Control horario ¿es legal usar biometría o geolocalización en 2026?

Estamos recibiendo numerosas consultas sobre la legalidad del uso de datos biométricos y sistemas de geolocalización para el control horario, especialmente tras la última comunicación del Ministerio de Trabajo, que recuerda que los sistemas de fichaje deben ser electrónicos y accesibles para la Inspección de Trabajo.

A continuación, ofrecemos un análisis jurídico-técnico claro, actualizado y sin eufemismos, basado en la normativa vigente, la Ley de Registro de Jornada, los criterios recientes de la AEPD y las limitaciones reales que deben tener en cuenta las empresas.

🔗 Si tu empresa está revisando o implantando un sistema de control horario digital, es clave analizar previamente los riesgos legales y de protección de datos.

👉 Consulta aquí cómo evaluamos la legalidad y adecuación RGPD de los sistemas de control horario

1) Marco legal básico aplicable al control horario

📌 Obligación general de control horario.
Desde mayo de 2019 el art. 34.9 del Estatuto de los Trabajadores impone a todo empleador llevar un registro de jornada efectivo y fiable (inicio y fin). El Ministerio de Trabajo ha reforzado esta exigencia con desarrollos reglamentarios para sistemas digitales con trazabilidad y fiabilidad técnica reforzada (borradores y nuevos Reales Decretos en trámite en 2025).

📌 Protección de datos personales.
El RGPD (art. 4 y 9) y la LOPDGDD (art. 5-6 y art. 90) aplican siempre que se traten datos personales de trabajadores. Los datos de ubicación y biométricos son categorías especialmente sensibles (biometría) o datos personales con impacto alto en privacidad (geolocalización).

📌 Base jurídica para el control y la geolocalización.
Para datos personales en el ámbito laboral, no se exige consentimiento cuando el tratamiento es necesario para cumplir una obligación legal o contractual vinculada a la relación laboral (registro de jornada). Esto se basa en la legitimación del art. 6.1.c RGPD combinada con la exigencia del ET y del artículo 34.9 ET (no hace falta, en principio, un “consentimiento explícito” para fichar).

Esto no significa que se pueda tratar cualquier dato sin más: los principios de minimización, proporcionalidad y necesidad siguen operando, y se requiere información suficiente, evaluación de impacto en muchos casos, y medidas de seguridad adecuadas.

2) Datos biométricos para control horario

La AEPD ha publicó en noviembre de 2023 una guía específica sobre sistemas biométricos para control de presencia.

🔎 Puntos clave de ese criterio (posición actual de la AEPD):

  • La biometría (huellas, reconocimiento facial, iris, etc.) se considera categoría especial de datos (alto riesgo).
    • Según el RGPD art. 9 están prohibidos salvo que concurran excepciones estrictas (p. ej. obligación legal, derechos y deberes en Derecho laboral, o especificación normativa que lo permita).
    • La AEPD recuerda que para usar datos biométricos hay que superar la prueba de idoneidad, necesidad y proporcionalidad frente a otras medidas menos intrusivas.
  • El uso es posible, pero extremadamente limitado y en la práctica compatible solo si una norma con rango de Ley lo habilita de forma expresa o si se cumple una causa del art. 9.2 RGPD (laboral o acceso contractual).
    • Sin base legal de rango legal claro que autorice biometría para el registro de jornada, la AEPD entiende que no cumple la proporcionalidad frente a alternativas menos intrusivas (PIN, tarjeta, código QR).
  • La AEPD deja claro que, aunque el trabajador consienta, eso no basta si el tratamiento no es necesario o proporcional cuando existen técnicas menos invasivas.

👉 Conclusión práctica:
Conforme a la AEPD hoy el uso de datos biométricos exclusivamente para fichar la jornada no es una práctica recomendada y la misma autoridad lo califica, en esencia, como no proporcional ni necesario en condiciones normales. Las guías empujan a evitar sistemas biométricos para este fin en favor de métodos que no traten categorías especiales.

⚠️ No existe, a fecha de hoy, una norma legal con rango de Ley que habilite de forma explícita el uso de biometría para fichar en España. Por tanto, sin tal habilitación, la AEPD considera que suele vulnerarse el RGPD.

📌 Nota práctica:
Ha habido decisiones administrativas y judiciales en un sentido u otro en casos concretos, pero la postura general del regulador de protección de datos es restrictiva y en la práctica las inspecciones y sanciones de la AEPD se han endurecido frente a biometría indiscriminada para control horario.

