Tennessee
Leyes de Privacidad Biométrica de Tennessee: Recopilación, Consentimiento y Sanciones (2026)

Tennessee regula los datos biométricos como datos personales sensibles según la Ley de Protección de la Información de Tennessee (TIPA), Tenn. Code Ann. Sección 47-18-3301 y siguientes, que entró en vigor el 1 de julio de 2025. TIPA exige el consentimiento explícito (opt-in) antes de cualquier recopilación o procesamiento. El estado no cuenta con un estatuto biométrico independiente; una Ley de Protección de Datos Biométricos del Consumidor sigue pendiente en la legislatura.
Tennessee adopta un enfoque en capas respecto a la privacidad biométrica. En lugar de contar con un único estatuto biométrico dedicado como la BIPA de Illinois o la CUBI de Texas, el estado regula los datos biométricos a través de su ley integral de privacidad del consumidor y un estatuto separado de protección de datos de estudiantes.
El eje central de las protecciones de datos biométricos de Tennessee es la Ley de Protección de la Información de Tennessee (TIPA), firmada por el gobernador Bill Lee el 11 de mayo de 2023 y vigente desde el 1 de julio de 2025. TIPA coloca a los identificadores biométricos en la categoría de protección más alta según la ley y exige que las empresas obtengan consentimiento afirmativo antes de recopilarlos o procesarlos.
Para una visión general del marco de privacidad más amplio de Tennessee, consulte la guía principal sobre las Leyes de Privacidad de Datos de Tennessee.
Cómo define TIPA los datos biométricos
TIPA define los datos biométricos según la Sección 47-18-3302 de Tenn. Code Ann. como los datos generados por mediciones automáticas de las características biológicas de un individuo que se utilizan para identificar a un individuo específico. El estatuto enumera estos ejemplos:
- Huellas dactilares
- Huellas de voz
- Retinas de los ojos
- Iris
- Otros patrones o características biológicas únicas
La ley traza un límite claro respecto a lo que no califica. Una fotografía física o digital, una grabación de video o audio, o los datos generados a partir de esas grabaciones no son datos biométricos, a menos que se procesen específicamente para identificar a un individuo en particular.
TIPA también excluye de la definición de datos biométricos la información recopilada, utilizada o almacenada para el tratamiento, el pago o las operaciones de atención médica según HIPAA.
Esta definición es muy similar al enfoque utilizado en Connecticut, Virginia y varias otras leyes estatales integrales de privacidad. Es más limitada que la definición de la BIPA de Illinois, que cubre un conjunto más amplio de identificadores biométricos sin las mismas exclusiones.
Clasificación de datos sensibles y requisitos de consentimiento

Según TIPA, los datos biométricos procesados con el fin de identificar de forma única a un individuo califican como "datos sensibles". Este es el nivel de protección más alto de la ley.
Otras categorías de datos sensibles según la Sección 47-18-3302 incluyen:
- Datos que revelan el origen racial o étnico
- Creencias religiosas
- Diagnósticos de salud mental o física
- Orientación sexual
- Ciudadanía o estatus migratorio
- Datos genéticos procesados para identificación
- Datos de geolocalización precisa (dentro de un radio de 1,750 pies)
- Datos personales recopilados de un menor conocido de 13 años
Requisito de consentimiento. Los controladores deben obtener el consentimiento explícito (opt-in) del consumidor antes de procesar datos sensibles, incluidos los datos biométricos. Según la Sección 47-18-3305, este consentimiento debe ser "un acto afirmativo claro que signifique el acuerdo libre, específico, informado e inequívoco del consumidor". Una cláusula oculta en un acuerdo de términos de servicio no cumple con este estándar.
El consentimiento puede obtenerse electrónicamente o mediante cualquier otra acción afirmativa inequívoca.

