Texas
Leyes de Privacidad Biométrica de Texas: Recopilación, Consentimiento y Sanciones (2026)

Texas regula los datos biométricos bajo la Capture or Use of Biometric Identifier Act (Ley de Captura o Uso de Identificadores Biométricos), codificada en Tex. Bus. & Com. Code 503.001. Las empresas deben informar a las personas y obtener su consentimiento antes de capturar huellas dactilares, geometría facial, huellas de voz o escaneos de retina con fines comerciales. Solo el Fiscal General puede aplicar la CUBI, con sanciones civiles de hasta $25,000 por infracción.
Texas se ha convertido en el aplicador más agresivo de la privacidad biométrica en Estados Unidos. Mientras Illinois acapara los titulares por su derecho de acción privada bajo la BIPA, Texas ha obtenido tranquilamente más de $2.7 mil millones en acuerdos de privacidad biométrica únicamente mediante la aplicación del fiscal general.
La Capture or Use of Biometric Identifier Act, conocida como CUBI, ha sido ley en Texas desde 2009. Durante más de una década permaneció en gran parte inactiva. Eso cambió en 2022 cuando el Fiscal General Ken Paxton comenzó a presentar acciones de aplicación contra importantes empresas tecnológicas, produciendo acuerdos históricos que superaron con creces cualquier cosa vista bajo la BIPA de Illinois.
Este artículo cubre cada disposición de la CUBI, las protecciones adicionales de la TDPSA, el historial de aplicación, las obligaciones de los empleadores, y lo que significa una enmienda de 2025 para las empresas de inteligencia artificial que operan en Texas.
¿Qué Es la Ley de Captura o Uso de Identificadores Biométricos de Texas?
La CUBI está codificada en el Capítulo 503 del Código de Negocios y Comercio de Texas. La Legislatura de Texas aprobó la ley en 2009, convirtiendo a Texas en el segundo estado (después de Illinois en 2008) en promulgar un estatuto dedicado a la privacidad biométrica.
La ley regula la captura, posesión, divulgación y destrucción de identificadores biométricos cuando se recopilan con un fin comercial. A diferencia de las leyes integrales de privacidad de datos que cubren todos los datos personales, la CUBI se enfoca exclusivamente en los datos biométricos.
La CUBI se aplica a cualquier persona o entidad que capture identificadores biométricos con fines comerciales dentro de Texas. No hay umbrales de ingresos ni un número mínimo de empleados. Una pequeña empresa que usa lectores de huellas dactilares para el control de asistencia de empleados está sujeta a las mismas reglas que una empresa tecnológica multinacional que ejecuta software de reconocimiento facial.
¿Qué Identificadores Biométricos Cubre la CUBI?
Bajo la Sección 503.001(a), un "identificador biométrico" significa:

- Escaneos de retina o iris
- Huellas dactilares
- Huellas de voz
- Registros de geometría de la mano
- Registros de geometría del rostro
Esta definición es más restringida que las definiciones de datos biométricos que se encuentran en algunas leyes integrales de privacidad. La CUBI no cubre el ADN, los patrones de pulsación de teclas, el análisis de la marcha, ni la biometría conductual.
La única exclusión estatutaria se aplica a los datos de huella de voz en poder de una institución financiera o de una afiliada de una institución financiera. Bajo la Sección 503.001(e), estas entidades están exentas de la CUBI únicamente respecto de los datos de huella de voz.
Cabe destacar que, a diferencia de la BIPA de Illinois, la CUBI no excluye explícitamente las fotografías, las firmas escritas ni los datos demográficos de sus definiciones. Sin embargo, las acciones de aplicación se han enfocado en los datos biométricos que pueden usarse para identificar de manera única a las personas, como la geometría facial extraída de fotografías, en lugar de las fotografías mismas.
Requisitos de Consentimiento y Aviso
La CUBI establece un proceso de consentimiento sencillo de dos pasos bajo la Sección 503.001(b). Antes de capturar un identificador biométrico con fines comerciales, una persona debe:
- Informar a la persona que se está capturando un identificador biométrico
- Recibir el consentimiento de la persona para capturar el identificador biométrico
El estatuto no especifica que el consentimiento deba ser por escrito, lo cual difiere del requisito de la BIPA de Illinois de una autorización escrita. Esto significa que los empleadores y las empresas de Texas tienen más flexibilidad en cómo obtienen el consentimiento, pero el consentimiento aún debe ser afirmativo y otorgarse antes de que comience la recopilación.
