Maryland
Leyes de Privacidad Biométrica de Maryland: Recopilación, Consentimiento y Sanciones (2026)

Maryland no cuenta con una ley independiente de privacidad biométrica. En su lugar, la Ley de Privacidad de Datos en Línea de Maryland (MODPA) clasifica los datos biométricos como información personal sensible, restringiendo su recopilación a lo estrictamente necesario para prestar un producto o servicio solicitado, prohibiendo por completo su venta, y autorizando únicamente al Fiscal General a hacer cumplir las infracciones.
Maryland adopta un enfoque diferente respecto a la privacidad biométrica en comparación con estados que cuentan con estatutos biométricos independientes, como Illinois o Texas. En lugar de crear una ley de privacidad biométrica separada, Maryland incorporó protecciones biométricas sólidas dentro de su Ley de Privacidad de Datos en Línea de Maryland (MODPA), firmada por el gobernador Wes Moore el 9 de mayo de 2024.
Lo que hace notable el marco de Maryland es el estándar de estricta necesidad. Las empresas no pueden recopilar datos biométricos solo porque un consumidor haga clic en "acepto". Deben demostrar que los datos son esenciales para prestar un producto o servicio específico que el consumidor solicitó. Combinado con una prohibición absoluta de venta de datos biométricos, esto coloca a Maryland entre los estados más protectores del país en materia de privacidad biométrica.
A continuación se explica cómo funciona la ley y qué significa para los residentes, empleadores y empresas de Maryland.
Cómo Define Maryland los Datos Biométricos
La MODPA define los "datos biométricos" como los datos generados por mediciones automáticas de las características biológicas de un consumidor que pueden utilizarse para autenticar de manera única la identidad de ese consumidor. El texto final del proyecto de ley enumera ejemplos específicos:
- Huellas dactilares
- Impresiones de voz
- Imágenes de retina o iris
- Otras características biológicas únicas utilizadas para autenticación
El estatuto de notificación de violaciones de datos de Maryland (Md. Code Com. Law 14-3504) utiliza una definición ligeramente diferente, pero superpuesta, que agrega la "huella genética" a la lista de identificadores biométricos protegidos.
Qué No Son Datos Biométricos
La MODPA excluye ciertos datos de la definición de datos biométricos:
- Fotografías digitales o físicas
- Grabaciones de audio o video
- Datos generados a partir de fotografías o grabaciones, a menos que se generen específicamente para identificar a un consumidor en particular
Esto significa que la grabación de una cámara de seguridad, por sí sola, no califica como dato biométrico. Sin embargo, si una empresa procesa esa grabación mediante software de reconocimiento facial para identificar a personas específicas, los datos extraídos se convierten en datos biométricos conforme a la ley.
El Problema de la Definición Más Amplia
La definición de datos biométricos de Maryland es notablemente más amplia que la de la mayoría de los demás estados. La MODPA cubre las características biológicas que "pueden utilizarse" para autenticar la identidad, no solo aquellas que "se utilizan" o "se pretenden utilizar" con ese fin. Esta distinción es importante. Una empresa que recopila datos capaces de identificar a alguien, pero que nunca los utiliza realmente para autenticación, sigue poseyendo datos biométricos conforme a la MODPA.

Clasificación como Datos Sensibles y el Estándar de Estricta Necesidad
Conforme a la MODPA, los datos biométricos se clasifican como datos personales sensibles. Esto los coloca en el nivel más alto de protección junto con los datos genéticos, la geolocalización precisa, los datos sobre menores y la información que revela origen racial o étnico, creencias religiosas u orientación sexual.
La clasificación como datos sensibles activa el requisito de estricta necesidad de la MODPA. Los responsables solo pueden recopilar, procesar o compartir datos biométricos cuando sea "estrictamente necesario para proporcionar o mantener un producto o servicio específico solicitado por el consumidor".
Este estándar es más alto que el que establecen la mayoría de las leyes estatales de privacidad. En California, por ejemplo, las empresas pueden procesar datos sensibles con un aviso y la opción de que los consumidores limiten su uso. En Maryland, la pregunta es si la recopilación de datos biométricos es esencial para prestar lo que el consumidor solicitó.
