New Jersey
Leyes de Privacidad Biométrica de Nueva Jersey: Recopilación, Consentimiento y Sanciones (2026)

Nueva Jersey regula los datos biométricos bajo la Ley de Privacidad de Datos de Nueva Jersey (NJDPA), P.L. 2023, c.266, que entró en vigor el 15 de enero de 2025. La NJDPA clasifica los datos biométricos como datos sensibles, lo que exige el consentimiento afirmativo de exclusión voluntaria previa antes de cualquier recopilación o procesamiento. El Fiscal General tiene la única autoridad de aplicación; no existe un estatuto biométrico independiente.
Nueva Jersey se toma en serio la privacidad biométrica. El estado implementó una de las definiciones de datos biométricos más amplias del país cuando la Ley de Privacidad de Datos de Nueva Jersey (NJDPA) entró en vigor el 15 de enero de 2025. A diferencia de los estados que aprobaron estatutos estrechos exclusivamente biométricos, Nueva Jersey incorporó las protecciones biométricas dentro de un marco integral de privacidad de datos del consumidor que cubre todo, desde huellas dactilares hasta geometría facial.
Si usted recopila, almacena o procesa datos biométricos de residentes de Nueva Jersey, esto es lo que exige la ley.
Cómo define Nueva Jersey los datos biométricos
La NJDPA proporciona una de las definiciones de datos biométricos más expansivas de Estados Unidos. Según N.J.S.A. 56:8-166.4, "datos biométricos" significa:
Datos generados por el procesamiento, las mediciones o el análisis automáticos o tecnológicos de las características biológicas, físicas o de comportamiento de una persona, incluyendo, entre otros, huellas dactilares, huellas de voz, retinas oculares, iris, mapeo facial, geometría facial, plantillas faciales, u otros patrones o características biológicas, físicas o de comportamiento únicos que se usan o se pretende usar, individualmente o en combinación entre sí o con otros datos personales, para identificar a una persona específica.
Esta definición va más allá de muchas leyes estatales. La inclusión de "mapeo facial," "geometría facial" y "plantillas faciales" como categorías separadas significa que Nueva Jersey cubre todo el espectro de insumos y resultados de la tecnología de reconocimiento facial. La categoría general de "otros patrones biológicos, físicos o de comportamiento únicos" le da a la ley margen para cubrir tecnologías emergentes como el análisis de la marcha, el reconocimiento de patrones de venas y la dinámica de pulsación de teclas.
Qué no son datos biométricos
La NJDPA establece exclusiones específicas. Lo siguiente no califica como datos biométricos:
- Fotografías digitales o físicas
- Grabaciones de audio o video
- Datos generados a partir de fotografías o grabaciones, a menos que esos datos se generen específicamente mediante procesamiento automático o tecnológico para identificar a una persona
Esta distinción importa. La grabación de una cámara de seguridad de un cliente caminando por una tienda no son datos biométricos. Sin embargo, pasar esa grabación por un software de reconocimiento facial que genera una plantilla de geometría facial sí crea datos biométricos según la ley de Nueva Jersey.

Los datos biométricos como datos sensibles
La NJDPA clasifica los datos biométricos como una categoría de datos sensibles. El estatuto define los datos sensibles como datos personales que revelan origen racial o étnico, creencias religiosas, condiciones de salud mental o física, orientación sexual, estatus de ciudadanía o inmigración, datos genéticos o biométricos procesados con el propósito de identificar de manera única a una persona, datos personales recopilados de un niño conocido, o datos de geolocalización precisa.
Esta clasificación de datos sensibles activa el nivel más alto de protección que ofrece la NJDPA.
Requisitos de consentimiento para los datos biométricos
Debido a que los datos biométricos califican como datos sensibles, los controladores enfrentan reglas de consentimiento estrictas según la Sección 9 de la NJDPA. Un controlador no debe procesar datos sensibles relacionados con un consumidor sin obtener primero el consentimiento del consumidor.
