Iowa
Leyes de Privacidad Biométrica de Iowa: Recopilación, Consentimiento y Sanciones (2026)

Iowa no cuenta con una ley independiente de privacidad biométrica. En cambio, la Ley de Protección de Datos del Consumidor de Iowa (Iowa Code Cap. 715D), vigente desde el 1 de enero de 2025, clasifica los datos biométricos como datos sensibles y exige a las empresas dar aviso a los consumidores y una oportunidad de exclusión antes de procesarlos. El Fiscal General aplica la ley; no existe un derecho de acción privado.
Iowa ofrece dos niveles de protección para los datos biométricos. La Ley de Protección de Datos del Consumidor de Iowa (ICDPA) trata los identificadores biométricos como datos sensibles sujetos a requisitos de divulgación y exclusión. Por separado, la ley estatal de notificación de brechas exige a las empresas alertar a los consumidores cuando los registros biométricos quedan expuestos en una brecha de datos.
Ninguna de las dos leyes es tan sólida como los estatutos dedicados de privacidad biométrica en estados como Illinois o Texas. El enfoque de Iowa se basa en la exclusión en lugar del consentimiento de inclusión, y la aplicación recae únicamente en el Fiscal General.
Para conocer el panorama completo del marco de privacidad de Iowa, consulte la guía principal de Leyes de Privacidad de Datos de Iowa.
Cómo Define Iowa los Datos Biométricos
Bajo el Iowa Code 715D.1, los datos biométricos son datos generados por mediciones automáticas de las características biológicas de una persona que se usan para identificar a una persona específica. El estatuto enumera estos ejemplos:
- Huellas dactilares
- Huellas de voz
- Retinas e iris de los ojos
- Otros patrones o características biológicas únicos
La definición excluye explícitamente las fotografías físicas o digitales, las grabaciones de video o audio (y los datos generados a partir de ellas), y la información recopilada, usada o almacenada para el tratamiento, pago u operaciones de atención médica bajo HIPAA.
Los datos biométricos caen dentro de la categoría más amplia de "datos sensibles" en la ICDPA cuando se procesan con el fin de identificar de manera única a una persona natural. Otras categorías de datos sensibles incluyen el origen racial o étnico, las creencias religiosas, los diagnósticos de salud, la orientación sexual, el estatus de ciudadanía o inmigración, los datos genéticos, los datos de niños identificados y los datos de geolocalización precisa.
Los Requisitos de la ICDPA Sobre Datos Biométricos

