Indiana
Leyes de Privacidad Biométrica de Indiana: Recopilación, Consentimiento y Sanciones (2026)

Indiana no cuenta con una ley independiente de privacidad biométrica. En su lugar, la Ley de Protección de Datos del Consumidor de Indiana (IC 24-15), vigente desde el 1 de enero de 2026, clasifica los datos biométricos como datos sensibles y exige consentimiento expreso (opt-in) antes de que cualquier empresa recopile huellas dactilares, huellas de voz o escaneos de iris. Solo el Fiscal General de Indiana puede hacer cumplir la ley; los consumidores no tienen un derecho de acción privado.
Indiana se unió al creciente número de estados que regulan los datos biométricos cuando la Ley de Protección de Datos del Consumidor de Indiana (ICDPA) entró en vigor el 1 de enero de 2026. Firmada por el gobernador Eric Holcomb el 1 de mayo de 2023 como el Proyecto de Ley del Senado 5, la ley está codificada en el Código de Indiana, Título 24, Artículo 15 y trata los datos biométricos como una categoría de información sensible que requiere protecciones reforzadas.
A diferencia de Illinois, que otorga a las personas el derecho de demandar a las empresas que manejan incorrectamente los datos biométricos bajo la BIPA, Indiana adopta un enfoque de cumplimiento exclusivo del Fiscal General. Esto hace que el cumplimiento sea menos propenso a litigios para las empresas, pero brinda a los consumidores menos remedios directos.
Para una visión más amplia del marco general de protección de datos de Indiana, consulte la guía principal sobre las Leyes de Privacidad de Datos de Indiana.
Cómo Define Indiana los Datos Biométricos
Conforme al IC 24-15-2-4, los datos biométricos significan datos generados por mediciones automáticas de las características biológicas de una persona. El estatuto enumera estos ejemplos:
- Huellas dactilares
- Huellas de voz
- Imágenes de la retina o el iris
- Otros patrones o características biológicas únicas
La definición es intencionalmente amplia en su cláusula final, y cubre tecnologías biométricas emergentes como los escaneos de venas de la palma de la mano o el análisis de la marcha, siempre que dependan de la medición automática de rasgos biológicos.
Qué Excluye la Definición
La ICDPA excluye específicamente lo siguiente de su definición de datos biométricos:
- Fotografías físicas o digitales
- Grabaciones de video
- Grabaciones de audio
- Datos generados a partir de fotografías, videos o grabaciones de audio
Existe una excepción importante a estas exclusiones. Si una fotografía, un video o una grabación de audio se procesa específicamente para identificar a una persona en particular, los datos resultantes pueden calificar como datos biométricos bajo el estatuto. Una grabación de cámara de seguridad por sí sola no es un dato biométrico, pero pasar esa grabación por un software de reconocimiento facial para identificar a alguien podría generar datos biométricos sujetos a las protecciones de la ICDPA.
Los Datos Biométricos como Datos Sensibles Bajo la ICDPA
La ICDPA agrupa los datos biométricos con otras categorías de datos sensibles que reciben protecciones más sólidas que los datos personales ordinarios. Conforme al IC 24-15-2-17, los datos sensibles incluyen:
- Datos que revelan el origen racial o étnico
- Creencias religiosas
- Diagnósticos de salud mental o física realizados por un proveedor de atención médica
- Orientación sexual
- Estatus de ciudadanía o migratorio
- Datos genéticos
- Datos biométricos procesados para identificar a una persona específica
- Datos personales recopilados de un niño conocido menor de 13 años
- Datos de geolocalización precisa (dentro de un radio de 1,750 pies)
La frase clave es "procesados para identificar a una persona específica". Los datos biométricos recopilados para propósitos distintos a la identificación individual podrían no calificar como datos sensibles, aunque aún podrían constituir datos personales bajo el marco más amplio de la ICDPA.

Requisitos de Consentimiento para los Datos Biométricos
La ICDPA exige a las empresas obtener consentimiento expreso (opt-in) antes de procesar cualquier dato sensible, incluidos los datos biométricos. Esto significa que una empresa no puede recopilar huellas dactilares, huellas de voz o escaneos de iris de los consumidores de Indiana a menos que esos consumidores acepten afirmativamente la recopilación.
