Reconocimiento facial y datos biométricos: privacidad, riesgos y protección de datos

La proliferación de tecnologías que identifican o reconocen a las personas mediante características físicas —como el rostro— ha puesto de manifiesto un debate social, legal y tecnológico en torno a la protección de datos personales.

En España, el uso de sistemas de reconocimiento facial y otros procedimientos biométricos está sujeto a un marco normativo muy estricto, especialmente cuando se trata de identificar a personas de forma única.

Aquí analizamos:

Cómo se regula el reconocimiento facial.

Qué significa tratar datos biométricos.

Los criterios de la Agencia Española de Protección de Datos (AEPD).

Por qué su uso para el control horario de empleados presenta desafíos legales significativos.

¿Qué son los datos biométricos?

El Reglamento General de Protección de Datos (RGPD) considera los datos biométricos como datos personales de categoría especial cuando se utilizan para identificar de manera unívoca a una persona física a través de características físicas, fisiológicas o conductuales.

Los datos biométricos son especialmente sensibles porque:

Identifican de forma única a una persona.
No pueden modificarse si se filtran (a diferencia de una contraseña).
Su uso puede implicar riesgos significativos para los derechos fundamentales si no se justifica debidamente.

Ejemplos de datos biométricos:

Huellas
dactilares

Reconocimiento facial

Escaneo del iris o retina

Reconocimiento de voz

Geometría de la mano

Forma de escribir o teclear (biometría conductual)

El reconocimiento facial bajo la lupa normativa

Tratamiento de datos biométricos: prohibición general y excepciones

Según el artículo 9 del RGPD, el tratamiento de datos biométricos está prohibido por defecto salvo que exista una base legal clara y una de las excepciones legales del propio reglamento.

El tratamiento solo será lícito si concurre alguna de las excepciones del artículo 9.2 RGPD:

Consentimiento explícito

Debe ser libre, informado, específico e inequívoco.

Cumplimiento de obligaciones legales o interés público esencial

Cuando una norma con rango de ley lo autorice, por ejemplo:

Seguridad pública
Control de fronteras

Intereses vitales

Para proteger la vida o integridad física de una persona en situaciones de emergencia.

Ámbito laboral y seguridad social

Solo cuando:

Lo autorice una norma
Sea necesario
Y se respeten garantías reforzadas

En España, la AEPD ha sido muy clara sobre este punto en su guía sobre tratamientos de control de presencia mediante sistemas biométricos:

Los datos biométricos utilizados para identificar o autenticar a una persona personal son de alto riesgo y requieren justificación reforzada.

La mera obtención del consentimiento de la persona no suele ser suficiente para legitimar un sistema automatizado de reconocimiento facial, porque en contextos laborales dicho consentimiento puede no ser verdaderamente libre.

Sanciones por incumplir el RGPD y ejemplos en España

Sanciones relevantes de la AEPD

AENA

Uno de los casos más significativos ha sido la multa de más de 10 millones de euros impuesta a Aena por la implantación de sistemas de reconocimiento facial para el embarque de pasajeros en aeropuertos, sin contar con un análisis de impacto acorde con el RGPD, ni demostrar que su uso era estrictamente necesario frente a alternativas menos intrusivas. Además, la AEPD ordenó la suspensión temporal del tratamiento de datos biométricos hasta que se realicen evaluaciones y medidas correctoras.

LALIGA

Otro ejemplo significativo es el de LaLiga, que fue sancionada con un millón de euros por el uso de sistemas biométricos para el control de acceso en estadios de fútbol.

En este caso, la autoridad apreció una falta de proporcionalidad, al considerar que la recogida masiva de datos faciales no era necesaria para la finalidad perseguida

MERCADONA

En el ámbito del comercio minorista, la empresa Mercadona recibió una multa de 2,5 millones de euros por utilizar reconocimiento facial para identificar a personas con antecedentes de hurto. La AEPD concluyó que la medida no estaba justificada por un interés público suficiente y suponía un tratamiento excesivo de datos personales.

EN EL ENTERNO LABORAL

También se han producido sanciones en el entorno laboral. Una empresa española fue multada con 365.000 euros por obligar a sus empleados a fichar mediante huella dactilar sin contar con un consentimiento válido ni ofrecer alternativas menos intrusivas. Este tipo de prácticas es especialmente sensible, ya que el consentimiento en relaciones laborales rara vez se considera plenamente libre.

