Si tu empresa ficha con huella dactilar, tienes un problema legal. En noviembre de 2023 la Agencia Española de Protección de Datos publicó la Guía sobre tratamientos de control de presencia mediante sistemas biométricos, y desde entonces el fichaje por huella se considera en la mayoría de casos desproporcionado y por tanto no conforme al RGPD.
Qué cambió con la guía de la AEPD
La AEPD no prohíbe de forma absoluta el uso de datos biométricos, pero los clasifica como categoría especial bajo el Art. 9 del RGPD. Eso implica que su tratamiento requiere:
- Una base jurídica más exigente que el interés legítimo: normalmente el consentimiento explícito o una obligación legal específica.
- Una evaluación de impacto (DPIA) previa al despliegue, documentada y archivada.
- Justificación de la proporcionalidad: la huella solo es legítima si no existe una alternativa menos invasiva.
El problema es que, para un fichaje laboral, casi siempre existe una alternativa menos invasiva (app móvil, PIN, QR, NFC). Por tanto, la AEPD considera que la huella es desproporcionada y sanciona a quien la use sin justificación sólida.
Sanciones reales
La AEPD ha impuesto multas significativas a empresas que usaban huella para control horario sin base jurídica suficiente. Entre 2023 y 2025, se han publicado resoluciones con sanciones que van desde los 20.000 € hasta los 365.000 € en los casos más graves.
Las sanciones se acumulan con las del tramo grave de la LISOS por incumplimiento del registro horario si, además, el sistema biométrico no cumple con la fiabilidad requerida (timestamp del servidor, audit log, conservación 4 años).
Alternativas legales al fichaje biométrico
La AEPD considera proporcionadas estas alternativas para el control horario en pymes:
- App móvil con PIN o identificación de usuario: el trabajador se identifica en el dispositivo con sus credenciales. No hay dato biométrico.
- Código QR personal: cada empleado escanea su QR único al fichar.
- NFC con tarjeta identificativa: el empleado pasa su tarjeta por el lector.
- App con geolocalización: el trabajador ficha desde su móvil y el GPS valida la ubicación. Ideal para equipos que trabajan fuera.
Jornal9 usa la combinación de app móvil con identificación de usuario + GPS, sin datos biométricos. Cumple con la AEPD y con los requisitos del RDL 8/2019.
Qué hacer si ya usas huella
Tres pasos antes de que la Inspección o una denuncia te alcance:
- Haz una evaluación de impacto (DPIA) del sistema biométrico actual. Si no puedes justificar la proporcionalidad, es señal de que debes cambiar.
- Migra a un sistema alternativo antes de seis meses. La AEPD suele ser laxa con empresas que demuestran intención de migrar.
- Borra de forma segura los datos biométricos archivados, dejando constancia documental del borrado. Los registros históricos de fichajes pueden conservarse (son horas, no huellas).
Preguntas frecuentes
¿Y si mis trabajadores firman consentimiento explícito? No es suficiente. El consentimiento en relación laboral está condicionado por la posición de dependencia y puede ser cuestionado por la AEPD. Además, el trabajador puede retirar el consentimiento en cualquier momento.
¿Puedo usar reconocimiento facial en lugar de huella? Es también dato biométrico de categoría especial. Mismo régimen jurídico, misma cuestión de proporcionalidad. Solo es legítimo si no existe alternativa menos invasiva.
¿Qué pasa con los relojes de fichaje biométricos que ya tengo comprados? Puedes usarlos con tarjeta NFC o PIN (sin huella) como método alternativo. El hardware no es el problema; el dato biométrico sí. Hablar con el proveedor para desactivar el módulo biométrico.
Si tu empresa todavía ficha con huella, estás en zona de riesgo. Migra a un sistema legal y barato antes de que la AEPD o la Inspección te alcancen. Jornal9 desde 80 €/año, sin IVA, sin permanencia.