El consentimiento bajo la ICDPA debe ser:
- Otorgado libremente por el consumidor sin coacción
- Específico para la actividad de procesamiento en cuestión
- Informado, de manera que el consumidor entienda a qué está accediendo
- Inequívoco, con un acto afirmativo claro que indique acuerdo
Las casillas premarcadas, el consentimiento combinado y oculto en los términos de servicio, o el consentimiento implícito por el uso continuo de un servicio, no cumplen con el estándar de la ICDPA. El consumidor debe saber que está aceptando la recopilación de datos biométricos y elegir activamente permitirla.
Quién Debe Cumplir
La ICDPA se aplica a las entidades con fines de lucro que realizan negocios en Indiana o producen productos o servicios dirigidos a los residentes de Indiana y que cumplen con uno de dos umbrales durante un año calendario:
- Controlan o procesan datos personales de al menos 100,000 consumidores de Indiana (excluyendo los datos procesados únicamente para transacciones de pago), o
- Controlan o procesan datos personales de al menos 25,000 consumidores de Indiana y obtienen más del 50% de los ingresos brutos de la venta de datos personales
Las pequeñas y medianas empresas que quedan por debajo de estos umbrales no están sujetas a la ICDPA. Sin embargo, cualquier entidad cubierta que recopile datos biométricos de residentes de Indiana debe cumplir con los requisitos de consentimiento para datos sensibles.
Exenciones
La ICDPA exime ampliamente a ciertas entidades y tipos de datos de sus requisitos:
- Entidades cubiertas por HIPAA: los proveedores de atención médica, los planes de salud y sus asociados comerciales están exentos al manejar información de salud protegida
- Entidades reguladas por la GLBA: las instituciones financieras ya sujetas a la Ley Gramm-Leach-Bliley
- Datos de la FCRA: información regida por la Ley de Informe Justo de Crédito
- Datos de la FERPA: los registros educativos de los estudiantes bajo la Ley de Derechos Educativos y Privacidad Familiar
- Datos de la DPPA: información de conductores bajo la Ley de Protección de la Privacidad del Conductor
- Datos de empleo: datos procesados sobre personas que actúan en un contexto comercial o laboral
La exención de datos de empleo es significativa para la privacidad biométrica. A diferencia de la BIPA de Illinois, que cubre explícitamente la recopilación por parte de los empleadores de datos biométricos de los empleados, la ICDPA exime los datos recopilados en un contexto laboral. Como resultado, los empleadores de Indiana que utilizan relojes de tiempo con huella dactilar o sistemas de acceso biométrico para sus empleados enfrentan menos restricciones bajo la ICDPA.
Obligaciones del Controlador para los Datos Biométricos
Las empresas que califican como controladores de datos bajo la ICDPA deben cumplir con varias obligaciones al manejar datos biométricos.
Avisos de Privacidad
Los controladores deben publicar avisos de privacidad claros y accesibles que divulguen:
- Las categorías de datos personales que procesan, incluido si recopilan datos biométricos
- Los propósitos del procesamiento de cada categoría de datos
- Cómo pueden los consumidores ejercer sus derechos
- Si los datos se comparten con terceros y qué categorías de terceros los reciben
Minimización de Datos
Los controladores deben limitar la recopilación de datos biométricos a lo que sea "adecuado, relevante y razonablemente necesario" para el propósito divulgado. Una empresa no puede recopilar huellas dactilares para la verificación de identidad y luego usar esos mismos datos para análisis de marketing sin consentimiento adicional.
Requisitos de Seguridad
Los controladores deben implementar "prácticas razonables de seguridad de datos administrativas, técnicas y físicas" apropiadas al volumen y la naturaleza de los datos personales que procesan. Los datos biométricos, al ser datos sensibles, ameritan medidas de seguridad más sólidas que las categorías menos sensibles.
Evaluaciones de Protección de Datos
La ICDPA exige a los controladores realizar evaluaciones de protección de datos para las actividades de procesamiento que presenten un "riesgo elevado de daño para los consumidores". El procesamiento de datos sensibles, incluidos los datos biométricos, activa este requisito.
La evaluación debe sopesar:
- Los beneficios que se derivan del procesamiento para el controlador, el consumidor y el público
- Los riesgos de daño para el consumidor, incluidos los riesgos de trato injusto, impacto dispar ilegal, perjuicio financiero, lesión física e intrusión en la privacidad
- Cualquier salvaguarda que el controlador tenga implementada para mitigar esos riesgos
Las evaluaciones son obligatorias para las actividades de procesamiento que ocurran después del 31 de diciembre de 2025.
