Los datos biométricos —huellas dactilares, reconocimiento facial, iris o la firma vocal— constituyen la categoría de información con mayor nivel de protección dentro del ecosistema del Reglamento General de Protección de Datos (RGPD). A diferencia de un número de teléfono, una contraseña o una dirección postal, las características físicas y fisiológicas de un individuo son intrínsecas e invariables: no se pueden modificar ni sustituir. Si un sistema sufre una brecha de seguridad y estos registros quedan expuestos, el daño para el afectado es permanente e irreversible.
A pesar de esta naturaleza sensible, un gran número de organizaciones implementan lectores de huella dactilar o cámaras de reconocimiento facial para automatizar el control de presencia de sus trabajadores o restringir el paso a determinadas instalaciones. En la mayoría de las ocasiones, esta digitalización del control horario se realiza ignorando que se está tratando una categoría especial de datos y que, si no se cuenta con los requisitos normativos exigidos, la organización se expone a procedimientos sancionadores directos por parte de la Agencia Española de Protección de Datos (AEPD).
Este artículo desglosa en detalle qué se entiende por dato biométrico bajo el marco normativo actual, cuáles son las escasas bases jurídicas que legitiman su implantación en el entorno corporativo, la estricta postura de la AEPD respecto al control horario y las obligaciones técnicas ineludibles que debe ejecutar tu negocio antes de activar cualquier tecnología de control biométrico.
¿Qué son los datos biométricos y por qué el RGPD los protege de forma especial?
De acuerdo con el artículo 4.14 del RGPD, los datos biométricos son aquellos datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona.
Es fundamental entender que el marco del RGPD distingue entre la mera identificación y la autenticación. Sin embargo, tras los últimos criterios unificados de las autoridades de control, cualquier tratamiento automatizado de estas características con fines de control de acceso o presencia se considera un tratamiento de categorías especiales de datos (artículo 9 del RGPD), debido al elevado riesgo que supone para los derechos y libertades públicas. Para contextualizar su nivel de gravedad, la normativa sitúa estos identificadores al mismo nivel de protección que la información médica o la orientación política:
| Categoría de datos (art. 9 RGPD) | Nivel de protección | Riesgo asociado en caso de brecha |
|---|---|---|
| Origen étnico, opiniones políticas, convicciones religiosas. | Especial / Reforzado | Discriminación, vulneración de la intimidad ideológica. |
| Datos relativos a la salud, vida sexual o datos genéticos. | Especial / Reforzado | Estigmatización, quiebra de la confidencialidad médica. |
| Datos biométricos (huella, rostro, iris). | Especial / Reforzado | Suplantación de identidad irreversible, rastreo desproporcionado. |
¿Cuándo puede una empresa tratar datos biométricos?
El principio general del artículo 9.1 del RGPD establece la prohibición explícita de tratar estos datos, salvo que la empresa pueda invocar de manera inequívoca alguna de las excepciones tasadas del artículo 9.2. En el ámbito de las relaciones laborales privadas, los dos supuestos que habitualmente intentan esgrimir las organizaciones son el consentimiento del interesado y la existencia de una obligación legal.
El recurso al consentimiento explícito tropieza frontalmente con los criterios del Comité Europeo de Protección de Datos (CEPD) y de la propia AEPD, que inciden en las evidentes limitaciones del consentimiento en el ámbito laboral. Debido a la posición de subordinación del trabajador respecto al empleador, se presume que dicho consentimiento no es enteramente libre ni voluntario, invalidando esta opción en la práctica diaria.
Por otro lado, la excepción relativa al cumplimiento de obligaciones en el ámbito del derecho laboral (como el registro de jornada exigido por el Real Decreto-Ley 8/2019) tampoco sirve como habilitación genérica. La normativa laboral española obliga a registrar el inicio y fin de la jornada, pero en ningún momento impone ni exige la recogida de identificadores anatómicos de los trabajadores. Existiendo métodos alternativos menos intrusivos (como tarjetas RFID, códigos numéricos o aplicaciones móviles), el tratamiento biométrico incumple de manera flagrante el principio de minimización de datos, lo que determina que en la inmensa mayoría de las empresas privadas no exista una base jurídica válida que sostenga este tratamiento.
Fichaje biométrico y control de presencia: la posición de la AEPD
La publicación de la guía de la AEPD sobre tratamientos de control de presencia mediante biometría marcó un punto de inflexión definitivo. La autoridad de control española ha endurecido exponencialmente su criterio, asimilando las sanciones por fichaje biométrico y protección de datos a las infracciones más graves contempladas en la normativa europea.
Aquellas compañías que mantienen activos terminales de acceso mediante huella dactilar bajo el pretexto de evitar el fraude entre compañeros o simplificar la gestión administrativa se exponen a multas administrativas que pueden alcanzar los 20 millones de euros. La doctrina vigente determina que la biometría solo es admisible en supuestos excepcionales donde concurran requisitos de seguridad de un interés público crítico o infraestructuras críticas. En cualquier circunstancia, antes de activar el sistema, es imperativo realizar un análisis de proporcionalidad estricto y determinar cómo incluir el tratamiento biométrico en el Registro de Actividades de la compañía de forma pormenorizada.
