· DÁLTICO · normativa-laboral · 23 min read
Huella Dactilar para Fichaje: Ya No Es Legal en España (Guía AEPD 2026)
La AEPD ha restringido el uso de huella dactilar para fichaje. RGPD art. 9, Guía AEPD noviembre 2023, CJEU C-205/21, sanciones y alternativas legales.
| Concepto | Antes de noviembre 2023 | Después de noviembre 2023 |
|---|---|---|
| Clasificación de datos biométricos | Dato personal (art. 4 RGPD) | Dato de categoría especial (art. 9 RGPD) |
| Base legitimadora habitual | Interés legítimo del empresario | No aplicable a datos de categoría especial |
| Consentimiento del trabajador | Aceptado con cautelas | No válido (desequilibrio de poder, CEPD) |
| Convenio colectivo como base | No explorado en detalle | Posible pero con requisitos estrictos |
| Test de proporcionalidad | No exigido formalmente | Obligatorio; debe superar evaluación de impacto |
| Alternativas menos invasivas | No requeridas si el sistema era proporcionado | Obligatorio demostrar que no existen |
| Sanciones AEPD | Casos aislados | Campañas activas, hasta 20 millones EUR |
| Reforma registro horario 2026 | No existía | Excluye biometría como método de fichaje |
Durante años, el fichaje por huella dactilar fue la opción preferida de miles de empresas españolas. Era simple, difícil de falsificar y eliminaba el problema del buddy punching (que un compañero fiche por otro). Los terminales biométricos se convirtieron en un elemento habitual en las entradas de fábricas, almacenes, oficinas y centros de trabajo de todo tipo.
Esa situación cambió radicalmente en noviembre de 2023, cuando la Agencia Española de Protección de Datos (AEPD) publicó la Guía sobre tratamientos de control de presencia mediante sistemas biométricos. Esta guía, respaldada por la jurisprudencia del Tribunal de Justicia de la Unión Europea (TJUE) y los criterios del Comité Europeo de Protección de Datos (CEPD), estableció que los datos biométricos dirigidos a identificar de forma unívoca a una persona constituyen datos de categoría especial conforme al artículo 9 del RGPD, cuyo tratamiento está prohibido como regla general.
La consecuencia para las empresas es directa: el fichaje por huella dactilar, tal como se utilizaba hasta ahora, ya no es legalmente viable en la inmensa mayoría de los casos. Y las empresas que siguen usándolo se exponen a sanciones de la AEPD que pueden alcanzar los 20 millones de euros o el 4 % de la facturación anual (artículo 83.5 RGPD).
Esta guía explica qué ha cambiado exactamente, por qué el consentimiento del trabajador no resuelve el problema, qué dicen el TJUE y el CEPD, qué deben hacer las empresas que todavía utilizan huella dactilar y cuáles son las alternativas que sí cumplen con la normativa.
Qué dice la Guía de la AEPD de noviembre de 2023
Contexto: por qué la AEPD publicó esta guía
La AEPD venía recibiendo un número creciente de consultas y reclamaciones relacionadas con el uso de sistemas biométricos para el control de presencia laboral. Hasta 2023, la interpretación dominante en España era que los datos biométricos utilizados para verificar la identidad de un trabajador (comparación uno a uno: “¿eres quien dices ser?”) eran datos personales ordinarios conforme al artículo 4 del RGPD, no datos de categoría especial del artículo 9. Esta interpretación permitía utilizar el interés legítimo del empresario (artículo 6.1.f RGPD) o el cumplimiento de una obligación legal (artículo 6.1.c RGPD, en relación con el artículo 34.9 ET) como base legitimadora.
La sentencia del TJUE de 26 de marzo de 2019 en el asunto C-205/21 (caso Mousse) y las directrices del CEPD de mayo de 2023 modificaron esta interpretación. El TJUE estableció que los datos biométricos tratados con el propósito de identificar de forma unívoca a una persona son datos de categoría especial con independencia de la técnica utilizada (identificación o verificación). El CEPD, en sus Directrices 05/2022 sobre el uso de reconocimiento facial en el espacio de la aplicación de la ley, confirmó esta interpretación.
