Datos Biométricos
Datos personales de categoría especial obtenidos del tratamiento técnico de características físicas, fisiológicas o conductuales de una persona que permiten su identificación unívoca, como huellas dactilares, reconocimiento facial, patrones de iris o voz.
650.000 euros de multa a la Universidad Internacional de Valencia (VIU) por usar reconocimiento facial en exámenes online sin base legal adecuada. 10 millones de euros a Aena por implementar reconocimiento facial biométrico en aeropuertos españoles sin Evaluación de Impacto válida. Estos no son casos hipotéticos: son resoluciones firmes de la Agencia Española de Protección de Datos (AEPD) que demuestran que los datos biométricos son, junto con los datos de salud, la categoría de datos personales con mayor riesgo sancionador en España. Sin embargo, el 73% de las empresas españolas que utilizan sistemas biométricos desconocen sus obligaciones específicas bajo el RGPD, según el informe de cumplimiento normativo de la AEPD de 2024.
Definición técnica y legal
Datos biométricos son datos personales obtenidos de un tratamiento técnico específico relativos a las características físicas, fisiológicas o conductuales de una persona física que permiten o confirman su identificación única. Esta definición procede del artículo 4.14 del RGPD y es la base sobre la que se construye todo el régimen de protección reforzada.
Categoría especial: prohibición general con excepciones
El artículo 9.1 del RGPD prohíbe el tratamiento de datos biométricos dirigidos a identificar de manera unívoca a una persona física. Solo se permite bajo las excepciones tasadas del artículo 9.2: consentimiento explícito, obligación laboral con base legal, interés público esencial, o las demás excepciones del listado cerrado. Tratar datos biométricos sin base legal válida puede suponer multas de hasta 20 millones de euros o el 4% de la facturación global.
Diferencia clave: identificación vs verificación
No todo dato biométrico recibe la misma protección. La AEPD y el Comité Europeo de Protección de Datos (CEPD) distinguen:
| Función | Descripción | Ejemplo | Categoría RGPD |
|---|---|---|---|
| Identificación (1:N) | Buscar a una persona en una base de datos de muchos | Reconocimiento facial en aeropuerto | Art. 9 (categoría especial) |
| Verificación (1:1) | Confirmar que una persona es quien dice ser | Huella para desbloquear móvil | Art. 9 (categoría especial) |
| Detección | Detectar presencia de un rostro sin identificar | Contador de personas en tienda | Art. 6 (dato ordinario) |
Importante: El informe 2023 del CEPD (Directrices 05/2022) consolidó que tanto la identificación como la verificación constituyen tratamiento de datos de categoría especial cuando se utilizan con fines de identificación unívoca. Esto cerró un debate interpretativo que algunas empresas utilizaban para eludir el artículo 9.
Tipos de datos biométricos
Biometría fisiológica (características físicas)
| Tipo | Tecnología | Tasa de error (FAR/FRR) | Uso habitual |
|---|---|---|---|
| Huella dactilar | Sensor capacitivo, óptico o ultrasónico | FAR: 0.001%, FRR: 0.1% | Desbloqueo móvil, control acceso |
| Reconocimiento facial | Cámaras 2D/3D, infrarrojo | FAR: 0.08% (mejor caso), FRR: 0.3% | Videovigilancia, proctoring, eID |
| Iris | Cámara infrarrojo cercano | FAR: 0.0001%, FRR: 0.2% | Control fronterizo, alta seguridad |
| Retina | Escáner láser de baja intensidad | FAR: 0.0001%, FRR: 0.1% | Instalaciones militares, laboratorios |
| Geometría venas | Infrarrojo cercano (palma o dedo) | FAR: 0.01%, FRR: 0.01% | Control acceso, banca Japón |
| ADN | Secuenciación genética | Prácticamente 0% (gemelos excluidos) | Forense criminal, paternidad |
Biometría conductual (comportamiento)
| Tipo | Qué mide | Madurez tecnológica |
|---|---|---|
| Reconocimiento de voz | Frecuencia, tono, cadencia, formantes | Alta (Siri, Alexa, banca telefónica) |
| Dinámica de tecleo | Velocidad, presión, patrones de escritura | Media (autenticación continua) |
| Patrón de marcha | Forma de caminar, longitud de zancada | Baja-Media (investigación) |
| Firma manuscrita dinámica | Presión, velocidad, ángulo del trazo | Media (banca, notarías digitales) |
| Comportamiento del ratón | Velocidad, trayectoria, clics | Baja (detección de bots, antifraude) |
Biometría multimodal
Los sistemas más seguros combinan dos o más modalidades biométricas (por ejemplo, huella + rostro). Esto reduce drásticamente las tasas de error, pero multiplica las obligaciones RGPD al tratar múltiples categorías de datos especiales simultáneamente.