Control de acceso biométrico a instalaciones
Es vital diferenciar el control horario general de la plantilla del control de acceso biométrico RGPD destinado a restringir la entrada a dependencias de alta seguridad dentro de la corporación (tales como salas de servidores críticos, laboratorios de I+D o cajas fuertes de seguridad). En estos escenarios específicos, el análisis de riesgos puede llegar a ponderar de manera favorable la necesidad técnica del sistema.
No obstante, la validez jurídica de este control de acceso está sujeta al cumplimiento de directrices de diseño muy estrictas. El sistema no debe almacenar la imagen real de la huella o del mapa facial en un servidor centralizado; la tecnología debe operar mediante la generación de un código algorítmico irreversible (un hash o *template*) almacenado preferiblemente en una tarjeta inteligente bajo el poder exclusivo del propio usuario. Además, se debe ejecutar de forma obligatoria una exhaustiva evaluación de impacto en protección de datos con carácter previo a la compra de los dispositivos informáticos.
Obligaciones si tu empresa decide usar datos biométricos
Si tras realizar el análisis técnico previo tu organización constata que dispone de una base de legitimación sólida e inapelable para implementar esta tecnología, el procedimiento normativo exige cumplir rigurosamente con los siguientes pasos organizativos:
- Verificar la base jurídica: Validar técnicamente que el supuesto se encuadra en las excepciones del artículo 9.2 del RGPD y que supera el juicio de idoneidad, necesidad y proporcionalidad.
- Realizar una EIPD preceptiva: Elaborar una Evaluación de Impacto antes de la puesta en marcha del sistema, documentando los riesgos analizados y las salvaguardas adoptadas.
- Actualizar el Registro de Actividades: Describir formalmente la actividad, especificando los colectivos afectados, los periodos de conservación y las medidas de seguridad reforzadas.
- Cumplir con el deber de información: Redactar y entregar cláusulas informativas detalladas a los trabajadores o visitantes conforme al artículo 13 del RGPD, detallando la existencia del tratamiento y el canal para ejercitar sus derechos.
- Implementar medidas de seguridad avanzadas: Asegurar el cifrado fuerte de los datos en tránsito y en reposo, restringir el acceso a los servidores de administración y garantizar la supresión automática de los registros tras la extinción de la relación contractual.
- Consultar formalmente al DPD: En caso de que la entidad cuente con un Delegado de Protección de Datos, es preceptivo solicitar su dictamen vinculante antes de tomar cualquier decisión ejecutiva sobre la arquitectura del sistema.
Conclusión
La implantación de tecnologías de identificación biométrica sin una base jurídica acreditada y sin la confección previa de una Evaluación de Impacto constituye una de las vías de inspección que con mayor frecuencia deriva en sanciones económicas severas por parte de las autoridades de control. Antes de incorporar lectores biométricos en tu operativa, resulta indispensable auditar si las necesidades de seguridad o control de tu negocio pueden satisfacerse mediante soluciones menos invasivas para la privacidad de las personas.
En Acorán evaluamos la viabilidad legal de las infraestructuras de tu organización y ejecutamos la auditoría y evaluación de impacto preceptiva exigida por el RGPD para mitigar riesgos legales de forma definitiva. Solicita una sesión de consultoría técnica con nuestros especialistas en cumplimiento normativo.
Preguntas frecuentes sobre datos biométricos
¿Puede mi empresa usar reconocimiento facial para que los empleados fichen?
En la gran mayoría de las organizaciones privadas, la respuesta es no. La AEPD sostiene que el consentimiento de los trabajadores en el marco laboral está viciado por la asimetría de la relación laboral, y dado que existen métodos de control horario alternativos e igualmente eficaces (como aplicaciones móviles o tarjetas físicas), el reconocimiento facial resulta desproporcionado e ilegal para este fin.
¿Los datos de huella dactilar son datos biométricos según el RGPD?
Sí. Conforme al artículo 4.14 del reglamento europeo, los registros derivados de la huella dactilar constituyen datos biométricos de categoría especial de manera inequívoca. Esto se debe a que se someten a un procesamiento informático para aislar puntos característicos únicos (minucias) que permiten identificar de forma matemática e inconfundible a una persona física.
¿Qué sanción puede imponer la AEPD por tratar datos biométricos sin base legal?
El tratamiento no autorizado de categorías especiales de datos se califica como una infracción de extrema gravedad bajo el marco del RGPD. Las sanciones económicas se sitúan en el tramo punitivo más elevado de la normativa, pudiendo alcanzar multas de hasta 20 millones de euros o el equivalente al 4% del volumen de facturación anual global de la empresa infractora.
¿Cuándo es obligatoria una EIPD para implantar un sistema biométrico?
La Evaluación de Impacto en la Protección de Datos (EIPD) es de carácter obligatorio y preceptivo en el 100% de los casos antes de activar cualquier tecnología biométrica. Al tratarse de un tratamiento de datos de categoría especial que entraña por su propia naturaleza un riesgo intrínseco muy alto para la privacidad, la normativa no exime de esta obligación aunque el volumen de la plantilla sea reducido.
Comentarios recientes