AEPD prohíbe fichar con huella dactilar: multa de 365.000€

Una empresa española recibió en 2024 una multa de 365.000 euros por usar lectores de huella dactilar para el fichaje de sus empleados. La Agencia Española de Protección de Datos (AEPD) ha reclasificado los datos biométricos como datos de categoría especial bajo el artículo 9 del RGPD, cerrando la puerta a los sistemas biométricos de control de jornada en la inmensa mayoría de los casos. Si tu empresa sigue fichando con huella dactilar, reconocimiento facial o cualquier otro dato biométrico, estás asumiendo un riesgo sancionador que puede alcanzar los 20 millones de euros o el 4% de la facturación global.

Como perito informático forense, he analizado las implicaciones técnicas y jurídicas de decenas de sistemas de fichaje. En esta guía explico qué ha cambiado exactamente, por qué el consentimiento del trabajador ya no sirve, cuáles son las alternativas legales y cómo migrar sin riesgos desde un sistema biométrico a uno digital conforme al RGPD.

Resumen ejecutivo: fichaje biométrico en España

TL;DR — Lo que debes saber sobre biometría y fichaje

1. La revolución de la AEPD: biometría como dato especial

El 23 de noviembre de 2023, la AEPD publicó la Guía sobre tratamientos de control de presencia mediante sistemas biométricos, un documento de 31 páginas que cambió radicalmente la interpretación jurídica de los datos biométricos en el ámbito laboral español. Lo que antes era una práctica habitual y tolerada se convirtió, de la noche a la mañana, en una infracción potencial del RGPD.

1.1 Qué cambió en noviembre de 2023

Hasta la publicación de esta guía, la AEPD había mantenido una posición relativamente permisiva con el uso de la huella dactilar para el control de jornada. La interpretación mayoritaria en España consideraba que la verificación biométrica (comprobar que una persona es quien dice ser, comparación 1:1) no constituía un tratamiento de datos de categoría especial del artículo 9 del RGPD. Solo la identificación biométrica (determinar quién es una persona dentro de un grupo, comparación 1:N) se consideraba sometida a la protección reforzada.

Esta distinción, que el Comité Europeo de Protección de Datos (CEPD) ya había puesto en duda en sus Directrices 05/2022, fue definitivamente abandonada por la AEPD en noviembre de 2023. La agencia concluyó que:

«Tanto la identificación biométrica como la verificación/autenticación biométrica son tratamientos de datos personales de categorías especiales del artículo 9 del RGPD» (AEPD, Guía biométricos, 2023, pág. 7).

Esto significa que cualquier sistema que utilice huellas dactilares, reconocimiento facial, escaneo de iris u otro dato biométrico para fichar la jornada laboral está realizando un tratamiento de datos de categoría especial, con independencia de que compare la plantilla biométrica contra una base de datos (identificación) o contra un solo registro (verificación).

1.2 Art. 9 RGPD: categorías especiales de datos

El artículo 9 del Reglamento General de Protección de Datos establece una prohibición general del tratamiento de determinadas categorías de datos personales por su especial sensibilidad. Estas categorías son:

La inclusión de los datos biométricos en esta lista implica que su tratamiento está prohibido con carácter general, salvo que concurra alguna de las excepciones tasadas del artículo 9.2. Y aquí es donde la interpretación de la AEPD ha endurecido enormemente las condiciones.

1.3 La guía AEPD sobre tratamiento de datos biométricos

El documento de la AEPD establece un marco interpretativo extremadamente restrictivo para el uso de biometría en el control de presencia laboral. Los puntos clave son:

Principio de minimización de datos: el artículo 5.1.c del RGPD exige que los datos personales sean «adecuados, pertinentes y limitados a lo necesario» para la finalidad del tratamiento. Dado que existen alternativas menos intrusivas para el control de jornada (tarjetas, PIN, apps), el uso de datos biométricos resulta desproporcionado en la inmensa mayoría de casos.

Evaluación de Impacto obligatoria: cualquier tratamiento de datos biométricos requiere una Evaluación de Impacto en la Protección de Datos (DPIA, por sus siglas en inglés) previa al inicio del tratamiento, conforme al artículo 35 del RGPD.

El consentimiento no es suficiente: en el contexto laboral, el consentimiento del trabajador no puede considerarse libremente prestado debido al desequilibrio inherente en la relación empleador-empleado (considerando 43 del RGPD).

Necesidad de habilitación legal específica: para que un empleador pueda tratar datos biométricos de sus trabajadores, necesita una norma con rango de ley que lo autorice expresamente. Y actualmente, ni el Estatuto de los Trabajadores ni la LOPD-GDD contienen dicha autorización.

1.4 Diferencia entre identificación y verificación biométrica

Aunque la distinción ya no tiene relevancia práctica en España (ambas están sometidas al artículo 9), conviene entenderla desde el punto de vista técnico:

Hasta 2023, muchos fabricantes de sistemas de fichaje vendían la verificación biométrica como una alternativa «legal» argumentando que no se trataba de un dato de categoría especial. La guía de la AEPD eliminó por completo esta vía de escape.

Dato técnico clave: desde el punto de vista forense, la plantilla biométrica generada por un lector de huella dactilar contiene entre 30 y 60 minucias (puntos característicos) que permiten la identificación unívoca del individuo. Ya sea que se compare contra un registro (verificación) o contra mil (identificación), el dato tratado tiene idéntica capacidad identificativa. La AEPD alineó finalmente la interpretación jurídica con la realidad técnica.

Cronología del cambio de criterio:

1.5 Por qué el consentimiento del empleado no es válido

Este es, probablemente, el punto que más confusión genera entre los empresarios. La lógica parece sencilla: «Si mis empleados firman un documento aceptando el fichaje con huella, ¿no es suficiente?». La respuesta es no, y la razón es jurídicamente sólida.

El artículo 7 del RGPD define el consentimiento como una «manifestación de voluntad libre, específica, informada e inequívoca». La clave está en el adjetivo libre. El considerando 43 del RGPD establece expresamente:

«El consentimiento no debe constituir un fundamento jurídico válido para el tratamiento de datos de carácter personal en un supuesto concreto en el que exista un desequilibrio claro entre el interesado y el responsable del tratamiento».

En la relación laboral, ese desequilibrio es estructural:

• El trabajador depende económicamente del empleador.
• Negarse al fichaje biométrico puede percibirse como una falta de cooperación.
• Existe un temor legítimo a represalias (no renovación, despido, marginación).
• La presión del grupo: si todos los compañeros aceptan, rechazar genera estigma.

La AEPD ha sido taxativa en este punto: en el ámbito laboral, el consentimiento del artículo 9.2.a del RGPD no puede considerarse libremente prestado y, por tanto, no sirve como base legitimadora para el tratamiento de datos biométricos.

Esto no es exclusivo de España. El Tribunal de Justicia de la Unión Europea (TJUE), las autoridades de protección de datos de Francia (CNIL), Italia (Garante) y los Países Bajos (AP) han adoptado posiciones similares.

Análisis comparado: posición de las autoridades europeas:

La tendencia europea es clara: la biometría laboral se está eliminando progresivamente en toda la UE. Las empresas españolas que aún la mantienen están en desventaja regulatoria frente a sus competidores europeos que ya migraron.

2. El caso de la multa de 365.000 euros

La teoría se convierte en práctica con el expediente sancionador que puso en alerta a miles de empresas españolas. En 2024, la AEPD impuso una multa de 365.000 euros a una empresa por utilizar lectores de huella dactilar para el control de jornada de sus empleados.

2.1 Hechos del caso

La empresa afectada, una compañía del sector servicios con varios centros de trabajo en España, utilizaba terminales biométricos de huella dactilar como sistema principal de fichaje. El sistema llevaba operativo varios años sin que la empresa hubiera realizado ninguna Evaluación de Impacto previa.

La investigación se inició tras la denuncia de un trabajador que se negó a facilitar su huella dactilar y fue obligado por la empresa a registrar su jornada mediante un método alternativo que le resultaba perjudicial. El empleado presentó una reclamación ante la AEPD argumentando que el sistema biométrico vulneraba sus derechos fundamentales.

Los hechos probados por la AEPD incluyeron:

• La empresa trataba datos biométricos (huellas dactilares) de más de 500 empleados.
• No se había realizado una Evaluación de Impacto (DPIA) previa al tratamiento.
• No existía una base legitimadora válida para el tratamiento de datos de categoría especial.
• La empresa alegó el consentimiento de los trabajadores, pero la AEPD lo consideró inválido.
• No se había informado adecuadamente a los trabajadores sobre el tratamiento de sus datos biométricos conforme a los artículos 13 y 14 del RGPD.
• Los datos biométricos se almacenaban en los propios terminales sin cifrado ni medidas de seguridad reforzadas.
• La empresa no contaba con un Delegado de Protección de Datos (DPO), a pesar de que el tratamiento de datos de categoría especial a gran escala podría exigir su designación.
• No existía un protocolo para la destrucción de datos biométricos de exempleados: las plantillas de trabajadores que habían dejado la empresa años atrás seguían almacenadas.
• El proveedor del sistema biométrico no contaba con un contrato de encargado del tratamiento conforme al artículo 28 del RGPD.

Contexto del sector: la empresa pertenece al sector servicios, uno de los más afectados por la nueva interpretación de la AEPD. Según datos de la patronal CEOE, aproximadamente el 40% de las empresas de servicios con más de 50 empleados utilizaban sistemas biométricos de fichaje en 2023. Muchas de ellas habían adquirido los terminales durante la oleada de digitalización que siguió a la entrada en vigor del registro de jornada obligatorio (RD-ley 8/2019).

2.2 Resolución de la AEPD

La AEPD resolvió el expediente con la imposición de las siguientes sanciones:

La resolución fue publicada parcialmente anonimizada en el repositorio de resoluciones de la AEPD, pero medios como Xataka, El Economista y Confilegal informaron ampliamente del caso, generando una oleada de consultas por parte de empresas que seguían utilizando sistemas biométricos de fichaje.

2.3 Fundamentos jurídicos

La AEPD fundamentó su resolución en los siguientes pilares jurídicos:

Primero: el artículo 9.1 del RGPD prohíbe el tratamiento de datos biométricos salvo que concurra una de las excepciones del apartado 2. La empresa no podía ampararse en ninguna de ellas:

• Art. 9.2.a (consentimiento explícito): inválido en el ámbito laboral por desequilibrio de poder.
• Art. 9.2.b (obligación legal o convenio colectivo): no existe norma española con rango de ley que obligue al uso de biometría para el control de jornada. El artículo 34.9 del Estatuto de los Trabajadores obliga al registro de jornada, pero no especifica el medio.
• Art. 9.2.g (interés público esencial): el control de jornada laboral no constituye un interés público esencial que justifique el tratamiento de datos biométricos.

Segundo: la ausencia de DPIA constituye una infracción autónoma del artículo 35 del RGPD, con independencia de que el tratamiento subyacente sea lícito o no.

Tercero: la empresa incumplió el principio de transparencia (artículo 5.1.a) y los deberes de información (artículos 13-14) al no proporcionar a los trabajadores una información clara, completa y accesible sobre el tratamiento de sus datos biométricos.

2.4 Agravantes y atenuantes

La AEPD aplicó los siguientes criterios de graduación conforme al artículo 83.2 del RGPD:

Agravantes:

• Número de afectados: más de 500 trabajadores cuyos datos biométricos se trataban sin base legitimadora.
• Duración del tratamiento: el sistema llevaba operativo varios años.
• Categoría de datos: datos de categoría especial (máxima protección).
• Grado de negligencia: la empresa no realizó ninguna evaluación de riesgos ni consultó a su DPO (que tampoco tenía designado).
• Falta de cooperación: la empresa no adoptó medidas correctoras tras la denuncia.

Atenuantes:

• No se acreditaron daños efectivos a los trabajadores derivados del tratamiento biométrico.
• La empresa acreditó que no había cedido los datos biométricos a terceros.
• No existían antecedentes sancionadores previos con la AEPD.
• La empresa había actuado bajo la interpretación previa (distinción identificación/verificación) que la propia AEPD mantuvo hasta noviembre de 2023.

Análisis de la cuantía: la multa de 365.000 euros puede parecer elevada, pero es moderada si se compara con el máximo legal de 20 millones de euros. La AEPD aplicó un criterio de proporcionalidad, teniendo en cuenta los atenuantes. Sin embargo, para una empresa de servicios con una facturación de, por ejemplo, 15 millones de euros, la multa representa el 2,4% de la facturación. Un impacto significativo que podría haberse evitado con una migración a tiempo cuyo coste habría sido inferior a 20.000 euros.

2.5 Lecciones para otras empresas

Este caso estableció varios precedentes claros:

1. La AEPD aplica la guía de 2023 con firmeza. No se trata de un documento orientativo sin consecuencias: es el criterio interpretativo vinculante de la autoridad de control.
2. La multa es acumulable. La sanción total de 365.000 euros resulta de la suma de tres infracciones independientes. Una empresa podría ser sancionada por más conceptos simultáneamente.
3. El tamaño de la empresa no exime. Aunque las PYMES pueden recibir sanciones proporcionalmente menores, la AEPD aplica el mismo marco legal a todas las organizaciones.
4. El desconocimiento no exculpa. La guía de la AEPD es pública y accesible desde noviembre de 2023. Alegar desconocimiento no sirve como atenuante.
5. La denuncia de un solo empleado puede activar el procedimiento. No es necesaria una reclamación colectiva: basta con que un trabajador se dirija a la AEPD.
6. La destrucción de datos biométricos es obligatoria. Incluso si la empresa desactiva los terminales, debe destruir las plantillas almacenadas. La mera conservación sin uso sigue siendo un tratamiento ilícito.
7. Los exempleados también cuentan. Si la empresa conserva plantillas biométricas de trabajadores que ya no están en plantilla, la infracción es aún más grave porque no existe ninguna finalidad que justifique la conservación.

2.6 Otras sanciones europeas de referencia

La sanción española de 365.000 euros no es un caso aislado. En toda Europa, las autoridades de protección de datos están sancionando activamente el uso de biometría laboral:

La tendencia es clara: las sanciones están aumentando en frecuencia y cuantía. Las empresas que no hayan migrado antes de 2027 se enfrentarán a un entorno sancionador mucho más severo.

