Oregon
Leyes de Privacidad Biométrica de Oregón: Recopilación, Consentimiento y Sanciones (2026)

Oregón protege los datos biométricos al clasificarlos como datos personales sensibles bajo la Ley de Privacidad del Consumidor de Oregón (ORS 646A.570), vigente desde el 1 de julio de 2024. La ley exige que las empresas obtengan consentimiento previo (opt-in) antes de recolectar huellas dactilares, huellas de voz, patrones de retina, patrones de iris o datos de marcha de los residentes de Oregón.
Oregón adopta un enfoque de múltiples capas para la privacidad biométrica que lo distingue de la mayoría de los estados. En lugar de depender de una sola ley, el estado combina protecciones integrales de privacidad del consumidor bajo la OCPA con una de las prohibiciones municipales de reconocimiento facial más sólidas del país a través del Código Municipal de Portland.
La OCPA es notable por su definición de datos biométricos más amplia de lo habitual y un derecho único del consumidor que ninguna otra ley de privacidad estatal ofrece: la capacidad de exigir una lista de los terceros específicos que recibieron sus datos personales. Combinado con la prohibición absoluta de Portland sobre el reconocimiento facial del sector privado en espacios públicos, Oregón ofrece a sus residentes algunas de las protecciones biométricas más sólidas disponibles fuera de la BIPA de Illinois.
Para obtener una visión general del marco de privacidad más amplio de Oregón, consulte la guía principal sobre las Leyes de Privacidad de Datos de Oregón.
Cómo Define Oregón los Datos Biométricos
La OCPA define los datos biométricos como datos personales generados por mediciones automáticas de las características biológicas de un consumidor. El estatuto enumera específicamente estos identificadores bajo ORS 646A.570:
- Huellas dactilares
- Huellas de voz
- Patrones de retina
- Patrones de iris
- Marcha (gait)
- Otras características biológicas únicas que permiten o confirman la identificación única del consumidor
Esta definición es más amplia que la que utilizan muchos otros estados. La inclusión de la marcha como identificador biométrico nombrado es poco común. La mayoría de las leyes de privacidad estatales limitan sus listas a huellas dactilares, huellas de voz y escaneos oculares.
Oregón también traza una línea clara sobre qué no es un dato biométrico. Los datos generados a partir de una fotografía, grabación de audio o grabación de video no califican, a menos que esos datos se hayan generado o utilizado específicamente para identificar a un consumidor en particular. El mapeo facial y la geometría facial están igualmente excluidos, a menos que se utilicen para identificar a una persona específica.
Estas excepciones significan que una empresa que capta imágenes de cámaras de seguridad en Oregón no está automáticamente manejando datos biométricos. Sin embargo, en el momento en que esas imágenes se introducen en un sistema que extrae la geometría facial para identificar a personas específicas, cruzan hacia territorio regulado.
Los Datos Biométricos como Datos Sensibles bajo la OCPA
La OCPA coloca los datos biométricos en su categoría de protección más alta: datos sensibles. Esta clasificación activa varios requisitos adicionales que no se aplican a los datos personales ordinarios.
Otras categorías de datos sensibles bajo la OCPA incluyen:
- Datos que revelan el origen racial o étnico
- Creencias religiosas
- Condiciones o diagnósticos de salud mental o física
- Orientación sexual
- Condición de persona transgénero o no binaria
- Condición de víctima de un delito
- Ciudadanía o estatus migratorio
- Datos genéticos
- Datos de geolocalización precisa
- Datos personales de un menor conocido de menos de 13 años
La lista de datos sensibles de Oregón es más amplia que la de la mayoría de los estados. Es una de las pocas leyes de privacidad estatales que incluye la condición de persona transgénero o no binaria y la condición de víctima de un delito junto con los datos biométricos y genéticos.

Requisito de Consentimiento Previo (Opt-In)
Antes de procesar cualquier dato sensible, incluidos los identificadores biométricos, una empresa debe obtener el consentimiento afirmativo previo (opt-in) del consumidor. Este requisito se aplica bajo ORS 646A.572.
