Utah
Leyes de Privacidad Biométrica de Utah: Recopilación, Consentimiento y Sanciones (2026)

Utah regula los datos biométricos como datos personales sensibles bajo la Ley de Privacidad del Consumidor de Utah (Código de Utah 13-61), que entró en vigor el 31 de diciembre de 2023. En lugar de exigir consentimiento previo (opt-in), la UCPA exige que las empresas proporcionen aviso y una oportunidad de exclusión voluntaria antes de procesar datos biométricos con fines de identificación. Solo el Fiscal General puede hacerla cumplir.
Utah fue el cuarto estado del país en promulgar una ley integral de privacidad de datos del consumidor cuando el gobernador Spencer Cox firmó el SB 227 en marzo de 2022. La Ley de Privacidad del Consumidor de Utah (UCPA) entró en vigor el 31 de diciembre de 2023, e incluye los datos biométricos dentro de su definición de datos sensibles.
Lo que distingue al enfoque de Utah es su modelo de exclusión voluntaria para datos sensibles. Mientras que estados como Colorado, Virginia y Connecticut exigen que las empresas obtengan consentimiento previo antes de procesar datos biométricos, Utah solo exige que las empresas proporcionen aviso y una oportunidad de exclusión voluntaria. Esto convierte a la UCPA en una de las leyes integrales de privacidad más favorables para las empresas del país.
Para una descripción más amplia de las protecciones de privacidad en el estado, consulte la guía principal de Leyes de Privacidad de Datos de Utah.
Cómo Define la UCPA los Datos Biométricos
Según el Código de Utah 13-61-101, los datos biométricos significan datos generados por mediciones automáticas de las características biológicas únicas de una persona. El estatuto enumera específicamente estos ejemplos:
- Huellas dactilares
- Huellas de voz
- Retinas oculares
- Iris
- Otros patrones o características biológicas únicas utilizadas para identificar a una persona específica
La definición excluye explícitamente varias categorías de datos:
- Fotografías físicas o digitales
- Grabaciones de video o audio
- Datos generados a partir de fotografías o grabaciones
- Información capturada de un paciente en un entorno de atención médica
- Información recopilada, utilizada o almacenada para el tratamiento, pago u operaciones de atención médica bajo HIPAA
Esta definición se asemeja mucho al enfoque adoptado por Virginia y Colorado. Es más limitada que la BIPA de Illinois, que cubre un conjunto más amplio de identificadores biométricos.
Clasificación de Datos Sensibles y Derechos de Exclusión Voluntaria
La UCPA clasifica los datos biométricos procesados con el propósito de identificar a una persona específica como "datos sensibles". Este es el nivel de protección más alto bajo la ley. Otras categorías de datos sensibles incluyen:
- Origen racial o étnico
- Creencias religiosas
- Orientación sexual
- Ciudadanía o estatus migratorio
- Historial médico o condiciones de salud
- Datos genéticos procesados con fines de identificación
- Datos de geolocalización (dentro de 1,750 pies)
Según el Código de Utah 13-61-302, una empresa que actúa como controlador de datos no puede procesar datos sensibles sin antes presentar al consumidor un aviso claro y una oportunidad de excluirse.
Exclusión Voluntaria frente a Consentimiento Previo: Por Qué Importa

La distinción entre exclusión voluntaria y consentimiento previo es significativa para la protección de datos biométricos. Bajo el modelo de exclusión voluntaria de Utah, una empresa puede comenzar a procesar datos biométricos siempre que haya proporcionado aviso y un mecanismo de exclusión voluntaria. El consumidor debe tomar una acción afirmativa para detener el procesamiento.
Bajo un modelo de consentimiento previo, como el utilizado en estados como Illinois y Texas, una empresa no puede procesar datos biométricos en absoluto hasta que el consumidor lo acepte afirmativamente.