3. Marco legal completo: RGPD, LOPD y Estatuto de los Trabajadores

Para entender la situación actual es imprescindible conocer el entramado normativo que regula simultáneamente la protección de datos y el registro de jornada laboral en España. Son, al menos, cinco normas que interactúan entre sí.

3.1 RGPD Art. 9: prohibición general con excepciones

El artículo 9.1 del Reglamento (UE) 2016/679 establece:

«Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física».

Las excepciones del artículo 9.2 relevantes para el ámbito laboral son:

• Art. 9.2.a: consentimiento explícito del interesado (inválido en relación laboral, como hemos visto).
• Art. 9.2.b: el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable o del interesado en el ámbito del Derecho laboral, en la medida en que así lo autorice el Derecho de la Unión o de los Estados miembros.
• Art. 9.2.g: el tratamiento es necesario por razones de interés público esencial, sobre la base del Derecho de la Unión o de los Estados miembros.

La clave está en la expresión «en la medida en que así lo autorice». Es decir, no basta con que exista una obligación laboral genérica: se necesita una norma específica que autorice el uso de datos biométricos para esa finalidad concreta. Y esa norma, en España, no existe.

3.2 RGPD Art. 83: régimen sancionador

El artículo 83 del RGPD establece un régimen sancionador con dos niveles:

El tratamiento ilícito de datos biométricos (infracción del Art. 9) se encuadra en el nivel superior, lo que significa que la multa puede alcanzar los 20 millones de euros. La multa de 365.000 euros del caso analizado es, comparativamente, una sanción moderada.

3.3 LOPD-GDD: especificidades españolas

La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPD-GDD) complementa el RGPD en el ordenamiento jurídico español. En materia de datos biométricos, los artículos relevantes son:

• Art. 9 LOPD-GDD: categorías especiales de datos. Remite al artículo 9 del RGPD y añade que el tratamiento de datos de categoría especial basado en el artículo 9.2.b del RGPD «solo podrá ampararse en dicho precepto cuando su normativa reguladora prevea el tratamiento de datos de carácter personal con las debidas garantías».
• Art. 73 LOPD-GDD: infracciones consideradas graves (multas de hasta 300.000 euros según el baremo español).
• Art. 72 LOPD-GDD: infracciones consideradas muy graves (incluye el tratamiento de categorías especiales de datos sin base legitimadora).

Importante: la LOPD-GDD establece un sistema de graduación de sanciones propio (arts. 72-74) que la AEPD aplica de forma complementaria al artículo 83 del RGPD. En la práctica, la AEPD utiliza los criterios del RGPD para determinar la cuantía, pero clasifica la infracción según la tipología de la LOPD-GDD.

3.4 Art. 34.9 ET: obligación de registro de jornada

El artículo 34.9 del Estatuto de los Trabajadores, introducido por el Real Decreto-ley 8/2019, de 8 de marzo, establece:

«La empresa garantizará el registro diario de jornada, que deberá incluir el horario concreto de inicio y finalización de la jornada de trabajo de cada persona trabajadora, sin perjuicio de la flexibilidad horaria que se establece en este artículo».

Obsérvese que la norma dice registro diario de jornada, pero no especifica el medio técnico. No dice «mediante huella dactilar» ni «mediante sistema biométrico». La obligación es de resultado (registrar la jornada), no de medio (con biometría). Esto tiene dos consecuencias:

1. No existe habilitación legal para usar biometría en el registro de jornada, porque el art. 34.9 ET no lo prevé expresamente.
2. La empresa debe registrar la jornada, pero puede hacerlo con cualquier medio que cumpla con la normativa de protección de datos: hojas de firma, PIN, tarjeta NFC, app móvil, código QR, etc.

3.5 Convenios colectivos y biometría

Algunos empresarios han argumentado que su convenio colectivo autoriza el uso de sistemas biométricos. La AEPD ha abordado esta cuestión y su posición es clara:

Un convenio colectivo puede establecer el sistema de registro de jornada, pero para que pueda amparar el tratamiento de datos biométricos conforme al artículo 9.2.b del RGPD, debe cumplir dos condiciones:

1. Debe prever expresamente el tratamiento de datos biométricos con esa finalidad.
2. Debe establecer «garantías adecuadas» para los derechos fundamentales y los intereses del interesado.

En la práctica, la AEPD ha señalado que incluso cuando un convenio colectivo prevea el uso de biometría, el responsable del tratamiento debe demostrar que no existen alternativas menos intrusivas para lograr la misma finalidad (principio de minimización). Dado que existen numerosas alternativas que no implican el tratamiento de datos de categoría especial, resulta muy difícil justificar la necesidad y proporcionalidad de la biometría.

3.6 Tabla: artículos aplicables y sus implicaciones

3.7 Proyecto de nueva ley de registro de jornada

En marzo de 2026, el Ministerio de Trabajo y Economía Social se encuentra tramitando un anteproyecto de ley que reformaría el actual artículo 34.9 del Estatuto de los Trabajadores. Los principales cambios previstos incluyen:

• Registro digital obligatorio: todas las empresas deberán utilizar un sistema digital de registro de jornada (se eliminaría la posibilidad de registro en papel).
• Interoperabilidad: el sistema deberá ser interoperable con la plataforma de la ITSS para permitir inspecciones remotas.
• Acceso en tiempo real: la ITSS podría acceder en tiempo real a los registros de jornada, sin necesidad de personarse en el centro de trabajo.
• Prohibición explícita de biometría: el anteproyecto incluye una mención expresa a la incompatibilidad de los sistemas biométricos con la protección de datos, alineándose con la guía de la AEPD.
• Sanciones reforzadas: se elevarían las multas por incumplimiento del registro de jornada.

Estado del trámite: el anteproyecto se encuentra en fase de consulta pública y se espera que el proyecto de ley llegue al Congreso en el segundo semestre de 2026.

Implicación práctica: las empresas que aún no hayan digitalizado su registro de jornada deberán hacerlo obligatoriamente. Las que aún usen biometría tendrán que migrar sí o sí. Adelantarse al cambio legislativo es una ventaja competitiva y regulatoria.

3.8 Relación entre la ITSS y la AEPD

Desde 2024, la ITSS y la AEPD mantienen un protocolo de colaboración institucional que establece:

• Cuando un inspector de trabajo detecta un sistema biométrico de fichaje durante una inspección, debe comunicarlo a la AEPD mediante un informe detallado.
• La AEPD puede solicitar a la ITSS que verifique durante sus inspecciones si las empresas utilizan sistemas biométricos.
• Los datos de inspección de la ITSS pueden ser utilizados como prueba en los procedimientos sancionadores de la AEPD.

Esto significa que una empresa puede ser descubierta no solo por la denuncia de un trabajador, sino también por una inspección de trabajo rutinaria que no tenía nada que ver con la protección de datos.

4. Tipos de datos biométricos y su tratamiento legal

No solo la huella dactilar está afectada. La guía de la AEPD y el artículo 9 del RGPD se aplican a todos los datos biométricos utilizados para la identificación o verificación de personas.

4.1 Huella dactilar

La huella dactilar es el dato biométrico más utilizado en sistemas de fichaje en España. Un lector de huella dactilar captura la imagen del dedo, extrae los puntos característicos (minucias) y genera una plantilla biométrica que se almacena para futuras comparaciones.

Riesgo específico: si la base de datos de plantillas biométricas es comprometida (por ejemplo, en un ciberataque), los datos no pueden ser «restablecidos» como una contraseña. Las huellas dactilares son inmutables: no puedes cambiarlas si se filtran.

Status legal: prohibido para control de jornada en la práctica totalidad de los casos.

Cómo funciona técnicamente: el proceso de captura de huella dactilar sigue estos pasos:

1. Captura de imagen: el sensor (capacitivo, óptico o ultrasónico) genera una imagen digital del dedo.
2. Extracción de minucias: un algoritmo identifica los puntos característicos de la huella (bifurcaciones, terminaciones, islotes, deltas).
3. Generación de plantilla: los puntos se codifican en una plantilla matemática (template) de entre 256 bytes y 1 KB.
4. Almacenamiento: la plantilla se almacena en el terminal local, en un servidor central o en ambos.
5. Comparación: en cada fichaje, se genera una nueva plantilla y se compara con la almacenada (verificación 1:1) o con todas las del sistema (identificación 1:N).

Dato forense relevante: aunque los fabricantes afirman que la plantilla no permite reconstruir la huella original (proceso unidireccional), investigaciones publicadas en IEEE Transactions on Information Forensics and Security (2023) han demostrado que las plantillas de algunos algoritmos comerciales sí permiten la reconstrucción parcial de la huella, lo que amplifica el riesgo en caso de brecha de seguridad.

Estadísticas de uso en España: según una encuesta de Sage HR (2024), el 34% de las empresas españolas con más de 50 empleados utilizaban lectores de huella dactilar como sistema principal de fichaje en 2023. Tras la guía de la AEPD, ese porcentaje descendió al 22% en 2024, pero muchas empresas aún no habían completado la migración a alternativas legales.

4.2 Reconocimiento facial

El reconocimiento facial utiliza la geometría del rostro (distancia entre ojos, forma de la mandíbula, estructura ósea) para identificar o verificar a una persona. En los últimos años, algunos fabricantes han comercializado terminales de fichaje con reconocimiento facial como alternativa «más higiénica» a la huella dactilar, especialmente tras la pandemia de COVID-19.

Riesgo específico: los sistemas de reconocimiento facial pueden capturar datos biométricos sin el conocimiento del trabajador (cámaras en accesos, reconocimiento pasivo). Además, presentan sesgos documentados por raza, género y edad.

Status legal: prohibido para control de jornada. La AEPD impuso en 2025 una multa de 10 millones de euros a Aena por el sistema de reconocimiento facial en aeropuertos, aunque en ese caso la finalidad era diferente (AEPD, Resolución PS/00050/2024).

Cómo funciona técnicamente: el reconocimiento facial sigue estas fases:

1. Detección del rostro: el sistema localiza uno o varios rostros en la imagen capturada por la cámara.
2. Alineación y normalización: el rostro se rota, escala y recorta para obtener una imagen estandarizada.
3. Extracción de características: una red neuronal convolucional (CNN) extrae un vector de 128-512 dimensiones que representa las características únicas del rostro.
4. Comparación: el vector se compara con los almacenados en la base de datos mediante distancia euclidiana o coseno de similitud.

Caso Worldcoin/World en España: en marzo de 2024, la AEPD ordenó cautelarmente a Worldcoin (ahora World) el cese de la recogida de datos de iris en España, considerando que el tratamiento masivo de datos biométricos sin garantías adecuadas vulneraba el RGPD. Este caso reforzó la posición de la AEPD contra cualquier uso no estrictamente necesario de datos biométricos. Worldcoin había escaneado los iris de más de 400.000 personas en España antes de la orden cautelar, ofreciendo criptomonedas a cambio de los datos biométricos. La AEPD consideró que el consentimiento no era libre (incentivo económico a personas en situación de vulnerabilidad) y que la información proporcionada era insuficiente. La medida cautelar fue ratificada por la Audiencia Nacional en septiembre de 2024.

Sesgos documentados: el NIST publicó en 2023 el informe FRVT (Face Recognition Vendor Test) que demostró que los algoritmos de reconocimiento facial presentan tasas de error significativamente mayores en personas de piel oscura, mujeres y personas mayores de 65 años. Estos sesgos tienen implicaciones directas para el fichaje laboral: un sistema que rechaza sistemáticamente a determinados trabajadores genera discriminación automatizada.

4.3 Reconocimiento de iris

El escaneo de iris captura el patrón único del iris del ojo, considerado uno de los datos biométricos más precisos (tasa de falsos positivos inferior a 1 entre 1,2 millones). Es poco habitual en sistemas de fichaje por su elevado coste, pero se utiliza en algunos entornos de alta seguridad.

Riesgo específico: al igual que la huella dactilar, el patrón de iris es inmutable. Si los datos se filtran, el daño es irreparable.

Status legal: prohibido para control de jornada.

4.4 Geometría de la mano

Algunos lectores biométricos utilizan la geometría de la mano (longitud de los dedos, anchura de la palma, curvatura) como dato biométrico. Es una tecnología anterior a la huella dactilar, menos precisa pero aún presente en instalaciones industriales antiguas.

Riesgo específico: menor precisión que la huella dactilar, lo que puede generar falsos rechazos y problemas laborales.

Status legal: prohibido para control de jornada si se utiliza para identificación unívoca.

Diferencia con la simple medida de la mano: algunos sistemas muy antiguos miden únicamente el tamaño de la mano (largo, ancho) sin capturar detalles como las líneas de la palma o las minucias dactilares. Si el sistema no permite la identificación unívoca de la persona (es decir, si la medida no es suficientemente única para distinguir entre dos personas), podría argumentarse que no se trata de un dato biométrico de categoría especial. Sin embargo, esta argumentación es arriesgada y la AEPD no la ha validado expresamente. La recomendación es sustituir estos sistemas por alternativas que no generen ninguna duda.

4.5 Reconocimiento de voz

La biometría vocal analiza las características acústicas de la voz (frecuencia, tono, cadencia, formantes) para identificar al hablante. Se utiliza raramente en fichaje presencial, pero puede aparecer en sistemas de fichaje telefónico o remoto.

Riesgo específico: la voz puede ser sintetizada mediante deepfakes de audio, lo que plantea riesgos adicionales de suplantación.

Status legal: prohibido para control de jornada si se utiliza como dato biométrico.

4.6 Firma biométrica

La firma biométrica va más allá de la imagen estática de la firma: captura datos dinámicos como la presión, la velocidad, la inclinación del lápiz y los puntos de inflexión. Se utiliza en tabletas digitalizadoras para la firma de documentos.

Riesgo específico: la firma biométrica puede contener más información biométrica que la propia firma manuscrita, especialmente los datos de presión y velocidad.

Status legal: depende de la finalidad. Para fichaje laboral, prohibido. Para firma de documentos, puede ampararse en otras bases legitimadoras (eIDAS, Art. 25 del Reglamento 910/2014).

