los consumidores derechos de exclusión pero limita sus protecciones plenas a las empresas con ingresos anuales globales superiores a $1,000 millones.
Florida no tiene una ley independiente de privacidad biométrica como Illinois (BIPA) o Texas (CUBI). En su lugar, las protecciones de datos biométricos están entrelazadas en la Carta de Derechos Digitales de Florida (FDBR), vigente desde el 1 de julio de 2024, y la Ley de Protección de la Información de Florida (FIPA), que cubre la notificación de violaciones.
La FDBR trata los datos biométricos como un subconjunto de datos personales sensibles y otorga a los consumidores derechos de exclusión específicos. Sin embargo, el estrecho umbral de aplicabilidad de la ley significa que la mayoría de estas protecciones aplican solo contra las empresas de tecnología más grandes que operan en el estado.
Qué Cuenta Como Datos Biométricos Bajo la Ley de Florida
Fla. Stat. 501.702(4) define los datos biométricos como "datos generados por mediciones automáticas de las características biológicas de una persona". El estatuto enumera específicamente:
- Huellas dactilares
- Huellas de voz
- Retinas o iris de los ojos
- Otros patrones o características biológicas únicas usados para identificar a una persona específica
La definición es lo suficientemente amplia como para abarcar tecnologías biométricas más nuevas, como el análisis de la marcha o el reconocimiento de patrones venosos, siempre que los datos se generen mediante medición automática y se usen para identificación.
Qué No Incluyen los Datos Biométricos
El estatuto excluye explícitamente tres categorías:
- Fotografías (incluidas las fotos digitales)
- Grabaciones de video o audio (la grabación en sí, en contraposición a los identificadores biométricos extraídos de las grabaciones)
- Datos recopilados bajo la HIPAA (información de salud regulada por las reglas federales de privacidad de salud)
Esta exclusión significa que la grabación de una cámara de seguridad de alguien caminando por una tienda no constituye datos biométricos. Pero si un software analiza esa grabación para extraer una huella facial o una firma de marcha, el identificador extraído sí queda bajo la definición de datos biométricos.
El Umbral de Controlador de $1,000 Millones

Las protecciones biométricas de la FDBR son poderosas en el papel pero limitadas en la práctica. Bajo Fla. Stat. 501.702(9), una empresa califica como "controlador" sujeto a los requisitos plenos de la FDBR solo si cumple todas estas condiciones:
- Realiza negocios en Florida o produce productos/servicios consumidos por residentes de Florida
- Recopila datos personales sobre consumidores
- Gana más de $1,000 millones en ingresos brutos anuales globales
- Cumple al menos una condición adicional:
- Obtiene el 50% o más de los ingresos globales de la venta de publicidad en línea
- Opera un altavoz inteligente para consumidores con un asistente virtual activado por voz
- Opera una tienda de aplicaciones o plataforma de distribución digital que ofrezca al menos 250,000 aplicaciones
Este umbral es el más alto de cualquier ley de privacidad estatal en Estados Unidos. En comparación, la Ley de Privacidad del Consumidor de California entra en vigor con $25 millones en ingresos anuales.
En la práctica, solo un puñado de empresas califican: piense en Google, Amazon, Apple y Meta. Un empleador con sede en Florida que usa escáneres de huellas dactilares para el control de horario casi con seguridad está por debajo del umbral y no está sujeto a los requisitos de exclusión de la FDBR para datos biométricos.
La Regla más Amplia sobre la Venta de Datos Sensibles
Una disposición va más allá del umbral de $1,000 millones. Bajo Fla. Stat. 501.715, cualquier controlador que venda datos personales sensibles (lo que incluye los datos biométricos) debe obtener el consentimiento previo del consumidor antes de la venta. Para menores de 13 años, aplican las reglas federales de la COPPA. Para menores de 13 a 17 años, el controlador debe obtener la autorización afirmativa del menor.
