Rhode Island
Leyes de Privacidad Biométrica de Rhode Island: Recopilación, Consentimiento y Sanciones (2026)

Rhode Island no cuenta con un estatuto independiente de privacidad biométrica. En cambio, la Ley de Transparencia de Datos y Protección de la Privacidad de Rhode Island (RIDTPPA), Capítulo 6-48.1 de R.I. Gen. Laws, clasifica los datos biométricos como datos sensibles y exige consentimiento previo antes de que las empresas los procesen con fines de identificación.
Rhode Island no cuenta con un estatuto independiente de privacidad biométrica como la BIPA de Illinois o la CUBI de Texas. En cambio, las protecciones de datos biométricos en el estado provienen de la Ley de Transparencia de Datos y Protección de la Privacidad de Rhode Island (RIDTPPA), una ley integral de privacidad del consumidor que clasifica los identificadores biométricos como datos sensibles que requieren consentimiento afirmativo antes de su procesamiento.
El gobernador Daniel McKee firmó el Proyecto de Ley de la Cámara 7787 como ley el 29 de junio de 2024, lo que convirtió a Rhode Island en uno de los primeros 20 estados en promulgar una ley integral de privacidad de datos del consumidor. La RIDTPPA entró en vigor el 1 de enero de 2026.
Para obtener una visión general del marco de privacidad más amplio de Rhode Island, consulte la guía principal de Leyes de Privacidad de Datos de Rhode Island.

Cómo Define la RIDTPPA los Datos Biométricos
La RIDTPPA define los datos biométricos según R.I. Gen. Laws 6-48.1-2 como datos generados por mediciones automáticas de las características biológicas de una persona que se usan para identificar a una persona específica. El estatuto enumera estos ejemplos:
- Huellas dactilares
- Huellas de voz
- Retinas oculares
- Iris
- Otros patrones o características biológicas únicas
La ley traza un límite claro en torno a lo que no califica. Una fotografía física o digital, una videograbación o una grabación de audio no son datos biométricos a menos que dichos datos se procesen específicamente para identificar a una persona en particular.
Esta definición sigue el enfoque usado en Connecticut, Kentucky y varias otras leyes de privacidad estatales integrales. Es más limitada que la definición que se encuentra en la BIPA de Illinois, que cubre un conjunto más amplio de identificadores biométricos.
Clasificación como Dato Sensible y Requisitos de Consentimiento
Según la RIDTPPA, los datos biométricos procesados con el propósito de identificar de manera única a una persona califican como "datos sensibles". Esta es la categoría de protección más alta en la ley.
Otras categorías de datos sensibles según R.I. Gen. Laws 6-48.1-2 incluyen:
- Datos que revelan origen racial o étnico
- Creencias religiosas
- Condiciones o diagnósticos de salud mental o física
- Orientación sexual
- Vida sexual
- Condición de ciudadanía o inmigración
- Datos genéticos procesados para identificación
- Datos de geolocalización precisa (dentro de 1,750 pies)
- Datos personales recopilados de un menor conocido de menos de 13 años
Requisito de consentimiento. Los controladores deben obtener el consentimiento previo del cliente antes de procesar datos sensibles, incluidos los datos biométricos. Según R.I. Gen. Laws 6-48.1-4, una empresa no puede recopilar su huella dactilar, huella facial o escaneo de iris con fines de identificación sin obtener primero su acuerdo afirmativo.
Este consentimiento debe ser un "acto claro y afirmativo" que se otorgue libremente, sea específico, informado e inequívoco. Una cláusula oculta en un acuerdo de términos de servicio no califica. El estatuto prohíbe específicamente el uso de patrones oscuros para obtener el consentimiento.
Revocación del consentimiento. Los clientes tienen derecho a revocar su consentimiento en cualquier momento. Una vez que un cliente retira el consentimiento, el controlador debe dejar de procesar los datos biométricos tan pronto como sea posible y a más tardar 15 días después de recibir la solicitud de revocación.
