Illinois
Leyes de Privacidad de Datos de Illinois: BIPA, Derechos del Consumidor y Sanciones (2026)

Illinois protege los datos biométricos bajo la Ley de Privacidad de Información Biométrica (BIPA), 740 ILCS 14, que otorga a los residentes un derecho de acción privado para demandar por $1,000 por violación negligente o $5,000 por violación intencional, sin necesidad de probar un daño real. Illinois también cubre las violaciones de datos, los registros estudiantiles, los datos genéticos y la contratación con IA a través de estatutos sectoriales independientes.
Illinois lidera el país en la aplicación de la privacidad biométrica a través de la Ley de Privacidad de Información Biométrica (BIPA), 740 ILCS 14, que ha generado más de $1,500 millones en acuerdos desde 2008. El marco sectorial de privacidad del estado también cubre las violaciones de datos, los registros estudiantiles, el monitoreo de empleados, los datos genéticos y la IA en la contratación, otorgando a los residentes de Illinois derechos exigibles que la mayoría de los otros estados no tienen.
Este artículo aborda las leyes de privacidad estatales de Illinois vigentes a mayo de 2026. Cubre la BIPA, la Ley de Protección de Información Personal (PIPA), la Ley de Protección de Información Personal en Línea de Estudiantes (SOPPA), la Ley del Derecho a la Privacidad en el Lugar de Trabajo, la Ley de Privacidad de Información Genética (GIPA), la Ley de Entrevistas en Video con IA, la enmienda de la Ley de Derechos Humanos de Illinois de 2026 sobre IA, las leyes federales aplicables en Illinois y el estado actual de la legislación integral de privacidad del consumidor propuesta.
La Ley de Privacidad de Información Biométrica (BIPA): 740 ILCS 14

La Ley de Privacidad de Información Biométrica entró en vigor el 3 de octubre de 2008, después de que la Asamblea General de Illinois la aprobara en respuesta a la quiebra en 2007 de Pay By Touch, una empresa de pagos biométricos. El colapso generó preocupación sobre qué sucedería con los millones de registros de huellas dactilares que la empresa había recopilado de los consumidores, sin un mecanismo legal para forzar su destrucción. La BIPA llenó ese vacío al crear obligaciones vinculantes para las entidades privadas que recopilan o utilizan datos biométricos, respaldadas por un derecho de acción privado que ha convertido a Illinois en la jurisdicción de privacidad biométrica más litigada del mundo.
Qué Cubre la BIPA
La BIPA regula la recopilación, el almacenamiento, el uso y la difusión de identificadores biométricos e información biométrica por parte de entidades privadas que operan en Illinois. Bajo la Sección 10 de la BIPA (740 ILCS 14/10), un "identificador biométrico" incluye un escaneo de retina o iris, huella dactilar, huella de voz, o un escaneo de la geometría de la mano o el rostro. El estatuto excluye explícitamente las muestras de escritura, las firmas escritas, las fotografías, las descripciones físicas, los datos demográficos, las descripciones de tatuajes y la información médica o de salud.
La "información biométrica" se define de manera más amplia como cualquier información basada en un identificador biométrico que se utilice para identificar a una persona, independientemente de cómo fue capturada o convertida.
Los Requisitos Fundamentales de la BIPA
La Sección 15 de la BIPA (740 ILCS 14/15) establece cuatro obligaciones primarias para cualquier entidad privada que recopile o posea datos biométricos.
Política escrita de retención y destrucción. Toda entidad que posea identificadores biométricos o información biométrica debe desarrollar una política escrita que establezca un calendario de retención y directrices para destruir permanentemente los datos. La destrucción debe ocurrir cuando se haya cumplido el propósito inicial de la recopilación, o dentro de los tres años posteriores a la última interacción del individuo con la entidad, lo que ocurra primero. La política debe ponerse a disposición del público.
Consentimiento informado por escrito antes de la recopilación. Antes de recopilar un identificador biométrico, la entidad debe informar al individuo por escrito que se están recopilando o almacenando datos biométricos, indicar el propósito específico y el periodo de tiempo durante el cual se recopilarán, almacenarán y utilizarán los datos, y obtener una autorización por escrito. La enmienda de 2024 a la BIPA actualizó la definición de "autorización escrita" para incluir las firmas electrónicas, lo que brinda a las empresas una vía hacia un consentimiento conforme a través de sistemas digitales de incorporación.
Sin venta ni beneficio a partir de los datos biométricos. La BIPA prohíbe que cualquier entidad privada venda, arriende, comercie o de otro modo se beneficie del identificador biométrico o la información biométrica de una persona.
Restricciones sobre la divulgación. Una entidad privada no puede divulgar ni difundir datos biométricos a otra parte a menos que el individuo consienta, la divulgación complete una transacción financiera que el individuo solicitó o autorizó, la ley estatal o federal exija la divulgación, o una orden judicial o citación válida la exija.
El Derecho de Acción Privado
La Sección 20 de la BIPA es lo que hace que la ley sea singularmente poderosa en comparación con otros estatutos estatales de privacidad. La BIPA permite que cualquier persona perjudicada por una violación presente una demanda directamente, sin necesidad de demostrar ningún daño financiero real. La estructura de daños:
- Violaciones negligentes: el mayor entre $1,000 o los daños reales por cada violación
- Violaciones intencionales o imprudentes: el mayor entre $5,000 o los daños reales por cada violación
- Honorarios razonables de abogados y costos de litigio para la parte ganadora
- Disponibilidad de medidas cautelares
La mayoría de las leyes estatales de privacidad canalizan la aplicación únicamente a través del fiscal general. El derecho de acción privado de la BIPA significa que los consumidores individuales, los empleados y las clases de demandantes pueden perseguir a las empresas directamente en un tribunal estatal o federal.
