La Audiencia Nacional habría anulado la guía de fichaje biométrico de la AEPD


La Audiencia Nacional habría estimado el recurso presentado por la Asociación Española de Empresas de Seguridad (AES) contra la guía que la Agencia Española de Protección de Datos (AEPD) publicó en 2023 sobre el control de presencia mediante sistemas biométricos. Según la información adelantada este 15/07/2026 por El Confidencial, el tribunal habría dejado sin efecto la aprobación y publicación del documento al considerar que, por su contenido y consecuencias prácticas, funcionaba como una instrucción encubierta o una circular sin haber seguido el procedimiento exigido para este tipo de disposiciones.

Las claves de la sentencia sobre el fichaje biométrico en 30 segundos

  • La Audiencia Nacional habría anulado la aprobación y publicación de la guía biométrica de la AEPD tras estimar el recurso de AES.
  • El tribunal cuestionaría el procedimiento utilizado, no declararía legal el fichaje mediante huella o reconocimiento facial.
  • Las circulares de la AEPD requieren informes, audiencia pública, dictamen del Consejo de Estado y publicación en el BOE.
  • El Reglamento General de Protección de Datos continúa aplicándose y obliga a justificar cualquier tratamiento biométrico.
  • La sentencia íntegra será necesaria para conocer el alcance real y sus posibles efectos sobre empresas y administraciones.

El texto completo de la resolución no estaba disponible en las fuentes judiciales oficiales consultadas al redactar este artículo, por lo que sus fundamentos y el alcance exacto del fallo deben tratarse con cautela. La copia de la guía que continúa alojada en la web de la AEPD aparece actualmente atravesada por la indicación “EN REVISIÓN” en todas sus páginas, aunque el documento no explica cuándo se incorporó esa marca ni si responde directamente al procedimiento judicial.

La posible anulación tampoco equivale a una autorización general para instalar sistemas de fichaje por huella dactilar, rostro, iris u otros rasgos físicos. La controversia descrita afecta, ante todo, a la forma en que la AEPD fijó y difundió unos criterios con vocación general. Las obligaciones materiales del Reglamento General de Protección de Datos (RGPD), incluida la protección reforzada de los datos biométricos, no desaparecen por la anulación de una guía.

Por qué la Audiencia Nacional cuestionaría el formato elegido

Las autoridades de protección de datos pueden publicar guías, recomendaciones y herramientas para ayudar a empresas y administraciones a cumplir la normativa. El Estatuto de la AEPD encomienda expresamente a su División de Innovación Tecnológica la elaboración de guías que apoyen el principio de responsabilidad proactiva.

El problema aparece cuando un documento presentado como orientación establece en la práctica criterios cerrados que determinan cómo actuará la autoridad, qué tratamientos considera admisibles o qué conductas pueden terminar en una sanción. En ese caso, el contenido puede acercarse al de una disposición general obligatoria, aunque formalmente conserve el nombre de guía.

La Ley Orgánica 3/2018 regula una figura específica para esa función: las circulares de la AEPD. Su artículo 55 permite que la Presidencia de la Agencia dicte disposiciones que fijen los criterios que seguirá la autoridad al aplicar el RGPD y la propia ley orgánica. Esas circulares son obligatorias después de publicarse en el Boletín Oficial del Estado (BOE).

El procedimiento no se limita a redactar y subir un documento a la web. El Estatuto de la AEPD exige un informe técnico que identifique la habilitación normativa y justifique la necesidad de la medida, un informe jurídico, audiencia a las personas y organizaciones afectadas, un periodo de información pública y el dictamen del Consejo de Estado. La aprobación final corresponde a la Presidencia de la Agencia y la circular debe publicarse en el BOE.

Según la información conocida, la Audiencia Nacional habría entendido que la guía de 2023 superaba la función meramente divulgativa. Su redacción no se limitaba a recordar los artículos del RGPD, sino que determinaba los criterios aplicables al registro de jornada y al control de acceso mediante biometría, con efectos prácticos para un número indeterminado de empresas, administraciones, proveedores de seguridad y trabajadores.

La consecuencia jurídica sería relevante para la AEPD y para otras autoridades administrativas. Una guía puede explicar una norma, ofrecer ejemplos y recomendar medidas, pero no debería utilizarse para crear obligaciones nuevas ni para fijar mandatos generales al margen del procedimiento previsto para las disposiciones vinculantes.

Habrá que leer la sentencia para saber si el tribunal considera inválido todo el documento, únicamente su aprobación formal o aquellos apartados que sobrepasan la labor orientativa. También será necesario comprobar si la resolución es firme o puede ser objeto de recurso.

Qué establecía la guía biométrica de la AEPD

La AEPD publicó la guía en noviembre de 2023 para revisar su doctrina sobre sistemas de control de presencia. El documento analizaba tanto el registro de jornada laboral como el control de acceso a instalaciones y consideraba que la utilización de técnicas biométricas constituía un tratamiento de alto riesgo.

Uno de sus principales cambios fue considerar que tanto la identificación biométrica como la autenticación o verificación utilizan categorías especiales de datos. La identificación suele comparar una muestra con varias plantillas para averiguar quién es una persona, mientras que la autenticación comprueba si coincide con una identidad previamente declarada.

