Massachusetts
Leyes de Privacidad Biométrica de Massachusetts: Recopilación, Consentimiento y Sanciones (2026)

Massachusetts no cuenta con un estatuto independiente de privacidad biométrica. Las empresas que recopilan datos biométricos deben cumplir con la regulación de seguridad de datos 201 CMR 17.00, la ley de notificación de infracciones bajo el Capítulo 93H, y el estatuto de protección al consumidor Capítulo 93A, que permite daños triplicados por infracciones. Una ley integral, la MDPA, espera acción en la Cámara.
Massachusetts toma en serio la seguridad de los datos, pero todavía no ha promulgado una ley dedicada de privacidad biométrica. A diferencia de Illinois, que aprobó la Ley de Privacidad de Información Biométrica (BIPA) en 2008, o Texas, que promulgó su Ley de Captura o Uso de Identificadores Biométricos (CUBI), Massachusetts actualmente depende de una combinación de regulaciones generales de seguridad de datos y estatutos de protección al consumidor para abordar los datos biométricos.
Eso podría cambiar pronto. La Ley de Privacidad de Datos de Massachusetts fue aprobada por unanimidad en el Senado estatal en septiembre de 2025, e incluye protecciones sólidas para la información biométrica. Hasta que ese proyecto de ley se convierta en ley, las empresas que operan en Massachusetts deben navegar cuidadosamente el marco legal existente.
Para una visión más amplia del panorama de privacidad del estado, consulte la guía principal de Leyes de Privacidad de Datos de Massachusetts.
Marco Legal Actual para los Datos Biométricos
Massachusetts protege los datos biométricos mediante varias leyes existentes en lugar de un único estatuto específico para lo biométrico. Cada ley cubre un aspecto distinto del manejo de datos, desde los requisitos de seguridad hasta la notificación de infracciones y la aplicación de la protección al consumidor.

201 CMR 17.00: Regulación de Seguridad de Datos
Las Normas para la Protección de Información Personal (201 CMR 17.00) son la columna vertebral de la ley de seguridad de datos de Massachusetts. Emitida por la Oficina de Asuntos del Consumidor y Regulación Empresarial, exige que toda persona o empresa que posea o tenga licencia sobre información personal de un residente de Massachusetts desarrolle, implemente y mantenga un programa escrito integral de seguridad de la información (WISP).
La regulación se aplica a los datos biométricos de forma indirecta. Si bien la definición de "información personal" bajo el 201 CMR 17.00 se centra en nombres combinados con números de Seguro Social, números de licencia de conducir o números de cuenta financiera, la regulación hace referencia específica a las tecnologías biométricas como un método de autenticación aceptable. Cualquier empresa que utilice escáneres de huellas dactilares, reconocimiento facial u otros identificadores biométricos para el acceso a sistemas debe proteger esos sistemas bajo el requisito del WISP.
Las obligaciones clave bajo el 201 CMR 17.00 incluyen:
- Designar a uno o más empleados para mantener el programa de seguridad de la información
- Identificar y evaluar los riesgos internos y externos razonablemente previsibles para la información personal
- Desarrollar políticas de seguridad para el acceso de empleados a los registros que contengan información personal
- Restringir el acceso físico a los registros que contengan información personal
- Exigir el cifrado de todos los registros y archivos transmitidos que contengan información personal a través de redes públicas o de forma inalámbrica
- Supervisar el programa de seguridad y documentar las acciones de respuesta tomadas en relación con cualquier infracción
Las infracciones al 201 CMR 17.00 se aplican a través del Capítulo 93A, el estatuto estatal de protección al consumidor.
Capítulo 93H: Notificación de Infracciones
La ley de notificación de infracciones de Massachusetts (Mass. Gen. Laws ch. 93H) exige que las empresas notifiquen a los residentes afectados, a la Fiscalía General y al Director de Asuntos del Consumidor y Regulación Empresarial cuando una infracción de seguridad compromete información personal.
