Virginia
Leyes de Privacidad Biométrica de Virginia: Recopilación, Consentimiento y Sanciones (2026)

Virginia regula los datos biométricos a través de la Ley de Protección de Datos del Consumidor de Virginia, clasificándolos como datos personales sensibles conforme a Va. Code 59.1-578(A)(5) y exigiendo consentimiento explícito antes de que cualquier empresa recopile huellas dactilares, huellas de voz o escaneos de iris. Virginia no tiene una ley biométrica independiente; la VCDPA es el marco principal del estado, aplicado exclusivamente por el Fiscal General.
Virginia no tiene un estatuto independiente de privacidad biométrica como la BIPA de Illinois o la CUBI de Texas. En cambio, Virginia protege los datos biométricos a través de la Ley de Protección de Datos del Consumidor de Virginia (VCDPA), una ley integral de privacidad del consumidor que clasifica los identificadores biométricos como datos sensibles que requieren consentimiento explícito afirmativo.
El gobernador Ralph Northam firmó el Proyecto de Ley del Senado 1392 el 2 de marzo de 2021, convirtiendo a Virginia en el segundo estado después de California en promulgar una ley integral de privacidad de datos del consumidor. La VCDPA entró en vigor el 1 de enero de 2023.
Para obtener una visión general del marco de privacidad más amplio de Virginia, consulte la guía principal de Leyes de Privacidad de Datos de Virginia.
Cómo Define la VCDPA los Datos Biométricos

La VCDPA define los datos biométricos conforme a Va. Code 59.1-575 como datos generados por mediciones automáticas de las características biológicas de una persona que se utilizan para identificar a una persona específica. El estatuto enumera estos ejemplos:
- Huellas dactilares
- Huellas de voz
- Retinas oculares
- Iris
- Otros patrones o características biológicas únicas
La ley traza un límite claro sobre lo que no califica. Una fotografía física o digital, una grabación de video o audio, o los datos generados a partir de esas grabaciones no son datos biométricos según la VCDPA. La información recopilada, usada o almacenada para el tratamiento, pago u operaciones de atención médica bajo la HIPAA también está excluida de la definición.
Esta definición sigue el enfoque utilizado en varios otros estatutos estatales integrales de privacidad, incluidos Connecticut y Kentucky. Es más limitada que la definición utilizada en la BIPA de Illinois, que cubre un conjunto más amplio de identificadores biométricos sin las mismas exclusiones.
Clasificación de Datos Sensibles y Requisitos de Consentimiento

Conforme a la VCDPA, los datos biométricos procesados con el propósito de identificar de manera única a una persona califican como "datos sensibles". Esta es la categoría de mayor protección en la ley.
Otras categorías de datos sensibles conforme a Va. Code 59.1-575 incluyen:
- Datos que revelan origen racial o étnico
- Creencias religiosas
- Diagnósticos de salud mental o física
- Orientación sexual
- Estatus de ciudadanía o inmigración
- Datos genéticos procesados con fines de identificación
- Datos de geolocalización precisa
- Datos personales recopilados de un menor conocido menor de 13 años
Requisito de consentimiento. Los responsables del tratamiento deben obtener el consentimiento explícito de un consumidor antes de procesar datos sensibles, incluidos los datos biométricos, conforme a Va. Code 59.1-578(A)(5). Esto significa que una empresa no puede recopilar su huella dactilar, huella facial o escaneo de iris con fines de identificación sin antes solicitar y recibir su acuerdo afirmativo.
La VCDPA define el "consentimiento" como un acto afirmativo claro que indica el acuerdo libremente otorgado, específico, informado e inequívoco de un consumidor para procesar datos personales. Una cláusula oculta en un acuerdo de términos de servicio o una casilla premarcada no cumple con este estándar. El consentimiento debe involucrar una acción deliberada, como una declaración escrita u otro acto afirmativo inequívoco.
