New York
Leyes de Privacidad Biométrica de Nueva York: Recopilación, Consentimiento y Sanciones (2026)

Nueva York regula los datos biométricos mediante un marco escalonado en lugar de una sola ley estatal. La Ley SHIELD exige notificación de violaciones y seguridad razonable de datos para la información biométrica, mientras que la Ley Local 3 de 2021 de la Ciudad de Nueva York exige señalización de divulgación y prohíbe a los establecimientos comerciales vender datos de identificadores biométricos.
Nueva York ha construido un enfoque escalonado para la protección de la privacidad biométrica. Ningún estatuto único cubre todo el panorama. En su lugar, una combinación de ley estatal, ordenanza municipal, regulación financiera y ley laboral crea obligaciones superpuestas para las empresas que recopilan huellas dactilares, escaneos de geometría facial, imágenes de retina u otros datos biométricos.
Para las empresas que operan en Nueva York, comprender cada capa es fundamental. Una empresa en Manhattan enfrenta reglas diferentes a una en Buffalo, y un banco enfrenta requisitos más estrictos que una tienda minorista. Esta guía recorre cada ley aplicable para que usted sepa exactamente qué se aplica a su situación.
La Ley SHIELD: El Fundamento de Nueva York para la Protección de Datos Biométricos
La Ley para Detener los Hackeos y Mejorar la Seguridad de los Datos Electrónicos (Ley SHIELD), firmada el 25 de julio de 2019, forma la columna vertebral de las protecciones de datos biométricos de Nueva York. Codificada en las Secciones 899-aa y 899-bb de la Ley General de Negocios (GBL), la Ley SHIELD amplió la ley existente de notificación de violaciones del estado para incluir la información biométrica bajo su alcance.
Qué Cubre la Ley SHIELD
Antes de la Ley SHIELD, la ley de notificación de violaciones de datos de Nueva York se aplicaba únicamente a identificadores personales tradicionales como los números de Seguro Social y los números de cuentas financieras. La Ley SHIELD agregó varias categorías nuevas de datos protegidos, incluida la información biométrica.
Bajo la GBL 899-aa, la "información privada" ahora incluye:
- Información biométrica (huellas dactilares, huellas de voz, imágenes de retina o iris, y otras medidas físicas únicas)
- Números de Seguro Social
- Números de licencia de conducir
- Números de cuentas financieras
- Nombre de usuario o dirección de correo electrónico combinado con una contraseña o pregunta de seguridad
- Información médica y de seguro médico (agregada por la enmienda de diciembre de 2024)
La Regla de Notificación de Violaciones en 30 Días
El 24 de diciembre de 2024, la gobernadora Kathy Hochul firmó una enmienda a la GBL 899-aa que reemplazó el antiguo estándar de "el tiempo más expedito posible" con un plazo firme de 30 días. Las empresas que sufran una violación que involucre datos biométricos ahora deben notificar a los residentes de Nueva York afectados dentro de los 30 días posteriores al descubrimiento de la violación.
La enmienda también exige la notificación al Fiscal General de Nueva York, al Departamento de Estado y a la Policía Estatal. Las entidades reguladas por el Departamento de Servicios Financieros de Nueva York también deben notificar al NYDFS.
Requisito de Salvaguardas Razonables
La GBL 899-bb exige que toda persona o empresa que posea u otorgue licencias de información privada, incluidos los datos biométricos, desarrolle, implemente y mantenga salvaguardas razonables. Estas salvaguardas se dividen en tres categorías:
Las salvaguardas administrativas incluyen designar a uno o más empleados para coordinar el programa de seguridad, identificar riesgos internos y externos razonablemente previsibles, capacitar a los empleados en prácticas de seguridad y evaluar a los proveedores de servicios.
Las salvaguardas técnicas incluyen evaluar riesgos en el diseño de red y software, monitorear sistemas contra acceso no autorizado, detectar y responder a ataques, y probar regularmente la efectividad del sistema.