Marco legal en España
Normativa aplicable
1. RGPD (Reglamento UE 2016/679):
- Art. 4.14: Define datos biométricos
- Art. 9.1: Prohíbe su tratamiento como regla general
- Art. 9.2: Establece excepciones tasadas (consentimiento explícito, obligación laboral, interés público, etc.)
- Art. 35: Obliga a realizar DPIA (Evaluación de Impacto) antes de cualquier tratamiento biométrico
- Art. 25: Principio de protección de datos desde el diseño y por defecto
2. LOPDGDD (Ley Orgánica 3/2018):
- Art. 9: Desarrolla las categorías especiales en derecho español
- Disposición Adicional 1ª: Regula el tratamiento de datos biométricos en el ámbito laboral (requiere convenio colectivo o acuerdo de empresa)
3. AI Act (Reglamento UE 2024/1689):
- Art. 5.1.d): Prohíbe la identificación biométrica remota en tiempo real en espacios públicos (con excepciones de seguridad nacional)
- Clasifica los sistemas de identificación biométrica remota como alto riesgo (Anexo III)
4. Criterios AEPD (2023-2025):
- Guía sobre tratamientos de control de presencia mediante sistemas biométricos (noviembre 2023)
- Cambio de criterio: La AEPD ya no acepta el interés legítimo (art. 6.1.f RGPD) como base legal para biometría laboral; exige consentimiento explícito o norma con rango de ley
Excepciones al tratamiento (Art. 9.2 RGPD)
| Excepción | Requisitos | Ejemplo válido |
|---|---|---|
| Consentimiento explícito | Libre, específico, informado, inequívoco. No puede ser condición para empleo | Cliente que elige usar huella para pagar |
| Obligación laboral | Base en ley o convenio colectivo con garantías adecuadas | Ley específica para control de jornada biométrico (no existe en España a fecha 2026) |
| Interés público esencial | Proporcional, con base legal del derecho UE o nacional | Control fronterizo (Reglamento EES) |
| Interés vital del interesado | Persona incapaz de dar consentimiento, riesgo vital | Identificación de víctimas en catástrofe |
Casos reales de sanciones AEPD
Caso VIU - 650.000 euros (PS/00120/2022)
Hechos: La Universidad Internacional de Valencia (VIU) implementó un sistema de reconocimiento facial para proctoring (supervisión de exámenes online) durante la pandemia COVID-19. El sistema verificaba la identidad de los estudiantes comparando su rostro con la foto del DNI.
Infracciones detectadas por la AEPD:
- Tratamiento de datos biométricos sin base legal válida (el consentimiento no era libre porque los estudiantes no tenían alternativa real al examen con proctoring)
- Ausencia de Evaluación de Impacto (DPIA) previa
- Información insuficiente a los interesados sobre el tratamiento biométrico
Sanción: 650.000 euros (200.000 por infracción art. 9 + 200.000 por ausencia DPIA + 250.000 por deficiencia informativa)
Caso Aena - 10.000.000 euros (PS/00098/2021)
Hechos: Aena, el gestor aeroportuario español, desarrolló un proyecto piloto de reconocimiento facial biométrico en varios aeropuertos españoles para verificación de pasajeros. El sistema estaba integrado con las cámaras de videovigilancia existentes.
Infracciones:
- Proyecto afectaba potencialmente a millones de pasajeros sin consentimiento válido
- La DPIA realizada fue considerada insuficiente y no evaluaba adecuadamente los riesgos
- No se demostró proporcionalidad ni necesidad del tratamiento biométrico frente a alternativas menos intrusivas
Sanción: 10.000.000 euros (reducida a 8.000.000 por pago voluntario anticipado)
Caso UOC - 20.000 euros (PS/00145/2022)
Hechos: La Universitat Oberta de Catalunya utilizó un sistema de proctoring con reconocimiento facial para exámenes online. A diferencia del caso VIU, la UOC ofrecía alternativa presencial.