Quién Debe Cumplir con la VCDPA
La VCDPA se aplica a las entidades que hacen negocios en Virginia o producen productos o servicios dirigidos a residentes de Virginia y que cumplen con uno de estos umbrales conforme a Va. Code 59.1-576:
- Procesan los datos personales de 100,000 o más consumidores de Virginia durante un año calendario, o
- Procesan los datos personales de 25,000 o más consumidores de Virginia y obtienen más del 50% de sus ingresos brutos de la venta de datos personales
El término "venta" bajo la VCDPA cubre únicamente los intercambios por contraprestación monetaria. Esto es más limitado que las leyes de estados como California, que también cubren los intercambios de valor no monetarios.
Exenciones Clave
La VCDPA excluye varias categorías de entidades y tipos de datos de su cobertura conforme a Va. Code 59.1-576:
Exenciones de entidades:
- Agencias del gobierno estatal y local de Virginia
- Instituciones financieras sujetas a la Ley Gramm-Leach-Bliley (GLBA)
- Entidades cubiertas por la HIPAA
- Organizaciones sin fines de lucro
- Instituciones de educación superior
Exenciones de datos:
- Información de salud protegida bajo la HIPAA
- Datos de informes crediticios al consumidor bajo la Ley de Informe Justo de Crédito (FCRA)
- Datos cubiertos por la Ley de Derechos Educativos y Privacidad Familiar (FERPA)
- Datos bajo la Ley de Protección de la Privacidad del Conductor (DPPA)
Exención de datos de empleados. La VCDPA excluye de su cobertura los datos personales recopilados en un contexto de empleo. Si su empleador recopila sus huellas dactilares para un sistema de control de horario o usa el reconocimiento facial para el acceso a edificios, la VCDPA no se aplica a esa recopilación. Virginia no ha promulgado una ley separada que regule el uso de datos biométricos por parte de los empleadores, aunque un proyecto de ley (HB 1215) que proponía protecciones de datos biométricos para empleados con una sanción de $25,000 por infracción fue presentado y quedó estancado en comité.
Derechos del Consumidor Sobre los Datos Biométricos
Debido a que los datos biométricos son datos personales sensibles bajo la VCDPA, los consumidores de Virginia tienen estos derechos conforme a Va. Code 59.1-577:
Derecho de confirmación y acceso. Puede preguntar a cualquier empresa cubierta si está procesando sus datos biométricos y solicitar acceso a esos datos.
Derecho de corrección. Si una empresa posee datos biométricos inexactos sobre usted, puede solicitar una corrección.
Derecho de eliminación. Puede solicitar que una empresa elimine los datos biométricos que posee sobre usted.
Derecho a la portabilidad de datos. Puede obtener una copia de sus datos biométricos en un formato portátil y fácilmente utilizable.
Derecho de exclusión. Puede excluirse del procesamiento de sus datos personales para publicidad dirigida, venta de datos o elaboración de perfiles que produzca efectos legales o de importancia similar.
Derecho a la no discriminación. Las empresas no pueden penalizarlo por ejercer cualquiera de estos derechos negándole bienes o servicios, cobrándole precios diferentes o brindándole una calidad de servicio diferente.
Las empresas deben responder a las solicitudes de derechos del consumidor dentro de 45 días conforme a la VCDPA. Pueden extender este período por 45 días adicionales cuando sea razonablemente necesario, pero deben notificar al consumidor sobre la extensión y el motivo. Si una empresa deniega su solicitud, usted puede apelar, y la empresa debe responder a la apelación dentro de 60 días. Si la apelación es denegada, la empresa debe proporcionar información de contacto para presentar una queja ante el Fiscal General de Virginia.
Evaluaciones de Protección de Datos para Datos Biométricos
Los responsables del tratamiento que procesan datos sensibles, incluidos los datos biométricos, deben realizar evaluaciones de protección de datos conforme a Va. Code 59.1-580. Estas evaluaciones se aplican a las actividades de procesamiento creadas o generadas después del 1 de enero de 2023.