Las salvaguardas físicas incluyen evaluar riesgos en el almacenamiento y disposición de datos, prevenir el acceso físico no autorizado, y desechar adecuadamente la información para que no pueda leerse ni reconstruirse.
Acomodación para Pequeñas Empresas
La Ley SHIELD reconoce que las organizaciones más pequeñas tienen menos recursos. Una empresa califica para la acomodación de pequeñas empresas si tiene menos de 50 empleados, menos de $3 millones en ingresos brutos anuales en cada uno de los últimos tres ejercicios fiscales, o menos de $5 millones en activos totales al cierre del año. Las pequeñas empresas aún deben implementar salvaguardas razonables, pero esas salvaguardas se evalúan según el tamaño y la complejidad de la empresa.
Sanciones de la Ley SHIELD
El Fiscal General de Nueva York aplica la Ley SHIELD. Las sanciones incluyen:
- Hasta $20 por cada notificación fallida, con un tope de $250,000
- Hasta $5,000 por violación por no mantener salvaguardas razonables
- Medidas cautelares y restitución
La Ley SHIELD no crea un derecho de acción privado. Solo el Fiscal General puede iniciar acciones de aplicación.
Ley Local 3 de NYC: Reglas Biométricas para Establecimientos Comerciales
La Ciudad de Nueva York promulgó la Ley Local 3 de 2021, que entró en vigor el 9 de julio de 2021. Esta ordenanza a nivel municipal va significativamente más allá de la Ley SHIELD al exigir un aviso afirmativo a los clientes y crear un derecho de acción privado.
Quién Debe Cumplir
La Ley Local 3 se aplica a "establecimientos comerciales" dentro de la Ciudad de Nueva York, definidos como:
- Lugares de entretenimiento (teatros, arenas, salas de conciertos, estadios)
- Tiendas minoristas
- Establecimientos de comida y bebida (restaurantes, bares, cafeterías)
La ley no se aplica a agencias gubernamentales ni a instituciones financieras reguladas por ley estatal o federal.
Definición de Información de Identificador Biométrico
Bajo la Ley Local 3, "información de identificador biométrico" significa una característica fisiológica, biológica o conductual utilizada para identificar o ayudar a identificar a una persona. Esto incluye:
- Escaneos de retina o iris
- Huellas dactilares
- Huellas de voz
- Escaneos de geometría de mano, palma o rostro
- Patrones de marcha o movimiento
El Requisito de Señalización
Todo establecimiento comercial que recopile, retenga, convierta, almacene o comparta información de identificador biométrico debe colocar un cartel claro y visible cerca de todas las entradas de clientes. El cartel debe estar en un lenguaje sencillo y simple, notificando a los clientes que se están recopilando datos biométricos.
El Departamento de Protección al Consumidor y al Trabajador de NYC (DCWP) proporciona un cartel de divulgación estandarizado que las empresas pueden descargar y exhibir.
Prohibición de Venta de Datos Biométricos
La Ley Local 3 prohíbe a cualquier establecimiento comercial vender, arrendar, comerciar o compartir información de identificador biométrico a cambio de algo de valor. Esta es una prohibición absoluta sin excepciones.
Derecho de Acción Privado y Daños
A diferencia de la Ley SHIELD, la Ley Local 3 otorga a las personas el derecho de demandar. Los daños incluyen:
- No colocar la señalización: $500 por violación (con un período de corrección de 30 días después de un aviso escrito)
- Venta o intercambio negligente de datos biométricos: $500 por violación
- Venta o intercambio intencional o imprudente: $5,000 por violación
- Los honorarios de abogados y costos son recuperables en todos los casos
Para las violaciones de señalización, la empresa tiene 30 días para corregir el problema después de recibir un aviso escrito. Si la empresa corrige la violación dentro de ese plazo, no puede proceder ninguna demanda. Para las violaciones de la prohibición de venta, no hay período de corrección, y las personas pueden presentar una demanda de inmediato.