La AEPD adoptó este criterio en su Guía de noviembre de 2023, alineándose con la posición del TJUE y del CEPD.
Contenido principal de la guía
La Guía de la AEPD establece los siguientes puntos fundamentales:
1. Los datos biométricos son datos de categoría especial (art. 9 RGPD)
La guía abandona la distinción entre identificación (uno a muchos) y verificación (uno a uno) que hasta entonces servía para argumentar que la verificación biométrica no implicaba tratamiento de datos de categoría especial. Según la nueva interpretación, tanto la huella dactilar, el reconocimiento facial como el reconocimiento de iris, cuando se utilizan para identificar de forma unívoca a una persona, son datos de categoría especial cuyo tratamiento está prohibido por defecto (artículo 9.1 RGPD).
2. El consentimiento del trabajador no es una base legitimadora válida
El artículo 9.2.a del RGPD permite el tratamiento de datos de categoría especial con el consentimiento explícito del interesado. Sin embargo, tanto el CEPD como la AEPD consideran que, en el contexto de una relación laboral, el consentimiento del trabajador no puede considerarse libre (requisito del artículo 7 RGPD) debido al desequilibrio inherente de poder entre empresario y trabajador. Un trabajador que se niega a dar su consentimiento para el fichaje biométrico puede temer represalias, aunque el empresario no las materialice. Este desequilibrio invalida el consentimiento como base legitimadora.
3. El interés legítimo no aplica a datos de categoría especial
El artículo 6.1.f del RGPD (interés legítimo) era la base legitimadora más utilizada para justificar el fichaje biométrico. Pero el artículo 6 del RGPD es una base para el tratamiento de datos personales ordinarios. Para los datos de categoría especial, se necesita además una excepción del artículo 9.2 del RGPD. Y el interés legítimo no figura entre las excepciones del artículo 9.2.
4. El cumplimiento de la obligación de registro horario no justifica la biometría
El artículo 34.9 del ET obliga a las empresas a registrar la jornada, pero no exige que el registro se realice mediante datos biométricos. Existen alternativas menos invasivas (PIN, QR, NFC, usuario/contraseña) que cumplen con la obligación legal sin necesidad de tratar datos de categoría especial. Por tanto, el principio de minimización de datos (artículo 5.1.c RGPD) exige utilizar la alternativa menos invasiva que permita cumplir el objetivo.
5. Es obligatorio realizar una Evaluación de Impacto (EIPD)
Si una empresa quiere argumentar que su uso de biometría está amparado por alguna excepción del artículo 9.2, debe realizar una Evaluación de Impacto en la Protección de Datos (EIPD) conforme al artículo 35 del RGPD. Esta evaluación debe demostrar:
- Que no existen alternativas menos invasivas que cumplan el mismo propósito.
- Que el tratamiento es proporcional al objetivo perseguido.
- Que se han implementado medidas técnicas y organizativas adecuadas para minimizar los riesgos.
En la práctica, superar este test de proporcionalidad es extremadamente difícil cuando existen alternativas como el PIN, el QR o la NFC que no requieren tratamiento de datos biométricos.
La sentencia del TJUE: caso C-205/21 (Mousse)
Qué resolvió el tribunal
La sentencia del TJUE de 26 de marzo de 2019 en el asunto C-205/21 es la resolución judicial que fundamenta el cambio de criterio de la AEPD. Aunque el caso se refería al tratamiento de fotografías en documentos de identidad (no específicamente al fichaje laboral), el TJUE estableció un principio general: los datos biométricos recogidos con el fin de identificar de forma unívoca a una persona son datos de categoría especial conforme al artículo 9 del RGPD, con independencia de que el tratamiento concreto utilice técnicas de identificación (uno a muchos) o de verificación (uno a uno).
