New Hampshire
Leyes de Privacidad Biométrica de Nuevo Hampshire: Recopilación, Consentimiento y Sanciones (2026)

Nuevo Hampshire no cuenta con una ley independiente de privacidad biométrica. En cambio, la Ley de Privacidad de Datos de Nuevo Hampshire (RSA 507-H), vigente desde el 1 de enero de 2025, clasifica los identificadores biométricos como datos personales sensibles y exige que las empresas obtengan consentimiento previo (opt-in) antes de procesarlos con fines de identificación.
Nuevo Hampshire no cuenta con una ley independiente de privacidad biométrica como la BIPA de Illinois o la CUBI de Texas. En cambio, las protecciones de datos biométricos provienen de la Ley de Privacidad de Datos de Nuevo Hampshire (NHDPA), una ley integral de privacidad del consumidor que clasifica los identificadores biométricos como datos sensibles que requieren consentimiento afirmativo antes de su procesamiento.
La NHDPA fue el primer marco integral de privacidad de datos de Nuevo Hampshire. El gobernador Chris Sununu firmó el SB 255 el 6 de marzo de 2024, y el HB 1220 el 19 de julio de 2024, que modificó ciertas disposiciones. La ley entró en vigor el 1 de enero de 2025.
Para obtener un panorama general del marco de privacidad más amplio del estado, consulte la guía principal sobre las Leyes de Privacidad de Datos de Nuevo Hampshire.
Cómo define la NHDPA los datos biométricos
La NHDPA define los datos biométricos en la RSA 507-H:1, IV como datos generados por mediciones automáticas de las características biológicas de una persona que se utilizan para identificar a una persona específica. La ley enumera estos ejemplos:
- Huellas dactilares
- Huellas de voz
- Retinas oculares
- Iris
- Otros patrones o características biológicos únicos

La ley traza un límite claro sobre lo que no califica. Una fotografía física o digital, una grabación de video o audio, o los datos generados a partir de esas grabaciones no constituyen datos biométricos, a menos que dichos datos se generen específicamente para identificar a una persona en particular.
Una característica destacable de la definición de la NHDPA es la inclusión de "otros patrones o características biológicos únicos". Este lenguaje abierto es más amplio que el de algunos estados similares, que limitan sus definiciones a una lista específica de identificadores. Aunque la ley no menciona explícitamente los biomarcadores por su nombre, la frase "otros patrones o características biológicos únicos" podría llegar a abarcar marcadores biológicos relacionados con la salud si se utilizan con fines de identificación.
Nuevo Hampshire consideró anteriormente un proyecto de ley dedicado a la privacidad biométrica (HB 536) en 2019, que habría creado un marco aún más amplio que cubriría características conductuales, ADN, patrones de pulsación de teclas y datos de salud o ejercicio. Ese proyecto no fue aprobado, pero varios de sus principios influyeron en las disposiciones biométricas finalmente incluidas en la NHDPA.
Clasificación de datos sensibles y consentimiento
Bajo la NHDPA, los datos biométricos procesados con el fin de identificar de manera única a una persona califican como "datos sensibles". Esta es la categoría de mayor protección dentro de la ley.
Otras categorías de datos sensibles bajo la RSA 507-H:1, XXVIII incluyen:
- Datos que revelen el origen racial o étnico
- Creencias religiosas
- Condiciones o diagnósticos de salud mental o física
- Vida sexual u orientación sexual
- Estatus de ciudadanía o migratorio
- Datos genéticos procesados con fines de identificación
- Datos precisos de geolocalización
- Datos personales recopilados de un menor de 13 años identificado como tal
Requisito de consentimiento. Los responsables del tratamiento deben obtener el consentimiento previo (opt-in) del consumidor antes de procesar datos sensibles, incluidos los datos biométricos, conforme a la RSA 507-H:6, I(d). Una empresa no puede recopilar su huella dactilar, su huella facial o un escaneo de iris con fines de identificación sin antes recibir su acuerdo afirmativo.
Este consentimiento debe cumplir con el estándar establecido en la RSA 507-H:1, VII: un acto afirmativo claro que sea otorgado libremente, específico, informado e inequívoco. Una cláusula escondida en un acuerdo de términos de servicio no cumple con este estándar. La ley excluye específicamente los acuerdos obtenidos mediante patrones de diseño engañosos, acciones pasivas como pasar el cursor sobre un elemento o cerrar contenido, o términos de servicio generales que contengan información no relacionada.