Aplicación en la Práctica
La Ley Local 3 ha generado litigios notables. En un caso de alto perfil, un asistente a un concierto demandó al Madison Square Garden por su uso de tecnología de reconocimiento facial para examinar a los asistentes. El caso puso a prueba los límites de lo que constituye un "establecimiento comercial" y cómo se aplica la ley al escaneo biométrico relacionado con la seguridad en recintos de entretenimiento.
La Ley de Privacidad Biométrica de NY Pendiente (S1422/A6031)
El cambio propuesto más significativo al panorama de privacidad biométrica de Nueva York es la Ley de Privacidad Biométrica de NY, introducida en la sesión legislativa 2025-2026 como el Proyecto de Ley del Senado S1422 (patrocinado por el senador Liu) y el Proyecto de Ley de la Asamblea A6031. El proyecto de ley está modelado de cerca según la Ley de Privacidad de Información Biométrica (BIPA) de Illinois, que ha generado miles de millones de dólares en acuerdos desde su aprobación.
Estado Actual
Hasta marzo de 2026, S1422 se encuentra en el Comité de Protección al Consumidor del Senado. A6031 fue remitido al Comité de Asuntos y Protección del Consumidor de la Asamblea el 25 de febrero de 2025. El proyecto de ley aún no ha avanzado a una votación en el pleno en ninguna de las dos cámaras.
Los legisladores de Nueva York han presentado versiones de este proyecto de ley en múltiples sesiones anteriores (incluyendo S4457 en 2023 y A27 en 2021) sin ser aprobadas, pero la creciente atención nacional a la privacidad biométrica y el éxito de los litigios de la BIPA de Illinois continúan generando impulso.
Qué Exigiría el Proyecto de Ley
Si se promulga, la Ley de Privacidad Biométrica de NY crearía el Artículo 32-A de la Ley General de Negocios e impondría los siguientes requisitos a las entidades privadas:
Política escrita de retención y destrucción. Toda entidad privada que posea identificadores biométricos o información biométrica debe desarrollar una política escrita, disponible públicamente, que establezca un cronograma de retención y pautas para su destrucción permanente. La destrucción debe ocurrir cuando se haya cumplido el propósito inicial de recopilación o dentro de los tres años posteriores a la última interacción de la persona con la entidad, lo que ocurra primero.
Consentimiento por escrito antes de la recopilación. Ninguna entidad puede recopilar, capturar, comprar o intercambiar los datos biométricos de una persona a menos que primero informe a la persona por escrito y reciba su consentimiento por escrito.
Prohibición de venta. Las entidades no pueden vender, arrendar, comerciar ni obtener ganancias de identificadores biométricos o información biométrica.
Estándares de seguridad. Las entidades deben almacenar, transmitir y proteger los datos biométricos utilizando el estándar razonable de cuidado dentro de su industria. Las protecciones deben ser al menos tan sólidas como las utilizadas para otra información confidencial y sensible.
Definiciones Bajo el Proyecto de Ley
El proyecto de ley define "identificador biométrico" como un escaneo de retina o iris, huella dactilar, huella de voz, o escaneo de geometría de mano o rostro.
Excluidos de esta definición están las muestras de escritura, las firmas escritas, las fotografías, los datos demográficos, las descripciones de tatuajes, las descripciones físicas, los órganos y tejidos donados, la sangre y el suero almacenados para trasplantes, y las imágenes médicas e información de atención médica.
"Información biométrica" se define como cualquier información, sin importar cómo se capture, convierta, almacene o comparta, basada en el identificador biométrico de una persona utilizado para identificarla.