Conforme a la Sección 1 del Capítulo 93H, el cifrado se define como "la transformación de datos mediante el uso de un proceso algorítmico de 128 bits o superior en una forma en la que existe una baja probabilidad de asignar significado sin el uso de un proceso o clave confidencial". Esto establece un estándar técnico concreto que se aplica a cualquier información personal que una empresa almacene o transmita.
La definición actual de "información personal" en el Capítulo 93H cubre el nombre de un residente combinado con números de Seguro Social, números de licencia de conducir y números de cuenta financiera. Si bien los identificadores biométricos no se enumeran explícitamente en la definición estatutaria actual, las empresas que utilizan datos biométricos junto con otra información personal deben cumplir con los requisitos de notificación si una infracción compromete cualquiera de los elementos de datos cubiertos.
Conforme a la Sección 3 del Capítulo 93H, las notificaciones de infracción deben enviarse "tan pronto como sea posible y sin demora injustificada" y deben incluir:
- La naturaleza de la infracción o adquisición no autorizada
- El número de residentes de Massachusetts afectados
- Los tipos de información personal comprometida
- Los pasos que la organización ha tomado o planea tomar en respuesta
- Información sobre el derecho del residente a obtener un reporte policial y colocar un congelamiento de seguridad

Capítulo 93A: Aplicación de la Protección al Consumidor
El Capítulo 93A de las Leyes Generales de Massachusetts prohíbe los actos o prácticas desleales o engañosas en el comercio. Este estatuto sirve como la principal herramienta de aplicación para las infracciones de seguridad de datos en Massachusetts, incluyendo aquellas que involucran datos biométricos.
La ley proporciona dos vías de aplicación. La Fiscalía General puede iniciar acciones bajo la Sección 4 para restringir infracciones e imponer sanciones civiles. Los consumidores individuales también pueden presentar demandas privadas bajo la Sección 9.
Lo que hace que el Capítulo 93A sea particularmente poderoso para los casos de datos biométricos es la estructura de daños:
- Un tribunal puede otorgar daños triplicados (el triple) si el demandado infringió la ley de manera intencional o con conocimiento de causa, o si se negó de mala fe a otorgar una compensación
- Los honorarios de abogado son recuperables por los demandantes que prevalecen, convirtiéndolo en uno de los pocos estatutos de Massachusetts que favorece al demandante en la asignación de honorarios
- Antes de presentar una demanda, un consumidor debe enviar una carta de exigencia con un plazo de 30 días a la empresa, dándole la oportunidad de hacer una oferta razonable de acuerdo
La Fiscalía General de Massachusetts ha utilizado el Capítulo 93A para perseguir agresivamente acciones de aplicación por infracciones de datos. En años recientes, la oficina de la Fiscalía General ha alcanzado acuerdos que superan los 795,000 dólares contra empresas que no protegieron adecuadamente la información personal como lo exige el 201 CMR 17.00.
Para las empresas que recopilan datos biométricos de residentes de Massachusetts, esto significa que cualquier falla en asegurar adecuadamente esos datos podría desencadenar una acción bajo el Capítulo 93A con exposición a daños triplicados.

La Ley de Privacidad de Datos de Massachusetts: Protecciones Biométricas Pendientes
El desarrollo más significativo en la ley de privacidad biométrica de Massachusetts es la Ley de Privacidad de Datos de Massachusetts (MDPA), presentada originalmente como S.2608 y reimpresa como S.2619 después de enmiendas. El Senado de Massachusetts aprobó el proyecto de ley por unanimidad (40 a 0) el 25 de septiembre de 2025.
Cómo Clasificaría la MDPA los Datos Biométricos
La MDPA designa a los datos biométricos, específicamente los escaneos faciales y las huellas dactilares, como datos personales sensibles. Esta clasificación activa el nivel más alto de protección bajo la ley propuesta.
Para los datos personales regulares, las empresas solo podrían recopilar lo que sea "razonablemente necesario" para proporcionar su producto o servicio. Para los datos biométricos y otras categorías sensibles, el estándar es más estricto: la recopilación se permite únicamente cuando sea "estrictamente necesaria" para proporcionar el producto o servicio.
