New Mexico
Leyes de Privacidad Biométrica de Nuevo México: Recopilación, Consentimiento y Sanciones (2026)

Nuevo México no cuenta con una ley independiente de privacidad biométrica. Los datos biométricos están protegidos bajo la Ley de Notificación de Violaciones de Datos (Data Breach Notification Act) (N.M. Stat. Ann. 57-12C-1), que exige que las organizaciones notifiquen a los residentes afectados dentro de los 45 días posteriores a una violación, pero no impone reglas de consentimiento ni de recolección de datos. El Fiscal General hace cumplir la ley; las personas no tienen derecho de acción privada.
Nuevo México adopta un enfoque de notificación de violaciones para la privacidad biométrica. El estado no cuenta con un estatuto dedicado que regule cómo las empresas recolectan, almacenan o utilizan identificadores biométricos. En cambio, los datos biométricos quedan comprendidos dentro de la Ley de Notificación de Violaciones de Datos (N.M. Stat. Ann. 57-12C-1 a 57-12C-12), que exige que las organizaciones notifiquen a los residentes cuando su información personal, incluidos los datos biométricos, se vea comprometida en una violación de seguridad.
Esto significa que los empleadores y empresas de Nuevo México pueden recolectar huellas dactilares, escaneos faciales y otros identificadores biométricos sin obtener consentimiento previo ni seguir procedimientos de recolección específicos. La obligación legal surge únicamente después de que algo sale mal.
Para obtener una visión general del marco de privacidad más amplio del estado, consulte la guía principal sobre las Leyes de Privacidad de Datos de Nuevo México.
Cómo Define Nuevo México los Datos Biométricos
La Ley de Notificación de Violaciones de Datos define los datos biométricos bajo N.M. Stat. Ann. 57-12C-2 como un registro generado por mediciones automáticas de las características biológicas de una persona identificada. El estatuto enumera específicamente:
- Huellas dactilares
- Huellas de voz
- Patrones de iris o retina
- Características faciales
- Geometría de la mano

Existe un matiz importante. Los datos biométricos deben "utilizarse para autenticar de manera única y duradera la identidad de una persona cuando esta accede a una ubicación física, dispositivo, sistema o cuenta". Las mediciones biométricas recolectadas con fines de investigación, análisis u otros propósitos distintos de la autenticación no califican como información personal identificable protegida bajo este estatuto.
Esta definición vinculada a la autenticación es más limitada que las definiciones utilizadas en estados con leyes de privacidad biométrica dedicadas, como Illinois o Washington.
Qué Exige la Ley de Notificación de Violaciones de Datos
Información Personal Identificable
Los datos biométricos son una de varias categorías que califican como información personal identificable (personal identifying information, PII) bajo la Ley. La lista completa incluye el nombre o la inicial del nombre y el apellido de una persona combinados con cualquiera de los siguientes:
- Número de Seguro Social
- Número de licencia de conducir o número de identificación emitido por el gobierno
- Número de cuenta, número de tarjeta de crédito o de débito combinado con cualquier código de seguridad, código de acceso o contraseña requerida
- Datos biométricos
La información disponible públicamente y la información contenida en registros gubernamentales quedan excluidas de esta definición.
Cronograma de Notificación de Violaciones
Cuando una violación de seguridad compromete datos biométricos u otra información personal identificable, la organización debe notificar a los residentes afectados de Nuevo México "en el tiempo más expedito posible, pero a más tardar cuarenta y cinco días calendario después del descubrimiento de la violación de seguridad", conforme a N.M. Stat. Ann. 57-12C-6.
El plazo de 45 días comienza en el momento del descubrimiento, no en el momento en que realmente ocurrió la violación. Esta distinción es importante porque las violaciones a menudo se detectan semanas o meses después de la intrusión inicial.
Qué Debe Incluir la Notificación
Los avisos escritos enviados a las personas afectadas deben contener información específica bajo la Ley:
- El nombre e información de contacto de la entidad que reporta la violación
- Una lista de los tipos de información personal identificable que se cree que fueron comprometidos
- La fecha de la violación de seguridad o el rango de fechas estimado
- Una descripción general del incidente de la violación
- Números telefónicos gratuitos y direcciones de las principales agencias de informes al consumidor
- Recomendaciones para revisar los estados de cuenta personales y los informes crediticios en busca de actividad inusual
- Información sobre los derechos de la persona conforme a la Ley Federal de Informe Justo de Crédito (Fair Credit Reporting Act)
Notificación al Fiscal General
Conforme a N.M. Stat. Ann. 57-12C-10, cuando una violación afecta a más de 1,000 residentes de Nuevo México, la organización también debe notificar al Fiscal General de Nuevo México y a las principales agencias de informes crediticios dentro de los 45 días calendario. La notificación al Fiscal General debe incluir el número de residentes que recibieron avisos de la violación y una copia de la notificación enviada a las personas afectadas.
