Qué dice (y qué no dice) la sentencia de la Audiencia Nacional sobre el fichaje biométrico para acceder a vestuarios y aseos

La Sala de lo Contencioso-Administrativo de la Audiencia Nacional (Sección Primera) ha dictado la sentencia 59/2026, de 11 de febrero, que revisa una sanción de 20.000 euros impuesta por la Agencia Española de Protección de Datos (AEPD) a la empresa Daviser Servicios SL por el uso de un sistema de huella dactilar para controlar el acceso a vestuarios y aseos. El caso se ha convertido en referencia obligada para cualquier organización que utilice, o esté valorando utilizar, sistemas biométricos de control de accesos u horario, y también ha generado titulares que conviene contrastar con el contenido real del fallo.

Antecedentes del caso

Daviser Servicios SL instaló en 2014 un primer sistema de huella dactilar para el acceso general a su nave industrial, con fines de control de presencia y seguridad. En 2017 amplió ese sistema a los vestuarios y aseos, tanto masculinos como femeninos, con el argumento de impedir el acceso de personal ajeno a la empresa (transportistas, comerciales, auditores). La gestión de la huella se externalizó mediante un encargado de tratamiento, que procesaba el dato biométrico y lo convertía en un código cifrado o “minucia”.

Una reclamación sindical, tramitada a raíz de una actuación previa de la Inspección de Trabajo, llevó a la AEPD a sancionar a la empresa por infracción del artículo 5.1.c) del RGPD (minimización de datos), en relación con el artículo 9 del mismo reglamento sobre categorías especiales de datos. La empresa recurrió ante la Audiencia Nacional.

Qué dice la sentencia

  • Confirma que el sistema empleado trata datos biométricos en el sentido del artículo 4.14 del RGPD, aunque la empresa alegara que solo se almacenaba un código o algoritmo (hash) y no la huella completa. El tribunal recuerda que ese hash sigue siendo un dato biométrico porque permite identificar de forma unívoca a la persona.
  • Ratifica que el uso de la huella para acceder a vestuarios y aseos no superó el triple juicio de idoneidad, necesidad y proporcionalidad exigido por el RGPD para tratar datos de categoría especial: solo unas cinco visitas externas al día justificaban imponer el fichaje biométrico a 76 trabajadores cada vez que necesitaban ir al baño, existiendo alternativas menos intrusivas (por ejemplo, la llave que ya se entregaba a las visitas).
  • Considera que vestuarios y aseos son espacios de especial protección de la intimidad, lo que refuerza la exigencia de proporcionalidad frente a cualquier medida de control, directa o indirecta.
  • Reduce la sanción de 20.000 euros a un simple apercibimiento. El tribunal no niega que hubo infracción, pero discrepa de los agravantes que la AEPD utilizó para pasar de la advertencia inicialmente prevista a la multa: no aprecia intencionalidad ni finalidad espuria, constata que los trabajadores conocieron y aceptaron la medida en una reunión informativa previa, valora que la empresa corrigió el sistema tras la actuación de la Inspección de Trabajo y lo desactivó en 2020, y muestra dudas razonables sobre el número real de empleados afectados.

Qué no dice la sentencia

Es igual de importante señalar los límites del fallo, porque parte de la cobertura mediática tiende a generalizar conclusiones que el texto no respalda:

  • No declara ilegal el fichaje biométrico en general. El sistema instalado en 2014 para el control horario y el acceso a la nave no fue objeto de sanción ni de este recurso, y la sentencia no se pronuncia sobre su legalidad.
  • No anula ninguna guía de la AEPD. La resolución cita y se apoya en criterios previos de la propia Agencia y en dictámenes del Grupo de Trabajo del Artículo 29 y del Comité Europeo de Protección de Datos; no los contradice ni los deja sin efecto.
  • No fija una prohibición absoluta de la biometría en el ámbito laboral. Analiza un uso concreto, en un contexto concreto (espacios de descanso, escaso tráfico de terceros, existencia de alternativas), y aplica a ese caso el juicio de proporcionalidad. Otros escenarios, como instalaciones con exigencias reforzadas de seguridad, podrían resolverse de otro modo si se acredita la necesidad real.
  • No impone expresamente la obligación de realizar una Evaluación de Impacto relativa a la Protección de Datos (EIPD) como requisito de forma, aunque sí recuerda que la doctrina europea recomienda documentar el juicio de proporcionalidad, habitualmente como parte de una EIPD.
  • No es necesariamente firme: la propia sentencia indica que cabe recurso de casación ante el Tribunal Supremo en el plazo de 30 días.