Disposiciones Biométricas Clave en la MDPA
Si se promulga, la MDPA establecería estas reglas para los datos biométricos:
- Prohibición de venta: se prohibiría a las empresas y organizaciones sin fines de lucro vender datos biométricos
- Recopilación estrictamente necesaria: la recopilación de datos biométricos se permitiría únicamente cuando sea estrictamente necesaria para prestar un producto o servicio
- Consentimiento del consumidor para transferencias: transferir datos biométricos a terceros requeriría el consentimiento explícito del consumidor
- Derecho de acceso: los consumidores podrían solicitar saber qué datos biométricos ha recopilado una empresa sobre ellos
- Derecho de eliminación: los consumidores podrían solicitar la eliminación de sus datos biométricos
- Derecho de corrección: los consumidores podrían solicitar la corrección de datos biométricos inexactos
Aplicación Bajo la MDPA
El proyecto de ley otorga a la Fiscalía General de Massachusetts una amplia autoridad regulatoria para aplicar sus disposiciones. La MDPA también incluye protecciones reforzadas para menores, incluyendo una prohibición total de vender los datos personales de los niños y prohibir la publicidad dirigida a menores basada en sus datos biométricos u otros datos sensibles.
Estatus Actual
A partir de marzo de 2026, la MDPA ha sido aprobada por el Senado y remitida a la Cámara de Representantes de Massachusetts. La Cámara aún no ha tomado acción sobre el proyecto de ley. La legislación se presentó durante la sesión de la 194ª Corte General (2025-2026).
Proyecto de Ley Biométrico Independiente: Capítulo 93M Propuesto
Además de la MDPA, los legisladores de Massachusetts han presentado un proyecto de ley independiente de privacidad biométrica que crearía el Capítulo 93M de las Leyes Generales. Presentado originalmente como H.63/HD.3053 por el representante Dylan Fernandes, este proyecto de ley establecería protecciones similares a la BIPA de Illinois, pero con algunas diferencias notables.
El Capítulo 93M propuesto definiría la "información biométrica" como características biológicas o conductuales medibles utilizadas para verificación, reconocimiento o identificación, incluyendo:
- Huellas dactilares
- Patrones de retina e iris
- Huellas de voz
- Características faciales y geometría del rostro
- Patrones de marcha, escritura a mano y dinámica de pulsación de teclas
El proyecto de ley exigiría un consentimiento manuscrito y no electrónico antes de recopilar datos biométricos con fines de identificación. El consentimiento expiraría después de tres años o cuando se cumpla el propósito original, lo que ocurra primero. El proyecto de ley también prohibiría por completo la monetización de la información biométrica.
En cuanto a las sanciones, el Capítulo 93M propuesto permitiría a las personas demandar con una presunción refutable de daño, lo que significa que los demandantes no tendrían que probar daños reales. Para infracciones intencionales o imprudentes, las sanciones podrían alcanzar el 0.5% de los ingresos globales anuales o 5,000 dólares por infracción, lo que sea mayor. Para conductas negligentes, el mínimo sería el 0.1% de los ingresos globales o 1,000 dólares por infracción.
Este proyecto de ley independiente no ha avanzado tanto como la MDPA, pero señala la dirección legislativa que Massachusetts está tomando en materia de privacidad biométrica.
Guía Práctica de Cumplimiento
Las empresas que recopilan o utilizan datos biométricos de residentes de Massachusetts deben tomar estos pasos bajo la ley actual:
Programa Escrito de Seguridad de la Información: bajo el 201 CMR 17.00, toda empresa que maneje información personal de residentes de Massachusetts debe mantener un WISP. Si su empresa utiliza sistemas de autenticación biométrica, esos sistemas deben estar cubiertos por el WISP.
Cifrado: todos los datos biométricos transmitidos a través de redes públicas o almacenados electrónicamente deben cifrarse utilizando algoritmos de 128 bits o superiores, de forma consistente con el estándar del Capítulo 93H.
Plan de Respuesta a Infracciones: prepare un plan de notificación que cumpla con el estándar de "tan pronto como sea posible y sin demora injustificada" bajo la Sección 3 del Capítulo 93H. Incluya a la Fiscalía General y a la Oficina de Asuntos del Consumidor y Regulación Empresarial en sus procedimientos de notificación.
