Oklahoma
Leyes de Privacidad Biométrica de Oklahoma: Recopilación, Consentimiento y Sanciones (2026)

Oklahoma no cuenta con una ley de privacidad biométrica independiente. El estado protege los datos biométricos mediante su Ley de Notificación de Violación de Seguridad, modificada por la SB 626 vigente desde el 1 de enero de 2026, y la Ley de Privacidad de Datos del Consumidor de Oklahoma, vigente desde el 1 de enero de 2027. Ninguna de las dos leyes proporciona un derecho de acción privado.
Oklahoma no cuenta con una ley de privacidad biométrica dedicada. A diferencia de Illinois o Texas, no existe un único estatuto que rija cómo las empresas privadas recopilan, almacenan o usan huellas dactilares, escaneos faciales u otros identificadores biométricos.
Lo que Oklahoma sí tiene es un mosaico de protecciones que se ha ampliado significativamente desde 2025. La Ley de Notificación de Violación de Seguridad revisada ahora trata los datos biométricos como información personal protegida. Una nueva ley integral de privacidad clasifica los datos biométricos como sensibles. Y un estándar gubernamental estatal ya existente restringe cómo las agencias manejan los identificadores biométricos.
Para las empresas y los residentes, comprender cómo encajan estas piezas es esencial. Esto es lo que exige la ley de Oklahoma a partir de 2026.

La Ley de Notificación de Violación de Seguridad y la SB 626
La principal protección de datos biométricos de Oklahoma proviene de la Ley de Notificación de Violación de Seguridad, codificada en el 24 O.S. Secciones 161 a 166. Antes de que la SB 626 entrara en vigor el 1 de enero de 2026, la ley solo cubría números de Seguro Social, números de licencia de conducir y números de cuentas financieras en combinación con el nombre de una persona.
La SB 626 reescribió la definición de "información personal" conforme al 24 O.S. Sección 162 para incluir "datos biométricos únicos, como una huella dactilar, una imagen de retina o iris, u otra representación física o digital única de datos biométricos para autenticar a una persona específica".
La definición ampliada también añadió identificadores electrónicos o códigos de enrutamiento que permiten el acceso a cuentas financieras, información médica e información de seguro médico. Esto acercó la ley de notificación de violaciones de Oklahoma a los estándares establecidos por estados con marcos de protección de datos más integrales.
Qué Activa una Obligación de Notificación
Conforme a la ley revisada, una entidad que sea propietaria o tenga licencia de datos informatizados que contengan información personal debe notificar a cualquier residente de Oklahoma cuyos datos biométricos no encriptados y no redactados hayan sido accedidos o adquiridos por una persona no autorizada, si la violación causa o razonablemente se cree que causará robo de identidad o fraude.
La notificación debe hacerse sin demora injustificada. Las entidades pueden retrasar la notificación únicamente para determinar el alcance de la violación y restaurar la integridad del sistema, o cuando las fuerzas del orden soliciten un retraso durante una investigación activa.
Requisitos de Notificación al Fiscal General
Cuando una violación afecta a 500 o más residentes de Oklahoma, la entidad también debe notificar al Fiscal General de Oklahoma dentro de 60 días después de proporcionar el aviso a las personas afectadas. Cuando una violación de un sistema de una agencia de informes crediticios afecta a 1,000 o más residentes, también se requiere la notificación a dicha agencia.
El aviso al Fiscal General debe incluir la fecha de la violación, la fecha en que la entidad determinó que ocurrió la violación, la naturaleza de la violación, los tipos de información personal comprometida, el número de residentes de Oklahoma afectados, el impacto monetario estimado si puede determinarse, y una descripción de las salvaguardas razonables que la entidad tenía vigentes.
Sanciones y Aplicación
Solo el Fiscal General o un fiscal de distrito pueden iniciar una acción de aplicación conforme a la Ley. No existe un derecho de acción privado; las personas no pueden demandar por infracciones a la notificación de violaciones.
Las sanciones civiles están limitadas a $150,000 por violación para las entidades que violaron la Ley. Si una entidad no mantuvo salvaguardas razonables pero sí proporcionó un aviso oportuno, el límite de la sanción se reduce a $75,000 por violación más los daños reales.
La Defensa Afirmativa de Salvaguardas Razonables
La SB 626 introdujo lo que puede ser su disposición más importante para las empresas: la defensa afirmativa de "salvaguardas razonables". Una entidad que puede demostrar que implementó salvaguardas razonables antes de que ocurriera la violación, y que cumplió con todos los plazos de notificación establecidos por ley, puede evitar por completo las sanciones civiles.
El estatuto define las "salvaguardas razonables" como políticas y prácticas que garantizan que la información personal esté segura, considerando el tamaño de la entidad y el tipo y la cantidad de información personal que posee. Los ejemplos incluyen la realización de evaluaciones de riesgo, el mantenimiento de defensas técnicas y físicas por capas, la capacitación de empleados en seguridad de datos y contar con un plan de respuesta a incidentes.
