Biometría y Control Horario: Huella Dactilar, Facial y Legalidad (2026)

Los datos biométricos (huella dactilar, reconocimiento facial, iris) son considerados datos personales de categoría especial por el RGPD. Su uso en el control horario está sometido a restricciones muy estrictas y, en la mayoría de los casos, la AEPD lo considera desproporcionado. Esta guía explica cuando se puede y cuándo no se puede usar biometría, y qué alternativas existen.

Resumen rápido

La biometría para control horario es legalmente muy restrictiva

El uso de huella dactilar o reconocimiento facial para el fichaje se considera tratamiento de datos de categoría especial. La AEPD lo desaconseja activamente y recomienda alternativas menos intrusivas. Solo en entornos de alta seguridad puede estar justificado, con garantías extraordinarias.

¿Qué son los datos biométricos?

Los datos biométricos son aquellos que resultan de un tratamiento técnico específico relativo a las características físicas, fisiológicas o conductuales de una persona que permiten o confirman su identificación única. En el contexto del control horario, los principales tipos son:

🖐️ Huella dactilar

El método biométrico más común en lectores de presencia. Escanea las crestas papilares del dedo para identificar al trabajador. Fue popular antes del RGPD pero su uso ha disminuido significativamente desde 2018.

📷 Reconocimiento facial

Utiliza cámaras y algoritmos para identificar al trabajador por su rostro. Es más invasivo si funciona en tiempo real sin interacción del usuario. Su regulación es aún más estricta que la huella dactilar.

👁️ Reconocimiento de iris

Menos común en entornos laborales, pero utilizado en algunos sistemas de alta seguridad. Comparte la misma categoría de dato especial que la huella y el facial.

🗣️ Reconocimiento de voz

Aunque menos habitual en control horario, la voz también constituye un dato biométrico cuando se utiliza para identificación. Algunas apps la usan como factor de autenticación.

Marco legal: el artículo 9 del RGPD

El artículo 9 del RGPD prohíbe el tratamiento de datos biométricos con la finalidad de identificar de manera unívoca a una persona física, salvo que concurra alguna de las excepciones previstas. En el contexto laboral, las excepciones aplicables son muy limitadas.

Prohibición general (art. 9.1 RGPD)

Queda prohibido el tratamiento de datos biométricos para la identificación unívoca de personas, salvo excepciones tasadas.

Excepciones limitadas (art. 9.2 RGPD)

Solo se permite si: el interesado da su consentimiento explícito, es necesario para cumplir obligaciones laborales de derecho del trabajo, o es esencial por razones de interés público. En el contexto laboral, el consentimiento se considera condicionado por la relación de poder.

Posición de la AEPD sobre biometría en control de presencia

La Agencia Española de Protección de Datos se ha pronunciado repetidamente sobre el uso de sistemas biométricos para el control de presencia laboral. Su posición es clara:

Principio de proporcionalidad

La AEPD entiende que la biometría es desproporcionada para el control de presencia cuando existen medios menos intrusivos como tarjetas, PIN o aplicaciones móviles. El control de quién entra y sale no justifica capturar datos biométricos únicos e irrevocables.

Consentimiento laboral viciado

La AEPD señala que el consentimiento del trabajador en el ámbito laboral no puede considerarse libre, dado el desequilibrio de poder entre empresa y empleado. Esto invalida la base legal del consentimiento explícito en la mayoría de casos.

Sanciones por uso indebido

La AEPD ha impuesto multas significativas a empresas que utilizan huella dactilar para control de presencia sin justificación suficiente. Las infracciones por tratamiento de datos de categoría especial se consideran graves o muy graves.

Evaluación de Impacto obligatoria

Si una empresa decide usar biometría para control de presencia, debe realizar una Evaluación de Impacto de Protección de Datos (EIPD) que demuestre la necesidad, proporcionalidad y las medidas de seguridad adoptadas.

¿Cuándo está prohibida la biometría en el control horario?

