Normativa 11 min lectura

¿Es legal fichar con la huella en 2026? Lo que la AEPD prohíbe (y qué usar en su lugar)

9 de julio de 2026

Si en tu empresa se ficha poniendo el dedo en un lector, tienes un problema que no depende de lo bien que funcione el aparato: depende de protección de datos. Desde noviembre de 2023, la Agencia Española de Protección de Datos (AEPD) considera que la huella dactilar es un dato de categoría especial y que usarla para el control horario solo sería legal si una ley lo autoriza expresamente. Esa ley no existe. La consecuencia práctica es contundente: fichar con huella está, con carácter general, vetado, y la AEPD ya ha impuesto multas de cientos de miles de euros. La buena noticia es que cumplir la obligación de registro de jornada no exige biometría en absoluto, y las alternativas legales son más baratas y menos problemáticas.

Qué cambió en noviembre de 2023

Durante años, muchas empresas instalaron lectores de huella para fichar dando por hecho que, con el consentimiento del trabajador, era suficiente. Ese criterio saltó por los aires.

El 23 de noviembre de 2023 la AEPD publicó la Guía sobre tratamientos de control de presencia mediante sistemas biométricos. El documento fija un criterio mucho más restrictivo que el que se aplicaba hasta entonces y, en la práctica, cierra la puerta a la biometría para el control de jornada en la inmensa mayoría de los casos.

El giro tiene dos piezas. La primera es la calificación del dato: la huella —y también el rostro, el iris o la geometría de la mano— pasa a tratarse como dato de categoría especial del artículo 9 del RGPD, tanto si el sistema se usa para identificar (comparar contra toda la plantilla) como para autenticar (verificar que eres quien dices). La segunda es la consecuencia: los datos de categoría especial están sujetos a una prohibición general de tratamiento, que solo se levanta si concurre una de las excepciones tasadas del artículo 9.2 del RGPD.

Y ahí está el nudo del problema para el fichaje.

Por qué el consentimiento del trabajador no salva el sistema

La reacción intuitiva de cualquier empresario es: “pido permiso firmado al empleado y listo”. No funciona, y conviene entender por qué para no cometer el error.

El RGPD exige que el consentimiento sea libre. La AEPD, siguiendo al Comité Europeo de Protección de Datos, sostiene que en la relación laboral existe un desequilibrio de poder entre empresa y trabajador que impide, salvo casos muy excepcionales, considerar ese consentimiento verdaderamente libre. Quien teme por su puesto no está en condiciones de negarse de forma genuina.

Solo se aceptaría el consentimiento como base válida si el trabajador dispone de una alternativa realmente equivalente para fichar y el empleador puede demostrar que la elección se hizo sin presión alguna. Pero si existe una alternativa equivalente y menos intrusiva —y siempre existe—, entonces la biometría deja de ser necesaria, y sin necesidad tampoco hay base para tratarla. El argumento se muerde la cola: el consentimiento no vale, y donde podría valer, ya no hace falta la huella.

La otra vía que tampoco existe: una ley que lo habilite

Descartado el consentimiento, la única excepción del artículo 9.2 que encajaría para el ámbito laboral es la del apartado b): que el tratamiento sea necesario para cumplir obligaciones en materia de Derecho laboral, siempre que lo autorice una norma con rango de ley que establezca garantías adecuadas.

Aquí llega la clave que mucha gente pasa por alto: en España no existe ninguna ley que habilite específicamente el uso de datos biométricos para el control horario. El artículo 34.9 del Estatuto de los Trabajadores obliga a llevar un registro de jornada, sí, pero no dice en ningún sitio que ese registro deba hacerse con la huella ni con el rostro. Obliga a registrar, no a hacerlo de forma biométrica.

Sin ley habilitante y sin consentimiento válido, la prohibición general del artículo 9.1 se mantiene. Traducido: el fichaje biométrico para control de presencia es, con carácter general, ilícito.

¿Cuánto te puede costar una inspección?
Calcula la sanción estimada para tu empresa según el número de empleados y tu situación actual.

Calcula tu riesgo →

Cuánto cuesta el error: multas reales

No es un riesgo teórico. La AEPD ya ha empezado a sancionar.

El caso más citado es el de una empresa multada con 365.000 euros por utilizar lectores de huella dactilar para el control de la jornada de su plantilla. Y no es el único: tras la publicación de la guía, la Agencia abrió varias actuaciones contra empresas que mantenían terminales biométricos de fichaje.