Puerto Seguro para Entidades Reguladas
Las entidades ya sujetas a los requisitos de notificación de violaciones conforme a la Ley Gramm-Leach-Bliley (GLBA), la Ley de Protección de Ciberseguridad de Hospitales de Oklahoma o la HIPAA se consideran en cumplimiento de las disposiciones de notificación individual. Estas entidades aún deben proporcionar el aviso requerido al Fiscal General.

La Ley de Privacidad de Datos del Consumidor de Oklahoma (SB 546)
El 20 de marzo de 2026, el gobernador Kevin Stitt firmó la SB 546, creando la Ley de Privacidad de Datos del Consumidor de Oklahoma (OCDPA). La ley entra en vigor el 1 de enero de 2027, y añade una segunda capa de protección biométrica.
La OCDPA clasifica los datos biométricos como datos personales sensibles. Conforme a la Ley, "datos sensibles" incluye "datos genéticos o biométricos que se procesan con el fin de identificar de manera única a una persona". La ley especifica que los datos biométricos no incluyen fotografías, grabaciones de video o audio, ni datos generados a partir de esas grabaciones, a menos que dichos datos se generen específicamente para identificar a una persona en particular.
Requisitos de Consentimiento
Los responsables del tratamiento deben obtener el consentimiento afirmativo antes de procesar datos biométricos. La OCDPA define el consentimiento válido como "una declaración escrita por medios electrónicos, o cualquier otra acción afirmativa e inequívoca". El consentimiento no puede obtenerse mediante la aceptación general de términos de servicio ni mediante patrones oscuros (dark patterns).
Este es un estándar más alto que el de la ley de notificación de violaciones, que no aborda el consentimiento en absoluto. A partir de 2027, cualquier empresa que recopile datos biométricos de consumidores de Oklahoma necesitará el consentimiento afirmativo, no solo el deber de reportar violaciones.
Derechos del Consumidor
Los residentes de Oklahoma obtienen el derecho a acceder, corregir y eliminar sus datos biométricos, obtener una copia de ellos, y excluirse de la publicidad dirigida o la elaboración de perfiles basada en esos datos. Los responsables del tratamiento deben responder dentro de 45 días, con una extensión permitida de 45 días adicionales. Los consumidores pueden apelar las solicitudes denegadas.
Aplicabilidad y Aplicación
La OCDPA se aplica a las entidades que realizan negocios en Oklahoma o se dirigen a residentes de Oklahoma y que controlan o procesan datos personales de al menos 100,000 consumidores de Oklahoma, o al menos 25,000 consumidores cuando más del 50% de los ingresos brutos provienen de la venta de datos personales.
El Fiscal General tiene autoridad exclusiva de aplicación. Las sanciones alcanzan hasta $7,500 por infracción después de un período obligatorio de subsanación de 30 días.
Estándares Biométricos de las Agencias Estatales de Oklahoma
Las agencias estatales de Oklahoma operan conforme a un Estándar de Seguridad de Datos Biométricos separado, publicado por la Oficina de Servicios de Gestión y Empresariales (OMES), conforme al 51 O.S. Secciones 151-172.
El estándar exige que las agencias estatales no recopilen datos biométricos sin el consentimiento previo de la persona. Ese consentimiento debe informar a la persona sobre por qué se recopila la información biométrica y proporcionar detalles sobre las prácticas de recopilación, almacenamiento y uso.
Las agencias tienen prohibido vender, arrendar, comerciar o de otro modo obtener ganancias de los datos biométricos de una persona. Tampoco pueden divulgar o difundir los identificadores biométricos, a menos que la ley lo exija. Todos los datos biométricos deben estar encriptados en reposo y en tránsito, cumpliendo con los estándares NIST FIPS 140-2.
La Disposición de Datos Biométricos de la REAL ID
Oklahoma tiene una de las posturas más firmes del país sobre los datos biométricos en el contexto de la identificación gubernamental. Conforme al 47 O.S. Sección 6-110.3, promulgado en 2007, el estado prohíbe compartir los datos biométricos recopilados durante el proceso de licencia de conducir con el gobierno federal, excepto según lo estrictamente exigido por la Ley REAL ID de 2005.
Este estatuto contiene su propia definición amplia de datos biométricos: datos de voz, datos de reconocimiento de iris, escaneos de retina, huellas dactilares y de palma, características conductuales de las firmas manuscritas, dinámica de pulsaciones de teclas, geometría de la mano, y ADN/ARN. Cualquier dato biométrico recopilado previamente con fines de vehículos motorizados debe recuperarse y eliminarse de todas las bases de datos estatales.
A principios de 2026, los legisladores de Oklahoma presentaron una demanda para bloquear la transferencia de datos de identificación personal a una base de datos nacional de REAL ID, continuando la resistencia del estado a la recopilación federal de datos biométricos.