La Enmienda de 2024: Ley Pública 103-769
El 2 de agosto de 2024, el gobernador J.B. Pritzker firmó el Proyecto de Ley del Senado 2979 como Ley Pública 103-769, vigente de inmediato. La enmienda respondió directamente a la decisión de la Corte Suprema de Illinois de febrero de 2023 en Cothron v. White Castle System, Inc., 2023 IL 128004, que sostuvo que ocurría una violación separada de la BIPA cada vez que una empresa recopilaba el mismo identificador biométrico de la misma persona. Bajo esa interpretación, un empleado a quien se le escaneaba la huella dactilar al inicio de cada turno de trabajo durante cinco años podría teóricamente recuperar millones de dólares por el incumplimiento sistemático de un solo empleador.
La Ley Pública 103-769 agregó lenguaje a la Sección 20 que establece que una entidad privada que recopila o divulga "el mismo identificador biométrico o información biométrica de la misma persona utilizando el mismo método de recopilación" ha cometido solo una única violación. Por lo tanto, una persona perjudicada tiene derecho, como máximo, a una sola recuperación por recopilaciones idénticas repetidas, ya sea que el monto estatutario sea $1,000 o $5,000.
Fallo de Retroactividad del Séptimo Circuito: Clay v. Union Pacific (2026)
El 1 de abril de 2026, la Corte de Apelaciones de los Estados Unidos para el Séptimo Circuito emitió un fallo significativo en Clay v. Union Pacific Railroad Company, No. 25-2185 (7th Cir. 2026), en el que sostuvo que la enmienda de 2024 que limita los daños se aplica retroactivamente a los casos que ya estaban pendientes cuando se promulgó la enmienda.
El tribunal aplicó el marco establecido de retroactividad de Illinois, que distingue entre los cambios estatutarios sustantivos (que generalmente no se aplican retroactivamente) y los cambios reparadores o de procedimiento (que sí se aplican). El Séptimo Circuito sostuvo que la enmienda de la BIPA era reparadora porque abordaba únicamente el alcance de los daños disponibles, no las obligaciones sustantivas subyacentes ni los estándares de responsabilidad. El fallo revierte tres decisiones previas de tribunales federales de distrito de Illinois que habían llegado a la conclusión opuesta.
Para los demandados que enfrentan litigios pendientes de la BIPA, el fallo es significativo: los demandantes ahora pueden recuperar como máximo $5,000 por violaciones intencionales o $1,000 por violaciones negligentes por persona, en lugar de acumular una violación separada por cada escaneo individual. En el caso Clay, el demandante había alegado aproximadamente 1,500 escaneos de huellas dactilares. A las tarifas por escaneo, los daños potenciales habrían sido de $7.5 millones para un solo demandante; la enmienda limita eso a $5,000.
Principales Acuerdos y Veredictos de la BIPA

La BIPA ha producido algunos de los mayores acuerdos relacionados con la privacidad en la historia de Estados Unidos. La siguiente tabla resume los casos resueltos más significativos.
| Empresa | Año | Monto | Acusación |
|---|---|---|---|
| Facebook (Meta) | 2020 | $650 millones | La función de etiquetado por reconocimiento facial escaneó los rostros de usuarios de Illinois sin consentimiento informado por escrito |
| BNSF Railway | 2023 | $75 millones (tras un veredicto del jurado de $228M) | Exigió a los conductores de camiones escanear sus huellas dactilares para acceder al patio sin consentimiento conforme a la BIPA |
| Google Photos | 2022 | $100 millones | La función de agrupación de rostros recopiló datos de geometría facial sin consentimiento |
| TikTok (ByteDance) | 2021 | $92 millones | Recopiló datos biométricos de rostro y voz de usuarios, incluidos menores, sin consentimiento |
| Meta Instagram | 2023 | $68.5 millones | La tecnología de reconocimiento facial de Instagram recopiló y almacenó datos biométricos sin consentimiento conforme a la BIPA |
| Clearview AI | 2025 | $51.75 millones (en acciones) | Extrajo imágenes faciales de redes sociales sin consentimiento; acuerdo estructurado como una participación accionaria del 23% en Clearview AI |
| Motorola Solutions (FaceSearch) | 2025 | $47.5 millones | Recopiló datos biométricos a través de la tecnología de reconocimiento facial FaceSearch y la galería de fotos de arresto; aprobación final el 15 de septiembre de 2025 |
| Snapchat (Snap Inc.) | 2022 | $35 millones | Recopiló datos de escaneo facial a través de lentes y filtros de realidad aumentada sin consentimiento adecuado |
| Speedway | 2025 | $12.1 millones | Exigió a los empleados usar escáneres de huellas dactilares sin aviso ni consentimiento conforme a la BIPA |
| Lytx, Inc. | 2025 | $4.25 millones | Recopiló identificadores biométricos de conductores de camiones sin aviso ni consentimiento adecuado; aprobación final el 25 de julio de 2025 |
| YouTube (Face Blur) | 2025 | $6 millones | Recopiló datos biométricos a través de la función Face Blur para videos subidos sin consentimiento conforme; aprobación final el 30 de diciembre de 2025 |
El caso de BNSF Railway fue el primer caso de la BIPA en llegar a un juicio con jurado. El jurado determinó que BNSF había violado la BIPA de manera imprudente o intencional 45,600 veces, lo que produjo un veredicto de $228 millones a la tarifa de $5,000 por violación. Ese veredicto fue anulado en apelación, y BNSF llegó a un acuerdo por $75 millones. El acuerdo de Clearview AI fue el primero en usar acciones en lugar de efectivo; los miembros de la clase recibieron una participación colectiva del 23 por ciento valorada en aproximadamente $51.75 millones con base en una valoración de la empresa de enero de 2024 de $225 millones.