Quién Debe Cumplir con la RIDTPPA
La RIDTPPA se aplica a las entidades con fines de lucro que realizan negocios en Rhode Island o producen productos o servicios dirigidos a residentes de Rhode Island y cumplen con uno de estos umbrales:
- Procesar datos personales de 35,000 o más clientes de Rhode Island durante un año calendario (excluyendo los datos procesados únicamente para transacciones de pago), o
- Procesar datos personales de 10,000 o más clientes de Rhode Island y obtener más del 20% de los ingresos brutos de la venta de datos personales
El umbral de 35,000 clientes coloca a Rhode Island en el extremo inferior en comparación con estados como Virginia y Colorado, que establecen sus umbrales en 100,000 consumidores. Esto significa que la RIDTPPA abarca una gama más amplia de empresas que operan en el estado.
Exenciones Clave
La RIDTPPA excluye varias categorías de entidades y tipos de datos de su cobertura:
Exenciones de entidades:
- Organizaciones sin fines de lucro
- Agencias gubernamentales y subdivisiones políticas
- Entidades cubiertas por la HIPAA y sus asociados comerciales
- Instituciones financieras sujetas a la Ley Gramm-Leach-Bliley (GLBA)
- Instituciones de educación superior
Exenciones de datos:
- Información de salud regulada según la HIPAA
- Datos financieros regidos por la GLBA
- Datos cubiertos por la Ley de Informes Crediticios Justos (FCRA)
- Datos según la Ley de Derechos Educativos y Privacidad Familiar (FERPA)
- Datos regulados según la Ley de Protección de la Privacidad del Conductor (DPPA)
- Datos relacionados con el empleo recopilados en un contexto comercial o laboral
La exención de datos de empleados es significativa para la privacidad biométrica. Si su empleador recopila huellas dactilares para el control de horarios o usa reconocimiento facial para el acceso a edificios, la RIDTPPA no regula esa actividad.

Derechos del Cliente Sobre los Datos Biométricos
La RIDTPPA otorga a los clientes de Rhode Island varios derechos con respecto a sus datos personales, incluidos los datos biométricos. Según R.I. Gen. Laws 6-48.1-5, usted tiene derecho a:
- Confirmar y acceder a si un controlador está procesando sus datos biométricos
- Corregir inexactitudes en sus datos personales
- Eliminar sus datos personales, incluidos los identificadores biométricos
- Obtener una copia portátil de sus datos en un formato fácilmente utilizable
- Excluirse del procesamiento de datos personales para publicidad dirigida, venta de datos o perfilamiento
Los controladores deben responder a estas solicitudes sin demora injustificada. La ley también prohíbe la discriminación contra los clientes que ejerzan sus derechos.
Evaluaciones de Protección de Datos para el Procesamiento Biométrico
Los controladores deben realizar y documentar evaluaciones de protección de datos para las actividades de procesamiento que presenten un riesgo elevado de daño a los clientes. Según R.I. Gen. Laws 6-48.1-7, esto incluye:
- Procesamiento de datos sensibles (que incluye los datos biométricos)
- Procesamiento de datos personales para publicidad dirigida
- Venta de datos personales
- Ciertos tipos de perfilamiento que crean riesgos previsibles de trato injusto o daño sustancial al cliente
La ley no proporciona orientación detallada sobre qué factores debe considerar un controlador durante estas evaluaciones. Las evaluaciones de protección de datos realizadas según otras leyes aplicables (como el RGPD u otras leyes de privacidad estatales) satisfacen el requisito de la RIDTPPA si son razonablemente similares en alcance.
Esta obligación se aplica únicamente a las actividades de procesamiento que comiencen a partir del 1 de enero de 2026. No es retroactiva.
Requisitos de Transparencia y Divulgación
La RIDTPPA impone obligaciones específicas de transparencia a los controladores. Según R.I. Gen. Laws 6-48.1-3, las empresas deben:
- Identificar todas las categorías de datos personales recopilados, incluidos los datos biométricos
- Divulgar a todos los terceros que reciben datos personales
- Divulgar de manera clara y visible cuando los datos personales se venden o se usan para publicidad dirigida
- Proporcionar mecanismos de contacto para las consultas de los clientes
- Poner esta información disponible en su acuerdo con el cliente u otro lugar visible de su sitio web
Una característica notable y atípica de la RIDTPPA es el requisito de identificar a los terceros a quienes se ha vendido o se puede vender información de identificación personal. La mayoría de las leyes de privacidad estatales solo exigen la divulgación de categorías de terceros, no de entidades específicas.