3) Geolocalización para control horario

Aquí la situación es más clara y aceptada dentro de límites:

📍 Base legal y legitimación

  • El art. 20.3 del Estatuto de los Trabajadores permite medidas de vigilancia y control para verificar el cumplimiento de obligaciones laborales.
  • El art. 90 LOPDGDD recoge específicamente que la geolocalización está permitida en contexto laboral dentro de los límites del ejercicio de control laboral (vinculando art. 20.3 ET con protección de datos).

🧠 Principios de tratamiento

  • La geolocalización como dato personal puede tratarse siempre que sea limitada al tiempo de la jornada laboral, para el único fin de registrar inicio y fin de jornada o verificar un perímetro acordado;
    debe ser idónea, necesaria y proporcional.

🚫 Limitaciones importantes

  • No se puede realizar seguimiento continuo fuera de la jornada laboral.
  • Si se usa dispositivo personal, consentimientos especiales y alternativas técnicas deben considerarse, porque obligar a instalar apps geolocalizadoras en dispositivos privados puede vulnerar privacidad y derechos laborales (AEPD y especialistas lo advierten).
  • El tratamiento debe cumplir con RGPD: información, minimización, propósito, evaluación de impacto si corresponde y medidas de seguridad.

👉 Conclusión práctica:
La geolocalización para el registro de jornada es legal si se limita estrictamente a ese propósito, se informa adecuadamente y se respeta el derecho a desconexión fuera del horario. Es una medida legítima bajo ET y LOPDGDD, sujeta a los principios de protección de datos.

4) Resumen claro y sin rodeos

5) Consejo práctico inmediato

  • Si estás diseñando un sistema de registro de jornada o ya dispones de uno:
    • Evita biometría para fichar si no hay una norma con rango legal que lo habilite claramente.
    • Apuesta por geolocalización solo cuando sea realmente útil (p. ej. teletrabajo o fuerza comercial), con guardado de ubicación solo durante horario laboral y derechos de desconexión respetados.
    • Documenta evaluaciones de impacto, informa a los trabajadores con detalle y piensa en soluciones alternativas si tratas datos sensibles.
    • Mantén el registro de actividad de tratamientos y las bases jurídicas (art. 6 RGPD) por escrito.

Preguntas frecuentes sobre control horario, biometría y geolocalización

¿Es obligatorio que el control horario sea digital en 2026?

Sí. El artículo 34.9 del Estatuto de los Trabajadores exige un registro de jornada fiable y accesible, y el Ministerio de Trabajo ha reforzado esta obligación impulsando sistemas electrónicos que permitan trazabilidad y acceso por parte de la Inspección de Trabajo.

¿Es legal usar huella dactilar o reconocimiento facial para fichar?

En la práctica, no es una opción recomendada. La AEPD considera que los datos biométricos son categorías especiales de datos y que, sin una habilitación legal expresa con rango de Ley, su uso para el control horario no suele superar el test de necesidad y proporcionalidad frente a alternativas menos intrusivas.

¿Basta con el consentimiento del trabajador para usar biometría?

No. En el ámbito laboral el consentimiento no se considera libre en muchos casos. Además, la AEPD ha reiterado que, aunque exista consentimiento, el tratamiento biométrico no es válido si no es estrictamente necesario y proporcional.

¿Puede usarse la geolocalización para el control horario?

Sí. La geolocalización está permitida en el ámbito laboral conforme al artículo 20.3 del Estatuto de los Trabajadores y al artículo 90 de la LOPDGDD, siempre que se limite al horario laboral, tenga una finalidad legítima y se informe correctamente al trabajador.

¿Se puede geolocalizar al trabajador fuera de su jornada?

No. El seguimiento fuera del horario laboral vulnera el principio de proporcionalidad y el derecho a la desconexión digital. La geolocalización debe activarse únicamente durante la jornada efectiva.

¿Qué riesgos existen si el sistema de control horario no cumple el RGPD?

El incumplimiento puede dar lugar a sanciones de la AEPD por vulneración del RGPD, requerimientos de retirada del sistema, conflictos laborales y sanciones de la Inspección de Trabajo por defectos en el registro de jornada.

¿Qué debería hacer una empresa para cumplir correctamente?

Elegir sistemas no intrusivos, documentar la base jurídica del tratamiento, informar a los trabajadores, realizar evaluaciones de impacto cuando proceda y mantener actualizado el registro de actividades de tratamiento.

¿Tu sistema de control horario cumple realmente con la normativa?

En Legal Advisors in Compliance analizamos sistemas de fichaje, biometría, geolocalización y riesgos frente a la Inspección de Trabajo y la AEPD.

👉 Solicita una auditoría legal de tu sistema de control horario

¡Comparte esta noticia!
Blog Compliance, noticias sobre compliance penal, canal de denunicas