Minnesota
Leyes de Privacidad Biométrica de Minnesota: Recolección, Consentimiento y Sanciones (2026)

Minnesota no tiene un estatuto independiente de privacidad biométrica. La Ley de Privacidad de Datos del Consumidor de Minnesota (MCDPA), Minn. Stat. Capítulo 325M, vigente desde el 31 de julio de 2025, clasifica los datos biométricos como datos personales sensibles y exige el consentimiento previo antes de que las empresas puedan recopilarlos o procesarlos. El Fiscal General aplica la ley; los consumidores no tienen un derecho de acción privado.
Minnesota no tiene un estatuto independiente de privacidad biométrica como la BIPA de Illinois o la CUBI de Texas. En cambio, el estado protege los datos biométricos a través de la Ley de Privacidad de Datos del Consumidor de Minnesota (MCDPA), una ley integral de privacidad del consumidor que clasifica los identificadores biométricos como datos sensibles que requieren consentimiento afirmativo antes de su recolección o procesamiento.
El gobernador Tim Walz firmó el HF 4757 como ley el 19 de mayo de 2024. La MCDPA entró en vigor el 31 de julio de 2025, convirtiendo a Minnesota en uno de un número creciente de estados con legislación integral de privacidad que cubre los datos biométricos.
Para obtener una visión general del marco de privacidad más amplio de Minnesota, consulte la guía principal de Leyes de Privacidad de Datos de Minnesota.
Cómo Define la MCDPA los Datos Biométricos
La MCDPA define los datos biométricos según Minn. Stat. 325M.11(d) como datos generados por mediciones automáticas de las características biológicas de una persona que se utilizan para identificar a una persona específica. El estatuto enumera estos ejemplos:
- Huellas dactilares
- Huellas de voz
- Retinas oculares
- Iris
- Otros patrones o características biológicas únicos
La ley traza una línea clara sobre lo que no califica. Una fotografía física o digital, una grabación de video o audio, o los datos generados a partir de dichas grabaciones no son datos biométricos a menos que esos datos se generen específicamente para identificar a una persona específica.

Esta definición sigue el mismo enfoque utilizado en varios otros estatutos estatales integrales de privacidad, incluyendo Connecticut y Kentucky. Es más restringida que la definición utilizada en la BIPA de Illinois, que cubre un conjunto más amplio de identificadores biométricos sin las mismas exclusiones.
Clasificación de Datos Sensibles y Consentimiento
Bajo la MCDPA, los datos biométricos procesados con el fin de identificar de manera única a una persona califican como "datos sensibles" según Minn. Stat. 325M.11(v). Esta es la categoría de protección más alta de la ley.
Otras categorías de datos sensibles bajo la MCDPA incluyen:
- Datos que revelan el origen racial o étnico
- Creencias religiosas
- Condición o diagnóstico de salud mental o física
- Orientación sexual
- Ciudadanía o estatus migratorio
- Datos genéticos procesados para identificación
- Datos de geolocalización específica
- Datos personales de un menor conocido menor de 13 años
Requisito de consentimiento. Según Minn. Stat. 325M.16(2)(d), los responsables del tratamiento no pueden procesar datos sensibles, incluidos los datos biométricos, sin antes obtener el consentimiento del consumidor. Esto significa que una empresa no puede recopilar su huella dactilar, huella facial o escaneo de iris con fines de identificación sin su acuerdo afirmativo.

Derecho de revocación. Según Minn. Stat. 325M.16(2)(e), los consumidores pueden revocar el consentimiento en cualquier momento. Los responsables del tratamiento deben proporcionar un mecanismo de revocación que sea al menos tan fácil de usar como el proceso original de consentimiento. Una vez que un consumidor revoca el consentimiento, el responsable del tratamiento debe dejar de procesar sus datos biométricos dentro de 15 días.
Quién Debe Cumplir
La MCDPA se aplica a las entidades que realizan negocios en Minnesota o producen productos o servicios dirigidos a los residentes de Minnesota y que cumplen con uno de estos umbrales según Minn. Stat. 325M.12:
- Procesar datos personales de 100,000 o más consumidores durante un año calendario, excluyendo los datos procesados únicamente para completar transacciones de pago, o
- Procesar datos personales de 25,000 o más consumidores y obtener más del 25% de los ingresos brutos de la venta de datos personales
Las pequeñas empresas según la definición de la Administración de Pequeñas Empresas de EE. UU. reciben exenciones limitadas, pero aún deben obtener el consentimiento antes de vender datos sensibles, incluidos los datos biométricos.