Aplicación y Sanciones
El Fiscal General de Rhode Island tiene la autoridad exclusiva de aplicación según R.I. Gen. Laws 6-48.1-8. Los detalles clave de aplicación incluyen:
- Sanciones civiles de hasta $10,000 por infracción, tratadas como prácticas comerciales engañosas según el Capítulo 6-13.1 de R.I. Gen. Laws
- $100 a $500 por infracción por la divulgación intencional de datos personales
- Sin derecho de acción privado. Los consumidores individuales no pueden presentar demandas según la RIDTPPA
- Sin período de subsanación obligatorio. A diferencia de muchas otras leyes de privacidad estatales, la RIDTPPA no le da a las empresas la oportunidad de corregir infracciones antes de que se apliquen sanciones
La ausencia de un período de subsanación es una desviación significativa del enfoque adoptado por estados como Virginia e Indiana, que otorgan ventanas de 30 o 60 días para que las empresas corrijan las infracciones. El enfoque de Rhode Island le da al Fiscal General más flexibilidad para iniciar acciones de aplicación de inmediato.
Para presentar una queja sobre posibles infracciones de datos biométricos, contacte a la Oficina del Fiscal General de Rhode Island.
Requisitos de Notificación de Violación para Datos Biométricos
Separada de la RIDTPPA, la Ley de Protección contra el Robo de Identidad de Rhode Island (R.I. Gen. Laws 11-49.3) exige notificación cuando una violación de seguridad compromete información personal no encriptada.
Plazos de notificación:
- Entidades privadas: A más tardar 45 días calendario después de la confirmación de la violación
- Agencias estatales y municipales: A más tardar 30 días calendario después de la confirmación de la violación
- Notificación al Fiscal General: Requerida cuando se ven afectados 500 o más residentes de Rhode Island
- Reporte a las fuerzas del orden: Las agencias estatales y municipales deben reportar los incidentes de ciberseguridad a la Policía Estatal de Rhode Island dentro de 24 horas
Estándar de encriptación. La ley define la encriptación como la transformación de datos mediante el uso de un proceso algorítmico de 128 bits o superior, en una forma con baja probabilidad de asignar significado sin el uso de un proceso o clave confidencial. Los datos protegidos por encriptación de 128 bits o superior no se consideran "no encriptados" y no activan las obligaciones de notificación si la clave de encriptación tampoco fue comprometida.
Contenido requerido de la notificación:
- Descripción del incidente, incluida la forma en que ocurrió la violación y el número de personas afectadas
- Tipo de información comprometida
- Fecha de la violación o plazo estimado
- Fecha en que se descubrió la violación
- Descripción de los servicios de remediación ofrecidos
- Información de contacto de las agencias de crédito, el Fiscal General y los proveedores de servicios relevantes
- Información sobre cómo presentar reportes policiales y obtener congelamientos de seguridad
Servicios de remediación para violaciones gubernamentales. Cuando una agencia estatal o municipal es responsable de una violación, debe proporcionar a los adultos afectados un mínimo de cinco años de cobertura de monitoreo de crédito y protección contra el robo de identidad. Para los menores, la cobertura debe extenderse hasta los 18 años, más un mínimo de dos años adicionales.