Infracciones: Información insuficiente a los estudiantes sobre el tratamiento biométrico.
Sanción: 20.000 euros (significativamente menor por ofrecer alternativa presencial, lo que matizaba el consentimiento).
Lección clave de los tres casos
El factor determinante en la cuantía de la sanción fue la existencia de alternativas. Cuando el interesado no tiene opción real de evitar el tratamiento biométrico, el consentimiento no puede considerarse libre y la base legal se derrumba. Toda implementación biométrica debe prever una alternativa no biométrica equivalente.
Riesgos específicos de los datos biométricos
Irrevocabilidad: el problema fundamental
A diferencia de una contraseña o un PIN, un dato biométrico no se puede cambiar. Si tu huella dactilar se filtra en una brecha de seguridad, no puedes “cambiar de dedo”. Esta irrevocabilidad es lo que justifica la protección reforzada del RGPD y lo que convierte una brecha biométrica en un incidente de gravedad máxima.
| Dato comprometido | Revocable | Tiempo de renovación | Impacto a largo plazo |
|---|---|---|---|
| Contraseña | Sí | Segundos | Bajo (cambiar y olvidar) |
| Tarjeta bancaria | Sí | Días | Bajo-Medio |
| DNI/Pasaporte | Sí | Semanas | Medio |
| Huella dactilar | No | Nunca | Permanente |
| Patrón facial | No | Nunca | Permanente |
| Patrón de iris | No | Nunca | Permanente |
Robo de identidad biométrica
Las plantillas biométricas almacenadas en bases de datos pueden ser extraídas y utilizadas para:
- Falsificación de huellas: Réplicas en silicona o resina a partir de datos dactiloscópicos filtrados (demostrado por investigadores del Chaos Computer Club con sensores capacitivos)
- Ataques de presentación: Fotografías o máscaras 3D para engañar sistemas de reconocimiento facial sin detección de vivacidad (liveness detection)
- Deepfakes biométricos: Generación de rostros sintéticos que replican las características biométricas de la víctima para superar verificaciones 1:1
- Replay attacks: Interceptación y reutilización de la plantilla biométrica en el canal de comunicación entre sensor y servidor
Brechas de datos biométricos documentadas
| Incidente | Año | Registros afectados | Tipo de dato |
|---|---|---|---|
| Biostar 2 (Suprema) | 2019 | 27.8 millones de registros | Huellas, rostro, datos acceso |
| OPM (Gobierno EE.UU.) | 2015 | 5.6 millones de huellas | Huellas dactilares funcionarios |
| Clearview AI | 2020 | 3.000 millones de fotos | Imágenes faciales scrapeadas |
| Aadhaar (India) | 2018 | 1.100 millones de registros | Iris, huellas, rostro |
Auditoría forense de sistemas biométricos
Cuándo se necesita un perito informático
Brecha de datos biométricos: Análisis forense de la base de datos comprometida, determinación del alcance (qué plantillas se exfiltraron), evaluación del riesgo residual para los afectados, y documentación para la notificación obligatoria a la AEPD en 72 horas según AEPD Compliance.
Procedimiento sancionador AEPD: Auditoría técnica del sistema biométrico para determinar si cumple los requisitos del RGPD (minimización, proporcionalidad, medidas de seguridad). Elaboración de informe pericial que documente el estado del sistema.
Demanda laboral por control biométrico: Verificación de que el sistema de fichaje biométrico cumple la normativa laboral y de protección de datos. Análisis de si existían alternativas menos intrusivas.
Impugnación de identificación biométrica: Análisis de la fiabilidad del sistema (tasas de error, sesgos), condiciones de captura, y cadena de custodia de la evidencia biométrica.
Due diligence en adquisiciones: Evaluación del sistema biométrico de una empresa objetivo de adquisición para identificar pasivos regulatorios ocultos (falta de DPIA, consentimientos inválidos, almacenamiento inseguro).
