La biometría se ha convertido en una de las tecnologías más utilizadas para el control horario de trabajadores, especialmente mediante la huella digital o el reconocimiento facial. Sin embargo, el marco jurídico que regula su uso es complejo y restrictivo. La Agencia Española de Protección de Datos (AEPD), en su Guía sobre tratamientos de control de presencia mediante sistemas biométricos (noviembre de 2023), considera que este tipo de datos pertenece a las categorías especiales del artículo 9 del RGPD, lo que implica que su tratamiento solo es lícito en circunstancias excepcionales, justificadas y documentadas mediante una Evaluación de Impacto en Protección de Datos (EIPD).
Pero más allá de la licitud general del uso de biometría, existe una distinción jurídica y técnica crucial que condiciona la responsabilidad de las empresas y los fabricantes de software: la diferencia entre almacenar los datos biométricos en un repositorio centralizado (gestionado por la empresa o el proveedor del software) o mantenerlos localmente en el smartphone del trabajador, bajo su control exclusivo. Esta elección arquitectónica cambia por completo el régimen jurídico aplicable, la carga de cumplimiento y las medidas de seguridad que deben implantarse.
La obligación de registrar la jornada y la libertad tecnológica
El artículo 34.9 del Estatuto de los Trabajadores, incorporado por el Real Decreto-ley 8/2019, establece que todas las empresas deben garantizar un registro diario de la jornada laboral, conservando los datos durante cuatro años y asegurando que estén disponibles para los trabajadores y la Inspección de Trabajo. Sin embargo, la ley no exige el uso de un medio concreto, por lo que la empresa puede elegir entre múltiples opciones siempre que el sistema sea fiable, inalterable y trazable.
Desde el punto de vista legal, el registro horario se configura como una obligación del empresario, no del trabajador. Por ello, la responsabilidad última del cumplimiento y de la protección de los datos recae siempre en la empresa, aunque esta externalice el desarrollo o mantenimiento del software. Los fabricantes de aplicaciones de fichaje, por tanto, deben diseñar sus sistemas conforme al principio de privacidad desde el diseño y por defecto (artículo 25 RGPD) y garantizar que la solución elegida minimiza los riesgos de tratamiento indebido.
Biometría en repositorios centralizados: alto riesgo y responsabilidad ampliada
Cuando los datos biométricos —por ejemplo, las plantillas de huellas o rostros— se almacenan en un repositorio centralizado, ya sea en servidores propios de la empresa o en la nube gestionada por el proveedor del software, se configura un tratamiento de datos sensibles a gran escala. En este escenario, tanto la empresa usuaria como el desarrollador del software adquieren responsabilidades significativas:
- Tratamiento de categorías especiales de datos (artículo 9 RGPD): el sistema gestiona plantillas biométricas que identifican a personas de forma única, lo que obliga a disponer de una base jurídica sólida, generalmente vinculada a una norma legal o a un convenio colectivo.
- Evaluación de Impacto obligatoria (artículo 35 RGPD): la EIPD debe evaluar riesgos de acceso indebido, fuga de información, falsificación o reutilización de datos biométricos.
- Medidas de seguridad reforzadas (artículo 32 RGPD): cifrado AES-256 o superior, seudonimización, control de accesos basado en roles, registro de logs inmutables (WORM o blockchain), segregación de entornos y gestión segura de claves criptográficas (HSM).
- Contrato de encargado del tratamiento (artículo 28 RGPD): el proveedor del software debe firmar acuerdos con cada cliente, asumiendo obligaciones de seguridad, confidencialidad y notificación de incidentes.
- Cumplimiento ENS y NIS2: si el proveedor ofrece el servicio en modo SaaS o lo presta a administraciones o sectores críticos, debe aplicar medidas equivalentes a las exigidas en el Esquema Nacional de Seguridad y en la Directiva NIS2, garantizando ciberresiliencia, trazabilidad y recuperación ante incidentes.
Desde el punto de vista de la AEPD, este modelo presenta un riesgo alto e injustificado en la mayoría de los casos, ya que existen alternativas menos intrusivas. Además, aumenta la superficie de exposición ante ciberataques y amplía las consecuencias jurídicas de una brecha de seguridad: una filtración en un repositorio centralizado que contenga plantillas biométricas puede constituir una infracción grave o muy grave, sancionable con multas de hasta 20 millones de euros o el 4 % de la facturación global anual (artículo 83 RGPD).
Biometría local en el dispositivo del trabajador: minimización y control individual
El modelo alternativo, cada vez más promovido por los auditores y expertos en privacidad, consiste en realizar el tratamiento biométrico de forma local en el dispositivo del trabajador (por ejemplo, en su smartphone o en un lector controlado por el empleado). En este caso, la huella o el rostro nunca salen del dispositivo: se utilizan únicamente para generar una autenticación o un token que confirma la identidad, sin transmitir la plantilla biométrica a ningún servidor.
