Washington
Leyes de Privacidad Biometrica de Washington: Recopilacion, Consentimiento y Sanciones (2026)

Washington regula los datos biometricos bajo dos estatutos superpuestos. RCW 19.375 exige que las empresas proporcionen aviso y obtengan consentimiento antes de inscribir identificadores biometricos con fines comerciales, y el Fiscal General aplica sanciones de hasta $7,500 por infraccion. La Ley My Health My Data (RCW 19.373) agrega derechos separados de consentimiento y eliminacion para los datos biometricos.
Washington es uno de los pocos estados con un estatuto dedicado de privacidad biometrica. El Proyecto de Ley de la Camara 1493, firmado en 2017 y codificado como Capitulo 19.375 RCW, regula como las empresas privadas recopilan, almacenan y usan identificadores biometricos con fines comerciales. A diferencia de la BIPA de Illinois, la ley de Washington no incluye un derecho de accion privada, dejando la aplicacion unicamente en manos del Fiscal General estatal.
Washington tambien regula el uso gubernamental de datos biometricos mediante un estatuto separado (RCW 40.26) y restringe la tecnologia de reconocimiento facial gubernamental bajo RCW 43.386. La Ley My Health My Data agrega otra capa al tratar los datos biometricos como datos de salud del consumidor con sus propios requisitos de consentimiento y eliminacion.
Para una descripcion general del marco de privacidad mas amplio de Washington, consulte la guia principal de Leyes de Privacidad de Datos de Washington.
Que Cubre RCW 19.375: Definiciones y Alcance

El estatuto de identificadores biometricos define terminos clave bajo RCW 19.375.010. Comprender estas definiciones es esencial porque determinan que actividades activan los requisitos de la ley.
Un identificador biometrico significa datos generados por mediciones automaticas de las caracteristicas biologicas de una persona que se usan para identificar a una persona especifica. El estatuto enumera huellas dactilares, huellas de voz, retinas e iris de los ojos, y otros patrones biologicos unicos como ejemplos. Las fotografias, grabaciones de video, grabaciones de audio y datos de atencion medica quedan excluidos de la definicion.
El termino inscribir tiene un significado tecnico especifico. Se refiere al proceso de capturar un identificador biometrico, convertirlo en una plantilla de referencia que no puede reconstruirse en la imagen de salida original, y almacenarlo en una base de datos que empareja el identificador con una persona especifica. Simplemente capturar datos biometricos sin almacenarlos en una base de datos emparejada no constituye una inscripcion.
Un fin comercial significa promover la venta o divulgacion de un identificador biometrico a un tercero para comercializar bienes o servicios no relacionados con la transaccion inicial en la que se recopilo el identificador. Esta definicion es mas limitada de lo que cabria esperar. No cubre todos los usos empresariales de los datos biometricos, solo aquellos vinculados a la explotacion comercial por parte de terceros.
La ley define persona para incluir individuos, sociedades, corporaciones, LLC y otras entidades legales. Las agencias gubernamentales estan explicitamente excluidas de la definicion, lo que significa que RCW 19.375 se aplica unicamente a entidades del sector privado. El uso biometrico gubernamental cae bajo un estatuto separado.
Requisitos de Aviso y Consentimiento
Bajo RCW 19.375.020, una persona no puede inscribir un identificador biometrico en una base de datos con fines comerciales sin antes proporcionar aviso, obtener consentimiento, o proporcionar un mecanismo para prevenir el uso posterior de ese identificador con fines comerciales.
El estandar de aviso exige que las organizaciones divulguen sus intenciones a traves de un procedimiento razonablemente disenado para estar facilmente disponible para las personas afectadas. Sin embargo, el estatuto especifica que hacer disponible esta divulgacion no constituye, por si sola, un consentimiento afirmativo. Las empresas deben tomar el paso adicional de realmente obtener el consentimiento u ofrecer un mecanismo de exclusion voluntaria.
Una vez que una empresa ha recopilado datos biometricos con el aviso y consentimiento adecuados, no puede luego cambiar como se usan esos datos. El estatuto prohibe usar o divulgar un identificador biometrico de una manera materialmente incompatible con los terminos bajo los cuales se proporciono originalmente, a menos que la empresa obtenga un nuevo consentimiento para el nuevo proposito.
