Fichaje Biométrico Forense
Análisis pericial de sistemas de control de presencia basados en datos biométricos (huella dactilar, reconocimiento facial, iris), incluyendo su legalidad bajo el RGPD y la Guía AEPD 2023, seguridad técnica y valor probatorio en el contexto laboral español.
La AEPD multó con 10 millones de euros a Aena por reconocimiento facial en aeropuertos y con 650.000 euros a la Universidad Internacional de Valencia por proctoring biométrico. En noviembre de 2023, publicó una guía que cierra la puerta al fichaje biométrico laboral sin alternativa real. Y sin embargo, miles de empresas españolas siguen utilizando lectores de huella dactilar para el control de jornada, muchas instalados antes de que el panorama regulatorio cambiara, y la mayoría sin saber que su sistema es hoy potencialmente ilegal. El análisis forense de estos terminales —tanto para acreditar el cumplimiento como para detectar incumplimientos, brechas de seguridad o uso fraudulento de las plantillas biométricas almacenadas— es una de las áreas de mayor demanda para el perito informático en el ámbito laboral español de 2026.
Tipos de biometría en sistemas de fichaje laboral
Los sistemas de control de presencia biométrica se clasifican por la modalidad fisiológica o conductual que utilizan para identificar al empleado:
Biometría fisiológica
| Modalidad | Tecnología del sensor | Precisión FAR/FRR | Uso en España |
|---|---|---|---|
| Huella dactilar | Capacitivo, óptico, ultrasónico | FAR: 0,001% / FRR: 0,1% | Muy frecuente |
| Reconocimiento facial | Cámaras 2D/3D, infrarrojo | FAR: 0,08% / FRR: 0,3% | Frecuente |
| Iris | Cámara infrarrojo cercano | FAR: 0,0001% / FRR: 0,2% | Poco frecuente |
| Geometría de venas | Infrarrojo cercano (palma) | FAR: 0,01% / FRR: 0,01% | Muy poco frecuente |
- FAR (False Acceptance Rate): Probabilidad de que el sistema acepte a un impostor. Un FAR del 0,001% significa 1 aceptación falsa por cada 100.000 intentos.
- FRR (False Rejection Rate): Probabilidad de que el sistema rechace al usuario legítimo. Un FRR del 0,1% supone 1 rechazo por cada 1.000 fichajes legítimos.
El dilema FAR/FRR en el entorno laboral
Los rechazos repetidos del sistema biométrico (FRR elevado) generan conflictos laborales, quejas ante la Inspección y reclamaciones de trabajadores que no pueden acreditar su presencia. Este problema práctico, junto con las restricciones del RGPD, es uno de los factores que impulsa la transición hacia alternativas no biométricas.
La prohibición de facto: Guía AEPD noviembre 2023
Cambio de criterio de la AEPD
En noviembre de 2023, la Agencia Española de Protección de Datos publicó la “Guía sobre tratamientos de control de presencia mediante sistemas biométricos”, que supuso un cambio fundamental en la interpretación del art. 9 del RGPD aplicado al ámbito laboral.
El cambio de criterio se articula en torno a la base legal:
| Base legal intentada | Criterio AEPD anterior | Criterio AEPD desde nov. 2023 |
|---|---|---|
| Consentimiento (art. 9.2.a RGPD) | Aceptable con información suficiente | No válido en el contexto laboral por desequilibrio de poder |
| Obligación laboral (art. 9.2.b RGPD) | Posible si hay norma o convenio | Requiere ley o convenio colectivo que lo autorice expresamente (no existen) |
| Interés legítimo (art. 6.1.f RGPD) | Posible si proporcional | No aplicable a datos de categoría especial (art. 9 no admite interés legítimo) |
Conclusión práctica de la Guía AEPD 2023
A fecha de publicación de esta entrada (febrero 2026), no existe en España una ley ni un convenio colectivo sectorial que autorice expresamente el fichaje biométrico laboral con las garantías que exige el art. 9.2 RGPD. En consecuencia, implementar un sistema de fichaje biométrico sin ofrecer una alternativa no biométrica equivalente es, para la AEPD, un incumplimiento del art. 9 RGPD, sancionable con multas de hasta 20 millones de euros o el 4% de la facturación global anual.