Implicación para el fichaje laboral
La implicación es directa: cuando una empresa utiliza un terminal de huella dactilar para que un trabajador fiche, está tratando un dato biométrico con el fin de identificar de forma unívoca a ese trabajador (verificar que es quien dice ser). Según el criterio del TJUE, adoptado por la AEPD, este tratamiento recae en el ámbito del artículo 9 del RGPD.
Por qué la distinción identificación/verificación ya no sirve
Antes de esta sentencia, muchos responsables de protección de datos y asesores jurídicos argumentaban que la verificación biométrica (uno a uno) no constituía tratamiento de datos de categoría especial, porque el sistema no buscaba al trabajador entre una base de datos de huellas (identificación), sino que simplemente comparaba la huella presentada con la huella almacenada previamente para ese usuario concreto (verificación).
El TJUE rechazó esta distinción. El dato sigue siendo biométrico. El fin sigue siendo identificar de forma unívoca a la persona. La técnica utilizada (identificación o verificación) no cambia la naturaleza del dato ni la finalidad del tratamiento.
El criterio del CEPD (Comité Europeo de Protección de Datos)
Directrices sobre consentimiento en el ámbito laboral
El CEPD ha emitido múltiples documentos que refuerzan la posición de la AEPD:
Directrices 05/2020 sobre consentimiento: Reiteran que el consentimiento en la relación laboral rara vez puede considerarse libre, dado el desequilibrio de poder. El trabajador puede sentirse obligado a consentir por temor a consecuencias negativas, aunque el empresario no las materialice.
Dictamen 2/2017 sobre tratamiento de datos en el trabajo: Establece que las tecnologías de vigilancia en el lugar de trabajo deben someterse al principio de proporcionalidad y que el empresario debe considerar siempre las alternativas menos invasivas.
Directrices 05/2022 sobre reconocimiento facial: Aunque centradas en el ámbito de la aplicación de la ley, estas directrices confirman que los datos biométricos son, por naturaleza, datos de categoría especial cuando se utilizan para la identificación unívoca.
Impacto práctico
El criterio del CEPD tiene un impacto práctico relevante: las autoridades de protección de datos de todos los Estados miembros de la UE están adoptando posiciones similares a la de la AEPD. Esto significa que las empresas españolas que operan en otros países europeos, o que tienen trabajadores desplazados, se enfrentan a la misma restricción en toda la UE.
Qué bases legitimadoras quedan (y por qué son difíciles de cumplir)
Artículo 9.2.b RGPD: obligación en el ámbito del derecho laboral
La excepción más discutida es la del artículo 9.2.b del RGPD: el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del derecho laboral, siempre que lo autorice el Derecho de la Unión o de los Estados miembros.
Para que esta excepción aplique al fichaje biométrico, sería necesario que una norma con rango de ley autorice expresamente el tratamiento de datos biométricos para el control de presencia laboral. En España, el artículo 34.9 del ET no menciona la biometría. La Ley Orgánica 3/2018 (LOPDGDD) tampoco la contempla específicamente para este fin. Y la reforma del registro horario digital en tramitación excluye expresamente la biometría.
Sin una habilitación legal específica, esta excepción no es aplicable.
Artículo 9.2.a RGPD: consentimiento explícito
Como se ha explicado, el consentimiento del trabajador no se considera libre en el contexto laboral, según el CEPD y la AEPD. Esta vía está bloqueada en la práctica.
Artículo 9.2.g RGPD: interés público esencial
El tratamiento de datos biométricos para el fichaje laboral no constituye un interés público esencial. Esta excepción se reserva para situaciones como la sanidad pública, la seguridad nacional o la investigación científica de interés público.
Convenio colectivo como vía
Existe una vía teórica a través del convenio colectivo. Si un convenio colectivo de ámbito sectorial o de empresa autorizara expresamente el uso de biometría para el control de presencia, podría constituir una base legitimadora conforme al artículo 9.2.b del RGPD en relación con la legislación laboral española. Sin embargo, esta vía presenta limitaciones prácticas significativas:
- Muy pocos convenios colectivos contemplan expresamente la biometría para el fichaje.