Una evaluación de protección de datos debe sopesar los beneficios del procesamiento frente a los riesgos potenciales para el consumidor, incluidos los riesgos de:
- Trato desleal o engañoso o impacto dispar ilegal
- Lesión financiera, física o reputacional
- Intrusión en la soledad o el aislamiento
- Otra lesión sustancial
El Fiscal General de Virginia puede solicitar estas evaluaciones a través de una solicitud de investigación civil. Permanecen confidenciales y exentas de la inspección pública conforme a la Ley de Libertad de Información de Virginia.
Restricciones a la Tecnología de Reconocimiento Facial
Virginia va más allá de la VCDPA con estatutos separados que rigen el uso gubernamental de la tecnología de reconocimiento facial.
Policía estatal. Conforme a Va. Code 52-4.5, la Policía Estatal de Virginia puede usar el reconocimiento facial para 14 propósitos autorizados, incluida la identificación de sospechosos de delitos, la localización de personas desaparecidas y la detección de trata de personas. La tecnología debe ser evaluada por el Instituto Nacional de Estándares y Tecnología (NIST) y demostrar al menos un 98% de precisión de verdaderos positivos con variaciones mínimas en el rendimiento demográfico. El estatuto prohíbe el rastreo en tiempo real de personas identificadas y la creación de bases de datos a partir de transmisiones de video en vivo. Los operadores que violen estas reglas enfrentan cargos por delito menor de Clase 3.
Fuerzas del orden locales. Conforme a Va. Code 15.2-1723.2, las agencias locales de fuerzas del orden enfrentan restricciones similares. A partir del 1 de julio de 2026, ninguna agencia local de fuerzas del orden puede comprar o implementar tecnología de reconocimiento facial a menos que esté expresamente autorizada por estatuto. La tecnología debe permanecer bajo el control exclusivo de la agencia, y los datos deben mantenerse confidenciales y ser accesibles únicamente mediante órdenes de registro.
Educación superior. Conforme a Va. Code 23.1-815.1, los departamentos de policía universitaria también tienen prohibido comprar o implementar tecnología de reconocimiento facial a menos que esté expresamente autorizada por estatuto, a partir del 1 de julio de 2026.
Notificación de Violaciones y Datos Biométricos
La ley de notificación de violaciones de Virginia en Va. Code 18.2-186.6 exige que las empresas notifiquen a las personas afectadas y al Fiscal General cuando una violación de seguridad compromete información personal sin cifrar.
La definición actual de "información personal" según el estatuto de notificación de violaciones cubre el primer nombre o inicial y el apellido combinados con un número de Seguro Social, número de licencia de conducir, números de cuentas financieras, número de pasaporte o identificación militar. Los datos biométricos no figuran específicamente como un elemento de datos que activa este estatuto.
Sin embargo, la ley de notificación de violaciones contiene una disposición notable para los consumidores: preserva explícitamente el derecho de una persona a recuperar daños económicos directos de una infracción. Esto significa que, a diferencia de la VCDPA, donde la aplicación se limita al Fiscal General, el estatuto de notificación de violaciones de Virginia permite un derecho de acción privado por reparación monetaria. Los tribunales han admitido demandas individuales y colectivas conforme a esta disposición.
La limitación a "daños económicos directos" significa que las personas deben demostrar pérdidas financieras reales. Los daños no económicos, como la angustia emocional o el tiempo dedicado a monitorear el crédito, generalmente no son recuperables bajo este estatuto específico.
Aplicación a Instituciones Financieras
Las infracciones cometidas por instituciones financieras autorizadas o con licencia estatal son aplicables exclusivamente por el regulador estatal principal de la institución. Las personas no pueden iniciar acciones privadas contra estas entidades conforme a este estatuto.
Estatuto Separado de Notificación de Violaciones de Información Médica
Virginia mantiene un estatuto separado de notificación de violaciones para la información médica. Va. Code 32.1-127.1:05 se aplica a las entidades que poseen registros médicos y exige la notificación cuando se viola la información médica. Esta es una obligación distinta de la notificación general de violación de información personal bajo el 18.2-186.6.