Contratos con Encargados del Tratamiento
Los controladores que comparten datos biométricos con encargados del tratamiento (proveedores de servicios externos) deben establecer contratos vinculantes que especifiquen los propósitos del procesamiento, las categorías de datos, la duración y las obligaciones relacionadas con los derechos de los consumidores. Los encargados del tratamiento deben cooperar con los controladores en las solicitudes de derechos de datos y la notificación de filtraciones.
Derechos de los Consumidores Sobre los Datos Biométricos
Los consumidores de Indiana tienen varios derechos sobre sus datos personales, incluida la información biométrica, bajo la ICDPA.
Derecho a Saber y Acceder
Los consumidores pueden confirmar si un controlador está procesando sus datos personales y obtener una copia de esos datos en un formato portátil y fácilmente utilizable. Esto incluye los datos biométricos. El derecho puede ejercerse como máximo una vez cada período de 12 meses.
Derecho a Corregir
Los consumidores pueden solicitar la corrección de datos personales inexactos, tomando en cuenta la naturaleza y el propósito del procesamiento de datos.
Derecho a Eliminar
Los consumidores pueden solicitar la eliminación de los datos personales que un controlador mantiene sobre ellos. Esto se aplica a los datos biométricos que una empresa haya recopilado, aunque ciertas excepciones permiten su retención (como completar una transacción o cumplir con una obligación legal).
Derecho a Excluirse
Los consumidores pueden excluirse del procesamiento de sus datos personales para publicidad dirigida, la venta de datos personales o la elaboración de perfiles que produzca efectos legales o de importancia similar.
Sin Requisito de Exclusión Universal
A diferencia de algunas leyes de privacidad estatales más recientes, la ICDPA no exige a las empresas respetar mecanismos universales de exclusión como el Control de Privacidad Global. Las empresas pueden optar por admitir el GPC de forma voluntaria, pero no están obligadas a hacerlo.
Aplicación de la Ley y Sanciones

El Fiscal General de Indiana tiene autoridad exclusiva de aplicación sobre la ICDPA. No existe un derecho de acción privado. Los consumidores individuales no pueden demandar a las empresas por infracciones de datos biométricos bajo esta ley.
Período de Subsanación de 30 Días
Antes de tomar medidas, el Fiscal General debe proporcionar un aviso por escrito que identifique las disposiciones específicas presuntamente infringidas. La empresa entonces tiene 30 días para subsanar la infracción. Este período de subsanación es permanente bajo la ICDPA y no expira ni tiene una fecha de vencimiento, lo cual es inusual entre las leyes de privacidad estatales.
Si la empresa corrige la infracción dentro de los 30 días, el asunto se cierra. Si no lo hace, el Fiscal General puede iniciar una acción de cumplimiento.
Sanciones Civiles

Las infracciones que no se subsanan conllevan sanciones civiles de hasta $7,500 por infracción. El Fiscal General también puede solicitar medidas cautelares para detener infracciones en curso.
La Ley de Notificación de Filtraciones de Indiana y los Datos Biométricos
La Ley de Divulgación de Violación de Seguridad de Indiana (IC 24-4.9) exige a las empresas notificar a las personas afectadas y al Fiscal General después de una filtración de datos. Sin embargo, el estatuto define "información personal" de manera limitada como un nombre combinado con:
- Número de Seguro Social
- Número de licencia de conducir o de identificación estatal
- Números de tarjeta de crédito, cuenta financiera o tarjeta de débito con códigos de seguridad
Los datos biométricos no están incluidos en esta definición. Una filtración que exponga únicamente plantillas de huellas dactilares, huellas de voz o escaneos de iris no activaría los requisitos de notificación bajo el IC 24-4.9.
Las empresas que notifiquen al Fiscal General deben enviar un correo electrónico a DataBreach@atg.in.gov e incluir una muestra del aviso enviado a las personas afectadas. Si se ven afectados más de 1,000 residentes de Indiana, la empresa también debe notificar a las agencias de informes crediticios (Equifax, Experian y TransUnion).

Cómo se Compara Indiana con Otros Estados
El enfoque de Indiana sobre los datos biométricos se ubica en un punto medio del espectro nacional.
Existen protecciones más sólidas en:
- Illinois: la BIPA otorga un derecho de acción privado con daños estatutarios de $1,000 a $5,000 por infracción. Cubre los datos biométricos de los empleados y ha generado miles de millones de dólares en acuerdos de demandas colectivas.