Quién debe cumplir con TIPA
TIPA aplica a las empresas que realizan negocios en Tennessee o que producen productos o servicios dirigidos a residentes de Tennessee y que cumplen con todos estos criterios:
- Superan los $25 millones en ingresos anuales, Y
- Cumplen con uno de los siguientes:
- Controlan o procesan datos personales de 175,000 o más consumidores de Tennessee durante un año calendario, O
- Controlan o procesan datos personales de 25,000 o más consumidores de Tennessee y obtienen más del 50% de los ingresos brutos de la venta de datos personales
Estos umbrales son más altos que los de muchas otras leyes estatales de privacidad. Las empresas más pequeñas que manejan datos biométricos pero que están por debajo de estos umbrales de ingresos y cantidad de consumidores no están cubiertas por TIPA.
Exenciones clave
TIPA excluye varias categorías de entidades y datos de su cobertura.
Exenciones de entidades:
- Entidades gubernamentales
- Compañías de seguros autorizadas por el estado (Tennessee es el único estado que proporciona esta exención)
- Organizaciones sin fines de lucro
- Instituciones financieras sujetas a la Ley Gramm-Leach-Bliley (GLBA)
- Entidades cubiertas por HIPAA y sus asociados comerciales
- Instituciones de educación superior
Exenciones de datos:
- Datos regulados por HIPAA
- Datos regidos por la Ley de Reporte Justo de Crédito (FCRA)
- Datos cubiertos por la Ley de Derechos Educativos y Privacidad Familiar (FERPA)
- Datos según la Ley de Protección de la Privacidad del Conductor (DPPA)
- Datos regulados por COPPA
Exención de datos de empleados. TIPA excluye a las personas que actúan en un contexto comercial o laboral de la definición de "consumidor". Esto significa que si su empleador recopila huellas dactilares para un sistema de control de horario o utiliza reconocimiento facial para el acceso a edificios, TIPA no aplica a esa recopilación.
Tennessee actualmente no cuenta con una ley separada que regule el uso de datos biométricos por parte de los empleadores, aunque la Ley de Protección de Datos Biométricos del Consumidor pendiente abordaría esta brecha si se promulgara.
Derechos del consumidor sobre los datos biométricos
Debido a que los datos biométricos son datos personales sensibles según TIPA, los consumidores de Tennessee tienen estos derechos según la Sección 47-18-3304:
Derecho a confirmar y acceder. Puede preguntar a cualquier empresa cubierta si está procesando sus datos biométricos y solicitar acceso a esos datos.
Derecho a corregir. Si una empresa tiene datos biométricos inexactos sobre usted, puede solicitar una corrección.
Derecho a eliminar. Puede solicitar que una empresa elimine los datos biométricos que tiene sobre usted.
Derecho a la portabilidad de datos. Puede obtener una copia de sus datos biométricos en un formato portátil y de fácil uso.
Derecho a optar por no participar. Puede optar por no participar en el procesamiento de sus datos personales para publicidad dirigida, venta de datos personales, o elaboración de perfiles que produzca efectos legales o efectos igualmente significativos.
Derecho a la no discriminación. Las empresas no pueden penalizarlo por ejercer cualquiera de estos derechos negándole bienes o servicios, cobrándole precios diferentes o brindándole un nivel de servicio distinto.
Derecho a apelar. Si una empresa rechaza su solicitud, puede apelar esa decisión.
Las empresas deben responder a las solicitudes de derechos del consumidor dentro de un plazo razonable. Los controladores deben proporcionar métodos seguros y confiables para que los consumidores envíen solicitudes y no pueden exigir que los consumidores creen una nueva cuenta.
Evaluaciones de protección de datos
Los controladores que procesan datos sensibles, incluidos los datos biométricos, deben realizar evaluaciones de protección de datos según la Sección 47-18-3307. Estas evaluaciones aplican a las actividades de procesamiento creadas o generadas a partir del 1 de julio de 2024.
Una evaluación de protección de datos debe sopesar los beneficios del procesamiento frente a los riesgos potenciales para el consumidor, incluyendo riesgos de:
- Trato injusto o engañoso, o impacto dispar ilegal
- Daño financiero, físico o a la reputación
- Intrusión en la soledad o el aislamiento
- Otro daño sustancial
El Fiscal General de Tennessee puede solicitar estas evaluaciones durante una investigación.