Excepción por Umbral de Daño
No se requiere notificación si, tras una investigación apropiada, la organización determina que la violación de seguridad no genera un riesgo significativo de robo de identidad o fraude. Las organizaciones que se basen en esta excepción deben documentar minuciosamente su investigación y razonamiento, ya que el Fiscal General podría cuestionar posteriormente esa determinación.
Exenciones Bajo la Ley
Dos categorías de entidades están completamente exentas de los requisitos de la Ley de Notificación de Violaciones de Datos:
Entidades cubiertas por la GLBA. Las instituciones financieras que cumplen con las disposiciones de seguridad de datos y notificación de violaciones de la Ley Gramm-Leach-Bliley no necesitan seguir los procedimientos de notificación separados de Nuevo México.
Entidades cubiertas por HIPAA. Los proveedores de atención médica, planes de salud y cámaras de compensación de atención médica que cumplen con los requisitos de notificación de violaciones de la Health Insurance Portability and Accountability Act también están exentos.
Estas exenciones reconocen que la ley federal ya impone obligaciones de notificación de violaciones a estas industrias. Sin embargo, las organizaciones deben verificar que realmente estén cumpliendo con los requisitos federales aplicables, y no simplemente que pertenecen a la industria regulada.
Puerto Seguro de Cifrado
La Ley no se aplica a las violaciones que involucren información personal identificable que estuviera cifrada, redactada o de otro modo hecha ilegible al momento de la violación. Este puerto seguro (safe harbor) se aplica siempre que la clave de cifrado en sí no también haya sido comprometida en el incidente.
Las organizaciones que cifran los datos biométricos tanto en reposo como en tránsito obtienen una protección significativa frente a las obligaciones de notificación bajo esta disposición.
Aplicación de la Ley y Sanciones

Autoridad del Fiscal General
El Fiscal General de Nuevo México tiene autoridad exclusiva de aplicación sobre la Ley de Notificación de Violaciones de Datos. Conforme a N.M. Stat. Ann. 57-12C-11, cuando el Fiscal General tiene una creencia razonable de que ha ocurrido una violación, la oficina puede iniciar una acción en nombre de las personas afectadas y en nombre del estado.
Sanciones Civiles
Los tribunales pueden imponer sanciones civiles de hasta $25,000 por violación cuando una persona o entidad infringe la Ley de manera consciente o imprudente. El Fiscal General también puede solicitar medidas cautelares y daños por los costos y pérdidas reales sufridos por las personas afectadas.
Sin Derecho de Acción Privado
Los residentes de Nuevo México no pueden presentar demandas privadas bajo la Ley de Notificación de Violaciones de Datos. Solo el Fiscal General puede promover acciones de aplicación. Esto limita el riesgo de litigio para las organizaciones en comparación con estados como Illinois, donde las personas pueden demandar directamente bajo la BIPA y recuperar daños estatutarios.
Sin embargo, las personas aún pueden tener reclamos bajo la Ley de Prácticas Injustas de Nuevo México (Unfair Practices Act) (N.M. Stat. Ann. 57-12-1 y siguientes) si el manejo de datos biométricos por parte de una empresa implica prácticas comerciales engañosas o desmedidas.
Uso de Datos Biométricos por Parte de Empleadores

La ley de Nuevo México no impone requisitos específicos a los empleadores que recolectan datos biométricos de los trabajadores. No existe un mandato a nivel estatal que exija a los empleadores:
- Obtener consentimiento por escrito antes de recolectar huellas dactilares o escaneos faciales
- Proporcionar una política de retención de datos biométricos
- Limitar el tiempo durante el cual se almacenan los datos biométricos
- Destruir los datos biométricos después de un período determinado o cuando finaliza la relación laboral
Los empleadores que utilizan relojes de tiempo biométricos, escáneres de huellas dactilares para el acceso a instalaciones o sistemas de reconocimiento facial deben, no obstante, implementar medidas de seguridad razonables para proteger estos datos. Una violación de la información biométrica de un empleado activa la misma obligación de notificación de 45 días que cualquier otra violación de información personal identificable bajo la Ley.
