Protección de datos y uso de biometría en el ámbito laboral: análisis de una resolución judicial clave

Puntos clave de la Sentencia

La Sentencia analiza la conformidad jurídica del uso de sistemas biométricos, concretamente la identificación mediante huella dactilar, para el registro de la jornada laboral y el control de acceso en un hospital privado. El Comité de Empresa y la organización sindical demandante alegaban vulneración de derechos fundamentales —intimidad, salud y libertad sindical— y solicitaban la retirada del sistema, su sustitución por métodos alternativos y el abono de una indemnización.

El tribunal desestima la demanda y concluye que el sistema implantado cumple con los principios de licitud, necesidad y proporcionalidad exigidos por la normativa aplicable en materia de protección de datos. En particular, la resolución destaca los siguientes aspectos:

• No se almacena la imagen completa de la huella: de acuerdo con las características del sistema, únicamente se conserva una plantilla biométrica parcial, cifrada y generada mediante algoritmos que impiden la reconstrucción de la huella original. Este mecanismo refuerza el cumplimiento del principio de minimización de datos previsto en el artículo 5.1.c del RGPD, al limitar el tratamiento a la información estrictamente necesaria para la finalidad perseguida.
• Se habían realizado evaluaciones y analizado los riesgos: el hospital llevó a cabo varias Evaluaciones de Impacto en Protección de Datos (EIPD), tanto en la fase previa como posterior a la implantación del sistema biométrico. Estas evaluaciones incluyeron un análisis detallado de la idoneidad, necesidad y proporcionalidad del tratamiento, así como la identificación y mitigación de los riesgos asociados. El tribunal valoró positivamente este extremo, destacando que la organización adoptó medidas para garantizar la seguridad y minimizar el impacto sobre los derechos de los trabajadores.
• Se cumplió con el deber de información: consta acreditado que los trabajadores y sus representantes legales fueron informados de la implantación y funcionamiento del sistema biométrico. Esta comunicación se realizó mediante reuniones del Comité de Empresa, cláusulas contractuales específicas y a través del portal del empleado, donde se detallaron las características del tratamiento, su finalidad y las garantías aplicadas. Con ello, se asegura el cumplimiento de los principios de transparencia y del derecho a la información previstos en los artículos 12 y 13 del RGPD.
• Base de legitimación reforzada: el tribunal considera que el sistema biométrico cuenta con una base de legitimación reforzada. Fundamenta la licitud del tratamiento de datos biométricos en el artículo 9.2.i) del RGPD, al entender que concurren razones de interés público en el ámbito sanitario, así como en la normativa sobre protección de infraestructuras críticas. Adicionalmente, la sentencia hace referencia al Reglamento de Inteligencia Artificial (AI Act), argumentando que la verificación biométrica presencial presenta un nivel de riesgo bajo o incluso inexistente para los derechos y libertades de los interesados.

Asimismo, el tribunal subraya que el hospital implementó medidas de seguridad avanzadas, entre ellas el cifrado de la información, la eliminación automática de los datos en caso de manipulación del dispositivo y el registro de eventos conforme a las exigencias del RGPD.

Conflicto con el RGPD y los criterios de la Agencia Española de Protección de Datos (AEPD)

Aunque el tribunal ha considerado lícito el tratamiento biométrico en el contexto hospitalario, su argumentación presenta discrepancias sustanciales respecto del criterio consolidado de la AEPD, que mantiene una interpretación más restrictiva sobre el uso de datos biométricos en el ámbito laboral. Entre los principales puntos de conflicto cabe destacar:

• Naturaleza de los datos tratados: la AEPD considera que la plantilla biométrica constituye un dato personal y, cuando se emplea para identificar o autenticar a una persona física, se califica como dato biométrico perteneciente a una categoría especial conforme a los artículos 4.14 y 9.1 del RGPD. El hecho de que la plantilla no permita reconstruir la imagen completa de la huella dactilar no modifica esta calificación, dado que el elemento determinante es la finalidad del tratamiento, esto es, la identificación o autenticación del individuo.
• Prohibición del art. 9.1 RGPD: en el ámbito del registro de jornada y control de acceso con fines laborales, la AEPD sostiene que, en la actualidad, no existe en España una norma con rango de ley que habilite expresamente el uso de datos biométricos conforme al artículo 9.2.b) del RGPD. Asimismo, el consentimiento del trabajador no se considera una base jurídica válida, debido al desequilibrio inherente a la relación laboral y a la disponibilidad de métodos alternativos menos intrusivos. En consecuencia, el tratamiento de datos biométricos no supera el juicio de necesidad salvo en supuestos excepcionales, que deben acreditarse de manera estricta y sectorial.
• Sobre la aplicación del artículo 9.2.i) del RGPD: el artículo 9.2.i) del RGPD permite el tratamiento de categorías especiales de datos por razones de interés público en el ámbito de la salud pública, siempre que exista una base normativa en el Derecho de la Unión o de los Estados miembros y se apliquen garantías específicas. No obstante, un sistema de fichaje horario —incluso en un hospital— no se encuadra automáticamente en esta excepción, ya que su finalidad principal es laboral y no sanitaria. Actualmente no existe habilitación legal específica que autorice el control horario biométrico por motivos de salud pública, circunstancia que la AEPD subraya de forma reiterada al advertir la ausencia de base legal en el ámbito laboral.
• Realización de una Evaluación de Impacto (EIPD): si bien la normativa laboral obliga a las empresas a llevar un registro diario de la jornada, no impone la utilización de un sistema específico: pueden emplearse tarjetas, aplicaciones móviles o terminales, siempre que garanticen fiabilidad y objetividad. Ello no implica que el uso de datos biométricos esté automáticamente permitido. La AEPD sostiene que este tipo de tratamiento únicamente resulta admisible cuando se acredita que no existe una alternativa menos intrusiva y se ha realizado una EIPD con resultado favorable, aplicando además medidas de seguridad reforzadas. Las sanciones impuestas recientemente por sistemas de fichaje basados en huella dactilar confirman que el criterio actual es especialmente restrictivo.
• Sobre AI Act y el riesgo de los sistemas biométricos: el Reglamento (UE) 2024/1689 (AI Act) no califica automáticamente como “bajo riesgo” la verificación biométrica presencial utilizada para el control horario. Su objeto principal es prohibir o regular prácticas de alto riesgo, como la identificación biométrica remota en espacios públicos, y establecer obligaciones diferenciadas según categorías de riesgo. Por tanto, la afirmación judicial de que la verificación no remota implica “riesgo bajo o inexistente” no se desprende del texto del AI Act ni de su sistema de clasificación.

Conclusiones alcanzadas

Si bien esta sentencia aporta un criterio relevante al considerar legítimo el uso de sistemas biométricos en entornos sanitarios, siempre que se apliquen medidas técnicas robustas y se realicen EIPD que acrediten su proporcionalidad, la interpretación del tribunal genera cierta incertidumbre. 

El juzgado fundamenta la licitud en el artículo 9.2 del RGPD y lo refuerza con referencias al AI Act, pese a que actualmente no existe una norma española que habilite expresamente el uso de biometría para el control horario, posición que ha venido estableciendo la AEPD, y en donde se exige una base legal específica para el tratamiento de datos biométricos en el ámbito laboral, considerando insuficiente el consentimiento del trabajador dado el desequilibrio inherente en la relación laboral, lo que puede derivar en inseguridad jurídica.

Además, conviene aclarar que la excepción del artículo 9.2.i del RGPD —relativa al interés público en salud pública— es aplicable únicamente a entidades del sector sanitario y no puede extrapolarse, per se, a organizaciones de otros ámbitos, donde el uso de biometría para control horario podría carecer de cobertura legal suficiente.

En consecuencia, cabe destacar que la sentencia ofrece argumentos defensivos ante el uso de este tipo de sistemas, siendo prioritario para minorar el riesgo de sanción administrativa, que las entidades cuenten con asesoramiento jurídico especializado para valorar todas las alternativas disponibles y regularizar de forma adecuada si se opta por biometría, documentando exhaustivamente la necesidad, proporcionalidad y garantías aplicadas. 

Nota informativa elaborada por el área de Protección de Datos de ECIJA Madrid.