La clave: el consentimiento libre en el contexto laboral
El RGPD exige que el consentimiento para el tratamiento de datos de categoría especial sea “explícito, específico, informado y libre” (art. 7 y considerando 43). El problema en el contexto laboral es la libertad:
El Comité Europeo de Protección de Datos (CEPD), en sus Directrices 05/2020 sobre consentimiento, establece que “en la relación empleador-empleado, el consentimiento generalmente no será una base legal válida para el tratamiento de datos, dado que existe un desequilibrio de poder inherente a esa relación”. Si un empleado siente que no tiene alternativa real a fichar con huella para no perjudicar su relación laboral, su consentimiento no es libre.
Excepciones teóricas que la AEPD admite (pero son difíciles de cumplir)
- Convenio colectivo específico: Un convenio colectivo sectorial o de empresa que autorice expresamente el uso de biometría con garantías adecuadas (alternativa, minimización, retención limitada). A fecha 2026, no existen convenios colectivos de ámbito estatal que lo hagan para el registro de jornada.
- Seguridad en instalaciones de alta sensibilidad: Cuando el acceso al puesto de trabajo requiere verificación de identidad por razones de seguridad objetivas (instalaciones nucleares, laboratorios de alta seguridad), la proporcionalidad puede justificarlo.
- Empleado que lo elige voluntariamente con alternativa real: Si la empresa ofrece una alternativa no biométrica completamente equivalente y el empleado elige activamente la biometría, el consentimiento puede ser libre.
Análisis forense de terminales biométricos
Cuando un terminal biométrico es objeto de una investigación —por una brecha de datos, un procedimiento AEPD, una demanda laboral, o una auditoría de cumplimiento— el perito informático forense realiza las siguientes actuaciones:
Extracción de plantillas biométricas
Distinción crítica: plantilla vs. dato crudo
Un sistema biométrico correcto nunca almacena la imagen de la huella o el fotograma del rostro. Almacena una “plantilla” (template): una representación matemática extraída de la biometría que permite la comparación pero de la que no se puede reconstruir la biometría original. Un sistema que almacena datos crudos (la imagen) incumple el principio de minimización del RGPD. El perito verifica qué tipo de dato almacena realmente el terminal.
El proceso de extracción forense de un terminal biométrico incluye:
Identificación del modelo y fabricante: Marca, modelo, firmware version. Esto determina el protocolo de comunicación y el formato de la base de datos interna (ZKTeco, Suprema, Biostation, Anviz, Hanvon son los modelos más frecuentes en España).
Adquisición de la imagen del almacenamiento interno: Mediante conexión directa al puerto de administración del terminal (USB, RS-232, TCP/IP con protocolo propietario) o extracción física del almacenamiento si el dispositivo está dañado.
Análisis del formato de las plantillas: La mayoría de terminales ZKTeco almacenan plantillas en formato propietario ZK (FP1, FP2) o en formatos ISO/IEC 19794. El perito determina si son plantillas irreversibles o datos crudos.
Análisis del log de acceso: Los terminales biométricos generan logs de todos los intentos de fichaje (exitosos y fallidos). Este log incluye: timestamp, ID del usuario, tipo de verificación (biometría, PIN, tarjeta), resultado (OK/FAIL). Es una fuente de evidencia laboral de alto valor.
Verificación de la integridad de la base de datos: Hash SHA-256 de la base de datos en el momento de la adquisición, para garantizar que el análisis se realiza sobre datos no alterados desde la extracción.
Análisis de accesos remotos: Los terminales conectados en red registran los accesos administrativos remotos. El perito verifica si alguien ha descargado o modificado las plantillas biométricas de forma no autorizada.