Derecho de Acción Privado y Daños
El proyecto de ley crearía un derecho de acción privado que permitiría a las personas demandar directamente en la Corte Suprema. Una parte ganadora podría recuperar:
- Violaciones negligentes: Daños liquidados de $1,000 o daños reales, lo que sea mayor
- Violaciones intencionales o imprudentes: Daños liquidados de $5,000 o daños reales, lo que sea mayor
- Honorarios de abogados y costos, incluidos honorarios de testigos expertos
- Medidas cautelares según lo considere apropiado el tribunal
Este derecho de acción privado es lo que distingue al proyecto de ley propuesto de la Ley SHIELD existente y convertiría a Nueva York en uno de los pocos estados que permite a las personas demandar por violaciones de privacidad biométrica.
Sección 201-a de la Ley Laboral de Nueva York: Toma de Huellas Dactilares a Empleados
La Sección 201-a de la Ley Laboral de Nueva York es anterior a las preocupaciones modernas sobre la privacidad biométrica, pero sigue siendo directamente relevante. El estatuto establece una regla sencilla: a ninguna persona, como condición para obtener o continuar su empleo, se le puede exigir que se le tomen las huellas dactilares.
Excepciones Limitadas
La prohibición aplica "salvo que la ley disponga lo contrario". Esto significa que la toma de huellas dactilares se permite únicamente cuando otra ley estatal o federal específicamente lo exige. Las excepciones comunes incluyen:
- Oficiales de aplicación de la ley
- Empleados de ciertas instituciones financieras (bajo regulaciones bancarias federales)
- Trabajadores de la salud en entornos específicos
- Trabajadores de cuidado infantil (bajo la Ley de Servicios Sociales)
- Empleados escolares (bajo la Ley de Educación)
- Guardias de seguridad (bajo la Ley General de Negocios)
Impacto Práctico para los Empleadores
Esta ley significa que la mayoría de los empleadores de Nueva York no pueden exigir sistemas de control de horario basados en huellas dactilares como condición obligatoria de empleo. Los empleadores pueden ofrecer el escaneo de huellas dactilares de manera voluntaria, y algunos han recurrido al escaneo de geometría de mano (que mide la forma y las dimensiones de la mano sin capturar una huella dactilar) como alternativa que queda fuera del alcance del estatuto.
Regulación de Ciberseguridad del NYDFS (23 NYCRR 500)
La Regulación de Ciberseguridad del Departamento de Servicios Financieros de Nueva York se aplica a bancos, compañías de seguros y otras entidades de servicios financieros con licencia en Nueva York. Bajo el 23 NYCRR 500, los registros biométricos entran dentro de la definición de "información no pública" que las entidades cubiertas deben proteger.
Requisitos Clave para Datos Biométricos
Las instituciones financieras deben mantener un programa de ciberseguridad que proteja la confidencialidad, integridad y disponibilidad de sus sistemas de información, incluidos aquellos que almacenan registros biométricos.
Desde el 1 de noviembre de 2025, las entidades cubiertas ya no pueden transmitir información no pública sin cifrar (incluidos los datos biométricos) a través de redes externas. Todos los datos biométricos en tránsito deben estar cifrados.
Las entidades reguladas por el NYDFS también deben designar a un Director de Seguridad de la Información, realizar pruebas de penetración y evaluaciones de vulnerabilidad regulares, mantener registros de auditoría e implementar controles de acceso que limiten quién puede ver los registros biométricos.
Sanciones
El NYDFS puede imponer sanciones civiles monetarias por violaciones del 23 NYCRR 500. En casos graves, el NYDFS tiene la autoridad de revocar o suspender la licencia de una empresa para operar en Nueva York.
Obligaciones del Empleador: Una Lista de Verificación Práctica
Los empleadores de Nueva York enfrentan requisitos de múltiples leyes superpuestas. Esto es lo que debe hacer según su ubicación e industria:
Todos los Empleadores de Nueva York
- Cumplir con la Ley SHIELD implementando salvaguardas administrativas, técnicas y físicas razonables para cualquier dato biométrico que posea.
- Notificar a las personas afectadas dentro de los 30 días si los datos biométricos se ven comprometidos en una violación, y reportar la violación al Fiscal General, al Departamento de Estado y a la Policía Estatal.
