No, salvo casos muy excepcionales
No como método ordinario de fichaje. Tras la guía de la AEPD de noviembre de 2023, los datos biométricos (huella o cara) para control de jornada son categoría especial: el consentimiento del trabajador no los legitima y solo se permiten si una norma con rango de ley lo autoriza y superan los test de necesidad y proporcionalidad. En la práctica, hoy están vetados como sistema habitual.
La posición de la AEPD (2023)
La Agencia Española de Protección de Datos considera que fichar con huella o reconocimiento facial implica tratar datos biométricos de categoría especial (art. 9 RGPD). El consentimiento no es base válida en el trabajo por el desequilibrio entre empresa y empleado, así que no basta con que el trabajador "acepte".
Respuesta directa: no, salvo casos muy excepcionales. Desde la guía de la AEPD de noviembre de 2023, fichar con huella dactilar o reconocimiento facial está vetado como método ordinario de control horario. El consentimiento del trabajador no basta: haría falta una norma con rango de ley que lo autorice, algo que hoy no existe para el fichaje común.
Durante años, muchas empresas instalaron terminales de huella o de reconocimiento facial para fichar, convencidas de que pidiendo permiso al empleado quedaban cubiertas. En 2026 esa creencia es un error caro. La Agencia Española de Protección de Datos (AEPD) cerró la puerta a este uso en su guía de noviembre de 2023, y conviene entender bien por qué antes de comprar un solo lector de huellas.
En este artículo te explicamos, con rigor y sin medias verdades, qué dice la normativa sobre la biometría para control de jornada, qué riesgo asumes si la usas y cuál es la alternativa que sí cumple la ley.
¿Es legal fichar con huella dactilar?
No, no como sistema habitual de fichaje. La huella dactilar es un dato biométrico y, cuando se usa para identificar de forma unívoca a una persona, el RGPD lo trata como dato de categoría especial (artículo 9). Estos datos tienen una protección reforzada y su tratamiento está, de partida, prohibido, salvo que se cumpla alguna de las excepciones tasadas de la ley.
El problema es que, para fichar, ninguna de esas excepciones encaja. La que las empresas suelen invocar —el consentimiento del trabajador— no sirve en el contexto laboral, y ahora veremos por qué. Sin una base válida, instalar un lector de huellas para el control horario es un tratamiento ilícito.
Dato clave: la huella no es "ilegal" en abstracto (puede usarse, por ejemplo, para acceder a una zona de alta seguridad con una justificación sólida y una habilitación legal). Lo que está vetado es usarla como método ordinario para registrar la jornada de toda la plantilla.
¿Y el reconocimiento facial?
Exactamente lo mismo. El reconocimiento facial procesa rasgos del rostro para identificarte de forma única, así que también es un dato biométrico de categoría especial. El razonamiento jurídico es idéntico al de la huella: tratamiento prohibido por defecto, el consentimiento no levanta la prohibición y no hay una ley que autorice fichar la cara de los empleados.
Da igual que el sistema sea "sin contacto", que prometa más higiene o que la captura facial dure un segundo. El método sigue siendo desproporcionado para una finalidad —saber a qué hora entras y sales— que se puede cumplir con medios mucho menos invasivos. No es casualidad que algunos proveedores titulen su contenido directamente como "prohibido fichar con huella dactilar": refleja bien hasta qué punto ha cambiado el criterio.
El consentimiento no puede ser la base legal para tratar datos biométricos de los trabajadores: en la relación laboral no es libre, porque hay desequilibrio entre empresa y empleado.
Por qué la biometría es "categoría especial"
La clave está en el artículo 9 del RGPD. Los datos biométricos destinados a identificar de manera unívoca a una persona se consideran una categoría especialmente sensible, junto a los datos de salud, origen racial o afiliación sindical. Su tratamiento parte de una prohibición general, y solo se puede levantar si concurre alguna excepción muy concreta.
Hay tres motivos por los que, para el fichaje, esa prohibición no se levanta:
- El consentimiento no es válido. El RGPD exige que el consentimiento sea libre. La AEPD entiende que, en la relación laboral, el trabajador no está en posición de negarse de verdad (hay un desequilibrio de poder). Por eso el "sí" del empleado no es una base legal sólida.
- Falta una norma con rango de ley. Para tratar datos biométricos de la plantilla haría falta una ley que lo habilite expresamente y que, además, supere los test de necesidad y proporcionalidad. Hoy esa norma específica para el fichaje no existe en España.
- Hay alternativas menos invasivas. Si puedes cumplir el control horario con un PIN, una tarjeta o el móvil, capturar la huella o la cara no supera el principio de proporcionalidad. La biometría debe ser el último recurso, no el primero.
En resumen: la biometría para fichar choca de frente con tres principios del RGPD a la vez —licitud, minimización y proporcionalidad—. Es difícil que cualquier empresa lo justifique para algo tan cotidiano como registrar la jornada.
Qué cambió con la guía de la AEPD de 2023
En noviembre de 2023, la AEPD publicó una guía sobre tratamientos de control de presencia mediante sistemas biométricos que endureció de forma notable su postura. Hasta entonces existía cierta zona gris; a partir de ese documento, el criterio quedó mucho más claro.
La guía sostiene que el uso de biometría para control de presencia y de jornada implica tratar datos de categoría especial del artículo 9, que el consentimiento no es base habilitante en este contexto y que, sin una norma con rango de ley que lo autorice y supere el juicio de proporcionalidad, el tratamiento no está permitido. En la práctica, esto deja fuera de juego los terminales de huella y de reconocimiento facial como método por defecto para fichar.