Herramientas de análisis forense de terminales biométricos
| Herramienta | Uso | Marcas compatibles |
|---|---|---|
| ZKAccess SDK | Extracción y análisis de datos ZKTeco | ZKTeco (dominante en España) |
| BioMini Plus 2 (Suprema) | Extracción de huellas para comparación | Suprema, compatibles ISO 19794 |
| sqlite3 / DB Browser | Análisis de bases de datos SQLite (formato habitual en terminales) | Universal |
| Autopsy / FTK | Análisis forense del almacenamiento completo del terminal | Universal |
| Wireshark | Captura del tráfico de red del terminal (protocolos OSDP, Wiegand IP) | Universal |
Jurisprudencia española sobre biometría laboral
Sentencias relevantes
| Resolución | Contenido | Fallo |
|---|---|---|
| SAN (Audiencia Nacional), Sala de lo Social, 6 de junio de 2019 | Sindicato impugna implantación de fichaje facial sin consulta a representantes y sin DPIA | Nula la implantación por vulnerar derecho a protección de datos |
| STSJ País Vasco, 16 de enero de 2019 | Empleado despedido por negarse a usar lector de huella; alega vulneración RGPD | Despido improcedente; el trabajador tenía derecho a alternativa |
| STSJ Cataluña, 21 de febrero de 2022 | Empresa que instala biometría tras RDL 8/2019; trabajador reclama | El tribunal exige que la empresa acredite proporcionalidad y alternativa |
| AEPD, Resolución PS/00120/2022 (VIU) | Reconocimiento facial en exámenes; 650.000 euros | Infracción art. 9 RGPD; consentimiento no libre |
| AEPD, Resolución PS/00098/2021 (Aena) | Reconocimiento facial en aeropuertos; 10.000.000 euros | DPIA insuficiente; sin proporcionalidad demostrada |
La STSJ País Vasco 2019: el derecho a la alternativa
La Sentencia del TSJ del País Vasco de 16 de enero de 2019 es el precedente judicial más citado en España sobre biometría laboral. El tribunal estableció que un trabajador que se niega a someterse a reconocimiento biométrico para el fichaje no puede ser sancionado disciplinariamente si la empresa no ofrece un método alternativo. El despido por esta negativa fue declarado improcedente.
Alternativas conformes al RGPD: análisis técnico
La transición desde sistemas biométricos a alternativas conformes es uno de los retos más frecuentes que las empresas afrontan tras el cambio de criterio de la AEPD. El perito informático puede asesorar sobre las opciones técnicas y auditar su implementación.
Comparativa de alternativas
| Alternativa | Cómo funciona | Efectividad anti-fraude | Datos personales tratados | RGPD |
|---|---|---|---|---|
| NFC individual | Tarjeta/pulsera con chip NFC nominativo; el terminal lee el UID único del chip | Alta (requiere poseer el soporte físico) | Identificador del chip + timestamp | Art. 6.1.c (obligación legal) |
| QR dinámico | La app del empleado genera un QR que cambia cada 30-60 segundos; el terminal lo escanea | Alta (QR caduca antes de que sea útil a un tercero) | ID del empleado + timestamp | Art. 6.1.c |
| App móvil + geofencing | Fichaje solo desde el dispositivo registrado del empleado dentro de un radio GPS definido | Muy alta (requiere dispositivo y ubicación) | IMEI/UUID del dispositivo + coordenadas GPS | Art. 6.1.c (con análisis RGPD del geofencing) |
| PIN individual + OTP | PIN que solo conoce el empleado + código de un solo uso por SMS/app | Media-alta (requiere conocer PIN y tener el móvil) | Número de teléfono para OTP | Art. 6.1.c |
| Control de acceso físico | Torniquete o puerta que solo permite acceso con credencial válida | Muy alta (sin acceso = sin fichaje) | Identificador de credencial + timestamp | Art. 6.1.c |
Análisis forense de la transición
Cuando una empresa transiciona de biometría a alternativas no biométricas, el perito puede auditar que:
- Las plantillas biométricas almacenadas han sido borradas de forma segura y verificable (no solo marcadas como inactivas en la base de datos)
- Las copias de seguridad que pudieran contener datos biométricos han sido eliminadas o sobreescritas
- Los accesos históricos al sistema biométrico están documentados (para determinar si ha habido exfiltración de datos)
- El nuevo sistema es técnicamente conforme con el RGPD (minimización, seguridad, retención)
Qué hacer con terminales biométricos existentes
Para empresas que ya tienen terminales instalados
Si la empresa ya tiene lectores de huella o reconocimiento facial instalados, hay tres caminos:
Auditoría forense del estado actual: Antes de tomar ninguna decisión, un perito analiza qué datos están almacenados (plantillas vs. datos crudos), si el sistema tiene logs de acceso, si existe DPIA, y si hay evidencia de brechas o accesos no autorizados. Esta auditoría define el pasivo regulatorio real.