Ejemplos prácticos:
- Un banco que utiliza autenticación por huella dactilar para el inicio de sesión en una aplicación móvil puede recopilar huellas dactilares porque el consumidor solicitó ese servicio
- Una tienda minorista que escanea los rostros de los clientes con fines de análisis de marketing probablemente no supera la prueba de estricta necesidad, porque el reconocimiento facial no es necesario para vender productos
- Un empleador que utiliza relojes checadores con huella dactilar puede enfrentar un escrutinio sobre si la recopilación biométrica es realmente la única forma de registrar la asistencia
Prohibición de Vender Datos Biométricos
La MODPA contiene lo que la oficina del Fiscal General de Maryland describe como una prohibición absoluta: las empresas no pueden vender datos biométricos. Punto.
Esta es la primera prohibición de este tipo bajo cualquier ley estatal integral de privacidad. Otros estados permiten la venta de datos sensibles si el consumidor otorga su consentimiento expreso. Maryland no lo permite. Incluso si un consumidor está explícitamente de acuerdo, una empresa aún no puede vender su información biométrica.
La prohibición se extiende al arrendamiento, intercambio o cualquier otra forma de transferencia de datos biométricos a cambio de una contraprestación monetaria o de otro tipo. Se permiten las transferencias a los encargados del tratamiento que actúan en nombre del responsable bajo un contrato válido, pero no las transferencias a terceros independientes para sus propios fines.
Derechos del Consumidor Sobre los Datos Biométricos
Los residentes de Maryland tienen varios derechos respecto a sus datos biométricos bajo la MODPA:
Derecho de Acceso. Los consumidores pueden solicitar confirmación de si una empresa está procesando sus datos biométricos y obtener una copia de esos datos.
Derecho de Eliminación. Los consumidores pueden solicitar que una empresa elimine sus datos biométricos. La empresa debe cumplir y ordenar a cualquier encargado del tratamiento que también los elimine.
Derecho de Corrección. Los consumidores pueden solicitar la corrección de datos biométricos inexactos.
Derecho a Optar por No Participar. Los consumidores pueden optar por no participar en la publicidad dirigida y la venta de datos personales. Las empresas deben respetar las señales universales de preferencia de exclusión.
Derecho a la Portabilidad de Datos. Los consumidores pueden solicitar sus datos biométricos en un formato portátil y fácilmente utilizable.
Las empresas deben proporcionar un enlace claro y visible en sus sitios web que permita a los consumidores ejercer estos derechos. No pueden tomar represalias contra los consumidores que los utilicen.
Requisitos de Notificación de Violaciones de Datos para Datos Biométricos
La Ley de Protección de Información Personal de Maryland (Md. Code Com. Law 14-3501 a 14-3508) impone requisitos específicos cuando se ven comprometidos datos biométricos en una violación de seguridad. Para un desglose detallado, consulte nuestra guía de Leyes de Notificación de Violaciones de Datos de Maryland.
Requisitos clave:
- Plazo de 45 días. Las empresas deben notificar a las personas afectadas tan pronto como sea razonablemente posible, pero a más tardar 45 días después de descubrir la violación o ser notificadas de ella
- Notificación al Fiscal General primero. El Fiscal General de Maryland debe ser notificado antes de que los consumidores individuales reciban la notificación
- Regla de 10 días para proveedores de servicios. Los proveedores de servicios externos que mantengan datos biométricos en nombre de otra empresa deben notificar al propietario de los datos dentro de los 10 días posteriores al descubrimiento de la violación
- Datos biométricos en la definición de información personal. El estatuto incluye específicamente los datos biométricos generados por mediciones automáticas de características biológicas (huella dactilar, impresión de voz, huella genética, imagen de retina o iris) en la definición de información personal
Contenido Requerido de la Notificación
Las notificaciones de violaciones de datos que involucren datos biométricos deben incluir:
- Una descripción de la información comprometida
- Información de contacto de la empresa y un número gratuito
- Detalles de contacto de las tres principales agencias de informes crediticios
- Información de contacto de la FTC y del Fiscal General de Maryland
- Recursos de prevención del robo de identidad
Los lineamientos del Fiscal General especifican que las notificaciones pueden enviarse por correo postal, teléfono, correo electrónico (si el consumidor consintió) o mediante notificación sustitutiva si los costos superan los $100,000 o si se ven afectados más de 175,000 residentes.