Posición de la AEPD (guía de noviembre de 2023): los datos biométricos para control de presencia son de categoría especial (art. 9 RGPD); el consentimiento del trabajador no sirve como base legal; se exige una norma con rango de ley que lo habilite y supere los test de necesidad y proporcionalidad. Hoy, en la práctica, la huella y el reconocimiento facial no están permitidos como método ordinario de fichaje.
Por eso, si todavía tienes un lector biométrico funcionando, lo prudente no es "esperar a ver": es migrar a un sistema conforme cuanto antes.
Sanciones y riesgo real para tu empresa
Tratar datos biométricos sin base legal es una infracción del RGPD, y las del artículo 9 están entre las más graves. El marco sancionador contempla multas de hasta 20 millones de euros o el 4% de la facturación anual global, la cifra que sea mayor. Para una pyme, claro, las sanciones reales son muy inferiores, pero pueden alcanzar varias decenas de miles de euros.
Y el riesgo no es solo teórico:
- Una sola denuncia basta. Un empleado descontento, un excompañero o un comité de empresa pueden poner el caso en conocimiento de la AEPD.
- El coste oculto del hardware. Si tienes que retirar los terminales biométricos y migrar deprisa, sumas el dinero ya invertido en lectores que no podrás usar.
- Daño reputacional. Aparecer en una resolución sancionadora por tratar mal los datos de tu propia plantilla no ayuda a tu marca como empleador.
La buena noticia es que evitar todo esto es sencillo y barato: basta con elegir un método de fichaje que no toque datos biométricos.
La alternativa legal: fichar desde el móvil
La forma más segura y conforme de cumplir con el registro horario obligatorio es un sistema de fichaje desde el móvil, la tablet o el navegador, sin huella ni cara. Cada empleado se identifica con su usuario y contraseña, ficha su entrada, salida y pausas, y la empresa obtiene un registro inalterable y exportable para la Inspección de Trabajo.
Esto es justo lo que hace Fichados: no usa ningún dato biométrico. La identificación se basa en credenciales, no en tu cuerpo, así que evitas de raíz el problema del artículo 9. Y si tu actividad requiere comprobar que el empleado ficha desde el centro de trabajo, puedes activar la geolocalización opcional, que es lícita siempre que sea proporcional, informada y limitada a la jornada. Te contamos cómo funciona la geolocalización al fichar en el blog de Fichados.
Para que lo tengas de un vistazo, este es el veredicto legal de cada método de fichaje:
- Huella dactilar. Dato biométrico de categoría especial (art. 9 RGPD). No permitido como método ordinario tras la guía de la AEPD de 2023.
- Reconocimiento facial. Igualmente dato biométrico de categoría especial (art. 9 RGPD). No permitido como método ordinario tras la guía de la AEPD de 2023.
- Móvil o navegador con usuario y contraseña. No trata datos biométricos. Legal y suficiente como método ordinario de fichaje.
- Geolocalización opcional al fichar. Es un dato de ubicación, no biométrico. Lícita con condiciones: proporcional, informada, limitada a la jornada y sin rastreo continuo fuera del horario.
Resumen práctico: si quieres cumplir sin sustos, olvídate de la huella y la cara. Un fichaje basado en credenciales desde el móvil o el navegador es legal, suficiente y mucho más cómodo de desplegar en toda la plantilla.
Además, un sistema digital te resuelve de paso el resto de obligaciones: panel en tiempo real, control de ausencias y vacaciones, informes en PDF y Excel para una inspección y conservación de los registros durante más de cuatro años. Todo lo que pide la ley, sin tocar datos sensibles.
Cumple con el registro horario sin riesgos legales ni terminales biométricos. Prueba Fichados gratis y empieza a fichar desde el móvil en cinco minutos.
Evita sanciones de hasta 187.515 €. Sin permanencia.
Preguntas frecuentes
¿Es legal fichar con huella dactilar en España en 2026?
No como método ordinario de control horario. La huella es un dato biométrico de categoría especial (art. 9 RGPD) y, tras la guía de la AEPD de noviembre de 2023, el consentimiento del trabajador no basta como base legal. Sin una norma con rango de ley que lo autorice y supere los test de necesidad y proporcionalidad, instalar un lector de huellas para fichar es un tratamiento ilícito.
¿Y el reconocimiento facial para fichar es legal?
Tampoco. El reconocimiento facial es igualmente un dato biométrico de categoría especial, así que se le aplica el mismo razonamiento que a la huella: tratamiento prohibido por defecto, consentimiento inválido en el contexto laboral y ausencia de una ley que lo habilite. No es un método legal de fichaje por defecto.
¿No vale el consentimiento del trabajador para usar biometría?
No. El RGPD exige que el consentimiento sea libre, y la AEPD entiende que en la relación laboral no lo es, porque existe un desequilibrio de poder entre empresa y empleado. Por eso el consentimiento no levanta la prohibición del artículo 9 para tratar datos biométricos en el control de jornada.
¿Qué sanción puedo recibir por fichar con biometría sin base legal?
Las infracciones relacionadas con datos de categoría especial (art. 9) están entre las más graves del RGPD, con multas de hasta 20 millones de euros o el 4% de la facturación anual global. Para una pyme las cuantías reales son menores, pero pueden alcanzar decenas de miles de euros, además del coste de retirar el hardware y del daño reputacional.
¿Cuál es la alternativa legal a la huella y la cara?
Un sistema de fichaje desde el móvil, la tablet o el navegador con identificación por usuario y contraseña, como Fichados, que no trata ningún dato biométrico. Si necesitas verificar que el empleado ficha en el centro de trabajo, puedes activar la geolocalización opcional, que es lícita siempre que sea proporcional, esté informada y se limite a la jornada.