Exclusión, No Inclusión
Esta es la distinción más importante entre Iowa y los estados con leyes de privacidad biométrica más sólidas. Bajo el Iowa Code 715D.4, un controlador de datos que procesa datos sensibles (incluidos los datos biométricos) debe darle al consumidor un aviso claro y una oportunidad de excluirse de ese procesamiento.
Iowa no exige un consentimiento afirmativo de inclusión. Una empresa puede comenzar a procesar los datos de su huella dactilar o geometría facial siempre que le informe al respecto y le dé una forma de negarse. En contraste, estados como Colorado, Connecticut y Virginia exigen que los consumidores den su consentimiento de inclusión antes de que comience el procesamiento de datos sensibles.
Para los datos recopilados de un niño identificado, la ICDPA exige el cumplimiento de la ley federal de Protección de la Privacidad Infantil en Línea (COPPA) en lugar de usar el marco estándar de exclusión.
A Quién Se Aplica la ICDPA
La ICDPA se aplica a las empresas que realizan negocios en Iowa o que producen productos o servicios dirigidos a consumidores de Iowa y que, durante un año calendario, ya sea:
- Controlan o procesan los datos personales de al menos 100,000 consumidores de Iowa, o
- Controlan o procesan datos personales de al menos 25,000 consumidores y obtienen más del 50% de sus ingresos brutos de la venta de datos personales
El Iowa Code 715D.2 exime a varias categorías de entidades, incluidos los organismos gubernamentales estatales y locales, las instituciones financieras sujetas a la Ley Gramm-Leach-Bliley, las entidades cubiertas por HIPAA, las organizaciones sin fines de lucro y las instituciones de educación superior.
Derechos del Consumidor Sobre los Datos Biométricos
Bajo el Iowa Code 715D.3, los consumidores de Iowa tienen derecho a:
- Confirmar y acceder si un controlador está procesando sus datos personales, incluidos los datos biométricos, y obtener una copia de esos datos
- Eliminar los datos personales que el consumidor proporcionó al controlador
- Excluirse de la venta de datos personales o del procesamiento de datos personales con fines de publicidad dirigida
Cabe destacar que Iowa no otorga a los consumidores el derecho a corregir datos personales inexactos, algo que incluyen la mayoría de las demás leyes estatales de privacidad. Los consumidores tampoco pueden apelar la decisión de un controlador respecto a su solicitud de derechos de datos a través del propio controlador.
Deberes del Controlador de Datos
Los controladores que manejan datos biométricos deben:
- Limitar la recopilación a lo que sea adecuado, relevante y razonablemente necesario para el propósito divulgado
- Adoptar prácticas razonables de seguridad de datos administrativas, técnicas y físicas apropiadas para el volumen y la naturaleza de los datos
- Evitar procesar datos personales para fines que no sean razonablemente necesarios o compatibles con el propósito divulgado sin obtener el consentimiento del consumidor
- Publicar un aviso de privacidad claro y accesible que describa las categorías de datos personales procesados, el propósito del procesamiento, cómo los consumidores pueden ejercer sus derechos, y si el controlador vende datos o los usa para publicidad dirigida
La Ley de Notificación de Brechas de Iowa y los Datos Biométricos
El segundo nivel de protección biométrica de Iowa proviene del Iowa Code Capítulo 715C, la Ley de Protección de Brechas de Seguridad de Información Personal.
Esta ley define la información personal para incluir "datos biométricos únicos" junto con los números de Seguro Social, los números de licencia de conducir y los números de cuentas financieras. Una brecha de seguridad que involucre registros biométricos activa obligaciones de notificación obligatorias.
Requisitos de Notificación
Cualquier persona que posea o tenga licencia sobre datos computarizados que contengan información personal de un consumidor de Iowa debe notificar a los consumidores afectados tras descubrir una brecha. Los requisitos clave incluyen:
- Plazo: La notificación debe ocurrir de la manera más expedita posible y sin demora injustificada
- Notificación al Fiscal General: Las brechas que afecten a 500 o más residentes de Iowa requieren un aviso escrito al Fiscal General de Iowa dentro de los cinco días hábiles posteriores a la notificación a las personas afectadas
- Contenido: La notificación debe describir la brecha, el tipo de información comprometida y las medidas que la entidad está tomando en respuesta
- Método: El aviso puede proporcionarse por escrito, electrónicamente (con consentimiento) o mediante aviso sustituto si el costo supera los $250,000 o las personas afectadas superan las 350,000
Esto significa que, incluso si una empresa está exenta de la ICDPA (porque está por debajo de los umbrales de procesamiento), debe notificar a los consumidores si sus datos biométricos se ven comprometidos en una brecha.

Uso de Datos Biométricos por Parte del Empleador
La ICDPA no contiene exenciones específicas para empleadores en cuanto a la recopilación de datos biométricos. Si un empleador cumple con los umbrales de procesamiento y recopila datos biométricos, como huellas dactilares para relojes de asistencia o reconocimiento facial para el acceso a instalaciones, se aplican los requisitos de aviso de exclusión.
Sin embargo, el impacto práctico es limitado. Muchos empleadores de Iowa están por debajo del umbral de procesamiento de 100,000 consumidores. La ICDPA también exime los datos procesados en un contexto laboral cuando se procesan de conformidad con las leyes laborales federales o estatales aplicables.
Actualmente, Iowa no cuenta con una ley independiente que exija a los empleadores obtener el consentimiento por escrito antes de recopilar datos biométricos, establecer cronogramas de retención o proporcionar un derecho de acción privado para los empleados cuyos datos biométricos sean manejados de forma inadecuada.
Aplicación y Sanciones

El Fiscal General de Iowa tiene autoridad exclusiva de aplicación bajo la ICDPA. Bajo el Iowa Code 715D.8:
- El Fiscal General puede solicitar una medida cautelar y sanciones civiles de hasta $7,500 por infracción
- Antes de iniciar una acción, el Fiscal General debe otorgar a la empresa un período de subsanación de 90 días para atender la presunta infracción
- Si la empresa subsana la infracción dentro de los 90 días y le proporciona al Fiscal General una declaración escrita expresa de que la infracción ha sido subsanada y de que no ocurrirán más infracciones, no se puede iniciar ninguna acción
No existe ningún derecho de acción privado bajo la ICDPA. Los consumidores individuales no pueden demandar directamente a las empresas por infracciones relacionadas con el manejo de datos biométricos. Esta es una limitación significativa en comparación con la Ley de Privacidad de Información Biométrica (BIPA) de Illinois, que permite a las personas recuperar entre $1,000 y $5,000 por infracción.
Para las infracciones de notificación de brechas bajo el Capítulo 715C, el Fiscal General también puede iniciar acciones de aplicación.
Legislación Pendiente: SSB 3085

