Datos Biométricos en la Era de la IA: El Próximo Campo Minado Regulatorio que los Ejecutivos No Pueden Ignorar

El reconocimiento facial en el torniquete, la autenticación por voz en el call center, el análisis de expresiones en videoentrevistas de candidatos. Las tecnologías biométricas están penetrando el entorno corporativo a una velocidad que supera el desarrollo de marcos regulatorios y políticas internas de gobernanza. El resultado es una exposición legal creciente que ya ha costado miles de millones de dólares en acuerdos y que se intensificará en 2026.

El Precedente Americano: BIPA como Modelo

La Illinois Biometric Information Privacy Act, en vigor desde 2008, es la ley de privacidad biométrica más litigada de los Estados Unidos. Exige consentimiento informado antes de la recolección de datos biométricos, prohíbe la venta o transferencia de datos sin consentimiento, e impone una retención mínima de datos, con destrucción obligatoria cuando se alcanza la finalidad original.

La consecuencia financiera es significativa. La BIPA ha generado más de 2.5 mil millones de dólares en acuerdos colectivos desde su promulgación, incluyendo 650 millones de dólares pagados por Facebook en 2021 por el uso de reconocimiento facial para etiquetar fotos sin consentimiento, y 228 millones de dólares pagados por BNSF Railway por lecturas biométricas de conductores de camiones sin las debidas autorizaciones.

En 2025, Texas y Washington aprobaron expansiones en sus legislaciones de privacidad biométrica, ampliando el alcance de las obligaciones para empresas de cualquier tamaño que recojan estos datos de residentes en estos estados.

El Marco Europeo

El EU AI Act clasifica los sistemas de identificación biométrica remota en espacios públicos como de "alto riesgo" y prohíbe, con excepciones estrechas, el uso de sistemas de identificación biométrica en tiempo real por parte de autoridades policiales. Para uso corporativo, cualquier sistema que utilice biometría para la toma de decisiones que afecten a individuos, como la selección de candidatos o el monitoreo del desempeño, está sujeto a las obligaciones de alto riesgo del AI Act.

El GDPR ya prohibía el tratamiento de datos biométricos sin una base jurídica específica. La intersección con el AI Act crea una doble capa de cumplimiento que afecta directamente a los sistemas de autenticación corporativa, control de acceso físico y herramientas de recursos humanos que incorporan análisis biométrico.

El Riesgo Específico de RRHH y Contratación

Una categoría de riesgo particularmente subestimada es el uso de IA en procesos de selección y evaluación de candidatos. Diversas jurisdicciones, incluyendo Maryland (EE.UU.) y la UE bajo el AI Act, exigen que los candidatos sean informados cuando se use IA en entrevistas y que puedan solicitar una revisión humana de la decisión. El uso de análisis de microexpresiones o tono de voz como criterio de selección sin las debidas divulgaciones y bases jurídicas ya ha generado litigios en ambos lados del Atlántico.

Para el CHRO y el General Counsel en conjunto, la agenda de 2026 incluye la auditoría de todos los puntos de recolección biométrica en la organización, revisión de contratos con proveedores de HR tech que incorporan análisis de comportamiento o expresión, y desarrollo de políticas de retención y destrucción de datos biométricos que sean auditables.