La pendiente Ley de Protección de Datos Biométricos del Consumidor
Los legisladores de Tennessee han intentado repetidamente aprobar una ley biométrica independiente modelada según la BIPA de Illinois. La Ley de Protección de Datos Biométricos del Consumidor (HB 932/SB 339) se presentó en la 113.ª Asamblea General en enero de 2023, pero no avanzó en comité.
El proyecto se reintrodujo en la 114.ª Asamblea General (2025-2026) y sigue pendiente en comité hasta principios de 2026.
Si se promulgara, este proyecto iría considerablemente más allá de TIPA al:
- Exigir aviso escrito y consentimiento escrito antes de cualquier recopilación de identificadores biométricos
- Permitir que los empleadores exijan el consentimiento biométrico como condición de empleo
- Establecer un cronograma de retención con la destrucción de los datos dentro de tres años desde la última interacción del individuo o cuando se cumpla el propósito inicial, lo que ocurra primero
- Exigir estándares de seguridad razonables para el almacenamiento y la transmisión de datos biométricos
- Crear un derecho de acción privada con daños liquidados de $1,000 por violación negligente y $5,000 por violación intencional, más honorarios de abogados
El proyecto también consideraría las violaciones como prácticas desleales o engañosas según la Ley de Protección al Consumidor de Tennessee de 1977.
Protecciones de datos biométricos de estudiantes

Tennessee proporciona protecciones separadas para los datos biométricos de los estudiantes según la Sección 49-1-706 del TCA, parte de la Ley de Accesibilidad, Transparencia y Responsabilidad de Datos.
Esta ley exige que las agencias estatales y las instituciones educativas obtengan el consentimiento por escrito de los padres o tutores (o de los estudiantes de 18 años o más) antes de recopilar cualquier dato biométrico individual de los estudiantes. Las protecciones se extienden a:
- Huellas dactilares
- Datos de reconocimiento facial
- Escaneos de retina o iris de los ojos
- Análisis de expresiones faciales
- Patrones de ondas cerebrales EEG
- Variabilidad de la frecuencia cardíaca y datos de pulso
- Otras mediciones biométricas
Ninguna agencia estatal o institución educativa puede solicitar o aceptar ninguna subvención que exija recopilar o reportar información biométrica de estudiantes en violación del requisito de consentimiento.
Notificación de violaciones y datos biométricos
La ley de notificación de violaciones de Tennessee, según la Sección 47-18-2107 del TCA, exige que las empresas notifiquen a los individuos afectados cuando una violación de seguridad compromete su información personal.
Los requisitos clave incluyen:
- La notificación debe ocurrir dentro de 45 días desde el descubrimiento de la violación
- La notificación puede retrasarse si las autoridades determinan que impediría una investigación
- Las violaciones que afecten a más de 1,000 personas requieren notificación a las agencias de reporte de crédito
- El aviso sustituto está disponible cuando los costos de notificación exceden $250,000 o la clase afectada supera las 500,000 personas
Si bien el estatuto define la información personal de manera amplia, la inclusión de datos biométricos en cualquier violación que involucre registros de consumidores vinculados a información de identificación personal activa la obligación de notificación.
Aplicación y sanciones
El Fiscal General de Tennessee tiene autoridad exclusiva de aplicación sobre TIPA. No existe un derecho de acción privada, lo que significa que los consumidores individuales no pueden presentar demandas contra las empresas por violaciones de TIPA.
El proceso de aplicación funciona de la siguiente manera:
- El Fiscal General identifica una posible violación, ya sea mediante investigación o queja del consumidor
- El Fiscal General proporciona un aviso por escrito a la empresa, identificando las disposiciones específicas que se cree que se violaron
- La empresa tiene 60 días para subsanar la presunta violación
- Si la empresa subsana la violación y proporciona una declaración por escrito de que no incurrirá en más violaciones, el Fiscal General no toma ninguna acción
- Si la empresa no subsana la violación, el Fiscal General puede iniciar una acción civil buscando sanciones de hasta $7,500 por violación
- Se pueden otorgar daños triplicados por violaciones intencionales o deliberadas
- El Fiscal General también puede recuperar honorarios de abogados y costos de investigación
El período de subsanación de 60 días no tiene fecha de vencimiento. A diferencia de las leyes de privacidad de otros estados, la disposición de subsanación de TIPA es permanente, lo que otorga a las empresas una oportunidad continua de corregir violaciones antes de enfrentar sanciones.