EN EL ÁMBITO EDUCATIVO

En el ámbito educativo, varias universidades han sido sancionadas por el uso de sistemas de proctoring (permite vigilar al estudiante a través de su dispositivo mediante cámara web, micrófono, pantalla o análisis de comportamiento) que incorporaban reconocimiento facial durante exámenes en línea. Destacan los casos de la Universidad Internacional de Valencia (VIU), con una multa de 650.000 euros, y la Universitat Oberta de Catalunya (UOC), sancionada con 20.000 euros. En ambos casos, se cuestionó la proporcionalidad y la base jurídica del tratamiento.

Estas resoluciones demuestran cómo la administración de datos biométricos sin cumplir los requisitos puede suponer graves consecuencias económicas y operativas para cualquier organización.

En conclusión, la tendencia en España es clara: el uso de datos biométricos se considera de alto riesgo por defecto, y su implementación exige una justificación rigurosa.

Las sanciones crecientes reflejan una mayor vigilancia por parte de la AEPD y envían un mensaje claro a las organizaciones: la innovación tecnológica no puede desarrollarse al margen del respeto a los derechos fundamentales en materia de protección de datos.

El control horario con reconocimiento facial: ¿es legal?

Una de las aplicaciones más debatidas del reconocimiento facial ha sido su uso para el registro de la jornada laboral.

Prohibición en la práctica

Según los criterios de la AEPD, no es legal utilizar el reconocimiento facial (ni otros datos biométricos, como huellas dactilares) para el control horario de empleados en la mayoría de los casos. Esto se debe a que:

El RGPD clasifica estos datos como de categoría especial, lo que exige que concurran circunstancias muy específicas para su tratamiento.
El consentimiento del trabajador no es suficiente en el ámbito laboral, porque puede no ser libre ni informada en situaciones de jerarquía laboral.
Existen métodos menos intrusivos y proporcionados para el control de presencia (tarjetas, códigos, huellas no biométricas, etc.), que hacen que el uso de datos biométricos sea desproporcionado.

Criterios de necesidad y proporcionalidad

La AEPD examina la exigencia de idoneidad, necesidad y proporcionalidad comparando el uso de la biometría con alternativas. Si el sistema supone un riesgo elevado para la privacidad y existen opciones menos agresivas, el tratamiento puede considerarse ilegal. Esta interpretación sigue los criterios del Comité Europeo de Protección de Datos recogidos en la guía de la AEPD.

Jurisprudencia reciente

Un ejemplo reciente es la sentencia del Tribunal Superior de Justicia de Galicia, donde se condenó a una empresa a pagar más de 50.000€ por imponer a una trabajadora el fichaje mediante reconocimiento facial sin justificación y en contra de su voluntad, vulnerando su derecho a la protección de datos y a la propia imagen.

Alternativas legales al reconocimiento facial

Dada la restricción en el uso de tecnología biométrica para el registro de jornada, las empresas deben buscar soluciones que cumplan con la normativa y protejan la privacidad, tales como:

Sistemas de fichaje con tarjetas electrónicas, códigos personales o PIN.
Control de presencia basado en aplicaciones que no procesen datos biométricos.
Métodos que permitan verificar identidad sin almacenar datos sensibles, como fotos temporales no analizadas por algoritmos.

Estas alternativas permiten cumplir con las obligaciones laborales sin incurrir en tratamientos de alto riesgo para la privacidad.

Recomendaciones para empresas y responsables de datos

Para cualquier organización que esté valorando la implantación de tecnologías de reconocimiento facial o similares, es fundamental:

Realizar una evaluación de riesgos completo.
Explorar y documentar alternativas menos intrusivas.
Consultar con expertos en protección de datos antes de implantar sistemas biométricos.
Revisar regularmente las políticas de privacidad y formación al personal.

Implementar estas medidas no solo evita sanciones, sino que también fortalece la confianza de clientes, empleados y usuarios frente al uso responsable de datos personales.

Conclusión

El reconocimiento facial y otros sistemas biométricos abren la puerta a importantes avances tecnológicos, pero también implican riesgos relevantes que las organizaciones no pueden permitirse ignorar.

En España, el marco normativo es especialmente exigente: no basta con implementar la tecnología, sino que es imprescindible hacerlo con una base jurídica sólida, criterios de proporcionalidad y un análisis riguroso del impacto en la privacidad.

En ámbitos como el laboral, estas limitaciones son aún más estrictas, lo que convierte cualquier decisión en materia biométrica en un reto legal y estratégico

Timecheck Grupo System control horario de los trabajadores

En este contexto, contar con el apoyo de especialistas marca la diferencia. La consultoría de protección de datos de System Centros de Formación ofrece a empresas y organizaciones el acompañamiento necesario para implantar soluciones tecnológicas de forma segura, legal y eficiente.

Desde el análisis de riesgos hasta la adaptación normativa, su enfoque práctico permite transformar una obligación legal en una verdadera ventaja estratégica.

MÁS INFORMACIÓN