El consentimiento debe otorgarse libremente y ser específico, informado e inequívoco. Una casilla premarcada oculta en un extenso acuerdo de términos de servicio no cumple con este estándar. La OCPA prohíbe específicamente el uso de patrones oscuros (dark patterns) para ocultar o manipular las solicitudes de consentimiento.
Esto significa que si un gimnasio en Portland desea utilizar escáneres de huellas dactilares para el registro de miembros, debe explicar claramente qué datos biométricos recolecta, cómo usará y almacenará esos datos, y obtener el acuerdo afirmativo de cada miembro antes del primer escaneo.

Evaluaciones de Protección de Datos
Las empresas que procesan datos biométricos deben realizar evaluaciones de protección de datos antes de comenzar ese procesamiento. Estas evaluaciones deben ponderar los beneficios de la actividad de procesamiento frente a los riesgos potenciales para los consumidores, incluidos los riesgos de:
- Trato desleal o engañoso
- Impacto dispar ilícito
- Daño financiero, físico o reputacional
- Intrusión en la soledad o el retiro personal
El Fiscal General de Oregón puede solicitar estas evaluaciones durante las investigaciones. Esto le da al Fiscal General una herramienta para examinar si una empresa realmente consideró los riesgos de privacidad antes de recolectar identificadores biométricos.
El Derecho Único de Oregón a la Divulgación de Terceros
La OCPA incluye un derecho del consumidor que ninguna otra ley de privacidad estatal proporciona actualmente. Bajo ORS 646A.574, los consumidores de Oregón pueden solicitar una lista de los terceros específicos a los que un controlador ha divulgado sus datos personales.
Otras leyes de privacidad estatales, incluidas las de California, Colorado y Connecticut, solo exigen que las empresas divulguen categorías de destinatarios de terceros. Oregón va más allá al exigir los nombres reales de las empresas.
Los controladores pueden responder de una de dos maneras:
- Proporcionar los nombres de los terceros específicos que recibieron los datos personales de ese consumidor en particular, o
- Proporcionar los nombres de todos los terceros a los que ha divulgado los datos personales de cualquier consumidor
El Departamento de Justicia de Oregón ha explicado que este derecho permite a los consumidores "rastrear sus datos aguas abajo". Para los datos biométricos, esto es especialmente significativo. Si usted proporcionó su escaneo de huella dactilar a una empresa y desea saber exactamente qué otras empresas lo recibieron, la ley de Oregón le otorga el derecho a exigir esos nombres específicos.
Derechos Adicionales del Consumidor
Más allá del derecho único de divulgación de terceros, los consumidores de Oregón tienen un conjunto completo de derechos de datos que se aplican a los datos biométricos bajo la OCPA:
Derecho a confirmar y acceder. Puede preguntar a cualquier empresa cubierta si está procesando sus datos biométricos y solicitar acceso a esos datos.
Derecho a corregir. Puede solicitar la corrección de datos biométricos inexactos que mantenga una empresa.
Derecho a eliminar. Puede solicitar la eliminación de los datos biométricos que una empresa mantenga sobre usted.
Derecho a la portabilidad de datos. Puede obtener una copia de sus datos en un formato portátil y fácilmente utilizable.
Derecho a excluirse (opt out). Puede excluirse del procesamiento de datos personales para publicidad dirigida, la venta de datos personales, o la elaboración de perfiles que produzcan efectos legales o similarmente significativos.
Derecho a la no discriminación. Las empresas no pueden penalizarlo por ejercer cualquiera de estos derechos.
Las empresas deben responder a las solicitudes de derechos del consumidor dentro de 45 días, con la opción de extender el plazo 45 días adicionales cuando sea razonablemente necesario.
Mecanismo Universal de Exclusión
A partir del 1 de enero de 2026, la OCPA exige que las empresas respeten las señales universales de exclusión. Los consumidores de Oregón pueden instalar una extensión de navegador o habilitar una configuración del dispositivo que envíe automáticamente una señal de "no vender mis datos" a cada sitio web que visitan.
El Departamento de Justicia de Oregón ha promovido activamente esta herramienta, calificándola como una forma de evitar que las empresas vendan o compartan datos personales sin exigir a los consumidores excluirse sitio web por sitio web.