Transición a alternativa no biométrica: Sustituir o complementar el terminal biométrico con una alternativa conforme. Muchos terminales ZKTeco y Suprema permiten configurar tarjeta RFID o PIN como método de fichaje sin desinstalar el terminal. El lector biométrico queda físicamente presente pero inactivo.
Borrado seguro de plantillas biométricas: Una vez que la empresa ha migrado al nuevo método, las plantillas biométricas deben borrarse de forma verificable. El perito puede certificar el borrado y emitir un informe de conformidad que la empresa puede presentar ante la AEPD si fuera requerida.
Plazo y urgencia
No existe un plazo legal específico para la transición en empresas que ya tenían el sistema instalado antes de la Guía AEPD 2023. Sin embargo, desde la publicación de la guía, cualquier empresa que mantenga el sistema sin alternativa real asume el riesgo de una sanción si la AEPD recibe una reclamación de un empleado. La reclamación de un solo trabajador puede desencadenar una investigación con resultado de multa.
Marco legal en España
Normativa directamente aplicable
1. RGPD (Reglamento UE 2016/679):
- Art. 4.14: Definición de datos biométricos como categoría de datos personales
- Art. 9.1: Prohibición general del tratamiento de datos biométricos
- Art. 9.2: Excepciones tasadas (consentimiento explícito libre, obligación laboral con base legal, interés público)
- Art. 25: Privacidad desde el diseño y por defecto; exige evaluar alternativas menos intrusivas
- Art. 35: Evaluación de Impacto (DPIA) obligatoria antes de cualquier tratamiento biométrico
2. LOPDGDD (Ley Orgánica 3/2018):
- Art. 9: Desarrollo de las categorías especiales en derecho español
- Disposición Adicional 1ª: El tratamiento de datos biométricos en el ámbito laboral requiere ley o convenio colectivo con garantías adecuadas
3. AI Act (Reglamento UE 2024/1689):
- Art. 5.1.d: Prohibición de identificación biométrica remota en tiempo real en espacios públicos (con excepciones)
- Clasifica los sistemas de identificación biométrica remota como alto riesgo (Anexo III)
4. Guía AEPD sobre control de presencia biométrico (noviembre 2023):
- Cierra la puerta al consentimiento como base legal en el contexto laboral
- Exige evaluación de proporcionalidad y alternativas
- Referencia interpretativa de máxima relevancia para las empresas españolas
5. Directrices CEPD 05/2020 sobre consentimiento:
- Establece que el consentimiento en la relación laboral generalmente no es libre
6. Estatuto de los Trabajadores (RDL 2/2015):
- Art. 34.9: Obligación de registro de jornada (que puede cumplirse con métodos no biométricos)
- Art. 64: Derecho de información de los representantes de los trabajadores sobre los sistemas de control
Caso práctico: auditoría forense de terminal biométrico ante reclamación AEPD
Nota: Caso construido sobre patrones de procedimientos ante la AEPD entre 2023 y 2025. Los datos identificativos han sido anonimizados.
Empresa: Cadena de supermercados, 8 establecimientos, 340 empleados.
Situación: En febrero de 2025, un empleado presenta reclamación ante la AEPD alegando que la empresa le obliga a fichar con huella dactilar sin alternativa y sin haber firmado consentimiento específico alguno. La AEPD abre actuaciones previas y requiere a la empresa que explique la base legal de su tratamiento biométrico.
Intervención pericial:
La empresa contrata a un perito informático forense para auditar su sistema antes de responder a la AEPD.
