Ohio
Leyes de Privacidad Biométrica de Ohio: Recopilación, Consentimiento y Sanciones (2026)

Ohio no tiene un estatuto dedicado de privacidad biométrica ni una ley integral de privacidad del consumidor que cubra los datos biométricos. La ley de notificación de violaciones (ORC Sección 1349.19) no incluye los identificadores biométricos. La Ley de Protección de Datos de Ohio (ORC Capítulo 1354) ofrece a las empresas un puerto seguro de ciberseguridad, pero no otorga a las personas ningún derecho biométrico. Solo los titulares de licencia de seguros enfrentan obligaciones biométricas explícitas bajo el ORC Capítulo 3965.
Ohio se destaca como un estado que ha adoptado un enfoque único de seguridad de datos sin abordar directamente la privacidad biométrica. Mientras muchos estados se han movido hacia leyes integrales de privacidad del consumidor o estatutos biométricos dedicados, Ohio en cambio se ha centrado en incentivar buenas prácticas de ciberseguridad a través de su ley de puerto seguro, pionera a nivel nacional.
Si busca una visión general del panorama más amplio de protección de datos de Ohio, consulte la guía principal sobre las Leyes de Privacidad de Datos de Ohio.
Ohio No Tiene una Ley Dedicada de Privacidad Biométrica
Ohio no ha promulgado un estatuto independiente de privacidad biométrica. A diferencia de Illinois, que aprobó la Ley de Privacidad de Información Biométrica (BIPA) en 2008, o Texas, que promulgó su Ley de Captura o Uso de Identificador Biométrico, Ohio no tiene ninguna ley que regule específicamente cómo las empresas privadas recolectan, almacenan, usan o destruyen identificadores biométricos como huellas dactilares, geometría facial, escaneos de iris o huellas de voz.
Esto significa que en Ohio, las empresas privadas generalmente pueden recolectar y usar datos biométricos sin obtener consentimiento escrito específico, sin proporcionar un cronograma de retención de datos biométricos, y sin ofrecer a las personas un derecho de acción privado si su información biométrica es manejada de manera indebida.
Los residentes de Ohio que interactúan con sistemas biométricos en tiendas minoristas, gimnasios, bancos o a través de aplicaciones de smartphone no tienen derechos de privacidad biométrica a nivel estatal comparables a los que disfrutan los residentes de Illinois, Texas o Washington.

Ley de Notificación de Violaciones: los Datos Biométricos No Están Cubiertos
El estatuto de notificación de violaciones de Ohio, ORC Sección 1349.19, exige que las empresas notifiquen a los residentes de Ohio cuando una violación de seguridad compromete su información personal no cifrada. La ley está vigente desde el 30 de marzo de 2007.
Sin embargo, el estatuto define la "información personal" de manera limitada. Los elementos de datos protegidos incluyen:
- Números de Seguro Social
- Números de licencia de conducir o de tarjeta de identificación estatal
- Números de cuenta, números de tarjeta de crédito o de débito con códigos de seguridad o contraseñas asociados
Los identificadores biométricos están notablemente ausentes de esta lista. Una violación que expone bases de datos de huellas dactilares, plantillas de reconocimiento facial o registros de escaneo de iris no activa las obligaciones de notificación bajo ORC 1349.19, siempre que ninguno de los identificadores tradicionales enumerados también se vea comprometido.
El Fiscal General de Ohio hace cumplir la ley de notificación de violaciones y puede iniciar acciones civiles contra las empresas que no notifiquen a las personas afectadas.
La Ley de Protección de Datos de Ohio: Un Puerto Seguro, No una Ley de Privacidad
Ohio hizo noticia a nivel nacional en 2018 cuando el gobernador John Kasich firmó el Proyecto de Ley 220 del Senado, creando la Ley de Protección de Datos de Ohio (ODPA), codificada en el ORC Capítulo 1354. Ohio fue el primer estado del país en ofrecer un puerto seguro legal para las empresas que implementan marcos de ciberseguridad reconocidos.
