Horario: Lunes a Jueves 7:30 – 15:30 (soporte hasta 17:30) | Viernes: 7:30 – 15:00
(+34) 957 326 107
Iniciar Soporte Técnico
CONTACTAR
Blog Qualica-RD 8Views 0Likes

Control de Acceso Biométrico y RGPD: Guía de Cumplimiento Normativo 2026

HomeTodas las entradasBlog Qualica-RDControl de Acceso Biométrico y RGPD: Guía de...

¿Es legal usar la huella dactilar o el reconocimiento facial para fichar en el trabajo?

Esta es la pregunta que más recibimos en QualicaRD. La respuesta corta es sí, es legal, pero con condiciones muy concretas que debes conocer antes de instalar cualquier sistema biométrico en tu empresa.

El Reglamento General de Protección de Datos (RGPD) clasifica los datos biométricos como datos de categoría especial (artículo 9), lo que significa que gozan de la máxima protección. No puedes tratarlos como si fueran un simple número de tarjeta RFID. Necesitas base legal, evaluación de impacto y medidas técnicas específicas.

En esta guía te explicamos exactamente qué exige la normativa española y europea, qué ha dicho la AEPD en sus últimas resoluciones y cómo implementar un control de acceso biométrico que cumpla con la ley sin renunciar a la eficiencia operativa.

 

¿Qué dice exactamente el RGPD sobre los datos biométricos?

El artículo 9.1 del RGPD prohíbe el tratamiento de datos biométricos dirigidos a identificar de manera unívoca a una persona física. La prohibición es la regla general.

Sin embargo, el artículo 9.2 establece excepciones. La más relevante para el control de acceso y fichaje laboral es la letra b): el tratamiento es necesario para cumplir obligaciones en el ámbito del derecho laboral.

Esto significa que:

  • Si usas biometría exclusivamente para fichaje laboral (obligación legal del Estatuto de los Trabajadores de registrar la jornada), tienes una base legal sólida
  • Si la usas para control de acceso a zonas restringidas por motivos de seguridad, necesitas justificarlo con una evaluación de riesgos
  • Si la usas para control de acceso de clientes (gimnasios, eventos), necesitas consentimiento explícito — y esto es más frágil jurídicamente

 

Las resoluciones de la AEPD que debes conocer

La Agencia Española de Protección de Datos ha sido especialmente activa en este terreno. Estas son las resoluciones clave:

Resolución sobre fichaje biométrico en el trabajo (2023-2024): La AEPD ha validado el uso de huella dactilar para control horario siempre que:

  • Sea proporcionado (no existe una alternativa menos invasiva igual de eficaz)
  • Se haya realizado una Evaluación de Impacto de Protección de Datos (EIPD)
  • Los empleados hayan sido informados de forma transparente
  • Se ofrezca una alternativa voluntaria para quien se niegue (ej: tarjeta RFID o código PIN)

Criterio sobre reconocimiento facial: La AEPD es más restrictiva con el reconocimiento facial que con la huella dactilar. Lo considera una tecnología de alto riesgo y exige un nivel de justificación superior. En entornos laborales, solo se admite para acceso a zonas de seguridad crítica (defensa, infraestructuras esenciales, datos sensibles).

 

Checklist de cumplimiento: 7 pasos para implantar biometría sin problemas

1. Define la base legal ANTES de comprar el sistema

No compres terminales biométricos y luego busques justificación legal. Hazlo al revés. Determina primero si tu caso de uso encaja en una de las excepciones del artículo 9.2 del RGPD.

2. Realiza una Evaluación de Impacto (EIPD)

Es obligatoria para cualquier tratamiento de datos biométricos a gran escala. Debe incluir:

  • Descripción del tratamiento y su finalidad
  • Evaluación de necesidad y proporcionalidad
  • Análisis de riesgos para los derechos de los interesados
  • Medidas previstas para mitigar esos riesgos

La AEPD ofrece una plantilla gratuita en su web. No te la saltes.

3. Elige terminales que cifren las plantillas biométricas

Aquí está la diferencia técnica que realmente importa. Un terminal biométrico nunca debe almacenar imágenes de huellas dactilares o rostros. Solo debe guardar plantillas biométricas (templates): representaciones matemáticas irreversibles de los puntos característicos de una huella o un rostro.