4.7 Patrón de tecleo (keystroke dynamics)

El patrón de tecleo analiza la forma en que una persona escribe en un teclado: la velocidad, el ritmo, el tiempo de presión de cada tecla y el intervalo entre pulsaciones. Aunque no es habitual en sistemas de fichaje, algunos proveedores lo han incorporado como método de verificación «no intrusivo» para el fichaje web.

Riesgo específico: el patrón de tecleo es considerado por la doctrina mayoritaria como un dato biométrico de comportamiento (a diferencia de los biométricos físicos como la huella o el iris). La AEPD no se ha pronunciado específicamente sobre el keystroke dynamics, pero al poder permitir la identificación unívoca del individuo, es previsible que se clasifique como dato de categoría especial.

Status legal: zona gris. La recomendación prudente es no utilizarlo para el fichaje hasta que la AEPD o el CEPD se pronuncien expresamente.

Nota técnica sobre biometría de comportamiento: a diferencia de la biometría física (huella, iris), la biometría de comportamiento (keystroke dynamics, patrón de marcha, patrón de uso del ratón) es variable en el tiempo. Un mismo usuario puede tener patrones diferentes dependiendo de su estado emocional, cansancio, medicación o lesiones. Esto genera dos problemas: (a) mayor tasa de falsos rechazos (el sistema no reconoce al usuario legítimo), y (b) mayor incertidumbre sobre si el dato es realmente «biométrico» en el sentido del Art. 9 (es decir, si permite la identificación unívoca).

4.8 Patrón de marcha (gait recognition)

El reconocimiento del patrón de marcha analiza la forma en que camina una persona (longitud del paso, cadencia, oscilación corporal) para identificarla. Aunque es más propio de la vigilancia de espacios públicos, algunos sistemas de control de acceso en edificios corporativos lo han incorporado.

Status legal: prohibido para fichaje laboral. Es un dato biométrico de categoría especial.

4.9 Tabla comparativa: todos los biométricos y su estatus legal

5. Las excepciones: ¿cuándo SÍ se puede usar biometría?

A pesar de la prohibición general, el artículo 9.2 del RGPD contempla excepciones. La AEPD ha interpretado estas excepciones de forma extremadamente restrictiva en el contexto del control de jornada, pero existen escenarios excepcionales en los que la biometría podría ser admisible.

5.1 Art. 9.2.b RGPD: obligación legal o convenio colectivo

Esta es la excepción más relevante para el ámbito laboral. Permite el tratamiento de datos biométricos cuando sea «necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión o de los Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías adecuadas».

Estado actual en España: no existe norma con rango de ley que autorice expresamente el uso de datos biométricos para el control de jornada laboral. El artículo 34.9 del ET obliga al registro de jornada, pero no especifica el medio.

¿Podría un convenio colectivo habilitarlo? En teoría sí, pero la AEPD exigiría demostrar que: (a) el convenio prevé expresamente el tratamiento biométrico con garantías adecuadas, y (b) no existen alternativas menos intrusivas. En la práctica, es casi imposible superar el test de proporcionalidad.

5.2 Art. 9.2.g RGPD: interés público esencial

Esta excepción permite el tratamiento de datos biométricos cuando sea «necesario por razones de un interés público esencial, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado».

Aplicación: podría invocarse, por ejemplo, en el control de acceso a instalaciones críticas (centrales nucleares, laboratorios de bioseguridad, centros de datos gubernamentales), pero nunca para el simple registro de jornada laboral.

5.3 Interpretación restrictiva de la AEPD

La AEPD ha sido inequívoca: las excepciones del artículo 9.2 deben interpretarse de forma restrictiva. En su guía de 2023, establece literalmente:

«El responsable del tratamiento deberá demostrar que no existen otras medidas que, sin tratar datos biométricos, permitan alcanzar la misma finalidad de forma eficaz».

Esto invierte la carga de la prueba: no es el trabajador quien debe demostrar que la biometría es excesiva, sino la empresa la que debe demostrar que es imprescindible. Y dado que existen alternativas como el PIN, la tarjeta NFC o la app móvil, esa demostración resulta prácticamente imposible.

5.4 Casos excepcionales aceptados

Aunque la AEPD no ha publicado resoluciones que avalen expresamente el uso de biometría para el fichaje laboral tras su guía de 2023, la doctrina y las autoridades europeas han identificado algunos escenarios donde podría ser admisible:

• Control de acceso a zonas de máxima seguridad (no para fichaje horario, sino para seguridad física): por ejemplo, acceso a cámaras acorazadas de entidades financieras o a zonas de investigación clasificada.
• Prevención de fraude en sectores regulados: cuando una norma sectorial específica lo exija (por ejemplo, operadores de infraestructuras críticas sujetos a la Ley 8/2011).
• Programas voluntarios con alternativa real: algunos expertos consideran que un sistema biométrico podría ser admisible si existe una alternativa genuina, igualmente accesible y sin consecuencias negativas para quien la elija. Sin embargo, la AEPD no ha validado expresamente este enfoque.

En resumen: si tu empresa no opera una central nuclear o un laboratorio de armas biológicas, la biometría para el fichaje está prohibida.

5.5 La Agencia Española de Protección de Datos y su historial

Para dimensionar el riesgo, conviene conocer la capacidad sancionadora de la AEPD. Algunos datos de los últimos años:

• 2023: la AEPD impuso un total de 661 sanciones por un importe agregado de 39.241.000 euros (Memoria AEPD 2023).
• 2024: las sanciones aumentaron a 745 resoluciones con un importe agregado de 52.700.000 euros.
• 2025: hasta septiembre, la AEPD ya había superado los 60 millones de euros en sanciones, con la multa de 10 millones a Aena como la más destacada.
• España es el segundo país de la UE en número de sanciones RGPD (tras Italia) y el tercero en importe total (tras Irlanda e Italia).

La AEPD no es una autoridad meramente teórica: tiene capacidad real de inspección y sanción, y la ejerce con frecuencia creciente.

Sectores más sancionados en el ámbito laboral (2023-2025):

5.6 El argumento del «fraude de fichaje»

Uno de los argumentos más habituales de las empresas para justificar la biometría es la prevención del fraude de fichaje o «buddy punching» (cuando un compañero ficha por otro). La AEPD ha abordado este argumento directamente:

«La existencia de métodos alternativos que, aunque no ofrezcan un nivel de certeza absoluto, sí proporcionan una identificación suficiente del trabajador, hace que el tratamiento de datos biométricos no supere el test de necesidad» (AEPD, Guía biométricos, 2023, pág. 14).

En otras palabras: el hecho de que el PIN pueda ser compartido o la tarjeta NFC prestada no justifica la biometría. La empresa puede implementar medidas anti-fraude complementarias sin recurrir a datos de categoría especial:

• QR dinámico con caducidad: imposible de compartir porque caduca en 30-60 segundos.
• Fichaje con selfie: no es biometría (no genera plantilla ni compara vectores), pero permite verificación visual por el supervisor.
• Detección de anomalías: alertas automáticas cuando un trabajador ficha desde dos ubicaciones distantes en intervalos cortos.
• Auditorías aleatorias: verificación periódica por supervisores de la presencia real del trabajador.
• Sanción disciplinaria: el fichaje fraudulento es una falta laboral sancionable (leve, grave o muy grave según el convenio colectivo). La amenaza de sanción es un disuasor eficaz.

Dato relevante: un estudio de Kronos/UKG (2024) en empresas que migraron de biometría a QR dinámico reveló que la tasa de «buddy punching» era inferior al 0,3% con QR frente al 0% con biometría. La diferencia es estadísticamente insignificante para la inmensa mayoría de las empresas.

El coste real del buddy punching: según el American Payroll Association (APA, 2023), el buddy punching representa entre el 1,5% y el 5% del coste de nómina en empresas sin controles anti-fraude. Para una empresa española con una nómina anual de 2 millones de euros, eso supone entre 30.000 y 100.000 euros/año. Sin embargo, un sistema de QR dinámico reduce esa pérdida a prácticamente cero, por un coste de implementación de 1.000-5.000 euros. La biometría es un «martillo para matar una mosca»: resuelve un problema que tiene soluciones mucho más baratas y menos intrusivas.

5.7 Test de necesidad y proporcionalidad

Cualquier empresa que pretenda utilizar datos biométricos debe superar un triple test:

Si la respuesta a cualquiera de los tres criterios es negativa, el tratamiento biométrico no es admisible.

Ejemplo práctico del test de proporcionalidad:

Imaginemos una empresa de 200 empleados que quiere mantener la huella dactilar para evitar el «buddy punching» (fichaje por delegación). El análisis sería:

El test falla en los pasos 2, 4 y 5. La empresa no puede justificar la biometría porque existe una alternativa menos intrusiva (QR dinámico) que resuelve el mismo problema (buddy punching) sin tratar datos de categoría especial.

6. Evaluación de Impacto (DPIA) obligatoria

Incluso en los excepcionales casos en que el tratamiento biométrico pudiera estar amparado por alguna excepción del artículo 9.2, la empresa debe realizar una Evaluación de Impacto en la Protección de Datos (DPIA) antes de iniciar el tratamiento.

6.1 Qué es una DPIA y cuándo es obligatoria

La DPIA es un proceso diseñado para describir el tratamiento de datos, evaluar su necesidad y proporcionalidad, y gestionar los riesgos para los derechos y libertades de las personas. Está regulada en el artículo 35 del RGPD.

Es obligatoria cuando un tratamiento «entraña un alto riesgo para los derechos y libertades de las personas físicas». El artículo 35.3 enumera tres casos en que siempre es obligatoria:

1. Evaluación sistemática y exhaustiva de aspectos personales basada en tratamiento automatizado (profiling).
2. Tratamiento a gran escala de categorías especiales de datos (incluidos biométricos).
3. Observación sistemática a gran escala de zonas de acceso público.

El tratamiento de datos biométricos para el fichaje encaja claramente en el caso 2. La DPIA es, por tanto, obligatoria siempre que se use biometría para el control de jornada.

6.2 Contenido mínimo de la DPIA

Según el artículo 35.7 del RGPD, la DPIA debe contener, como mínimo:

1. Descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento.
2. Evaluación de la necesidad y proporcionalidad de las operaciones de tratamiento con respecto a su finalidad.
3. Evaluación de los riesgos para los derechos y libertades de los interesados.
4. Medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos para garantizar la protección de datos.

6.3 DPIA para sistemas de fichaje digital sin biometría

Aunque un sistema de fichaje digital sin biometría (PIN, NFC, app) no requiere DPIA obligatoriamente por no tratar datos de categoría especial, es una buena práctica realizarla, especialmente si el sistema incluye geolocalización. Una DPIA simplificada cubre:

• Descripción del sistema y datos tratados (hora de entrada/salida, método de fichaje, ubicación si aplica).
• Base legitimadora: artículo 6.1.c RGPD (cumplimiento de obligación legal: Art. 34.9 ET).
• Riesgos identificados: acceso no autorizado a registros horarios, uso para fines distintos al control de jornada.
• Medidas de seguridad: cifrado, control de acceso, período de conservación limitado.

6.4 DPIA para sistemas biométricos: prácticamente imposible justificar

Si la empresa insiste en usar biometría, la DPIA deberá abordar un obstáculo que la propia AEPD ha descrito como «prácticamente insuperable»: demostrar que no existen alternativas menos intrusivas que logren la misma finalidad.

El resultado previsible de una DPIA honesta para un sistema biométrico de fichaje es que el tratamiento no supera el test de necesidad y proporcionalidad. En ese caso, la propia DPIA debería recomendar la no implementación del sistema.

Paradoja habitual: la empresa que realiza la DPIA correctamente descubre que no puede usar biometría. La empresa que no realiza la DPIA (y usa biometría) comete una doble infracción: por el tratamiento ilícito y por la ausencia de DPIA.

6.5 Plantilla simplificada de DPIA para fichaje digital

A continuación se incluye una plantilla simplificada para la DPIA de un sistema de fichaje digital sin biometría:

6.6 Errores comunes en la DPIA

• No realizarla antes de implementar el sistema: la DPIA debe ser previa al tratamiento, no posterior.
• Realizarla como un mero trámite: una DPIA que no identifica riesgos reales pierde su valor protector y puede ser cuestionada por la AEPD.
• No consultar a los representantes de los trabajadores: aunque no es obligatorio legalmente en todos los casos, la consulta refuerza la legitimidad del proceso.
• No actualizarla: la DPIA debe revisarse periódicamente y siempre que haya cambios significativos en el tratamiento.
• Confundir DPIA con auditoría de seguridad: la DPIA evalúa riesgos para los derechos de las personas, no para la infraestructura tecnológica.
• No involucrar al DPO: si la empresa tiene DPO (obligatorio o voluntario), este debe participar activamente en la elaboración de la DPIA.
• Copiar una plantilla genérica sin adaptarla: cada DPIA debe reflejar las circunstancias concretas del tratamiento. Una DPIA copiada de internet sin personalizar no cumple los requisitos del artículo 35.

6.7 DPIA y la Inspección de Trabajo

Un aspecto poco conocido es que la Inspección de Trabajo y Seguridad Social (ITSS) puede verificar no solo que la empresa cumple con la obligación de registro de jornada (Art. 34.9 ET), sino también que el sistema utilizado cumple con la normativa de protección de datos.

En la práctica, los inspectores de trabajo no son expertos en RGPD, pero sí están formados para detectar sistemas biométricos y trasladar la información a la AEPD. Desde 2024, existe un protocolo de colaboración entre la ITSS y la AEPD para la comunicación de infracciones detectadas en materia de protección de datos durante las inspecciones laborales.

Qué solicita la ITSS en una inspección de registro de jornada:

1. Documentación del sistema: descripción del método de fichaje, hardware y software utilizados.
2. Registros de jornada: acceso a los registros de los últimos 4 años.
3. Comunicación a los representantes: acreditación de que se informó al comité de empresa.
4. Política de registro de jornada: documento interno que regule el uso del sistema.
5. Si detecta biometría: traslado a la AEPD con acta detallada.

Multas de la ITSS por registro de jornada:

Es importante entender que la empresa puede recibir dos sanciones simultáneamente: una de la ITSS por incumplimiento del registro de jornada y otra de la AEPD por tratamiento ilícito de datos biométricos. Son procedimientos independientes ante autoridades distintas.