Restricciones sobre la Divulgacion a Terceros
Las empresas no pueden vender, arrendar ni divulgar de otro modo identificadores biometricos a terceros, excepto en circunstancias limitadas. Las divulgaciones permitidas incluyen situaciones en las que la divulgacion se alinea con el aviso y consentimiento originales, donde cumple un producto o servicio que la persona solicito, donde completa una transaccion financiera autorizada, donde la exige la ley, donde el destinatario promete contractualmente no divulgar mas los datos, o donde la divulgacion es necesaria para un litigio.
Estas restricciones crean un limite significativo a la explotacion comercial de los datos biometricos incluso para las empresas que obtienen adecuadamente el consentimiento inicial.
Obligaciones de Seguridad y Retencion
Las organizaciones que posean identificadores biometricos deben tomar un cuidado razonable para protegerse contra el acceso y la adquisicion no autorizados de los datos. El estatuto no define "cuidado razonable" con especificidad, dejando margen para la interpretacion basada en los estandares de la industria y la sensibilidad de los datos.
En cuanto a la retencion, las empresas pueden conservar los identificadores biometricos solo el tiempo necesario para uno de tres fines: cumplir con una orden judicial u otra obligacion legal, prevenir el fraude, o proporcionar los servicios para los cuales la persona se inscribio. Cuando ninguno de estos fines aplica, los datos deben eliminarse.
La Excepcion por Fin de Seguridad

Una de las caracteristicas mas significativas de la ley biometrica de Washington es la excepcion por fin de seguridad. Las entidades que recopilan, capturan, inscriben o almacenan un identificador biometrico con un fin de seguridad no estan obligadas a proporcionar aviso ni obtener consentimiento.
El estatuto define un fin de seguridad como prevenir el hurto, el fraude, la malversacion o el robo, asi como proteger software, cuentas, aplicaciones, servicios en linea o la seguridad de las personas.
Esta excepcion tiene implicaciones practicas para los empleadores. Una empresa que usa escaneres de huellas dactilares para controlar el acceso a un edificio o prevenir el "fichaje por otro" en los sistemas de control de horario podria calificar potencialmente para la excepcion por fin de seguridad, ya que estos usos se relacionan con la prevencion de fraude y la seguridad de las instalaciones. Sin embargo, si ese mismo empleador comenzara a usar esos datos de huellas dactilares con fines comerciales como analitica de marketing, la excepcion ya no aplicaria, y entrarian en vigor los requisitos completos de aviso y consentimiento.
Exenciones Bajo RCW 19.375.040
RCW 19.375.040 excluye por completo tres categorias de entidades de los requisitos del estatuto.
Las instituciones financieras y sus afiliados sujetos al Titulo V de la Ley federal Gramm-Leach-Bliley de 1999 estan exentos. Esto cubre bancos, cooperativas de credito, aseguradoras y firmas de valores que ya enfrentan obligaciones federales de privacidad relacionadas con los datos financieros de los clientes.
Las entidades de atencion medica sujetas al Titulo V de la Ley de Portabilidad y Responsabilidad del Seguro Medico (HIPAA) de 1996 tambien estan exentas. Los hospitales, planes de salud y otras entidades cubiertas que recopilan datos biometricos en el curso de operaciones de atencion medica no necesitan cumplir con RCW 19.375.
Los oficiales de aplicacion de la ley que actuan dentro del alcance de su autoridad estan excluidos. Esto incluye la autoridad de los oficiales estatales de aplicacion de la ley que ejecutan registros e incautaciones legales. El estatuto establece explicitamente que nada en el capitulo amplia o limita la autoridad existente de aplicacion de la ley.
Aplicacion y Sanciones

La legislatura declaro bajo RCW 19.375.030 que cualquier infraccion del capitulo de identificadores biometricos es un acto injusto o enganoso en el comercio y un metodo injusto de competencia bajo la Ley de Proteccion al Consumidor (RCW 19.86).
El Fiscal General tiene autoridad de aplicacion exclusiva. Las personas privadas no pueden presentar demandas por infracciones de RCW 19.375. Esto contrasta marcadamente con la BIPA de Illinois, que permite demandas privadas y ha generado miles de millones de dolares en pagos de acuerdos.