"Consentimiento" según la NJDPA significa un acto afirmativo claro que signifique un acuerdo otorgado libremente, específico, informado e inequívoco del consumidor para el procesamiento de datos personales. Las casillas premarcadas, el silencio o la inactividad no cuentan. Ocultar el consentimiento dentro de un acuerdo de términos de servicio no es suficiente.
En la práctica, esto significa que las empresas deben:
- Informar claramente al consumidor sobre qué datos biométricos se recopilarán
- Explicar el propósito específico del procesamiento de los datos biométricos
- Obtener una aceptación afirmativa de exclusión voluntaria previa antes de que comience la recopilación
- Permitir que el consumidor retire el consentimiento en cualquier momento
Este requisito se aplica a cualquier controlador que hace negocios en Nueva Jersey o produce productos o servicios dirigidos a residentes de Nueva Jersey, y que procesa los datos personales de al menos 100,000 consumidores, o procesa los datos de al menos 25,000 consumidores mientras obtiene ingresos de la venta de datos personales.
Derechos del consumidor sobre los datos biométricos
Los residentes de Nueva Jersey tienen cinco derechos principales sobre sus datos biométricos bajo la NJDPA:
Derecho a confirmar y acceder. Los consumidores pueden preguntar si un controlador procesa sus datos biométricos y obtener una copia de esos datos.
Derecho a corregir. Si los datos biométricos son inexactos, los consumidores pueden solicitar correcciones.
Derecho a eliminar. Los consumidores pueden solicitar que un controlador elimine sus datos biométricos.
Derecho a la portabilidad de datos. Los consumidores pueden obtener sus datos biométricos en un formato portátil y fácilmente utilizable que permita la transferencia a otro controlador.
Derecho a optar por excluirse. Los consumidores pueden optar por excluirse del procesamiento de sus datos biométricos para publicidad dirigida, la venta de datos personales, o el perfilamiento en apoyo de decisiones que produzcan efectos legales o de importancia similar.
Los controladores deben responder a las solicitudes de los consumidores dentro de 45 días. Pueden extender esto por 45 días adicionales cuando sea razonablemente necesario, siempre que notifiquen al consumidor de la extensión y el motivo.

Aplicación y sanciones
Autoridad del Fiscal General
La NJDPA otorga a la Oficina del Fiscal General la única y exclusiva autoridad para hacer cumplir la ley. Ninguna otra agencia estatal, gobierno local o persona privada puede iniciar una acción de aplicación directamente bajo la NJDPA.
Sanciones de la Ley de Fraude al Consumidor
La Sección 14 de la NJDPA clasifica cualquier infracción como "una práctica ilegal y una violación de P.L.1960, c.39 (C.56:8-1 y siguientes)," que es la Ley de Fraude al Consumidor de Nueva Jersey (CFA). Esta vinculación conlleva consecuencias reales:
- Primera infracción: Hasta $10,000
- Infracciones posteriores: Hasta $20,000 cada una
- El Fiscal General puede buscar medidas cautelares, sanciones civiles y otros remedios disponibles según la CFA
El período de subsanación de 30 días
Durante los primeros 18 meses después de que la NJDPA entró en vigor (del 15 de enero de 2025 al 15 de julio de 2026), el Fiscal General debe emitir un aviso de infracción y darle al controlador 30 días para subsanar el problema antes de iniciar la aplicación. Si el controlador corrige el problema y proporciona una declaración por escrito confirmando la corrección dentro de 30 días, el asunto se resuelve.
Después del 15 de julio de 2026, el período de subsanación se vuelve discrecional. El Fiscal General puede elegir si ofrece una oportunidad de subsanación o procede directamente a la aplicación.
La cuestión del derecho de acción privado
La NJDPA establece explícitamente que "nada en P.L.2023, c.266 debe interpretarse como que proporciona la base para... un derecho de acción privado." Esto significa que los consumidores no pueden demandar directamente a las empresas bajo la NJDPA por el manejo indebido de sus datos biométricos.