Legislación Pendiente y Perspectivas Futuras
Los legisladores de Nuevo México han presentado varios proyectos de ley sobre privacidad en sesiones recientes que, de aprobarse, ampliarían las protecciones de datos biométricos.
Ley de Privacidad y Seguridad en Internet (HB 307, 2025)
El Proyecto de Ley 307 de la Cámara (House Bill 307) de la sesión de 2025 propuso protecciones integrales de privacidad del consumidor. El proyecto definía los datos biométricos de manera amplia como "datos sobre un consumidor generados por mediciones de las características biológicas únicas del consumidor, como una huella facial, una huella dactilar, una huella de voz, o una imagen de retina o iris". El proyecto habría clasificado los datos biométricos como datos personales sensibles, prohibido su uso para publicidad dirigida, exigido consentimiento previo (opt-in) para su procesamiento e impuesto sanciones civiles de hasta $7,500 por violación intencional, con derecho de acción privado. El proyecto no se convirtió en ley durante la sesión de 2025.
Ley de Seguridad y Privacidad de la Información Comunitaria y de Salud (SB 53, 2026)
El Proyecto de Ley 53 del Senado (Senate Bill 53), conocido como CHISPA, se presentó en enero de 2026. Incluía una definición amplia similar de datos biométricos y buscaba hacer de la privacidad en línea la opción predeterminada, exigiendo consentimiento previo (opt-in) para la recolección de datos. A pesar de recibir una recomendación de "Aprobación" (Do Pass) por parte del Comité de Salud y Asuntos Públicos del Senado el 5 de febrero de 2026, el proyecto fue pospuesto indefinidamente y no avanzó más.
Ley de Transparencia en Inteligencia Artificial (HB 28, 2026)
El Proyecto de Ley 28 de la Cámara (House Bill 28) de la sesión de 2026 aborda los sistemas de IA que toman decisiones consecuentes, pero no regula directamente la recolección de datos biométricos. Se enfoca en la transparencia y la rendición de cuentas en la toma de decisiones automatizada en el empleo, los servicios financieros, la atención médica y otras áreas.
Qué Significa Esto de Cara al Futuro
La reiterada presentación de proyectos de ley de privacidad con disposiciones biométricas señala un interés legislativo creciente en esta área. Nuevo México podría eventualmente adoptar una ley integral de privacidad del consumidor que incluya protecciones dedicadas de datos biométricos. Hasta entonces, la Ley de Notificación de Violaciones de Datos sigue siendo la principal salvaguarda.
Cómo se Compara Nuevo México con Otros Estados
Nuevo México forma parte de un grupo de estados que protegen los datos biométricos únicamente mediante requisitos de notificación de violaciones, sin un estatuto dedicado de privacidad biométrica ni una ley integral de privacidad del consumidor. Esto lo coloca por detrás de estados con protecciones más sólidas:
| Nivel de Protección | Estados |
|---|---|
| Estatuto dedicado de privacidad biométrica | Illinois, Texas, Washington |
| Ley integral de privacidad que cubre datos biométricos | California, Colorado, Connecticut, Virginia |
| Solo notificación de violaciones (como Nuevo México) | Arkansas, Nebraska, Carolina del Norte |
La diferencia clave es que los estados con leyes dedicadas de privacidad biométrica o leyes integrales de privacidad regulan de manera proactiva la recolección y el uso de datos biométricos, mientras que la ley de Nuevo México solo aborda lo que ocurre después de que se produce una violación.
