La justicia gallega ha fallado en contra de una entidad mercantil, obligándola a indemnizar con una suma superior a los 50.000 euros a una de sus empleadas por la imposición del reconocimiento facial como herramienta de fichaje. Según la sentencia del Tribunal Superior de Justicia, este sistema quebranta los derechos fundamentales de la trabajadora, argumentando que existen alternativas de registro horarias mucho menos invasivas para la esfera privada.
Desde la entrada en vigor de la normativa en 2019, la contabilización de las horas de trabajo es una exigencia legal para todo el tejido empresarial español, sin excepciones de plantilla o actividad. No obstante, el veredicto subraya que no todos los mecanismos son válidos; el tribunal recalca que la implementación de biometría supone una intromisión desproporcionada en las libertades del personal cuando existen otras vías de control más equilibradas.
Como consecuencia directa del fallo, la organización deberá pagar a la demandante un total de 53.766 euros. Esta cifra se divide en una compensación de 46.266 euros por la extinción contractual (asimilada a un despido) y un pago adicional de 7.500 euros para resarcir los perjuicios morales ocasionados.
La Agencia Española de Protección de Datos (AEPD), en sintonía con el Reglamento General de Protección de Datos (RGPD), veta con carácter general el uso del rostro para el control de presencia. El empleo de esta tecnología queda limitado a situaciones de necesidad extrema o bajo un consentimiento que, en el ámbito laboral, suele ser cuestionable debido a la posición de subordinación del empleado frente a la empresa.
José Plaza, responsable legal en PayFit, destaca que, si bien este dictamen no establece una doctrina obligatoria en todo el país, marca una hoja de ruta nítida alineada con la AEPD: la gestión de datos biométricos en el trabajo debe quedar relegada a casos estrictamente excepcionales.
«El fallo envía una advertencia contundente a las empresas sobre los riesgos de adoptar tecnologías intrusivas sin una base jurídica robusta», comenta Plaza. De no hacerlo, las compañías se exponen no solo a sanciones de carácter administrativo, sino a la rescisión indemnizada de los contratos por vulnerar garantías constitucionales como la dignidad o la propia intimidad.
El incumplimiento de los criterios de la AEPD no solo conlleva indemnizaciones directas a los trabajadores, sino también multas de la propia administración. Estas penalizaciones pueden escalar hasta cuantías millonarias dependiendo de factores como la reincidencia, el dolo o el volumen de empleados cuyos derechos hayan sido afectados, según advierte el abogado.
La autoridad de protección de datos impulsa la transición de los registros físicos a formatos digitales para asegurar la integridad de la jornada, pero advierte que la huella o el rostro son datos de «categoría especial». Por ello, el regulador sugiere priorizar herramientas como aplicaciones con geoposicionamiento, dispositivos RFID, códigos QR o sistemas de autogestión en la nube.
Miguel López, directivo en Barracuda Networks, matiza que la biometría es cualitativamente distinta a una clave tradicional, ya que los rasgos físicos son inseparables del individuo. Su recolección masiva eleva exponencialmente el nivel de riesgo si los protocolos de ciberseguridad no son extremadamente rigurosos.
La naturaleza irreversible de estos datos es el mayor peligro: a diferencia de un código alfanumérico, una cara comprometida en una brecha de seguridad no se puede resetear. Si estos patrones se custodian en servidores centrales vulnerables, el riesgo para el usuario se vuelve permanente en caso de ataque informático.
López también señala la amenaza del spoofing o suplantación, donde técnicas de deepfake o imágenes de alta definición pueden burlar sensores mediocres. Además, las arquitecturas de red mal protegidas son susceptibles de sufrir interceptaciones de datos o saltos en los procesos de validación de identidad.
A los fallos técnicos se suman el peligro de una monitorización constante no deseada y el deterioro de la imagen corporativa. Estos incidentes suelen provocar, a largo plazo, una crisis de confianza interna y un daño reputacional difícil de reparar ante la opinión pública.
Bajo este escenario de riesgos, la normativa demanda una protección reforzada basada en la minimización de la información recogida y el uso de encriptación de última generación. Estas salvaguardas legales buscan que el ciudadano mantenga el dominio sobre los pilares básicos que configuran su identidad personal.
Actualmente, la AEPD solo contempla excepciones para el reconocimiento facial cuando existe una base legal específica, como en sectores de seguridad pública o protección de infraestructuras críticas. Incluso en estos supuestos, su aplicación no es automática, sino que debe superar un estricto test de necesidad y proporcionalidad.
En paralelo, el sector tecnológico busca soluciones más respetuosas mediante la biometría descentralizada. Esta metodología permite que el patrón biométrico resida exclusivamente en el terminal del trabajador, utilizando técnicas de cifrado homomórfico para validar la identidad sin que la empresa llegue a poseer nunca el dato original.
Independientemente del progreso técnico, Plaza considera esencial que se definan con mayor claridad los límites de la tecnología en el entorno de trabajo. Es imperativo desarrollar manuales de buenas prácticas que ofrezcan seguridad jurídica a las empresas sobre qué sistemas son legítimos y cómo deben custodiarse.
«A menudo se asume erróneamente que la modernidad tecnológica implica legalidad automática», concluye Plaza. El experto enfatiza que la protección de datos requiere una mayor labor educativa para evitar que se repitan condenas como la del tribunal gallego por una interpretación laxa de la normativa vigente.