La ODPA no crea nuevos derechos de privacidad del consumidor. En cambio, proporciona una defensa afirmativa contra reclamos de responsabilidad civil (tort) derivados de violaciones de datos. Una empresa que crea, mantiene y cumple con un programa escrito de ciberseguridad que se ajusta razonablemente a un marco reconocido de la industria puede utilizar ese cumplimiento como defensa en los tribunales de Ohio.
Marcos de Ciberseguridad Reconocidos
Conforme al ORC Sección 1354.03, los siguientes marcos califican para la protección del puerto seguro:
Marcos de la industria:
- Marco del NIST para Mejorar la Ciberseguridad de la Infraestructura Crítica
- Publicación Especial 800-171 del NIST
- Publicaciones Especiales 800-53 y 800-53a del NIST
- Marco de Evaluación de Seguridad de FedRAMP
- Controles Críticos de Seguridad del Centro para la Seguridad de Internet (CIS)
- Familia de estándares ISO/IEC 27000
Marcos de cumplimiento regulatorio:
- Regla de Seguridad de HIPAA (45 CFR Parte 164 Subparte C)
- Título V de la Ley Gramm-Leach-Bliley
- Ley Federal de Modernización de la Seguridad de la Información (FISMA) de 2014
- Ley HITECH
El Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) también califica cuando se combina con cualquiera de los marcos de la industria mencionados anteriormente.
Cómo se Aplica el Puerto Seguro a los Datos Biométricos
La ODPA protege tanto la "información personal" (según se define en ORC 1349.19) como la "información restringida", que cubre datos que, por sí solos o en combinación con otra información, pueden distinguir o rastrear la identidad de una persona.
Los datos biométricos podrían potencialmente quedar comprendidos dentro de la categoría de "información restringida". Una empresa que recolecta datos biométricos y mantiene un programa de ciberseguridad conforme a los estándares NIST o ISO 27000 estaría mejor posicionada para defenderse contra reclamos de responsabilidad civil si esos datos biométricos sufrieran una violación.
Sin embargo, este es un mecanismo de defensa, no un estatuto que otorgue derechos. La ODPA no exige consentimiento para la recolección de datos biométricos, no establece cronogramas de retención, ni otorga a las personas el derecho de solicitar la eliminación de su información biométrica.

Ley de Seguridad de Datos de Seguros: la Excepción para los Registros Biométricos
El único estatuto de Ohio que menciona explícitamente los datos biométricos es la Ley de Seguridad de Datos de Seguros, ORC Capítulo 3965.
Conforme al ORC Sección 3965.01, la definición de "información no pública" incluye los datos de una persona cuando se combinan con "registros biométricos". Los titulares de licencia de seguros deben implementar programas de ciberseguridad que protejan esta información no pública, incluidos los registros biométricos.
La ley también reconoce las características biométricas como una forma válida de autenticación multifactor. Conforme al ORC 3965.02, los titulares de licencia deben considerar la implementación de autenticación multifactor que puede incluir "factores de inherencia, como una característica biométrica".
Los titulares de licencia de seguros deben notificar al Superintendente de Seguros de Ohio dentro de los tres días hábiles posteriores a determinar que ha ocurrido un evento de ciberseguridad que involucra información no pública, incluidos los registros biométricos.
Esta ley se aplica únicamente a las entidades con licencia bajo las regulaciones de seguros de Ohio. No extiende las protecciones biométricas al público en general ni a industrias fuera del sector de seguros.
Uso de Datos Biométricos por Parte de Empleadores en Ohio
Ohio no regula la recolección o el uso de datos biométricos por parte de empleadores en el lugar de trabajo. No existe ninguna ley estatal que exija a los empleadores:
- Proporcionar aviso por escrito antes de recolectar huellas dactilares, escaneos faciales u otros identificadores biométricos
- Obtener el consentimiento del empleado antes de inscribirlo en sistemas biométricos de control de asistencia o control de acceso
- Publicar un cronograma de retención y destrucción de datos biométricos
- Limitar el intercambio o la venta de datos biométricos de empleados a terceros
Los empleadores de Ohio comúnmente utilizan escáneres de huellas dactilares para el seguimiento de tiempo y asistencia, reconocimiento facial para el acceso a edificios, y lectores de venas de la palma para el ingreso seguro a instalaciones. Ninguna de estas prácticas está específicamente regulada por la ley estatal de Ohio.