Cómo se Compara Rhode Island con Otros Estados
Las protecciones de datos biométricos de Rhode Island se ubican en la categoría de "ley de privacidad integral" junto con estados como Connecticut, Colorado y Virginia. A continuación, se muestra cómo se compara la RIDTPPA en las disposiciones clave:
| Característica | Rhode Island | Illinois (BIPA) | Texas (CUBI) |
|---|---|---|---|
| Tipo de ley | Privacidad integral | Biométrica independiente | Biométrica independiente |
| Consentimiento requerido | Previo para datos sensibles | Consentimiento informado por escrito | Consentimiento informado |
| Derecho de acción privado | No | Sí | No |
| Período de subsanación | Ninguno | N/A | 30 días |
| Sanciones | Hasta $10,000/infracción | $1,000-$5,000/infracción | Hasta $25,000/infracción |
| Aplicación | Solo Fiscal General | Privada + Fiscal General | Solo Fiscal General |
| Datos de empleados cubiertos | No | Sí | Sí |
El vacío más significativo en el marco de Rhode Island en comparación con los estados que tienen leyes biométricas independientes es la exclusión de los datos de los empleados. Tanto la BIPA de Illinois como la CUBI de Texas cubren los datos biométricos recopilados en el lugar de trabajo, mientras que la RIDTPPA exime por completo los datos del contexto laboral.
Más Leyes de Rhode Island
- Leyes de Grabación de Reuniones con IA de Rhode Island
- Leyes de Pensión Alimenticia de Rhode Island
- Leyes de Empleo a Voluntad de Rhode Island
- Leyes de Accidentes de Auto de Rhode Island
- Leyes de Asientos de Auto para Niños de Rhode Island
- Leyes de Custodia de Menores de Rhode Island
- Leyes de Manutención Infantil de Rhode Island
- Leyes de Matrimonio de Hecho de Rhode Island
- Leyes sobre Deepfakes de Rhode Island
- Leyes de Divorcio de Rhode Island
- Leyes sobre Mordeduras de Perro de Rhode Island
- Leyes de Emancipación de Rhode Island
- Leyes de Eliminación de Antecedentes Penales de Rhode Island
- Leyes sobre Choque y Fuga de Rhode Island
- Leyes de Propietarios e Inquilinos de Rhode Island
- Leyes de Vehículos Defectuosos (Ley del Limón) de Rhode Island
Fuentes y Referencias
Este artículo hace referencia a estatutos de Rhode Island y publicaciones oficiales del gobierno estatal. Para el texto completo de la RIDTPPA, visite el sitio web de la Asamblea General de Rhode Island. Para la Ley de Protección contra el Robo de Identidad, consulte el Capítulo 11-49.3 de R.I. Gen. Laws. Para obtener orientación sobre cómo presentar quejas, visite al Fiscal General de Rhode Island.
Este artículo proporciona información legal general sobre las leyes de privacidad biométrica de Rhode Island. No constituye asesoría legal. Consulte a un abogado calificado para obtener orientación sobre su situación específica. Las leyes y regulaciones cambian con frecuencia. Verifique los requisitos actuales a través de las fuentes gubernamentales oficiales de Rhode Island.
¿Afectado por una filtración de datos o una violación de privacidad biométrica?
Si sus datos personales quedaron expuestos en una filtración, o si su huella dactilar o escaneo facial se recopiló sin su consentimiento, podría ser elegible para unirse a un reclamo por compensación. Averígüelo gratis y sin compromiso.
Fuentes y referencias
- Ley de Transparencia de Datos y Protección de la Privacidad de Rhode Island (RIDTPPA)(rilegislature.gov).gov
- R.I. Gen. Laws 6-48.1-2: Definiciones de la RIDTPPA(rilegislature.gov).gov
- R.I. Gen. Laws 6-48.1-4: Procesamiento de Información(rilegislature.gov).gov
- R.I. Gen. Laws 6-48.1-5: Derechos del Cliente(rilegislature.gov).gov
- R.I. Gen. Laws 6-48.1-7: Responsabilidades del Controlador y del Encargado del Procesamiento(rilegislature.gov).gov
- R.I. Gen. Laws 6-48.1-8: Infracciones(rilegislature.gov).gov
- R.I. Gen. Laws 6-48.1-3: Prácticas de Intercambio de Información(rilegislature.gov).gov
- R.I. Gen. Laws 11-49.3-4: Notificación de Violación(rilegislature.gov).gov
- H.B. 7787, Sustituto A Enmendado (Proyecto de Ley Promulgado)(rilegislature.gov).gov
- Fiscal General de Rhode Island: Formulario de Queja(riag.ri.gov).gov