El motivo por el que las cifras son altas es que hablamos de categorías especiales de datos, cuyo tratamiento indebido se sitúa en el tramo más grave del RGPD. Las infracciones muy graves pueden alcanzar los 20 millones de euros o el 4% de la facturación anual global de la empresa, la cantidad que sea mayor. La sanción concreta se gradúa según el número de afectados, la duración, la intencionalidad y si se subsanó, pero el punto de partida ya es serio.

A esto se suma una obligación previa que casi nadie cumplía: por tratarse de un tratamiento de alto riesgo, la biometría exige una Evaluación de Impacto en Protección de Datos (EIPD) antes de implantarse. No haberla hecho es, por sí solo, un incumplimiento adicional.

Qué sistemas sí puedes usar (y cumplen igual el registro)

La pregunta correcta no es “¿cómo legalizo mi lector de huella?”, sino “¿qué sistema cumple el registro de jornada sin tocar datos biométricos?”. Y la lista es amplia:

Sistema¿Trata biometría?Válido para el registro del art. 34.9 ET
PIN o contraseña personalNo
Tarjeta o llavero NFC / RFIDNo
Código QR dinámicoNo
App móvil (usuario y contraseña)No
Fichaje web desde el navegadorNo
Lector de huella dactilarSí (categoría especial)Vetado salvo ley habilitante
Reconocimiento facialSí (categoría especial)Vetado salvo ley habilitante

Todos los sistemas de la mitad superior son objetivos, fiables y accesibles —los tres principios que la doctrina del TJUE exige a cualquier registro de jornada— y, además, son menos intrusivos. Precisamente por eso son los que la AEPD señala como la vía correcta: si puedes cumplir la obligación con un PIN o una app, no hay necesidad que justifique recoger la huella de nadie.

En la práctica, una app de fichaje con usuario y contraseña (y, si acaso, geolocalización puntual del momento del fichaje, que es otro debate distinto al biométrico) cubre lo mismo que cubría el lector de huella: acredita quién ficha, cuándo y desde dónde, con sello temporal y sin posibilidad de alterar el registro a posteriori.

Un matiz importante: el sector público no es lo mismo

Conviene no generalizar de más. La AEPD sí ha admitido el uso de biometría en determinados supuestos del sector público donde existe una habilitación legal específica y una evaluación de proporcionalidad que la respalda. Eso no traslada nada al sector privado ordinario: una pyme, un bar o una fábrica no tienen esa habilitación legal, y por tanto siguen sin poder fichar con huella.

También conviene tener en el radar que el marco europeo se está endureciendo en paralelo: el Reglamento de Inteligencia Artificial de la UE clasifica varios usos de identificación biométrica como de alto riesgo, lo que refuerza la dirección restrictiva. Dicho de otro modo: la tendencia normativa va hacia menos biometría en el entorno laboral, no hacia más.

Ya tengo un lector de huella instalado: qué hacer ahora

Si tu empresa ya ficha con huella o con reconocimiento facial, estos son los pasos concretos, por orden:

Paso 1 — Deja de dar de alta nuevas huellas. Cada nuevo registro biométrico es un tratamiento de categoría especial sin base jurídica. No amplíes el problema.

Paso 2 — Elige el sistema sustituto. App móvil, tarjeta NFC, PIN o fichaje web. Para plantillas con gente en la calle o en varios centros, la app es lo más práctico; para un único centro, tarjeta o PIN bastan.

Paso 3 — Migra y borra las plantillas biométricas. Al retirar el lector, suprime los datos biométricos almacenados (las “plantillas” de huella). Guardarlos “por si acaso” mantiene vivo el riesgo.

Paso 4 — Documenta la decisión. Deja constancia de por qué cambiaste de sistema y de la supresión de los datos. Si alguna vez la AEPD pregunta, la subsanación diligente juega a tu favor.

Paso 5 — Verifica que el nuevo sistema cumple el registro. Que sea no biométrico no basta: también debe garantizar inalterabilidad, trazabilidad de correcciones, conservación de 4 años y acceso para la Inspección. Si quieres profundizar en esos requisitos técnicos, tienes el detalle en la guía sobre qué debe cumplir un software de fichaje.

La clave de todo esto es que no hay contradicción entre cumplir el registro de jornada y respetar protección de datos. La obligación del artículo 34.9 ET se satisface perfectamente sin biometría. El lector de huella nunca fue obligatorio; era, como mucho, una comodidad. Y hoy esa comodidad es un pasivo legal.

Herramientas como Mi Fichaje Legal funcionan sin datos biométricos: identificación por usuario, sello temporal automático, registro inalterable y acceso para la Inspección. No es el único sistema del mercado que lo hace bien, pero el criterio que debes aplicar al elegir es simple: si te piden el dedo o la cara, no lo cumples; si te piden usuario y contraseña, vas por el camino correcto.