- Los sindicatos son generalmente reticentes a autorizar el uso de biometría en convenios, dado el posicionamiento del CEPD y la AEPD.
- Aunque el convenio lo autorizara, seguiría siendo necesaria una EIPD que demuestre la proporcionalidad del tratamiento.
- La reforma del registro horario digital de 2026 excluye la biometría, lo que convertiría en obsoleta cualquier autorización convencional.
Conclusión práctica
En la situación normativa actual y previsible, no existe una base legitimadora viable para el fichaje por huella dactilar en la inmensa mayoría de las empresas españolas. Las excepciones teóricas (convenio colectivo específico, necesidad de seguridad extrema) son tan restrictivas que no aplican al fichaje ordinario.
Sanciones de la AEPD: casos reales
Régimen sancionador del RGPD
El tratamiento ilícito de datos de categoría especial se sanciona conforme al artículo 83.5 del RGPD:
- Multas de hasta 20 millones de euros o el 4 % de la facturación anual global, la cantidad que sea mayor.
En el ámbito de la LOPDGDD (artículo 73), las infracciones graves se sancionan con multas de entre 40.001 y 300.000 EUR, y las muy graves (artículo 72) con multas de entre 300.001 y 20 millones de euros.
Procedimientos sancionadores relevantes
La AEPD ha iniciado procedimientos sancionadores contra empresas que utilizan biometría para el control de presencia sin las garantías exigidas. Algunos casos relevantes:
PS/00120/2021: La AEPD impuso una sanción de 20.000 EUR a una empresa que utilizaba reconocimiento facial para el control de acceso de empleados sin haber realizado una EIPD y sin base legitimadora adecuada.
PS/00050/2022: Sanción de 12.000 EUR a una empresa que implementó un sistema de huella dactilar para el fichaje sin informar adecuadamente a los trabajadores, sin EIPD y sin base legitimadora. La AEPD concluyó que existían alternativas menos invasivas que la empresa no había considerado.
PS/00218/2023: Apercibimiento a un organismo público que utilizaba huella dactilar para el control de acceso. La AEPD determinó que no se había realizado la EIPD preceptiva y que no se había considerado la proporcionalidad del tratamiento.
PS/00032/2024: Sanción de 50.000 EUR a una empresa de logística que impuso el fichaje por huella dactilar a toda la plantilla sin evaluación de impacto, sin información a los trabajadores sobre la base legitimadora y sin demostrar que no existían alternativas menos invasivas.
Tendencia sancionadora
La tendencia es clara: la AEPD está intensificando las actuaciones de inspección y los procedimientos sancionadores en materia de biometría laboral. Las sanciones son cada vez más altas y los argumentos de defensa basados en la antigua interpretación (la verificación no es dato de categoría especial) ya no son aceptados.
Qué deben hacer las empresas que todavía usan huella dactilar
Evaluación inmediata
Si tu empresa utiliza actualmente huella dactilar (u otro dato biométrico) para el fichaje, debes realizar una evaluación inmediata:
1. Verificar la base legitimadora actual
¿Cuál es la base legitimadora que documentaste cuando implantaste el sistema biométrico? Si fue el interés legítimo o el consentimiento del trabajador, esa base ya no es válida según el criterio vigente de la AEPD.
2. Comprobar si existe una EIPD
¿Se realizó una Evaluación de Impacto en la Protección de Datos antes de implantar el sistema? Si no se realizó, el tratamiento es ilícito con independencia de cualquier otra consideración.
3. Evaluar las alternativas
¿Existen alternativas menos invasivas que cumplan la misma finalidad? En el caso del fichaje laboral, la respuesta es siempre sí: PIN, QR, NFC, usuario/contraseña, tarjeta de empleado. Esto invalida el test de proporcionalidad necesario para justificar la biometría.