Los empleados que crean que sus datos biométricos han sido usados indebidamente pueden explorar reclamos bajo la ley general de responsabilidad civil de Ohio, como la invasión de la privacidad o la negligencia, pero estos reclamos requieren cumplir con los elementos tradicionales de responsabilidad civil y no conllevan los daños estatutarios disponibles bajo leyes como la BIPA de Illinois.
Leyes federales como HIPAA (para entornos de atención médica) o la Ley de Estadounidenses con Discapacidades (que restringe ciertos exámenes médicos) pueden aplicarse en contextos laborales específicos, pero estas no son protecciones de privacidad biométrica específicas de Ohio.
Verificación de Edad y Estimación Facial Biométrica
El Proyecto de Ley 96 de la Cámara de Ohio (House Bill 96), promulgado el 30 de junio de 2025 y vigente desde el 30 de septiembre de 2025, exige que los sitios web que publican material perjudicial para menores verifiquen que los visitantes tengan al menos 18 años.
La ley permite el "software de verificación visual de edad" como uno de los métodos aprobados de verificación de edad. Esto se refiere a la tecnología de estimación biométrica facial de edad, que analiza los rasgos faciales para aproximar la edad de una persona.
El HB 96 incluye un requisito notable de minimización de datos: cualquier dato recolectado durante la verificación de edad debe eliminarse inmediatamente después de completar la verificación, a menos que el dato sea necesario para fines de suscripción de cuenta o facturación. Esto representa una de las pocas instancias en las que la ley de Ohio aborda directamente el manejo de datos relacionados con lo biométrico.

Intentos Fallidos de Legislación Integral de Privacidad
Ohio ha considerado legislación integral de privacidad del consumidor en múltiples ocasiones, y cada intento se ha estancado:
HB 376 (134.ª Asamblea General, 2021-2022). La primera versión de la Ley de Privacidad Personal de Ohio se presentó en julio de 2021. No avanzó fuera del comité.
HB 345 (135.ª Asamblea General, 2023-2024). Una versión revisada de la Ley de Privacidad Personal de Ohio se presentó en noviembre de 2023. Este proyecto se habría aplicado a las empresas con ingresos de Ohio de $25 millones o más, o a aquellas que procesaban datos personales de 100,000 o más consumidores de Ohio. El proyecto fue remitido al Comité de Supervisión Gubernamental, donde murió sin una votación.
136.ª Asamblea General (2025-2026). A marzo de 2026, no se ha presentado ningún proyecto integral de privacidad de datos del consumidor en la sesión legislativa actual. El número HB 345 en la 136.ª Asamblea General fue asignado a un proyecto de ley no relacionado sobre sanciones por voyerismo.
Si alguno de estos proyectos hubiera sido aprobado, probablemente habrían clasificado los datos biométricos como datos personales sensibles que requieren consentimiento previo (opt-in), similar al enfoque adoptado por Virginia, Colorado y Connecticut.
Cómo se Compara Ohio con Otros Estados
La falta de protecciones de privacidad biométrica de Ohio lo coloca en la minoría entre los estados con sectores tecnológicos importantes y grandes poblaciones.
Estados con estatutos dedicados de privacidad biométrica. Illinois, Texas y Washington tienen leyes independientes de privacidad biométrica con requisitos específicos de consentimiento, aviso y manejo de datos.
Estados con leyes integrales de privacidad que cubren datos biométricos. Más de 20 estados ahora tienen leyes integrales de privacidad del consumidor que clasifican los datos biométricos como datos sensibles. Estos incluyen California, Virginia, Colorado, Connecticut y Kentucky, entre otros.