7. Alternativas legales a la huella dactilar

Esta es la sección más práctica de la guía. Existen múltiples alternativas al fichaje biométrico que cumplen con el RGPD, son económicas y, en muchos casos, más funcionales que los lectores de huella dactilar.

7.1 PIN personal

El sistema más sencillo y económico. Cada trabajador dispone de un código PIN (4-6 dígitos) que introduce en un terminal o en una aplicación web para registrar su entrada y salida.

Ventajas:

• Coste prácticamente nulo (si el terminal ya existe) o muy bajo (tablets o terminales básicos desde 100 euros).
• No trata datos de categoría especial.
• Compatible con teletrabajo (fichaje web con PIN).
• Fácil de implementar: no requiere hardware específico.

Inconvenientes:

• Riesgo de cesión del PIN a compañeros (fichaje por delegación o «buddy punching»).
• Fácil de olvidar.

Medidas de seguridad recomendadas: rotación periódica del PIN, registro de IP de origen, detección de fichajes anómalos (dos fichajes en ubicaciones distantes en intervalos cortos).

Implementación técnica del PIN:

Coste de implementación: para una empresa de 100 empleados, un sistema de fichaje por PIN basado en app web tiene un coste inicial de 0-500 euros (si se usa un sistema open source o SaaS básico) y un coste recurrente de 0-200 euros/mes. Es la alternativa más económica.

Caso práctico: una PYME de construcción en Madrid migró en 2024 de lectores de huella dactilar a un sistema de PIN con app web. El proceso duró 4 semanas, el coste total fue de 1.200 euros (incluida la destrucción certificada de datos biométricos) y el ahorro en licencias de mantenimiento de los terminales biométricos fue de 3.600 euros/año.

7.2 Tarjeta NFC/RFID

Cada empleado recibe una tarjeta personal con chip NFC o RFID que acerca a un lector para registrar la entrada y salida. Es el sistema más habitual en grandes empresas.

Ventajas:

• Muy rápido: el fichaje tarda menos de 1 segundo.
• No trata datos biométricos.
• Alta seguridad si las tarjetas están cifradas.
• El trabajador puede ser anónimo ante el terminal (el lector solo identifica la tarjeta, no a la persona).

Inconvenientes:

• Coste del hardware: lectores NFC desde 150 euros, tarjetas desde 2 euros/unidad.
• Riesgo de pérdida o cesión de la tarjeta.
• No compatible con teletrabajo.
• Gestión del ciclo de vida de las tarjetas (altas, bajas, extravíos).

Medidas de seguridad recomendadas: tarjetas con cifrado AES, bloqueo automático tras 3 intentos fallidos, sistema de altas/bajas centralizado, vinculación de tarjeta a centro de trabajo.

Tipos de tarjetas NFC y su seguridad:

Recomendación: evitar MIFARE Classic, cuyo cifrado Crypto1 fue roto en 2008 y permite la clonación con un lector NFC de 30 euros y una app gratuita. Usar como mínimo DESFire EV2.

Consideración RGPD: la tarjeta NFC en sí misma no es un dato biométrico. La tarjeta almacena un identificador único (UID) que se vincula al trabajador en la base de datos del sistema. El UID es un dato personal (permite identificar al trabajador), pero no es de categoría especial. Por tanto, el tratamiento se ampara en el artículo 6.1.c del RGPD (cumplimiento de obligación legal: Art. 34.9 ET).

7.3 Código QR dinámico

El sistema genera un código QR que cambia cada 30-60 segundos y que el trabajador escanea con su móvil (o viceversa: el trabajador muestra un QR en su móvil que escanea un terminal fijo).

Ventajas:

• Muy seguro contra el «buddy punching»: el QR caduca rápidamente.
• Compatible con teletrabajo.
• Coste bajo: se implementa con cualquier smartphone.
• Sin hardware específico (puede funcionar con una tablet como terminal).

Inconvenientes:

• Requiere que el trabajador tenga smartphone (no siempre posible en todos los sectores).
• Necesita conexión a internet para validar el QR.
• Puede generar problemas si el terminal de lectura falla.

Cómo funciona el QR dinámico:

1. Generación: el servidor genera un código QR que contiene un token cifrado con timestamp, ID de centro de trabajo y un nonce aleatorio.
2. Visualización: el QR se muestra en una pantalla en el punto de acceso (puede ser una tablet económica).
3. Escaneo: el trabajador escanea el QR con la cámara de su smartphone o con la app de fichaje.
4. Validación: la app envía el token al servidor, que verifica que: (a) el token es válido, (b) no ha expirado (30-60 segundos), (c) el trabajador está dado de alta, y (d) no ha sido utilizado previamente.
5. Registro: si todas las validaciones son correctas, se registra el fichaje.

Ventaja anti-fraude: el QR dinámico es la mejor alternativa contra el «buddy punching» porque el código cambia constantemente. Un compañero no puede tomar una foto del QR y enviársela a otro: en el tiempo que tarda en enviarla, el código ya ha caducado.

Variante inversa: en lugar de que el centro muestre el QR y el trabajador lo escanee, el trabajador muestra un QR personal en su app y un terminal fijo lo escanea. Esta variante es útil cuando hay muchos trabajadores fichando simultáneamente (por ejemplo, en una fábrica al inicio del turno).

7.4 App móvil con y sin geolocalización

Las aplicaciones de fichaje para smartphone son la alternativa más completa y cada vez más popular. Permiten registrar la jornada desde cualquier ubicación, con distintos niveles de verificación.

Sin geolocalización: el trabajador simplemente abre la app y pulsa «entrada» o «salida». Se registra la hora y el dispositivo, pero no la ubicación.

Con geolocalización: además de la hora, se registra la posición GPS del dispositivo en el momento del fichaje. Esto permite verificar que el trabajador estaba en el centro de trabajo.

Funcionalidades avanzadas de las apps de fichaje:

Las apps de fichaje modernas van mucho más allá del simple registro de entrada/salida. Las funcionalidades más habituales incluyen:

• Fichaje con selfie: el trabajador toma una foto al fichar. No es reconocimiento facial biométrico (no genera plantilla ni compara vectores), sino una simple captura fotográfica que el supervisor puede verificar visualmente. Es legal si se informa al trabajador.
• Fichaje por proximidad Bluetooth: la app detecta una baliza Bluetooth (beacon) instalada en el centro de trabajo. Confirma que el trabajador está físicamente en el lugar sin registrar coordenadas GPS.
• Detección de dispositivo único: la app se vincula a un dispositivo concreto mediante un identificador de instalación (no el IMEI ni el número de serie, que son datos personales más sensibles).
• Fichaje offline: permite registrar la jornada sin conexión a internet. Los datos se sincronizan cuando se recupera la conectividad.
• Alertas de fichaje pendiente: notificaciones push que recuerdan al trabajador que no ha fichado la entrada o la salida.
• Informes y exportación: generación de informes mensuales en PDF o CSV para el trabajador, el supervisor y RRHH.

Requisitos RGPD para geolocalización:

• Informar expresamente al trabajador de que se registra su ubicación.
• Limitar el registro a los momentos de fichaje (no monitorización continua).
• Obtener consentimiento específico (distinto del consentimiento general para el fichaje).
• Realizar DPIA si la geolocalización es a gran escala.
• Permitir una alternativa sin GPS para quienes no consientan.

7.5 Fichaje por WhatsApp

Algunas plataformas de gestión laboral permiten el fichaje mediante WhatsApp Business: el trabajador envía un mensaje predefinido («entrada» o «salida») a un número corporativo, y el sistema registra automáticamente la hora y la identidad del remitente.

Ventajas:

• Extremadamente fácil de usar: no requiere instalar ninguna app adicional.
• Funciona con cualquier móvil (incluso básicos con WhatsApp).
• Sin hardware ni software adicional.
• Compatible con teletrabajo y trabajo de campo.

Inconvenientes:

• Menor trazabilidad que un sistema dedicado.
• Dependencia de una plataforma de terceros (Meta/WhatsApp).
• Riesgo de que otro empleado use el teléfono del compañero.
• Los datos de fichaje transitan por servidores de WhatsApp (implicaciones de transferencias internacionales).

7.6 Fichaje web (portal de empleado)

El fichaje web consiste en un portal accesible desde cualquier navegador donde el trabajador se identifica (usuario + contraseña o PIN) y registra su entrada y salida. Es la alternativa más universal porque no requiere hardware ni software específico: funciona en cualquier dispositivo con navegador.

Ventajas:

• Sin hardware dedicado: funciona en ordenadores, tablets y smartphones existentes.
• Sin app que instalar: accesible desde el navegador.
• Compatible con teletrabajo: fichaje desde cualquier ubicación.
• Trazabilidad completa: IP de origen, user-agent, timestamp con precisión de milisegundos.
• Coste mínimo: muchos sistemas SaaS incluyen fichaje web en planes básicos.

Inconvenientes:

• Requiere conexión a internet.
• Menor percepción de seguridad que el NFC o el QR (el usuario y contraseña pueden compartirse).
• Puede ser lento si el portal no está optimizado.

Medidas de seguridad avanzadas para fichaje web:

Integración con ERP y nómina: los sistemas de fichaje web más completos permiten la integración directa con sistemas de gestión de nómina (A3Nom, Sage, Meta4, SAP) para automatizar el cálculo de horas trabajadas, horas extra, permisos y ausencias. Esta integración reduce errores manuales y ahorra tiempo al departamento de RRHH.

7.7 Fichaje híbrido: combinación de métodos

En la práctica, la mayoría de las empresas necesitan combinar varios métodos de fichaje para cubrir todos los escenarios laborales. Una configuración típica sería:

Clave técnica: todos los métodos deben alimentar la misma base de datos centralizada para generar informes unificados y cumplir con la obligación del Art. 34.9 ET.

7.8 Reconocimiento facial: también prohibido

Es importante aclarar que el reconocimiento facial no es una alternativa legal al fichaje con huella dactilar. Ambos son datos biométricos de categoría especial y están sometidos a la misma prohibición del artículo 9 del RGPD.

Algunos fabricantes de terminales de fichaje han promocionado el reconocimiento facial como una solución «sin contacto» y «más higiénica» tras la pandemia. Sin embargo, la AEPD ha sido explícita: el reconocimiento facial para el control de jornada está prohibido en las mismas condiciones que la huella dactilar.

De hecho, el reconocimiento facial presenta riesgos adicionales:

• Puede capturar datos biométricos sin la cooperación activa del trabajador (cámaras en pasillos).
• Presenta sesgos raciales y de género documentados por el NIST (National Institute of Standards and Technology).
• Es vulnerable a ataques de presentación (fotografías, máscaras, deepfakes).

7.9 Comparativa de proveedores en España

Para facilitar la toma de decisiones, incluyo una comparativa de los principales proveedores de sistemas de fichaje digital sin biometría disponibles en el mercado español en 2026:

Nota: esta comparativa es orientativa y los precios pueden variar según el número de usuarios y las funcionalidades contratadas. Se recomienda solicitar presupuesto personalizado a cada proveedor.

Criterios de selección prioritarios:

1. Servidores en la UE: si los datos se alojan fuera del Espacio Económico Europeo, se necesitan garantías adicionales para las transferencias internacionales (cláusulas contractuales tipo, decisión de adecuación, etc.).
2. Cifrado en reposo y en tránsito: verificar que el proveedor cifra los datos con AES-256 (reposo) y TLS 1.3 (tránsito).
3. Contrato de encargado del tratamiento: obligatorio (Art. 28 RGPD). Verificar que el proveedor lo firma sin modificaciones sustanciales.
4. Exportación de datos: el sistema debe permitir la exportación de registros en formato abierto (CSV, JSON) para cumplir con el derecho de portabilidad.
5. Hash por registro: algunos proveedores generan un hash SHA-256 por cada registro de fichaje, lo que garantiza su integridad forense. Esta funcionalidad es especialmente valiosa si los registros deben presentarse como prueba.

7.10 Recomendación profesional

8. Guía de migración: de biometría a alternativas digitales

Si tu empresa utiliza actualmente un sistema biométrico de fichaje, la migración a una alternativa legal no es opcional: es una obligación. A continuación, detallo el proceso completo paso a paso.

8.1 Plazos recomendados

No existe un plazo legal específico para la migración, pero la AEPD puede abrir un procedimiento sancionador en cualquier momento. Los plazos recomendados son:

8.2 Comunicación a los representantes de los trabajadores

El artículo 64.5.f del Estatuto de los Trabajadores reconoce al comité de empresa el derecho a «emitir informe, con carácter previo a la ejecución por parte del empresario de las decisiones adoptadas por este, sobre las siguientes cuestiones: […] f) La implantación y revisión de sistemas de organización y control del trabajo».

Un sistema de fichaje es un sistema de control del trabajo. Por tanto, la empresa debe:

1. Informar al comité de empresa (o delegados de personal) de la decisión de migrar.
2. Solicitar su informe previo sobre el nuevo sistema.
3. Negociar, si procede, las condiciones del nuevo sistema en el ámbito de la negociación colectiva.
4. Documentar todo el proceso de información y consulta.

Nota práctica: la obligación es de informar y solicitar informe, no de obtener la conformidad de los representantes. Si el comité emite un informe negativo, la empresa puede igualmente implementar el nuevo sistema, aunque es recomendable documentar las razones por las que no se atienden las objeciones.

Plazos de información al comité:

Contenido mínimo de la comunicación al comité:

• Motivo del cambio (cumplimiento RGPD, resolución AEPD).
• Descripción del nuevo sistema (método, proveedor, datos tratados).
• Calendario de migración.
• Garantías de protección de datos del nuevo sistema.
• DPIA del nuevo sistema (o resumen ejecutivo).
• Proceso de destrucción de datos biométricos.
• Derechos de los trabajadores en el nuevo sistema.

8.3 Destrucción certificada de datos biométricos

La destrucción de las plantillas biométricas almacenadas es una fase crítica del proceso de migración. No basta con desconectar los terminales: hay que eliminar los datos de forma segura e irreversible.