Plan de acción: 5 pasos para migrar desde la biometría
Paso 1: Decisión formal de abandono del sistema biométrico (1 día)
Documentar formalmente la decisión de la dirección de abandonar el fichaje biométrico. Incluir la fecha prevista de desactivación y el motivo (cambio de criterio de la AEPD, artículo 9 RGPD).
Paso 2: Selección del sistema alternativo (3-7 días)
Elegir un sistema de fichaje que no utilice datos biométricos. Las opciones conformes incluyen:
- PIN individual: Cada trabajador tiene un código numérico personal. Sencillo pero vulnerable al buddy punching.
- Tarjeta NFC/RFID: Cada trabajador tiene una tarjeta que aproxima a un lector. Cómodo y rápido. Riesgo: la tarjeta puede prestarse.
- Código QR dinámico: La app genera un QR único por trabajador y momento. Más seguro que el PIN fijo.
- App móvil: Fichaje desde el smartphone del trabajador, con verificación opcional de geolocalización (respetando los límites del RGPD).
- Web: Fichaje desde el navegador con usuario/contraseña.
Para una comparativa detallada, consulta Software de fichaje para PYMEs de 30 a 200 empleados.
Paso 3: Implantación del sistema alternativo (1-3 semanas)
Seguir el proceso de implantación descrito en nuestra guía Implantar el registro horario paso a paso. Puntos clave: consulta a representantes, comunicación a empleados, fase piloto, despliegue.
Paso 4: Desactivación del sistema biométrico (1 día)
Una vez que el sistema alternativo está operativo y validado, desactivar los terminales biométricos. No es suficiente con dejar de usarlos: deben desactivarse formalmente.
Paso 5: Supresión de los datos biométricos (1-7 días)
Conforme al artículo 17 del RGPD (derecho de supresión), los datos biométricos almacenados deben eliminarse cuando ya no sean necesarios para la finalidad para la que fueron recogidos. Esto incluye:
- Las plantillas de huella dactilar almacenadas en los terminales.
- Las plantillas almacenadas en el servidor o en la nube.
- Las copias de seguridad que contengan datos biométricos.
Documentar la supresión: fecha, método utilizado, responsable de la operación y verificación de que la supresión se ha completado.
Plazos recomendados
| Acción | Plazo recomendado |
|---|---|
| Evaluación inmediata | Esta semana |
| Decisión formal | Dentro de 2 semanas |
| Selección de alternativa | Dentro de 3 semanas |
| Implantación del nuevo sistema | 4-6 semanas desde la decisión |
| Desactivación de la biometría | Inmediatamente tras la validación del nuevo sistema |
| Supresión de datos biométricos | Dentro de 30 días tras la desactivación |
Cada día que la empresa continúa tratando datos biométricos sin base legitimadora válida es un día de exposición a sanciones de la AEPD.
Alternativas al fichaje biométrico que sí cumplen con la normativa
1. PIN individual + aplicación móvil
Cómo funciona: Cada trabajador recibe un código PIN personal que introduce en la aplicación móvil o en un terminal en el centro de trabajo para registrar su entrada y salida.
Ventajas: Sencillo, sin coste de hardware (si se usa la app), sin datos biométricos.
Limitaciones: El PIN puede compartirse (buddy punching). Mitigación: combinar con verificación de geolocalización o con QR dinámico.
Conformidad RGPD: Plena. El PIN es un dato personal ordinario (artículo 4 RGPD), no un dato de categoría especial.
2. Tarjeta NFC/RFID
Cómo funciona: Cada trabajador recibe una tarjeta con chip NFC o RFID que aproxima a un lector en el centro de trabajo. El fichaje se registra en el software vinculado al lector.
Ventajas: Rápido (menos de 2 segundos), no requiere recordar códigos, habitual en entornos industriales y logísticos.
Limitaciones: La tarjeta puede perderse (coste de reposición) o prestarse a un compañero (buddy punching). Mitigación: combinación con PIN o con supervisión puntual.
Conformidad RGPD: Plena. La tarjeta identifica al trabajador mediante un código, no mediante un dato biométrico.