La Prohibición de Reconocimiento Facial de Portland
Portland se destaca a nivel nacional por tener dos ordenanzas separadas que prohíben la tecnología de reconocimiento facial. La ciudad aprobó ambas por unanimidad en septiembre de 2020, convirtiendo a Portland en una de las primeras grandes ciudades de los EE. UU. en prohibir el uso de reconocimiento facial tanto por agencias gubernamentales como por empresas privadas.
La Prohibición del Sector Privado (Capítulo 34.10)
El Código Municipal de Portland Capítulo 34.10 prohíbe a las entidades privadas usar tecnologías de reconocimiento facial en lugares de alojamiento público dentro de los límites de la ciudad. Esta prohibición entró en vigor el 1 de enero de 2021.
La tecnología de reconocimiento facial se define como procesos automatizados o semiautomatizados que utilizan el reconocimiento facial para ayudar a identificar, verificar, detectar o caracterizar los rasgos faciales de una persona.
Los lugares de alojamiento público incluyen cualquier ubicación que ofrezca alojamientos, ventajas, instalaciones o privilegios al público. Esto cubre:
- Restaurantes, bares y establecimientos de servicio de alimentos
- Tiendas minoristas y centros comerciales
- Hoteles y alojamientos
- Lugares de entretenimiento
- Instalaciones recreativas
- Servicios de transporte
Los clubes privados, las organizaciones religiosas y las residencias privadas están excluidos.
La Prohibición Gubernamental
Una ordenanza separada prohíbe a todas las oficinas y dependencias de la Ciudad de Portland adquirir o usar tecnologías de reconocimiento facial. Esta prohibición entró en vigor inmediatamente al momento de su aprobación en septiembre de 2020.
La ciudad citó las disparidades de precisión documentadas en los sistemas de reconocimiento facial, que muestran tasas de error más altas para las mujeres y las personas de color, como una razón principal para ambas prohibiciones.
Exenciones
La prohibición del sector privado de Portland incluye tres excepciones limitadas bajo la Sección 34.10.040:
- Cumplimiento legal. Una entidad privada puede usar el reconocimiento facial en la medida necesaria para cumplir con las leyes federales, estatales o locales.
- Acceso a dispositivos personales. Las personas pueden usar el reconocimiento facial para desbloquear sus propios dispositivos personales o proporcionados por el empleador.
- Autodetección en redes sociales. Las funciones automáticas de detección facial en las aplicaciones de redes sociales están permitidas.
Sanciones y Derecho de Acción Privado
A diferencia de la OCPA, que solo permite la aplicación por el Fiscal General, la prohibición de reconocimiento facial de Portland incluye un derecho de acción privado. Cualquier persona perjudicada por una violación material puede demandar a la entidad privada por:
- Los daños reales sufridos, o
- $1,000 por día por cada día de violación, lo que sea mayor
Los tribunales también pueden otorgar honorarios razonables de abogados a un demandante que prevalezca, si el demandante hizo una exigencia por escrito al menos 30 días antes de presentar la demanda.

Este mecanismo de aplicación privada hace que la prohibición de Portland sea significativamente más poderosa que muchas otras restricciones de reconocimiento facial en todo el país.
La Ley de Notificación de Violaciones de Oregón y los Datos Biométricos
Separado de la OCPA, la Ley de Protección de Información del Consumidor de Oregón (OCIPA), en ORS 646A.600 a 646A.628, exige que las empresas notifiquen a las personas afectadas cuando una violación de seguridad compromete su información personal.
La definición de información personal de Oregón para fines de notificación de violaciones incluye explícitamente los datos biométricos provenientes de mediciones automáticas de las características físicas de un consumidor, como una imagen de una huella dactilar, retina o iris.
Requisitos clave de notificación de violaciones:
- Plazo de notificación de 45 días. Las entidades deben notificar a los consumidores afectados de Oregón dentro de los 45 días posteriores a descubrir la violación.
- Reporte al Fiscal General para violaciones grandes. Si una violación afecta a 250 o más consumidores de Oregón, la entidad también debe reportar al Departamento de Justicia de Oregón dentro del mismo plazo de 45 días.
