Illinois
Leyes de Privacidad Biométrica de Illinois: Recopilación, Consentimiento y Sanciones (2026)

Illinois regula los datos biométricos a través de la Ley de Privacidad de Información Biométrica, 740 ILCS 14, que exige a las entidades privadas obtener un consentimiento informado por escrito antes de recopilar huellas dactilares, escaneos faciales u otros identificadores biométricos. La BIPA es la única ley estatal de datos biométricos con un derecho de acción privado, que permite daños estatutarios de $1,000 por violación negligente y $5,000 por violación intencional.
Illinois se encuentra solo entre los 50 estados. Su Ley de Privacidad de Información Biométrica, conocida como BIPA, es la única ley de privacidad biométrica del país que permite a las personas demandar directamente a las empresas por recopilar sus huellas dactilares, escaneos faciales u otros datos biométricos sin el consentimiento adecuado.
Desde su aprobación en 2008, la BIPA ha generado miles de millones de dólares en acuerdos, ha transformado la manera en que los empleadores usan los sistemas de control de horario por huella dactilar, y ha obligado a las principales empresas tecnológicas a cambiar cómo manejan los datos de reconocimiento facial. Si usted vive o trabaja en Illinois, entender la BIPA es esencial, ya sea que sea empleado, consumidor o dueño de un negocio.
Este artículo cubre el alcance completo de la BIPA tal como se encuentra en 2026, incluida la enmienda de 2024 que cambió la forma en que se calculan los daños.
¿Qué Es la Ley de Privacidad de Información Biométrica de Illinois?
La BIPA está codificada en 740 ILCS 14/1 y siguientes y entró en vigor el 3 de octubre de 2008. La Asamblea General de Illinois aprobó la ley después de que Pay By Touch, una empresa de pagos biométricos, quebrara en 2007. Esa quiebra generó preguntas urgentes sobre qué sucedería con los millones de registros de huellas dactilares que la empresa poseía.
A diferencia de un número de Seguro Social o una contraseña, una huella dactilar no se puede cambiar si se ve comprometida. La legislatura reconoció que los datos biométricos exigen protecciones más fuertes precisamente por su permanencia.
La BIPA se aplica a todas las entidades privadas que operan en Illinois. Las agencias gubernamentales y los tribunales están excluidos de la ley.
¿Qué Datos Biométricos Protege la BIPA?
Bajo la Sección 10 de la BIPA, un "identificador biométrico" incluye:
- Huellas dactilares
- Escaneos de retina o iris
- Huellas de voz
- Escaneos de la geometría de la mano
- Escaneos de la geometría del rostro
La "información biométrica" se define de manera más amplia como cualquier información basada en un identificador biométrico que se utilice para identificar a una persona. Esta distinción es importante porque extiende las protecciones de la BIPA más allá del escaneo en bruto en sí a cualquier dato derivado de ese escaneo.
La BIPA excluye específicamente las muestras de escritura, las firmas escritas, las fotografías, los datos demográficos, las descripciones de tatuajes, las descripciones físicas y las imágenes médicas, como radiografías, resonancias magnéticas y tomografías computarizadas.
Requisitos de Consentimiento y Aviso de la BIPA
La Sección 15 de la BIPA establece requisitos estrictos que las entidades privadas deben cumplir antes de recopilar cualquier dato biométrico.

Aviso Escrito Antes de la Recopilación
Antes de recopilar un identificador biométrico o información biométrica, una entidad privada debe informar al individuo por escrito que se están recopilando o almacenando datos biométricos. El aviso también debe explicar el propósito específico de la recopilación de los datos y el periodo de tiempo durante el cual se conservarán.
Se Requiere Consentimiento Por Escrito
Después de proporcionar el aviso, la entidad debe recibir una autorización por escrito del individuo o de su representante legalmente autorizado. La enmienda de 2024 (Ley Pública 103-769) aclaró que la "autorización escrita" incluye una firma electrónica, definida como "un sonido, símbolo o proceso electrónico adjunto o lógicamente asociado a un registro y ejecutado o adoptado por una persona con la intención de firmar el registro".
Este cambio facilitó el cumplimiento para los empleadores y las empresas que usan sistemas digitales de incorporación.
Sin Venta ni Beneficio a Partir de los Datos Biométricos
La Sección 15(c) prohíbe rotundamente que cualquier entidad privada venda, arriende, comercie o de otro modo se beneficie del identificador biométrico o la información biométrica de una persona. No existen excepciones a esta regla.
