Que hace especial a un dato biometrico
Hay una diferencia fundamental entre un numero de empleado y una huella dactilar, y no es solo de privacidad en sentido abstracto. Si alguien compromete tu contrasena, cambias la contrasena. Si alguien compromete tu huella, no puedes cambiar tu huella. Ese caracter irrepetible e irrevocable es exactamente lo que lleva al RGPD a tratar estos datos en una categoria aparte.
Son datos biometricos todos los que permiten identificar a una persona a partir de caracteristicas fisicas o de comportamiento: huella dactilar, geometria de la mano, reconocimiento facial, iris, voz. Entre 2019 y 2022, muchas empresas instalaron terminales biometricos cuando el RDL 8/2019 les obligo a implantar registro horario. Los proveedores de hardware los vendian como la opcion mas comoda, y nadie pregunto demasiado por las implicaciones de proteccion de datos. El resultado es que hoy hay miles de empresas en Espana con un problema legal activo del que no son conscientes.
Definicion legal (RGPD, art. 4.14): son datos biometricos los "datos personales obtenidos a partir de un tratamiento tecnico especifico, relativos a las caracteristicas fisicas, fisiologicas o conductuales de una persona fisica que permitan o confirmen la identificacion unica de dicha persona".
El articulo 9 del RGPD y el problema de la base legal
El RGPD clasifica los datos biometricos como datos de categoria especial en su articulo 9. El punto de partida es la prohibicion: este tipo de datos no se pueden tratar salvo que concurra alguna de las excepciones que el mismo articulo recoge. Para el control horario laboral, las dos que teoricamente podrian aplicar son:
- Art. 9.2.b: tratamiento necesario para el cumplimiento de obligaciones laborales, siempre que lo autorice una norma con rango de ley o un convenio colectivo.
- Art. 9.2.a: consentimiento explicito del trabajador, aunque con limitaciones importantes que explicamos mas adelante.
El problema con la primera via es sencillo de formular: en Espana no existe ninguna norma con rango de ley que habilite especificamente el uso de datos biometricos para el registro de jornada. El RDL 8/2019 obliga a registrar la jornada, si, pero en ningun momento dice que deba hacerse con huella dactilar. Lo que exige es un sistema fiable e inalterable. Eso se consigue perfectamente con un codigo numerico o un QR.
Y ahi esta el nucleo del argumento de la AEPD: si puedes cumplir la obligacion legal con un metodo menos intrusivo, la ley no solo permite sino que exige usar ese metodo. Usar biometria cuando no es necesario viola el principio de minimizacion de datos y el de proporcionalidad. No es una interpretacion creativa. Es la lectura literal del reglamento.
En Espana no existe ninguna habilitacion legal con rango de ley que autorice el uso de datos biometricos para el control horario. Sin esa base legal, el tratamiento es ilegal aunque el trabajador haya firmado un consentimiento.
Que dice exactamente la AEPD
En 2023 la Agencia publico su Guia sobre tratamientos de control de presencia mediante sistemas biometricos. Conviene entender que es este documento: no es una recomendacion de buenas practicas ni un aviso generico. Es el texto de referencia que la propia AEPD utiliza cuando instruye expedientes sancionadores. Ignorarlo es ignorar el criterio con el que te van a juzgar si llega una inspeccion.
La guia hace una distincion tecnica que tiene consecuencias juridicas directas. No es lo mismo un sistema que verifica la identidad (comparar la huella del empleado contra su propio perfil, en una relacion 1:1) que uno que la identifica (buscar quien es entre toda la base de datos, en una relacion 1:N). En el control horario habitual, lo que ocurre es identificacion. Y la AEPD lo clasifica como tratamiento de alto riesgo con independencia del tamano de la empresa o del sector en que opere.
La conclusion practica es clara: para el registro de jornada, el uso de biometria generalmente no supera el test de necesidad y proporcionalidad cuando existen alternativas menos intrusivas. La AEPD no lo dice como advertencia bienintencionada. Lo dice como criterio de resolucion.