El requisito de "fin comercial" es importante. La CUBI solo se aplica cuando los datos biométricos se capturan con un fin comercial. Las agencias gubernamentales que recopilan datos biométricos con fines de aplicación de la ley o seguridad nacional quedan fuera del alcance del estatuto.
Restricciones de Divulgación: Cuatro Excepciones Permitidas
Una vez capturado un identificador biométrico, la Sección 503.001(c)(1) prohíbe venderlo, arrendarlo o divulgarlo de otro modo a otra persona. Existen solo cuatro excepciones limitadas:
- Identificación por desaparición o muerte: la persona consiente la divulgación con fines de identificación si desaparece o fallece
- Transacciones financieras: la divulgación completa una transacción financiera que la persona solicitó o autorizó
- Requisitos legales: la divulgación es exigida o permitida por un estatuto federal o por un estatuto estatal distinto del Capítulo 552 del Código de Gobierno (la Ley de Información Pública de Texas)
- Aplicación de la ley: la divulgación la realiza o la recibe una agencia de aplicación de la ley con fines de aplicación de la ley en respuesta a una orden judicial
Estas restricciones son importantes. Significan que una empresa no puede compartir datos biométricos con proveedores externos, socios publicitarios o empresas afiliadas, a menos que aplique una de estas cuatro excepciones. Las acciones de aplicación contra Meta y Google se centraron en el intercambio y uso no autorizados de datos biométricos más allá de lo que los usuarios consintieron.
Requisitos de Almacenamiento y Destrucción
La CUBI impone dos obligaciones a cualquiera que posea un identificador biométrico capturado comercialmente bajo la Sección 503.001(c).
Estándar de Cuidado Razonable
El poseedor debe almacenar, transmitir y proteger el identificador biométrico contra su divulgación "usando un cuidado razonable y de una manera que sea igual o más protectora que la manera en que la persona almacena, transmite y protege cualquier otra información confidencial que posea".
Esto vincula el estándar de seguridad a las prácticas de protección de datos existentes de la entidad. Si una empresa usa cifrado y controles de acceso para datos financieros, debe aplicar al menos las mismas protecciones a los datos biométricos.

Plazo Obligatorio de Destrucción
El poseedor debe destruir el identificador biométrico "dentro de un tiempo razonable, pero a más tardar en el primer aniversario de la fecha en que expire el propósito de la recopilación del identificador". En términos simples, una vez que el motivo de la recopilación de los datos ya no aplica, los datos deben destruirse dentro de un año.
Si otra ley exige que la entidad conserve registros por un período más largo, la Sección 503.001(c-1) extiende el plazo de destrucción a un año después de que finalice el requisito de retención de esa otra ley.
Obligaciones del Empleador Bajo la CUBI
Muchos empleadores de Texas usan lectores de huellas dactilares, lectores de geometría de la mano o sistemas de reconocimiento facial para el control de asistencia, el acceso a instalaciones o fines de seguridad. La CUBI tiene implicaciones específicas para estos empleadores.
Bajo la Sección 503.001(c-2), cuando un empleador captura un identificador biométrico con fines de seguridad, se presume legalmente que el propósito de la recopilación del identificador expira al terminar la relación laboral. Esto activa el conteo del año para la destrucción.
Los pasos prácticos para los empleadores de Texas incluyen:
- Notificar a los empleados por escrito antes de inscribirlos en cualquier sistema biométrico, aunque la CUBI no exige el consentimiento por escrito
- Obtener el consentimiento afirmativo de cada empleado antes de capturar huellas dactilares, escaneos faciales u otros identificadores biométricos
- Establecer un cronograma de retención que destruya los datos biométricos dentro de un año después de que un empleado deje la empresa
- Aplicar medidas de seguridad razonables para proteger los datos biométricos almacenados al menos con el mismo rigor que otra información comercial confidencial
- Nunca compartir datos biométricos con proveedores de nómina externos, agencias de personal u otros proveedores, a menos que aplique una excepción estatutaria
Aplicación: Sin Derecho de Acción Privada, Pero Sanciones Masivas
La CUBI no incluye un derecho de acción privada. Los residentes de Texas de forma individual no pueden demandar a las empresas por violar el estatuto. Solo el Fiscal General de Texas tiene autoridad para aplicar la ley.
Bajo la Sección 503.001(d), las infracciones conllevan sanciones civiles de hasta $25,000 por infracción. La oficina del Fiscal General interpreta tanto la captura no autorizada como el almacenamiento indebido de un identificador biométrico como infracciones separadas, lo que potencialmente duplica la exposición a sanciones por incidente.
