{"id":51017,"date":"2026-05-02T10:51:55","date_gmt":"2026-05-02T08:51:55","guid":{"rendered":"https:\/\/qualicard.eu\/?p=51017"},"modified":"2026-05-25T11:06:11","modified_gmt":"2026-05-25T09:06:11","slug":"control-acceso-biometrico-rgpd-cumplimiento-normativo","status":"publish","type":"post","link":"https:\/\/qualicard.eu\/en\/control-acceso-biometrico-rgpd-cumplimiento-normativo\/","title":{"rendered":"Control de Acceso Biom\u00e9trico y RGPD: Gu\u00eda de Cumplimiento Normativo 2026"},"content":{"rendered":"

\u00bfEs legal usar la huella dactilar o el reconocimiento facial para fichar en el trabajo?<\/b><\/h2>\n

Esta es la pregunta que m\u00e1s recibimos en QualicaRD. La respuesta corta es <\/span>s\u00ed, es legal<\/b>, pero con condiciones muy concretas que debes conocer antes de instalar cualquier sistema biom\u00e9trico en tu empresa.<\/span><\/p>\n

El Reglamento General de Protecci\u00f3n de Datos (RGPD) clasifica los datos biom\u00e9tricos como <\/span>datos de categor\u00eda especial<\/b> (art\u00edculo 9), lo que significa que gozan de la m\u00e1xima protecci\u00f3n. No puedes tratarlos como si fueran un simple n\u00famero de tarjeta RFID. Necesitas base legal, evaluaci\u00f3n de impacto y medidas t\u00e9cnicas espec\u00edficas.<\/span><\/p>\n

En esta gu\u00eda te explicamos exactamente qu\u00e9 exige la normativa espa\u00f1ola y europea, qu\u00e9 ha dicho la AEPD en sus \u00faltimas resoluciones y c\u00f3mo implementar un control de acceso biom\u00e9trico que cumpla con la ley sin renunciar a la eficiencia operativa.<\/span><\/p>\n

 <\/p>\n

\u00bfQu\u00e9 dice exactamente el RGPD sobre los datos biom\u00e9tricos?<\/b><\/h3>\n

El art\u00edculo 9.1 del RGPD proh\u00edbe el tratamiento de datos biom\u00e9tricos dirigidos a identificar de manera un\u00edvoca a una persona f\u00edsica. <\/span>La prohibici\u00f3n es la regla general.<\/b><\/p>\n

Sin embargo, el art\u00edculo 9.2 establece excepciones. La m\u00e1s relevante para el control de acceso y fichaje laboral es la letra <\/span>b): el tratamiento es necesario para cumplir obligaciones en el \u00e1mbito del derecho laboral.<\/b><\/p>\n

Esto significa que:<\/span><\/p>\n

    \n
  • Si usas biometr\u00eda <\/span>exclusivamente para fichaje laboral<\/b> (obligaci\u00f3n legal del Estatuto de los Trabajadores de registrar la jornada), tienes una base legal s\u00f3lida<\/span><\/li>\n
  • Si la usas <\/span>para control de acceso a zonas restringidas<\/b> por motivos de seguridad, necesitas justificarlo con una evaluaci\u00f3n de riesgos<\/span><\/li>\n
  • Si la usas <\/span>para control de acceso de clientes<\/b> (gimnasios, eventos), necesitas consentimiento expl\u00edcito \u2014 y esto es m\u00e1s fr\u00e1gil jur\u00eddicamente<\/span><\/li>\n<\/ul>\n

     <\/p>\n

    Las resoluciones de la AEPD que debes conocer<\/b><\/h3>\n

    La Agencia Espa\u00f1ola de Protecci\u00f3n de Datos ha sido especialmente activa en este terreno. Estas son las resoluciones clave:<\/span><\/p>\n

    Resoluci\u00f3n sobre fichaje biom\u00e9trico en el trabajo (2023-2024):<\/b> La AEPD ha validado el uso de huella dactilar para control horario siempre que:<\/span><\/p>\n

      \n
    • Sea <\/span>proporcionado<\/b> (no existe una alternativa menos invasiva igual de eficaz)<\/span><\/li>\n
    • Se haya realizado una <\/span>Evaluaci\u00f3n de Impacto de Protecci\u00f3n de Datos (EIPD)<\/b><\/li>\n
    • Los empleados hayan sido <\/span>informados<\/b> de forma transparente<\/span><\/li>\n
    • Se ofrezca una <\/span>alternativa voluntaria<\/b> para quien se niegue (ej: tarjeta RFID o c\u00f3digo PIN)<\/span><\/li>\n<\/ul>\n

