Fichaje por reconocimiento facial: Por qué es ilegal en España
El fichaje por reconocimiento facial puede parecer una solución rápida, moderna y cómoda para cumplir con el registro horario obligatorio. El trabajador mira a una cámara, el sistema identifica su rostro y queda registrada la entrada o salida. Sin tarjetas, sin claves y sin hojas de firmas. A simple vista, parece eficiente. El problema es que, en España, esta comodidad puede convertirse en un riesgo legal muy serio.
Cuando una empresa utiliza el rostro de una persona trabajadora para verificar o identificar su presencia, no está tratando un dato cualquiera. Está tratando datos biométricos, es decir, información obtenida a partir de características físicas, fisiológicas o conductuales que permiten identificar de forma única a una persona. En el ámbito laboral, este tipo de tratamiento exige una justificación reforzada y, en la práctica, resulta muy difícil de encajar para una finalidad tan ordinaria como fichar al entrar o salir del trabajo.
La obligación de registrar la jornada laboral existe, pero no autoriza a la empresa a utilizar cualquier sistema. El artículo 34.9 del Estatuto de los Trabajadores obliga a garantizar el registro diario de jornada, incluyendo el horario concreto de inicio y finalización de cada persona trabajadora, y a conservar dichos registros durante cuatro años. Sin embargo, esa obligación debe cumplirse respetando la normativa de protección de datos, los principios de proporcionalidad, minimización y necesidad, y los criterios de la Agencia Española de Protección de Datos.
Qué es el fichaje por reconocimiento facial
El fichaje por reconocimiento facial es un sistema de control horario que utiliza una cámara y un software de identificación para confirmar la identidad de una persona trabajadora. El sistema analiza determinados rasgos del rostro, los convierte en una plantilla biométrica y compara esa información con los datos previamente almacenados.
Su finalidad habitual es evitar que una persona fiche por otra, automatizar el registro horario y reducir incidencias administrativas. Sin embargo, desde el punto de vista jurídico, la finalidad práctica no elimina el riesgo. La empresa no solo está registrando una hora de entrada o salida. También está capturando, procesando y comparando información biométrica vinculada a una persona concreta.
Identificación facial y verificación facial no son lo mismo
En este tipo de sistemas conviene distinguir entre identificación y verificación. La identificación responde a la pregunta “¿quién es esta persona?” y compara el rostro con una base de datos de varios trabajadores. La verificación responde a la pregunta “¿esta persona es quien dice ser?” y compara el rostro con una plantilla previamente asociada a esa persona.
Aunque la verificación pueda parecer menos invasiva que la identificación masiva, ambas modalidades pueden implicar tratamiento de datos biométricos cuando permiten confirmar de forma única la identidad de una persona. Por eso no basta con decir que el sistema es “solo para fichar” o que “no guarda fotos completas”. Si genera una plantilla facial vinculada a un empleado, el análisis legal debe ser especialmente riguroso.
Por qué el reconocimiento facial es un dato biométrico
El Reglamento General de Protección de Datos define los datos biométricos como aquellos datos personales obtenidos a partir de un tratamiento técnico específico, relativos a características físicas, fisiológicas o conductuales de una persona, que permitan o confirmen su identificación única. El rostro, cuando se usa para identificar o verificar a una persona mediante un sistema automatizado, encaja dentro de esta categoría.
La cuestión clave no es si la empresa conserva una fotografía visible del trabajador. Lo determinante es si el sistema extrae patrones faciales, vectores biométricos, plantillas matemáticas o identificadores técnicos que permiten reconocer de manera única a esa persona. En ese caso, el tratamiento se sitúa en una zona de riesgo mucho más alta que otros métodos ordinarios de fichaje.
Datos biométricos y categorías especiales de datos
El artículo 9 del Reglamento General de Protección de Datos establece una prohibición general de tratamiento de categorías especiales de datos personales. Dentro de esas categorías se encuentran los datos biométricos dirigidos a identificar de manera unívoca a una persona física. Esto significa que la empresa no puede tratarlos libremente, aunque tenga una finalidad legítima relacionada con la organización del trabajo.
Para poder tratar este tipo de datos, no basta con alegar comodidad, eficiencia o prevención del fraude horario. La empresa tendría que encontrar una excepción válida del artículo 9.2 del RGPD y, además, una base jurídica adecuada del artículo 6 del mismo reglamento. A esto se suma el cumplimiento de principios como minimización, proporcionalidad, limitación de la finalidad, transparencia, seguridad y responsabilidad proactiva.