Este enfoque, conocido como on-device processing, tiene importantes implicaciones jurídicas:
- No hay transferencia ni tratamiento centralizado del dato biométrico. El sistema solo trata metadatos de autenticación (hashes o tokens), por lo que el dato biométrico en sí nunca se almacena ni se procesa fuera del dispositivo.
- El trabajador mantiene el control. La identificación se realiza bajo su dominio y consentimiento implícito, cumpliendo el principio de minimización y reduciendo el riesgo de acceso por terceros.
- No se requiere Evaluación de Impacto formal si no hay base de datos biométrica. El riesgo residual es bajo, ya que el tratamiento se limita al dispositivo y el empleador solo recibe evidencias de fichaje.
- El proveedor del software deja de ser encargado del tratamiento de datos biométricos. Solo gestiona datos laborales ordinarios (hora, ubicación, token), lo que simplifica sus obligaciones RGPD y ENS.
En la práctica, este modelo es mucho más compatible con el RGPD, el principio de proporcionalidad y la doctrina de la AEPD. La agencia subraya que, cuando sea posible, el tratamiento biométrico debe realizarse en el entorno local del usuario y no en infraestructuras centralizadas.
Diferencias en la responsabilidad jurídica del fabricante de software
Desde el punto de vista del desarrollador o proveedor del software de control horario, la diferencia entre ambos modelos determina su nivel de exposición legal y técnica. En el modelo centralizado, el proveedor se convierte en encargado del tratamiento de datos sensibles, con obligaciones específicas en materia de seguridad, auditorías, contratos y notificación de brechas. En cambio, en el modelo local, su papel se limita a facilitar la herramienta técnica, sin acceder ni custodiar datos biométricos, lo que reduce drásticamente su responsabilidad.
Además, bajo el modelo centralizado, el proveedor está obligado a implantar controles ENS, auditorías externas, registros de actividad y medidas de continuidad del negocio (copias seguras, redundancia, monitorización). En el modelo local, basta con garantizar la integridad del canal de comunicación (TLS 1.3, tokenización, timestamping), lo que simplifica enormemente la carga técnica y de cumplimiento.
Por ello, los expertos en derecho tecnológico coinciden en que el futuro del control horario pasa por modelos distribuidos y descentralizados, donde la biometría, si se utiliza, se procese y almacene bajo control del trabajador. Este paradigma no solo es más seguro desde el punto de vista de la privacidad, sino también más eficiente en términos de cumplimiento normativo, ya que evita la mayoría de los riesgos asociados al tratamiento masivo de datos sensibles.
Cómo ayudamos a las empresas desde Legal Auditors
En Legal Auditors asesoramos tanto a las empresas usuarias como a los desarrolladores de software en la implementación de soluciones de registro horario que cumplan los tres pilares fundamentales: seguridad jurídica, protección de datos y conformidad técnica. Analizamos la arquitectura del sistema, evaluamos la proporcionalidad del uso de biometría y diseñamos los controles necesarios para garantizar el cumplimiento del RGPD, el ENS y la Directiva NIS2.
Nuestro equipo ayuda a los desarrolladores a documentar correctamente sus Evaluaciones de Impacto, redactar contratos de encargado del tratamiento y definir políticas de privacidad desde el diseño. También emitimos certificaciones privadas de conformidad legal y técnica, que acreditan que el sistema cumple con los principios de integridad, trazabilidad, minimización y seguridad exigidos por la AEPD.
Desde la perspectiva de la empresa usuaria, ayudamos a implantar sistemas híbridos o locales que minimicen el tratamiento de datos biométricos, estableciendo protocolos claros de información, consentimiento, conservación y revocación. De esta forma, logramos que el control horario sea un proceso eficiente y jurídicamente blindado, reduciendo la exposición a sanciones y fortaleciendo la cultura de cumplimiento dentro de la organización.
Conclusión
La biometría en el control horario no está prohibida, pero sí extremadamente regulada. El modelo de almacenamiento de los datos —centralizado o local— marca la diferencia entre un tratamiento de alto riesgo y uno compatible con el RGPD. Mientras el primero multiplica la responsabilidad y la complejidad técnica, el segundo refuerza la privacidad y reduce la exposición legal.
En Legal Auditors promovemos soluciones que priorizan el principio de minimización y la privacidad desde el diseño, asegurando que tanto las empresas como los desarrolladores operen dentro de un marco de legalidad, transparencia y seguridad tecnológica. Solo con un enfoque jurídico y técnico equilibrado es posible convertir el registro horario biométrico en una herramienta útil, segura y conforme a derecho.
Contacta con nosotros y le ofreceremos nuestro servicio técnico-legal de auditoría, asesoramiento y certificación en este formulario.