Sin embargo, los comentaristas legales de Nueva Jersey han señalado una tensión en el estatuto. La CFA misma, según N.J.S.A. 56:8-19, proporciona un derecho de acción privado para cualquier persona que sufra una pérdida determinable por una práctica ilegal. Un demandante exitoso bajo la CFA recibe daños triplicados (tres veces las pérdidas reales), más honorarios de abogados y costos judiciales. Dado que las infracciones de la NJDPA se clasifican como prácticas ilegales de la CFA, la pregunta de si un consumidor podría presentar un reclamo bajo la CFA basado en una infracción de la NJDPA sigue sin probarse en los tribunales. Las empresas no deben asumir que están inmunes a litigios privados.

Comparación con otras leyes estatales biométricas
El enfoque de Nueva Jersey difiere de los otros dos modelos principales en Estados Unidos:
| Característica | Nueva Jersey (NJDPA) | Illinois (BIPA) | Texas (CUBI) |
|---|---|---|---|
| Tipo de ley | Ley integral de privacidad | Estatuto biométrico independiente | Estatuto biométrico independiente |
| Definición biométrica | Amplia (incluye mapeo facial, geometría, plantillas) | Más estrecha (retina, iris, huella dactilar, huella de voz, geometría de mano/rostro) | Similar a Illinois |
| Consentimiento requerido | Aceptación afirmativa de exclusión voluntaria previa para datos sensibles | Consentimiento informado por escrito | Consentimiento informado |
| Derecho de acción privado | Ninguno según la NJDPA (cuestión de la CFA abierta) | Sí, cualquier infracción | Ninguno (solo el Fiscal General) |
| Daños | $10,000/$20,000 por infracción (Fiscal General) | $1,000/$5,000 por infracción (privado) | $25,000 por infracción (Fiscal General) |
| Aplicación | Solo el Fiscal General | Demandas privadas más el Fiscal General | Solo el Fiscal General |
| Exclusión de foto/video | Sí, a menos que se procese para identificación | Sí | Sí |
La amplia definición de Nueva Jersey le da una cobertura más extensa que la de Illinois sobre el papel, pero Illinois sigue siendo el entorno de aplicación más agresivo debido a su derecho de acción privado, que ha impulsado miles de millones de dólares en acuerdos.
Legislación propuesta sobre vigilancia biométrica
La Legislatura de Nueva Jersey ha seguido considerando protecciones biométricas adicionales. El Proyecto de Ley del Senado 1464 (introducido en la sesión de 2026) prohibiría a las empresas vender, arrendar, intercambiar o compartir información obtenida a través de sistemas de vigilancia biométrica. Las infracciones se tratarían como prácticas ilegales de la CFA con la misma estructura de sanciones de $10,000/$20,000.
Esta legislación propuesta se dirige específicamente al reconocimiento facial comercial y a los sistemas de monitoreo biométrico remoto. Complementaría el marco más amplio de privacidad de datos de la NJDPA con restricciones específicas sobre la vigilancia biométrica en entornos comerciales.
Reglamentación del Fiscal General
La Oficina del Fiscal General anunció reglamentos propuestos en 2025 para implementar la NJDPA a través de la División de Asuntos del Consumidor. Estos reglamentos abordan las obligaciones del controlador para el manejo de datos, los mecanismos de consentimiento, el cumplimiento de la exclusión universal y el procesamiento de los derechos del consumidor. El período de comentarios públicos se extendió del 2 de junio de 2025 al 1 de agosto de 2025, y se espera que la División publique un Aviso de Adopción en 2026.
Estos reglamentos proporcionarán una guía más específica sobre cómo las empresas deben manejar el consentimiento, el almacenamiento y el procesamiento de datos biométricos según el marco de la NJDPA.