Impacto de la enmienda de 2024 en el volumen de litigios. Tras la Ley Pública 103-769 y el fallo de retroactividad del Séptimo Circuito, las nuevas presentaciones de demandas colectivas de la BIPA cayeron a aproximadamente 150 en 2025, en comparación con 427 presentaciones en 2024. El total de acuerdos de la BIPA en 2025 fue de aproximadamente $136.6 millones, una disminución respecto a los más de $206 millones en 2024.
Ley de Protección de Información Personal de Illinois (PIPA): 815 ILCS 530

La Ley de Protección de Información Personal es la ley de notificación de violación de datos de Illinois. Exige que cualquier entidad que realice negocios en Illinois y maneje información personal no pública notifique a las personas afectadas cuando sus datos hayan sido comprometidos.
Qué Activa la Notificación
Una obligación de notificación de violación de datos surge cuando hay una "adquisición no autorizada de datos computarizados que compromete la seguridad, confidencialidad o integridad de la información personal". La información personal bajo la PIPA significa el nombre de un individuo combinado con cualquiera de los siguientes:
- Número de Seguro Social
- Número de licencia de conducir o de identificación estatal
- Número de cuenta financiera con cualquier código de seguridad, código de acceso o contraseña requerida
- Información médica
- Información de seguro de salud
- Datos biométricos únicos (huella dactilar, imagen de retina o iris)
La ley también cubre el nombre de usuario o la dirección de correo electrónico combinada con una contraseña o preguntas de seguridad que permitirían el acceso a una cuenta en línea.
Requisitos de Notificación
Las entidades deben notificar a los residentes afectados de Illinois "en el tiempo más expedito posible y sin demora injustificada". La notificación solo puede retrasarse si las fuerzas del orden presentan una solicitud por escrito indicando que la notificación interferiría con una investigación penal.
Los métodos aceptables de notificación incluyen aviso escrito a la última dirección conocida del individuo, aviso electrónico que cumpla con la Ley federal E-SIGN, o notificación sustitutiva si los costos de la notificación directa excederían los $250,000 o si se ven afectados más de 500,000 residentes de Illinois. La notificación sustitutiva requiere notificación por correo electrónico, publicación visible en el sitio web de la entidad y notificación a los principales medios de comunicación estatales.
Reporte de Agencias Estatales
Las agencias estatales que experimenten una violación que afecte a 250 o más residentes de Illinois deben notificar al Fiscal General de Illinois dentro de los 45 días. Las agencias estatales directamente responsables ante el Gobernador también deben notificar al Director de Seguridad de la Información dentro de las 72 horas.
Sanciones
Las violaciones de la PIPA constituyen prácticas ilegales bajo la Ley de Fraude al Consumidor y Prácticas Comerciales Engañosas de Illinois. El Fiscal General puede buscar sanciones civiles de hasta $100 por cada persona afectada, con un máximo de $50,000 por incidente de violación, y puede buscar medidas cautelares.
Ley de Protección de Información Personal en Línea de Estudiantes (SOPPA): 105 ILCS 85
La Ley de Protección de Información Personal en Línea de Estudiantes protege los datos personales de los estudiantes de kínder a 12.° grado que utilizan servicios de tecnología educativa. La SOPPA se aplica a los "operadores", definidos como entidades que administran sitios web, servicios en línea o aplicaciones diseñadas y comercializadas principalmente para uso en escuelas de kínder a 12.° grado.
Qué Prohíbe la SOPPA
A los operadores se les prohíbe realizar publicidad dirigida basada en datos de estudiantes o identificadores persistentes, crear perfiles publicitarios basados en información de estudiantes, vender o alquilar información de estudiantes, o divulgar información cubierta excepto para fines educativos específicos.
Qué Exige la SOPPA
Los operadores deben implementar procedimientos de seguridad razonables, eliminar la información de los estudiantes a solicitud de una escuela, divulgar públicamente sus prácticas de datos, ejecutar acuerdos escritos de datos con las escuelas antes de recibir información cubierta y notificar a las escuelas dentro de los 30 días posteriores a una violación de datos.
Las escuelas deben publicar información sobre las prácticas de datos y los acuerdos con operadores públicamente, designar un oficial de privacidad, notificar a los padres dentro de los 30 días posteriores a una violación y adoptar políticas que designen quién tiene autoridad para celebrar acuerdos con operadores.
Derechos de Padres y Estudiantes
Los padres pueden inspeccionar y revisar la información cubierta sobre su hijo, solicitar copias en formato papel o electrónico, y solicitar correcciones a inexactitudes fácticas. Los operadores o las escuelas deben responder a las solicitudes de corrección dentro de los 90 días. Las violaciones de la SOPPA son exigibles bajo la Ley de Fraude al Consumidor y Prácticas Comerciales Engañosas de Illinois.
Ley de Privacidad de Información Genética (GIPA): 410 ILCS 513

La Ley de Privacidad de Información Genética protege la confidencialidad de la información de pruebas genéticas y se ha convertido recientemente en el objeto de una oleada importante de litigios de demandas colectivas.