Exenciones Clave
La MCDPA exime a varias categorías de entidades y datos de su cobertura:
Exenciones de entidades:
- Entidades cubiertas por HIPAA y sus asociados comerciales
- Instituciones financieras sujetas a la Ley Gramm-Leach-Bliley (GLBA)
- Organizaciones sin fines de lucro
- Agencias gubernamentales
- Instituciones postsecundarias reguladas por la Oficina de Educación Superior (exentas hasta el 31 de julio de 2029)
Exenciones de datos:
- Datos regulados por HIPAA
- Datos regidos por la Ley de Informe Crediticio Justo (FCRA)
- Datos cubiertos por la Ley de Derechos Educativos y Privacidad Familiar (FERPA)
- Datos bajo la Ley de Protección de la Privacidad del Conductor (DPPA)
Exención de datos de empleados. La MCDPA no se aplica a los datos personales recopilados sobre solicitantes de empleo, empleados o personas que actúan como representantes comerciales cuando esos datos se procesan en el contexto de la relación laboral. Si su empleador recopila sus huellas dactilares para un sistema de control de horario o utiliza reconocimiento facial para el acceso al edificio, la MCDPA no regula esa recolección. Minnesota no tiene una ley separada que regule el uso de datos biométricos por parte de los empleadores.
Derechos del Consumidor Sobre los Datos Biométricos
Debido a que los datos biométricos son datos personales sensibles bajo la MCDPA, los consumidores de Minnesota tienen estos derechos según Minn. Stat. 325M.14:
Derecho a confirmar y acceder. Puede preguntarle a cualquier empresa cubierta si está procesando sus datos biométricos y solicitar acceso a esos datos. Sin embargo, los responsables del tratamiento no están obligados a divulgar los propios datos biométricos en respuesta a las solicitudes de acceso. En cambio, deben informarle que han recopilado dicha información.
Derecho a corregir. Si una empresa posee datos biométricos inexactos sobre usted, puede solicitar una corrección.
Derecho a eliminar. Puede solicitar que una empresa elimine los datos biométricos que posee sobre usted.
Derecho a la portabilidad de datos. Puede obtener una copia de sus datos personales en un formato portátil y fácilmente utilizable.
Derecho a optar por no participar. Puede optar por no participar en el procesamiento de sus datos personales para publicidad dirigida, la venta de datos personales, o el perfilado que produzca efectos legales o de importancia similar.
Derecho a la no discriminación. Las empresas no pueden penalizarlo por ejercer cualquiera de estos derechos negando bienes o servicios, cobrando precios diferentes, o proporcionando una calidad de servicio diferente.
Las empresas deben responder a las solicitudes de derechos del consumidor dentro de 45 días. Pueden extender este período por 45 días adicionales cuando sea razonablemente necesario, pero deben notificar al consumidor sobre la extensión y el motivo de la misma.
Evaluaciones de Protección de Datos para Datos Biométricos
Los responsables del tratamiento que procesan datos sensibles, incluidos los datos biométricos, deben realizar evaluaciones de protección de datos según Minn. Stat. 325M.18. Estas evaluaciones deben sopesar los beneficios del procesamiento frente a los riesgos potenciales para los consumidores, incluyendo:
- Trato injusto o engañoso o impacto dispar ilegal
- Daño financiero, físico o reputacional
- Intrusión en la soledad o el aislamiento
- Otro daño sustancial
Los responsables del tratamiento también deben establecer y mantener prácticas razonables de seguridad de datos administrativas, técnicas y físicas proporcionales al volumen y la naturaleza de los datos biométricos que procesan. El Fiscal General de Minnesota puede solicitar estas evaluaciones durante una investigación.
Notificación de Violaciones y Datos Biométricos
La ley separada de notificación de violaciones de datos de Minnesota en Minn. Stat. 325E.61 exige que las empresas notifiquen a las personas afectadas cuando una violación de seguridad compromete información personal no cifrada. Sin embargo, la definición de información personal del estatuto se limita a números de Seguro Social, números de licencia de conducir o de identificación, y números de cuenta financiera con códigos de seguridad.