Los consumidores pueden reportar presuntas violaciones de TIPA ante la División de Asuntos del Consumidor de Tennessee a través del portal de quejas de la División.
La defensa del Marco de Privacidad del NIST
TIPA es la primera ley estatal de privacidad del país en proporcionar una defensa afirmativa explícita basada en el Marco de Privacidad del NIST. Los controladores que mantienen programas de privacidad por escrito que se "ajustan razonablemente" a las cinco funciones centrales del marco del NIST pueden invocar esta defensa en acciones de aplicación.
Las cinco funciones centrales del NIST son:
- Identificar áreas de riesgo
- Gobernar las políticas de privacidad
- Controlar las actividades de procesamiento de datos
- Comunicarse con los consumidores
- Proteger los datos mediante medidas de seguridad
Esta defensa debe escalarse adecuadamente según el tamaño y la complejidad de la empresa, la sensibilidad de los datos procesados y las herramientas disponibles.
Cómo se compara Tennessee con otros estados
El enfoque de Tennessee respecto a la privacidad biométrica se ubica en el punto medio del espectro entre los estados de EE. UU.
Más sólido que los estados sin protecciones. Muchos estados todavía carecen de protecciones específicas de datos biométricos. La clasificación de Tennessee de los datos biométricos como datos sensibles que requieren consentimiento lo coloca por delante de estados como Georgia y Alabama, que no cuentan con un estatuto dedicado de privacidad biométrica ni con una ley integral de privacidad vigente.
Más débil que las leyes biométricas dedicadas. Estados como Illinois, Texas y Washington tienen estatutos biométricos independientes con requisitos específicos de aviso, consentimiento, cronogramas de retención y destrucción de datos. La BIPA de Illinois incluye un derecho de acción privada que ha generado litigios y acuerdos significativos.
Similar a otros estados con leyes integrales de privacidad. El enfoque de Tennessee se asemeja mucho al de estados como Kentucky, Connecticut, Indiana y Montana, que clasifican los datos biométricos como datos sensibles dentro de sus marcos integrales de privacidad del consumidor y exigen consentimiento explícito (opt-in) para su procesamiento.
Más leyes de Tennessee
- Leyes de Grabación con IA en Reuniones de Tennessee
- Leyes de Pensión Alimenticia de Tennessee
- Leyes de Empleo a Voluntad de Tennessee
- Leyes de Accidentes de Auto de Tennessee
- Leyes de Asientos de Auto de Tennessee
- Leyes de Custodia de Menores de Tennessee
- Leyes de Manutención de Menores de Tennessee
- Leyes de Matrimonio de Hecho de Tennessee
- Leyes de Deepfake de Tennessee
- Leyes de Divorcio de Tennessee
- Leyes de Mordeduras de Perro de Tennessee
- Leyes de Emancipación de Tennessee
- Leyes de Eliminación de Antecedentes de Tennessee
- Leyes de Choque y Fuga de Tennessee
- Leyes de Propietarios e Inquilinos de Tennessee
- Leyes del Limón de Tennessee
Fuentes y referencias
Este artículo hace referencia a los estatutos de Tennessee y a las publicaciones oficiales del gobierno estatal. Para el texto completo de TIPA, consulte el Capítulo Público 408 de la Secretaría de Estado de Tennessee. Para el texto del proyecto de la propuesta Ley de Protección de Datos Biométricos del Consumidor, consulte SB 339/HB 932 de la Asamblea General de Tennessee. Para orientación sobre la aplicación por parte del Fiscal General, visite la página de protección al consumidor del Fiscal General de Tennessee.
Este artículo proporciona información legal general sobre las leyes de privacidad biométrica de Tennessee. No constituye asesoría legal. Consulte a un abogado calificado para obtener orientación sobre su situación específica. Las leyes y regulaciones cambian con frecuencia. Verifique los requisitos vigentes a través de fuentes oficiales del gobierno de Tennessee.