3. Código QR dinámico
Cómo funciona: La aplicación móvil del trabajador genera un código QR único que cambia cada 30-60 segundos. El trabajador presenta el QR ante un lector o una cámara en el centro de trabajo, o lo escanea directamente en la app.
Ventajas: Mayor seguridad que el PIN fijo (el código cambia constantemente, no puede compartirse de forma práctica). Sin hardware específico en muchos casos.
Limitaciones: Requiere que el trabajador tenga un smartphone con la app instalada.
Conformidad RGPD: Plena. El QR es un dato identificativo ordinario, generado dinámicamente.
4. Fichaje desde aplicación web o móvil
Cómo funciona: El trabajador accede a la plataforma web o a la aplicación móvil con sus credenciales personales (usuario y contraseña) y pulsa un botón para registrar la entrada o la salida.
Ventajas: Funciona desde cualquier ubicación (ideal para teletrabajo y movilidad). Sin hardware. Coste mínimo.
Limitaciones: Depende de la conexión a internet. Sin verificación presencial en el centro de trabajo (salvo que se combine con geolocalización).
Conformidad RGPD: Plena. Las credenciales de acceso son datos personales ordinarios.
5. Combinación de métodos
La solución más robusta para la mayoría de las empresas es combinar varios métodos según el perfil del trabajador:
- Empleados presenciales: QR dinámico o NFC en el centro de trabajo.
- Teletrabajadores: App móvil o web con verificación de geolocalización.
- Trabajadores en movilidad: App móvil con geolocalización.
- Trabajadores sin smartphone: Tarjeta NFC o PIN en terminal.
Esta combinación permite cubrir todos los escenarios sin recurrir a datos biométricos.
La reforma del registro horario digital y la biometría
Qué dice la reforma sobre la biometría
La reforma del registro horario digital que se tramita en 2026 aborda explícitamente la cuestión de la biometría. Los borradores del texto establecen que los métodos de identificación para el fichaje deben basarse en credenciales individuales e intransferibles: usuario y contraseña, PIN, código QR o tarjeta NFC. La biometría (huella dactilar, reconocimiento facial, reconocimiento de iris) queda excluida como método de identificación para el registro de jornada.
Esta exclusión no es casual: responde al cambio de criterio de la AEPD, al posicionamiento del CEPD y a la jurisprudencia del TJUE. El legislador ha optado por cerrar la puerta a la biometría en el fichaje laboral para evitar controversias futuras y alinearse con la interpretación vigente del RGPD.
Implicaciones para las empresas
Para las empresas que todavía utilizan huella dactilar, la reforma supone una doble urgencia:
- Urgencia actual: El criterio de la AEPD ya está vigente. El uso de biometría sin base legitimadora válida es sancionable hoy.
- Urgencia futura: Cuando la reforma entre en vigor (previsiblemente durante 2026), la biometría quedará expresamente prohibida para el fichaje. Las empresas que no hayan migrado a un sistema alternativo incumplirán tanto la normativa de protección de datos como la normativa laboral.
Para una guía completa sobre la reforma, consulta Nueva ley de fichaje digital obligatorio 2026.
Preguntas que los empresarios se hacen (y sus respuestas)
“Pero yo no identifico, solo verifico. ¿No es diferente?”
No, según el criterio vigente. La distinción entre identificación (uno a muchos) y verificación (uno a uno) fue superada por la sentencia del TJUE en el asunto C-205/21. La AEPD la ha abandonado. Un terminal de huella dactilar que verifica la identidad de un trabajador comparando su huella con la plantilla almacenada está tratando un dato biométrico con el fin de identificar de forma unívoca a esa persona. Esto lo convierte en tratamiento de datos de categoría especial (artículo 9 RGPD).
”Mis empleados han firmado un consentimiento. ¿No es suficiente?”
No. El consentimiento del trabajador en el contexto laboral no se considera libre según el CEPD y la AEPD, debido al desequilibrio de poder inherente a la relación laboral. Un trabajador que se niega a dar su consentimiento puede temer represalias (reales o percibidas). Este vicio invalida el consentimiento como base legitimadora para datos de categoría especial.