En la práctica, los requisitos de exclusión voluntaria resultan en tasas más bajas de participación del consumidor. La mayoría de los consumidores no revisan activamente los avisos de privacidad ni ejercen los derechos de exclusión voluntaria, lo que significa que se procesan más datos biométricos bajo el marco de Utah que bajo estados con modelos de consentimiento previo más estrictos.
Derechos del Consumidor Bajo la UCPA
Los residentes de Utah tienen varios derechos relacionados con sus datos biométricos bajo la UCPA. Estos derechos se aplican a todos los datos personales, incluida la información biométrica.
Derecho a Saber
Los consumidores pueden solicitar la confirmación de si una empresa está procesando sus datos personales, incluidos los datos biométricos, y pueden acceder a esos datos.
Derecho a Eliminar
Los consumidores pueden solicitar la eliminación de los datos personales que el consumidor proporcionó al controlador, incluidos los datos biométricos que enviaron directamente.
Derecho a la Portabilidad de Datos
Los consumidores pueden obtener una copia de sus datos personales en un formato portable y fácilmente utilizable, en la medida técnicamente factible.
Derecho a Excluirse de la Publicidad Dirigida y la Venta
Los consumidores pueden optar por excluirse del procesamiento de datos personales para publicidad dirigida o la venta de datos personales. Esto es independiente del derecho de exclusión voluntaria para datos sensibles.
Derecho a la No Discriminación
Según el Código de Utah 13-61-302, un controlador no puede discriminar a un consumidor por ejercer cualquiera de estos derechos. Esto significa que una empresa no puede negar servicios, cobrar precios diferentes ni ofrecer un nivel de servicio inferior a los consumidores que se excluyan del procesamiento de datos biométricos.
Plazo de Respuesta
Las empresas deben responder a las solicitudes de derechos del consumidor dentro de 45 días. Se permite una extensión de hasta 45 días adicionales cuando sea razonablemente necesaria, siempre que la empresa notifique al consumidor sobre la demora y el motivo de esta.
Quién Debe Cumplir
La UCPA se aplica a empresas que cumplan todos los siguientes criterios:
- Realizar negocios en Utah o producir productos o servicios dirigidos a consumidores de Utah
- Tener ingresos anuales de $25 millones o más
- Cumplir uno de dos umbrales de procesamiento de datos: controlar o procesar los datos personales de 100,000 o más consumidores de Utah en un año calendario, O derivar más del 50% de los ingresos brutos de la venta de datos personales y controlar o procesar los datos de 25,000 o más consumidores de Utah
Exenciones
La UCPA incluye amplias exenciones para:
- Entidades gubernamentales y tribus
- Instituciones de educación superior
- Organizaciones sin fines de lucro
- Datos regulados bajo HIPAA (salud)
- Datos regulados bajo GLBA (financieros)
- Datos regulados bajo FCRA (informes de crédito)
- Datos de empleo recopilados en el contexto de un solicitante de empleo o empleado
- Información de contacto entre empresas (business-to-business)
Estas exenciones significan que muchos escenarios comunes de recopilación de datos biométricos, como el control de horario mediante huellas dactilares del empleador o la identificación de pacientes en hospitales, quedan fuera del alcance de la UCPA.
Aplicación y Sanciones
La UCPA es aplicada exclusivamente por el Fiscal General de Utah y la División de Protección al Consumidor de Utah. No existe un derecho de acción privado.
Proceso de Aplicación
Antes de presentar una demanda, el Fiscal General debe proporcionar a la empresa un aviso por escrito de la presunta infracción y un período de subsanación de 30 días según el Código de Utah 13-61-402. Si la empresa subsana la infracción dentro de 30 días, no se toma ninguna acción.
Si la empresa no logra subsanarla, el Fiscal General puede solicitar sanciones civiles de hasta $7,500 por infracción, más daños reales a los consumidores afectados.
