El uso de sistemas biométricos en el entorno laboral —como la huella dactilar o el reconocimiento facial para el control horario— lleva tiempo generando dudas entre las empresas.
La tendencia de los últimos años parecía clara: criterios cada vez más restrictivos, mayores exigencias en protección de datos y un cuestionamiento creciente sobre la proporcionalidad de estos sistemas.
Sin embargo, una reciente resolución de la Agencia Española de Protección de Datos (AEPD) introduce un matiz importante: el uso de biometría no está necesariamente prohibido, pero exige una justificación muy sólida.
Así lo analiza Julio García Cantó, Director de Ensis Legal, especialista en asesoramiento laboral, Derecho Digital y Nuevas Tecnologías (TIC), quien destaca que esta resolución aporta una visión especialmente relevante para empresas que actualmente utilizan —o valoran implantar— sistemas biométricos.
La resolución EXP202408491 (AI-00422-2024) analiza una reclamación presentada contra una empresa del sector cárnico que utilizaba sistemas de huella dactilar y reconocimiento facial para el control de jornada.
El sistema había sustituido al fichaje tradicional mediante tarjetas identificativas y afectaba a más de 1.500 trabajadores.
A priori, el supuesto parecía especialmente delicado desde el punto de vista de protección de datos. No hay que olvidar que la biometría implica el tratamiento de categorías especiales de datos, reguladas en el artículo 9 del RGPD, sujetas a un régimen reforzado de protección.
Sin embargo, el resultado fue diferente al esperado.
La empresa acreditó que ya había iniciado una sustitución progresiva del sistema biométrico por otros métodos menos invasivos y que la huella dactilar solo se mantenía en determinadas áreas concretas.
En oficinas, laboratorios, mantenimiento y lavandería ya se utilizaban tarjetas identificativas convencionales.
El uso biométrico permanecía únicamente en zonas de producción donde la compañía alegaba necesidades específicas vinculadas a seguridad alimentaria, control sanitario y condiciones operativas concretas.
Además, la empresa argumentó que los trabajadores utilizaban equipos de protección integral que dificultaban otros sistemas de identificación y que anteriormente se habían detectado incidencias relacionadas con suplantaciones mediante tarjetas.
Pero el aspecto más relevante fue otro: la documentación.
La compañía aportó análisis de riesgos, evaluación de alternativas y justificación de proporcionalidad.
Y eso marcó la diferencia.
La Agencia no modifica su posición general sobre biometría en el trabajo: sigue tratándose de un ámbito especialmente sensible.
No obstante, en este caso entendió que no existían indicios suficientes de infracción porque concurrían varios elementos:
La biometría había quedado limitada a espacios concretos donde existía una necesidad específica; se habían evaluado alternativas menos invasivas; el tratamiento estaba acotado al mínimo necesario y existía una justificación técnica y organizativa detrás de la decisión.
Como consecuencia, la AEPD acordó el archivo de las actuaciones.
La respuesta corta sería: depende.
No basta con implantar el sistema porque resulte más cómodo o eficiente.
Las empresas deben poder acreditar que existe una necesidad real, que no hay alternativas equivalentes menos intrusivas y que el tratamiento es proporcional.
Además, resulta imprescindible realizar previamente análisis específicos y documentar adecuadamente la decisión.
La resolución deja una enseñanza clara: el problema no es únicamente utilizar biometría, sino no poder justificar por qué se utiliza.
La digitalización del entorno laboral está obligando a las empresas a revisar procesos que hasta hace poco parecían habituales.
Control horario, videovigilancia, geolocalización o sistemas biométricos requieren hoy un análisis jurídico previo que combine normativa laboral y protección de datos.
En Ensis Legal acompañamos a empresas en la implantación y revisión de sistemas tecnológicos, ayudándolas a minimizar riesgos y adaptar sus procesos al cumplimiento normativo.
Porque en materia de datos, la tecnología debe ir siempre acompañada de seguridad jurídica.