Revocación del consentimiento. Los responsables del tratamiento deben ofrecer a los consumidores un mecanismo para revocar el consentimiento que sea al menos tan fácil como el método utilizado para otorgarlo. Una vez que un consumidor revoca el consentimiento, el responsable del tratamiento debe dejar de procesar los datos dentro de los 15 días.

Quién debe cumplir
La NHDPA se aplica a las entidades que realizan negocios en Nuevo Hampshire o que producen productos o servicios dirigidos a residentes de Nuevo Hampshire y que cumplen con uno de los siguientes umbrales durante un período de un año:
- Procesan datos personales de 35,000 o más consumidores únicos de Nuevo Hampshire (excluyendo los datos procesados únicamente para transacciones de pago), o
- Procesan datos personales de 10,000 o más consumidores únicos de Nuevo Hampshire y obtienen más del 25% de sus ingresos brutos de la venta de datos personales
El umbral de 35,000 consumidores es el más bajo entre las leyes integrales de privacidad estatales, lo que significa que más empresas quedan sujetas a la NHDPA que a leyes comparables en muchos otros estados.
Exenciones clave
La NHDPA excluye de su cobertura a varias categorías de entidades y tipos de datos bajo la RSA 507-H:3:
Exenciones de entidades:
- Agencias gubernamentales estatales y locales
- Organizaciones sin fines de lucro
- Instituciones de educación superior
- Instituciones financieras sujetas a la Ley Gramm-Leach-Bliley (GLBA)
- Entidades cubiertas por HIPAA y sus asociados comerciales
- Asociaciones nacionales de valores registradas bajo la Ley de Bolsa de Valores (Securities Exchange Act)
Exenciones de datos:
- Información de salud protegida bajo HIPAA
- Datos regulados bajo la Ley Federal de Informe Justo de Crédito (FCRA)
- Datos cubiertos por la Ley de Derechos Educativos y Privacidad Familiar (FERPA)
- Datos bajo la Ley de Protección de la Privacidad del Conductor (DPPA)
- Datos regulados bajo la Ley de Crédito Agrícola (Farm Credit Act)
- Información de empleo y de contacto de emergencia
- Datos de la industria aérea bajo la Ley de Desregulación de Aerolíneas (Airline Deregulation Act)
Exención de datos de empleados. La NHDPA excluye a las personas que actúan en un contexto comercial o laboral de la definición de "consumidor" bajo la RSA 507-H:1. Los empleados, propietarios, directores, funcionarios y contratistas cuyas interacciones con un responsable del tratamiento ocurran únicamente dentro de ese rol profesional no son consumidores cubiertos.
Esto significa que si su empleador recopila sus huellas dactilares para un sistema de control de horarios o utiliza reconocimiento facial para el acceso al edificio en Nuevo Hampshire, la NHDPA no se aplica a esa recopilación. Nuevo Hampshire no cuenta con una ley separada que regule el uso de datos biométricos por parte de los empleadores.
Derechos del consumidor sobre los datos biométricos
Debido a que los datos biométricos son datos personales sensibles bajo la NHDPA, los consumidores de Nuevo Hampshire tienen los siguientes derechos conforme a la RSA 507-H:4:
Derecho a confirmar y acceder. Puede preguntarle a cualquier empresa cubierta si procesa sus datos biométricos y solicitar acceso a esos datos.
Derecho a corregir. Si una empresa posee datos biométricos inexactos sobre usted, puede solicitar una corrección.
Derecho a eliminar. Puede solicitar que una empresa elimine los datos biométricos que posee sobre usted.
Derecho a la portabilidad de datos. Puede obtener una copia de sus datos biométricos en un formato portátil y fácilmente utilizable.
Derecho a optar por no participar. Puede optar por no participar en el procesamiento de sus datos personales para publicidad dirigida, la venta de datos personales o la elaboración de perfiles que produzcan efectos legales o de importancia similar.
Las empresas deben responder a las solicitudes de derechos del consumidor dentro de los 45 días. Pueden extender este plazo por 45 días adicionales cuando sea razonablemente necesario, pero deben notificar al consumidor sobre la extensión y el motivo. Los consumidores que reciban una decisión desfavorable pueden apelar, y la empresa debe responder a la apelación dentro de los 60 días.