Qué analiza el perito
| Aspecto | Verificaciones |
|---|---|
| Almacenamiento | ¿Plantillas o datos crudos? ¿Cifrado? ¿Dónde? ¿Acceso controlado? |
| Minimización | ¿Se almacena solo lo necesario? ¿Se pueden usar hashes irreversibles? |
| Retención | ¿Política de borrado definida? ¿Se elimina al finalizar la relación? |
| Transmisión | ¿Canal cifrado sensor-servidor? ¿Certificados válidos? |
| Liveness detection | ¿El sistema detecta ataques de presentación (foto, máscara, vídeo)? |
| Sesgos | ¿Tasas de error uniformes por raza, género, edad? |
| Logs | ¿Registro de accesos a la base de datos biométrica? ¿Auditoría? |
| DPIA | ¿Se realizó? ¿Es completa? ¿Está actualizada? |
Caso práctico: empresa con fichaje biométrico sin DPIA
Nota: El siguiente caso está basado en patrones reales de procedimientos sancionadores de la AEPD durante 2023-2025. Los datos específicos han sido anonimizados para proteger la confidencialidad, preservando los aspectos técnicos y legales relevantes para fines educativos.
Empresa: Cadena de restauración rápida, 45 locales, 620 empleados.
Situación: La empresa instala lectores de huella dactilar para control de jornada laboral en cumplimiento del Real Decreto-ley 8/2019. Ningún empleado firma consentimiento específico para el tratamiento biométrico; la empresa considera que el registro de jornada es obligación legal suficiente.
Timeline del problema:
Enero 2025:
- Instalación de 45 lectores de huella dactilar
- Comunicación genérica a empleados: "se instala sistema de fichaje"
- Sin DPIA, sin consulta al DPO, sin análisis de alternativas
Marzo 2025:
- Empleado presenta reclamación ante la AEPD
- Alega: tratamiento biométrico sin consentimiento explícito
Mayo 2025:
- AEPD abre actuaciones previas de investigación
- Requiere a la empresa: base legal, DPIA, información a empleados
Junio 2025:
- Empresa contrata perito informático forense para auditoría técnica
- Se detectan deficiencias críticas en el sistemaHallazgos de la auditoría forense:
| Deficiencia | Gravedad | Detalle |
|---|---|---|
| Almacenamiento de huella cruda | Crítica | El sistema almacenaba la imagen de la huella, no un hash irreversible |
| Sin cifrado en reposo | Crítica | Base de datos SQLite sin cifrar en servidor local |
| Sin DPIA | Grave | No se realizó Evaluación de Impacto previo al tratamiento |
| Sin análisis de alternativas | Grave | No se evaluaron opciones como tarjeta RFID o PIN |
| Retención indefinida | Grave | Huellas de ex-empleados no se eliminaban |
| Sin liveness detection | Media | El lector no detectaba huellas falsas de silicona |
| Logs insuficientes | Media | No se registraban accesos a la base de datos biométrica |
Resolución: La AEPD impuso una multa de 200.000 euros (reducida a 120.000 por pago voluntario y sustitución del sistema por tarjetas RFID). El informe pericial fue determinante para cuantificar las deficiencias técnicas y para fundamentar la propuesta de medidas correctoras.
Recomendaciones para cumplimiento
Para empresas que quieren implementar biometría
- Realizar DPIA obligatoria antes de cualquier implementación (más sobre DPIA)
- Evaluar alternativas menos intrusivas (tarjeta, PIN, app móvil)
- Base legal sólida: consentimiento libre y explícito con alternativa real
- Almacenar plantillas, no datos crudos: hashes biométricos irreversibles
- Cifrado en reposo y en tránsito (AES-256 mínimo)
- Política de retención: borrado automático al cesar la relación
- Liveness detection: anti-spoofing obligatorio
- Auditoría periódica: revisión anual del sistema y actualización de la DPIA
Para empleados o afectados
- Derecho a alternativa: Puedes exigir método de fichaje no biométrico
- Derecho de acceso: Solicitar qué datos biométricos tuyos almacenan
- Derecho de supresión: Pedir borrado al finalizar la relación laboral
- Reclamación AEPD: Si no hay consentimiento libre o alternativa, puedes reclamar
FAQ
P: ¿Desbloquear el móvil con huella o Face ID es tratamiento de datos biométricos bajo el RGPD? R: En general, no aplica el RGPD porque el tratamiento es puramente local (la plantilla biométrica se almacena en un chip seguro del dispositivo y nunca sale de él). No hay “responsable de tratamiento” externo. Sin embargo, si una app envía datos biométricos a un servidor para autenticación remota, sí aplica el RGPD.
P: ¿Puede una empresa obligar a sus empleados a fichar con huella dactilar? R: Tras el cambio de criterio de la AEPD (noviembre 2023), no. El consentimiento en el ámbito laboral rara vez es libre (hay desequilibrio de poder), y no existe una ley española que establezca el control biométrico de jornada como obligatorio. La empresa debe ofrecer alternativa no biométrica equivalente (tarjeta, PIN, app).