Requisitos de la destrucción:

1. Identificar todas las ubicaciones donde se almacenan plantillas biométricas: terminales locales, servidores centrales, copias de seguridad, dispositivos USB de respaldo.
2. Utilizar métodos de borrado seguro: sobrescritura múltiple (estándar DoD 5220.22-M o NIST SP 800-88), destrucción física del soporte si procede, o borrado criptográfico (destrucción de la clave de cifrado si los datos estaban cifrados).
3. Certificar la destrucción: generar un acta de destrucción firmada que incluya la fecha, el método utilizado, la identificación de los soportes destruidos y el responsable de la operación.
4. Verificar la destrucción: confirmar técnicamente que los datos no son recuperables. Esto es especialmente relevante en terminales biométricos con almacenamiento local, donde las plantillas pueden permanecer en la memoria flash del dispositivo incluso después de un «reset de fábrica».

8.4 Gestión del cambio con los empleados

La migración de un sistema biométrico a una alternativa digital requiere una gestión del cambio cuidadosa. Los empleados llevan años usando el lector de huella y pueden mostrar resistencia al cambio, especialmente si perciben el nuevo sistema como más lento o incómodo.

Estrategia de comunicación recomendada:

1. Comunicación inicial (semana 1): email de la dirección general explicando los motivos del cambio (cumplimiento RGPD, protección de los derechos de los trabajadores). Tono positivo: «protegemos tus datos biométricos».
2. Sesiones informativas (semana 2-3): reuniones por departamento o centro de trabajo donde se demuestra el nuevo sistema. Permitir que los empleados lo prueben.
3. Material de ayuda (semana 3): guías visuales (infografías, vídeos cortos) sobre cómo usar el nuevo sistema.
4. Canal de soporte (semana 4+): un email o persona de contacto para resolver dudas técnicas durante el período de transición.
5. Feedback (semana 6): encuesta anónima sobre la experiencia con el nuevo sistema.

Errores habituales en la comunicación:

• ❌ No explicar por qué se cambia (genera rumores: «nos han multado», «nos van a cerrar»).
• ❌ Cambiar de un día para otro sin período de transición.
• ❌ Responsabilizar a los empleados del cambio («como os habéis quejado…»).
• ❌ No formar adecuadamente en el nuevo sistema.
• ✅ Presentar el cambio como una mejora en la protección de los derechos del trabajador.
• ✅ Destacar las ventajas del nuevo sistema (fichaje desde el móvil, sin colas en el terminal).

8.5 Tratamiento de datos biométricos de exempleados

Un aspecto que muchas empresas olvidan: ¿qué pasa con las plantillas biométricas de empleados que ya no trabajan en la empresa? La respuesta es clara:

• Si el exempleado fue dado de baja pero sus datos biométricos siguen almacenados: la empresa está tratando datos de categoría especial sin ninguna base legitimadora (la relación laboral ya terminó).
• La obligación de conservar registros de jornada 4 años se refiere a los registros horarios (hora de entrada/salida), NO a los datos biométricos. La empresa no necesita la huella dactilar para conservar el registro de jornada.
• Acción inmediata: destruir las plantillas biométricas de todos los exempleados. No hay excepción.

8.6 Documentación del proceso

Todo el proceso de migración debe quedar documentado para acreditar el cumplimiento ante la AEPD en caso de inspección. La documentación mínima incluye:

• Acta de decisión de migración: fecha, motivación (cumplimiento RGPD), firmada por la dirección.
• DPIA del nuevo sistema: completa y fechada antes de la implementación.
• Comunicaciones a empleados y representantes: copies de las comunicaciones y acuses de recibo.
• Contrato con el proveedor del nuevo sistema: incluyendo la cláusula de encargado del tratamiento (Art. 28 RGPD).
• Acta de destrucción de datos biométricos: método, fecha, responsable y verificación.
• Informe de auditoría post-migración: confirmación de que no quedan datos biométricos residuales.

8.7 Costes estimados de la migración según tamaño de empresa

Retorno de la inversión (ROI): incluso en el escenario de mayor coste, la migración cuesta una fracción de la sanción mínima esperable. El ROI es inmediato si se considera que la empresa elimina el riesgo de una multa de hasta 20 millones de euros.

8.8 Proveedores especializados en migración desde biometría

Algunos proveedores de sistemas de fichaje ofrecen programas específicos de «migración desde biometría» que incluyen:

• Auditoría del sistema biométrico actual.
• Configuración del nuevo sistema en paralelo.
• Importación del histórico de registros de jornada (sin datos biométricos).
• Formación a empleados y RRHH.
• Asistencia en la destrucción de datos biométricos.

Es recomendable verificar que el proveedor incluye el contrato de encargado del tratamiento (Art. 28 RGPD) en su oferta y que sus servidores están ubicados en el Espacio Económico Europeo.

8.9 Plan de contingencia: qué hacer si llega la inspección antes de la migración

Si la ITSS o la AEPD inician actuaciones antes de que la empresa haya completado la migración, las acciones inmediatas recomendadas son:

1. Desactivar inmediatamente los terminales biométricos: cambiar a un sistema alternativo provisional (aunque sea una hoja de firma manual) mientras se completa la migración.
2. No destruir datos todavía: durante un procedimiento inspector o sancionador, la destrucción de datos puede interpretarse como obstrucción. Consultar con un abogado antes de destruir.
3. Acreditar que la migración estaba en curso: presentar la documentación de la migración (acta de decisión, contrato con el proveedor, DPIA en elaboración) para demostrar buena fe.
4. Cooperar plenamente con la autoridad: responder a todos los requerimientos en plazo. La cooperación activa es un atenuante relevante.
5. Contratar asesoría legal especializada: un abogado especializado en protección de datos puede negociar con la AEPD y preparar alegaciones.
6. Solicitar un informe pericial: un perito informático puede documentar las medidas de seguridad existentes y el estado de la migración.

9. Derechos de los trabajadores en el fichaje

Los trabajadores no son meros sujetos pasivos del sistema de fichaje. El RGPD les confiere derechos específicos que la empresa debe respetar y facilitar.

9.1 Derecho de información (Arts. 13-14 RGPD)

Antes de implementar cualquier sistema de fichaje, la empresa debe informar a cada trabajador de:

• La identidad del responsable del tratamiento y sus datos de contacto.
• Los datos de contacto del Delegado de Protección de Datos (DPO), si existe.
• La finalidad del tratamiento y su base jurídica.
• Los datos personales que se van a tratar.
• Los destinatarios de los datos (Inspección de Trabajo, representantes de los trabajadores).
• El período de conservación de los datos.
• Los derechos del trabajador (acceso, rectificación, supresión, limitación, oposición, portabilidad).
• El derecho a presentar una reclamación ante la AEPD.

Formato: la información debe proporcionarse de forma «concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo» (Art. 12 RGPD). Una cláusula informativa de 15 páginas en letra pequeña no cumple este requisito.

Canales recomendados para la información:

• Cláusula informativa individual: documento específico entregado a cada trabajador (con acuse de recibo).
• Intranet corporativa: publicación permanente de la política de fichaje y protección de datos.
• Cartel informativo: en los puntos de fichaje, un cartel visible con la información esencial (responsable, finalidad, derechos, contacto DPO).
• Manual de acogida: para nuevas incorporaciones, incluir la información sobre fichaje en el manual de bienvenida.

Modelo simplificado de cartel informativo para punto de fichaje:

SISTEMA DE REGISTRO DE JORNADA

Este terminal registra la hora de inicio y fin de su jornada laboral conforme al Art. 34.9 del Estatuto de los Trabajadores.

Responsable: [Empresa], CIF [X]. Datos registrados: hora de entrada, hora de salida, método de fichaje. No se recogen datos biométricos. Conservación: 4 años. Derechos: acceso, rectificación, supresión, portabilidad. DPO: [email del DPO]. Reclamaciones: www.aepd.es

9.2 Derecho de acceso a sus registros

El trabajador tiene derecho a acceder a sus propios registros de jornada. Esto incluye:

• Horas de entrada y salida registradas.
• Centro de trabajo donde se registró el fichaje.
• Método de fichaje utilizado.
• Cualquier modificación o corrección aplicada a sus registros.

La empresa debe facilitar el acceso en un plazo máximo de un mes desde la solicitud (Art. 12.3 RGPD) y, en principio, de forma gratuita.

Importante: muchos sistemas de fichaje permiten al trabajador consultar sus propios registros en tiempo real a través de una app o un portal web. Si el sistema ofrece esta funcionalidad, se cumple de forma automática el derecho de acceso para la mayoría de los casos (el trabajador puede consultar sus registros sin necesidad de solicitud formal). No obstante, si el trabajador solicita un extracto completo de todos sus registros (por ejemplo, los últimos 4 años), la empresa debe facilitarlo.

Formato del acceso: la AEPD recomienda que la información se facilite en formato electrónico cuando la solicitud se haga por medios electrónicos (Art. 15.3 RGPD). Un archivo CSV o PDF con todos los registros es el formato más habitual.

9.3 Derecho de rectificación

Si el trabajador detecta un error en sus registros de fichaje (por ejemplo, una hora de salida incorrecta porque el terminal falló), tiene derecho a solicitar su corrección. La empresa debe:

• Rectificar el dato inexacto sin dilación indebida.
• Informar al trabajador de la rectificación efectuada.
• Mantener un registro de las rectificaciones (trazabilidad).

Casos habituales de rectificación: los motivos más frecuentes de solicitud de rectificación en los registros de fichaje son:

• Terminal averiado: el lector no registró la salida del trabajador, constando como ausencia.
• Olvido de fichaje: el trabajador olvidó pasar la tarjeta o marcar en la app. El supervisor autoriza la rectificación.
• Viaje de trabajo: el trabajador estaba desplazado y no tenía acceso al terminal habitual.
• Error del sistema: desfase horario del servidor, sincronización incorrecta entre terminales.
• Cambio de turno: el trabajador cambió de turno con un compañero pero el sistema no se actualizó.

Procedimiento recomendado: el trabajador solicita la rectificación al supervisor directo, quien la autoriza (o deniega motivadamente). La rectificación se registra en el sistema con el motivo, la fecha de la solicitud, la fecha de la rectificación, el autorizado y la persona que realizó el cambio. El registro original no se borra: se marca como «rectificado» y se añade el nuevo registro correcto (trazabilidad completa).

9.4 Derecho de supresión (limitado por Art. 34.9 ET)

El derecho de supresión (o «derecho al olvido», Art. 17 RGPD) tiene una limitación importante en el contexto del fichaje laboral: el artículo 34.9 del Estatuto de los Trabajadores obliga a conservar los registros de jornada durante cuatro años, que es el plazo de prescripción de las infracciones laborales según el artículo 4 de la LISOS.

Esto significa que:

• Durante los 4 años de conservación obligatoria, la empresa puede (y debe) rechazar las solicitudes de supresión, amparándose en el artículo 17.3.b del RGPD (cumplimiento de obligación legal).
• Una vez transcurridos los 4 años, la empresa debe suprimir los registros, salvo que otra obligación legal justifique su conservación.

9.5 Derecho a no ser objeto de decisiones automatizadas

El artículo 22 del RGPD reconoce uno de los derechos más relevantes en la era de la automatización. Establece que el interesado tiene derecho a «no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar». Este derecho cobra especial relevancia con los sistemas de fichaje modernos que incorporan algoritmos de detección de anomalías y alertas automáticas.

En el contexto del fichaje, esto implica que:

• La empresa no puede despedir o sancionar a un trabajador basándose exclusivamente en los datos del sistema de fichaje sin intervención humana.
• Si el sistema detecta una anomalía (por ejemplo, un fichaje tardío), debe haber un proceso de revisión humana antes de adoptar cualquier medida disciplinaria.
• El trabajador tiene derecho a obtener intervención humana, a expresar su punto de vista y a impugnar la decisión.

Ejemplo práctico: una empresa utiliza un sistema de fichaje que marca automáticamente como «ausencia injustificada» cualquier día sin registro de entrada. Un trabajador que estaba de baja médica (y, por tanto, no debía fichar) fue sancionado automáticamente por el sistema. El trabajador impugnó la sanción alegando que la decisión fue exclusivamente automatizada, sin verificación humana. El Juzgado de lo Social estimó la demanda y declaró nula la sanción.

Obligación del empleador: configurar el sistema de fichaje para que las anomalías (ausencias, retrasos, horas extra) sean revisadas por un humano antes de generar cualquier consecuencia disciplinaria o económica.

9.6 Derecho de portabilidad

El artículo 20 del RGPD reconoce el derecho del interesado a recibir los datos personales que le incumban en un formato «estructurado, de uso común y lectura mecánica». En el contexto del fichaje, esto significa que el trabajador puede solicitar:

• Un archivo exportable (CSV, JSON, XML) con todos sus registros de jornada.
• Los datos deben incluir fecha, hora de entrada, hora de salida, centro de trabajo y método de fichaje.
• La empresa debe facilitar la exportación en un plazo máximo de un mes.

Este derecho es especialmente relevante cuando el trabajador cambia de empresa o cuando quiere verificar sus registros de forma independiente ante un conflicto laboral.

Formato recomendado para la exportación: CSV con codificación UTF-8, separador punto y coma, con las siguientes columnas: fecha, hora_entrada, hora_salida, centro_trabajo, metodo_fichaje, hash_registro. La inclusión del hash permite al trabajador verificar la integridad de cada registro.

9.8 Derecho a la desconexión digital

La Ley Orgánica 3/2018 (LOPD-GDD), en su artículo 88, reconoce el derecho a la desconexión digital en el ámbito laboral. Aunque este derecho se relaciona más con las comunicaciones que con el fichaje, tiene una implicación directa:

• El sistema de fichaje no debe enviar notificaciones, recordatorios ni alertas fuera del horario laboral.
• Si el sistema utiliza una app móvil, no debe monitorizar la ubicación ni la actividad del dispositivo fuera de los momentos de fichaje.
• La empresa debe elaborar una política interna de desconexión digital que incluya las reglas aplicables al sistema de fichaje.

9.9 Cómo ejercer estos derechos: plantillas

Los trabajadores pueden ejercer sus derechos mediante una solicitud dirigida al responsable del tratamiento. A continuación, una plantilla simplificada:

Asunto: Ejercicio del derecho de [acceso/rectificación/supresión/oposición] - Registro de jornada

Estimados Sres.:

D./Dña. [nombre y apellidos], con DNI [número], en calidad de trabajador/a de [empresa], solicito el ejercicio de mi derecho de [indicar derecho] en relación con los datos de mi registro de jornada, de conformidad con el artículo [15/16/17/21] del Reglamento (UE) 2016/679 (RGPD).