Los datos biométricos no se enumeran explícitamente como una categoría de información personal que active la notificación de violaciones bajo Minn. Stat. 325E.61. Esto crea un vacío en el marco de protección de datos de Minnesota. Una violación que exponga solo datos biométricos, sin un número de Seguro Social o de cuenta financiera acompañante, podría no activar el requisito de notificación de violaciones bajo el estatuto más antiguo.
Los requisitos de seguridad de datos de la MCDPA según Minn. Stat. 325M.16 proporcionan una capa separada de protección al exigir que los responsables del tratamiento mantengan prácticas de seguridad razonables para todos los datos personales, incluidos los datos biométricos. El hecho de no mantener una seguridad adecuada podría seguir dando lugar a la aplicación de la ley por parte del Fiscal General bajo la MCDPA, incluso si la ley de notificación de violaciones no se aplica.
Aplicación de la Ley y Sanciones
El Fiscal General de Minnesota tiene autoridad exclusiva de aplicación de la ley sobre la MCDPA según Minn. Stat. 325M.20. No existe un derecho de acción privado, lo que significa que los consumidores individuales no pueden presentar demandas contra las empresas por infracciones de la MCDPA.
Recursos de aplicación. La legislatura asignó fondos para cuatro nuevos abogados y un investigador en la oficina del Fiscal General dedicados a la aplicación de la MCDPA. La oficina del Fiscal General recibió más de 200 quejas relacionadas con la MCDPA en los primeros seis meses de la ley y envió decenas de cartas de advertencia a empresas identificando problemas con las políticas y procedimientos de privacidad.
Período de subsanación (vencido). Desde el 31 de julio de 2025 hasta el 31 de enero de 2026, la ley exigía que el Fiscal General notificara por escrito a las empresas sobre las presuntas infracciones y les otorgara 30 días para subsanarlas. Este período de gracia venció el 31 de enero de 2026. Desde febrero de 2026, el Fiscal General puede iniciar acciones de aplicación de inmediato sin previo aviso.

Sanciones. El Fiscal General puede iniciar acciones civiles contra las empresas que infrinjan la MCDPA con sanciones de hasta $7,500 por infracción. Múltiples infracciones relacionadas con la recolección de datos biométricos sin consentimiento podrían resultar en sanciones agregadas sustanciales.
Legislación Biométrica Pendiente en Minnesota
Varios proyectos de ley en la 94.ª Legislatura de Minnesota (2025-2026) podrían ampliar las protecciones de privacidad biométrica:
HF 3661 prohibiría a las entidades gubernamentales adquirir o usar tecnología de reconocimiento facial. Presentado en febrero de 2026, fue remitido al Comité Judicial y de Derecho Civil de la Cámara.
SF 3270 exigiría el consentimiento expreso por escrito para la recolección de datos biométricos en lugares de acceso público, utilizando una definición más amplia que incluye rasgos faciales, gestos y movimientos.
HF 4131 abordaría la discriminación de precios y salarios basada en vigilancia, definiendo "datos de vigilancia" para incluir información biométrica. Si se aprueba, entraría en vigor el 1 de agosto de 2026.
Ninguno de estos proyectos de ley había avanzado más allá de la remisión a comité hasta marzo de 2026.
Cómo se Compara Minnesota con Otros Estados
El enfoque de Minnesota hacia la privacidad biométrica se sitúa en el punto medio del espectro entre los estados de EE. UU.:
Más fuerte que los estados sin protecciones. Muchos estados todavía carecen de protecciones específicas de datos biométricos. La clasificación de Minnesota de los datos biométricos como datos sensibles que requieren consentimiento, combinada con la aplicación activa del Fiscal General, la coloca por delante de los estados sin una ley integral de privacidad.
Más débil que las leyes dedicadas de privacidad biométrica. Estados como Illinois, Texas y Washington tienen estatutos independientes de privacidad biométrica con requisitos específicos de aviso, consentimiento, calendarios de retención y destrucción de datos. La BIPA de Illinois incluye un derecho de acción privado que ha generado miles de millones en litigios y acuerdos.