- No siempre se requiere el nombre. Una combinación de datos biométricos con otros identificadores personales (incluso sin el nombre de un consumidor) puede activar el requisito de notificación.
La OCIPA se promulgó por primera vez en 2007 y se actualizó en 2019 para fortalecer sus protecciones.
Quién Debe Cumplir con la OCPA
La OCPA se aplica a las entidades que realizan negocios en Oregón o producen productos o servicios dirigidos a residentes de Oregón y que cumplen con uno de estos umbrales:
- Controlan o procesan datos personales de 100,000 o más consumidores de Oregón durante un año calendario, o
- Controlan o procesan datos personales de 25,000 o más consumidores de Oregón y obtienen el 25% o más de sus ingresos brutos anuales de la venta de datos personales
La OCPA se aplica a las organizaciones sin fines de lucro a partir del 1 de julio de 2025, lo que convierte a Oregón en uno de los pocos estados cuya ley integral de privacidad cubre a las organizaciones sin fines de lucro.
Exención Laboral
La OCPA exime los datos mantenidos con fines de registros de empleo. Las personas que actúan como empleados, solicitantes de empleo o contratistas independientes de un controlador no se consideran "consumidores" bajo la ley cuando sus datos se procesan en el contexto de esa función.
Esto significa que si su empleador en Oregón recolecta huellas dactilares para un sistema de control de asistencia o usa escáneres biométricos basados en credenciales para el acceso a edificios, la OCPA no regula esa recolección específica. Sin embargo, la ley de notificación de violaciones bajo ORS 646A.600 aún se aplica si esos datos biométricos en poder del empleador se ven comprometidos en una violación de datos.
Otras Exenciones Clave
La OCPA también exime:
- Las entidades y datos cubiertos por HIPAA
- Las instituciones financieras sujetas a la Ley Gramm-Leach-Bliley
- Los datos regulados bajo la Ley de Informe Justo de Crédito
- Los datos regidos por FERPA
- Las entidades gubernamentales

Aplicación y Sanciones de la OCPA
El Fiscal General de Oregón tiene autoridad exclusiva de aplicación sobre la OCPA. No existe un derecho de acción privado para las violaciones de la OCPA (aunque la prohibición de reconocimiento facial de Portland sí lo proporciona).
Las sanciones civiles pueden alcanzar hasta $7,500 por violación.
El cronograma de aplicación ha evolucionado:
- Del 1 de julio de 2024 al 31 de diciembre de 2025: El Fiscal General estaba obligado a emitir un aviso de subsanación de 30 días antes de tomar una acción de aplicación.
- A partir del 1 de enero de 2026: El requisito de aviso de subsanación expiró. El Fiscal General ahora puede proceder directamente a la acción de aplicación sin dar a las empresas la oportunidad de corregir primero las violaciones.
Resultados de Aplicación del Primer Año
La Unidad de Privacidad del Fiscal General de Oregón publicó su reporte de un año de aplicación cubriendo el primer año de la OCPA. Los hallazgos clave incluyen:
- 214 quejas de consumidores recibidas, un número notablemente alto para un estado del tamaño de Oregón
- 38 asuntos de aplicación iniciados y cerrados después de enviar avisos de violación
- La mayoría de las violaciones involucraron a corredores de datos que no respetaron las solicitudes de eliminación, y empresas que no divulgaron a los destinatarios de datos de terceros
- Las empresas generalmente respondieron de manera positiva, actualizando los avisos de privacidad y mejorando los mecanismos de derechos del consumidor
No se reportaron acciones de aplicación específicas sobre datos biométricos en el primer año, pero el enfoque del Fiscal General en las fallas de divulgación de terceros es directamente relevante para el manejo de datos biométricos.
Cómo se Compara Oregón con Otros Estados
Las protecciones de privacidad biométrica de Oregón son más sólidas que las de la mayoría de los estados, aunque difieren en estructura de los pocos estados con estatutos dedicados de privacidad biométrica.
Más sólido que la mayoría de los estados con leyes integrales de privacidad. La definición biométrica más amplia de Oregón (que incluye la marcha), el derecho único de divulgación de terceros, la cobertura de organizaciones sin fines de lucro y la prohibición de reconocimiento facial de Portland en conjunto proporcionan más protección que estados como Kentucky, Indiana o Tennessee.