Lo que implica en la practica: para justificar el uso de biometria, la empresa tendria que demostrar que ningun otro metodo puede garantizar la fiabilidad del registro. En la mayoria de entornos laborales, eso es imposible de demostrar. Un codigo personal, un QR o una tarjeta RFID hacen exactamente lo mismo sin tratar datos de categoria especial.
Las sanciones publicadas, con nombres y cifras
Esto no es teoria regulatoria. La AEPD ha sancionado a organizaciones concretas, los importes son publicos y los expedientes estan accesibles. El caso del Colegio Notarial de Aragon es especialmente relevante porque se refiere exactamente al control horario de empleados, no a control de acceso de clientes ni a otras finalidades que podrian tener matices distintos.
Ademas de las sanciones administrativas de la AEPD, en 2026 el Tribunal Superior de Justicia de Galicia condeno a una empresa a indemnizar a una trabajadora por imponerle fichaje biometrico cuando existian alternativas. Eso abre un segundo frente de riesgo para las empresas: no solo la multa de la Agencia, sino la reclamacion judicial por parte del propio empleado.
| Entidad | Motivo | Sancion impuesta | Importe pagado |
|---|---|---|---|
| Colegio Notarial de Aragon | Huella dactilar para registro de entradas y salidas de empleados, sin base legal ni almacenamiento descentralizado (AEPD, dic. 2024) | 20.000 euros | 12.000 euros reduccion por reconocimiento y pago voluntario |
| Burgos CF | Huella dactilar para control de acceso de aficionados al estadio, sin cumplir requisitos de necesidad y proporcionalidad (AEPD, abr. 2024) | 200.000 euros | 120.000 euros reduccion por reconocimiento y pago voluntario |
| Cadena Supera (gimnasios) | Reconocimiento facial obligatorio en acceso a instalaciones sin ofrecer alternativa, sin evaluacion de impacto previa (AEPD, ago. 2025) | 160.000 euros | 96.000 euros reduccion por reconocimiento y pago voluntario |
| Empresa anonima (sentencia TSJG 144/2026) | Reconocimiento facial obligatorio para control horario de empleados cuando existian alternativas disponibles (condena judicial, no sancion AEPD) | 53.766 euros 46.266 euros por extincion de contrato + 7.500 euros por danos morales | |
Lo que llama la atencion al revisar estos expedientes es que ninguna de estas organizaciones actuo con mala fe deliberada: simplemente instalaron un sistema que alguien les vendio como solucion al problema del registro horario, sin preguntarse si ese sistema era compatible con la normativa de proteccion de datos. La AEPD no valora la buena fe como eximente cuando el tratamiento carece de base legal.
Por que el consentimiento firmado no te protege
"Pero mis empleados firmaron el consentimiento cuando entraron." Es el argumento que escuchamos con mas frecuencia. Y entendemos la logica: si el trabajador acepto, cual es el problema?
El problema es que el RGPD exige que el consentimiento sea libre, especifico, informado e inequivoco. Y la AEPD, respaldada por el Comite Europeo de Proteccion de Datos, considera que en el contexto laboral el consentimiento dificilmente puede ser libre. La relacion de dependencia entre trabajador y empleador hace que alguien que necesita ese trabajo pueda sentir, con razon o sin ella, que negarse tiene consecuencias. Eso contamina la voluntariedad. No es una interpretacion garantista extrema: es la posicion consolidada que la Agencia aplica en sus resoluciones.
Ademas, incluso si el consentimiento fuera valido, eso solo resolveria el articulo 9.2.a del RGPD. Seguiria sin existir la habilitacion legal con rango de ley que exige el articulo 9.2.b. El consentimiento puede ser una condicion necesaria en ciertos supuestos, pero nunca es suficiente por si solo para legitimar el tratamiento de datos biometricos en el ambito laboral.
Cuando si podria ser legal
La propia AEPD reconoce que puede haber entornos donde la biometria este justificada, aunque son mucho mas restringidos de lo que suele creerse. Para que el uso biometrico supere el test de proporcionalidad, deben darse dos condiciones a la vez:
- Que exista una necesidad de seguridad especialmente cualificada que no pueda cubrirse con metodos alternativos: instalaciones de infraestructura critica, zonas de acceso a materiales clasificados, entornos de alta seguridad acreditada.