Primera Acción Importante de Aplicación

En mayo de 2025, la División de Protección al Consumidor de Utah emitió su primer aviso de aplicación bajo la UCPA. En junio de 2025, la División y el Fiscal General presentaron una demanda contra Snap, Inc. (la empresa detrás de Snapchat), alegando que Snap violó la UCPA al no informar a los consumidores sobre sus prácticas de recopilación de datos y al no proporcionar a los usuarios una oportunidad de excluirse del procesamiento de datos sensibles, incluida la información biométrica y de geolocalización.
Este caso indica que los reguladores de Utah están dispuestos a emprender acciones de aplicación relacionadas con el procesamiento de datos biométricos bajo la UCPA.
Requisitos de Cumplimiento para las Empresas

Las empresas sujetas a la UCPA que recopilan datos biométricos deben tomar varias medidas para garantizar el cumplimiento.
Aviso de Privacidad
Según el Código de Utah 13-61-302, los controladores deben proporcionar un aviso de privacidad razonablemente accesible y claro que incluya las categorías de datos personales procesados, los propósitos del procesamiento, cómo pueden los consumidores ejercer sus derechos, las categorías de datos compartidos con terceros y las categorías de esos terceros.
Mecanismo de Exclusión Voluntaria
Para los datos biométricos y otros datos sensibles, las empresas deben proporcionar un mecanismo claro de exclusión voluntaria antes de procesarlos. Puede ser un interruptor de configuración, un formulario u otro método razonable. El mecanismo debe ser fácil de encontrar y utilizar.
Seguridad de Datos
Los controladores deben establecer, implementar y mantener prácticas razonables de seguridad de datos administrativas, técnicas y físicas para proteger la confidencialidad, integridad y accesibilidad de los datos personales, incluidos los datos biométricos.
Acuerdos de Procesamiento de Datos
Cuando un controlador contrata a un encargado del procesamiento para manejar datos biométricos, las partes deben celebrar un contrato por escrito que rija los procedimientos de procesamiento de datos del encargado y establezca instrucciones claras, obligaciones de confidencialidad y requisitos de eliminación.
Cómo se Compara Utah con los Estados Vecinos
El enfoque de exclusión voluntaria de Utah para los datos biométricos lo distingue de sus vecinos. Colorado exige consentimiento previo para el procesamiento de datos sensibles, proporcionando una protección más sólida. Nevada adopta un enfoque más limitado centrado en las exclusiones voluntarias de venta de datos.
Wyoming e Idaho carecen de leyes integrales de privacidad y dependen principalmente de estatutos de notificación de violaciones de datos. Montana promulgó la Ley de Privacidad de Datos del Consumidor de Montana con disposiciones sobre datos biométricos que siguen el modelo de consentimiento previo.
Entre todas las leyes estatales integrales de privacidad, solo Utah utiliza el modelo de exclusión voluntaria para datos sensibles. Todos los demás estados que han promulgado una ley integral de privacidad exigen consentimiento previo antes de procesar datos biométricos con fines de identificación.
Más Leyes de Utah
- Utah AI Meeting Recording Laws
- Utah Alimony Laws
- Utah At-Will Employment Laws
- Utah Car Accident Laws
- Utah Car Seat Laws
- Utah Child Custody Laws
- Utah Child Support Laws
- Utah Common Law Marriage Laws
- Utah Deepfake Laws
- Utah Divorce Laws
- Utah Dog Bite Laws
- Utah Emancipation Laws
- Utah Expungement Laws
- Utah Hit and Run Laws
- Utah Landlord-Tenant Laws
- Utah Lemon Laws
Fuentes y Referencias
Este artículo hace referencia a los estatutos de Utah disponibles a través del sitio web de la Legislatura de Utah. Para orientación al consumidor, visite la página de la UCPA de la División de Protección al Consumidor de Utah. Para el texto completo del proyecto de ley registrado, consulte el SB 227. Para información sobre acciones de aplicación, visite la página de Privacidad de Datos del Fiscal General de Utah.