Concretamente, solicito [describir la petición: acceso a mis registros del último año / rectificación de la hora de salida del día X / etc.].

Adjunto copia de mi DNI a efectos de identificación.

Quedo a la espera de su respuesta en el plazo máximo de un mes.

10. El papel del DPO en el fichaje laboral

El Delegado de Protección de Datos (DPO, por sus siglas en inglés, o DPD en español) es una figura clave en la gestión del cumplimiento RGPD del sistema de fichaje.

10.1 Cuándo es obligatorio tener DPO

El Delegado de Protección de Datos es una figura regulada en los artículos 37-39 del RGPD y en el artículo 34 de la LOPD-GDD. Su función es supervisar el cumplimiento de la normativa de protección de datos, asesorar al responsable del tratamiento y servir de punto de contacto con la AEPD.

El artículo 37 del RGPD y el artículo 34 de la LOPD-GDD establecen la obligatoriedad de designar un DPO en los siguientes casos relevantes para el fichaje:

• Administraciones públicas (siempre obligatorio).
• Empresas que realicen tratamientos a gran escala de datos de categoría especial: si la empresa trata datos biométricos de un número significativo de trabajadores, podría estar obligada a tener DPO.
• Empresas de seguridad privada (Art. 34.1.o LOPD-GDD).
• Centros sanitarios (Art. 34.1.g LOPD-GDD).

Recomendación: incluso si la empresa no está legalmente obligada a tener DPO, es muy recomendable designar un responsable de privacidad que supervise el cumplimiento del RGPD en el sistema de fichaje.

10.2 Funciones del DPO respecto al registro de jornada

En relación con el sistema de fichaje, el DPO debe:

1. Asesorar a la dirección sobre la elección del sistema de fichaje y sus implicaciones RGPD.
2. Supervisar la realización de la DPIA.
3. Verificar que se cumple el deber de información a los trabajadores.
4. Atender las solicitudes de ejercicio de derechos de los trabajadores.
5. Auditar periódicamente el sistema para verificar su conformidad.
6. Servir de punto de contacto con la AEPD en caso de inspección.

10.3 Consulta previa a la AEPD

El artículo 36 del RGPD establece que el responsable del tratamiento debe consultar a la autoridad de control (AEPD) antes de realizar un tratamiento cuando la DPIA indique que el tratamiento entrañaría un «alto riesgo» que el responsable no puede mitigar por medios razonables.

En la práctica, esto significa que si una empresa realiza una DPIA para un sistema biométrico y concluye que no puede mitigar los riesgos (que es el resultado probable), debería consultar a la AEPD antes de implementar el sistema. La AEPD respondería, previsiblemente, que el tratamiento no es admisible.

10.4 Responsabilidades del DPO en caso de sanción

10.4 Formación del DPO en materia de fichaje

El DPO debe mantenerse actualizado sobre la normativa y la doctrina relativa al fichaje laboral y la biometría. Las áreas de formación esenciales incluyen:

• Guía AEPD sobre biométricos (2023): lectura obligatoria y comprensión profunda de su alcance.
• Jurisprudencia AEPD: seguimiento de las resoluciones sancionadoras en materia de biometría y fichaje.
• Directrices del CEPD: Directrices 05/2022, Dictamen 11/2023 y cualquier actualización posterior.
• Evaluaciones de Impacto: metodología y herramientas para la elaboración de DPIAs (la AEPD ofrece la herramienta gratuita GESTIONA-FACILITA).
• Tecnologías de fichaje: conocimiento básico de las alternativas tecnológicas (NFC, QR, apps) para asesorar sobre la selección del sistema.
• Derechos laborales: relación entre el fichaje, el ET y la negociación colectiva.

Recursos de formación gratuitos:

10.5 Responsabilidades del DPO en caso de sanción

Es importante aclarar que el DPO no es personalmente responsable del incumplimiento del RGPD. La responsabilidad recae en el responsable del tratamiento (la empresa). Sin embargo, si el DPO:

• No advirtió a la dirección de los riesgos del fichaje biométrico.
• No supervisó la realización de la DPIA.
• No documentó sus recomendaciones.

…podría enfrentarse a consecuencias contractuales (despido disciplinario si es empleado, resolución del contrato si es externo) y a reclamaciones de responsabilidad civil por parte de la empresa sancionada.

10.5 DPO interno vs. externo: ventajas e inconvenientes

Recomendación para PYMES: para empresas de menos de 250 empleados, un DPO externo suele ser la opción más eficiente en términos de coste-beneficio. El DPO externo aporta experiencia acumulada de múltiples clientes y sectores, y su independencia está más garantizada.

Requisito de independencia: el artículo 38.3 del RGPD establece que el DPO «no recibirá ninguna instrucción en lo que respecta al desempeño de dichas funciones». Esto significa que la dirección no puede ordenar al DPO que «apruebe» el uso de biometría si el DPO considera que no es conforme al RGPD. Si el DPO emite un informe contrario al uso de biometría y la empresa lo ignora, ese informe será una pieza clave en caso de inspección de la AEPD (demuestra negligencia consciente por parte de la dirección).

10.6 Registro de actividades de tratamiento

El artículo 30 del RGPD obliga al responsable del tratamiento a mantener un Registro de Actividades de Tratamiento (RAT) que incluya, entre otros, el sistema de fichaje. La ficha del RAT para el fichaje debe incluir:

• Nombre del tratamiento: Registro de jornada laboral.
• Responsable: razón social, CIF, datos de contacto del DPO.
• Finalidad: cumplimiento obligación legal Art. 34.9 ET.
• Base legitimadora: Art. 6.1.c RGPD.
• Categorías de interesados: trabajadores en activo.
• Categorías de datos: nombre, hora entrada/salida, centro trabajo, método fichaje.
• Categorías especiales: NO (si se ha migrado desde biometría, indicar que el tratamiento biométrico cesó en fecha X y los datos fueron destruidos).
• Destinatarios: ITSS, representantes legales trabajadores, encargado del tratamiento (proveedor SaaS).
• Transferencias internacionales: indicar si el proveedor SaaS aloja datos fuera del EEE.
• Plazos de conservación: 4 años desde el registro.
• Medidas de seguridad: cifrado, control de acceso, copias de seguridad, plan de continuidad.

La ausencia o deficiencia del RAT es una infracción leve (Art. 74.k LOPD-GDD), sancionable con hasta 40.000 euros.

11. Sanciones AEPD: el régimen completo

El régimen sancionador de la AEPD en materia de protección de datos es uno de los más activos de Europa. España es, junto con Italia y Francia, uno de los países que más sanciones impone al año.

11.1 Infracciones leves (hasta 40.000 euros)

Según el artículo 74 de la LOPD-GDD, son infracciones leves, entre otras:

• No atender las solicitudes de derechos de los interesados en el plazo establecido.
• No designar representante en la UE cuando sea obligatorio.
• Incumplir el principio de transparencia de forma menor.

En el contexto del fichaje: no responder a una solicitud de acceso a registros de jornada en el plazo de un mes.

11.2 Infracciones graves (hasta 300.000 euros)

Según el artículo 73 de la LOPD-GDD, son infracciones graves, entre otras:

• Tratar datos personales sin base legitimadora válida (cuando no sean de categoría especial).
• No realizar la DPIA cuando sea obligatoria.
• No designar un DPO cuando sea obligatorio.
• Incumplir el deber de información de forma significativa.
• No notificar una brecha de seguridad a la AEPD.

En el contexto del fichaje: no realizar la DPIA antes de implementar un sistema de fichaje con geolocalización a gran escala.

11.3 Infracciones muy graves (hasta 20 millones de euros o el 4%)

Según el artículo 72 de la LOPD-GDD, son infracciones muy graves, entre otras:

• Tratar datos de categoría especial sin base legitimadora válida (biometría).
• Vulnerar los principios básicos del tratamiento (finalidad, minimización, exactitud).
• Impedir u obstaculizar el ejercicio de derechos.
• Transferir datos internacionales sin garantías adecuadas.

En el contexto del fichaje: utilizar huella dactilar o reconocimiento facial para el control de jornada sin amparo legal.

11.4 Criterios de graduación

La AEPD utiliza los criterios del artículo 83.2 del RGPD para determinar la cuantía de la sanción:

11.5 Procedimiento sancionador

El procedimiento sancionador de la AEPD sigue estas fases:

1. Admisión de la reclamación (o actuación de oficio): la AEPD recibe la denuncia y la admite a trámite.
2. Actuaciones previas de investigación: la AEPD investiga los hechos, puede requerir información a la empresa y realizar inspecciones.
3. Acuerdo de inicio: si hay indicios de infracción, la Subdirección General de Inspección de Datos inicia el procedimiento sancionador.
4. Propuesta de resolución: el instructor propone una resolución con los hechos probados, la infracción apreciada y la sanción propuesta.
5. Alegaciones: la empresa dispone de 15 días para presentar alegaciones.
6. Resolución: la Directora de la AEPD dicta resolución, que puede confirmar, reducir o anular la sanción propuesta.
7. Recurso: la empresa puede interponer recurso potestativo de reposición ante la AEPD o recurso contencioso-administrativo ante la Audiencia Nacional.

Plazo: el procedimiento completo puede durar entre 6 y 18 meses desde la admisión de la reclamación.

Plazos detallados del procedimiento:

Pago voluntario con reducción: la LOPD-GDD prevé en su artículo 85 la posibilidad de que el infractor reconozca la responsabilidad y realice el pago voluntario con una reducción del 20% en la cuantía de la sanción. Ambas reducciones son acumulables, lo que permite una reducción máxima del 40%.

Ejemplo práctico: si la propuesta de resolución es de 200.000 euros:

• Con reconocimiento de responsabilidad: 200.000 × 0,80 = 160.000 euros.
• Con pago voluntario adicional: 160.000 × 0,80 = 128.000 euros.
• Ahorro total: 72.000 euros (36% de reducción efectiva).

Estrategia de defensa: si la empresa ha migrado a un sistema sin biometría y destruido los datos antes de la resolución, puede argumentar cooperación activa y medidas correctoras, lo que suele reducir significativamente la cuantía. Algunas resoluciones de la AEPD han reducido la sanción hasta un 50% cuando la empresa demostró una corrección inmediata y completa.

11.6 Recurso ante la Audiencia Nacional

Las resoluciones sancionadoras de la AEPD son recurribles ante la Sala de lo Contencioso-Administrativo de la Audiencia Nacional (Art. 48 LOPD-GDD). El recurso debe interponerse en el plazo de dos meses desde la notificación de la resolución.

La Audiencia Nacional puede:

• Confirmar la sanción.
• Reducir la cuantía.
• Anular la sanción si considera que la AEPD se ha extralimitado.

Dato estadístico: según datos del propio CGPJ, la Audiencia Nacional confirma aproximadamente el 70-75% de las sanciones de la AEPD, reduce la cuantía en un 15-20% de los casos y anula la sanción en un 5-10%.

Estrategia procesal para el recurso:

Si la empresa decide recurrir la sanción ante la Audiencia Nacional, los argumentos más efectivos, basados en la jurisprudencia reciente, son:

1. Proporcionalidad de la sanción: argumentar que la cuantía es desproporcionada en relación con el tamaño de la empresa, el número de afectados y el daño causado. La AN ha reducido sanciones cuando la AEPD no justificó suficientemente la cuantía.

2. Medidas correctoras adoptadas: si la empresa migró a un sistema sin biometría antes de la resolución, este dato puede reducir la sanción. La AN valora positivamente la cooperación post-procedimiento.

3. Informe pericial técnico: un informe pericial que demuestre que las medidas de seguridad eran adecuadas (aunque insuficientes para justificar el tratamiento) puede atenuar la sanción.

4. Buena fe y error de interpretación: si la empresa actuó bajo la interpretación mayoritaria anterior a noviembre de 2023 (que distinguía entre identificación y verificación), puede argumentar error invencible de prohibición. Sin embargo, este argumento pierde fuerza cuanto más tiempo haya transcurrido desde la publicación de la guía.

5. Ausencia de daño efectivo: si no se acreditaron brechas de seguridad ni accesos no autorizados a los datos biométricos, la empresa puede argumentar que el riesgo fue teórico, no materializado.

Plazos del recurso contencioso-administrativo:

Coste del recurso: entre 5.000 y 30.000 euros en honorarios de abogado y procurador, más el informe pericial (2.000-8.000 euros). Solo tiene sentido económico si la sanción supera los 50.000 euros.

11.7 Tabla: sanciones AEPD en materia laboral 2023-2026

Nota: los números de expediente de esta tabla son orientativos; las resoluciones completas están disponibles en el repositorio público de la AEPD.

11.8 Impacto económico real de las sanciones

Más allá de la multa directa, las sanciones de la AEPD generan costes adicionales que muchas empresas no anticipan:

Total estimado para una PYME: entre 25.000 y 150.000 euros si se incluyen todos los costes directos e indirectos.

Derecho a indemnización de los trabajadores: el artículo 82 del RGPD establece que toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del RGPD tendrá derecho a recibir una indemnización del responsable del tratamiento. Esto significa que los trabajadores cuyos datos biométricos fueron tratados ilícitamente podrían reclamar individualmente una indemnización, con independencia de la sanción administrativa.

En algunos países europeos (especialmente Austria y Alemania), los tribunales han reconocido indemnizaciones de entre 500 y 5.000 euros por trabajador por el tratamiento ilícito de datos biométricos. Si una empresa con 500 empleados se enfrenta a reclamaciones individuales de, por ejemplo, 1.000 euros por trabajador, el coste total sería de 500.000 euros, adicionales a la sanción de la AEPD.

12. Fichaje y teletrabajo: requisitos de privacidad

La Ley 10/2021, de 9 de julio, de trabajo a distancia, establece un marco específico para el registro de jornada de los teletrabajadores que añade capas adicionales de complejidad al cumplimiento RGPD.

12.1 Ley 10/2021 y registro de jornada remoto

La pandemia de COVID-19 aceleró la adopción del teletrabajo en España. Según el INE, el 16,2% de los ocupados teletrabajaron al menos ocasionalmente en 2025, frente al 4,8% prepandemia. Esto multiplicó la complejidad del registro de jornada: los sistemas biométricos presenciales no sirven para teletrabajadores, y las alternativas digitales plantean cuestiones específicas de privacidad en el domicilio.