Este requisito de consentimiento para la venta de datos sensibles, combinado con el requisito de aviso de venta biométrica en Fla. Stat. 501.711(3), crea obligaciones que pueden alcanzar a más empresas que el marco central de la FDBR.
Derechos del Consumidor para Datos Biométricos

Los consumidores cuyos datos son procesados por controladores calificados tienen varios derechos específicos relacionados con la información biométrica.
Exclusión del Procesamiento de Datos Biométricos
Bajo Fla. Stat. 501.705(2)(f), los consumidores pueden excluirse de la recopilación y el procesamiento de datos sensibles, lo que incluye los datos biométricos.
Exclusión del Reconocimiento de Voz y Facial
Fla. Stat. 501.705(2)(g) crea un derecho separado y específico a excluirse de la recopilación de datos personales mediante "la operación de una función de reconocimiento de voz o reconocimiento facial". Esta disposición apunta a dispositivos inteligentes, aplicaciones y plataformas que usan el reconocimiento facial o de voz para identificar o autenticar a los usuarios.
Sin Vigilancia en Segundo Plano
Fla. Stat. 501.705(3) prohíbe a los controladores usar el reconocimiento de voz, el reconocimiento facial, la grabación de video, la grabación de audio u otras funciones de detección similares "cuando dichas funciones no estén en uso activo por el consumidor", a menos que el consumidor lo haya autorizado expresamente. Esto apunta a micrófonos y cámaras siempre activos en dispositivos de hogar inteligente y productos similares.
Opt-In vs. Opt-Out: Cómo se Compara Florida
Florida usa un modelo de exclusión (opt-out) para la mayoría del procesamiento de datos biométricos. Los controladores cubiertos pueden recopilar y procesar datos biométricos de manera predeterminada, y los consumidores deben tomar una acción afirmativa para detenerlo.
Esto difiere significativamente de la Ley de Privacidad de la Información Biométrica de Illinois (BIPA), que exige consentimiento por escrito de inclusión previa (opt-in) antes de cualquier recopilación de identificadores biométricos. Bajo la BIPA, la recopilación sin consentimiento previo es una infracción desde el inicio. Bajo la FDBR, la recopilación sin consentimiento generalmente es permisible hasta que un consumidor ejerza su derecho de exclusión.
La única excepción es la venta de datos biométricos. Vender datos biométricos requiere consentimiento previo bajo Fla. Stat. 501.715, lo que hace que esa actividad específica sea de inclusión previa (opt-in).
Requisitos de Aviso para Datos Biométricos
Los controladores que venden datos personales biométricos deben mostrar un aviso específico bajo Fla. Stat. 501.711(3):
"AVISO: Este sitio web puede vender sus datos personales biométricos."
Este aviso debe aparecer en el mismo lugar que el aviso de privacidad general de la empresa. Los controladores también deben divulgar:
- Las categorías de datos personales procesados, incluyendo si están involucrados datos sensibles
- Cómo pueden los consumidores ejercer sus derechos de exclusión
- Categorías de terceros que reciben datos personales
- Los propósitos del procesamiento
Los avisos de privacidad deben actualizarse al menos anualmente.
Evaluaciones de Protección de Datos
Bajo Fla. Stat. 501.713, los controladores deben realizar evaluaciones de protección de datos para actividades que presenten un "riesgo elevado de daño a los consumidores". El procesamiento de datos sensibles, incluidos los datos biométricos, activa este requisito.
Cada evaluación debe sopesar los beneficios de la actividad de procesamiento frente a los riesgos potenciales para los derechos del consumidor, considerando factores como:
- Si los datos han sido desidentificados
- Las expectativas del consumidor con respecto al procesamiento
- El contexto y la relación entre el controlador y el consumidor
- Las salvaguardas disponibles para reducir el riesgo
Estas evaluaciones son confidenciales, pero deben ponerse a disposición del Departamento de Asuntos Legales cuando lo solicite durante una investigación.