Restricciones sobre la Divulgación
La Sección 15(d) prohíbe divulgar o compartir datos biométricos con terceros a menos que se aplique una de cuatro excepciones limitadas:
- El individuo ha consentido la divulgación
- La divulgación completa una transacción financiera que el individuo solicitó o autorizó
- Una ley estatal o federal exige u ordena la divulgación
- Una orden judicial o citación válida emitida por un tribunal de jurisdicción competente obliga a la divulgación
Retención y Destrucción de Datos
La Sección 15(a) exige que toda entidad privada que posea datos biométricos desarrolle una política escrita, disponible al público, que establezca un calendario de retención y directrices para destruir permanentemente los identificadores biométricos e información biométrica.
La destrucción debe ocurrir cuando se haya cumplido el propósito inicial de la recopilación de los datos o dentro de los tres años posteriores a la última interacción del individuo con la entidad privada, lo que ocurra primero.
Estándares de Seguridad
La Sección 15(e) exige que las entidades almacenen, transmitan y protejan los datos biométricos usando un estándar razonable de cuidado dentro de la industria de la entidad. Las protecciones deben ser al menos tan estrictas como las que la entidad usa para otra información confidencial y sensible que mantiene, como números de Seguro Social y datos de cuentas financieras.
El Derecho de Acción Privado y los Daños de la BIPA
Lo que distingue a la BIPA de cualquier otra ley estatal de privacidad biométrica es la Sección 20, que crea un derecho de acción privado. Las personas no necesitan esperar a que el fiscal general o cualquier agencia gubernamental actúe. Pueden presentar una demanda directamente.
Estructura de Daños
Cualquier persona perjudicada por una violación de la BIPA puede recuperar:
- Violaciones negligentes: daños liquidados de $1,000 o daños reales, lo que sea mayor
- Violaciones intencionales o imprudentes: daños liquidados de $5,000 o daños reales, lo que sea mayor
- Honorarios de abogados y costos: incluidos los honorarios de peritos y otros gastos de litigio
- Medidas cautelares: los tribunales pueden emitir órdenes para detener violaciones en curso
No Se Requiere Daño Real (Rosenbach v. Six Flags)
En Rosenbach v. Six Flags Entertainment Corp., 2019 IL 123186, la Corte Suprema de Illinois sostuvo que una persona no necesita demostrar un daño real o un efecto adverso más allá de la violación estatutaria en sí para calificar como "perjudicada" bajo la BIPA. El tribunal declaró que "una persona está perjudicada o agraviada, en el sentido legal, cuando se invade un derecho legal por el acto denunciado" y que "no es necesario alegar ni probar consecuencias adicionales".
Este fallo abrió las compuertas para el litigio de la BIPA al confirmar que el mero acto de recopilar datos biométricos sin consentimiento es suficiente para demandar.
Plazo de Prescripción de Cinco Años
La BIPA no incluye su propio plazo de prescripción. En febrero de 2023, la Corte Suprema de Illinois falló en Tims v. Black Horse Carriers, Inc. que el plazo de prescripción general de cinco años bajo el Código de Procedimiento Civil de Illinois se aplica a todos los reclamos de la BIPA. El tribunal razonó que las "ramificaciones completas de los daños asociados con la tecnología biométrica son desconocidas" y que un plazo de prescripción más largo brinda a las personas más tiempo para descubrir las violaciones.
La Enmienda de 2024: Cómo Cambiaron los Daños
El Problema de Cothron v. White Castle
En Cothron v. White Castle System, Inc., 2023 IL 128004 (17 de febrero de 2023), la Corte Suprema de Illinois falló 4-3 que un reclamo separado de la BIPA se genera cada vez que una entidad privada escanea o transmite datos biométricos sin consentimiento. Bajo esta interpretación por escaneo, un empleador que exigiera escaneos diarios de huellas dactilares para el control de horario podría enfrentar miles de violaciones individuales por empleado.
White Castle por sí sola enfrentó una responsabilidad potencial de hasta $17,000 millones porque sus empleados habían escaneado sus huellas dactilares varias veces por turno durante un periodo de años.
Ley Pública 103-769 (Vigente desde el 2 de agosto de 2024)
La Asamblea General de Illinois respondió al fallo de Cothron aprobando el SB 2979, promulgado como Ley Pública 103-0769. La enmienda introdujo tres cambios clave:
Regla de violación única: Cuando una entidad privada recopila el mismo identificador biométrico de la misma persona más de una vez usando el mismo método, o divulga la misma información biométrica al mismo destinatario en múltiples ocasiones, los actos repetidos constituyen una sola violación. La persona perjudicada tiene derecho, como máximo, a una recuperación.