El artículo 7.a de la Ley 10/2021 establece que el acuerdo de trabajo a distancia debe incluir «el inventario de los medios, equipos y herramientas que exige el desarrollo del trabajo a distancia», lo que incluye el sistema de registro de jornada.

El artículo 17 reconoce el derecho a la intimidad y a la protección de datos del teletrabajador:

«La utilización de los medios telemáticos y el control de la prestación laboral mediante dispositivos automáticos garantizará adecuadamente el derecho a la intimidad y a la protección de datos, en los términos previstos en la Ley Orgánica 3/2018».

Esto tiene varias implicaciones para el sistema de fichaje:

• El sistema de fichaje remoto no puede ser más intrusivo que el presencial.
• No se puede exigir al teletrabajador que instale una app que monitorice su actividad en todo momento.
• No se puede usar el fichaje como pretexto para vigilar el domicilio del trabajador (por ejemplo, activando la cámara del dispositivo).

12.2 Geolocalización del teletrabajador: límites

La geolocalización del teletrabajador presenta un conflicto directo con el derecho a la inviolabilidad del domicilio (Art. 18.2 CE). Registrar la ubicación GPS en el momento del fichaje revela la ubicación del domicilio del trabajador, que es un dato especialmente sensible.

Límites legales:

• La geolocalización solo puede registrar la ubicación en el momento exacto del fichaje, no de forma continua.
• El trabajador debe ser informado expresamente de que se registra su ubicación.
• Debe existir una alternativa sin geolocalización (fichaje web sin GPS).
• La empresa no puede utilizar la ubicación para verificar si el trabajador está en su domicilio durante la jornada.

12.3 Capturas de pantalla y monitoring: prohibido sin informar

Algunas empresas han implementado software de «employee monitoring» que realiza capturas de pantalla aleatorias, registra las pulsaciones de teclado (keylogging) o monitoriza las aplicaciones utilizadas durante el teletrabajo.

La AEPD ha sido clara al respecto:

• Estos sistemas requieren información previa, clara y explícita al trabajador.
• Deben superar un test de proporcionalidad: ¿es necesario? ¿existe alternativa menos intrusiva?
• Las capturas de pantalla pueden revelar datos personales del trabajador (emails personales, navegación privada) y, por tanto, deben tratarse con máximas garantías.
• El keylogging es, en la mayoría de los casos, desproporcionado y, por tanto, ilícito.

12.4 Derecho a la intimidad en el domicilio

El artículo 18.2 de la Constitución Española establece la inviolabilidad del domicilio. Cualquier sistema de fichaje que permita conocer o inferir información sobre el domicilio del trabajador (ubicación GPS, dirección IP, red WiFi) debe ser especialmente cuidadoso con este derecho fundamental.

Buenas prácticas:

• No registrar la dirección IP del trabajador en el fichaje (o, si se registra, no vincularla a una ubicación física).
• No activar la cámara ni el micrófono del dispositivo durante el fichaje.
• No comparar la red WiFi del fichaje con una «red domiciliaria autorizada».
• Permitir el fichaje desde cualquier ubicación sin requerir justificación.

Jurisprudencia relevante sobre monitorización del teletrabajador:

El Tribunal Europeo de Derechos Humanos (TEDH) ha establecido en su jurisprudencia una doctrina clara sobre la vigilancia en el ámbito laboral:

• Caso Bǎrbulescu contra Rumanía (Gran Sala, 2017): el TEDH estableció que la monitorización de las comunicaciones del trabajador requiere informar previamente de la naturaleza y alcance de la vigilancia, la finalidad, las consecuencias y las garantías frente a abusos.
• Caso López Ribalda contra España (Gran Sala, 2019): el TEDH admitió la videovigilancia oculta en casos de sospecha fundada de delito, pero exigió un test de proporcionalidad estricto.

Aplicando esta doctrina al fichaje de teletrabajadores: la monitorización continua del trabajador en su domicilio no superaría el test de proporcionalidad del TEDH, ya que existe una alternativa menos intrusiva (fichaje puntual) que logra la misma finalidad (registrar la jornada).

Modelo de cláusula informativa para fichaje en teletrabajo:

La empresa debe incluir en el acuerdo de trabajo a distancia una cláusula informativa específica sobre el sistema de fichaje. Los elementos mínimos son:

1. Identificación del responsable del tratamiento y datos de contacto del DPO.
2. Descripción del sistema de fichaje y datos tratados (hora, dispositivo, y ubicación si aplica).
3. Finalidad: cumplimiento del Art. 34.9 ET.
4. Base legitimadora: Art. 6.1.c RGPD.
5. Si hay geolocalización: consentimiento específico y posibilidad de alternativa sin GPS.
6. Período de conservación: 4 años.
7. Destinatarios: RRHH, Inspección de Trabajo, representantes legales.
8. Derechos del trabajador y forma de ejercerlos.

12.5 Sistemas permitidos para teletrabajadores

Los sistemas de fichaje más adecuados para teletrabajadores son:

12.6 El acuerdo de trabajo a distancia y el fichaje

El artículo 7 de la Ley 10/2021 establece el contenido mínimo del acuerdo de trabajo a distancia. En relación con el fichaje, el acuerdo debe incluir:

• Inventario de medios: si la empresa proporciona un móvil o tablet para el fichaje, debe constar en el acuerdo.
• Sistema de registro de jornada: descripción del método utilizado para fichar en remoto.
• Gastos asociados: si el trabajador usa su propio dispositivo para fichar, la empresa debe compensar el gasto (data móvil, desgaste del dispositivo).
• Protección de datos: cláusula específica sobre los datos tratados por el sistema de fichaje.

Modelo de cláusula para el acuerdo de trabajo a distancia:

«CLÁUSULA [X]. REGISTRO DE JORNADA EN TRABAJO A DISTANCIA.

El/la trabajador/a realizará el registro diario de su jornada mediante el sistema [descripción: app móvil X / portal web Y / PIN telefónico]. El sistema registrará exclusivamente la hora de inicio y fin de la jornada, sin capturar datos biométricos ni monitorizar la actividad del trabajador durante la jornada.

[Si aplica geolocalización]: El sistema registrará la ubicación GPS del dispositivo únicamente en el momento exacto del fichaje, previo consentimiento específico del/de la trabajador/a. El/la trabajador/a puede optar por el fichaje sin geolocalización mediante [método alternativo].

Los datos del registro de jornada se conservarán durante 4 años conforme al Art. 34.9 ET y serán accesibles por el/la trabajador/a, sus representantes legales y la ITSS. El responsable del tratamiento es [empresa], con DPO contactable en [email].»

12.7 Coworking y espacios compartidos

Un escenario cada vez más habitual es el del trabajador que ficha desde un espacio de coworking. Esto plantea cuestiones adicionales:

• Geolocalización: el fichaje con GPS mostrará la ubicación del coworking, no del domicilio. Esto puede ser aceptable o no dependiendo de la política de la empresa.
• Red WiFi: si el sistema detecta la red WiFi como medida de verificación, el coworking tendría una red distinta a la del domicilio.
• Privacidad: en un coworking, otros usuarios pueden ver la pantalla del trabajador mientras ficha. Si el sistema requiere selfie, la captura puede incluir a terceros.

Recomendación: el fichaje web simple (usuario + PIN, sin GPS ni selfie) es la opción más segura y universal para trabajadores que alternan entre domicilio, oficina y coworking.

12.8 Trabajo híbrido: el modelo predominante en 2026

El modelo de trabajo híbrido (combinación de presencial y remoto) se ha consolidado como la norma en muchos sectores. Según Randstad (2025), el 62% de las empresas españolas con más de 50 empleados ofrecen algún grado de trabajo híbrido.

Para el fichaje, esto implica que el sistema debe ser dual: funcionar tanto en la oficina (NFC, QR) como en remoto (app, web). Los empleados no deben tener que usar dos sistemas diferentes según su ubicación. La experiencia debe ser uniforme.

Requisitos técnicos del fichaje híbrido:

• Base de datos única: todos los fichajes (presenciales y remotos) alimentan la misma base de datos.
• Identificación del tipo de fichaje: el sistema debe registrar si el fichaje fue presencial o remoto (relevante para el cumplimiento de la Ley 10/2021).
• No discriminación: el sistema remoto no debe ser más intrusivo que el presencial. Si los presenciales fichan con tarjeta NFC (sin GPS), los remotos no deberían estar obligados a compartir su ubicación.
• Soporte multiplataforma: la app debe funcionar en iOS y Android; el portal web en Chrome, Firefox, Safari y Edge.
• Accesibilidad: conforme a las pautas WCAG 2.1 nivel AA, para garantizar el acceso a trabajadores con discapacidad.

13. Peritaje informático y protección de datos en fichaje

Como perito informático forense, mi trabajo en relación con los sistemas de fichaje abarca varios escenarios que requieren conocimiento técnico especializado y rigurosidad metodológica.

13.1 Cuándo se necesita un perito

Los principales escenarios en los que una empresa, un trabajador o un abogado puede necesitar un perito informático en relación con el fichaje son:

1. Defensa ante una sanción de la AEPD: el informe pericial analiza el sistema de fichaje, verifica las medidas de seguridad implementadas y evalúa si el tratamiento cumplía con el RGPD.
2. Conflicto laboral sobre registros de jornada: cuando el trabajador o la empresa cuestionan la exactitud de los registros de fichaje (por ejemplo, en un despido por faltas de asistencia).
3. Brecha de seguridad en datos biométricos: si la base de datos de plantillas biométricas es comprometida, el perito evalúa el alcance de la brecha, los datos afectados y las medidas de mitigación.
4. Migración a sistema sin biometría: el perito verifica que la destrucción de los datos biométricos ha sido efectiva e irreversible.
5. Due diligence RGPD: en procesos de fusión, adquisición o auditoría, el perito evalúa el cumplimiento RGPD del sistema de fichaje.

13.2 Análisis forense de sistemas biométricos

El análisis forense de un sistema biométrico de fichaje incluye:

• Extracción de la base de datos de plantillas: identificar dónde se almacenan las plantillas biométricas (terminal local, servidor central, nube).
• Análisis del cifrado: verificar si las plantillas están cifradas en reposo y en tránsito, y con qué algoritmo.
• Evaluación de la política de acceso: quién tiene acceso a las plantillas biométricas, con qué privilegios y con qué trazabilidad.
• Análisis de logs: revisión de los registros de acceso al sistema para detectar accesos no autorizados.
• Test de recuperación: verificar si las plantillas biométricas son recuperables tras un borrado convencional (muchos terminales retienen datos en memoria flash).
• Evaluación de la transmisión: si las plantillas se transmiten desde el terminal al servidor, analizar el protocolo de comunicación y su seguridad.

13.3 Verificación de destrucción efectiva de datos

Este es uno de los servicios más demandados en el contexto de la migración desde biometría. El perito verifica que:

1. Todos los soportes han sido identificados: terminales, servidores, copias de seguridad, dispositivos USB, portátiles de administradores.
2. El método de borrado es adecuado: sobrescritura conforme a NIST SP 800-88, destrucción física certificada o borrado criptográfico.
3. Los datos no son recuperables: mediante técnicas forenses (carving, análisis de espacios no asignados, revisión de memoria flash).
4. Se genera un acta de destrucción certificada: documento firmado por el perito que acredita la destrucción efectiva.

Coste orientativo: entre 800 y 2.500 euros, dependiendo del número de terminales y la complejidad del sistema (ver precios detallados).

Protocolo de verificación forense de destrucción:

Herramientas forenses utilizadas:

13.4 Informe pericial para recurrir sanciones AEPD

Si la empresa ha sido sancionada por la AEPD, un informe pericial puede ser determinante para recurrir la resolución ante la Audiencia Nacional. El informe puede abordar:

• Evaluación técnica del sistema: demostrar que las medidas de seguridad implementadas eran adecuadas al riesgo.
• Proporcionalidad de la sanción: argumentar técnicamente que el daño potencial o real es inferior al estimado por la AEPD.
• Cooperación acreditada: documentar las medidas correctoras adoptadas por la empresa.
• Análisis del estado de la técnica: demostrar que, en el momento de la implementación, la interpretación jurídica sobre los datos biométricos era diferente (especialmente para sistemas instalados antes de noviembre de 2023).

13.5 Análisis de cumplimiento RGPD de sistemas de fichaje

Para empresas que quieren verificar proactivamente su cumplimiento, ofrezco un servicio de auditoría de cumplimiento RGPD específico para sistemas de fichaje. La auditoría cubre:

13.6 Caso real: auditoría de sistema de fichaje biométrico

Para ilustrar el trabajo del perito informático, describo un caso real anonimizado de una auditoría que realicé en 2025:

Contexto: empresa del sector hostelería con 12 restaurantes en España. Utilizaba lectores de huella dactilar en los 12 establecimientos desde 2019. Tras conocer la guía de la AEPD, la dirección decidió migrar a un sistema de app móvil con QR dinámico.

Hallazgos de la auditoría:

Recomendaciones y resultado: la empresa migró a app móvil con QR dinámico en 6 semanas. La destrucción certificada de datos biométricos incluyó los 12 terminales (destrucción física de la memoria flash), el servidor central (borrado seguro NIST SP 800-88 con verificación forense) y 180 cintas de backup (destrucción física certificada). Emití un acta de destrucción que la empresa conserva como prueba de cumplimiento.

Coste total de la migración: 18.500 euros (incluyendo nuevo sistema, destrucción, auditoría y DPIA). Si la empresa hubiera sido sancionada, el coste mínimo habría sido de 100.000-365.000 euros solo en multa.

13.7 Checklist de cumplimiento para el empresario

14. Preguntas frecuentes

¿Puedo seguir usando huella dactilar si mis empleados firman un consentimiento?

No. El consentimiento del empleado no es una base legitimadora válida para el tratamiento de datos biométricos en el ámbito laboral. La AEPD considera que el consentimiento en la relación laboral no es libre debido al desequilibrio de poder entre empleador y empleado (considerando 43 del RGPD). Da igual que el trabajador firme un documento, un formulario o un consentimiento informado: no es suficiente.

¿Qué hago con los datos biométricos ya recogidos?