Este artículo proporciona información legal general sobre las leyes de privacidad biométrica de Utah. No constituye asesoría legal. Consulte a un abogado calificado para obtener orientación sobre su situación específica. Las leyes y regulaciones cambian con frecuencia. Verifique los requisitos vigentes a través de fuentes oficiales del gobierno de Utah.
Preguntas frecuentes
¿Exige Utah consentimiento antes de recopilar datos biométricos?
No en el sentido tradicional. Bajo la UCPA, las empresas deben proporcionar a los consumidores un aviso claro y una oportunidad de excluirse antes de procesar datos biométricos con fines de identificación. Esto es diferente del consentimiento previo exigido por estados como Illinois, Texas y Colorado. Una empresa puede procesar datos biométricos siempre que haya proporcionado aviso y un mecanismo de exclusión voluntaria, incluso si el consumidor no toma ninguna acción.
¿Puedo demandar a una empresa en Utah por recopilar mis datos biométricos sin permiso?
No. La UCPA no incluye un derecho de acción privado. Solo el Fiscal General de Utah y la División de Protección al Consumidor pueden hacer cumplir la ley. Si considera que una empresa violó sus derechos de datos biométricos, puede presentar una queja ante la División de Protección al Consumidor en dcp.utah.gov o contactar a la oficina del Fiscal General.
¿Protege la UCPA los datos biométricos recopilados por mi empleador?
No. La UCPA exenta los datos recopilados en el contexto laboral, incluidos los datos de solicitantes de empleo y empleados. Si su empleador recopila huellas dactilares para el control de horario o utiliza reconocimiento facial para el acceso a edificios, la UCPA no regula esa actividad. Ninguna ley separada de Utah rige el uso de datos biométricos por parte del empleador.
¿Qué empresas están cubiertas por la UCPA?
La UCPA se aplica a empresas que realizan negocios en Utah o se dirigen a consumidores de Utah, tienen ingresos anuales de al menos $25 millones, y procesan los datos personales de 100,000 o más consumidores de Utah al año o derivan más del 50% de sus ingresos brutos de la venta de datos personales de 25,000 o más consumidores. Las entidades gubernamentales, las organizaciones sin fines de lucro, las instituciones de educación superior y las entidades reguladas por HIPAA o GLBA están exentas.
¿Cuáles son las sanciones por violar las disposiciones sobre datos biométricos de la UCPA?
El Fiscal General puede imponer sanciones civiles de hasta $7,500 por infracción, más daños reales a los consumidores afectados. Antes de presentar una demanda, el Fiscal General debe proporcionar un aviso de 30 días y un período de subsanación. Si la empresa corrige la infracción dentro de 30 días, no se imponen sanciones. La primera acción de aplicación del estado bajo la UCPA se presentó contra Snap, Inc. en junio de 2025.
¿Afectado por una filtración de datos o una violación de privacidad biométrica?
Si sus datos personales quedaron expuestos en una filtración, o si su huella dactilar o escaneo facial se recopiló sin su consentimiento, podría ser elegible para unirse a un reclamo por compensación. Averígüelo gratis y sin compromiso.
Fuentes y referencias
- Código de Utah, Capítulo 13-61 - Ley de Privacidad del Consumidor de Utah(le.utah.gov).gov
- Código de Utah 13-61-101 - Definiciones de la UCPA(le.utah.gov).gov
- Código de Utah 13-61-302 - Responsabilidades del Controlador(le.utah.gov).gov
- SB 227 - Ley de Privacidad del Consumidor de Utah (Registrada)(le.utah.gov).gov
- División de Protección al Consumidor de Utah - UCPA(dcp.utah.gov).gov
- Fiscal General de Utah - Privacidad de Datos(attorneygeneral.utah.gov).gov
- Utah Demanda a Snapchat - Acción de Aplicación de la UCPA(dcp.utah.gov).gov
- Informe de Evaluación de la Ley de Privacidad del Consumidor de Utah(le.utah.gov).gov