¿Tu empresa cumple con el registro de jornada?
Compruébalo en 15 minutos. 30 días gratis, sin tarjeta.

Empieza gratis →

Preguntas frecuentes

Con carácter general, no. Desde la guía de la AEPD de noviembre de 2023, la huella se considera dato de categoría especial (art. 9 RGPD) y su uso para el control horario solo sería lícito si una ley específica lo habilita expresamente. En España no existe esa ley para el fichaje, de modo que en la práctica está vetado salvo supuestos muy excepcionales.

¿No basta con que el trabajador dé su consentimiento?

No. La AEPD considera que, por el desequilibrio de poder inherente a la relación laboral, el consentimiento del trabajador no es una base jurídica válida para tratar datos biométricos. Solo se aceptaría de forma excepcional si el trabajador dispone de una alternativa genuinamente equivalente para fichar y el empleador demuestra que la elección se hizo sin presión.

¿Cuánto puede multar la AEPD por fichar con huella?

Las infracciones sobre categorías especiales de datos están en el tramo más grave del RGPD. La AEPD ha impuesto sanciones de hasta 365.000 euros a empresas que usaban lectores de huella para el control de jornada. En el máximo teórico, las infracciones muy graves pueden alcanzar 20 millones de euros o el 4% de la facturación anual global.

¿Qué sistemas de fichaje sí son legales?

Todos los que no traten datos biométricos: PIN o contraseña personal, tarjeta o llavero NFC, código QR dinámico, app móvil con usuario y contraseña, o fichaje web. Son sistemas objetivos, fiables y menos intrusivos, que cumplen el artículo 34.9 del Estatuto de los Trabajadores sin activar el régimen reforzado del artículo 9 del RGPD.

Ya tengo un lector de huella instalado. ¿Qué hago?

Migrar a un sistema no biométrico cuanto antes, suprimir las plantillas de huella almacenadas y documentar la decisión. Si mantienes el lector, cada empleado registrado es un tratamiento de categoría especial sin base jurídica y expuesto a sanción. Sustituir el terminal por app, tarjeta o PIN elimina el riesgo y sigue cumpliendo la obligación de registro.

¿El reconocimiento facial está en la misma situación que la huella?

Sí. La huella, el reconocimiento facial, el iris o la geometría de la mano son todos datos biométricos de categoría especial cuando se usan para identificar o autenticar a una persona. El criterio de la AEPD sobre el control de presencia es el mismo para todos ellos.

Preguntas frecuentes

¿Es legal fichar con la huella dactilar en el trabajo en 2026?
Con carácter general, no. Desde la guía de la AEPD de noviembre de 2023, la huella se considera dato de categoría especial (art. 9 RGPD) y su uso para el control horario solo sería lícito si una ley específica lo habilita expresamente. En España no existe esa ley para el fichaje, así que en la práctica está vetado salvo casos muy excepcionales.
¿No basta con que el trabajador dé su consentimiento?
No. La AEPD considera que, por el desequilibrio de poder en la relación laboral, el consentimiento del trabajador no es una base jurídica válida para tratar datos biométricos. Solo se aceptaría de forma excepcional si existe una alternativa genuinamente equivalente y el empleador demuestra que no hubo presión.
¿Cuánto puede multar la AEPD por fichar con huella?
Las infracciones del RGPD sobre categorías especiales son de las más graves. La AEPD ha impuesto sanciones de hasta 365.000 euros a empresas que usaban lectores de huella para el control de jornada. Las multas por infracciones muy graves pueden alcanzar 20 millones de euros o el 4% de la facturación global.
¿Qué sistemas de fichaje sí son legales?
Todos los que no traten datos biométricos: PIN o contraseña personal, tarjeta o llavero NFC, código QR dinámico, app móvil con usuario y contraseña, o fichaje web. Son sistemas objetivos, fiables y menos intrusivos, que cumplen el art. 34.9 ET sin activar el régimen del art. 9 RGPD.
Ya tengo un lector de huella instalado. ¿Qué hago?
Migrar a un sistema no biométrico cuanto antes y documentar la decisión. Si mantienes el lector, cada empleado registrado es un tratamiento de categoría especial sin base jurídica, expuesto a sanción. Sustituir el terminal por app, tarjeta o PIN elimina el riesgo y sigue cumpliendo la obligación de registro.
¿El reconocimiento facial está en la misma situación que la huella?
Sí. La huella, el reconocimiento facial, el iris o la geometría de la mano son todos datos biométricos de categoría especial cuando se usan para identificar o autenticar a la persona. El criterio de la AEPD es el mismo para todos ellos en el control de presencia.

Artículos relacionados