Protecciones Fundamentales de la GIPA
Bajo la GIPA, las pruebas genéticas y cualquier información derivada de ellas son confidenciales y privilegiadas. Disposiciones clave:
- Los resultados de las pruebas genéticas solo pueden divulgarse a la persona sometida a la prueba y a las personas específicamente autorizadas por escrito por dicha persona
- Los empleadores no pueden usar información genética, pruebas genéticas o pruebas de biomarcadores como condición de empleo ni en la toma de decisiones laborales
- Las aseguradoras no pueden solicitar información de pruebas genéticas para usarla en relación con pólizas de seguro de accidentes o de salud, a menos que el individuo presente voluntariamente resultados favorables
- Ninguna persona puede divulgar ni ser obligada a divulgar la identidad de cualquier persona que se someta a pruebas genéticas, ni los resultados de dichas pruebas, de una manera que permita identificar al sujeto
La estructura de daños de la GIPA conlleva montos estatutarios más altos que la BIPA: $2,500 por violación negligente y $15,000 por violación intencional o imprudente, más honorarios razonables de abogados y costos.
Oleada de Litigios de la GIPA (2023-2026)
Desde 2023, se han presentado más de 100 demandas colectivas bajo la GIPA, dirigidas principalmente a empleadores cuyos cuestionarios médicos previos al empleo o exámenes físicos solicitan antecedentes médicos familiares. Los demandantes argumentan que solicitar antecedentes médicos familiares constituye una solicitud de información genética bajo la GIPA, lo que activa los requisitos de consentimiento y confidencialidad del estatuto.
Los demandados en estas demandas han incluido a grandes empleadores como United Airlines y AbbVie. Los comentaristas legales atribuyen el aumento en parte a las enmiendas de la BIPA que limitan la recuperación por escaneo: los abogados de los demandantes han cambiado su atención a la GIPA, donde la regla de violación única de la enmienda de la BIPA no se aplica, y donde los daños individuales son sustancialmente más altos. Se espera que las presentaciones de certificación de clase en los casos presentados más tempranamente en 2023 ocurran en 2026, con decisiones de sentencia sumaria que probablemente aclaren qué consultas de los empleadores constituyen solicitudes prohibidas de información genética.
Ley del Derecho a la Privacidad en el Lugar de Trabajo: 820 ILCS 55
La Ley del Derecho a la Privacidad en el Lugar de Trabajo protege a los empleados y solicitantes de empleo de Illinois en cuatro áreas específicas.
Protección de la conducta fuera del horario laboral. Los empleadores no pueden negarse a contratar, despedir o perjudicar de otro modo a cualquier individuo porque el individuo use productos legales fuera de las instalaciones del empleador durante horas no laborales.
Privacidad de redes sociales y cuentas en línea. Se prohíbe a los empleadores solicitar, exigir o coaccionar a cualquier empleado o solicitante de empleo a proporcionar su nombre de usuario, contraseña u otros medios para acceder a una cuenta personal en línea, incluidas las cuentas de redes sociales. Los empleadores aún pueden monitorear los equipos propiedad de la empresa, establecer políticas de uso aceptable para dispositivos de trabajo y ver información disponible públicamente.
Restricciones sobre consultas de compensación laboral. Los empleadores no pueden preguntar a los posibles empleados si han presentado previamente reclamos o recibido beneficios bajo la Ley de Compensación de Trabajadores o la Ley de Enfermedades Ocupacionales de los Trabajadores.
Protecciones por cartas de no coincidencia. Los empleadores no pueden tomar medidas de empleo adversas basadas únicamente en recibir una carta de "no coincidencia" o un aviso de discrepancia de una agencia federal. Cuando un empleador reciba dicho aviso, debe proporcionar un aviso por escrito al empleado afectado.
La Ley es aplicada por el Departamento de Trabajo de Illinois, el Fiscal General, o mediante demandas privadas en el tribunal de circuito de Illinois sin necesidad de agotar previamente los recursos administrativos.
IA en el Empleo: Ley de Entrevistas en Video y Enmienda a la Ley de Derechos Humanos
Illinois ha promulgado dos leyes independientes que regulan el uso de la inteligencia artificial en el empleo, convirtiéndose en uno de los estados líderes en la regulación de la IA en el empleo.
Ley de Entrevistas en Video con IA: 820 ILCS 42
Vigente desde el 1 de enero de 2020, la Ley de Entrevistas en Video con Inteligencia Artificial fue una de las primeras leyes del país en regular la IA en las decisiones de empleo. Cuando un empleador usa IA para analizar una entrevista en video para un puesto basado en Illinois, el empleador debe notificar al solicitante antes de la entrevista que se puede usar IA para analizar el video, explicar cómo funciona la IA y qué tipos generales de características utiliza para evaluar a los solicitantes, y obtener el consentimiento del solicitante antes de que comience la entrevista.
Los solicitantes pueden solicitar la eliminación de su entrevista en video dentro de los 30 días, y los empleadores deben cumplir. Los empleadores no pueden compartir los videos de los solicitantes excepto con personas cuya experiencia sea necesaria para evaluar la idoneidad del solicitante. Los empleadores que dependan únicamente del análisis de IA deben reportar datos demográficos, incluidos raza y etnicidad, sobre los solicitantes que sean y no sean seleccionados para entrevistas en persona, al Departamento de Comercio y Oportunidades Económicas de Illinois anualmente.