Enfoque diferente al de las leyes biométricas dedicadas. Estados como Illinois (BIPA), Texas (CUBI) y Washington tienen estatutos independientes de privacidad biométrica con cronogramas de retención específicos, requisitos de destrucción y (en el caso de Illinois) un derecho de acción privado. Oregón, en cambio, integra las protecciones biométricas dentro de su marco integral de privacidad.
Portland se destaca por sí sola. La prohibición combinada de reconocimiento facial gubernamental y del sector privado de Portland, con un derecho de acción privado y sanciones de $1,000 por día, es una de las restricciones biométricas municipales más sólidas de los Estados Unidos.
Más Leyes de Oregón
- Leyes de Grabación de Reuniones con IA de Oregón
- Leyes de Pensión Conyugal de Oregón
- Leyes de Empleo a Voluntad de Oregón
- Leyes de Accidentes Automovilísticos de Oregón
- Leyes de Sillas de Auto para Niños de Oregón
- Leyes de Custodia de Menores de Oregón
- Leyes de Manutención Infantil de Oregón
- Leyes de Matrimonio de Hecho de Oregón
- Leyes sobre Deepfakes de Oregón
- Leyes de Divorcio de Oregón
- Leyes sobre Mordeduras de Perro de Oregón
- Leyes de Emancipación de Oregón
- Leyes de Eliminación de Antecedentes Penales de Oregón
- Leyes sobre Accidentes con Fuga de Oregón
- Leyes de Propietarios e Inquilinos de Oregón
- Leyes del Limón de Oregón
Fuentes y Referencias
Este artículo hace referencia a los estatutos de Oregón y a publicaciones oficiales del gobierno. Para el texto completo de la OCPA, visite la Legislatura de Oregón. Para obtener orientación sobre la OCPA y presentar quejas, visite las Preguntas Frecuentes de Privacidad del Departamento de Justicia de Oregón. Para la prohibición de reconocimiento facial de Portland, consulte el Código Municipal de Portland Capítulo 34.10. Para obtener información sobre notificación de violaciones, visite la página de Violaciones de Datos del DOJ de Oregón.
Este artículo ofrece información legal general sobre las leyes de privacidad biométrica de Oregón. No constituye asesoría legal. Consulte a un abogado calificado para obtener orientación sobre su situación específica. Las leyes y regulaciones cambian con frecuencia. Verifique los requisitos actuales a través de fuentes oficiales del gobierno de Oregón.
¿Afectado por una filtración de datos o una violación de privacidad biométrica?
Si sus datos personales quedaron expuestos en una filtración, o si su huella dactilar o escaneo facial se recopiló sin su consentimiento, podría ser elegible para unirse a un reclamo por compensación. Averígüelo gratis y sin compromiso.
Fuentes y referencias
- Ley de Privacidad del Consumidor de Oregón (OCPA)(oregonlegislature.gov).gov
- Preguntas Frecuentes de la Ley de Privacidad del DOJ de Oregón para Empresas(doj.state.or.us).gov
- Código Municipal de Portland Capítulo 34.10 - Prohibición de Reconocimiento Facial(portland.gov).gov
- Propósito de la Prohibición de Reconocimiento Facial de Portland (Sección 34.10.010)(portland.gov).gov
- Definiciones de la Prohibición de Reconocimiento Facial de Portland (Sección 34.10.020)(portland.gov).gov
- Excepciones de la Prohibición de Reconocimiento Facial de Portland (Sección 34.10.040)(portland.gov).gov
- El Concejo Municipal de Portland Aprueba la Prohibición de Reconocimiento Facial(portland.gov).gov
- DOJ de Oregón - Requisitos de Notificación de Violaciones de Datos(doj.state.or.us).gov
- Reporte de un Año de Aplicación de la OCPA del DOJ de Oregón(doj.state.or.us).gov
- Anuncio del Mecanismo Universal de Exclusión del DOJ de Oregón(doj.state.or.us).gov
- Portal de Reporte de Violaciones de Datos del DOJ de Oregón(justice.oregon.gov).gov