Por qué el rostro merece una protección reforzada
El rostro no es una contraseña que pueda cambiarse. Si se compromete una clave, puede sustituirse. Si se pierde una tarjeta, puede anularse. Pero si una plantilla biométrica facial se ve afectada por una brecha de seguridad, la persona trabajadora no puede cambiar su cara. Este carácter permanente convierte la biometría en un dato especialmente delicado.
Además, el uso de reconocimiento facial en el trabajo puede generar una sensación de vigilancia constante. Aunque el sistema solo se utilice en el momento de fichar, la presencia de cámaras y mecanismos de identificación corporal puede afectar a la percepción de control sobre la plantilla. Por eso la Agencia Española de Protección de Datos exige un análisis particularmente estricto antes de implantar tecnologías biométricas en entornos laborales.
Marco legal del registro horario en España
El registro horario en España se regula principalmente a través del artículo 34.9 del Estatuto de los Trabajadores, incorporado por el Real Decreto-ley 8/2019. Esta norma obliga a las empresas a garantizar un registro diario de jornada que incluya el horario concreto de inicio y finalización de la jornada de cada persona trabajadora.
La empresa debe conservar los registros durante cuatro años y mantenerlos a disposición de las personas trabajadoras, sus representantes legales y la Inspección de Trabajo y Seguridad Social. La obligación afecta a empresas de todos los tamaños, incluidas pymes, comercios, clínicas, despachos, hostelería, servicios profesionales y negocios con plantillas reducidas.
La obligación de registrar no permite cualquier tecnología
Uno de los errores más frecuentes es interpretar que, como la empresa tiene obligación de controlar la jornada, puede escoger cualquier sistema para hacerlo. No es así. La obligación laboral debe cumplirse dentro del marco de protección de datos. Dicho de otro modo: la empresa debe registrar la jornada, pero debe hacerlo con un sistema legal, proporcionado y respetuoso con la privacidad.
El artículo 20.3 del Estatuto de los Trabajadores reconoce la facultad empresarial de adoptar medidas de vigilancia y control para verificar el cumplimiento de las obligaciones laborales. Sin embargo, esa facultad tiene límites. Las medidas deben guardar la consideración debida a la dignidad de la persona trabajadora y deben cumplir la normativa aplicable, especialmente cuando implican tratamiento de datos personales.
Contexto 2026: mayor exigencia sobre el registro horario digital
El debate sobre el control horario en España se ha intensificado en los últimos años por la necesidad de reforzar la trazabilidad, la conservación y la disponibilidad de los registros ante una inspección. En el contexto normativo previsto para 2026, muchas empresas están revisando sus sistemas de fichaje para evitar registros manipulables, incompletos o difíciles de acreditar.
Este contexto no debe interpretarse como una autorización para implantar sistemas invasivos. Al contrario: cuanto más digital sea el sistema, más importante será justificar que respeta la privacidad desde el diseño. Un software de control horario debe permitir acreditar entradas, salidas, pausas y modificaciones, pero sin recurrir a tratamientos excesivos como el reconocimiento facial cuando existen medios menos intrusivos.
Criterio de la AEPD sobre biometría y control horario
La Agencia Española de Protección de Datos ha endurecido su criterio sobre el uso de sistemas biométricos para control de presencia y registro horario. Su guía sobre tratamientos de control de presencia mediante sistemas biométricos advierte de que este tipo de tecnologías implican un alto impacto sobre los derechos y libertades de las personas.
La AEPD parte de una idea esencial: antes de implantar biometría, la empresa debe demostrar que el tratamiento es idóneo, necesario y proporcionado. Si existen alternativas menos intrusivas para conseguir la misma finalidad, el uso del reconocimiento facial no supera el juicio de necesidad. Y en el control horario ordinario existen alternativas: PIN, tarjeta, app móvil, portal web, QR, NFC o fichaje desde un dispositivo autorizado.
El principio de minimización de datos
El principio de minimización exige que los datos tratados sean adecuados, pertinentes y limitados a lo necesario para la finalidad perseguida. Para registrar la hora de entrada y salida de una persona trabajadora, normalmente no es necesario tratar su geometría facial. Basta con identificar al trabajador mediante credenciales menos invasivas.
Este punto es clave. La empresa puede necesitar saber que una persona ha iniciado su jornada a las 9:00 y la ha finalizado a las 17:30. Pero no necesita, por regla general, convertir su rostro en una plantilla biométrica para obtener esa información. Cuando el dato tratado es mucho más sensible que la finalidad que se pretende cubrir, el sistema pierde proporcionalidad.