Enmienda de IA a la Ley de Derechos Humanos de Illinois: HB 3773 (Vigente desde el 1 de enero de 2026)
El gobernador Pritzker firmó el Proyecto de Ley de la Cámara 3773 el 9 de agosto de 2024, y entró en vigor el 1 de enero de 2026, modificando la Ley de Derechos Humanos de Illinois (775 ILCS 5) para imponer dos obligaciones principales a los empleadores.
Requisito de aviso por escrito. Los empleadores deben proporcionar un aviso por escrito a los solicitantes y empleados cada vez que se use IA "para influir o facilitar" una decisión de reclutamiento, contratación, promoción, renovación de empleo, capacitación, aprendizaje, despido, disciplina, antigüedad u otra decisión de empleo. El Departamento de Derechos Humanos de Illinois emitió un borrador de reglamentos de implementación que exigen divulgaciones del nombre del producto de IA, el desarrollador, el proveedor, el propósito y las categorías de datos utilizados. Los empleadores deben actualizar los avisos dentro de los 30 días posteriores a la adopción de nuevos sistemas de IA.
Prohibición de IA discriminatoria. Se prohíbe a los empleadores usar IA que tenga el efecto de someter a empleados o solicitantes a discriminación por motivo de una clase protegida. La responsabilidad se aplica independientemente de si el efecto discriminatorio fue intencional. El borrador de reglamentos también prohíbe el uso de códigos postales como sustituto de características protegidas en las decisiones de empleo impulsadas por IA.
El Departamento de Derechos Humanos de Illinois tiene la tarea de adoptar reglamentos finales que implementen los requisitos de la HB 3773.
Ley de Protección de Privacidad de Geolocalización
Illinois promulgó su Ley de Protección de Privacidad de Geolocalización en 2017. La ley exige que las aplicaciones que recopilan datos de ubicación junto con otra información personal obtengan consentimiento antes de recopilar esos datos. Se introdujo un proyecto de ley de fortalecimiento propuesto (HB 3712) en la 104.ª Asamblea General en abril de 2025, que exigiría el consentimiento afirmativo y crearía un derecho de acción privado por violaciones, pero hasta mayo de 2026 el proyecto permanece en su etapa de presentación.
Legislación Integral de Privacidad del Consumidor Pendiente
Hasta mayo de 2026, Illinois no cuenta con una ley integral de privacidad de datos del consumidor comparable a la Ley de Privacidad del Consumidor de California (CCPA) o la Ley de Protección de Datos del Consumidor de Virginia. Varios proyectos de ley están pendientes en la 104.ª Asamblea General, ninguno de los cuales ha avanzado al pleno.
El Proyecto de Ley del Senado 2875, la Ley de Privacidad de Datos del Consumidor de Illinois, patrocinado por la senadora Laura M. Murphy, fue presentado el 16 de enero de 2026. Se aplica a las entidades que procesan datos personales de 100,000 o más consumidores de Illinois, o que derivan más del 25 por ciento de los ingresos brutos de la venta de datos personales mientras procesan datos de al menos 25,000 consumidores. Los derechos del consumidor bajo el proyecto incluirían el derecho a acceder a los datos personales, obtener una lista de terceros a quienes se les ha divulgado la información, solicitar correcciones y optar por no participar en la elaboración de perfiles. El proyecto fue remitido al Comité de IA y Redes Sociales del Senado en febrero de 2026; se presentó una enmienda del comité en marzo de 2026. Hasta mayo de 2026, no ha avanzado más allá del comité.
El Proyecto de Ley del Senado 0052 (Ley de Derechos de Privacidad) impondría obligaciones a las empresas que recopilan información personal de los consumidores y establecería derechos del consumidor, incluido el derecho a eliminar, corregir y optar por no participar en la venta o el intercambio de información personal. Permanece en comité hasta mayo de 2026.
Una Ley de Privacidad de Información Personal de Illinois propuesta por separado no logró aprobarse en la sesión legislativa 2025-2026.
Leyes Federales Aplicables en Illinois
La ley federal de privacidad proporciona un piso base para los residentes de Illinois independientemente de los desarrollos de la ley estatal.
Ley TAKE IT DOWN (Pub. L. 119-12). El presidente Trump firmó la Ley TAKE IT DOWN el 19 de mayo de 2025. La ley penaliza la publicación de imágenes íntimas no consentidas (NCII, por sus siglas en inglés) y de deepfakes de NCII generados por IA. A partir del 19 de mayo de 2026, se exige a las plataformas en línea cubiertas establecer un proceso de eliminación y, al recibir una solicitud de eliminación válida, eliminar la imagen íntima dentro de las 48 horas y hacer esfuerzos razonables para eliminar las copias idénticas conocidas. La Comisión Federal de Comercio hace cumplir las obligaciones de las plataformas.
HIPAA. Las entidades de atención médica cubiertas y sus asociados comerciales están sujetos a la Regla de Privacidad de HIPAA (45 C.F.R. Parte 164) y a la Regla de Seguridad. HIPAA prevalece sobre las reglas estatales de privacidad de salud que ofrecen protecciones más débiles, pero los estatutos de Illinois que ofrecen protecciones más fuertes se aplican en paralelo.
COPPA. La Ley de Protección de la Privacidad Infantil en Línea se aplica a los operadores en línea que recopilan información personal de menores de 13 años. Los operadores de Illinois que ofrecen contenido dirigido a menores deben cumplir con los requisitos de consentimiento parental y eliminación de la COPPA.
GLBA. Las instituciones financieras están sujetas a los requisitos de salvaguardas y avisos de privacidad de la Ley Gramm-Leach-Bliley.