Similar a otros estados con leyes integrales de privacidad. El enfoque de Minnesota se asemeja mucho al de Kentucky, Connecticut, Indiana y Montana, que clasifican los datos biométricos como datos sensibles dentro de sus marcos integrales de privacidad del consumidor y exigen el consentimiento previo para su procesamiento.
Vacío notable. A diferencia de los estados con disposiciones dedicadas de notificación de violaciones biométricas, el estatuto de notificación de violaciones de Minnesota (Minn. Stat. 325E.61) no cubre explícitamente los datos biométricos, dejando un vacío potencial cuando las violaciones involucran información biométrica sin otros identificadores personales.
Más Leyes de Minnesota
- Leyes de Grabación de Reuniones con IA de Minnesota
- Leyes de Pensión Alimenticia de Minnesota
- Leyes de Empleo a Voluntad de Minnesota
- Leyes de Accidentes Automovilísticos de Minnesota
- Leyes de Asientos de Seguridad para Niños de Minnesota
- Leyes de Custodia de Menores de Minnesota
- Leyes de Manutención Infantil de Minnesota
- Leyes de Matrimonio de Hecho de Minnesota
- Leyes sobre Deepfakes de Minnesota
- Leyes de Divorcio de Minnesota
- Leyes sobre Mordeduras de Perro de Minnesota
- Leyes de Emancipación de Minnesota
- Leyes de Eliminación de Antecedentes Penales de Minnesota
- Leyes de Fuga del Lugar del Accidente de Minnesota
- Leyes de Propietarios e Inquilinos de Minnesota
- Leyes del Limón de Minnesota
Fuentes y Referencias
Este artículo hace referencia a los estatutos de Minnesota y publicaciones oficiales del gobierno estatal. Para el texto completo de la MCDPA, visite el Revisor de Estatutos de Minnesota. Para obtener orientación sobre los derechos del consumidor y la presentación de quejas, visite la página de la MCDPA del Fiscal General de Minnesota.
Este artículo proporciona información legal general sobre las leyes de privacidad biométrica de Minnesota. No constituye asesoría legal. Consulte a un abogado calificado para obtener orientación sobre su situación específica. Las leyes y regulaciones cambian con frecuencia. Verifique los requisitos vigentes a través de fuentes oficiales del gobierno de Minnesota.
¿Afectado por una filtración de datos o una violación de privacidad biométrica?
Si sus datos personales quedaron expuestos en una filtración, o si su huella dactilar o escaneo facial se recopiló sin su consentimiento, podría ser elegible para unirse a un reclamo por compensación. Averígüelo gratis y sin compromiso.
Fuentes y referencias
- Ley de Privacidad de Datos del Consumidor de Minnesota (Capítulo 325M)(revisor.mn.gov).gov
- Minn. Stat. 325M.11 - Definiciones de la MCDPA(revisor.mn.gov).gov
- Minn. Stat. 325M.12 - Aplicabilidad(revisor.mn.gov).gov
- Minn. Stat. 325M.14 - Derechos del Consumidor(revisor.mn.gov).gov
- Minn. Stat. 325M.16 - Obligaciones del Responsable del Tratamiento(revisor.mn.gov).gov
- Minn. Stat. 325M.18 - Evaluaciones de Protección de Datos(revisor.mn.gov).gov
- Minn. Stat. 325M.20 - Aplicación de la Ley(revisor.mn.gov).gov
- HF 4757 - Proyecto de Ley de la MCDPA(revisor.mn.gov).gov
- Minn. Stat. 325E.61 - Notificación de Violaciones(revisor.mn.gov).gov
- Fiscal General Ellison - Entrada en Vigor de la MCDPA(ag.state.mn.us).gov
- Fiscal General Ellison - Aplicación Plena de la MCDPA(ag.state.mn.us).gov
- Fiscal General de Minnesota - Privacidad de Datos del Consumidor(ag.state.mn.us).gov
- HF 3661 - Prohibición del Reconocimiento Facial(revisor.mn.gov).gov
- SF 3270 - Consentimiento Biométrico en Lugares de Acceso Público(revisor.mn.gov).gov
- HF 4131 - Discriminación Basada en Vigilancia(revisor.mn.gov).gov