X-twitter

La AEPD lo deja claro: usar la huella digital en el trabajo es tratar datos biométricos sensibles

Twitter/XLinkedInMenéameChatGPTClaudePerplexityGoogle AIGrok

Incluso si no se almacena la imagen de la huella, una plantilla matemática que permite identificar al empleado es un dato personal conforme al RGPD

En un contexto en el que cada vez más empresas incorporan sistemas biométricos para fichaje y control de acceso, la Agencia Española de Protección de Datos (AEPD) ha emitido un recordatorio de gran calado jurídico y tecnológico: el uso de la huella digital, aunque se limite a una representación matemática y no se almacene la imagen en sí, implica un tratamiento de datos personales biométricos sensibles conforme al Reglamento General de Protección de Datos (RGPD).

Así lo establece la resolución PS-00432/2023, en la que se analiza el caso de una empresa que implantó un sistema de control horario basado en huella dactilar, sin ofrecer alternativa al uso de esta tecnología. La compañía argumentaba que el sistema no guardaba la imagen de la huella, sino una “plantilla biométrica cifrada”, con lo cual, según su interpretación, no se infringía el RGPD. Sin embargo, la AEPD ha sido categórica: si esa plantilla permite verificar que una persona es la misma que accedió previamente, entonces se está tratando un dato biométrico con fines de identificación, lo que activa las exigencias legales del artículo 9 del RGPD.

Huella cifrada ≠ anonimato: por qué sigue siendo un dato biométrico

Uno de los puntos más relevantes de esta resolución es la explicación técnica-jurídica del concepto de correspondencia biométrica. A diferencia de la identificación directa (por ejemplo, reconstruir la imagen de una huella o rostro), en este caso hablamos de verificación o autenticación: comparar una muestra actual con una plantilla previamente almacenada para confirmar que se trata de la misma persona.

La AEPD recuerda que el artículo 4.14 del RGPD define dato biométrico como aquel resultado de un tratamiento técnico específico que permite identificar a una persona de manera unívoca, y que no es necesario que el sistema sepa “quién eres” en términos nominales: basta con que sepa que “eres el mismo que ayer”, para que se considere identificación.

Esto significa que muchas soluciones de control de acceso o presencia que prometen anonimato por el hecho de no almacenar la imagen visual de la huella, en realidad sí están sometidas a las exigencias de protección de datos. De hecho, el hecho de no poder reconstruir la huella no exime de la aplicación del RGPD si la plantilla permite verificar la identidad de un individuo concreto.

Las obligaciones para las empresas que usan biometría

A la luz de esta resolución y otros criterios vinculantes emitidos por la AEPD, las organizaciones que utilicen datos biométricos para el fichaje deben cumplir los siguientes requisitos:

1. Base jurídica adecuada

El tratamiento de datos biométricos con fines de identificación está prohibido por defecto, salvo que se cumpla alguna de las excepciones del artículo 9.2 del RGPD. En entornos laborales, el consentimiento rara vez es válido, ya que existe una relación de subordinación que impide garantizar que sea libre.

Por tanto, la empresa debe justificar el uso de biometría en base al interés legítimo, demostrando que es necesario, proporcional y adecuado para el fin perseguido.

2. Evaluación de impacto (EIPD)

La AEPD considera obligatoria una Evaluación de Impacto relativa a la Protección de Datos (art. 35 del RGPD) en todos los casos en que se traten datos biométricos para control de accesos, al considerarse un tratamiento de alto riesgo.

Este análisis debe incluir: finalidad, naturaleza de los datos, análisis de riesgos, medidas técnicas y organizativas, y mecanismos de revisión continua.

3. Alternativas no biométricas

La empresa debe ofrecer siempre una alternativa válida y funcional que no implique el tratamiento de datos biométricos. Esto puede incluir tarjetas RFID, códigos PIN o apps móviles. La alternativa debe tener prestaciones comparables y no suponer una carga o desventaja significativa para el usuario.