Terminales analizados: 16 unidades ZKTeco F22 (8 establecimientos, 2 por tienda)
Firmware: ZKTeco F22 v6.70
Base de datos: SQLite (almacenada en el terminal)
Hallazgo 1 - Tipo de dato almacenado:
Cada registro de empleado contiene:
- ID interno (integer)
- Nombre (varchar)
- Plantilla biométrica (blob, 498 bytes)
- PIN de respaldo (varchar, texto plano)
Análisis de la plantilla (498 bytes):
- Formato: ZKTeco FP1 propietario
- Tipo: plantilla de huella, NO imagen cruda
- Irreversibilidad: verificada (no es posible reconstruir la imagen desde la plantilla)
- Cifrado en reposo: NO (la plantilla se almacena en texto plano en SQLite)
Hallazgo 2 - Log de acceso:
- El terminal almacena hasta 100.000 eventos
- Datos por evento: ID empleado, timestamp, tipo verificación, resultado
- Conservación: el terminal sobreescribe eventos antiguos al alcanzar el límite
- Exportación al servidor central: diaria a las 23:00 mediante SFTP
- Conservación en servidor: 18 meses (incumple los 4 años del art. 34.9 ET)
Hallazgo 3 - Accesos administrativos:
- El PIN de administrador del terminal: "1234" (no modificado desde fábrica)
- Accesos remotos vía TCP/IP: sin log de quién accedió desde qué IP
- Descarga remota de plantillas: técnicamente posible; no hay registro de si se realizó
Hallazgo 4 - Alternativa de fichaje:
- El terminal tiene lector RFID desactivado en configuración
- El PIN de respaldo existe en la base de datos pero no está habilitado para los empleados
- En la práctica, solo existe el método biométrico (ningún empleado conoce su PIN de respaldo)Deficiencias identificadas:
| Deficiencia | Gravedad | Normativa vulnerada |
|---|---|---|
| Sin base legal válida (no hay consentimiento libre ni ley) | Crítica | Art. 9.1 RGPD |
| Sin DPIA previa | Grave | Art. 35 RGPD |
| Sin alternativa real de fichaje | Grave | Guía AEPD 2023 |
| Plantillas sin cifrado en reposo | Grave | Art. 32 RGPD (medidas de seguridad) |
| PIN admin predeterminado | Grave | Art. 32 RGPD |
| Conservación de logs: solo 18 meses | Grave | Art. 34.9 ET (4 años) |
| Sin control de accesos remotos | Media | Art. 32 RGPD |
Medidas correctoras recomendadas por el perito:
- Activar inmediatamente el método RFID como alternativa y comunicarlo a todos los empleados
- Cambiar el PIN de administrador de todos los terminales
- Cifrar las plantillas almacenadas (solución: migración a firmware con cifrado AES-128 disponible en ZKTeco F22 v6.90)
- Configurar el servidor central para retención de 4 años
- Realizar DPIA retrospectiva y prospectiva
- Implementar log de accesos administrativos remotos
- Valorar migración completa a sistema no biométrico
Resultado: La empresa implementó las medidas correctoras antes de responder a la AEPD, presentando el informe pericial junto con un plan de acción fechado. La AEPD cerró las actuaciones con una advertencia formal (sin sanción económica), reconociendo la diligencia demostrada por la empresa al contratar auditoría forense y adoptar medidas inmediatas.
Conceptos relacionados
- Datos biométricos - Marco legal completo de los datos biométricos bajo el RGPD
- Reconocimiento facial - Tecnología biométrica de mayor riesgo regulatorio en España
- Geolocalización forense - Alternativa técnica para control de presencia de campo
- Registro horario digital - Obligación legal que el fichaje biométrico pretende cumplir
- Buddy punching - Fraude que los sistemas biométricos pretenden prevenir
- RGPD (Reglamento de Protección de Datos) - Marco normativo que regula el tratamiento de datos biométricos
Referencias y fuentes
- RGPD (Reglamento UE 2016/679), arts. 4.14, 9, 25, 32 y 35. eur-lex.europa.eu
- AEPD. (2023). “Guía sobre tratamientos de control de presencia mediante sistemas biométricos”. aepd.es
- AEPD. Resolución PS/00120/2022 (VIU, 650.000€). aepd.es
- AEPD. Resolución PS/00098/2021 (Aena, 10M€). aepd.es
- CEPD. (2020). “Directrices 05/2020 sobre el consentimiento en virtud del Reglamento 2016/679”. edpb.europa.eu
- AI Act (Reglamento UE 2024/1689), art. 5.1.d y Anexo III. eur-lex.europa.eu
- LOPDGDD (Ley Orgánica 3/2018), art. 9 y Disposición Adicional 1ª. boe.es
- STSJ del País Vasco, Sala de lo Social, 16 de enero de 2019: Despido improcedente por negativa a fichaje biométrico sin alternativa.
