La Audiencia Nacional habría estimado el recurso de la Asociación Española de Empresas de Seguridad (AES) contra la guía de la Agencia Española de Protección de Datos (AEPD) sobre el control de presencia mediante sistemas biométricos. La información, adelantada el 15/07/2026 por El Confidencial, apunta a que el tribunal habría dejado sin efecto su aprobación y publicación por funcionar, en la práctica, como una instrucción general sin haber seguido el procedimiento reservado a las circulares.
Las claves del fichaje biométrico en 20 segundos
- La resolución cuestionaría el formato utilizado por la AEPD, no la protección de los datos biométricos.
- Huellas y rostros siguen sujetos al Reglamento General de Protección de Datos.
- La sentencia no autoriza automáticamente los sistemas de fichaje biométrico.
- Proveedores y empresas deberán esperar al texto íntegro antes de modificar sus proyectos.
La sentencia completa no figuraba todavía entre las fuentes judiciales oficiales consultadas al preparar este artículo, así que conviene mantener la cautela. La propia guía de noviembre de 2023 continúa disponible en la web de la AEPD, pero todas sus páginas aparecen ahora marcadas con la expresión “EN REVISIÓN”.
El caso interesa al sector tecnológico porque no se limita a discutir si una empresa puede fichar con una huella dactilar. También plantea hasta dónde puede llegar una autoridad de control mediante guías que, aunque formalmente no sean normas, terminan condicionando decisiones de compra, desarrollos de software, contratos y evaluaciones jurídicas.
No es una autorización para volver al fichaje por huella
La principal lectura que debe evitarse es que la Audiencia Nacional haya legalizado el control horario biométrico. Según la información conocida, el tribunal habría analizado el instrumento utilizado por la AEPD, sin resolver con carácter general si una empresa puede identificar a sus trabajadores mediante la cara, la huella, el iris o la geometría de la mano.
La guía de 2023 establecía criterios muy restrictivos. Consideraba que tanto la identificación biométrica, una comparación de una muestra contra varias identidades, como la autenticación, una comprobación uno a uno, podían implicar el tratamiento de categorías especiales de datos cuando permitían identificar de manera unívoca a una persona. También calificaba estos proyectos como tratamientos de alto riesgo y reclamaba una Evaluación de Impacto relativa a la Protección de Datos (EIPD) antes de implantarlos.
Esos criterios tuvieron efectos inmediatos en el mercado. Departamentos de recursos humanos, integradores de seguridad, fabricantes de terminales y proveedores de software como servicio revisaron proyectos que hasta entonces se ofrecían como una forma cómoda de evitar tarjetas, códigos o registros manuales.
La posible anulación de la guía eliminaría o debilitaría ese documento como referencia administrativa, pero no borraría el Reglamento General de Protección de Datos (RGPD). Una organización que quiera tratar datos biométricos continúa necesitando una base jurídica conforme al artículo 6 del reglamento y una condición que permita levantar la prohibición del artículo 9 cuando se traten categorías especiales.
También deberá demostrar que el sistema es necesario para la finalidad perseguida. La obligación legal de registrar la jornada no obliga a utilizar biometría: puede cumplirse con una aplicación, una tarjeta, un código, un certificado digital o un procedimiento organizativo. La empresa tendría que justificar por qué esas alternativas no resultan adecuadas en su caso.
El consentimiento tampoco resuelve siempre el problema. En las relaciones laborales puede ser difícil acreditar que la decisión del empleado es realmente libre, especialmente cuando rechazar el sistema biométrico genera una desventaja, obliga a completar trámites adicionales o afecta al acceso al puesto de trabajo.
La tecnología no elimina el riesgo jurídico
Para los proveedores resulta tentador presentar determinadas arquitecturas como soluciones que dejan de tratar datos biométricos. Es habitual escuchar que una plantilla matemática no es una huella, que el sistema no almacena fotografías o que el patrón no puede reconstruir el rostro original.
La AEPD sostuvo en su guía que una plantilla biométrica sigue siendo un dato personal cuando permite singularizar a una persona dentro de un sistema. El hecho de que un humano no pueda interpretar directamente el archivo no elimina su capacidad para vincular registros, autenticar accesos o activar decisiones automatizadas.
La forma de diseñar el producto sí cambia el nivel de riesgo. Un sistema que guarda la plantilla en una tarjeta bajo control del trabajador no presenta las mismas consecuencias que una base central con los patrones biométricos de toda la plantilla. Tampoco son equivalentes una autenticación local uno a uno y un reconocimiento uno a varios que busca una coincidencia dentro de miles de identidades.