En la práctica, el uso de biometría para el registro de jornada está desaconsejado o directamente prohibido en estos supuestos:

Cuando existen alternativas menos intrusivas: Si la empresa puede usar tarjetas, PIN, app móvil o código QR para identificar al trabajador, la biometría es desproporcionada.
Cuando el consentimiento no es libre: La subordinación laboral hace que el consentimiento del trabajador sea condicionado y, por tanto, inválido como base legal.
Cuando no hay evaluación de impacto: Sin una EIPD que justifique la necesidad y proporcionalidad, el tratamiento es ilícito.
Cuando la finalidad es solo el control de presencia: Si el único fin es registrar la entrada y salida, la biometría es desproporcionada. Solo se justifica si hay requisitos de seguridad adicionales.
Cuando se almacenan las plantillas biométricas sin cifrar: Las plantillas biométricas deben estar cifradas y protegidas con medidas técnicas avanzadas. Su almacenamiento en claro es una vulneración grave.

Alternativas legales a la biometría

Existen múltiples métodos de fichaje que no procesan datos biométricos y son plenamente legales para el control de presencia:

Código QR →

Escanea un código al entrar y salir. Rápido, económico y sin datos sensibles.

PIN numérico →

Cada trabajador tiene un código personal. Simple y efectivo.

Tarjeta RFID →

Aproximas la tarjeta al lector. Ideal para entornos con muchos empleados.

App móvil →

Fichaje desde el smartphone. Permite geolocalización opcional.

Fichaje web →

Registro desde el navegador. Ideal para teletrabajo y oficina.

Kiosko compartido →

Tablet en la entrada del centro. Accesible para todos los empleados.

Marco legal

RGPD — Artículo 9: Tratamiento de categorías especiales de datos personales
Prohíbe el tratamiento de datos biométricos para la identificación unívoca de personas, salvo excepciones tasadas como el consentimiento explícito, obligaciones de derecho laboral o razones de interés público esencial.
Consultar fuente

LOPDGDD — Ley Orgánica 3/2018
Refuerza la protección de datos biométricos en España y establece que el consentimiento para el tratamiento de datos de categoría especial debe ser libre, informado y expreso.
Consultar fuente

AEPD — Guía sobre el uso de sistemas biométricos en el ámbito laboral
La Agencia Española de Protección de Datos ha publicado orientaciones específicas sobre biometría laboral, desaconsejando su uso para control de presencia cuando existen alternativas menos intrusivas.

Preguntas frecuentes

Solo en casos muy excepcionales y con garantías extraordinarias. La huella dactilar es un dato biométrico categoría especial (art. 9 RGPD). La AEPD considera que su uso para control de presencia es desproporcionado cuando existen alternativas menos intrusivas como PIN, tarjeta o app móvil. En la práctica, muy pocas empresas pueden justificar su uso.

El reconocimiento facial se encuentra en la misma categoría que la huella dactilar: datos biométricos de categoría especial. La AEPD es especialmente estricta con el reconocimiento facial por su carácter invasivo. Su uso requiere una evaluación de impacto de protección de datos (EIPD), una justificación muy sólida y, en la mayoría de casos, el consentimiento explícito del trabajador.

Existen muchas alternativas menos intrusivas: fichaje por app móvil, PIN numérico, tarjeta de proximidad, código QR, RFID o fichaje web. Estas opciones no procesan datos biométricos y son plenamente legales para el control horario.

Solo en entornos de alta seguridad donde la identificación inequívoca del trabajador sea esencial (por ejemplo, acceso a zonas restringidas en instalaciones críticas). Incluso en estos casos, la empresa debe demostrar que no existe una alternativa menos intrusiva.

Si tu empresa ya utiliza un sistema biométrico, debería realizar una revisión urgente de su adecuación al RGPD. La AEPD ha sancionado empresas por usar huella dactilar sin justificación suficiente. Es recomendable migrar a un sistema alternativo (PIN, tarjeta, app) para evitar riesgos legales.

El consentimiento del trabajador en el contexto laboral se considera viciado por la relación de subordinación (no es libre). La AEPD ha señalado repetidamente que el consentimiento del empleado rara vez constituye una base legal válida para el tratamiento de datos biométricos en el ámbito laboral.