Sección 5 de la Ley de la FTC. La Comisión Federal de Comercio tiene autoridad para perseguir prácticas de datos injustas o engañosas por parte de las empresas sujetas a la jurisdicción de la FTC.
APRA (Ley de Derechos de Privacidad Estadounidense). Un proyecto de ley federal bicameral de privacidad de 2024 no fue aprobado. Se presentó una propuesta de APRA 2.0 en 2025. Hasta mayo de 2026, no se ha promulgado ninguna ley federal integral de privacidad del consumidor.
Resumen de las Leyes de Privacidad de Datos de Illinois

| Ley | Cita | Año | Protección Clave | Aplicación |
|---|---|---|---|---|
| Ley de Privacidad de Información Biométrica (BIPA) | 740 ILCS 14 | 2008 | Consentimiento, retención y destrucción de datos biométricos | Derecho de acción privado + Fiscal General |
| Ley de Protección de Información Personal (PIPA) | 815 ILCS 530 | 2006 | Notificación de violación de datos | Aplicación por el Fiscal General |
| Ley de Protección de Información Personal en Línea de Estudiantes (SOPPA) | 105 ILCS 85 | 2017 | Protección de datos de estudiantes de kínder a 12.° grado | Ley de Fraude al Consumidor |
| Ley del Derecho a la Privacidad en el Lugar de Trabajo | 820 ILCS 55 | 1988 | Privacidad de empleados y solicitantes | Depto. de Trabajo, Fiscal General, demanda privada |
| Ley de Privacidad de Información Genética (GIPA) | 410 ILCS 513 | 1998 | Datos de pruebas genéticas y de biomarcadores | Fiscal General + derecho de acción privado |
| Ley de Entrevistas en Video con IA | 820 ILCS 42 | 2020 | Transparencia de la IA en la contratación por video | Reporte al DCEO |
| Ley de Derechos Humanos de Illinois (enmienda de IA) | 775 ILCS 5 | 2026 (vig.) | Aviso de IA del empleador + antidiscriminación | Departamento de Derechos Humanos de Illinois |
| Ley de Protección de Privacidad de Geolocalización | 740 ILCS 14/10 (ley independiente) | 2017 | Consentimiento para la recopilación de datos de ubicación | Demanda privada + Fiscal General |
Cómo Ejercen los Residentes de Illinois Sus Derechos
Los residentes de Illinois tienen derechos directos y exigibles bajo múltiples estatutos, no solo derechos de notificación.
Bajo la BIPA: Si una empresa recopiló su huella dactilar, escaneo facial, escaneo de iris o huella de voz sin proporcionar un aviso por escrito, explicar el periodo de retención u obtener su consentimiento por escrito, puede presentar una demanda directamente en el tribunal de circuito de Illinois o en el tribunal federal de distrito. No necesita probar un daño financiero. Un abogado con experiencia en demandas colectivas de la BIPA puede evaluar si tiene un reclamo individual o colectivo viable.
Bajo la GIPA: Si su empleador le exigió divulgar antecedentes médicos familiares en un cuestionario previo al empleo o durante un examen físico sin su consentimiento por escrito, puede tener un reclamo bajo la GIPA. Consulte a un abogado laboral para evaluar si el cuestionario constituyó una solicitud de información genética según lo definido por el estatuto.
Bajo la PIPA: Si recibió una notificación de violación de datos de una empresa que hace negocios en Illinois, tiene derecho a conocer el tipo de información personal comprometida y el número de residentes de Illinois afectados. Si la entidad no le notificó, puede comunicarse con la División de Protección al Consumidor del Fiscal General de Illinois para reportar el incumplimiento.
Bajo la Ley del Derecho a la Privacidad en el Lugar de Trabajo: Si un empleador exigió sus contraseñas de redes sociales, preguntó sobre reclamos previos de compensación laboral, o tomó medidas adversas basadas en una carta de no coincidencia sin aviso, puede presentar una queja ante el Departamento de Trabajo de Illinois o presentar una demanda en el tribunal de circuito.
Bajo la HB 3773 (aviso de IA): Si su empleador usó IA para evaluar, clasificar o tomar decisiones sobre su empleo y no proporcionó un aviso por escrito, puede presentar una queja ante el Departamento de Derechos Humanos de Illinois.
Pasos Prácticos de Cumplimiento para las Empresas
Las empresas que operan en Illinois deben tomar los siguientes pasos básicos.
Para el cumplimiento de la BIPA: (1) Auditar todos los sistemas que recopilan huellas dactilares, geometría facial, escaneos de iris o huellas de voz; (2) publicar un calendario de retención y destrucción por escrito disponible públicamente; (3) obtener consentimiento por escrito antes de cualquier recopilación de datos biométricos; (4) nunca vender ni beneficiarse de los datos biométricos; (5) limitar la divulgación interna al personal autorizado; y (6) actualizar los formularios de consentimiento de incorporación para aceptar firmas electrónicas.
Para el cumplimiento de la GIPA: (1) Revisar todos los cuestionarios médicos previos al empleo y los protocolos de exámenes físicos para eliminar las preguntas sobre antecedentes médicos familiares; (2) capacitar al personal de RR. HH. para que no solicite ni registre información genética; (3) segregar cualquier dato genético ya recopilado.