Evaluación de impacto obligatoria
Los sistemas de reconocimiento facial aplicados al entorno laboral suelen requerir una Evaluación de Impacto relativa a la Protección de Datos. Esta evaluación debe analizar los riesgos, justificar la necesidad del tratamiento, valorar alternativas menos intrusivas y establecer medidas de seguridad adecuadas.
El problema para muchas empresas es que una evaluación de impacto no sirve para legalizar automáticamente un sistema biométrico. Si el análisis concluye que existen alternativas menos invasivas, o que la empresa no puede acreditar una excepción válida para tratar categorías especiales de datos, la implantación no debería llevarse a cabo.
La privacidad desde el diseño
La privacidad desde el diseño exige que la protección de datos se incorpore desde el inicio del proyecto, no como una revisión posterior. Antes de contratar una solución de reconocimiento facial, la empresa tendría que preguntarse si realmente necesita esa tecnología, qué datos recoge, dónde se almacenan, durante cuánto tiempo, quién accede a ellos y qué ocurriría en caso de brecha de seguridad.
En la mayoría de pymes, este análisis conduce a una conclusión práctica: para cumplir con el registro horario no hace falta reconocimiento facial. Un sistema de fichaje digital no biométrico puede ofrecer trazabilidad, seguridad, facilidad de uso y evidencias ante inspección sin tratar datos biométricos.
Por qué el consentimiento del trabajador no suele ser válido
Muchas empresas creen que pueden implantar reconocimiento facial si el trabajador firma una autorización. Este planteamiento es muy peligroso. En el ámbito laboral, el consentimiento rara vez se considera libre, porque existe una relación de desequilibrio entre empresa y persona trabajadora.
Para que el consentimiento sea válido según el RGPD, debe ser libre, específico, informado e inequívoco. Si el trabajador puede sentir que negarse tendrá consecuencias negativas, directas o indirectas, el consentimiento queda cuestionado. En una relación laboral, esa presión puede existir incluso aunque la empresa no la manifieste expresamente.
El problema del desequilibrio en la relación laboral
El trabajador depende de la empresa para mantener su empleo, su salario y sus condiciones laborales. Por eso, cuando la empresa solicita autorización para usar reconocimiento facial, la libertad real de elección puede verse comprometida. La persona puede firmar por miedo, por desconocimiento o por no generar conflicto.
Además, incluso si algunos trabajadores aceptaran, la empresa tendría que ofrecer una alternativa equivalente para quienes no consientan. Esa alternativa no puede ser peor, más lenta, más incómoda o generar trato diferenciado. Si existe una alternativa válida no biométrica, resulta difícil justificar por qué se necesita el reconocimiento facial para el resto de la plantilla.
Consentimiento no equivale a cumplimiento
Otro error habitual es pensar que una firma lo soluciona todo. No es así. El consentimiento, por sí solo, no elimina la necesidad de cumplir los principios de minimización, necesidad y proporcionalidad. Tampoco elimina la obligación de informar correctamente, aplicar medidas de seguridad, limitar la conservación de los datos o realizar una evaluación de impacto.
Por tanto, aunque una empresa recoja autorizaciones firmadas, el sistema puede seguir siendo ilícito si el tratamiento no está justificado. En materia de biometría, el cumplimiento no se basa en “tener un papel firmado”, sino en demostrar que el tratamiento es jurídicamente posible y técnicamente necesario.
Riesgos y sanciones para la empresa
Implantar fichaje por reconocimiento facial sin una base legal sólida puede exponer a la empresa a sanciones de protección de datos, reclamaciones de trabajadores, requerimientos de la AEPD y problemas ante la Inspección de Trabajo. El riesgo no es teórico. La biometría se considera una tecnología de alto impacto y está bajo especial vigilancia regulatoria.
Las infracciones en materia de protección de datos pueden alcanzar cuantías muy elevadas según el RGPD. Además, la empresa puede verse obligada a retirar el sistema, suprimir los datos biométricos recogidos y rehacer todo su modelo de registro horario con una solución alternativa.
Consecuencias prácticas del incumplimiento
- Sanciones económicas por tratamiento ilícito de categorías especiales de datos.
- Requerimientos de la AEPD para cesar el tratamiento y eliminar plantillas biométricas.
- Reclamaciones de trabajadores por vulneración de derechos de privacidad.
- Daño reputacional si la empresa se percibe como invasiva o poco cuidadosa con los datos personales.
- Problemas de acreditación si el sistema de fichaje debe ser sustituido de forma urgente.