Evaluaciones de protección de datos
Los responsables del tratamiento que procesan datos sensibles, incluidos los datos biométricos, deben realizar evaluaciones de protección de datos conforme a la RSA 507-H:8. Estas evaluaciones son obligatorias para cualquier actividad de procesamiento que presente un riesgo elevado de daño, específicamente:
- Procesamiento de datos personales para publicidad dirigida
- La venta de datos personales
- El procesamiento de datos sensibles (incluidos los datos biométricos)
- La elaboración de perfiles que genere un riesgo previsible de trato injusto, impacto desigual o intrusión en la soledad
Cada evaluación debe sopesar los beneficios del procesamiento para el responsable del tratamiento, el consumidor y el público frente a los riesgos potenciales para los derechos del consumidor. El Fiscal General de Nuevo Hampshire puede solicitar estas evaluaciones durante las investigaciones.

Notificación de violaciones de datos y datos biométricos
La ley de notificación de violaciones de datos de Nuevo Hampshire, en la RSA 359-C:20, opera de manera independiente a la NHDPA.
Conforme a la RSA 359-C:19, la información personal para efectos de notificación de violaciones de datos se define como el nombre o inicial y el apellido de una persona combinados con uno o más elementos de datos específicos, como números de Seguro Social, números de cuentas financieras o números de identificación gubernamental. La ley de notificación de violaciones actual no incluye explícitamente los identificadores biométricos entre los elementos de datos que activan la obligación.
Sin embargo, las disposiciones de seguridad de datos de la NHDPA en la RSA 507-H:6, I(c) exigen que los responsables del tratamiento implementen prácticas razonables de seguridad de datos administrativas, técnicas y físicas para proteger los datos personales, incluidos los datos biométricos. Una violación de datos biométricos por parte de un responsable del tratamiento cubierto podría dar lugar a una acción de cumplimiento por parte del Fiscal General bajo la NHDPA, incluso si no activa la ley de notificación de violaciones por separado.
Las entidades que sufran una violación deben determinar de inmediato si se ha producido o es razonablemente probable que se produzca un uso indebido. Si es así, deben notificar a las personas afectadas lo antes posible e informar la violación al Fiscal General de Nuevo Hampshire o a su regulador principal.
Aplicación: la Unidad de Privacidad de Datos
El Fiscal General de Nuevo Hampshire tiene autoridad exclusiva para hacer cumplir la NHDPA conforme a la RSA 507-H:11. No existe un derecho de acción privado, lo que significa que los consumidores individuales no pueden presentar demandas contra las empresas por infracciones a la NHDPA.
En preparación para la entrada en vigor de la ley en enero de 2025, el Fiscal General John Formella creó la Unidad de Privacidad de Datos dentro de la Oficina de Protección al Consumidor y Antimonopolio. La unidad maneja las investigaciones, procesa las quejas de los consumidores y publica orientación para las empresas.
El proceso de cumplimiento funciona de la siguiente manera:
- La Unidad de Privacidad de Datos identifica una posible infracción
- Durante 2025, el Fiscal General debe emitir un aviso por escrito que identifique las disposiciones específicas que se cree que fueron infringidas
- La empresa tiene 60 días para corregir la presunta infracción
- Si la empresa corrige la infracción y proporciona una declaración por escrito de que no continuará infringiendo la ley, el Fiscal General no toma ninguna acción
- A partir del 1 de enero de 2026, el período de corrección obligatorio pasa a ser discrecional, y el Fiscal General puede considerar factores como el número de infracciones, el tamaño de la entidad, el alcance del procesamiento y la probabilidad de daño
- Las infracciones se tratan como prácticas comerciales desleales o engañosas bajo la RSA 358-A:2, con sanciones civiles de hasta $10,000 por infracción
Nuevo Hampshire también se unió a un consorcio bipartidista de reguladores de privacidad estatales para colaborar en la aplicación de la privacidad de datos entre estados.
Los consumidores pueden presentar quejas de privacidad de datos a través del sitio web del Departamento de Justicia de Nuevo Hampshire.
Cómo se compara Nuevo Hampshire con otros estados
El enfoque de Nuevo Hampshire sobre la privacidad biométrica se ubica en un punto intermedio del espectro entre los estados de EE. UU.:
Más sólido que los estados sin protecciones. Muchos estados todavía carecen de protecciones específicas para los datos biométricos. La clasificación que hace Nuevo Hampshire de los datos biométricos como datos sensibles que requieren consentimiento lo coloca por delante de estados como Georgia y Alabama, que no cuentan con leyes dedicadas a la privacidad biométrica ni con leyes integrales de privacidad vigentes.