- SAN, Sala de lo Social, 6 de junio de 2019: Nulidad de implantación de fichaje facial sin consulta a representantes y sin DPIA.
- Real Decreto Legislativo 2/2015 (ET), arts. 34.9 y 64. boe.es
- NIST. (2024). “Face Recognition Vendor Test (FRVT)”. pages.nist.gov
- ZKTeco. Technical documentation: ZKAccess SDK, FP1/FP2 template formats. zkteco.eu
¿Tu empresa utiliza terminales biométricos para el registro de jornada y necesitas verificar tu cumplimiento RGPD o gestionar una reclamación ante la AEPD? Contacta con Digital Perito para una auditoría forense de tu sistema de fichaje biométrico y un plan de transición conforme.
Última actualización: febrero 2026 Categoría: Técnico Código: EXT-018
Preguntas Frecuentes
¿Es legal el fichaje con huella dactilar en empresas españolas en 2026?
En la práctica, no para la gran mayoría de empresas. La Guía AEPD de noviembre 2023 establece que el consentimiento del empleado para el fichaje biométrico no puede considerarse libre debido al desequilibrio de poder en la relación laboral. Sin una ley específica que lo autorice o un convenio colectivo con las garantías adecuadas, implementar fichaje biométrico laboral sin alternativa real supone un incumplimiento del art. 9 RGPD con riesgo de sanciones de hasta 20 millones de euros o el 4% de la facturación global.
¿Qué hace un perito informático forense con un terminal biométrico de fichaje?
El análisis forense de un terminal biométrico puede incluir: extracción de las plantillas biométricas almacenadas para verificar si se guardan datos crudos o hashes irreversibles, análisis de los logs de acceso y fichaje, verificación de la integridad de la base de datos, identificación de accesos no autorizados a las plantillas, y análisis del cumplimiento técnico del RGPD (cifrado, minimización, retención). El informe pericial resultante puede usarse en procedimientos ante la AEPD o ante los tribunales.
¿Qué alternativas al fichaje biométrico son igualmente efectivas y conformes al RGPD?
Las principales alternativas conformes son: NFC individual con tarjeta o pulsera nominativa intransferible; QR dinámico personal que cambia cada 30-60 segundos desde la app del empleado; app móvil con verificación de dispositivo registrado más geolocalización; PIN individual con OTP por SMS como segundo factor. Ninguna de estas opciones procesa datos biométricos, y todas ofrecen niveles de seguridad comparables contra el fichaje fraudulento cuando se implementan correctamente.
Términos Relacionados
Datos Biométricos
Datos personales de categoría especial obtenidos del tratamiento técnico de características físicas, fisiológicas o conductuales de una persona que permiten su identificación unívoca, como huellas dactilares, reconocimiento facial, patrones de iris o voz.
Reconocimiento Facial
Tecnología biométrica que identifica o verifica la identidad de una persona mediante el análisis automatizado de sus rasgos faciales, comparando patrones geométricos del rostro contra una base de datos o una imagen de referencia.
Geolocalización Forense
Técnicas de análisis forense para extraer, verificar y documentar datos de ubicación geográfica desde dispositivos digitales, metadatos de archivos, registros de redes móviles y servicios en línea.
Registro Horario Digital
Sistema electrónico de documentación de la jornada laboral que genera evidencia digital con valor probatorio ante inspecciones de trabajo y tribunales, cumpliendo los requisitos de inmutabilidad, trazabilidad y accesibilidad remota exigidos por la normativa española.
RGPD (Reglamento General de Protección de Datos)
Reglamento europeo (UE) 2016/679 que regula el tratamiento de datos personales. En peritaje forense, determina cómo recopilar, analizar y presentar evidencia digital sin vulnerar derechos fundamentales de privacidad.
¿Necesitas un peritaje forense?
Si necesitas ayuda profesional con análisis forense digital, estoy aquí para ayudarte.
Solicitar Consulta Gratuita