Estados en una posición similar a Ohio. Un número cada vez menor de estados aún carece tanto de un estatuto dedicado de privacidad biométrica como de una ley integral de privacidad del consumidor. Ohio es inusual porque tiene una ley innovadora de puerto seguro de ciberseguridad, pero no ha traducido eso en protecciones directas de privacidad del consumidor para los datos biométricos.
El puerto seguro de la Ley de Protección de Datos de Ohio sigue siendo una característica distintiva. Ningún otro estado ofrece el mismo tipo de defensa afirmativa para las empresas que siguen marcos de ciberseguridad reconocidos. Este enfoque fomenta la inversión en seguridad de datos, pero no otorga a las personas control sobre su información biométrica.
Más Leyes de Ohio
- Leyes de Grabación de Reuniones con IA de Ohio
- Leyes de Pensión Conyugal de Ohio
- Leyes de Empleo a Voluntad de Ohio
- Leyes de Accidentes Automovilísticos de Ohio
- Leyes de Sillas de Auto para Niños de Ohio
- Leyes de Custodia de Menores de Ohio
- Leyes de Manutención Infantil de Ohio
- Leyes de Matrimonio de Hecho de Ohio
- Leyes sobre Deepfakes de Ohio
- Leyes de Divorcio de Ohio
- Leyes sobre Mordeduras de Perro de Ohio
- Leyes de Emancipación de Ohio
- Leyes de Eliminación de Antecedentes Penales de Ohio
- Leyes sobre Accidentes con Fuga de Ohio
- Leyes de Propietarios e Inquilinos de Ohio
- Leyes del Limón de Ohio
Fuentes y Referencias
Este artículo hace referencia a los estatutos de Ohio y a publicaciones oficiales del gobierno estatal. Para el texto completo de la ley de notificación de violaciones de Ohio, visite ORC Sección 1349.19 en el sitio web de la Legislatura de Ohio. Para la Ley de Protección de Datos de Ohio, consulte el ORC Capítulo 1354. Para la Ley de Seguridad de Datos de Seguros, consulte el ORC Capítulo 3965. Para obtener información sobre el puerto seguro de ciberseguridad de Ohio, revise el resumen del Proyecto de Ley 220 del Senado de la Legislatura de Ohio.
Este artículo ofrece información legal general sobre las leyes de privacidad biométrica y protección de datos de Ohio. No constituye asesoría legal. Consulte a un abogado calificado para obtener orientación sobre su situación específica. Las leyes y regulaciones cambian con frecuencia. Verifique los requisitos actuales a través de fuentes oficiales del gobierno de Ohio.
¿Afectado por una filtración de datos o una violación de privacidad biométrica?
Si sus datos personales quedaron expuestos en una filtración, o si su huella dactilar o escaneo facial se recopiló sin su consentimiento, podría ser elegible para unirse a un reclamo por compensación. Averígüelo gratis y sin compromiso.
Fuentes y referencias
- Estatuto de notificación de violaciones de Ohio(codes.ohio.gov).gov
- Ley de Protección de Datos de Ohio (Capítulo 1354)(codes.ohio.gov).gov
- Requisitos del puerto seguro de la Ley de Protección de Datos de Ohio(codes.ohio.gov).gov
- Marcos reconocidos de la Ley de Protección de Datos de Ohio(codes.ohio.gov).gov
- Definiciones de la Ley de Protección de Datos de Ohio(codes.ohio.gov).gov
- Ley de Seguridad de Datos de Seguros de Ohio(codes.ohio.gov).gov
- Proyecto de Ley 220 del Senado - Ley de Protección de Datos de Ohio(legislature.ohio.gov).gov
- Ley de verificación de edad HB 96 de Ohio(legislature.ohio.gov).gov
- HB 345 de Ohio, Ley de Privacidad Personal (135.ª Asamblea General)(legislature.ohio.gov).gov
- Fiscal General de Ohio(ohioattorneygeneral.gov).gov