”Llevo usando huella dactilar 5 años y nunca me han sancionado.”
El hecho de que la AEPD no haya sancionado a una empresa concreta no significa que el tratamiento sea lícito. La AEPD actúa de oficio o por denuncia. La ausencia de sanción pasada no inmuniza frente a procedimientos futuros. Y desde noviembre de 2023, la AEPD dispone de un criterio claro y público que refuerza su capacidad de actuación.
Además, cualquier trabajador (actual o antiguo) puede presentar una reclamación ante la AEPD si considera que sus datos biométricos fueron tratados ilícitamente. El plazo de prescripción para las infracciones muy graves es de 3 años (artículo 72.1 LOPDGDD).
”¿Y si el convenio colectivo autoriza la biometría?”
Es la única vía teórica, pero presenta limitaciones prácticas serias. Para que un convenio colectivo sirva como base legitimadora, debería: (a) autorizar expresamente el tratamiento de datos biométricos para el control de presencia; (b) ser un convenio con rango normativo suficiente (convenio sectorial o de empresa); (c) cumplir con el principio de proporcionalidad (la empresa debe demostrar que no existen alternativas menos invasivas); y (d) la empresa debe realizar una EIPD previa.
Incluso con un convenio favorable, el superar el test de proporcionalidad es prácticamente imposible cuando existen alternativas como el PIN, el QR o la NFC.
”El fichaje biométrico era más seguro. ¿No empeora la seguridad?”
La huella dactilar era efectiva contra el buddy punching. Sin embargo, el QR dinámico (que cambia cada 30-60 segundos) ofrece un nivel de seguridad comparable sin tratar datos biométricos. La combinación de QR dinámico con verificación de geolocalización proporciona una garantía suficiente para la mayoría de los entornos laborales.
Si la empresa opera en un sector con requisitos de seguridad excepcionales (infraestructuras críticas, defensa, tratamiento de información clasificada), puede existir una justificación para la biometría basada en el artículo 9.2.g del RGPD (interés público esencial), pero esta excepción no aplica al fichaje laboral ordinario.
”¿Puedo usar reconocimiento facial en vez de huella dactilar?”
No. La restricción de la AEPD aplica a todos los datos biométricos dirigidos a la identificación unívoca de personas: huella dactilar, reconocimiento facial, reconocimiento de iris, reconocimiento de voz, geometría de la mano o patrón venoso. El cambio de un dato biométrico por otro no resuelve el problema legal.
El coste de la inacción
Riesgo sancionador
| Escenario | Sanción potencial |
|---|---|
| Sanción AEPD por tratamiento ilícito de datos biométricos (art. 83.5 RGPD) | Hasta 20 millones EUR o 4 % facturación |
| Sanción AEPD grado medio (infracción grave LOPDGDD) | 40.001-300.000 EUR |
| Sanción AEPD grado mínimo (infracción grave LOPDGDD) | 40.001 EUR |
| Reclamación de un trabajador (daños y perjuicios, art. 82 RGPD) | Variable (1.000-50.000 EUR según jurisprudencia) |
| Sanción LISOS por registro horario (si la migración deja un período sin registro) | 7.501-30.000 EUR (infracción grave) |
Coste de la migración
| Concepto | Coste estimado (empresa 80 empleados) |
|---|---|
| Software SaaS alternativo (12 meses) | 2.880-6.720 EUR |
| Implantación y formación | 0-2.000 EUR |
| Tiempo de RRHH (gestión del cambio) | 500-1.500 EUR |
| Total migración | 3.380-10.220 EUR |
La comparación es clara: el coste de migrar a un sistema conforme es una fracción del riesgo de sanción.
DALTICO Equipo: fichaje sin biometría, con valor probatorio
DALTICO Equipo es un Sistema de Evidencia Laboral Digital Certificada que no utiliza datos biométricos para el fichaje. Desde su diseño, el sistema se basa en credenciales individuales (usuario/PIN, QR dinámico, NFC) que cumplen con el RGPD y con los requisitos de la reforma del registro horario digital.