Los Terminales Rugerizados QualicaRD, por ejemplo, generan un hash cifrado de la huella en el momento de la captura. La imagen original se descarta inmediatamente. El template no se puede usar para reconstruir la huella original. Esta es exactamente la arquitectura que la AEPD espera ver en una EIPD.

4. Ofrece siempre una alternativa al trabajador

Aunque el fichaje sea obligatorio, el método biométrico no puede serlo. Ofrece a cada empleado la opción de usar una tarjeta RFID personal o un código PIN. Documenta que has ofrecido esta alternativa.

5. Informa de forma transparente

Cada empleado debe recibir y firmar una cláusula informativa que detalle:

  • Qué dato biométrico se captura
  • Con qué finalidad
  • Dónde se almacena (en el terminal, no en la nube)
  • Durante cuánto tiempo se conserva
  • Cómo ejercer los derechos ARCO (acceso, rectificación, cancelación, oposición)
  • Quién es el Delegado de Protección de Datos (DPD) de la empresa

6. Minimiza los datos: no pidas más de lo necesario

Si solo necesitas fichaje, no captures también el rostro. Si solo necesitas acceso a una puerta, no vincules el dato biométrico al expediente completo del empleado. Principio de minimización: el RGPD castiga la desproporción.

7. Establece plazos de conservación y eliminación

Los datos biométricos no pueden conservarse indefinidamente. Define un plazo claro (ej: 5 años desde la baja del empleado, salvo obligación legal de conservación superior) y automatiza la eliminación al cumplirse.

 

Biometría en la nube vs biometría local: la decisión que define tu nivel de riesgo

Este es el punto donde muchas empresas meten la pata sin saberlo.

Sistemas cloud: Los datos biométricos se almacenan en servidores externos. Mayor riesgo de brecha de seguridad. Más difícil de justificar ante la AEPD. Solo recomendable si tu DPD lo avala expresamente.

Sistemas locales (on-premise): Los templates biométricos se almacenan exclusivamente en la memoria del terminal, sin conexión a internet. Esta arquitectura es la que mejor encaja con el principio de minimización del RGPD y la que la AEPD ve con mejores ojos.

Nuestros Terminales Rugerizados permiten ambas configuraciones. Pero si nos preguntas cuál recomendamos desde el punto de vista de cumplimiento normativo: siempre local, con posibilidad de exportación puntual de registros de fichaje (nunca de templates) a tu ERP.

 

Sanciones: lo que te puede costar no cumplir

Las sanciones del RGPD por tratamiento inadecuado de datos biométricos pueden alcanzar 20 millones de euros o el 4% de la facturación anual global, lo que sea mayor.

En España, la AEPD ha impuesto multas desde 2.000€ (casos leves, como no tener cláusula informativa) hasta 200.000€+ (casos graves, como capturar huella sin alternativa ni EIPD). El coste de hacerlo bien es ridículo comparado con el coste de hacerlo mal.

 

Resumen práctico: ¿qué necesitas para estar en regla?

    • Base legal clara (obligación laboral o interés legítimo justificado)
  • EIPD realizada y documentada
  • Terminales con cifrado de plantillas (no almacenamiento de imágenes)
  • Alternativa no biométrica ofrecida a cada empleado
  • Cláusula informativa firmada por cada interesado
  • Almacenamiento local siempre que sea posible
  • Plazo de conservación definido y automatizado
  • DPD designado (obligatorio para tratamiento de categorías especiales)

Si necesitas asesoramiento sobre qué terminal biométrico se adapta mejor a tu caso de uso cumpliendo todos estos requisitos, consulta nuestra gama de terminales biométricos rugerizados o contacta con nuestro equipo técnico.

You May Also Like

Cerraduras inteligentes, todo lo que necesitas saber
Blog Qualica-RD
Cerraduras inteligentes, todo lo que necesitas saber
1 octubre, 2024
Cómo implementar control de acceso en parkings
Blog Qualica-RD
Cómo implementar control de acceso en parkings
1 noviembre, 2025
Descubriendo el RFID: Funcionamiento y Aplicaciones
Blog Qualica-RD
Descubriendo el RFID: Funcionamiento y Aplicaciones
8 abril, 2024