Preguntas frecuentes
¿Tennessee tiene una ley biométrica independiente como Illinois?
Todavía no. Tennessee protege los datos biométricos a través de la Ley de Protección de la Información de Tennessee (TIPA), que clasifica los datos biométricos como datos sensibles que requieren consentimiento explícito (opt-in). Se ha presentado una Ley de Protección de Datos Biométricos del Consumidor independiente varias veces, pero aún no ha sido aprobada por la legislatura. De promulgarse, agregaría requisitos específicos de aviso escrito, consentimiento escrito, cronogramas de retención, plazos de destrucción y un derecho de acción privada con daños liquidados.
¿Puedo demandar a una empresa en Tennessee por recopilar mis huellas dactilares sin consentimiento?
No. TIPA no incluye un derecho de acción privada. Solo el Fiscal General de Tennessee puede hacer cumplir la ley, buscando sanciones civiles de hasta $7,500 por violación, con daños triplicados para violaciones intencionales. Si cree que una empresa recopiló sus datos biométricos sin consentimiento, puede presentar una queja ante la División de Asuntos del Consumidor de Tennessee a través del portal de quejas de la oficina del Fiscal General.
¿TIPA protege mis datos biométricos en el trabajo?
No. TIPA exime de su cobertura a los datos recopilados en un contexto laboral. Si su empleador recopila huellas dactilares para el control de horario, utiliza reconocimiento facial para el acceso a edificios, o exige escaneos biométricos como parte de sus funciones laborales, TIPA no regula esa actividad. La pendiente Ley de Protección de Datos Biométricos del Consumidor abordaría la recopilación de datos biométricos por parte de los empleadores si se promulgara, incluyendo permitir que los empleadores exijan el consentimiento biométrico como condición de empleo.
¿Qué datos biométricos cubre TIPA?
TIPA cubre los datos generados por mediciones automáticas de características biológicas utilizadas para identificar de forma única a un individuo. Esto incluye huellas dactilares, huellas de voz, retinas de los ojos, iris y otros patrones biológicos únicos. Las fotografías, grabaciones de video, grabaciones de audio y los datos generados a partir de esas grabaciones están excluidos, a menos que se procesen específicamente para identificación. Los datos de atención médica recopilados según HIPAA también están excluidos.
¿Cuándo entraron en vigor las protecciones de privacidad biométrica de Tennessee?
TIPA entró en vigor el 1 de julio de 2025. Los requisitos de evaluación de protección de datos para el procesamiento de datos sensibles aplicaron a las actividades creadas o generadas a partir del 1 de julio de 2024. La ley separada de protección de datos biométricos de estudiantes de Tennessee (Sección 49-1-706 del TCA) ha estado vigente desde su promulgación como parte de la Ley de Accesibilidad, Transparencia y Responsabilidad de Datos.
¿Afectado por una filtración de datos o una violación de privacidad biométrica?
Si sus datos personales quedaron expuestos en una filtración, o si su huella dactilar o escaneo facial se recopiló sin su consentimiento, podría ser elegible para unirse a un reclamo por compensación. Averígüelo gratis y sin compromiso.
Fuentes y referencias
- Ley de Protección de la Información de Tennessee (Capítulo Público 408)(publications.tnsosfiles.com).gov
- Texto del proyecto de la Ley de Protección de Datos Biométricos del Consumidor (SB 339/HB 932)(capitol.tn.gov).gov
- Información del Proyecto de Ley HB 932, Asamblea General de Tennessee(wapp.capitol.tn.gov).gov
- Comunicado de Orientación de TIPA del Fiscal General de TN(tn.gov).gov
- Protección al Consumidor del Fiscal General de Tennessee(tn.gov).gov
- Ley de Datos Biométricos de Estudiantes de Tennessee (TCA 49-1-706)(law.justia.com)
- Ley de Notificación de Violaciones de Tennessee (TCA 47-18-2107)(law.justia.com)
- Marco de Privacidad del NIST(nist.gov).gov