Bajo RCW 19.86.140, el Fiscal General puede buscar sanciones civiles de hasta $7,500 por infraccion de la Ley de Proteccion al Consumidor. Para infracciones de mandatos judiciales relacionados con la privacidad biometrica, las sanciones pueden alcanzar $125,000 por infraccion. Se aplica un adicional de $5,000 a las infracciones que se dirigen a personas segun caracteristicas protegidas, incluyendo edad, raza, discapacidad o condicion de veterano.
El Fiscal General tambien puede buscar medidas cautelares, restitucion y honorarios de abogados. En la practica, las acciones de aplicacion de la privacidad biometrica bajo RCW 19.375 han sido limitadas en comparacion con la ola de litigios vista en Illinois. El modelo de aplicacion exclusiva del Fiscal General significa que las infracciones deben alcanzar un nivel que atraiga la atencion y los recursos del principal funcionario legal del estado.
Reglas Biometricas Gubernamentales: RCW 40.26
Washington aborda el uso gubernamental de identificadores biometricos mediante un estatuto separado, RCW 40.26. Esta ley se promulgo junto con el H.B. 1493 en 2017 y se aplica a las agencias gubernamentales estatales y locales.
Aviso y Consentimiento para la Recopilacion Gubernamental
Las agencias deben proporcionar un aviso claro del proposito y uso de la recopilacion biometrica y obtener consentimiento especifico antes de recopilar datos biometricos. Ese consentimiento debe registrarse y mantenerse durante todo el periodo de retencion. Este es un estandar de consentimiento mas estricto que la ley del sector privado, que permite el consentimiento o un mecanismo de exclusion voluntaria.
Restricciones de Uso, Intercambio y Venta
Se prohibe a las agencias gubernamentales vender identificadores biometricos por completo. Solo pueden usar los datos biometricos segun lo especificado en el consentimiento o segun lo autorizado de otro modo por la ley. Compartir identificadores biometricos con otras agencias esta permitido unicamente para llevar a cabo el proposito original o cuando este expresamente autorizado por el consentimiento de la persona.
Almacenamiento, Retencion y Minimizacion de Datos
Las agencias deben establecer politicas de seguridad que garanticen la integridad y la confidencialidad apropiada de los datos biometricos. El estatuto exige que las agencias aborden la biometria en sus politicas de privacidad, retengan los datos solo el tiempo necesario para el proposito de recopilacion original, establezcan cronogramas de retencion adaptados, y disenen politicas que minimicen la recopilacion a lo estrictamente necesario.
Requisito de Revision Anual
Las agencias deben realizar revisiones anuales de sus politicas biometricas para incorporar nuevos desarrollos tecnologicos y responder a quejas. Esta obligacion continua de revision es unica entre las leyes estatales de biometria y refleja el enfoque proactivo de Washington hacia la gestion de datos gubernamentales.
Exenciones Gubernamentales
Las agencias de aplicacion de la ley de autoridad general estan exentas de RCW 40.26. Las agencias de aplicacion de la ley de autoridad limitada pueden recopilar huellas dactilares y ADN sin consentimiento, pero deben proporcionar aviso por escrito al funcionario jefe de privacidad del estado y a la legislatura.
La definicion de identificador biometrico bajo RCW 40.26 es similar pero no identica a la definicion del sector privado. Cubre escaneos de retina e iris, huellas dactilares, huellas de voz, ADN, y geometria de manos y rostro. Excluye muestras de escritura, fotografias, datos demograficos, muestras medicas, tejidos de organos, informacion de atencion medica cubierta por HIPAA, e imagenes medicas usadas para diagnostico o tratamiento.
Restricciones de Reconocimiento Facial: RCW 43.386
Washington dio un paso adicional en 2020 al promulgar el SB 6280, codificado como RCW 43.386, que regula el uso gubernamental de la tecnologia de reconocimiento facial. Esta ley entro en vigor el 1 de julio de 2021.