Tabla comparativa: reconocimiento facial frente a métodos no biométricos
| Método de fichaje | Tipo de dato tratado | Nivel de riesgo | Encaje legal para pymes | Observaciones |
|---|---|---|---|---|
| Reconocimiento facial | Dato biométrico para identificación única | Muy alto | Muy difícil de justificar | Exige análisis reforzado, posible evaluación de impacto y superación estricta de proporcionalidad. |
| Huella dactilar | Dato biométrico | Muy alto | Muy difícil de justificar | También se considera especialmente invasivo para control de presencia ordinario. |
| PIN personal | Dato identificativo ordinario | Bajo o medio | Generalmente más adecuado | Debe protegerse frente a usos indebidos y accesos no autorizados. |
| Tarjeta NFC o RFID | Identificador asignado al trabajador | Medio | Adecuado si se gestiona correctamente | Conviene prever medidas ante pérdida, cesión o uso por terceros. |
| App móvil de fichaje | Usuario, hora, dispositivo y, si procede, ubicación | Medio | Adecuado con configuración proporcional | Debe evitarse la geolocalización permanente si no es necesaria. |
| Portal web | Credenciales de usuario y marcas horarias | Bajo o medio | Adecuado para oficinas y teletrabajo | Permite trazabilidad sin recurrir a datos biométricos. |
Alternativas legales al reconocimiento facial
La mejor forma de cumplir con el registro horario no es elegir el sistema más sofisticado, sino el más proporcionado. Para la mayoría de empresas, especialmente pymes, clínicas, despachos, comercios, hostelería y negocios con equipos reducidos, existen métodos digitales suficientes sin necesidad de tratar datos biométricos.
Un buen sistema de control horario debe permitir registrar entradas y salidas, conservar los datos durante el plazo legal, generar informes, facilitar el acceso ante una inspección y evitar manipulaciones. Todo esto puede conseguirse mediante soluciones no biométricas, con menor riesgo legal y mayor facilidad de implantación.
Fichaje mediante PIN o credenciales personales
El fichaje con PIN permite identificar al trabajador mediante una clave personal. Es una alternativa sencilla para centros de trabajo físicos, especialmente cuando se utiliza una tablet compartida o un terminal común. Para reforzar la seguridad, la empresa puede aplicar medidas como cambio periódico de PIN, registro de incidencias y limitación de accesos.
Este método no elimina todos los riesgos, porque podría existir cesión de claves entre trabajadores, pero el nivel de impacto sobre la privacidad es muy inferior al reconocimiento facial. Además, las posibles incidencias pueden gestionarse mediante controles internos proporcionados.
Fichaje mediante tarjeta NFC o código QR
Las tarjetas NFC, RFID o los códigos QR identifican al trabajador a través de un soporte asignado. Son útiles en empresas con turnos, accesos físicos o personal que no utiliza ordenador. La clave está en documentar correctamente la entrega, gestionar pérdidas y evitar que el sistema recoja datos innecesarios.
Frente al reconocimiento facial, estas opciones tienen una ventaja evidente: si una tarjeta se pierde, se desactiva y se entrega otra. Si una plantilla facial se compromete, el daño potencial es mucho más difícil de reparar.
Fichaje desde app móvil o portal web
El fichaje mediante app móvil o portal web es especialmente útil para teletrabajo, equipos híbridos, personal itinerante o empresas con varios centros. Permite registrar la jornada desde un dispositivo autorizado y generar evidencias digitales de cada marca horaria.
Cuando se usa geolocalización, debe configurarse con cuidado. No es lo mismo registrar la ubicación puntual en el momento del fichaje que mantener una geolocalización continua durante toda la jornada. La segunda opción puede resultar desproporcionada si no existe una necesidad real y documentada.
Cómo elegir un sistema de fichaje legal
- Identificar la finalidad exacta del tratamiento: registrar jornada, pausas, turnos o incidencias.
- Elegir el método menos intrusivo que permita cumplir esa finalidad.
- Informar a la plantilla de forma clara sobre el funcionamiento del sistema.
- Limitar los accesos internos a los datos de registro horario.
- Conservar los registros durante cuatro años, conforme al Estatuto de los Trabajadores.
- Evitar tratamientos innecesarios como biometría, geolocalización permanente o vigilancia continua.
- Documentar la política de registro horario y las medidas de seguridad aplicadas.
Preguntas Frecuentes sobre Fichaje por reconocimiento facial: Por qué es ilegal en España
¿Es legal fichar por reconocimiento facial en una empresa en España?
En términos generales, el fichaje por reconocimiento facial es muy difícil de justificar legalmente en España porque implica el tratamiento de datos biométricos dirigidos a identificar de forma única a la persona trabajadora.