      Criterio sobre reconocimiento facial:<\/b> La AEPD es m\u00e1s restrictiva con el reconocimiento facial que con la huella dactilar. Lo considera una tecnolog\u00eda de <\/span>alto riesgo<\/b> y exige un nivel de justificaci\u00f3n superior. En entornos laborales, solo se admite para acceso a zonas de seguridad cr\u00edtica (defensa, infraestructuras esenciales, datos sensibles).<\/span><\/p>\n

       <\/p>\n

      Checklist de cumplimiento: 7 pasos para implantar biometr\u00eda sin problemas<\/b><\/h2>\n

      1. Define la base legal ANTES de comprar el sistema<\/b><\/h3>\n

      No compres terminales biom\u00e9tricos y luego busques justificaci\u00f3n legal. Hazlo al rev\u00e9s. Determina primero si tu caso de uso encaja en una de las excepciones del art\u00edculo 9.2 del RGPD.<\/span><\/p>\n

      2. Realiza una Evaluaci\u00f3n de Impacto (EIPD)<\/b><\/h3>\n

      Es obligatoria para cualquier tratamiento de datos biom\u00e9tricos a gran escala. Debe incluir:<\/span><\/p>\n

        \n
      • Descripci\u00f3n del tratamiento y su finalidad<\/span><\/li>\n
      • Evaluaci\u00f3n de necesidad y proporcionalidad<\/span><\/li>\n
      • An\u00e1lisis de riesgos para los derechos de los interesados<\/span><\/li>\n
      • Medidas previstas para mitigar esos riesgos<\/span><\/li>\n<\/ul>\n

        La AEPD ofrece una plantilla gratuita en su web. No te la saltes.<\/span><\/p>\n

        3. Elige terminales que cifren las plantillas biom\u00e9tricas<\/b><\/h3>\n

        Aqu\u00ed est\u00e1 la diferencia t\u00e9cnica que realmente importa. Un terminal biom\u00e9trico <\/span>nunca debe almacenar im\u00e1genes de huellas dactilares o rostros<\/b>. Solo debe guardar plantillas biom\u00e9tricas (templates): representaciones matem\u00e1ticas irreversibles de los puntos caracter\u00edsticos de una huella o un rostro.<\/span><\/p>\n

        Los terminales rugerizados QualicaRD, por ejemplo, generan un hash cifrado de la huella en el momento de la captura. La imagen original se descarta inmediatamente. El template no se puede usar para reconstruir la huella original. Esta es exactamente la arquitectura que la AEPD espera ver en una EIPD.<\/span><\/p>\n

        4. Ofrece siempre una alternativa al trabajador<\/b><\/h3>\n

        Aunque el fichaje sea obligatorio, el m\u00e9todo biom\u00e9trico no puede serlo. Ofrece a cada empleado la opci\u00f3n de usar una tarjeta RFID personal o un c\u00f3digo PIN. Documenta que has ofrecido esta alternativa.<\/span><\/p>\n

        5. Informa de forma transparente<\/b><\/h3>\n

        Cada empleado debe recibir y firmar una cl\u00e1usula informativa que detalle:<\/span><\/p>\n

          \n
        • Qu\u00e9 dato biom\u00e9trico se captura<\/span><\/li>\n
        • Con qu\u00e9 finalidad<\/span><\/li>\n
        • D\u00f3nde se almacena (en el terminal, no en la nube)<\/span><\/li>\n
        • Durante cu\u00e1nto tiempo se conserva<\/span><\/li>\n
        • C\u00f3mo ejercer los derechos ARCO (acceso, rectificaci\u00f3n, cancelaci\u00f3n, oposici\u00f3n)<\/span><\/li>\n
        • Qui\u00e9n es el Delegado de Protecci\u00f3n de Datos (DPD) de la empresa<\/span><\/li>\n<\/ul>\n

          6. Minimiza los datos: no pidas m\u00e1s de lo necesario<\/b><\/h3>\n

          Si solo necesitas fichaje, no captures tambi\u00e9n el rostro. Si solo necesitas acceso a una puerta, no vincules el dato biom\u00e9trico al expediente completo del empleado. Principio de minimizaci\u00f3n: el RGPD castiga la desproporci\u00f3n.<\/span><\/p>\n

          7. Establece plazos de conservaci\u00f3n y eliminaci\u00f3n<\/b><\/h3>\n

          Los datos biom\u00e9tricos no pueden conservarse indefinidamente. Define un plazo claro (ej: 5 a\u00f1os desde la baja del empleado, salvo obligaci\u00f3n legal de conservaci\u00f3n superior) y automatiza la eliminaci\u00f3n al cumplirse.<\/span><\/p>\n

           <\/p>\n

          Biometr\u00eda en la nube vs biometr\u00eda local: la decisi\u00f3n que define tu nivel de riesgo<\/b><\/h2>\n