Las agencias estatales y locales deben presentar informes de rendicion de cuentas antes de implementar el reconocimiento facial, incluyendo una evaluacion de impacto en los derechos civiles, datos de tasa de coincidencias falsas y resultados de pruebas en subpoblaciones distintas. Las agencias deben celebrar al menos tres reuniones de consulta comunitaria durante el proceso de revision publica.
La aplicacion de la ley enfrenta restricciones especificas. Los oficiales no pueden usar el reconocimiento facial para vigilancia continua, identificacion en tiempo real o rastreo persistente sin una orden judicial, circunstancias apremiantes u orden del tribunal. Los resultados de reconocimiento facial no pueden servir como la unica base para establecer causa probable. Las agencias deben divulgar el uso de reconocimiento facial a los acusados criminales de manera oportuna antes del juicio.
La Ley My Health My Data y los Datos Biometricos
La Ley My Health My Data de Washington (MHMDA), firmada en abril de 2023 y vigente para la mayoria de las empresas desde el 31 de marzo de 2024, crea una capa superpuesta de proteccion biometrica.
La MHMDA define explicitamente los datos biometricos como una categoria de datos de salud del consumidor. Su definicion cubre imagenes del iris, la retina, huellas dactilares, el rostro, la mano, la palma y los patrones de venas, grabaciones de voz de las cuales se pueden extraer identificadores, y patrones de pulsacion de teclas, patrones de marcha y datos de ejercicio que contienen informacion de identificacion. Esto es mas amplio que la definicion de RCW 19.375.
Bajo la MHMDA, las empresas no pueden recopilar datos de salud del consumidor, incluidos los identificadores biometricos, sin obtener consentimiento para un proposito especificado o establecer que la recopilacion es necesaria para proporcionar un producto o servicio solicitado. Compartir datos biometricos con terceros requiere un consentimiento separado y distinto que divulgue claramente las categorias de datos y los usos especificos previstos.
Los consumidores tienen el derecho a solicitar la eliminacion de sus datos biometricos. Las empresas deben eliminar los datos de todas las partes de su red, incluidos los sistemas de archivo y respaldo. Los encargados del tratamiento y los terceros que recibieron los datos tambien deben cumplir con las solicitudes de eliminacion.
Las infracciones de la MHMDA se tratan como infracciones per se de la Ley de Proteccion al Consumidor. A diferencia de RCW 19.375, la MHMDA canaliza las quejas a traves del Fiscal General pero no limita explicitamente la aplicacion al Fiscal General unicamente.
Obligaciones del Empleador en Washington
Los empleadores de Washington que recopilan datos biometricos de los trabajadores deben evaluar que estatutos se aplican a su caso de uso especifico.
La excepcion por fin de seguridad bajo RCW 19.375 puede cubrir los sistemas de control de horario basados en huellas dactilares y los controles de acceso biometricos si el proposito principal es la prevencion de fraude o la seguridad fisica. Sin embargo, si el empleador usa los datos biometricos para cualquier fin comercial mas alla de la seguridad, se aplican los requisitos completos de aviso y consentimiento.
La Ley My Health My Data puede imponer obligaciones adicionales dependiendo de si los datos biometricos califican como datos de salud del consumidor en el contexto laboral. El alcance de la MHMDA esta vinculado a las relaciones con el consumidor, y su aplicacion a los datos de empleo requiere un analisis cuidadoso.
Los empleadores gubernamentales enfrentan los requisitos mas estrictos de RCW 40.26, incluyendo consentimiento especifico, minimizacion de datos, cronogramas de retencion y revisiones anuales de politicas.
Sin importar que estatuto aplique, todos los empleadores de Washington que recopilan datos biometricos deben mantener politicas escritas sobre recopilacion, uso, retencion y destruccion. Tambien deben garantizar que medidas de seguridad razonables protejan los identificadores biometricos almacenados contra el acceso no autorizado.
Como se Compara Washington con Otras Leyes Estatales de Biometria
El marco de privacidad biometrica de Washington ocupa un punto medio entre las leyes estatales de biometria.
La BIPA de Illinois sigue siendo el estatuto mas agresivo, con su derecho de accion privada que ha generado acuerdos historicos contra empresas como Facebook y Google. Washington opto por no seguir ese modelo, eligiendo la aplicacion exclusiva del Fiscal General.