Bases de legitimación y RGPD/LOPDGDD

El artículo 9.1 del RGPD prohíbe, como regla general, el tratamiento de datos biométricos dirigidos a identificar de manera unívoca a una persona, por tratarse de una categoría especial de datos. El apartado 2 del mismo artículo permite levantar esa prohibición en casos tasados, entre ellos el consentimiento explícito o la necesidad del tratamiento para el cumplimiento de obligaciones en el ámbito laboral, siempre que exista una norma o un convenio colectivo que lo autorice con garantías adecuadas. La sentencia recuerda que estas excepciones deben interpretarse de forma restrictiva y que, en el caso analizado, la empresa no acreditó ninguna de ellas para el uso concreto en vestuarios y aseos.

A ello se suma el artículo 5.1.c) del RGPD (minimización de datos) y el artículo 72.1.a) de la LOPDGDD, que califica como infracción muy grave el tratamiento que vulnera los principios del artículo 5 del RGPD. En cuanto a la graduación de la sanción, el tribunal aplica los criterios del artículo 83.2 del RGPD y del artículo 76 de la LOPDGDD, apreciando como atenuante que la empresa sancionada no tiene como actividad habitual el tratamiento de datos.

¿Hace falta una evaluación de impacto?

El RGPD (artículo 35.3.b) exige una Evaluación de Impacto relativa a la Protección de Datos cuando el tratamiento a gran escala afecta a categorías especiales de datos, como es el caso de la biometría. La sentencia, siguiendo al Grupo de Trabajo del Artículo 29 y al Comité Europeo de Protección de Datos, insiste en que antes de implantar cualquier sistema de reconocimiento biométrico el responsable debe valorar si existen alternativas menos intrusivas capaces de lograr el mismo fin, y documentar esa valoración. En la práctica, esto convierte a la EIPD en el instrumento más seguro para acreditar el cumplimiento del principio de responsabilidad proactiva.

Beneficios y riesgos: el equilibrio pendiente

La biometría ofrece ventajas reales: mayor fiabilidad frente a la suplantación de identidad, comodidad de uso y rapidez. Pero estas ventajas conviven con riesgos que la propia sentencia detalla con extensión: los datos biométricos son permanentes y no se pueden cambiar en caso de compromiso o filtración, existen falsos positivos y falsos negativos, y su recogida puede revelar información adicional sobre la persona, como su origen étnico o su estado de salud, sin que el interesado lo perciba. Por eso el RGPD exige que la excepcionalidad de su uso se acredite caso por caso, y no se presuma por la comodidad que aporta la tecnología.

Recomendaciones prácticas

  • Antes de instalar o mantener un sistema biométrico, documentar por escrito la necesidad real, no solo la utilidad, frente a alternativas como tarjeta, PIN o llave.
  • Realizar y conservar una Evaluación de Impacto relativa a la Protección de Datos cuando el tratamiento afecte a categorías especiales de datos.
  • Limitar el uso de biometría a los espacios y finalidades estrictamente justificados, evitando extenderlo a zonas de descanso salvo necesidad acreditada.
  • Revisar los contratos de encargo de tratamiento para que reflejen con precisión todas las finalidades del tratamiento, incluidas las de seguridad de accesos.
  • Informar y, cuando proceda, negociar con la representación de los trabajadores antes de implantar estos sistemas.

Conclusión

La sentencia 59/2026 de la Audiencia Nacional no supone un cambio radical de criterio ni “tumba” ninguna guía, como ha sugerido parte de la prensa; confirma, con matices en la sanción, un criterio ya consolidado: el tratamiento de datos biométricos en el ámbito laboral exige una justificación estricta, proporcional y documentada. Las empresas que utilicen o planeen utilizar estos sistemas deben revisar su base de legitimación y su análisis de proporcionalidad antes de que sea la autoridad de control, o los tribunales, quienes lo hagan por ellas.

#sipylopd #SIPY #ProteccionDeDatos #RGPD #Biometria

Este artículo tiene finalidad informativa y no sustituye el asesoramiento jurídico específico sobre el caso concreto de cada organización.

Facebook
Twitter
LinkedIn
Email
WhatsApp
Telegram
Skype
Print