En breve: Fichar con huella dactilar o reconocimiento facial es, en la mayoría de los casos, contrario al RGPD, y lo es desde el criterio que fijó la AEPD en noviembre de 2023 (no es una novedad de 2026). Cuando la huella o la cara se usan para identificar de forma unívoca al trabajador al fichar, son datos de categoría especial (art. 9 RGPD); como no hay una ley que habilite ese uso para el control horario y el consentimiento del trabajador no se considera libre, normalmente no hay base legal válida. La alternativa segura es fichar desde el móvil, la web o por WhatsApp/Telegram, sin tratar datos biométricos.
Durante años, el terminal de huella en la entrada fue el símbolo del control horario «serio». Hoy ese mismo terminal es uno de los mayores riesgos de sanción que puede tener una empresa. El giro lo provocó la Agencia Española de Protección de Datos (AEPD) en noviembre de 2023, las primeras multas grandes llegaron en 2024, y muchas empresas todavía no se han enterado. Vamos a explicarlo claro, con la normativa en la mano y sin alarmismo.
Qué cambió: la Guía de la AEPD sobre biometría (noviembre de 2023)
El 23 de noviembre de 2023, la AEPD publicó su Guía sobre tratamientos de control de presencia mediante sistemas biométricos. Ese documento cambió de raíz la interpretación que se venía haciendo en España y dejó dos ideas muy claras:
- Cuando la huella dactilar, el reconocimiento facial, el iris o la voz se tratan para identificar de manera unívoca a una persona —que es justo lo que ocurre al fichar—, son datos biométricos de categoría especial (artículo 9 del RGPD), igual que los datos de salud. Aunque solo se guarde una «plantilla» matemática (un hash) y no la imagen o la huella en bruto, sigue siendo categoría especial.
- Tratar datos de categoría especial está prohibido por defecto, salvo que se aplique una excepción del artículo 9.2 del RGPD. Y la AEPD sostiene que la obligación de registrar la jornada (art. 34.9 ET) no constituye por sí sola una habilitación específica para usar biometría, y que en el control horario ordinario normalmente no es necesaria existiendo medios menos intrusivos.
El error más común: «es que mis empleados firman un consentimiento»
La salida que muchas empresas intentaron fue pedir el consentimiento del trabajador. Con carácter general, no es una vía válida en el ámbito laboral para este fin. La AEPD y el Comité Europeo de Protección de Datos (CEPD) sostienen que, en una relación laboral, el consentimiento rara vez es libre: existe una asimetría evidente entre empresa y empleado, y un trabajador no consiente realmente algo que le pide quien le paga la nómina. Para fichar con biometría, en la práctica, la AEPD lo rechaza.
Sin habilitación legal específica y sin consentimiento válido, a la huella para el control horario ordinario le quedan muy pocas vías legales. A esto se suma que, por su alto riesgo, este tratamiento suele exigir además una Evaluación de Impacto en Protección de Datos (EIPD, art. 35 RGPD) previa.
No es teoría: una multa de 365.000 €
En 2024, la AEPD sancionó a la empresa CTC Externalización con 365.000 € (resolución PS/00395/2023) por utilizar la huella dactilar de sus empleados para el control horario sin una base legal suficiente. Es una de las sanciones más altas publicadas en España por fichaje biométrico, y deja claro que la AEPD no se ha quedado en la teoría: está sancionando.
Conviene no confundir dos normativas que van por separado pero se suman:
- Registro de jornada (art. 34.9 ET / RDL 8/2019): estás obligado a registrar la jornada de toda la plantilla. No hacerlo es infracción grave (art. 7.5 LISOS), sancionable con multa de 751 € a 7.500 € por empresa (art. 40.1.b LISOS).
- Protección de datos (RGPD / LOPDGDD): el cómo registras esa jornada también importa. Si lo haces con biometría sin base legal, te expones además a sanciones de la AEPD que, como ves, pueden ser muy superiores.
Dicho de otro modo: la huella no solo ya no es la opción cómoda, es la que más caro puede salir.
Entonces, ¿qué sistemas de fichaje SÍ son legales hoy?
La clave es simple: fichar sin tratar datos biométricos. Hay varias formas perfectamente válidas siempre que el sistema sea fiable, verificable y con garantías frente a manipulaciones, y que los registros se conserven a disposición de la Inspección durante 4 años (art. 34.9 ET):
- Fichaje desde el móvil del empleado. Si se usa geolocalización, debe cumplir estrictamente el principio de proporcionalidad y el derecho a la intimidad, especialmente si es el móvil personal del trabajador.
- Fichaje por navegador web con usuario y contraseña.
- Fichaje por WhatsApp o Telegram, enviando un mensaje a un sistema que sella la hora y la conserva.
- Tarjeta, PIN o código personal.
Ninguno de estos métodos identifica a la persona por una característica física: identifican por algo que sabe (contraseña/PIN) o algo que tiene (su móvil), no por algo que es. Por eso no entran en el terreno de la categoría especial del artículo 9. Eso sí: el uso de WhatsApp/Telegram o de la geolocalización no implica biometría, pero sí exige cuidar el resto del RGPD (información a la plantilla, minimización, seguridad, roles de responsable/encargado y posibles transferencias internacionales), y ofrecerse como opción y no como imposición sobre el dispositivo personal.
Cómo lo resuelve FicharConMovil
FicharConMovil está diseñado para cumplir el registro de jornada sin tocar datos biométricos. Tus empleados fichan desde su propio móvil, por la web o por WhatsApp/Telegram; el sistema guarda un registro con fecha, hora y trazabilidad, con garantías frente a manipulaciones y exportable a PDF para la Inspección de Trabajo, y los datos se conservan en servidores en la Unión Europea conforme al RGPD.
Resultado: cumples el RDL 8/2019 y eliminas el riesgo específico asociado al tratamiento de biometría (art. 9 RGPD), manteniendo —como cualquier sistema— las obligaciones generales de protección de datos. Sin terminales que comprar, sin huellas que custodiar y sin la multa que llega cuando alguien revisa qué dato estabas tratando.
Si quieres ver más sobre el marco legal y las sanciones, te interesan estos artículos: qué multas impone la Inspección de Trabajo por no llevar el registro, qué exige hoy la ley de registro horario y cómo funciona el fichaje por WhatsApp y Telegram.
Preguntas frecuentes
¿Está prohibido fichar con huella dactilar en España?
No hay una prohibición expresa «huella sí / huella no», pero el efecto práctico se le parece: la AEPD considera la huella un dato de categoría especial y, al no existir una ley que habilite su uso para el control horario ni servir el consentimiento del trabajador como base legal, en la mayoría de los casos fichar con huella vulnera el RGPD.
¿Y el reconocimiento facial?
Mismo criterio. El reconocimiento facial es un dato biométrico de categoría especial igual que la huella, así que se le aplican exactamente las mismas limitaciones.
¿Sirve que el trabajador firme un consentimiento?
No. En la relación laboral el consentimiento no se considera libre (hay asimetría entre empresa y empleado), por lo que no es una base jurídica válida para tratar la biometría con este fin.
¿Qué alternativa legal puedo usar?
Cualquier sistema que registre la jornada sin biometría: móvil, web, WhatsApp/Telegram, tarjeta o PIN. FicharConMovil permite fichar por todos esos medios cumpliendo el RDL 8/2019 y sin tratar datos de categoría especial.
