En un mundo cada vez más digitalizado, donde el reconocimiento facial o la huella dactilar son prácticas comunes en accesos laborales, fichajes o servicios bancarios, la Agencia Española de Protección de Datos (AEPD) ha lanzado recientemente una advertencia contundente: el uso de datos biométricos solo puede justificarse en contextos muy específicos y con garantías reforzadas.
El motivo es claro: los datos biométricos, como la voz, la retina o las huellas, son datos personales de especial sensibilidad, cuya exposición o uso indebido podría tener consecuencias irreversibles para la privacidad de los ciudadanos.
¿Qué ha cambiado?
A finales de mayo de 2025, la AEPD publicó un informe técnico donde recalca que las empresas que utilicen sistemas de reconocimiento biométrico deberán justificar su uso con un análisis de riesgos y una evaluación de impacto (EIPD), de acuerdo con lo establecido en el Reglamento General de Protección de Datos (RGPD).
Además, se aclara que el consentimiento del trabajador, por sí solo, no es una base legal suficiente si el uso de estos sistemas no es proporcional ni necesario. Es decir, no se puede usar la huella o la cara “por comodidad” si hay otras formas menos intrusivas de controlar accesos o fichajes.
¿Qué deben hacer las empresas?
Las compañías que ya utilizan sistemas de control biométrico o que planean implantarlos deben ponerse manos a la obra y tener en cuenta los siguientes aspectos:
- Revisar su base jurídica: ¿Es realmente necesario utilizar datos biométricos?
- Realizar una EIPD: Obligatoria si el tratamiento entraña alto riesgo.
- Implantar medidas técnicas y organizativas adecuadas: cifrado, acceso limitado, sistemas seguros.
- Informar de forma clara y transparente: tanto a empleados como a clientes.
Posibles sanciones
La AEPD ha dejado claro que el incumplimiento de estas obligaciones puede acarrear sanciones que oscilan entre los 100.000 y los 10 millones de euros, dependiendo de la gravedad del caso y el volumen de datos tratados. De hecho, en los últimos meses ya se han sancionado a varias empresas por implementar sistemas de control horario con huella sin justificación suficiente.
¿Y qué pasa con los colegios, gimnasios o comunidades de vecinos?
El informe también menciona otros contextos donde el uso de biometría está siendo cada vez más común, como los accesos a gimnasios, portales comunitarios o centros escolares. La advertencia es la misma: cualquier sistema que registre datos biométricos requiere garantías reforzadas. No basta con el consentimiento tácito de los usuarios.
Es importante tener en cuenta que en un momento en el que la tecnología avanza más rápido que la regulación, la protección de los datos personales se convierte en un elemento clave de la confianza digital. Este recordatorio de la AEPD no solo obliga a las empresas a adaptarse, sino que también invita a repensar cómo usamos la tecnología sin vulnerar derechos fundamentales.
Como siempre, el equilibrio entre innovación y privacidad sigue siendo el gran reto.
Por: Hector Bernal
DPO