La empresa tendría que acreditar una base jurídica válida, una excepción aplicable para tratar categorías especiales de datos, necesidad, proporcionalidad y ausencia de alternativas menos invasivas. Para el registro horario ordinario, normalmente existen métodos suficientes sin biometría.
¿Por qué el reconocimiento facial se considera un dato biométrico?
Porque el sistema analiza características físicas del rostro y las convierte en una plantilla o patrón técnico que permite identificar o verificar de manera única a una persona.
Cuando esa información se utiliza para confirmar la identidad del trabajador en el fichaje, entra dentro de la categoría de datos biométricos protegidos por el Reglamento General de Protección de Datos.
¿Puede una empresa usar reconocimiento facial si el trabajador firma una autorización?
No necesariamente. En el ámbito laboral, el consentimiento del trabajador suele ser problemático porque existe una relación de desequilibrio entre empresa y empleado.
Aunque hubiera una autorización firmada, la empresa seguiría teniendo que demostrar que el tratamiento es necesario, proporcionado y que no existen alternativas menos invasivas.
¿Qué diferencia hay entre reconocimiento facial y fichaje con PIN?
El reconocimiento facial utiliza características biométricas del rostro, mientras que el fichaje con PIN emplea una credencial asignada al trabajador.
Desde el punto de vista de protección de datos, el PIN suele ser menos invasivo porque no implica tratar rasgos físicos permanentes ni categorías especiales de datos.
¿La AEPD prohíbe todos los sistemas biométricos para fichar?
La AEPD no plantea la biometría como una opción ordinaria para el control horario. Su criterio exige un análisis muy estricto de idoneidad, necesidad y proporcionalidad.
En la práctica, si la empresa puede registrar la jornada mediante métodos menos intrusivos, el uso de biometría como reconocimiento facial o huella dactilar difícilmente será justificable.
¿Qué sanciones puede recibir una empresa por usar reconocimiento facial para fichar?
La empresa puede enfrentarse a sanciones de protección de datos, requerimientos para cesar el tratamiento, eliminación de datos biométricos y posibles reclamaciones de trabajadores.
Además del impacto económico, puede producirse daño reputacional y la obligación de sustituir el sistema por otro método de registro horario legal.
¿Qué alternativas legales existen al fichaje por reconocimiento facial?
Existen alternativas como fichaje mediante PIN, tarjeta NFC, código QR, app móvil, portal web o tablet compartida con credenciales personales.
Estas opciones permiten cumplir con el registro horario obligatorio sin recurrir a datos biométricos, siempre que se configuren con criterios de seguridad, proporcionalidad y transparencia.
¿Durante cuánto tiempo debe conservar la empresa los registros horarios?
El Estatuto de los Trabajadores exige conservar los registros de jornada durante cuatro años.
Durante ese periodo deben permanecer a disposición de las personas trabajadoras, sus representantes legales y la Inspección de Trabajo y Seguridad Social.
Conclusión
El fichaje por reconocimiento facial no es una simple evolución tecnológica del control horario. En España, implica tratar datos biométricos especialmente protegidos y obliga a superar un nivel de justificación muy exigente. Para una pyme, el riesgo legal suele ser mucho mayor que el beneficio operativo.
La empresa debe registrar la jornada, conservar los datos durante cuatro años y poder acreditar el cumplimiento ante una inspección. Pero puede hacerlo sin recurrir al rostro de sus trabajadores. La opción más segura es implantar un sistema de control horario digital, trazable y no biométrico, diseñado desde el principio con criterios de privacidad, proporcionalidad y cumplimiento normativo.
Con Jornalab, las empresas pueden gestionar el registro horario de forma clara, sencilla y alineada con las exigencias legales, evitando métodos invasivos como el reconocimiento facial y apostando por una solución preparada para el control horario digital en España.
Referencias
- BOE — Real Decreto Legislativo 2/2015, de 23 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto de los Trabajadores. Boletín Oficial del Estado. 2015.
- BOE — Real Decreto-ley 8/2019, de 8 de marzo, de medidas urgentes de protección social y de lucha contra la precariedad laboral en la jornada de trabajo. Boletín Oficial del Estado. 2019.
- BOE — Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, Reglamento General de Protección de Datos. Boletín Oficial del Estado. 2016.
- BOE — Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. Boletín Oficial del Estado. 2018.
- AEPD — Guía sobre tratamientos de control de presencia mediante sistemas biométricos. Agencia Española de Protección de Datos. 2023.
- Ministerio de Trabajo — Guía sobre el registro de jornada. Ministerio de Trabajo y Economía Social. 2019.