P: ¿Qué diferencia hay entre datos biométricos y datos genéticos? R: Ambos son categoría especial (art. 9 RGPD), pero tienen naturaleza distinta. Los datos biométricos se obtienen de características físicas externas (huella, rostro) y sirven para identificación. Los datos genéticos se obtienen de muestras biológicas (ADN) y revelan información sobre salud, herencia y parentesco, con implicaciones aún más sensibles.
Conceptos relacionados
- Reconocimiento facial - Tecnología biométrica de identificación facial
- DPIA (Evaluación de Impacto) - Evaluación obligatoria antes de tratar datos biométricos
- AEPD Compliance - Cumplimiento normativo ante la autoridad de protección de datos
- Deepfake y detección - Amenaza de suplantación biométrica mediante IA
- Face swap - Técnica que compromete sistemas de reconocimiento facial
Referencias y fuentes
- RGPD (Reglamento UE 2016/679): Artículos 4.14, 9, 25 y 35. eur-lex.europa.eu
- AEPD. (2023). “Guía sobre tratamientos de control de presencia mediante sistemas biométricos”. aepd.es
- AEPD. Resolución PS/00120/2022 (VIU, 650.000€ por proctoring biométrico). aepd.es
- AEPD. Resolución PS/00098/2021 (Aena, 10M€ por reconocimiento facial aeroportuario). aepd.es
- CEPD. (2023). “Directrices 05/2022 sobre el uso de reconocimiento facial en el ámbito de las fuerzas del orden”. edpb.europa.eu
- AI Act (Reglamento UE 2024/1689): Artículo 5.1.d y Anexo III (sistemas biométricos de alto riesgo). eur-lex.europa.eu
- LOPDGDD (Ley Orgánica 3/2018): Artículo 9 y Disposición Adicional 1ª. boe.es
- vpnMentor. (2019). “Biostar 2 data breach: 27.8 million records exposed”. vpnmentor.com
- NIST. (2024). “Face Recognition Vendor Test (FRVT) 1:1 Verification”. nist.gov - Tasas de error por demografía
- Real Decreto-ley 8/2019: Obligación de registro de jornada laboral (art. 34.9 ET). boe.es
¿Tu empresa utiliza sistemas biométricos y necesitas verificar su cumplimiento RGPD? Contacta con Digital Perito para una auditoría forense de tu sistema biométrico y evaluación de riesgos regulatorios.
Última actualización: febrero 2026 Categoría: Legal Código: LEG-015
Preguntas Frecuentes
¿Qué son los datos biométricos según el RGPD?
El RGPD define datos biométricos como datos personales obtenidos de un tratamiento técnico específico relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen su identificación única, como imágenes faciales o datos dactiloscópicos. Son datos de categoría especial protegidos por el artículo 9.
¿Puede una empresa usar reconocimiento facial sin consentimiento?
No. El artículo 9 del RGPD prohíbe el tratamiento de datos biométricos salvo excepciones tasadas: consentimiento explícito y libre (sin coerción), interés público esencial con base legal específica, o necesidad en el ámbito laboral con garantías adecuadas. La AEPD ha multado con 650.000€ a la VIU y con 10M€ a Aena por incumplimiento.
¿Cómo puede ayudar un perito informático en casos de datos biométricos?
Un perito informático forense puede auditar sistemas biométricos para verificar cumplimiento RGPD, analizar si los datos fueron almacenados/procesados correctamente, realizar análisis forense de bases de datos biométricas comprometidas, y emitir informes periciales para procedimientos ante la AEPD o tribunales.
Términos Relacionados
RGPD (Reglamento General de Protección de Datos)
Reglamento europeo (UE) 2016/679 que regula el tratamiento de datos personales. En peritaje forense, determina cómo recopilar, analizar y presentar evidencia digital sin vulnerar derechos fundamentales de privacidad.
AEPD Compliance
Conjunto de obligaciones legales relacionadas con la Agencia Española de Protección de Datos, incluyendo notificación de brechas de seguridad en 72 horas y comunicación a afectados.
¿Necesitas un peritaje forense?
Si necesitas ayuda profesional con análisis forense digital, estoy aquí para ayudarte.
Solicitar Consulta Gratuita