Entre las medidas que pueden reducir la exposición se encuentran el almacenamiento local, el cifrado, la separación entre la plantilla y los datos identificativos, la renovación de referencias biométricas y la eliminación automática cuando termina la relación laboral. Ninguna de ellas crea por sí sola una autorización legal, pero puede ayudar a superar el análisis de necesidad, proporcionalidad y seguridad.
Los responsables técnicos deberán examinar además qué sucede cuando una referencia queda comprometida. Una contraseña puede cambiarse, mientras que una huella o las características estructurales de un rostro acompañan a la persona durante toda su vida. Los mecanismos que generen plantillas revocables o no vinculables entre distintos servicios reducen parte de ese riesgo, siempre que sus propiedades estén demostradas y no se limiten a una afirmación comercial.
La evaluación tampoco debería quedarse en el lector biométrico. Debe cubrir la aplicación de gestión, las interfaces de programación de aplicaciones (API), las copias de seguridad, los registros de acceso, el proveedor cloud, los equipos de soporte y cualquier integración con nóminas, control horario o seguridad física.
Qué cambia para empresas y proveedores tecnológicos
La sentencia, si confirma el alcance adelantado, puede modificar la forma en la que la AEPD publica criterios con efectos generales. La Ley Orgánica 3/2018 permite a la Presidencia de la Agencia dictar circulares que fijen los criterios que seguirá la autoridad. Esas disposiciones son obligatorias después de su publicación en el Boletín Oficial del Estado.
El Estatuto de la AEPD exige para ellas un procedimiento que incluye informe técnico, justificación de la necesidad, informe jurídico, trámites de participación, dictamen del Consejo de Estado, aprobación de la Presidencia y publicación en el BOE. La tesis atribuida a la Audiencia Nacional sería que una guía no puede utilizarse como sustituto de ese proceso cuando su redacción opera de hecho como una regla general.
Para las empresas esto introduce incertidumbre, pero no una barra libre. Las que ya descartaron un proyecto biométrico no deberían reactivarlo únicamente por un titular. Las que mantienen uno en funcionamiento tampoco pueden dar por resuelto su cumplimiento.
Conviene revisar, al menos, la finalidad concreta, la base jurídica, la condición del artículo 9 del RGPD, las alternativas menos intrusivas, la arquitectura técnica, los periodos de conservación y los mecanismos disponibles para las personas que no puedan o no deban utilizar el sistema.
Los proveedores tendrán que evitar mensajes como “cumple el RGPD” o “no almacena datos biométricos” sin explicar cómo funciona realmente el producto. La conformidad no depende únicamente del terminal o del algoritmo, sino de quién lo utiliza, para qué finalidad, con qué configuración y qué decisiones se toman a partir de sus resultados.
La resolución puede acabar llevando a la AEPD a publicar una nueva guía con un carácter más orientativo, aprobar una circular mediante el procedimiento formal o esperar a que los criterios se definan mediante expedientes y sentencias concretas.
Hasta conocer el fallo íntegro tampoco puede descartarse un recurso. Será la redacción exacta de la sentencia la que determine si queda anulada toda la guía, únicamente el acto que aprobó su publicación o los apartados que, a juicio del tribunal, excedían la función de un documento divulgativo.
Preguntas frecuentes
¿Ya es legal fichar con huella dactilar en una empresa?
No existe una autorización general. Cada organización debe justificar la necesidad del tratamiento, su base jurídica y la condición que permita utilizar datos biométricos.
¿Qué ocurre con los sistemas biométricos ya instalados?
Deben seguir sometidos al RGPD. La posible anulación de la guía no elimina las evaluaciones de impacto, las medidas de seguridad ni el análisis de proporcionalidad que correspondan.
¿Una plantilla biométrica deja de ser un dato personal si está cifrada?
No necesariamente. El cifrado protege el dato, pero no cambia su naturaleza cuando el sistema puede utilizarlo para singularizar o autenticar a una persona.
¿Puede la AEPD volver a fijar criterios sobre fichaje biométrico?
Sí. Puede publicar orientaciones, resolver casos concretos o tramitar una circular siguiendo el procedimiento previsto en su Estatuto y en la Ley Orgánica 3/2018.
Fuente: Abogados Contratos