Pasos prácticos de cumplimiento para las empresas
Las organizaciones que recopilan datos biométricos de residentes de Nueva Jersey deben tomar estos pasos:
Audite su recopilación de datos biométricos. Identifique cada punto donde recopila huellas dactilares, escaneos faciales, huellas de voz, escaneos de iris u otros identificadores biométricos de consumidores o empleados de Nueva Jersey.
Implemente mecanismos de consentimiento afirmativo. Construya flujos de aceptación claros y específicos para la recopilación de datos biométricos. Las divulgaciones genéricas de la política de privacidad no son suficientes según la NJDPA.
Respete las solicitudes de derechos del consumidor. Configure sistemas para procesar las solicitudes de acceso, corrección, eliminación, portabilidad y exclusión dentro de la ventana de respuesta de 45 días.
Revise los contratos con proveedores. Si comparte datos biométricos con procesadores, asegúrese de que sus contratos les exijan seguir las mismas protecciones requeridas por la NJDPA.
Prepárese para el vencimiento del período de subsanación. Después del 15 de julio de 2026, el Fiscal General puede aplicar la ley sin ofrecer una ventana de subsanación de 30 días. Logre el cumplimiento antes de esa fecha.
More New Jersey Laws
- New Jersey AI Meeting Recording Laws
- New Jersey Alimony Laws
- New Jersey At-Will Employment Laws
- New Jersey Car Accident Laws
- New Jersey Child Custody Laws
- New Jersey Child Support Laws
- New Jersey Common Law Marriage Laws
- New Jersey Deepfake Laws
- New Jersey Divorce Laws
- New Jersey Dog Bite Laws
- New Jersey Emancipation Laws
- New Jersey Expungement Laws
- New Jersey Hit and Run Laws
- New Jersey Landlord-Tenant Laws
- New Jersey Lemon Laws
- New Jersey Power of Attorney Laws
Fuentes y Referencias
Este artículo hace referencia a los estatutos de Nueva Jersey y a publicaciones oficiales del gobierno. Para el texto completo de la NJDPA, visite la Legislatura de Nueva Jersey. Para actualizaciones sobre la aplicación por parte del Fiscal General, visite njoag.gov. Para las definiciones de la NJDPA codificadas en N.J.S.A. 56:8-166.4, consulte la descripción general de la Célula de Integración de Ciberseguridad y Comunicaciones de Nueva Jersey.
Este artículo proporciona información legal general sobre las leyes de privacidad biométrica de Nueva Jersey. No constituye asesoría legal. Consulte a un abogado calificado para obtener orientación sobre su situación específica. Las leyes y los reglamentos cambian frecuentemente. Verifique los requisitos actuales a través de fuentes oficiales del gobierno de Nueva Jersey.
¿Afectado por una filtración de datos o una violación de privacidad biométrica?
Si sus datos personales quedaron expuestos en una filtración, o si su huella dactilar o escaneo facial se recopiló sin su consentimiento, podría ser elegible para unirse a un reclamo por compensación. Averígüelo gratis y sin compromiso.
Fuentes y referencias
- Ley de Privacidad de Datos de Nueva Jersey (P.L. 2023, c.266)(njleg.state.nj.us).gov
- Texto del Proyecto de Ley de la NJDPA (S332)(njleg.state.nj.us).gov
- Protección al Consumidor del Fiscal General de NJ(njoag.gov).gov
- Anuncio de Reglamentos Propuestos de la NJDPA(njoag.gov).gov
- Descripción General de la NJDPA de Ciberseguridad de NJ(cyber.nj.gov).gov
- Ley de Fraude al Consumidor de NJ(njconsumeraffairs.gov).gov
- Instrucciones al Jurado de la Ley de Fraude al Consumidor de NJ (56:8-19)(njcourts.gov).gov
- Proyecto de Ley de Vigilancia Biométrica Propuesto S1464(njleg.gov).gov