Firmas electrónicas aceptadas: La enmienda agregó una definición de "firma electrónica" y confirmó que una "autorización escrita" bajo la Sección 15(b) puede obtenerse mediante una firma electrónica. Esto eliminó la ambigüedad sobre si los formularios de consentimiento digitales satisfacían el requisito de consentimiento escrito de la BIPA.
Aplicación retroactiva: La regla de violación única se aplica a todas las acciones presentadas en o después de la fecha de vigencia, independientemente de cuándo ocurrió la conducta subyacente.
Principales Acuerdos y Veredictos de la BIPA
La BIPA ha producido los mayores acuerdos de privacidad biométrica en la historia de Estados Unidos. Los siguientes casos ilustran el impacto financiero de la ley:

| Empresa | Monto del Acuerdo | Año | Datos Biométricos en Cuestión |
|---|---|---|---|
| Meta (Facebook) | $650 millones | 2021 | Reconocimiento facial (Sugerencias de Etiquetas) |
| BNSF Railway | $75 millones (tras un veredicto del jurado de $228M) | 2023 | Escaneos de huellas dactilares |
| $100 millones | 2022 | Agrupación de rostros en Google Photos | |
| TikTok/ByteDance | $92 millones | 2022 | Datos faciales y de voz |
| Clearview AI | $51.75 millones (en acciones) | 2025 | Base de datos de reconocimiento facial |
| Snapchat | $35 millones | 2022 | Filtros/lentes faciales |
| Topgolf | $50 millones | 2024 | Sistemas de registro por huella dactilar |
| Speedway | $12.1 millones | 2025 | Control de horario de empleados por huella dactilar |
El acuerdo de Clearview AI fue notable por ser el primer caso de la BIPA resuelto mediante una participación accionaria en lugar de efectivo. Un tribunal federal aprobó un acuerdo que otorgó a la clase de demandantes una participación del 23% en la propiedad de Clearview AI, valorada en aproximadamente $51.75 millones con base en una valoración de la empresa de $225 millones.
Obligaciones del Empleador Bajo la BIPA
El litigio de la BIPA ha apuntado desproporcionadamente a los empleadores, particularmente a aquellos que usan sistemas de control de horario basados en huellas dactilares. Los empleadores en Illinois deben tomar los siguientes pasos para cumplir con la BIPA:

Antes de Recopilar Cualquier Dato Biométrico
- Cree una política escrita de datos biométricos que establezca su calendario de retención y directrices de destrucción. Haga esta política disponible al público.
- Proporcione un aviso escrito a cada empleado explicando qué datos biométricos recopilará, por qué los recopila y por cuánto tiempo los conservará.
- Obtenga el consentimiento por escrito de cada empleado antes del primer escaneo. Una firma electrónica en un formulario digital satisface este requisito después de la enmienda de 2024.
Durante el Empleo
- Nunca comparta los datos biométricos con proveedores externos (como proveedores de software de control de horario) sin el consentimiento del empleado o a menos que se aplique una excepción estatutaria.
- Proteja los datos biométricos con al menos el mismo nivel de seguridad que usa para los números de Seguro Social y la información de cuentas financieras.
- No venda ni se beneficie de los datos biométricos de los empleados bajo ninguna circunstancia.
Después de que Finaliza el Empleo
- Destruya los datos biométricos cuando se haya cumplido el propósito de su recopilación o dentro de los tres años posteriores a la última interacción del empleado con su organización, lo que ocurra primero.
Panorama Actual de Litigios de la BIPA (2025-2026)
A pesar de que la enmienda de 2024 redujo la exposición potencial a daños, el litigio de la BIPA sigue siendo activo. Se presentaron más de 100 nuevas demandas colectivas de la BIPA en 2025, aunque esa cifra representa una disminución respecto a las 427 presentaciones de 2024.
Las tendencias clave que moldean el litigio actual de la BIPA incluyen:
Objetivos de IA y reconocimiento facial. Los tribunales han examinado si los sistemas de inteligencia artificial que crean clones de voz o brindan evaluaciones del cuidado de la piel usando datos faciales violan la BIPA. Un tribunal sostuvo que "recibir asesoría de una IA no era tratamiento médico" y que, por lo tanto, la exención de atención médica no aplicaba.