Datos Biométricos y Notificación de Violaciones
Separadamente de la FDBR, la Ley de Protección de la Información de Florida (Fla. Stat. 501.171) incluye los datos biométricos en su definición de información personal sujeta a los requisitos de notificación de violaciones.
Si una violación expone los datos biométricos de una persona (según se define en Fla. Stat. 501.702) junto con su nombre de pila o inicial y apellido, la entidad debe:
- Notificar a las personas afectadas dentro de los 30 días de descubrir la violación
- Notificar al Departamento de Asuntos Legales de Florida dentro de 30 días (con una posible extensión de 15 días previa solicitud por escrito)
- Notificar a las agencias de informes de crédito si la violación afecta a 500 o más personas
Las reglas de notificación de violaciones de la FIPA aplican a todas las entidades cubiertas en Florida, no solo a las empresas de $1,000 millones. Cualquier empresa o entidad gubernamental que mantenga, almacene o use datos biométricos de residentes de Florida debe cumplir.
Las sanciones por no cumplir con los plazos de notificación bajo la FIPA llegan hasta $500,000 por violación: $1,000 por día durante los primeros 30 días, luego $50,000 por cada período subsiguiente de 30 días, hasta 180 días.
Aplicación: Solo el Fiscal General

La FDBR es aplicada exclusivamente por el Departamento de Asuntos Legales de Florida (la oficina del Fiscal General) bajo Fla. Stat. 501.72.
No existe un derecho de acción privada. Los consumidores individuales no pueden demandar a las empresas por infracciones de datos biométricos bajo la ley de Florida. Este es uno de los contrastes más marcados con la BIPA de Illinois, donde las demandas privadas (incluyendo las acciones colectivas) han producido cientos de millones de dólares en acuerdos.
Estructura de Sanciones
| Tipo de Infracción | Sanción Máxima |
|---|---|
| Infracción estándar de la FDBR | $50,000 por infracción |
| Infracción que involucra a un menor conocido | $150,000 por infracción (triple de daños) |
| No eliminar/corregir datos tras solicitud del consumidor | $150,000 por infracción (triple de daños) |
| Continuar la venta de datos tras la exclusión | $150,000 por infracción (triple de daños) |
| Incumplimiento de notificación de violación bajo la FIPA | Hasta $500,000 por incidente |
Período de Subsanación
Los controladores reciben un período de subsanación de 45 días después del aviso por escrito de la oficina del Fiscal General. Si la infracción se subsana dentro de esa ventana, el departamento puede optar por no iniciar una acción. La única excepción: las infracciones que involucran datos de menores no tienen período de subsanación.
Actividad de Aplicación Hasta la Fecha
La oficina del Fiscal General de Florida emitió su primer informe anual de aplicación cubriendo enero a diciembre de 2025. Durante ese período, el departamento recibió 1,496 quejas de consumidores, colocó 811 bajo revisión activa, emitió 186 Avisos de Presunta Infracción a los controladores, e inició 60 investigaciones para determinar si las entidades caían dentro del alcance de la FDBR.
La primera acción de aplicación importante llegó en octubre de 2025, cuando el Fiscal General presentó una demanda contra Roku, Inc. por presuntas infracciones relacionadas con los datos de menores, incluyendo geolocalización y grabaciones de voz. Florida buscó sanciones civiles de hasta $150,000 por infracción.
Uso de Datos Biométricos por el Empleador
Florida no tiene una ley de privacidad biométrica separada específica para empleadores. Las empresas que usan escáneres de huellas dactilares para el control de horario, reconocimiento facial para el acceso a edificios, u otras herramientas biométricas en el lugar de trabajo generalmente no están sujetas a la FDBR a menos que cumplan el umbral de controlador de $1,000 millones.
