Si la teva empresa fitxa amb empremta dactilar, tens un problema legal. El novembre de 2023 l'Agència Espanyola de Protecció de Dades va publicar la Guia sobre tractaments de control de presència mitjançant sistemes biomètrics, i des d'aleshores el fitxatge per empremta es considera en la majoria de casos desproporcionat i per tant no conforme al RGPD.
Què va canviar amb la guia de l'AEPD
L'AEPD no prohibeix de manera absoluta l'ús de dades biomètriques, però les classifica com a categoria especial sota l'Art. 9 del RGPD. Això implica que el seu tractament requereix:
- Una base jurídica més exigent que l'interès legítim: normalment el consentiment explícit o una obligació legal específica.
- Una avaluació d'impacte (DPIA) prèvia al desplegament, documentada i arxivada.
- Justificació de la proporcionalitat: l'empremta només és legítima si no existeix una alternativa menys invasiva.
El problema és que, per a un fitxatge laboral, gairebé sempre hi ha una alternativa menys invasiva (app mòbil, PIN, QR, NFC). Per tant, l'AEPD considera que l'empremta és desproporcionada i sanciona qui la fa servir sense justificació sòlida.
Sancions reals
L'AEPD ha imposat multes significatives a empreses que feien servir empremta per a control horari sense base jurídica suficient. Entre 2023 i 2025, s'han publicat resolucions amb sancions que van des dels 20.000 € fins als 365.000 € en els casos més greus.
Les sancions s'acumulen amb les del tram greu de la LISOS per incompliment del registre horari si, a més, el sistema biomètric no compleix amb la fiabilitat requerida (timestamp del servidor, audit log, conservació 4 anys).
Alternatives legals al fitxatge biomètric
L'AEPD considera proporcionades aquestes alternatives per al control horari a pimes:
- App mòbil amb PIN o identificació d'usuari: el treballador s'identifica al dispositiu amb les seves credencials. No hi ha dada biomètrica.
- Codi QR personal: cada empleat escaneja el seu QR únic en fitxar.
- NFC amb targeta identificativa: l'empleat passa la seva targeta pel lector.
- App amb geolocalització: el treballador fitxa des del mòbil i el GPS valida la ubicació. Ideal per a equips que treballen fora.
Jornal9 fa servir la combinació d'app mòbil amb identificació d'usuari + GPS, sense dades biomètriques. Compleix amb l'AEPD i amb els requisits del RDL 8/2019.
Què fer si ja uses empremta
Tres passos abans que la Inspecció o una denúncia t'atrapi:
- Fes una avaluació d'impacte (DPIA) del sistema biomètric actual. Si no pots justificar la proporcionalitat, és senyal que has de canviar.
- Migra a un sistema alternatiu abans de sis mesos. L'AEPD sol ser laxa amb empreses que demostren intenció de migrar.
- Esborra de manera segura les dades biomètriques arxivades, deixant constància documental de l'esborrat. Els registres històrics de fitxatges es poden conservar (són hores, no empremtes).
Preguntes freqüents
I si els meus treballadors signen consentiment explícit? No és suficient. El consentiment en relació laboral està condicionat per la posició de dependència i pot ser qüestionat per l'AEPD. A més, el treballador pot retirar el consentiment en qualsevol moment.
Puc fer servir reconeixement facial en lloc d'empremta? També és dada biomètrica de categoria especial. Mateix règim jurídic, mateixa qüestió de proporcionalitat. Només és legítim si no hi ha alternativa menys invasiva.
Què passa amb els rellotges de fitxatge biomètrics que ja tinc comprats? Els pots fer servir amb targeta NFC o PIN (sense empremta) com a mètode alternatiu. El maquinari no és el problema; la dada biomètrica sí. Parlar amb el proveïdor per desactivar el mòdul biomètric.
Si la teva empresa encara fitxa amb empremta, estàs en zona de risc. Migra a un sistema legal i barat abans que l'AEPD o la Inspecció t'atrapin. Jornal9 des de 80 €/any, sense IVA, sense permanència.