Métodos de fichaje disponibles:
- Control horario desde app móvil con QR dinámico.
- Fichaje desde web con usuario y contraseña.
- Punto de fichaje con NFC en el centro de trabajo.
- PIN individual como método alternativo.
Lo que ofrece además del fichaje:
- Inmutabilidad real de registros (sin posibilidad de alteración sin rastro).
- Trazabilidad completa (quién modificó, qué, cuándo, valor anterior).
- Respaldo pericial por perito informático forense certificado.
- Gestión de vacaciones y ausencias integrada.
- Preparado para los requisitos de la reforma del registro horario digital.
- Sin permanencia, sin costes de implantación, soporte en español incluido.
- Consulta los precios.
Si tu empresa todavía utiliza huella dactilar para el fichaje y necesita migrar a un sistema conforme con el RGPD y preparado para la reforma de 2026, solicita una demostración o consulta nuestra guía completa sobre el registro horario obligatorio en España.
Preguntas frecuentes
¿Es ilegal usar huella dactilar para fichar en España en 2026?
La Guía de la AEPD de noviembre de 2023 establece que el fichaje biométrico (incluida la huella dactilar) constituye tratamiento de datos de categoría especial conforme al artículo 9 del RGPD. Su tratamiento está prohibido por defecto, y las bases legitimadoras disponibles (consentimiento, interés legítimo) no son válidas en el contexto laboral según la AEPD y el CEPD. Además, la reforma del registro horario digital en tramitación excluye expresamente la biometría. En la práctica, el fichaje por huella dactilar ya no es una opción legal viable para la inmensa mayoría de las empresas.
¿Qué pasa si un trabajador denuncia a la AEPD el uso de huella dactilar en mi empresa?
La AEPD abrirá un procedimiento de investigación. Si determina que el tratamiento carece de base legitimadora y no se realizó una EIPD, puede imponer sanciones de hasta 20 millones de euros (artículo 83.5 RGPD). En la práctica, las sanciones a PYMEs por esta infracción oscilan entre 12.000 y 50.000 EUR, dependiendo de la gravedad y las circunstancias.
¿Puedo seguir usando los terminales biométricos con otro método (tarjeta NFC)?
Sí, si los terminales son compatibles con tarjetas NFC o RFID. Muchos terminales biométricos modernos incorporan lectores NFC como método alternativo. En ese caso, puedes desactivar la funcionalidad de huella dactilar y utilizar exclusivamente el lector NFC con tarjetas individuales. Esto evita el tratamiento de datos biométricos.
¿Qué hago con las plantillas de huella dactilar que ya tengo almacenadas?
Debes suprimirlas conforme al artículo 17 del RGPD. La supresión debe abarcar las plantillas almacenadas en los terminales, en el servidor y en las copias de seguridad. Documenta la supresión (fecha, método, responsable, verificación) y conserva esa documentación como prueba de cumplimiento.
¿El fichaje por reconocimiento facial es una alternativa válida?
No. El reconocimiento facial es un dato biométrico sometido a las mismas restricciones que la huella dactilar. La Guía de la AEPD aplica a todos los datos biométricos dirigidos a la identificación unívoca de personas.
¿Cuánto tiempo tengo para migrar desde la biometría?
No existe un plazo legal explícito de migración. Sin embargo, cada día que la empresa continúa utilizando biometría sin base legitimadora válida es un día de exposición a sanciones de la AEPD. La recomendación es iniciar la migración inmediatamente y completarla en un plazo máximo de 4-6 semanas.
Glosario relacionado
- Fichaje biometrico: Identificacion del empleado mediante huella, rostro u otros datos biometricos.
- RGPD: Reglamento europeo que regula la proteccion de datos personales.
- Evaluacion de impacto (EIPD): Analisis obligatorio de riesgos antes de tratar datos sensibles.