Este modelo de aplicación ha resultado devastador para las grandes empresas tecnológicas. Debido a que el Fiscal General agrega las infracciones a través de millones de usuarios, las sanciones por infracción se acumulan en cifras que superan con creces cualquier cosa vista bajo el derecho de acción privada de la BIPA de Illinois.

El Acuerdo de $1.4 Mil Millones con Meta (2024)
El 30 de julio de 2024, el Fiscal General Ken Paxton anunció un acuerdo de $1.4 mil millones con Meta por la función de reconocimiento facial "Tag Suggestions" de Facebook. Meta había habilitado automáticamente el reconocimiento facial para todos los usuarios, capturando la geometría facial de las fotos subidas sin antes informar a los usuarios ni obtener su consentimiento.
Detalles clave del acuerdo con Meta:
- Monto: $1.4 mil millones pagados a lo largo de cinco años
- Base: primera demanda y acuerdo obtenidos bajo la CUBI
- Infracción: Meta ejecutó reconocimiento facial en fotos subidas por texanos sin aviso ni consentimiento
- Escala: el mayor acuerdo de privacidad jamás obtenido por un solo fiscal general estatal
- Contexto: superó ampliamente el acuerdo multiestatal de $390 millones (40 estados) que Google pagó en 2022
La demanda se originó en febrero de 2022 después de que Meta anunciara que discontinuaría su sistema de reconocimiento facial. El Fiscal General alegó que Meta había estado violando la CUBI durante años al escanear automáticamente la geometría facial de cada persona en las fotografías subidas.
El Acuerdo de $1.375 Mil Millones con Google (2025)
El 31 de octubre de 2025, el Fiscal General finalizó un acuerdo de $1.375 mil millones con Google. Este acuerdo resolvió dos demandas presentadas en 2022.
La primera demanda alegaba que Google violó la CUBI al recopilar identificadores biométricos a través de Google Photos (geometría facial), Google Assistant (huellas de voz) y las cámaras de Nest Hub Max (geometría facial de cualquier persona que apareciera frente a la cámara) sin consentimiento.
La segunda demanda alegaba que Google violó la Ley de Prácticas Comerciales Engañosas de Texas al engañar a los usuarios sobre el rastreo de geolocalización y la recopilación de datos en el modo Incógnito.
Detalles clave del acuerdo con Google:
- Monto: $1.375 mil millones, el acuerdo de privacidad más grande a nivel estatal contra Google
- Comparación: el siguiente acuerdo de privacidad más grande a nivel estatal con Google fue de $93 millones
- Productos involucrados: Google Photos, Google Assistant, Nest Hub Max
- Datos biométricos: geometría facial y huellas de voz capturadas sin consentimiento
En conjunto, los acuerdos con Meta y Google suman más de $2.77 mil millones, consolidando a Texas como el aplicador más consecuente de la privacidad biométrica en el país.
Cómo se Compara la CUBI con la BIPA de Illinois
La CUBI de Texas y la BIPA de Illinois son las dos leyes de privacidad biométrica más importantes de Estados Unidos, pero funcionan de manera muy distinta.
| Característica | CUBI de Texas | BIPA de Illinois |
|---|---|---|
| Promulgada | 2009 | 2008 |
| Estatuto | Tex. Bus. & Com. Code, Cap. 503 | 740 ILCS 14 |
| Derecho de acción privada | No | Sí |
| Aplicación | Solo el Fiscal General | Personas individuales y el Fiscal General |
| Tipo de consentimiento | Consentimiento informado (no requiere escrito) | Se requiere autorización escrita |
| Sanción máxima por infracción | $25,000 | $5,000 |
| Acuerdo más grande | $1.4 mil millones (Meta) | $650 millones (Meta) |
| Política de retención requerida | Implícita por la regla de destrucción | Se requiere política escrita |
| Se aplica a | Cualquier persona | Solo entidades privadas |
La diferencia clave es el mecanismo de aplicación. El derecho de acción privada de la BIPA ha producido más de 1,400 demandas colectivas, pero los acuerdos individuales tienden a ser más pequeños. El modelo exclusivo del Fiscal General de la CUBI produce menos casos pero resultados mucho más grandes porque el estado agrega las infracciones a través de poblaciones enteras.