Arbitraje masivo. La BIPA se ha convertido en un elemento básico de las reclamaciones de arbitraje masivo, y los bufetes de demandantes usan demandas de arbitraje individuales en lugar de demandas colectivas para presionar acuerdos.
Ampliación de industrias objetivo. Casos recientes se han dirigido a minoristas de cosméticos que usan tecnología de prueba virtual, plataformas de almacenamiento de fotos que licencian imágenes para el entrenamiento de IA, y empresas de tecnología educativa que recopilan datos de voz y rostro de estudiantes.
Éxito en la certificación de clase. Los tribunales estatales y federales de Illinois han seguido otorgando mociones impugnadas para certificar demandas colectivas de la BIPA, al determinar que las preguntas comunes sobre las prácticas de consentimiento y aviso de una entidad predominan sobre las cuestiones individuales.
El total de acuerdos de demandas colectivas de la BIPA en 2025 alcanzó aproximadamente $136.6 millones, una disminución respecto al total de $206 millones de 2024, lo que refleja el impacto de la enmienda de violación única en los cálculos de daños.
Cómo Se Compara la BIPA con Otras Leyes Estatales de Datos Biométricos
Varios estados han promulgado leyes de privacidad biométrica siguiendo el ejemplo de Illinois, pero ninguna iguala el poder de aplicación de la BIPA:

Texas tiene un estatuto de privacidad biométrica (Tex. Bus. & Com. Code Capítulo 503) pero la aplicación recae únicamente en el fiscal general. No existe un derecho de acción privado. El Fiscal General de Texas obtuvo un acuerdo de $1,400 millones de Meta en 2024.
Washington aprobó una ley de identificadores biométricos (RCW 19.375) pero también carece de un derecho de acción privado y ha producido un litigio mínimo.
Colorado, Connecticut y Virginia incluyen protecciones de datos biométricos dentro de sus leyes integrales de privacidad del consumidor, pero no proporcionan derechos de acción privados específicamente por violaciones biométricas.
El derecho de acción privado de Illinois sigue siendo la única característica que hace de la BIPA la ley de privacidad biométrica más consecuente del país.
Más Leyes de Illinois
- Leyes de Grabación con IA en Reuniones de Illinois
- Leyes de Pensión Alimenticia de Illinois
- Leyes de Empleo a Voluntad de Illinois
- Leyes de Accidentes Automovilísticos de Illinois
- Leyes de Asientos de Auto para Niños de Illinois
- Leyes de Custodia de Menores de Illinois
- Leyes de Manutención Infantil de Illinois
- Leyes de Matrimonio de Hecho de Illinois
- Leyes sobre Deepfakes de Illinois
- Leyes de Divorcio de Illinois
- Leyes sobre Mordeduras de Perro de Illinois
- Leyes de Emancipación de Illinois
- Leyes de Eliminación de Antecedentes Penales de Illinois
- Leyes sobre Choque y Fuga de Illinois
- Leyes de Propietarios e Inquilinos de Illinois
- Leyes del Limón de Illinois
Para más información sobre cómo la BIPA encaja dentro del marco de privacidad más amplio de Illinois, consulte la guía principal de Leyes de Privacidad de Datos de Illinois.
Este artículo proporciona información legal general sobre la Ley de Privacidad de Información Biométrica de Illinois y está actualizado hasta marzo de 2026. No constituye asesoría legal. Consulte a un abogado con licencia en Illinois para obtener orientación sobre su situación específica.
¿Afectado por una filtración de datos o una violación de privacidad biométrica?
Si sus datos personales quedaron expuestos en una filtración, o si su huella dactilar o escaneo facial se recopiló sin su consentimiento, podría ser elegible para unirse a un reclamo por compensación. Averígüelo gratis y sin compromiso.
Fuentes y referencias
- Texto completo de la Ley de Privacidad de Información Biométrica(ilga.gov).gov
- 740 ILCS 14/15 - Requisitos de consentimiento y divulgación(ilga.gov).gov
- 740 ILCS 14/20 - Derecho de acción y daños(ilga.gov).gov
- Ley Pública 103-0769 (enmienda de la BIPA de 2024)(ilga.gov).gov
- Estado del proyecto SB 2979 (103.ª Asamblea General)(ilga.gov).gov
- Rosenbach v. Six Flags Entertainment Corp., 2019 IL 123186(illinoiscourts.gov).gov
- Cothron v. White Castle System, Inc., 2023 IL 128004(law.justia.com)