La CUBI de Texas comparte el enfoque de aplicacion exclusiva del Fiscal General de Washington, pero impone sanciones maximas mas altas de hasta $25,000 por infraccion. Texas tambien carece de la excepcion por fin de seguridad que ofrece Washington.
Lo que distingue a Washington es la amplitud de su enfoque regulatorio. Ningun otro estado ha combinado un estatuto biometrico dedicado (RCW 19.375), una ley biometrica gubernamental (RCW 40.26), una ley de rendicion de cuentas de reconocimiento facial (RCW 43.386) y una ley de datos de salud que cubre la biometria (RCW 19.373) en un marco entrelazado. Las empresas que operan en Washington deben navegar las cuatro capas.
Mas Leyes de Washington
- Leyes de Grabacion con IA en Reuniones de Washington
- Leyes de Pension Alimenticia de Washington
- Leyes de Empleo a Voluntad de Washington
- Leyes de Accidentes de Auto de Washington
- Leyes de Asientos para Auto de Washington
- Leyes de Custodia de Menores de Washington
- Leyes de Manutencion Infantil de Washington
- Leyes de Matrimonio de Hecho de Washington
- Leyes de Deepfake de Washington
- Leyes de Divorcio de Washington
- Leyes de Choque y Fuga de Washington
- Leyes de Emancipacion de Washington
- Leyes de Eliminacion de Antecedentes de Washington
- Leyes de Choque y Fuga de Washington
- Leyes de Propietarios e Inquilinos de Washington
- Leyes del Limon de Washington
Fuentes y Referencias
Este articulo hace referencia a los estatutos del estado de Washington y a publicaciones gubernamentales oficiales. Para el texto completo de la ley de identificadores biometricos, visite RCW 19.375 en el sitio web de la Legislatura del Estado de Washington. Para las reglas biometricas gubernamentales, consulte RCW 40.26. Para la Ley My Health My Data, consulte RCW 19.373. Para informacion sobre como presentar una queja de proteccion al consumidor, visite el Fiscal General de Washington.
Este articulo proporciona informacion legal general sobre las leyes de privacidad biometrica de Washington. No constituye asesoria legal. Consulte a un abogado calificado para orientacion sobre su situacion especifica. Las leyes y regulaciones cambian con frecuencia. Verifique los requisitos vigentes a traves de fuentes gubernamentales oficiales de Washington.
¿Afectado por una filtración de datos o una violación de privacidad biométrica?
Si sus datos personales quedaron expuestos en una filtración, o si su huella dactilar o escaneo facial se recopiló sin su consentimiento, podría ser elegible para unirse a un reclamo por compensación. Averígüelo gratis y sin compromiso.
Fuentes y referencias
- RCW 19.375, Capitulo de Identificadores Biometricos(app.leg.wa.gov).gov
- RCW 19.375.010, Definiciones de Identificador Biometrico(app.leg.wa.gov).gov
- RCW 19.375.020, Inscripcion, Divulgacion y Retencion(app.leg.wa.gov).gov
- RCW 19.375.030, Aplicacion de la Ley de Proteccion al Consumidor(app.leg.wa.gov).gov
- RCW 19.375.040, Exclusiones(app.leg.wa.gov).gov
- RCW 40.26, Identificadores Biometricos Gubernamentales(app.leg.wa.gov).gov
- RCW 40.26.020, Aviso de Agencia, Consentimiento, Almacenamiento, Retencion(app.leg.wa.gov).gov
- RCW 43.386, Reconocimiento Facial (SB 6280)(app.leg.wa.gov).gov
- RCW 19.373, Ley My Health My Data de Washington(app.leg.wa.gov).gov
- RCW 19.86, Ley de Proteccion al Consumidor(app.leg.wa.gov).gov
- RCW 19.86.140, Sanciones Civiles(app.leg.wa.gov).gov
- Fiscal General de Washington, Division de Proteccion al Consumidor(atg.wa.gov).gov
- SB 6280, Resumen del Proyecto de Ley de Reconocimiento Facial(app.leg.wa.gov).gov
- Informe del Proyecto de Ley de la Camara HB 1493(lawfilesext.leg.wa.gov).gov