Cómo se Compara con Otros Estados
Las protecciones biométricas de Oklahoma se ubican en un nivel medio a nivel nacional. El estado carece de una ley de privacidad biométrica independiente con derecho de acción privado como la BIPA de Illinois o un estatuto biométrico aplicado por el Fiscal General como la CUBI de Texas.
| Característica | Oklahoma | Illinois (BIPA) | Texas (CUBI) |
|---|---|---|---|
| Ley biométrica independiente | No | Sí | Sí |
| Derecho de acción privado | No | Sí | No |
| Consentimiento requerido para la recopilación | Sí (OCDPA, 2027) | Sí (autorización escrita) | Sí (consentimiento informado) |
| Notificación de violación para datos biométricos | Sí (desde enero de 2026) | Sí | Sí |
| Sanción máxima por incidente | $150,000/violación | $5,000/infracción | $25,000/infracción |
| Ley integral de privacidad | Sí (OCDPA, 2027) | No | Sí (TDPSA) |
Las enmiendas de la SB 626 y la próxima OCDPA mueven a Oklahoma de un estado con casi ninguna protección biométrica a uno con salvaguardas significativas, si no líderes.

Lo que Deben Saber los Empleadores y las Empresas
Las empresas de Oklahoma que recopilan datos biométricos, ya sea para el control de tiempo de los empleados, el acceso a edificios, la verificación de clientes o cualquier otro propósito, enfrentan un panorama de cumplimiento cambiante.
En este momento (2026): La ley de notificación de violaciones exige salvaguardas razonables para los datos biométricos y una notificación oportuna si ocurre una violación. No existe un requisito de consentimiento conforme a la ley estatal para la recopilación biométrica del sector privado, pero el estándar de la OMES se aplica a los contratistas de agencias estatales que manejan datos biométricos en nombre del gobierno.
A partir del 1 de enero de 2027: La OCDPA exigirá el consentimiento afirmativo antes de procesar datos biométricos para las empresas que cumplan con los umbrales de aplicabilidad. Las empresas deben comenzar a construir mecanismos de consentimiento y procesos de inventario de datos ahora.
Los pasos prácticos incluyen documentar qué datos biométricos se recopilan y por qué, implementar controles de encriptación y acceso que cumplan con los estándares de salvaguardas razonables, establecer un plan de respuesta a violaciones que cumpla con el plazo de notificación de 60 días al Fiscal General, y preparar flujos de trabajo de consentimiento para la fecha de vigencia de la OCDPA en enero de 2027.
Más Leyes de Oklahoma
- Leyes de Grabación de Reuniones con IA de Oklahoma
- Leyes de Pensión Alimenticia de Oklahoma
- Leyes de Empleo a Voluntad de Oklahoma
- Leyes de Accidentes de Auto de Oklahoma
- Leyes de Asientos de Seguridad para Niños de Oklahoma
- Leyes de Custodia de los Hijos de Oklahoma
- Leyes de Manutención de los Hijos de Oklahoma
- Leyes de Matrimonio de Hecho de Oklahoma
- Leyes de Deepfake de Oklahoma
- Leyes de Divorcio de Oklahoma
- Leyes de Mordedura de Perro de Oklahoma
- Leyes de Emancipación de Oklahoma
- Leyes de Eliminación de Antecedentes de Oklahoma
- Leyes de Atropello y Fuga de Oklahoma
- Leyes de Propietarios e Inquilinos de Oklahoma
- Leyes Limón de Oklahoma
Este artículo proporciona información legal general sobre las leyes de privacidad biométrica de Oklahoma. No constituye asesoría legal. Si necesita orientación sobre la recopilación, el almacenamiento o las obligaciones de cumplimiento de datos biométricos en Oklahoma, consulte a un abogado calificado con licencia en el estado.
Relacionado: Leyes de Privacidad de Datos de Oklahoma | Leyes de Notificación de Violación de Datos de Oklahoma | Leyes de Privacidad de Datos por Estado
¿Afectado por una filtración de datos o una violación de privacidad biométrica?
Si sus datos personales quedaron expuestos en una filtración, o si su huella dactilar o escaneo facial se recopiló sin su consentimiento, podría ser elegible para unirse a un reclamo por compensación. Averígüelo gratis y sin compromiso.
Fuentes y referencias
- SB 626 Inscrito (Enmiendas a la Ley de Notificación de Violación de Seguridad)(oklegislature.gov).gov
- Información del Proyecto de Ley SB 626(oklegislature.gov).gov
- Información del Proyecto de Ley SB 546 (Ley de Privacidad de Datos del Consumidor de Oklahoma)(oklegislature.gov).gov
- 47 O.S. 6-110.3 (Prohibición de Datos Biométricos de la REAL ID)(oscn.net).gov
- Estándar de Seguridad de Datos Biométricos de la OMES(oklahoma.gov).gov
- Fiscal General de Oklahoma - Protección al Consumidor(oag.ok.gov).gov
- Legisladores de Oklahoma Buscan Orden Judicial de Emergencia sobre la Transferencia de Datos Personales(oksenate.gov).gov
- NIST FIPS 140-2 Requisitos de Seguridad para Módulos Criptográficos(csrc.nist.gov).gov
- Política, Estándares y Publicaciones de la OMES(oklahoma.gov).gov