La Agencia había mantenido anteriormente una interpretación menos restrictiva para determinadas operaciones de autenticación. La propia guía reconoció ese cambio y explicó que su posición de 2021 y el criterio recogido en un informe de 2020 habían quedado superados por las Directrices 05/2022 del Comité Europeo de Protección de Datos (CEPD). Estas directrices incluyeron tanto la identificación como la autenticación dentro del tratamiento biométrico dirigido a identificar de forma unívoca a una persona.

Por tanto, el endurecimiento no surgió únicamente de una decisión interna de la AEPD. Respondía a una evolución de la interpretación europea de los datos biométricos, aunque la Audiencia Nacional habría cuestionado el instrumento nacional empleado para trasladarla al fichaje laboral y al control de accesos.

La guía sostenía además que la legislación española obliga a registrar la jornada, pero no contiene una norma con rango de ley que autorice específicamente el uso de datos biométricos para cumplir esa finalidad. Según su interpretación, la obligación de fichar no bastaba por sí misma para levantar la prohibición general de tratar categorías especiales de datos.

El consentimiento del trabajador tampoco resolvía normalmente el problema. La Agencia consideraba que en una relación laboral existe un desequilibrio entre la empresa y la persona empleada que dificulta acreditar que la aceptación sea verdaderamente libre. También señalaba una contradicción práctica: si existe un método alternativo equivalente que permite rechazar la biometría sin sufrir consecuencias, resultaría más difícil demostrar que el sistema biométrico es estrictamente necesario.

El documento exigía valorar alternativas menos intrusivas, acreditar la idoneidad, necesidad y proporcionalidad del sistema y completar previamente una Evaluación de Impacto relativa a la Protección de Datos (EIPD). También recomendaba evitar el almacenamiento centralizado de plantillas, utilizar cifrado, permitir la desvinculación de la identidad y borrar los datos cuando dejasen de ser necesarios.

La sentencia no convierte el fichaje biométrico en legal

La primera consecuencia que debe evitarse es interpretar el fallo como una autorización para recuperar sistemas retirados después de 2023. La Audiencia Nacional, según la información adelantada, no habría analizado si el fichaje biométrico es lícito en términos generales. Su examen se habría concentrado en la naturaleza jurídica de la guía y en el procedimiento empleado para aprobarla.

Las empresas continúan sujetas al RGPD y deben encontrar dos fundamentos distintos cuando tratan categorías especiales: una base que legitime el tratamiento conforme al artículo 6 y una excepción que permita levantar la prohibición del artículo 9. A ello se suman los principios de minimización, necesidad, proporcionalidad, seguridad y protección de datos desde el diseño.

La anulación de una guía tampoco borra las directrices del Comité Europeo de Protección de Datos ni la jurisprudencia europea sobre tratamientos especialmente intrusivos. Aunque algunos razonamientos de la AEPD puedan ser discutidos ante los tribunales, el responsable sigue obligado a justificar por qué necesita una característica corporal inmutable para registrar una entrada, una salida o el acceso a una puerta.

Cada sistema requiere además un análisis propio. No presenta el mismo riesgo una plantilla almacenada en una tarjeta bajo control del trabajador que una base centralizada con todas las huellas de la plantilla. Tampoco son equivalentes una comparación uno a uno y un reconocimiento facial que busca a una persona dentro de un conjunto amplio de identidades.

Las organizaciones que mantengan sistemas biométricos deberían revisar su base jurídica, la evaluación de impacto, las alternativas disponibles, la información entregada a los afectados y las medidas de seguridad. Las que los hubieran suspendido no deberían reinstalarlos únicamente por la noticia sobre la Audiencia Nacional.

La sentencia puede obligar a la AEPD a reformular su posición mediante una circular, una nueva guía realmente orientativa o criterios derivados de resoluciones concretas. Si opta por una circular, tendrá que seguir el procedimiento previsto en su Estatuto, incluida la participación de los sectores afectados y el dictamen del Consejo de Estado.

El asunto abre así un debate que va más allá del control horario. Las autoridades independientes necesitan publicar orientaciones para trasladar normas complejas a la práctica, pero esos documentos no pueden sustituir a las disposiciones generales cuando pretenden imponer criterios obligatorios. La sentencia íntegra permitirá saber dónde sitúa la Audiencia Nacional esa frontera.

Preguntas frecuentes

¿La Audiencia Nacional ha legalizado el fichaje con huella dactilar?

No. Según la información publicada, el tribunal habría anulado la guía por el instrumento y el procedimiento utilizados. No habría declarado lícito el fichaje biométrico con carácter general.

¿Sigue aplicándose la guía biométrica de la AEPD?

La información conocida sostiene que su aprobación y publicación habrían quedado sin efecto. La copia disponible en la web de la AEPD aparece marcada como “EN REVISIÓN”, pero debe esperarse a la sentencia y a una comunicación oficial para conocer su situación definitiva.

¿Puede una empresa volver a instalar ahora un sistema biométrico?

La noticia no concede una autorización automática. La empresa debe justificar la base jurídica, la excepción aplicable a los datos especiales, la necesidad, la proporcionalidad y las medidas de seguridad, además de realizar una evaluación de impacto cuando corresponda.

¿Por qué se endureció el criterio de la AEPD en 2023?

La Agencia explicó que adaptaba su interpretación a las Directrices 05/2022 del Comité Europeo de Protección de Datos, que consideran categorías especiales tanto la identificación como la autenticación biométrica.