- Que el tratamiento se apoye en almacenamiento descentralizado: la plantilla biometrica se guarda en un soporte bajo control exclusivo del empleado, como una tarjeta personal, sin que la empresa retenga las huellas en sus servidores.
Para la inmensa mayoria de empresas en Espana (una tienda, una obra, una oficina, una clinica), ese nivel de necesidad no existe. Y la comodidad (que los empleados nunca olvidan su huella, que el sistema es mas rapido) no es una base legal. Nunca lo ha sido.
Que hacer si tienes terminales de huella activos
Si estas leyendo esto con terminales de huella funcionando en tu empresa, hay tres cosas urgentes. Una inspeccion puede llegar en cualquier momento, iniciada por una reclamacion de un empleado actual o de alguien que ya no trabaja contigo, sin previo aviso y sin que la empresa haya hecho nada especialmente llamativo para atraer la atencion de la Agencia.
El tercer punto importa mas de lo que parece. Hemos visto empresas que eliminan el terminal de huella, suspiran aliviadas y pasan a un cuaderno o a una hoja de Excel. Resuelven un problema de proteccion de datos y crean otro: un Excel editable no cumple los requisitos de inmutabilidad del Criterio Tecnico CT 101/2019 de la Inspeccion de Trabajo. Cambias el riesgo de sancion de la AEPD por el riesgo de sancion laboral. Aqui analizamos en detalle por que el Excel ya no es suficiente y que dice la Inspeccion al respecto.
Alternativas que si cumplen con la ley
Hay varias opciones que satisfacen tanto el RDL 8/2019 como el RGPD. El criterio para elegir entre ellas no deberia ser cual parece mas tecnologica, sino cual encaja con como trabaja realmente tu equipo.
Codigo numerico personal. Cada empleado tiene un codigo vinculado a su perfil. Ficha introduciendo ese codigo en cualquier dispositivo con navegador. Es la opcion mas simple para equipos sin smartphone corporativo o para entornos con poca familiaridad con la tecnologia. El timestamp lo genera el servidor, no el dispositivo local, lo que garantiza la inmutabilidad del registro.
QR personal. El empleado escanea un QR desde su movil al entrar y al salir. Practico para equipos que ya trabajan con el telefono durante la jornada. Mismo nivel de trazabilidad que el codigo numerico, algo mas agil en la practica para algunos perfiles.
Tarjeta RFID. Requiere hardware en el punto de acceso, lo que anade coste y dependencia de un dispositivo fisico. Tiene sentido en empresas con entrada unica y mucho volumen simultaneo. Para trabajo en campo o sin cobertura estable, no es la mejor opcion.
Las tres cumplen si el sistema garantiza registros inalterables, vinculados a cada persona y exportables para inspeccion. La geolocalizacion en el momento del fichaje anade verificacion sin necesidad de tratar ningun dato de categoria especial. Aqui explicamos el fichaje desde movil sin hardware y que opciones hay para empresas sin oficina fija.
CheckInGO usa codigo personal con geolocalizacion opcional. Sin biometria, conforme con el RGPD y con la normativa laboral vigente.
Ver como funciona →Reconocimiento facial: el mismo problema, peor prensa
Cuando hablamos de biometria en el control horario, la huella dactilar acapara la mayoria de las preguntas, pero el reconocimiento facial tiene exactamente el mismo tratamiento juridico bajo el RGPD. Las sanciones a Burgos CF y a la cadena Supera que aparecen en la tabla de arriba son precisamente por datos biometricos (huella dactilar y reconocimiento facial respectivamente). El criterio de la AEPD es el mismo: datos de categoria especial, prohibicion por defecto, excepciones muy estrictas.
Hay que tener cuidado con sistemas que ofrecen reconocimiento facial integrado en tablets o camaras de entrada como si fuera una funcionalidad estandar mas. Que el proveedor lo incluya en su catalogo no significa que sea legal usarlo. La responsabilidad del tratamiento recae sobre la empresa, no sobre quien le vendio la herramienta.