La Legislatura de Iowa está considerando el Proyecto de Estudio del Senado 3085, que crearía un estatuto dedicado a los datos biométricos con protecciones más sólidas que las que actualmente ofrece la ICDPA.
Lo Que Exigiría el SSB 3085
De promulgarse, el proyecto exigiría a las entidades privadas:
- Desarrollar políticas de retención por escrito disponibles al público, limitando el almacenamiento a tres años después de la última interacción con la persona o hasta que se haya cumplido el propósito original de recopilación
- Obtener el consentimiento informado por escrito antes de recopilar datos biométricos, incluyendo la divulgación del propósito específico y el tiempo durante el cual se conservarán los datos
- Nunca vender, arrendar, comerciar ni beneficiarse de otro modo de los datos biométricos de una persona
- Almacenar y transmitir los datos biométricos usando medidas de seguridad razonables equivalentes o más protectoras que los métodos usados para las contraseñas y las credenciales de acceso a cuentas
Sanciones Bajo el SSB 3085
El Departamento de Inspecciones, Apelaciones y Licencias supervisaría la aplicación con sanciones escalonadas:
- Primera infracción: $1,000
- Segunda infracción: $5,000
- Tercera infracción o subsiguiente: $10,000
- Se permitiría un período de subsanación de 30 días para las infracciones iniciales
Exención para Empleadores
El proyecto exime a los empleadores que usan los datos biométricos de los empleados únicamente dentro del ámbito laboral. Esto permitiría el uso continuo de relojes de asistencia por huella dactilar y sistemas de acceso biométrico en el trabajo sin activar los requisitos de consentimiento y retención.
El SSB 3085 fue presentado en la 91.ª Asamblea General, que se extiende hasta enero de 2027. Aún no ha avanzado más allá de la etapa de proyecto de estudio.
Cómo se Compara Iowa con Otros Estados
Iowa ocupa un nivel intermedio en protección de privacidad biométrica. Así es como se compara el estado:
- Illinois tiene las protecciones más sólidas del país a través de BIPA, con requisitos de consentimiento informado por escrito y un derecho de acción privado que permite entre $1,000 y $5,000 por infracción
- Texas y Washington tienen estatutos específicos sobre datos biométricos con aplicación por parte del fiscal general pero sin derecho de acción privado
- Colorado, Connecticut y Virginia exigen consentimiento de inclusión para procesar datos biométricos bajo sus leyes integrales de privacidad
- Iowa solo exige aviso y exclusión para los datos biométricos bajo la ICDPA, lo que la convierte en una de las leyes integrales de privacidad más débiles en este tema
- Los estados sin protecciones como Georgia no tienen disposiciones sobre datos biométricos ni en una ley integral de privacidad ni en un estatuto de notificación de brechas
Más Leyes de Iowa
- Leyes de Grabación de Reuniones con IA de Iowa
- Leyes de Pensión Alimenticia de Iowa
- Leyes de Empleo a Voluntad de Iowa
- Leyes de Accidentes Automovilísticos de Iowa
- Leyes de Asientos de Seguridad para Niños de Iowa
- Leyes de Custodia de Menores de Iowa
- Leyes de Manutención Infantil de Iowa
- Leyes de Matrimonio de Hecho de Iowa
- Leyes sobre Deepfakes de Iowa
- Leyes de Divorcio de Iowa
- Leyes sobre Mordeduras de Perro de Iowa
- Leyes de Emancipación de Iowa
- Leyes de Eliminación de Antecedentes Penales de Iowa
- Leyes de Atropello y Fuga de Iowa
- Leyes de Propietarios e Inquilinos de Iowa
- Leyes del Limón de Iowa
Este artículo proporciona información legal general sobre las leyes de privacidad biométrica de Iowa. No constituye asesoría legal. Las leyes y regulaciones cambian con frecuencia, y este contenido puede no reflejar los desarrollos más recientes. Consulte a un abogado calificado con licencia en Iowa para obtener asesoría sobre su situación específica.
¿Afectado por una filtración de datos o una violación de privacidad biométrica?
Si sus datos personales quedaron expuestos en una filtración, o si su huella dactilar o escaneo facial se recopiló sin su consentimiento, podría ser elegible para unirse a un reclamo por compensación. Averígüelo gratis y sin compromiso.
Fuentes y referencias
- Iowa Code Capítulo 715D - Protecciones de Datos del Consumidor(legis.iowa.gov).gov
- Iowa Code Capítulo 715C - Protección de Brechas de Seguridad de Información Personal(legis.iowa.gov).gov
- Senate File 262 - Versión Promulgada (ICDPA)(legis.iowa.gov).gov
- La Gobernadora Reynolds Firma el SF 262 como Ley(governor.iowa.gov).gov
- Fiscal General de Iowa - Notificaciones de Brechas de Seguridad(iowaattorneygeneral.gov).gov
- Proyecto de Estudio del Senado 3085 - Requisitos de Datos Biométricos(legis.iowa.gov).gov