Obligaciones de los Empleadores
La MODPA se aplica a cualquier "responsable" que realice negocios en Maryland o proporcione productos o servicios dirigidos a los residentes de Maryland. Esto incluye a los empleadores que recopilan datos biométricos de los trabajadores.
Los empleadores que utilizan sistemas biométricos deben considerar lo siguiente:
Relojes checadores biométricos. Los escáneres de huella dactilar o geometría de la mano utilizados para el control de asistencia recopilan datos biométricos conforme a la MODPA. Los empleadores deben demostrar que la recopilación biométrica es estrictamente necesaria y no pueden basarse únicamente en el consentimiento para justificarla.
Control de acceso por reconocimiento facial. Los sistemas que escanean los rostros de los empleados para el ingreso a instalaciones generan datos biométricos. Los empleadores deben evaluar si alternativas menos invasivas (tarjetas de acceso, códigos PIN) cumplirían el mismo propósito.
No hay venta de datos biométricos de empleados. La prohibición de vender datos biométricos se aplica a los datos de los empleados sin excepción. Los empleadores no pueden vender, arrendar o intercambiar huellas dactilares, plantillas faciales u otros identificadores biométricos de los trabajadores.
Seguridad razonable. Los empleadores deben implementar y mantener procedimientos de seguridad razonables adecuados al tipo y volumen de datos biométricos que poseen. Los contratistas que manejen datos biométricos de empleados deben comprometerse contractualmente a estándares de seguridad comparables.

Aplicación y Sanciones
La Oficina del Fiscal General de Maryland, a través de la División de Protección al Consumidor, tiene autoridad exclusiva de aplicación sobre la MODPA. No existe un derecho de acción privada, lo que significa que los consumidores individuales no pueden demandar directamente a las empresas por infracciones relacionadas con datos biométricos.
Estructura de Sanciones
- Primera infracción: hasta $10,000 por infracción
- Infracciones posteriores: hasta $25,000 por infracción
- Recursos adicionales: medidas cautelares, restitución, daños económicos y confiscación de ganancias
Periodo de Subsanación
Antes de iniciar una medida formal de aplicación, el Fiscal General puede emitir un aviso de infracción si el problema es subsanable. El responsable o el encargado del tratamiento tiene entonces 60 días para corregir el problema. Si subsanan la infracción dentro de ese plazo, el Fiscal General puede optar por no imponer sanciones por ese problema específico.
Este periodo de subsanación se aplica durante la fase inicial de aplicación. Con el tiempo, el Fiscal General puede adoptar un enfoque más estricto para infractores reincidentes o infracciones particularmente graves.
Cronología de Aplicación
La MODPA entró en vigor el 1 de octubre de 2025, pero la aplicación plena comenzó el 1 de abril de 2026. Esto otorga a las empresas un margen de tiempo para el cumplimiento. Después del 1 de abril de 2026, el Fiscal General puede perseguir infracciones sin el periodo de gracia transitorio.
Para las infracciones de notificación de violaciones de datos, la aplicación se realiza a través de la Ley de Protección al Consumidor de Maryland. Las infracciones se tratan como prácticas comerciales injustas o engañosas, que tienen su propia estructura de sanciones.

Legislación Pendiente y Relacionada
Maryland continúa considerando protecciones adicionales de privacidad biométrica más allá de la MODPA.
SB 169 (Identificadores Biométricos). Presentado en una sesión anterior, este proyecto de ley habría creado una ley de privacidad biométrica independiente similar a la BIPA de Illinois, incluido un derecho de acción privada. Aunque no fue aprobado, señala el interés legislativo en ir más allá del modelo de aplicación exclusiva del Fiscal General de la MODPA.
HB 264 (Ley de Privacidad y Protección de Datos de Maryland de 2026). Este proyecto de ley de 2026 limita la información personal que las unidades del gobierno estatal pueden recopilar y exige que cada unidad designe a un Oficial de Privacidad. Recibió un informe favorable de comité en marzo de 2026.
SB 182 (Tecnología de Reconocimiento Facial). Este proyecto de ley establece requisitos y prohibiciones para el uso de tecnología de reconocimiento facial por parte de las fuerzas del orden y exige programas de capacitación a través del Departamento de Seguridad Pública y Servicios Correccionales. Fue aprobado por el Gobernador en la sesión de 2025.