          Este es el punto donde muchas empresas meten la pata sin saberlo.<\/span><\/p>\n

          Sistemas cloud:<\/b> Los datos biom\u00e9tricos se almacenan en servidores externos. Mayor riesgo de brecha de seguridad. M\u00e1s dif\u00edcil de justificar ante la AEPD. Solo recomendable si tu DPD lo avala expresamente.<\/span><\/p>\n

          Sistemas locales (on-premise):<\/b> Los templates biom\u00e9tricos se almacenan exclusivamente en la memoria del terminal, sin conexi\u00f3n a internet. Esta arquitectura es la que mejor encaja con el principio de minimizaci\u00f3n del RGPD y la que la AEPD ve con mejores ojos.<\/span><\/p>\n

          Nuestros terminales rugerizados permiten ambas configuraciones. Pero si nos preguntas cu\u00e1l recomendamos desde el punto de vista de cumplimiento normativo: <\/span>siempre local, con posibilidad de exportaci\u00f3n puntual de registros de fichaje (nunca de templates) a tu ERP.<\/b><\/p>\n

           <\/p>\n

          Sanciones: lo que te puede costar no cumplir<\/b><\/h3>\n

          Las sanciones del RGPD por tratamiento inadecuado de datos biom\u00e9tricos pueden alcanzar <\/span>20 millones de euros o el 4% de la facturaci\u00f3n anual global<\/b>, lo que sea mayor.<\/span><\/p>\n

          En Espa\u00f1a, la AEPD ha impuesto multas desde 2.000\u20ac (casos leves, como no tener cl\u00e1usula informativa) hasta 200.000\u20ac+ (casos graves, como capturar huella sin alternativa ni EIPD). El coste de hacerlo bien es rid\u00edculo comparado con el coste de hacerlo mal.<\/span><\/p>\n

           <\/p>\n

          Resumen pr\u00e1ctico: \u00bfqu\u00e9 necesitas para estar en regla?<\/b><\/h3>\n
            \n
          • \n
              \n
            • Base legal clara<\/b> (obligaci\u00f3n laboral o inter\u00e9s leg\u00edtimo justificado)<\/span><\/li>\n<\/ul>\n<\/li>\n<\/ul>\n
                \n
              • EIPD realizada y documentada<\/b><\/li>\n<\/ul>\n
                  \n
                • Terminales con cifrado de plantillas<\/b> (no almacenamiento de im\u00e1genes)<\/span><\/li>\n
                • Alternativa no biom\u00e9trica<\/b> ofrecida a cada empleado<\/span><\/li>\n
                • Cl\u00e1usula informativa firmada<\/b> por cada interesado<\/span><\/li>\n
                • Almacenamiento local<\/b> siempre que sea posible<\/span><\/li>\n
                • Plazo de conservaci\u00f3n definido<\/b> y automatizado<\/span><\/li>\n
                • DPD designado<\/b> (obligatorio para tratamiento de categor\u00edas especiales)<\/span><\/li>\n<\/ul>\n

                  Si necesitas asesoramiento sobre qu\u00e9 terminal biom\u00e9trico se adapta mejor a tu caso de uso cumpliendo todos estos requisitos, consulta nuestra gama de terminales biom\u00e9tricos rugerizados o contacta con nuestro equipo t\u00e9cnico.<\/span><\/p>\n","protected":false},"excerpt":{"rendered":"

                  \u00bfEs legal usar la huella dactilar o el reconocimiento facial para fichar en el trabajo? Esta es la pregunta que m\u00e1s recibimos en QualicaRD. La respuesta corta es s\u00ed, es…<\/p>\n","protected":false},"author":990009,"featured_media":51019,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[500],"tags":[],"class_list":["post-51017","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-blog"],"acf":[],"_links":{"self":[{"href":"https:\/\/qualicard.eu\/en\/wp-json\/wp\/v2\/posts\/51017","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/qualicard.eu\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/qualicard.eu\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/qualicard.eu\/en\/wp-json\/wp\/v2\/users\/990009"}],"replies":[{"embeddable":true,"href":"https:\/\/qualicard.eu\/en\/wp-json\/wp\/v2\/comments?post=51017"}],"version-history":[{"count":1,"href":"https:\/\/qualicard.eu\/en\/wp-json\/wp\/v2\/posts\/51017\/revisions"}],"predecessor-version":[{"id":51018,"href":"https:\/\/qualicard.eu\/en\/wp-json\/wp\/v2\/posts\/51017\/revisions\/51018"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/qualicard.eu\/en\/wp-json\/wp\/v2\/media\/51019"}],"wp:attachment":[{"href":"https:\/\/qualicard.eu\/en\/wp-json\/wp\/v2\/media?parent=51017"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/qualicard.eu\/en\/wp-json\/wp\/v2\/categories?post=51017"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/qualicard.eu\/en\/wp-json\/wp\/v2\/tags?post=51017"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}