Sin embargo, los empleadores deben tener en cuenta dos consideraciones:
La notificación de violaciones sigue aplicando. Si un empleador almacena las huellas dactilares u otros datos biométricos de los empleados y sufre una violación de datos, los requisitos de notificación de la FIPA aplican independientemente del tamaño de la empresa. No notificar dentro de 30 días expone al empleador a sanciones.
Sin riesgo de demandas al estilo BIPA. A diferencia de Illinois, donde los empleados han presentado miles de demandas colectivas por la recopilación de datos biométricos en el lugar de trabajo, la falta de un derecho de acción privada en Florida significa que los empleados no pueden presentar reclamos similares. La aplicación se realiza únicamente a través de la oficina del Fiscal General.
Legislación Pendiente: Sesión 2025-2026
La Legislatura de Florida no ha avanzado una ley independiente de privacidad biométrica en sesiones recientes. Una propuesta de 2019, la Ley de Privacidad de la Información Biométrica de Florida (SB 1270), modelada en la BIPA de Illinois, no se aprobó. No se ha presentado un proyecto de ley comparable en las sesiones legislativas de 2025 o 2026.
La sesión de 2026 sí vio el SB 482, una Carta de Derechos de Inteligencia Artificial, que fue aprobada por el Senado con 35-2 votos pero murió en la Cámara. Ese proyecto de ley abordaba la gobernanza de la IA y el consentimiento de chatbots, pero no enmendó las disposiciones biométricas de la FDBR.
A partir de marzo de 2026, no hay legislación pendiente que reduciría el umbral de $1,000 millones de la FDBR, crearía un derecho de acción privada para infracciones de datos biométricos, o establecería un estatuto independiente de privacidad biométrica en Florida.
Cómo se Compara Florida con Otros Estados
| Característica | Florida (FDBR) | Illinois (BIPA) | Texas (CUBI) |
|---|---|---|---|
| Ley biométrica independiente | No (parte de la ley de privacidad más amplia) | Sí | Sí |
| Modelo de consentimiento | Opt-out (opt-in solo para venta) | Consentimiento por escrito de inclusión previa | Aviso y consentimiento de inclusión previa |
| Aplicabilidad | Solo grandes tecnológicas con ingresos de $1,000 millones+ | Todas las entidades privadas | Todas las personas |
| Derecho de acción privada | No | Sí (daños estatutarios) | No (solo Fiscal General) |
| Sanción por infracción | $50,000 ($150,000 para menores) | $1,000-$5,000 por infracción | $25,000 por infracción |
| Notificación de violación | Sí (a través de la FIPA, todas las empresas) | No específicamente | No específicamente |
Esta comparación importa para las empresas que operan en varios estados. Una empresa que recopila huellas dactilares tanto en Florida como en Illinois enfrenta cargas de cumplimiento y riesgos de litigio muy diferentes en cada jurisdicción.
Más Leyes de Florida
- Leyes de Grabación de Reuniones con IA de Florida
- Leyes de Pensión Alimenticia de Florida
- Leyes de Empleo a Voluntad de Florida
- Leyes de Accidentes de Auto de Florida
- Leyes de Asientos de Auto para Niños de Florida
- Leyes de Custodia de Menores de Florida
- Leyes de Manutención de Menores de Florida
- Leyes de Matrimonio de Hecho de Florida
- Leyes de Deepfakes de Florida
- Leyes de Divorcio de Florida
- Leyes sobre Mordeduras de Perro de Florida
- Leyes de Emancipación de Florida
- Leyes de Eliminación de Antecedentes de Florida
- Leyes de Choque y Fuga de Florida
- Leyes de Propietario e Inquilino de Florida
- Leyes del Limón de Florida
Este artículo ofrece información legal general sobre las leyes de privacidad biométrica de Florida y no constituye asesoría legal. Las leyes y las prácticas de aplicación cambian con el tiempo. Consulte a un abogado para obtener asesoría específica a su situación.
Preguntas frecuentes
¿Florida tiene una ley de privacidad biométrica?