Más Leyes de Nuevo México
- Leyes de Grabación de Reuniones con IA de Nuevo México
- Leyes de Pensión Conyugal de Nuevo México
- Leyes de Empleo a Voluntad de Nuevo México
- Leyes de Accidentes Automovilísticos de Nuevo México
- Leyes de Sillas de Auto para Niños de Nuevo México
- Leyes de Custodia de Menores de Nuevo México
- Leyes de Manutención Infantil de Nuevo México
- Leyes de Matrimonio de Hecho de Nuevo México
- Leyes sobre Deepfakes de Nuevo México
- Leyes de Divorcio de Nuevo México
- Leyes sobre Mordeduras de Perro de Nuevo México
- Leyes de Emancipación de Nuevo México
- Leyes de Eliminación de Antecedentes Penales de Nuevo México
- Leyes sobre Accidentes con Fuga de Nuevo México
- Leyes de Propietarios e Inquilinos de Nuevo México
- Leyes del Limón de Nuevo México
Este artículo ofrece información legal general sobre las leyes de privacidad biométrica de Nuevo México y no constituye asesoría legal. Los estatutos y las regulaciones cambian con el tiempo. Consulte a un abogado calificado con licencia en Nuevo México para obtener orientación sobre su situación específica.
Preguntas frecuentes
¿Nuevo México exige consentimiento antes de recolectar datos biométricos?
No. Nuevo México no tiene una ley que exija a las empresas o empleadores obtener consentimiento antes de recolectar huellas dactilares, escaneos faciales u otros datos biométricos. La Ley de Notificación de Violaciones de Datos del estado solo exige notificación después de una violación, no consentimiento antes de la recolección.
¿Qué sucede si una empresa no notifica a los residentes sobre una violación de datos biométricos en Nuevo México?
El Fiscal General de Nuevo México puede iniciar una acción de aplicación contra la empresa. Los tribunales pueden imponer sanciones civiles de hasta $25,000 por violaciones cometidas de forma consciente o imprudente de la Ley de Notificación de Violaciones de Datos, además de medidas cautelares y daños por los costos y pérdidas reales sufridos por las personas afectadas.
¿Los empleadores en Nuevo México están obligados a tener una política de retención de datos biométricos?
No. La ley de Nuevo México no exige que los empleadores mantengan una política escrita de retención de datos biométricos, establezcan un cronograma de destrucción ni sigan procedimientos específicos para eliminar la información biométrica. Sin embargo, los empleadores deben implementar medidas de seguridad razonables para proteger estos datos.
¿Pueden las personas demandar por el mal uso de datos biométricos en Nuevo México?
No bajo la Ley de Notificación de Violaciones de Datos, que no otorga derecho de acción privado. Solo el Fiscal General puede hacer cumplir ese estatuto. Sin embargo, las personas pueden tener reclamos bajo la Ley de Prácticas Injustas de Nuevo México (N.M. Stat. Ann. 57-12-1 y siguientes) si el manejo de datos biométricos por parte de una empresa implica prácticas comerciales engañosas o desmedidas.
¿La ley de datos biométricos de Nuevo México se aplica a proveedores de atención médica y bancos?
Las entidades cubiertas por HIPAA (proveedores de atención médica, planes de salud, cámaras de compensación) y las entidades sujetas a la Ley Gramm-Leach-Bliley (instituciones financieras) están exentas de la Ley de Notificación de Violaciones de Datos de Nuevo México, siempre que cumplan con los requisitos de notificación de violaciones bajo esas leyes federales.
¿Afectado por una filtración de datos o una violación de privacidad biométrica?
Si sus datos personales quedaron expuestos en una filtración, o si su huella dactilar o escaneo facial se recopiló sin su consentimiento, podría ser elegible para unirse a un reclamo por compensación. Averígüelo gratis y sin compromiso.
Fuentes y referencias
- Ley de Notificación de Violaciones de Datos de Nuevo México (HB 15, 2017)(nmlegis.gov).gov
- N.M. Stat. Ann. 57-12C-2 Definiciones(law.justia.com)
- N.M. Stat. Ann. 57-12C-6 Notificación de Violación de Seguridad(law.justia.com)
- N.M. Stat. Ann. 57-12C-10 Notificación al Fiscal General y Agencias de Informes Crediticios(law.justia.com)
- N.M. Stat. Ann. 57-12C-11 Aplicación por el Fiscal General(advance.lexis.com)
- Ley de Privacidad y Seguridad en Internet (HB 307, 2025)(nmlegis.gov).gov
- Ley de Seguridad y Privacidad de la Información Comunitaria y de Salud (SB 53, 2026)(nmlegis.gov).gov
- Ley de Transparencia en Inteligencia Artificial (HB 28, 2026)(nmlegis.gov).gov
- Ley Gramm-Leach-Bliley(ftc.gov).gov
- HIPAA(hhs.gov).gov
- Ley de Prácticas Injustas de Nuevo México(law.justia.com)