Aplicación y Sanciones

El Fiscal General de Virginia tiene autoridad de aplicación exclusiva sobre la VCDPA. No existe un derecho de acción privado, lo que significa que los consumidores individuales no pueden presentar demandas contra las empresas por infracciones de la VCDPA.
El proceso de aplicación funciona de la siguiente manera:
- El Fiscal General identifica una posible infracción y envía un aviso por escrito que identifica las disposiciones específicas en cuestión
- La empresa tiene 30 días para subsanar la presunta infracción
- Si la empresa subsana la infracción y proporciona una declaración por escrito de que no incurrirá en más infracciones, el Fiscal General no toma medidas
- Si la empresa no logra subsanar, el Fiscal General puede iniciar una acción civil con sanciones de hasta $7,500 por infracción
- El Fiscal General también puede recuperar los gastos razonables de investigación, incluidos los honorarios de abogados
El período de subsanación de 30 días es permanente bajo la VCDPA. A diferencia de las leyes de privacidad de algunos otros estados que han eliminado o planean eliminar sus períodos de subsanación, la disposición de subsanación de Virginia sigue vigente.
A principios de 2026, la oficina del Fiscal General de Virginia ha enfocado su actividad de aplicación en las disposiciones más recientes de la VCDPA, incluidas las restricciones de redes sociales para menores que entraron en vigor el 1 de enero de 2026. El Fiscal General Jay Jones anunció en febrero de 2026 que su oficina tiene la intención de aplicar plenamente estas disposiciones.
Los consumidores pueden presentar quejas sobre posibles infracciones de la VCDPA ante la Oficina del Fiscal General de Virginia.
Legislación Reciente y Pendiente
El panorama de privacidad biométrica de Virginia continúa desarrollándose:
Enmiendas de la VCDPA de 2025. La Asamblea General de Virginia enmendó la VCDPA para añadir protecciones para la información reproductiva y de salud sexual, vigentes desde el 1 de julio de 2025. Estas enmiendas crearon un nuevo requisito de consentimiento antes de que las entidades puedan recopilar, divulgar, vender o difundir información reproductiva o de salud sexual de identificación personal.
Disposiciones de redes sociales de 2026. El SB 854, firmado como ley el 2 de mayo de 2025, añadió requisitos para que las plataformas de redes sociales utilicen métodos comercialmente razonables para determinar si los usuarios son menores de 16 años y limitar el uso de los menores a una hora por día a menos que un padre consienta en aumentar el límite. Estas disposiciones entraron en vigor el 1 de enero de 2026.
Caducidad del reconocimiento facial. Los marcos actuales para el uso de reconocimiento facial por la policía estatal y las fuerzas del orden locales (Va. Code 52-4.5) están programados para expirar el 1 de julio de 2026, con disposiciones revisadas que entrarán en vigor e impondrán requisitos de autorización más estrictos.
Datos biométricos de empleados. Virginia no ha promulgado una ley independiente sobre datos biométricos de empleados. El HB 1215, que habría establecido requisitos para la captura y destrucción de datos biométricos por parte de empleadores, con sanciones de hasta $25,000 por infracción y un derecho de acción privado, quedó estancado en comité durante la sesión de 2021 y no ha sido reintroducido.
Cómo Se Compara Virginia con Otros Estados
El enfoque de Virginia sobre la privacidad biométrica se sitúa en el medio del espectro entre los estados de EE. UU.:
Más fuerte que los estados sin protecciones. Muchos estados todavía carecen de protecciones específicas de datos biométricos. La clasificación de Virginia de los datos biométricos como datos sensibles que requieren consentimiento, combinada con sus restricciones de reconocimiento facial para el gobierno, la coloca por delante de los estados que no tienen ningún marco de privacidad establecido.