La TDPSA: Una Segunda Capa de Protección Biométrica
La Texas Data Privacy and Security Act (TDPSA), codificada en el Capítulo 541 del Código de Negocios y Comercio, entró en vigor el 1 de julio de 2024. Añade una capa integral de protección biométrica sobre la CUBI.
La TDPSA clasifica los "datos biométricos" como datos personales sensibles. Bajo la TDPSA, los datos biométricos se definen como "datos generados por mediciones automáticas de las características biológicas de una persona" que se procesan con el fin de identificar de manera única a una persona.
Esta definición es más amplia que la de la CUBI. Potencialmente cubre la biometría conductual, el análisis de la marcha y otras mediciones biológicas que quedan fuera de la lista enumerada de cinco identificadores de la CUBI.
Bajo la TDPSA, las empresas deben obtener el consentimiento afirmativo del consumidor antes de procesar datos sensibles, incluyendo datos biométricos. La TDPSA define el consentimiento como "un acto afirmativo claro que indique el acuerdo de un consumidor otorgado libremente, específico, informado e inequívoco". La aceptación de términos de uso generales no califica. El consentimiento obtenido mediante patrones oscuros (dark patterns) no califica.
El efecto práctico es que las empresas de Texas ahora enfrentan dos requisitos de consentimiento superpuestos para los datos biométricos: el estándar de consentimiento informado de la CUBI y el estándar de consentimiento afirmativo de la TDPSA. El cumplimiento del estándar más estricto de la TDPSA generalmente satisfará ambos.

Enmienda de 2025: La Exención de Entrenamiento de IA
El 22 de junio de 2025, el gobernador Greg Abbott firmó el House Bill 149, la Texas Responsible Artificial Intelligence Governance Act. Esta ley, vigente desde el 1 de enero de 2026, enmienda la CUBI para crear una exención limitada para el desarrollo de inteligencia artificial.
Bajo la nueva Sección 503.001(e) añadida por el HB 149, las restricciones de la CUBI no se aplican al entrenamiento, procesamiento o almacenamiento de identificadores biométricos usados para desarrollar, entrenar, evaluar u ofrecer modelos o sistemas de IA. Sin embargo, esta exención desaparece si el sistema de IA se usa o implementa para identificar de manera única a una persona específica.
Limitaciones importantes de la exención de IA:
- Si los datos biométricos capturados para el entrenamiento de IA se reutilizan posteriormente para identificación comercial, se aplican las disposiciones estándar de la CUBI
- No se considera que una persona haya consentido a la captura biométrica simplemente porque su imagen aparezca en internet, a menos que la persona haya hecho pública esa imagen ella misma
- Las entidades gubernamentales tienen prohibido implementar sistemas de IA para identificación biométrica usando imágenes recopiladas de fuentes públicas de internet sin el consentimiento de la persona
Esta enmienda refleja la tensión entre el desarrollo de la IA y la privacidad biométrica. Las empresas que entrenan modelos de IA con datos faciales pueden hacerlo sin cumplir con la CUBI, pero en el momento en que implementan esos modelos para identificar a personas específicas en Texas, se aplican todos los requisitos de la CUBI.
Cómo Presentar una Queja
Los residentes de Texas que crean que sus datos biométricos han sido recopilados o compartidos sin consentimiento pueden presentar una queja directamente ante la División de Protección al Consumidor del Fiscal General de Texas. Aunque las personas no pueden demandar bajo la CUBI, las quejas ante el Fiscal General han dado lugar a investigaciones y a las masivas acciones de aplicación descritas anteriormente.
Más Leyes de Texas
- Leyes de Grabación de Reuniones con IA de Texas
- Leyes de Pensión Alimenticia Conyugal de Texas
- Leyes de Empleo a Voluntad de Texas
- Leyes de Accidentes de Auto de Texas
- Leyes de Asientos de Auto para Niños de Texas
- Leyes de Custodia de Menores de Texas
- Leyes de Manutención de Menores de Texas
- Leyes de Matrimonio de Hecho de Texas
- Leyes de Deepfakes de Texas
- Leyes de Divorcio de Texas
- Leyes de Mordeduras de Perro de Texas
- Leyes de Emancipación de Texas
- Leyes de Eliminación de Antecedentes Penales de Texas
- Leyes de Choque y Fuga de Texas
- Leyes de Propietarios e Inquilinos de Texas
- Leyes del Limón de Texas
Este artículo proporciona información legal general sobre las leyes de privacidad biométrica de Texas. No constituye asesoría legal. Si necesita orientación sobre una situación específica relacionada con la recopilación de datos biométricos o el cumplimiento, consulte a un abogado calificado con licencia en Texas.