4. Transparencia y documentación

Debe proporcionarse información clara, concisa y accesible a los empleados sobre:

  • La tecnología usada
  • Qué datos se recopilan
  • Con qué fin
  • Cómo se almacenan y por cuánto tiempo
  • Cómo ejercer derechos ARSULIPO (acceso, rectificación, supresión, limitación, portabilidad y oposición)

5. Seguridad y minimización

La seguridad técnica (cifrado, control de accesos, registros de actividad) y la minimización de datos son principios clave. Solo deben tratarse los datos estrictamente necesarios, y durante el tiempo mínimo imprescindible.

Precedente relevante para proveedores y desarrolladores de sistemas biométricos

La resolución PS-00432/2023 también lanza un mensaje directo a los desarrolladores de sistemas biométricos, integradores y responsables de software: no basta con “no guardar la imagen de la huella” para eludir la normativa. El diseño de los sistemas debe tener en cuenta desde el inicio los principios de privacidad por diseño y por defecto.

En un mercado donde proliferan soluciones de control horario “sin contacto” para mejorar la experiencia del empleado, los fabricantes deben garantizar que sus sistemas cumplan los requisitos del RGPD en todos sus modos de funcionamiento.

¿Y si el sistema está en la nube?

Si el proveedor del sistema almacena las plantillas biométricas en servidores remotos, se convierte en encargado del tratamiento, y debe existir un contrato que cumpla el artículo 28 del RGPD. Además, si el almacenamiento o procesamiento se realiza fuera del Espacio Económico Europeo, deben evaluarse los mecanismos de transferencia internacional de datos.

Conclusión: la tecnología no exime del cumplimiento legal

En plena era de transformación digital, el uso de tecnología avanzada debe ir acompañado de un respeto riguroso a los derechos fundamentales. La AEPD ha dejado claro que la protección de los datos biométricos no es una cuestión formalista: aunque no se vea tu huella, si te identifica, merece protección.

Este tipo de resoluciones no solo protegen al ciudadano, sino que también ofrecen seguridad jurídica a las empresas y fomentan un desarrollo tecnológico responsable.

Preguntas frecuentes (FAQ)

¿Qué diferencia hay entre verificación e identificación biométrica?
La verificación compara una muestra con una plantilla para confirmar si eres quien dices ser (1:1). La identificación compara una muestra con múltiples plantillas (1:N) para averiguar quién eres. Ambos casos implican tratamiento de datos biométricos si permiten identificación unívoca.

¿Puedo negarme a usar mi huella para fichar?
Sí, si no se te ofrece una alternativa válida, el consentimiento puede considerarse inválido. La empresa debería ofrecer una opción no biométrica sin penalizaciones.

¿Qué sanción puede recibir una empresa por incumplir estas normas?
Dependiendo de la gravedad y del impacto, las sanciones pueden alcanzar hasta 20 millones de euros o el 4 % de la facturación anual global, además de medidas correctivas, apercibimientos o suspensión del tratamiento.

¿Qué sectores usan más biometría y están en el punto de mira?
Principalmente recursos humanos, seguridad, banca, logística, educación y eventos. También preocupa el uso creciente de reconocimiento facial en espacios públicos y privados.

Compartir en LinkedIn Compartir en WhatsApp Compartir en Telegram

Silvia A. Feliz

encuentra artículos

newsletter

Recibe toda la actualidad del sector tech y cloud en tu email de la mano de RevistaCloud.com.

Suscripción boletín

LO ÚLTIMO

Oracle, reconocida como líder en el Cuadrante Mágico de Gartner 2025 para Infraestructura Híbrida Distribuida

F5 adquiere CalypsoAI para reforzar la seguridad de la inteligencia artificial en grandes empresas

Kaspersky lanza Next XDR Optimum y MXDR Optimum: ciberseguridad avanzada para pymes

PlayStation 6: las filtraciones apuntan a un salto histórico en rendimiento gráfico y eficiencia

×