La sentencia del TSJ de Galicia de 2026 refuerza este punto desde el ambito laboral: un tribunal ya ha reconocido el derecho de una trabajadora a negarse a fichar con reconocimiento facial y ha condenado a la empresa a indemnizarla. No se trata unicamente de riesgo administrativo frente a la AEPD, sino de riesgo laboral frente a los propios empleados.
Tu empresa puede fichar sin biometria y sin riesgo legal
Codigo personal, geolocalizacion opcional, timestamp del servidor. Todo lo que exige la Inspeccion de Trabajo, ningun dato que le interese a la AEPD.
Solicitar informacion →Preguntas frecuentes
Esta completamente prohibido fichar con huella dactilar en Espana?
No en terminos absolutos, pero la AEPD lo considera desproporcionado para el control horario ordinario y ha sancionado a empresas que lo hacian sin base legal suficiente. Para la mayoria de empresas en Espana, la situacion es de inviabilidad practica: no existe ninguna habilitacion legal con rango de ley que lo ampare para el registro de jornada, y ni la comodidad ni la fiabilidad superan el principio de minimizacion del RGPD cuando hay alternativas menos intrusivas disponibles.
Puedo usar Face ID o reconocimiento facial en lugar de huella dactilar?
No. El reconocimiento facial es un dato biometrico de categoria especial bajo el articulo 9 del RGPD y recibe el mismo tratamiento juridico que la huella dactilar. Las sanciones publicadas por reconocimiento facial van de 96.000 a 200.000 euros en la via administrativa, y en 2026 el TSJ de Galicia ya ha condenado a una empresa por este motivo en la via laboral.
Mis empleados firmaron un consentimiento. Eso me protege?
No es suficiente. La AEPD y el Comite Europeo de Proteccion de Datos consideran que en el contexto laboral el consentimiento no puede ser libre, dada la relacion de dependencia entre empleado y empleador. Ademas, el consentimiento no sustituye la habilitacion legal con rango de ley que actualmente no existe para el control horario biometrico en Espana.
Que pasa si un empleado denuncia a la empresa ante la AEPD?
La AEPD puede iniciar un procedimiento sancionador a partir de esa reclamacion. No es necesario que el empleado acredite un perjuicio concreto: basta con que el tratamiento no tenga base legal suficiente. Las sanciones en casos similares van de 12.000 a 200.000 euros segun la gravedad y el volumen de afectados. Adicionalmente, el empleado puede reclamar en la via laboral, como ocurrio en la sentencia del TSJ de Galicia de 2026.
Si elimino el terminal de huella, con que sistema cumplo el RDL 8/2019?
Con cualquier sistema digital que garantice registros inalterables, vinculados a cada trabajador individualmente y disponibles para la Inspeccion de Trabajo cuando los solicite. Un codigo numerico personal con timestamp del servidor cumple todos esos requisitos sin tratar ningun dato biometrico. Aqui explicamos que funcionalidades debe tener un sistema para que la Inspeccion lo considere valido.
La geolocalizacion tambien es un dato sensible bajo el RGPD?
La geolocalizacion no es un dato de categoria especial bajo el articulo 9 del RGPD, a diferencia de los datos biometricos. Requiere una base legal e informar al trabajador, pero la clave es limitar su captura al momento del fichaje, sin rastreo continuo durante la jornada. CheckInGO registra la ubicacion unicamente en entrada y salida, nunca fuera del horario laboral.
Que riesgo tiene no actuar si ya tenemos terminales de huella instalados?
Cualquier empleado, presente o pasado, puede presentar una reclamacion ante la AEPD en cualquier momento. La Agencia puede iniciar una investigacion y, si confirma el tratamiento sin base legal, imponer una sancion aunque la empresa haya actuado de buena fe. Ademas, el empleado puede reclamar indemnizacion en la via laboral por vulneracion de derechos fundamentales. El riesgo no desaparece con el tiempo mientras los terminales sigan activos y las plantillas biometricas sigan almacenadas.