Definición más amplia que la de algunos estados similares. La inclusión que hace la NHDPA de "otros patrones o características biológicos únicos" es más abierta que la de los estados que enumeran únicamente identificadores biométricos específicos. Esto podría proporcionar una cobertura más amplia a medida que evoluciona la tecnología biométrica.
Umbral de aplicabilidad más bajo. El umbral de procesamiento de 35,000 consumidores es más bajo que el de la mayoría de las leyes estatales de privacidad, lo que hace que más empresas queden sujetas a los requisitos de la ley.
Más débil que las leyes dedicadas a la privacidad biométrica. Estados como Illinois, Texas y Washington cuentan con leyes independientes de privacidad biométrica con requisitos específicos de aviso, consentimiento, plazos de retención y destrucción de datos. La BIPA de Illinois incluye un derecho de acción privado que ha generado litigios y acuerdos significativos.
Similar a otros estados con leyes integrales de privacidad. El enfoque de Nuevo Hampshire se asemeja mucho al de estados como Connecticut, Kentucky y Montana, que clasifican los datos biométricos como datos sensibles dentro de sus marcos integrales de privacidad del consumidor y exigen consentimiento previo (opt-in).
More New Hampshire Laws
- New Hampshire AI Meeting Recording Laws
- New Hampshire Alimony Laws
- New Hampshire At-Will Employment Laws
- New Hampshire Car Accident Laws
- New Hampshire Car Seat Laws
- New Hampshire Child Custody Laws
- New Hampshire Child Support Laws
- New Hampshire Common Law Marriage Laws
- New Hampshire Deepfake Laws
- New Hampshire Divorce Laws
- New Hampshire Dog Bite Laws
- New Hampshire Emancipation Laws
- New Hampshire Expungement Laws
- New Hampshire Hit and Run Laws
- New Hampshire Landlord-Tenant Laws
- New Hampshire Lemon Laws
Fuentes y referencias
Este artículo hace referencia a los estatutos de Nuevo Hampshire y a publicaciones oficiales del gobierno estatal. Para el texto completo de la NHDPA, visite el sitio web del Tribunal General de Nuevo Hampshire. Para obtener orientación sobre los derechos del consumidor y cómo presentar quejas, visite la página de Aplicación de la Privacidad de Datos del Departamento de Justicia de Nuevo Hampshire.
Este artículo proporciona información legal general sobre las leyes de privacidad biométrica de Nuevo Hampshire. No constituye asesoría legal. Consulte a un abogado calificado para obtener orientación sobre su situación específica. Las leyes y regulaciones cambian con frecuencia. Verifique los requisitos actuales a través de fuentes oficiales del gobierno de Nuevo Hampshire.
¿Afectado por una filtración de datos o una violación de privacidad biométrica?
Si sus datos personales quedaron expuestos en una filtración, o si su huella dactilar o escaneo facial se recopiló sin su consentimiento, podría ser elegible para unirse a un reclamo por compensación. Averígüelo gratis y sin compromiso.
Fuentes y referencias
- RSA Capítulo 507-H - Expectativa de Privacidad (Texto Completo)(gc.nh.gov).gov
- RSA 507-H:1 - Definiciones(gc.nh.gov).gov
- RSA 507-H:3 - Exclusiones(gc.nh.gov).gov
- RSA 507-H:4 - Derechos del Consumidor(gc.nh.gov).gov
- Proyecto de Ley del Senado 255 (SB 255) - Estado del Proyecto(gc.nh.gov).gov
- Departamento de Justicia de NH - Aplicación de la Privacidad de Datos(doj.nh.gov).gov
- El Fiscal General Formella Anuncia la Unidad de Privacidad de Datos(doj.nh.gov).gov
- NH se Une al Consorcio Bipartidista de Aplicación de la Privacidad(doj.nh.gov).gov
- RSA 359-C:20 - Notificación de Violaciones(gc.nh.gov).gov
- RSA 359-C:19 - Definiciones de Notificación de Violaciones(gc.nh.gov).gov
- Departamento de Justicia de NH - Notificaciones de Violaciones de Seguridad(doj.nh.gov).gov
- RSA 507-H Enmendada por el Capítulo 229 (HB 1220)(sos.nh.gov).gov