Tienes un lector de huella en la entrada. Funcionó bien durante años. Y desde finales de 2023 ese aparato puede costarte una sanción de la Agencia Española de Protección de Datos. No porque la ley cambiara, sino porque la AEPD cambió cómo la interpreta.


Qué cambió en noviembre de 2023

En noviembre de 2023 la AEPD publicó su guía sobre tratamientos de control de presencia mediante sistemas biométricos. No es una ley nueva. Es una interpretación oficial del RGPD que pone el listón mucho más alto.

El punto que lo cambia todo: la huella dactilar y el reconocimiento facial son datos biométricos de categoría especial según el artículo 9 del RGPD. Y los datos de categoría especial están prohibidos de tratar, salvo excepción tasada.

Antes muchas empresas se apoyaban en una idea cómoda: "si solo guardo una plantilla matemática de la huella y no la imagen, no es dato sensible". La AEPD lo descartó. Da igual el formato. Si el sistema identifica o verifica a una persona por un rasgo físico, es biometría de categoría especial. Sin matices.


Por qué el consentimiento del trabajador no te salva

La salida intuitiva sería pedir permiso. Que cada empleado firme un papel aceptando fichar con huella. No funciona, y conviene entender el motivo.

En una relación laboral hay un desequilibrio de poder evidente. El RGPD exige que el consentimiento sea libre, y la AEPD considera que un trabajador no consiente libremente algo que le pide su empleador: si dijera que no, teme por su puesto. Ese consentimiento se considera viciado.

Resultado práctico: para fichar con biometría no puedes apoyarte en el consentimiento. Necesitas otra base de las del artículo 9. Y aquí está el nudo del problema.

El fichaje biométrico no está prohibido. La AEPD lo dejó tan estrecho que para la mayoría de PyMEs no compensa.


Las excepciones del artículo 9 y por qué casi ninguna te sirve

El RGPD permite tratar datos de categoría especial en supuestos concretos. La AEPD analiza cuáles podrían amparar el control horario:

  • Obligación legal del responsable. Solo vale si una norma con rango de ley impone expresamente el uso de biometría. El artículo 34.9 del Estatuto de los Trabajadores obliga a registrar la jornada, pero no obliga a hacerlo con huella ni con cara. Puedes fichar con app, PIN o tarjeta. Así que esta vía no cubre el biométrico.
  • Interés público esencial. Reservado a tratamientos previstos por ley para fines de interés general. El control horario de una empresa privada no encaja.
  • Convenio colectivo. Solo si el convenio aplicable autoriza de forma explícita el tratamiento biométrico para control de presencia. La inmensa mayoría no dice nada al respecto.

Traducción: en la práctica, una PyME estándar no tiene base legal sólida para fichar con biometría. La guía no lo dice con esas palabras, pero ese es el resultado.


Qué tienes que hacer antes de instalar (o mantener) un lector biométrico

Si aún así decides seguir adelante, la AEPD exige un proceso previo que la mayoría se salta:

  • Evaluación de Impacto (EIPD). Obligatoria. El tratamiento biométrico a gran escala figura en la lista de la AEPD de tratamientos que la requieren. Es un documento formal, no un trámite mental.
  • Análisis de necesidad y proporcionalidad. Hay que demostrar por escrito que no existe una alternativa menos intrusiva que cumpla el mismo fin. Y casi siempre existe: una app de fichaje cumple igual.
  • Test de proporcionalidad. ¿La biometría es idónea, necesaria y equilibrada para el fin perseguido? Si una tarjeta resuelve lo mismo, la respuesta es no.
  • Información al trabajador y consulta a la representación legal. Aunque el consentimiento no sea la base, el deber de informar sigue vivo.

El problema es de fondo: si una alternativa más simple cumple, la EIPD concluye que la biometría es desproporcionada. Y entonces no puedes usarla. El propio proceso que la ley te obliga a hacer suele cerrarte la puerta.


Lo que arriesgas si lo haces mal

Tratar datos de categoría especial sin base legal es una infracción muy grave del RGPD. El artículo 83.5 fija el tramo alto de sanción: hasta 20 millones de euros o el 4% de la facturación anual global, lo que sea mayor.

Para una PyME esas cifras son techo teórico, no la multa real. Pero la AEPD ya ha sancionado a empresas españolas por sistemas de fichaje con huella mal planteados, con importes de varios miles a decenas de miles de euros. Y la sanción no llega sola: suele venir con la orden de cesar el tratamiento, es decir, desconectar el sistema que pagaste e instalaste.

Hay un coste que casi nadie calcula: el lector biométrico cuesta dinero, la instalación cuesta dinero, y si la AEPD te obliga a retirarlo, todo eso es inversión perdida más la sanción encima.


La alternativa sensata para una PyME

Si lo que necesitas es cumplir el artículo 34.9 ET —registrar entrada y salida de cada trabajador— no necesitas biometría para nada. El registro de jornada se puede llevar perfectamente con métodos que no tocan datos de categoría especial:

  • App de fichaje en el móvil, con geolocalización opcional del centro de trabajo.
  • PIN o usuario y contraseña en un terminal o tablet en la entrada.
  • Tarjeta o tag de proximidad.

Ninguno de estos tres trata biometría. Ninguno te obliga a una EIPD por dato sensible. Y los tres generan un registro horario con log de auditoría que aguanta una visita de la Inspección de Trabajo igual de bien —o mejor— que un lector de huella.

La pregunta correcta no es "¿cómo legalizo mi lector biométrico?". Es "¿de verdad necesito biometría, o me sirve algo que no me meta en este lío?". Para nueve de cada diez PyMEs, la respuesta es la segunda.

Sistemas como Emplyx registran la jornada con app, PIN o tarjeta, sin tocar datos biométricos, y exportan el informe completo para Inspección en un clic.


Preguntas frecuentes

¿Entonces el fichaje con huella está prohibido en España? No está prohibido en sentido absoluto. Está sometido a requisitos tan estrictos que, para una empresa privada que solo quiere controlar la jornada, en la práctica no hay base legal que lo sostenga. La AEPD no lo veta, lo hace inviable para el caso de uso más común.

Si solo guardo la plantilla matemática de la huella, no la imagen, ¿es legal? No cambia nada. La AEPD aclaró que el formato es irrelevante. Si el dato sirve para identificar o verificar a una persona por un rasgo físico, es biometría de categoría especial, sea imagen o vector numérico.

¿Y los sistemas que ya tenía instalados antes de la guía de 2023? La guía no incluyó un régimen transitorio. Un sistema instalado antes de noviembre de 2023 está sujeto al mismo criterio. Si no tiene base legal válida, conviene migrar a un método no biométrico cuanto antes.

¿El control de presencia con cámara de reconocimiento facial sigue las mismas reglas? Sí. El reconocimiento facial es dato biométrico de categoría especial exactamente igual que la huella. Mismo artículo 9 del RGPD, mismas exigencias, mismo problema de base legal.

¿Necesito hacer una Evaluación de Impacto para fichar con app o PIN? No por el hecho de tratar dato sensible, porque app y PIN no tratan biometría. Sigues teniendo deberes generales de RGPD (informar, registro de actividades, seguridad), pero no la EIPD obligatoria que dispara el tratamiento biométrico a gran escala.


¿Tienes un lector de huella en la entrada y dudas si te expones? Antes de decidir, mira cómo funciona el registro de jornada en España y qué pide la Inspección de Trabajo en una visita por control horario. Con Emplyx fichas con app, PIN o tarjeta, cumples el art. 34.9 ET y dejas la biometría —y su riesgo— fuera de la ecuación.