Conozco más de una empresa que implantó sistemas de control de jornada basados en datos biométricos y tuvo que retirarlos cuando la AEPD cuestionó su uso, con el consiguiente coste económico y operativo.
La AEPD publicó en noviembre de 2023 su Guía sobre tratamientos de datos de control de presencia mediante sistemas biométricos, en la que mantiene una postura restrictiva alineada con las Directrices 5/2022 del Comité Europeo de Protección de Datos, que clasifican los datos biométricos como categorías especiales de datos según el artículo 9, apartado 1, del RGPD. Esta clasificación implica la prohibición general de su tratamiento, salvo que se cumpla alguna de las excepciones previstas en el apartado 2 del citado artículo.
En el entorno laboral, las excepciones más relevantes del artículo 9, apartado 2, del RGPD son:
- Consentimiento explícito (art. 9.2.a RGPD): debe ser libre, informado, específico e inequívoco.
- Habilitación legal específica (art. 9.2.b RGPD): norma con rango de ley que autorice explícitamente el tratamiento de datos biométricos.
En España no existe una habilitación legal específica que permita el uso de datos biométricos para el control horario o de acceso en el ámbito laboral, al menos en el sector privado. Además, el consentimiento del trabajador no se considera una base legítima debido a la relación de subordinación con el empleador (solo en circunstancias excepcionales, como la existencia de alternativas reales al sistema biométrico y la demostración de una elección libre por parte del trabajador, se acepta el consentimiento como base legal para justificar el tratamiento de datos biométricos).
En 2025. la AEPD resolvió una consulta previa sobre un sistema de autenticación biométrica para el control de acceso en n instalaciones de la Guardia Civil. En su dictamen, la AEPD lo considera adecuado y proporcional por las siguiente habilitaciones legales específicas:
- Ley Orgánica 2/1986, de 13 de marzo, de Fuerzas y Cuerpos de Seguridad.
- Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales.
- Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas.
- Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (ENS).
El ENS reconoce la biometría como medida válida para el control de acceso a instalaciones sensibles, siempre que se cumplan los principios de necesidad, proporcionalidad y las garantías técnicas y organizativas exigidas por la normativa de protección de datos personales. El ENS se aplica en administraciones y organismos públicos, así como en empresas privadas que gestionen sistemas de información para el sector público o infraestructuras críticas (por ejemplo, una central nuclear). En estos casos, pueden implementarse sistemas biométricos de control de acceso, siempre que se justifique su uso y se cumplan las exigencias normativas.
Biometría en el sector privado
La biometría sigue sin contar con una habilitación legal explícita en el ámbito laboral privado y el consentimiento del trabajador continúa estando bajo la lupa de la AEPD.
Las empresas privadas solo deberían recurrir a sistemas biométricos en casos excepcionales, previa realización de una Evaluación de Impacto en Protección de Datos y asegurando todas las garantías posibles, tales como:
- Ofrecer alternativas no biométricas al trabajador (tarjetas, PIN, app móvil, etc.).
- Documentar la necesidad y proporcionalidad del sistema biométrico.
- Implementar medidas técnicas avanzadas para proteger los datos biométricos, como almacenamiento local encriptado, revocabilidad inmediata, supresión automática, etc.
Primer pronunciamiento judicial
El Juzgado de lo Social nº 3 de A Coruña, en la sentencia 370/2025, resolvió un litigio promovido por la Confederación Intersindical Galega (CIG) y el Comité de Empresa del Instituto Policlínico Santa Teresa, quienes consideraban que el control horario mediante huella dactilar vulneraba derechos fundamentales como la intimidad y la libertad sindical.
En relación con la supuesta vulneración del derecho a la intimidad (art. 18 CE), el juzgador desestima la pretensión al entender que «la parte actora no ha presentado ningún indicio de vulneración de este derecho fundamental, pues con este sistema de registro de jornada ha quedado acreditado que recoge únicamente algunos puntos de la huella digital, sin capturar la imagen completa, por lo que respeta el principio de no invasión de la intimidad de los trabajadores».
En cuanto a la posible vulneración del derecho a la libertad sindical (art. 28 CE), también se desestima, dado que «la parte actora no presenta ningún indicio de vulneración de este derecho respecto de los representantes legales ni de los miembros del comité, ya que se les informó del sistema de control de jornada en los mismos términos que al resto de trabajadores, y no existe indicio alguno de que, por el hecho de ser representantes legales, pudieran ser identificados ni de que ello vulnerara su derecho a la libertad sindical»
Esta sentencia sienta un importante precedente al declarar que el uso de sistemas biométricos, debidamente justificados y protegidos, no vulnera derechos fundamentales y puede considerarse legítimo, al menos en el ámbito sanitario.
Conclusión
Si el sistema es válido para el sector público, ¿por qué no para el sector privado?
Urge revisar la normativa para habilitar su uso en el sector privado, sin temor a sanciones por parte de la AEPD. Mientras tanto, la recomendación sigue siendo clara: evitar la biometría para control horario o acceso en empresas privadas ordinarias.
No se pierda nuestro podcast sobre el artículo