Monitoree los Desarrollos Legislativos: la MDPA podría convertirse en ley durante la sesión legislativa actual. Las empresas deben planificar para el estándar de recopilación "estrictamente necesaria" y la prohibición de vender datos biométricos. Construir mecanismos de consentimiento ahora facilitará la transición si se aprueba la ley.
Limite la Recopilación: incluso sin un estatuto biométrico dedicado, la exposición a daños triplicados del Capítulo 93A crea fuertes incentivos para minimizar la recopilación de datos biométricos. Recopile solo lo que necesite, retenga la información solo el tiempo necesario, y documente su justificación para la recopilación.
Más Leyes de Massachusetts
- Leyes de Grabación de Reuniones con IA de Massachusetts
- Leyes de Pensión Alimenticia de Massachusetts
- Leyes de Empleo a Voluntad de Massachusetts
- Leyes de Accidentes de Auto de Massachusetts
- Leyes de Asientos de Seguridad para Niños de Massachusetts
- Leyes de Custodia de los Hijos de Massachusetts
- Leyes de Manutención de los Hijos de Massachusetts
- Leyes de Matrimonio de Hecho de Massachusetts
- Leyes de Deepfake de Massachusetts
- Leyes de Divorcio de Massachusetts
- Leyes de Mordedura de Perro de Massachusetts
- Leyes de Emancipación de Massachusetts
- Leyes de Eliminación de Antecedentes de Massachusetts
- Leyes de Atropello y Fuga de Massachusetts
- Leyes de Propietarios e Inquilinos de Massachusetts
- Leyes Limón de Massachusetts
Fuentes y Referencias
Este artículo hace referencia a estatutos, regulaciones y publicaciones oficiales del gobierno de Massachusetts. Para el texto completo del 201 CMR 17.00, visite el sitio de la Oficina de Asuntos del Consumidor de Massachusetts. Para el Capítulo 93H y el Capítulo 93A, visite el sitio de la Legislatura de Massachusetts. Para actualizaciones sobre la Ley de Privacidad de Datos de Massachusetts, consulte la página del proyecto de ley S.2608.
Este artículo proporciona información legal general sobre las leyes de privacidad biométrica de Massachusetts. No constituye asesoría legal. Consulte a un abogado calificado para obtener orientación sobre su situación específica. Las leyes y regulaciones cambian con frecuencia. Verifique los requisitos actuales a través de fuentes oficiales del gobierno de Massachusetts.
¿Afectado por una filtración de datos o una violación de privacidad biométrica?
Si sus datos personales quedaron expuestos en una filtración, o si su huella dactilar o escaneo facial se recopiló sin su consentimiento, podría ser elegible para unirse a un reclamo por compensación. Averígüelo gratis y sin compromiso.
Fuentes y referencias
- 201 CMR 17.00: Normas para la Protección de Información Personal(mass.gov).gov
- Mass. Gen. Laws ch. 93H - Infracciones de Seguridad(malegislature.gov).gov
- Capítulo 93H Sección 1 - Definiciones(malegislature.gov).gov
- Capítulo 93H Sección 3 - Requisitos de Notificación de Infracciones(malegislature.gov).gov
- Mass. Gen. Laws ch. 93A - Protección al Consumidor(malegislature.gov).gov
- S.2608 - Ley de Privacidad de Datos de Massachusetts(malegislature.gov).gov
- S.2619 - MDPA (Reimpresa con Enmiendas)(malegislature.gov).gov
- Hoja Informativa: La Ley de Privacidad de Datos de Massachusetts S.2608(malegislature.gov).gov
- El Senado Aprueba la Ley de Privacidad de Datos de Massachusetts(malegislature.gov).gov
- H.63/HD.3053 - Capítulo 93M Propuesto sobre Privacidad Biométrica(malegislature.gov).gov
- La Ley de Protección al Consumidor de Massachusetts (Capítulo 93A)(mass.gov).gov
- Acuerdo de 795,000 Dólares en Seguridad de Datos de la Fiscal General Campbell(mass.gov).gov