La Agencia Española de Protección de Datos (AEPD) ha aclarado en su resolución PS-00432/2023 que el uso de sistemas de control horario basados en huella dactilar, incluso cuando no almacenan la imagen de la huella, sí implica un tratamiento de datos biométricos sensibles conforme al Reglamento General de Protección de Datos (RGPD).
El caso resuelto por la AEPD —consultable en su web oficial— abordaba una denuncia contra una empresa que exigía el fichaje mediante huella digital. Aunque la empresa alegaba que no se almacenaba la imagen real de la huella, sino una «representación matemática», el organismo ha sido contundente: si esa representación permite verificar la identidad del trabajador, se considera un dato personal biométrico.
Qué es la correspondencia biométrica
La clave está en el concepto de correspondencia biométrica. Este mecanismo permite que el sistema compare una nueva muestra de la huella con una plantilla previamente almacenada (ya sea un hash, un vector cifrado o un patrón matemático). Aunque no se pueda reconstruir la huella original, el sistema sigue siendo capaz de identificar de forma unívoca a la persona que intenta acceder o fichar.
En términos legales, eso significa que se están procesando datos biométricos con fines de identificación, lo cual está expresamente regulado por el artículo 9 del RGPD como tratamiento de categorías especiales de datos personales.
Obligaciones para las empresas
Según esta resolución y otros criterios ya establecidos por la AEPD, cualquier empresa que quiera implantar un sistema de fichaje o control de accesos mediante biometría debe:
- Informar claramente a los usuarios del tipo de dato tratado, su finalidad y base legal.
- Justificar la necesidad y proporcionalidad del sistema: debe demostrarse que no existen alternativas menos intrusivas.
- Realizar una Evaluación de Impacto relativa a la Protección de Datos (EIPD), conforme al artículo 35 del RGPD, por tratarse de datos especialmente protegidos.
- Ofrecer una alternativa no biométrica, como una tarjeta, código PIN o app móvil, especialmente si no existe una base jurídica sólida (como el consentimiento libre y específico).
¿Y si me niego a usar la huella?
El consentimiento, tal como recuerda la AEPD, no puede considerarse válido si no existe una alternativa real y sin consecuencias negativas. Obligar a un empleado a usar su huella sin opción válida de rechazarlo podría implicar una infracción del RGPD.
En el caso concreto analizado en la resolución PS-00432/2023, la empresa fue apercibida por no haber realizado una evaluación de impacto y por no ofrecer alternativa al sistema biométrico. La resolución enfatiza que la tecnología debe respetar siempre los derechos fundamentales, y que la comodidad o eficiencia operativa no justifican automáticamente el tratamiento de datos sensibles.
Preguntas frecuentes (FAQ)
¿Sigue siendo un dato biométrico si no se guarda la imagen de la huella?
Sí. Si el sistema guarda una plantilla que permite verificar tu identidad al volver a colocar el dedo, se trata de correspondencia biométrica, y por tanto de un dato personal sensible según el RGPD.
¿Puede obligarme mi empresa a fichar con huella digital?
No sin una justificación clara de necesidad y sin ofrecerte una alternativa no biométrica válida. Además, debe realizarse una evaluación de impacto.
¿Qué es una evaluación de impacto (EIPD)?
Es un análisis que debe hacer la empresa para identificar y mitigar los riesgos del tratamiento de datos personales sensibles, como los biométricos.
¿Qué alternativas existen al fichaje biométrico?
Sistemas con tarjeta RFID, códigos PIN, apps móviles o software con doble verificación pueden ser opciones menos intrusivas y legales si se configuran adecuadamente.