- No exigir la toma de huellas dactilares como condición de empleo, a menos que una ley específica lo autorice (Ley Laboral 201-a).
Empleadores de la Ciudad de Nueva York que Operan Establecimientos Comerciales
- Colocar el cartel de divulgación de identificador biométrico requerido en todas las entradas de clientes si recopila cualquier dato biométrico de los clientes.
- Nunca vender, arrendar, comerciar ni compartir los datos biométricos de los clientes a cambio de algo de valor.
Empresas de Servicios Financieros
- Cumplir con el 23 NYCRR 500 cifrando los datos biométricos en tránsito, manteniendo registros de auditoría y realizando evaluaciones de seguridad regulares.
- Designar a un Director de Seguridad de la Información responsable de supervisar las protecciones de datos biométricos.
Todos los Empleadores que Usan Control de Horario Biométrico
- Ofrecer alternativas no biométricas para los empleados que se nieguen a usar sistemas de huella dactilar o escaneo de mano.
- Desarrollar una política escrita de retención y destrucción de datos para los registros biométricos.
- No compartir datos biométricos con proveedores externos de control de horario sin un aviso claro y el consentimiento de los empleados.
Más Leyes de Nueva York
- Leyes de Grabación de Reuniones con IA de Nueva York
- Leyes de Pensión Conyugal de Nueva York
- Leyes de Empleo a Voluntad de Nueva York
- Leyes de Accidentes Automovilísticos de Nueva York
- Leyes de Sillas de Auto para Niños de Nueva York
- Leyes de Custodia de Menores de Nueva York
- Leyes de Manutención Infantil de Nueva York
- Leyes de Matrimonio de Hecho de Nueva York
- Leyes sobre Deepfakes de Nueva York
- Leyes de Divorcio de Nueva York
- Leyes sobre Mordeduras de Perro de Nueva York
- Leyes de Emancipación de Nueva York
- Leyes de Eliminación de Antecedentes Penales de Nueva York
- Leyes sobre Accidentes con Fuga de Nueva York
- Leyes de Propietarios e Inquilinos de Nueva York
- Leyes del Limón de Nueva York
Para una visión más amplia de las protecciones de privacidad de datos en Nueva York, consulte la guía principal sobre las Leyes de Privacidad de Datos de Nueva York.
Este artículo ofrece información legal general sobre las leyes de privacidad biométrica de Nueva York y está actualizado a marzo de 2026. No constituye asesoría legal. Consulte a un abogado con licencia en Nueva York para obtener orientación sobre su situación específica.
¿Afectado por una filtración de datos o una violación de privacidad biométrica?
Si sus datos personales quedaron expuestos en una filtración, o si su huella dactilar o escaneo facial se recopiló sin su consentimiento, podría ser elegible para unirse a un reclamo por compensación. Averígüelo gratis y sin compromiso.
Fuentes y referencias
- Resumen y requisitos de la Ley SHIELD(ag.ny.gov).gov
- Ley de notificación de violaciones de la Sección 899-aa de la GBL(nysenate.gov).gov
- Salvaguardas de seguridad de datos de la Sección 899-bb de la GBL(nysenate.gov).gov
- Ley Local 3 de NYC de 2021 sobre información de identificador biométrico(legistar.council.nyc.gov).gov
- Cartel de divulgación de identificador biométrico del DCWP de NYC(nyc.gov).gov
- Ley de Privacidad Biométrica de NY (S1422)(nysenate.gov).gov
- Ley de Privacidad Biométrica de NY (A6031, versión de la Asamblea)(nysenate.gov).gov
- Sección 201-a de la Ley Laboral de NY sobre prohibición de huellas dactilares a empleados(nysenate.gov).gov
- Centro de Recursos de Ciberseguridad del NYDFS(dfs.ny.gov).gov
- Texto enmendado de la regulación de ciberseguridad 23 NYCRR 500(dfs.ny.gov).gov
- Nuevas leyes y reglas del DCWP de NYC(nyc.gov).gov