Debes destruirlos de forma segura e irreversible y documentar la destrucción. Si ya no usas el sistema biométrico pero conservas las plantillas, sigues tratando datos de categoría especial sin base legitimadora. La AEPD ha sancionado a empresas que conservaban datos biométricos tras dejar de utilizar el sistema.

¿El reconocimiento facial también está prohibido?

Sí. El reconocimiento facial es un dato biométrico de categoría especial sometido a la misma prohibición del artículo 9 del RGPD que la huella dactilar. La AEPD impuso a Aena una multa de 10 millones de euros en 2025 por un sistema de reconocimiento facial.

¿Y si mi convenio colectivo prevé el uso de huella dactilar?

Un convenio colectivo podría, en teoría, amparar el uso de biometría si prevé expresamente el tratamiento con garantías adecuadas. Pero la AEPD exige que, además, se demuestre que no existen alternativas menos intrusivas. Dado que existen PIN, NFC, QR y apps, es prácticamente imposible justificar la biometría.

¿Cuánto tiempo tengo para migrar?

No hay un plazo legal, pero cada día que mantienes el sistema biométrico activo es un día más de tratamiento ilícito. La AEPD puede abrir un procedimiento sancionador en cualquier momento, sea por denuncia de un trabajador, inspección de oficio o traslado de la Inspección de Trabajo. Lo recomendable es completar la migración en un plazo de 8-13 semanas.

¿Me pueden multar si ya no uso biometría pero conservo los datos?

Sí. La mera conservación de datos biométricos sin base legitimadora constituye un tratamiento ilícito. Si desactivaste los terminales pero no destruiste las plantillas almacenadas en servidores o copias de seguridad, sigues infringiendo el artículo 9 del RGPD.

¿Qué alternativa es más segura contra la suplantación (buddy punching)?

El código QR dinámico con caducidad de 30-60 segundos es la alternativa más segura contra el «buddy punching» que cumple con el RGPD. La combinación de QR dinámico con verificación por app (el trabajador escanea el QR con su propio móvil) reduce prácticamente a cero la posibilidad de fichaje fraudulento.

¿Un perito puede verificar que he destruido los datos biométricos?

Sí. El perito informático puede realizar un análisis forense de los terminales y servidores para verificar que las plantillas biométricas han sido eliminadas de forma irrecuperable. Emite un acta de destrucción certificada que sirve como prueba ante la AEPD.

¿Puedo usar la geolocalización para el fichaje de teletrabajadores?

Sí, pero con condiciones estrictas: consentimiento específico e informado, registro solo en el momento del fichaje (no continuo), alternativa sin GPS para quienes no consientan, y DPIA si es a gran escala. La geolocalización del domicilio del trabajador es un dato especialmente sensible.

¿Qué ocurre si la Inspección de Trabajo detecta que no tengo registro de jornada?

La ausencia de registro de jornada es una infracción grave del artículo 7.5 de la LISOS, sancionable con multas de 626 a 6.250 euros. Pero eso no justifica el uso de biometría: debes implementar un sistema de registro que cumpla con el RGPD.

¿El registro de jornada con PIN cumple con la legislación laboral?

Sí. El artículo 34.9 del Estatuto de los Trabajadores obliga al registro de jornada, pero no especifica el medio técnico. Un sistema de PIN, tarjeta NFC, QR o app cumple perfectamente con la obligación legal.

¿Quién tiene acceso a los registros de jornada en la empresa?

El artículo 34.9 del ET establece que los registros deben estar a disposición de los trabajadores, de sus representantes legales y de la Inspección de Trabajo. Dentro de la empresa, el acceso debe limitarse al departamento de RRHH y, en su caso, al DPO.

¿Cuánto tiempo debo conservar los registros de jornada?

Cuatro años, que es el plazo de prescripción de las infracciones laborales según el artículo 4 de la LISOS. Transcurrido ese plazo, los registros deben suprimirse, salvo que otra obligación legal justifique su conservación.

¿Puedo obligar a mis empleados a instalar una app de fichaje en su móvil personal?

No, salvo que proporciones el dispositivo o exista acuerdo expreso. El artículo 17 de la Ley 10/2021 establece que la empresa debe proporcionar los medios necesarios para el trabajo a distancia. Si exiges una app de fichaje, debes proporcionar el dispositivo o compensar su uso.

¿Y si mi empresa tiene menos de 10 empleados?

Las obligaciones del RGPD se aplican con independencia del tamaño de la empresa. Una empresa de 5 empleados que use huella dactilar para fichar está cometiendo la misma infracción que una de 5.000, aunque la cuantía de la sanción será proporcionalmente menor.

¿La AEPD puede actuar de oficio o necesita una denuncia?

La AEPD puede actuar tanto de oficio como por denuncia. Las actuaciones de oficio son frecuentes cuando la AEPD detecta un patrón de incumplimiento generalizado en un sector. Además, la Inspección de Trabajo puede trasladar a la AEPD las irregularidades en protección de datos que detecte durante sus inspecciones laborales.

¿Puede una asesoría o gestoría acceder a los registros de jornada?

Solo si existe un contrato de encargado del tratamiento conforme al artículo 28 del RGPD. La asesoría actúa como encargada del tratamiento y debe cumplir las instrucciones del responsable (la empresa), implementar medidas de seguridad adecuadas y no subcontratar sin autorización previa.

¿Los registros de jornada son admisibles como prueba en juicio?

Sí, los registros de jornada son prueba documental admisible en procedimientos laborales (Arts. 299 y 326 LEC). Sin embargo, si los registros se han obtenido vulnerando el RGPD (por ejemplo, mediante biometría ilícita), la parte contraria puede impugnar su admisibilidad invocando la nulidad de la prueba obtenida con violación de derechos fundamentales (Art. 11 LOPJ).

¿Qué pasa si un trabajador se niega a fichar con el nuevo sistema?

La negativa injustificada a fichar la jornada puede constituir una falta laboral sancionable, siempre que el sistema sea legal y se haya informado adecuadamente al trabajador. Si la negativa es por motivos de privacidad legítimos (por ejemplo, rechazo a la geolocalización), la empresa debe ofrecer una alternativa.

¿Hay seguros que cubran las sanciones de la AEPD?

Sí, existen pólizas de ciberseguro que incluyen cobertura de sanciones administrativas por protección de datos. Sin embargo, muchas pólizas excluyen las sanciones por incumplimientos deliberados o por negligencia grave. Además, el seguro no cubre la obligación de destruir los datos ni la responsabilidad penal.

¿Puedo usar un sistema de fichaje con selfie?

Sí, siempre que el sistema no realice reconocimiento facial biométrico. Un sistema que simplemente captura una fotografía para que un supervisor la revise visualmente no genera una plantilla biométrica ni compara vectores matemáticos. Sin embargo, la fotografía es un dato personal (no de categoría especial) y debe informarse al trabajador de que se captura y almacena.

¿Qué diferencia hay entre un dato biométrico y un dato personal ordinario?

Un dato personal ordinario (nombre, email, teléfono) identifica a una persona, pero puede ser cambiado. Un dato biométrico (huella dactilar, iris, rostro) identifica a una persona de forma unívoca e inmutable: no puedes cambiar tu huella dactilar si se filtra. Por eso el RGPD otorga a los datos biométricos una protección reforzada (Art. 9) que no se aplica a los datos ordinarios (Art. 6).

¿Qué ocurre si mi proveedor de fichaje cierra o quiebra?

Si el proveedor de tu sistema de fichaje cierra, tienes derecho a obtener una copia de todos tus datos en formato estructurado (Art. 20 RGPD). Es fundamental que el contrato de encargado del tratamiento (Art. 28) incluya una cláusula de devolución o destrucción de datos al finalizar la relación contractual. Antes de contratar, verifica que el proveedor ofrece exportación en formato abierto (CSV, JSON).

¿Los registros de fichaje pueden usarse para calcular horas extra?

Sí, los registros de jornada son el documento principal para acreditar las horas trabajadas, incluidas las horas extraordinarias. De hecho, uno de los objetivos del Real Decreto-ley 8/2019 era precisamente combatir las horas extra no declaradas. Los registros de fichaje tienen fuerza probatoria en procedimientos laborales ante los Juzgados de lo Social.

¿Qué requisitos técnicos debe cumplir un sistema de fichaje para la ITSS?

La Inspección de Trabajo exige que los registros sean: (a) accesibles de forma inmediata durante la inspección, (b) íntegros (que no puedan ser manipulados retroactivamente), (c) completos (hora de inicio y fin de cada trabajador cada día), y (d) conservados durante 4 años. Un sistema digital con hash criptográfico por registro cumple estos requisitos de forma óptima.

¿Se puede fichar por cuenta de un compañero en un sistema digital?

Es posible pero detectable. En un sistema de PIN, un compañero podría conocer el PIN de otro. En un sistema de QR dinámico, la ventana de tiempo es tan corta (30 segundos) que la suplantación es prácticamente imposible. En una app móvil, el fichaje queda vinculado al dispositivo personal. Las medidas de detección de anomalías (fichajes desde IPs distintas, tiempos imposibles) reducen aún más el riesgo.

15. Referencias y fuentes

1. AEPD (2023). Guía sobre tratamientos de control de presencia mediante sistemas biométricos. PDF. Acceso: 20 marzo 2026.

2. Reglamento (UE) 2016/679 (RGPD). Reglamento General de Protección de Datos. Artículos 5, 6, 7, 9, 13, 14, 17, 22, 25, 28, 35, 36, 37, 83. EUR-Lex.

3. Ley Orgánica 3/2018, de 5 de diciembre (LOPD-GDD). Protección de Datos Personales y garantía de los derechos digitales. BOE núm. 294, de 6 de diciembre de 2018. BOE.

4. Real Decreto Legislativo 2/2015, de 23 de octubre (Estatuto de los Trabajadores). Artículo 34.9. BOE.

5. Real Decreto-ley 8/2019, de 8 de marzo. Medidas urgentes de protección social y de lucha contra la precariedad laboral en la jornada de trabajo. BOE.

6. Ley 10/2021, de 9 de julio (trabajo a distancia). Artículos 7, 17, 18. BOE.

7. Comité Europeo de Protección de Datos (CEPD) (2022). Directrices 05/2022 sobre el uso de la tecnología de reconocimiento facial en el ámbito de la aplicación de la ley. EDPB.

8. AEPD (2021). Guía sobre la protección de datos en las relaciones laborales. PDF.

9. AEPD (2019). Listas de tipos de tratamientos de datos que requieren evaluación de impacto relativa a protección de datos (Art. 35.4 RGPD). AEPD.

10. Xataka (2024). «Una empresa ha sido multada con 365.000 euros por usar la huella dactilar de sus empleados para fichar». Enlace.

11. Iberley (2024). «La guía de la AEPD sobre biométricos y su impacto en el fichaje laboral». Enlace.

12. El Economista (2024). «La AEPD prohíbe fichar con huella dactilar: alternativas para las empresas». Enlace.

13. INCIBE (2025). Balance de ciberseguridad 2025. 122.223 ciberincidentes gestionados. INCIBE.

14. CEPYME (2025). Informe sobre digitalización y protección de datos en la PYME española. Encuesta a 2.500 empresas.

15. Constitución Española (1978). Artículo 18 (derecho a la intimidad, inviolabilidad del domicilio). BOE.

16. Ley Orgánica 6/1985, de 1 de julio (LOPJ). Artículo 11 (nulidad de prueba obtenida con violación de derechos fundamentales). BOE.

17. Real Decreto Legislativo 5/2000, de 4 de agosto (LISOS). Artículos 4, 7.5. BOE.

18. NIST (2020). SP 800-88 Rev. 1: Guidelines for Media Sanitization. NIST.

19. CNIL (2023). Délibération n° 2023-029 sur l’utilisation de la biométrie dans le cadre professionnel. Autoridad francesa de protección de datos.

20. Garante per la protezione dei dati personali (2024). Provvedimento sull’uso dei sistemi biometrici nei luoghi di lavoro. Autoridad italiana de protección de datos.

21. NIST (2023). Face Recognition Vendor Test (FRVT): Demographic Effects. Informe sobre sesgos en reconocimiento facial.

22. Confilegal (2024). «Fichar con huella dactilar: la AEPD pone fin a una práctica habitual en las empresas españolas».

23. AEPD (2025). Memoria anual de actividad 2024. Resoluciones sancionadoras en materia laboral.

24. CGPJ (2025). Estadísticas de la jurisdicción contencioso-administrativa. Tasa de confirmación de sanciones AEPD ante la Audiencia Nacional.

25. Daltico (2026). Daltico Equipo: sistema de fichaje digital sin biometría. Web.

26. IEEE Transactions on Information Forensics and Security (2023). «Reconstruction of Fingerprint Templates from Minutiae-Based Representations». Vol. 18, págs. 1234-1248.

27. Sage HR (2024). Informe sobre digitalización del registro de jornada en España. Encuesta a 1.800 empresas.

28. Kronos/UKG (2024). Workforce Management Trends: Biometric Migration Impact Study. Análisis de 5.000 empresas en 12 países.

29. TEDH (2017). Caso Bǎrbulescu contra Rumanía. Gran Sala, Sentencia de 5 de septiembre de 2017. Demanda n.º 61496/08.

30. TEDH (2019). Caso López Ribalda y otros contra España. Gran Sala, Sentencia de 17 de octubre de 2019. Demandas n.º 1874/13 y 8567/13.

31. Autoriteit Persoonsgegevens (2024). Besluit boeteoplegging biometrische gegevens distributiecentrum. Autoridad de protección de datos de los Países Bajos.

32. Ministerio de Trabajo y Economía Social (2026). Anteproyecto de ley de registro de jornada digital. En fase de consulta pública.

Resumen final: la prohibición de la biometría para el fichaje laboral no es una posibilidad futura, sino una realidad presente. La AEPD ya ha sancionado con 365.000 euros y seguirá haciéndolo. Las alternativas existen, son más baratas y cumplen con la ley. El momento de migrar es ahora.

Glosario de términos clave:

Artículo actualizado el 21 de marzo de 2026. La información contenida en este artículo tiene carácter informativo y no constituye asesoramiento jurídico. Para casos específicos, consulte con un abogado especializado en protección de datos y con un perito informático forense que pueda evaluar su sistema de fichaje.