Para la HB 3773 (IA en el empleo): (1) Inventariar todas las herramientas de IA utilizadas en reclutamiento, contratación, promoción, capacitación, disciplina y despido; (2) preparar plantillas de divulgación escritas que identifiquen el nombre de la herramienta de IA, el desarrollador, el propósito y las categorías de datos; (3) entregar avisos a los solicitantes antes de su uso y a los empleados antes de las decisiones; (4) realizar auditorías de impacto dispar en las herramientas de IA; (5) no usar códigos postales como sustitutos de características protegidas.
Para el cumplimiento de la PIPA: Mantener un plan escrito de respuesta a incidentes, designar un responsable de respuesta a violaciones de datos y establecer flujos de trabajo de notificación capaces de activarse dentro de días de una violación descubierta.
Este artículo presenta información legal general sobre las leyes de privacidad de datos de Illinois vigentes a mayo de 2026. No constituye asesoría legal ni crea una relación abogado-cliente. Las leyes están sujetas a enmiendas e interpretación judicial. Consulte a un abogado con licencia en Illinois para obtener asesoría específica sobre su situación.
Más Leyes de Illinois
- Leyes de Grabación con IA en Reuniones de Illinois
- Leyes de Pensión Alimenticia de Illinois
- Leyes de Empleo a Voluntad de Illinois
- Leyes de Accidentes Automovilísticos de Illinois
- Leyes de Asientos de Auto para Niños de Illinois
- Leyes de Custodia de Menores de Illinois
- Leyes de Manutención Infantil de Illinois
- Leyes de Matrimonio de Hecho de Illinois
- Leyes sobre Deepfakes de Illinois
- Leyes de Divorcio de Illinois
- Leyes sobre Mordeduras de Perro de Illinois
- Leyes de Emancipación de Illinois
- Leyes de Eliminación de Antecedentes Penales de Illinois
- Leyes sobre Choque y Fuga de Illinois
- Leyes de Propietarios e Inquilinos de Illinois
- Leyes del Limón de Illinois
Noticias relacionadas
Preguntas frecuentes
¿Qué es la Ley de Privacidad de Información Biométrica de Illinois (BIPA)?
La BIPA (740 ILCS 14) es una ley de Illinois de 2008 que regula cómo las entidades privadas recopilan, almacenan, usan y comparten identificadores biométricos, como huellas dactilares, escaneos de geometría facial, escaneos de iris y huellas de voz. Exige que las empresas proporcionen un aviso por escrito, expliquen el propósito y la duración de la recopilación, y obtengan una autorización por escrito antes de recopilar cualquier dato biométrico. La BIPA es singularmente poderosa porque su Sección 20 crea un derecho de acción privado que permite a las personas demandar por $1,000 por violación negligente o $5,000 por violación intencional o imprudente, más honorarios de abogados, sin necesidad de probar un daño real.
¿Cómo cambió la enmienda de la BIPA de 2024 los daños?
La Ley Pública 103-769, firmada el 2 de agosto de 2024, modificó la Sección 20 de la BIPA para establecer que la recopilación o divulgación del mismo identificador biométrico de la misma persona utilizando el mismo método de recopilación constituye una única violación, no una violación por cada escaneo. Esto revirtió directamente el fallo de la Corte Suprema de Illinois de 2023 en Cothron v. White Castle, que había permitido la recuperación por escaneo. En abril de 2026, el Séptimo Circuito en Clay v. Union Pacific Railroad sostuvo que esta enmienda se aplica retroactivamente a todos los casos pendientes cuando se promulgó la enmienda, limitando aún más la recuperación del demandante a un máximo de $1,000 o $5,000 por persona por cada actividad de recopilación idéntica.
¿Tiene Illinois una ley integral de privacidad de datos del consumidor?
Hasta mayo de 2026, Illinois no cuenta con una ley integral de privacidad de datos del consumidor comparable a la CCPA de California o a la Ley de Protección de Datos del Consumidor de Virginia. Varios proyectos de ley están pendientes en la 104.ª Asamblea General, incluidos el Proyecto de Ley del Senado 2875 (Ley de Privacidad de Datos del Consumidor de Illinois) y el Proyecto de Ley del Senado 0052 (Ley de Derechos de Privacidad). Ambos permanecen en comité hasta mayo de 2026. Una Ley de Privacidad de Información Personal de Illinois propuesta por separado no logró aprobarse en la sesión legislativa 2025-2026.
¿Cuáles son los requisitos de notificación de violación de datos de Illinois?
Bajo la Ley de Protección de Información Personal (815 ILCS 530), cualquier entidad que haga negocios en Illinois y que sufra una violación de datos que comprometa información personal debe notificar a los residentes afectados de Illinois en el tiempo más expedito posible y sin demora injustificada. Las agencias estatales deben notificar al Fiscal General dentro de los 45 días si se ven afectados 250 o más residentes, y las agencias bajo el Gobernador deben notificar al Director de Seguridad de la Información dentro de las 72 horas. Las sanciones incluyen hasta $100 por persona y un máximo de $50,000 por violación bajo la Ley de Fraude al Consumidor y Prácticas Comerciales Engañosas.
¿Puede mi empleador acceder a mis contraseñas de redes sociales en Illinois?
No. La Ley del Derecho a la Privacidad en el Lugar de Trabajo de Illinois (820 ILCS 55) prohíbe a los empleadores solicitar, exigir o coaccionar a cualquier empleado o solicitante de empleo a proporcionar nombres de usuario, contraseñas u otras credenciales de cuentas personales en línea, incluidas las redes sociales. Los empleadores aún pueden monitorear los equipos propiedad de la empresa, establecer políticas de uso aceptable para dispositivos de trabajo y ver contenido de redes sociales disponible públicamente. Las violaciones pueden aplicarse a través del Departamento de Trabajo, el Fiscal General, o demandas privadas en el tribunal de circuito de Illinois.