Florida no tiene una ley independiente de privacidad biométrica. Las protecciones de datos biométricos están incluidas dentro de la Carta de Derechos Digitales de Florida (Fla. Stat. 501.701-501.721), que clasifica los datos biométricos como datos personales sensibles. Estas protecciones entraron en vigor el 1 de julio de 2024, pero aplican principalmente a empresas con más de $1,000 millones en ingresos anuales globales que además cumplan criterios específicos de gran tecnológica.
¿Puedo demandar a una empresa en Florida por recopilar mis huellas dactilares sin consentimiento?
No. La FDBR no crea un derecho de acción privada. Solo el Fiscal General de Florida puede hacer cumplir las infracciones de datos biométricos. Esto contrasta marcadamente con Illinois, donde las personas pueden presentar demandas (incluyendo acciones colectivas) bajo la BIPA por la recopilación no autorizada de datos biométricos.
¿Los empleadores de Florida necesitan consentimiento para usar relojes de huellas dactilares?
La mayoría de los empleadores de Florida no están sujetos a los requisitos de consentimiento biométrico de la FDBR porque están por debajo del umbral de ingresos de $1,000 millones. Sin embargo, si un empleador sufre una violación de datos que involucre datos biométricos almacenados, la Ley de Protección de la Información de Florida (Fla. Stat. 501.171) exige la notificación a las personas afectadas dentro de 30 días.
¿Qué datos biométricos están cubiertos bajo la ley de Florida?
Fla. Stat. 501.702(4) define los datos biométricos como datos generados por mediciones automáticas de características biológicas, incluyendo huellas dactilares, huellas de voz, retinas o iris de los ojos, y otros patrones biológicos únicos usados para identificar a una persona específica. Se excluyen las fotografías, las grabaciones de video/audio y los datos de salud cubiertos por HIPAA.
¿Cuáles son las sanciones por infracciones de datos biométricos en Florida?
Bajo la FDBR, las sanciones civiles llegan hasta $50,000 por infracción, o $150,000 (triple de daños) para infracciones que involucren a menores, no eliminar datos tras la solicitud de un consumidor, o continuar las ventas de datos tras una exclusión. Bajo la FIPA, no notificar una violación de datos biométricos puede resultar en sanciones de hasta $500,000 por incidente.
¿Afectado por una filtración de datos o una violación de privacidad biométrica?
Si sus datos personales quedaron expuestos en una filtración, o si su huella dactilar o escaneo facial se recopiló sin su consentimiento, podría ser elegible para unirse a un reclamo por compensación. Averígüelo gratis y sin compromiso.
Fuentes y referencias
- Fla. Stat. 501.702 - Definiciones (datos biométricos, datos sensibles, controlador)(leg.state.fl.us).gov
- Fla. Stat. 501.705 - Derechos del consumidor (exclusión de reconocimiento biométrico y facial/de voz)(leg.state.fl.us).gov
- Fla. Stat. 501.711 - Avisos de privacidad (requisito de aviso de venta biométrica)(leg.state.fl.us).gov
- Fla. Stat. 501.715 - Requisitos para datos sensibles (consentimiento para la venta)(leg.state.fl.us).gov
- Fla. Stat. 501.713 - Evaluaciones de protección de datos(leg.state.fl.us).gov
- Fla. Stat. 501.72 - Aplicación e implementación (solo Fiscal General, sanciones, período de subsanación)(leg.state.fl.us).gov
- Fla. Stat. 501.171 - Seguridad de la información personal confidencial (notificación de violaciones)(leg.state.fl.us).gov
- SB 262 (2023) - Texto promulgado de la Carta de Derechos Digitales de Florida(flsenate.gov).gov
- Informe Anual de Aplicación de la Carta de Derechos Digitales del Fiscal General de Florida (2025)(myfloridalegal.com).gov
- Acción de aplicación del Fiscal General de Florida contra Roku - análisis de Holland & Knight(hklaw.com)