Relacionado: Leyes de Privacidad de Datos de Texas | Privacidad Biométrica de Illinois (BIPA) | Leyes de Privacidad de Datos por Estado
Preguntas frecuentes
¿Puedo demandar a una empresa en Texas por recopilar mis huellas dactilares sin consentimiento?
No. La CUBI no incluye un derecho de acción privada. Solo el Fiscal General de Texas puede presentar acciones de aplicación bajo el estatuto. Sin embargo, puede presentar una queja ante la [División de Protección al Consumidor del Fiscal General](https://www.texasattorneygeneral.gov/consumer-protection/file-consumer-complaint), que ha usado dichas quejas para construir casos que llevaron a acuerdos de miles de millones de dólares.
¿Se aplica la CUBI al reloj de huella dactilar de mi empleador?
Sí. Si su empleador usa lectores de huellas dactilares, lectores de geometría de la mano, o reconocimiento facial para el control de asistencia o el acceso a instalaciones, la CUBI exige que el empleador le informe y obtenga su consentimiento antes de capturar sus datos biométricos. El empleador también debe destruir sus datos biométricos dentro de un año después de que finalice su empleo, bajo la [Sección 503.001(c-2)](https://statutes.capitol.texas.gov/Docs/BC/htm/BC.503.htm).
¿Cómo interactúa la CUBI con la Texas Data Privacy and Security Act?
La TDPSA, vigente desde el 1 de julio de 2024, añade una segunda capa de protección. Clasifica los datos biométricos como datos personales sensibles que requieren consentimiento afirmativo antes de su procesamiento. Las empresas que manejan datos biométricos en Texas deben cumplir tanto con la CUBI como con la TDPSA. Cumplir con el estándar de consentimiento más estricto de la TDPSA generalmente también satisfará los requisitos de la CUBI.
¿Son legales las cámaras de timbre con reconocimiento facial en Texas?
Las cámaras de timbre que capturan geometría facial con fines de identificación deben cumplir con la CUBI. Empresas como Amazon han bloqueado las funciones de reconocimiento facial en los timbres Ring en Texas debido a las restricciones de la CUBI. Los propietarios de vivienda que usan estos dispositivos con fines personales y no comerciales pueden quedar fuera del requisito de fin comercial del estatuto, pero los fabricantes y proveedores de servicios que procesan esos datos comercialmente están sujetos a la CUBI.
¿La exención de IA de 2025 significa que las empresas pueden extraer mi rostro de las redes sociales para entrenar IA?
No exactamente. El HB 149 exime el entrenamiento de IA de la CUBI, pero establece explícitamente que una persona no ha consentido a la captura biométrica simplemente porque su imagen aparezca en línea. La exención solo se aplica a las actividades de desarrollo y entrenamiento de IA. Si el sistema de IA se implementa para identificar a personas específicas, se aplican todos los requisitos de la CUBI. Las entidades gubernamentales tienen prohibido por separado usar IA para identificación biométrica basada en imágenes recopiladas públicamente sin consentimiento.
¿Afectado por una filtración de datos o una violación de privacidad biométrica?
Si sus datos personales quedaron expuestos en una filtración, o si su huella dactilar o escaneo facial se recopiló sin su consentimiento, podría ser elegible para unirse a un reclamo por compensación. Averígüelo gratis y sin compromiso.
Fuentes y referencias
- Código de Negocios y Comercio de Texas, Capítulo 503(statutes.capitol.texas.gov).gov
- Página de Información sobre la CUBI del Fiscal General de Texas(texasattorneygeneral.gov).gov
- Anuncio del Fiscal General Paxton: Acuerdo de $1.4 Mil Millones con Meta(texasattorneygeneral.gov).gov
- Anuncio del Fiscal General Paxton: Acuerdo de $1.375 Mil Millones con Google(texasattorneygeneral.gov).gov
- Acuerdo con Google Finalizado por el Fiscal General Paxton(texasattorneygeneral.gov).gov
- Página Oficial de la TDPSA del Fiscal General(texasattorneygeneral.gov).gov
- Texto Completo de la TDPSA (HB 4, 88ª Legislatura)(capitol.texas.gov).gov
- Historial del Proyecto de Ley HB 149 (89ª Legislatura)(capitol.texas.gov).gov
- Texto Promulgado del HB 149(capitol.texas.gov).gov
- Análisis del Senado sobre el HB 149(capitol.texas.gov).gov