Estos proyectos de ley reflejan una tendencia más amplia en Maryland hacia protecciones biométricas en capas, con la MODPA como base y legislación específica dirigida a casos de uso particulares.
Cómo se Compara Maryland con Otros Estados
Las protecciones biométricas de Maryland se ubican en el nivel medio entre los estados de EE. UU., pero con algunas características singularmente sólidas.
| Característica | Maryland (MODPA) | Illinois (BIPA) | California (CCPA/CPRA) |
|---|---|---|---|
| Tipo de Ley | Ley integral de privacidad | Estatuto biométrico independiente | Ley integral de privacidad |
| Modelo de Consentimiento | Estricta necesidad (sin anulación por consentimiento) | Consentimiento informado y escrito antes de la recopilación | Aviso + derecho a limitar el uso |
| Venta de Datos Biométricos | Prohibida por completo | Prohibida | Exclusión disponible |
| Derecho de Acción Privada | No | Sí ($1,000 a $5,000 por infracción) | Solo violaciones de datos ($100 a $750) |
| Aplicación | Solo Fiscal General | Demandas privadas + Fiscal General | CPPA + Fiscal General + limitada privada |
| Sanciones | $10,000 a $25,000 por infracción | $1,000 a $5,000 por infracción (privada) | $2,663 a $7,988 por infracción |
| Periodo de Subsanación | 60 días | Ninguno | 30 días (medidas del Fiscal General) |
El estándar de estricta necesidad de Maryland y su prohibición absoluta de venta de datos biométricos son más sólidos que el marco de California. Sin embargo, la falta de un derecho de acción privada significa que la aplicación depende por completo de las prioridades y los recursos del Fiscal General.
Más Leyes de Maryland
- Leyes de Grabación de Reuniones con IA de Maryland
- Leyes de Pensión Alimenticia Conyugal de Maryland
- Leyes de Empleo a Voluntad de Maryland
- Leyes sobre Accidentes de Auto de Maryland
- Leyes sobre Asientos de Auto para Niños de Maryland
- Leyes de Custodia de Menores de Maryland
- Leyes de Manutención Infantil de Maryland
- Leyes de Matrimonio de Hecho de Maryland
- Leyes sobre Deepfakes de Maryland
- Leyes de Divorcio de Maryland
- Leyes sobre Mordeduras de Perro de Maryland
- Leyes de Emancipación de Maryland
- Leyes de Eliminación de Antecedentes de Maryland
- Leyes sobre Fuga del Lugar del Accidente de Maryland
- Leyes de Arrendador-Inquilino de Maryland
- Ley del Limón de Maryland
Fuentes y Referencias
Este artículo hace referencia a los estatutos de Maryland, al texto final de los proyectos de ley y a publicaciones oficiales del gobierno estatal. Para el texto completo de la MODPA, visite el sitio web de la Asamblea General de Maryland. Para orientación sobre la aplicación por el Fiscal General y la presentación de quejas, visite la página de privacidad de datos del Fiscal General de Maryland.
Este artículo ofrece información legal general sobre las leyes de privacidad de datos de Maryland. No constituye asesoría legal. Consulte a un abogado calificado para obtener orientación sobre su situación específica. Las leyes y regulaciones cambian con frecuencia. Verifique los requisitos actuales a través de fuentes oficiales del gobierno de Maryland.
¿Afectado por una filtración de datos o una violación de privacidad biométrica?
Si sus datos personales quedaron expuestos en una filtración, o si su huella dactilar o escaneo facial se recopiló sin su consentimiento, podría ser elegible para unirse a un reclamo por compensación. Averígüelo gratis y sin compromiso.
Fuentes y referencias
- Ley de Privacidad de Datos en Línea de Maryland (SB 541)(mgaleg.maryland.gov).gov
- Texto Final de la MODPA (Cap. 455)(mgaleg.maryland.gov).gov
- Estatuto de Notificación de Violaciones de Datos de Maryland (14-3504)(mgaleg.maryland.gov).gov
- Página de Privacidad de Datos del Fiscal General de Maryland(oag.maryland.gov).gov
- Lineamientos del Fiscal General de Maryland para la PIPA(oag.maryland.gov).gov
- Índice Temático de Biometría de Maryland (Sesión 2025)(mgaleg.maryland.gov).gov
- HB 264 - Ley de Privacidad y Protección de Datos de Maryland de 2026(mgaleg.maryland.gov).gov