- Texas: la CUBI otorga al Fiscal General facultades de aplicación con sanciones de hasta $25,000 por infracción.
Existen marcos similares en:
- Los estados con leyes integrales de privacidad que clasifican los datos biométricos como sensibles (Colorado, Connecticut, Virginia, Montana, Oregón, Delaware) siguen el mismo patrón general que Indiana: consentimiento expreso (opt-in) para datos sensibles, aplicación por el Fiscal General y ausencia de derecho de acción privado.
Existen protecciones más débiles en:
- Los estados sin una ley integral de privacidad ni un estatuto específico sobre datos biométricos, donde los datos biométricos no reciben ninguna protección dedicada a nivel estatal.
La distinción clave entre Indiana e Illinois es la exención de empleo. La BIPA de Illinois ha generado miles de demandas contra empleadores que utilizan relojes de tiempo con huella dactilar. La ICDPA de Indiana exime los datos de contexto laboral, protegiendo a los empleadores de Indiana de una exposición similar.
Legislación Pendiente
Hasta marzo de 2026, no hay ninguna legislación importante independiente sobre privacidad biométrica pendiente en la Asamblea General de Indiana que crearía un derecho de acción privado al estilo de la BIPA o ampliaría las protecciones biométricas más allá del marco de la ICDPA.
La sesión legislativa de 2026 ha incluido el Proyecto de Ley del Senado 76, que enmienda varias áreas del Código de Indiana, incluidas las disposiciones de protección de datos del consumidor. Las empresas deben monitorear el sitio web de la Asamblea General de Indiana en iga.in.gov para detectar cualquier enmienda que pudiera ampliar la cobertura de datos biométricos o modificar los mecanismos de aplicación.
La ICDPA todavía está en su primer año de aplicación, y la oficina del Fiscal General está construyendo su historial de cumplimiento. Futuras normativas o documentos de orientación del Fiscal General podrían aclarar aún más las obligaciones relacionadas con los datos biométricos.
Más Leyes de Indiana
- Leyes de Grabación en Reuniones con IA de Indiana
- Leyes de Pensión Alimenticia Conyugal de Indiana
- Leyes de Empleo a Voluntad de Indiana
- Leyes de Accidentes Automovilísticos de Indiana
- Leyes de Asientos de Auto para Niños de Indiana
- Leyes de Custodia de Menores de Indiana
- Leyes de Manutención Infantil de Indiana
- Leyes de Matrimonio de Hecho de Indiana
- Leyes sobre Deepfakes de Indiana
- Leyes de Divorcio de Indiana
- Leyes sobre Mordeduras de Perro de Indiana
- Leyes de Emancipación de Indiana
- Leyes de Eliminación de Antecedentes Penales de Indiana
- Leyes sobre Choque y Fuga de Indiana
- Leyes de Propietarios e Inquilinos de Indiana
- Leyes de Vehículos Defectuosos (Lemon Law) de Indiana
Este artículo ofrece información legal general sobre las leyes de privacidad biométrica de Indiana bajo la ICDPA. No constituye asesoría legal. Las leyes y regulaciones cambian con frecuencia, y este contenido puede no reflejar los desarrollos más recientes. Consulte a un abogado calificado con licencia en Indiana para obtener asesoría sobre su situación específica.
¿Afectado por una filtración de datos o una violación de privacidad biométrica?
Si sus datos personales quedaron expuestos en una filtración, o si su huella dactilar o escaneo facial se recopiló sin su consentimiento, podría ser elegible para unirse a un reclamo por compensación. Averígüelo gratis y sin compromiso.
Fuentes y referencias
- Página del Proyecto de Ley del Senado 5 de Indiana (ICDPA) y texto promulgado(iga.in.gov).gov
- Texto completo del Código de Indiana, Título 24, Artículo 15, Protección de Datos del Consumidor(iga.in.gov).gov
- Declaración de Derechos de Protección de Datos del Consumidor del Fiscal General de Indiana(in.gov).gov
- Preguntas frecuentes y formulario de notificación de filtraciones de seguridad del Fiscal General de Indiana(in.gov).gov
- Análisis de Akin Gump sobre las obligaciones de la Ley de Protección de Datos de Indiana(akingump.com)
- Resumen de Hunton Andrews Kurth sobre la ley de privacidad de Indiana(hunton.com)
- Especificación del Control de Privacidad Global(globalprivacycontrol.org)
- Acciones legislativas del SB 76 de Indiana (sesión 2026)(iga.in.gov).gov