Más débil que las leyes dedicadas de privacidad biométrica. Estados como Illinois, Texas y Washington tienen estatutos independientes de privacidad biométrica con requisitos específicos de aviso, consentimiento, cronogramas de retención y destrucción de datos. La BIPA de Illinois incluye un derecho de acción privado que ha producido litigios significativos y acuerdos que superan los $1,000 millones.
Similar a otros estados con leyes integrales de privacidad. El enfoque de Virginia se asemeja mucho al de estados como Connecticut, Colorado y Kentucky, que clasifican los datos biométricos como datos sensibles dentro de sus marcos integrales de privacidad del consumidor y exigen consentimiento explícito para su procesamiento.
Más leyes de Virginia
- Leyes de Grabación de Reuniones con IA de Virginia
- Leyes de Pensión Alimenticia de Virginia
- Leyes de Empleo a Voluntad de Virginia
- Leyes de Accidentes de Auto de Virginia
- Leyes de Asientos de Seguridad para Niños de Virginia
- Leyes de Custodia de los Hijos de Virginia
- Leyes de Manutención de los Hijos de Virginia
- Leyes de Matrimonio de Hecho de Virginia
- Leyes de Deepfake de Virginia
- Leyes de Divorcio de Virginia
- Leyes de Mordedura de Perro de Virginia
- Leyes de Emancipación de Virginia
- Leyes de Eliminación de Antecedentes de Virginia
- Leyes de Atropello y Fuga de Virginia
- Leyes de Propietarios e Inquilinos de Virginia
- Leyes Limón de Virginia
Fuentes y Referencias
Este artículo hace referencia a los estatutos de Virginia y a publicaciones oficiales del gobierno estatal. Para el texto completo de la VCDPA, visite el Sistema de Información Legislativa de Virginia. Para obtener orientación sobre los derechos del consumidor y presentar quejas, visite la Oficina del Fiscal General de Virginia.
Este artículo proporciona información legal general sobre las leyes de privacidad biométrica de Virginia. No constituye asesoría legal. Consulte a un abogado calificado con licencia en Virginia para obtener orientación sobre su situación específica. Las leyes y regulaciones cambian con frecuencia. Verifique los requisitos vigentes a través de fuentes oficiales del gobierno de Virginia.
¿Afectado por una filtración de datos o una violación de privacidad biométrica?
Si sus datos personales quedaron expuestos en una filtración, o si su huella dactilar o escaneo facial se recopiló sin su consentimiento, podría ser elegible para unirse a un reclamo por compensación. Averígüelo gratis y sin compromiso.
Fuentes y referencias
- Ley de Protección de Datos del Consumidor de Virginia (Texto Completo)(law.lis.virginia.gov).gov
- Va. Code 59.1-575 - Definiciones de la VCDPA(law.lis.virginia.gov).gov
- Va. Code 59.1-576 - Alcance y Exenciones(law.lis.virginia.gov).gov
- Va. Code 59.1-577 - Derechos de Datos Personales del Consumidor(law.lis.virginia.gov).gov
- Va. Code 59.1-578 - Responsabilidades del Responsable del Tratamiento de Datos(law.lis.virginia.gov).gov
- Va. Code 59.1-580 - Evaluaciones de Protección de Datos(law.lis.virginia.gov).gov
- Va. Code 59.1-584 - Aplicación de la VCDPA(law.lis.virginia.gov).gov
- Va. Code 18.2-186.6 - Notificación de Violaciones(law.lis.virginia.gov).gov
- Va. Code 52-4.5 - Tecnología de Reconocimiento Facial (Policía Estatal)(law.lis.virginia.gov).gov
- Va. Code 15.2-1723.2 - Reconocimiento Facial (Fuerzas del Orden Locales)(law.lis.virginia.gov).gov
- Va. Code 23.1-815.1 - Reconocimiento Facial (Policía Universitaria)(law.lis.virginia.gov).gov
- Fiscal General de Virginia - Derechos de Privacidad de Datos del Consumidor(oag.state.va.us).gov
- Proyecto de Ley del Senado 1392 (2021) - Promulgación de la VCDPA(lis.virginia.gov).gov