¿Qué es la oleada de litigios de la GIPA y cómo afecta a los empleadores de Illinois?
La Ley de Privacidad de Información Genética (GIPA), 410 ILCS 513, ha generado más de 100 demandas colectivas desde 2023. Los demandantes alegan principalmente que los cuestionarios médicos previos al empleo de los empleadores que preguntan sobre antecedentes médicos familiares constituyen solicitudes ilícitas de información genética. Los daños de la GIPA son más altos que los de la BIPA: $2,500 por violación negligente y $15,000 por violación intencional o imprudente, más honorarios de abogados. Los empleadores de Illinois deben revisar todos los formularios médicos previos al empleo y los protocolos de exámenes físicos y eliminar las preguntas sobre antecedentes médicos familiares.
¿Cuáles son los nuevos requisitos de aviso de IA en el empleo vigentes desde enero de 2026?
El Proyecto de Ley de la Cámara 3773, vigente desde el 1 de enero de 2026, modificó la Ley de Derechos Humanos de Illinois (775 ILCS 5) para exigir a los empleadores dar un aviso por escrito a los solicitantes y empleados cada vez que se use IA para influir o facilitar una decisión de contratación, promoción, capacitación, disciplina u otra decisión de empleo. El aviso debe identificar el nombre de la herramienta de IA, el desarrollador, el propósito y las categorías de datos utilizados. También se prohíbe a los empleadores usar IA que produzca un efecto discriminatorio sobre clases protegidas, con responsabilidad estricta independientemente de la intención. El Departamento de Derechos Humanos de Illinois está finalizando los reglamentos de implementación.
¿De qué acuerdos de la BIPA han recibido dinero los residentes de Illinois?
Entre los principales acuerdos de la BIPA se incluyen Facebook ($650 millones, 2020), BNSF Railway ($75 millones, 2023), Google Photos ($100 millones, 2022), TikTok ($92 millones, 2021), Meta Instagram ($68.5 millones, 2023), Clearview AI ($51.75 millones en acciones, 2025), Motorola FaceSearch ($47.5 millones, aprobación final en septiembre de 2025), Snapchat ($35 millones, 2022), Speedway ($12.1 millones, 2025) y YouTube Face Blur ($6 millones, aprobación final en diciembre de 2025). Los residentes de Illinois que aparecieron en fotos cubiertas o trabajaron en ubicaciones cubiertas durante los periodos relevantes pudieron haber sido elegibles para pagos de estos acuerdos de demandas colectivas.
Fuentes y referencias
- Ley de Privacidad de Información Biométrica de Illinois (BIPA), 740 ILCS 14 -- Texto Completo(ilga.gov).gov
- BIPA Sección 15 -- Requisitos de Retención, Recopilación, Divulgación y Destrucción(ilga.gov).gov
- BIPA Sección 10 -- Definiciones de Identificador Biométrico e Información Biométrica(ilga.gov).gov
- Ley de Protección de Información Personal de Illinois, 815 ILCS 530 -- Texto Completo(ilga.gov).gov
- Fiscal General de Illinois -- Requisitos de Notificación de Violación de Datos(illinoisattorneygeneral.gov).gov
- Ley de Protección de Información Personal en Línea de Estudiantes de Illinois (SOPPA), 105 ILCS 85 -- Texto Completo(ilga.gov).gov
- Ley del Derecho a la Privacidad en el Lugar de Trabajo de Illinois -- Depto. de Trabajo de Illinois(labor.illinois.gov).gov
- Ley de Privacidad de Información Genética de Illinois, 410 ILCS 513 -- Texto Completo(ilga.gov).gov
- Ley de Entrevistas en Video con IA de Illinois, 820 ILCS 42 -- Texto Completo(ilga.gov).gov
- SB 2979 (Ley Pública 103-769) -- Enmienda de la BIPA de 2024(legiscan.com)
- SB 2875 -- Ley de Privacidad de Datos del Consumidor de Illinois (104.ª AG)(ilga.gov).gov
- Depto. de Trabajo de Illinois -- Preguntas Frecuentes sobre Privacidad en el Lugar de Trabajo(labor.illinois.gov).gov
- Enmienda de la Ley de Derechos Humanos de Illinois (HB 3773) -- Análisis de Seyfarth Shaw(seyfarth.com)
- Clay v. Union Pacific Railroad Company, No. 25-2185 (7th Cir. 1 de abril de 2026) -- Retroactividad de la Enmienda de la BIPA(datamatters.sidley.com)
- Acuerdo de $47.5M de Motorola Solutions FaceSearch por la BIPA -- ClassAction.org(classaction.org)
- Acuerdo de $6M de la BIPA por YouTube Face Blur -- TopClassActions(topclassactions.com)
- Oleada de Litigios de la GIPA Contra Empleadores de Illinois -- InsidePrivacy(insideprivacy.com)
- FTC -- Cumplimiento de la Ley TAKE IT DOWN(ftc.gov).gov
- Resumen del Año 2025: Litigios de Privacidad Biométrica -- PrivacyWorld Blog(privacyworld.blog)
- Histórico Acuerdo de Privacidad Biométrica por $650 Millones (Facebook) -- American Bar Association(americanbar.org)
- Protección de Datos y Privacidad 2026: EE. UU. -- Illinois -- Chambers and Partners(practiceguides.chambers.com)