¿Puede reforzarse el registro de jornada sin erosionar el derecho fundamental a la protección de datos? La reforma laboral que plantea el Gobierno reabre preguntas clave sobre el equilibrio entre legalidad, eficacia y privacidad en el entorno de trabajo.
El Ministerio de Trabajo ha propuesto reducir la jornada máxima legal de 40 a 37,5 horas semanales, sin rebaja salarial. El proyecto, aprobado por el Consejo de Ministros en mayo de 2025, encara ahora una tramitación parlamentaria incierta. A la oposición del PP y Vox se suman enmiendas de Junts y la crítica frontal de la CEOE, que advierte de su impacto en la competitividad empresarial. Pero más allá del debate político, emerge otra cuestión central: ¿cómo se controla que la jornada se cumpla?
Desde la entrada en vigor del Real Decreto-ley 8/2019, todas las empresas deben garantizar el registro de la jornada diaria de su plantilla. La norma, que modificó el artículo 34 del Estatuto de los Trabajadores, busca garantizar el respeto a los tiempos de trabajo y facilitar la detección de horas extraordinarias no declaradas.
La normativa vigente permite a las empresas elegir el sistema de registro de jornada que mejor se adapte a su organización, siempre que sea fiable, veraz e inalterable. La nueva propuesta, sin embargo, da un paso más: obliga a implantar un sistema digital, interoperable, accesible para la Inspección de Trabajo, que identifique de forma inequívoca al trabajador y cuyos datos se conserven durante al menos cuatro años. Las sanciones también se endurecen: hasta 10.000 euros por trabajador afectado.
¿Estamos ante una herramienta necesaria para reforzar el control del tiempo de trabajo o ante una habilitación legal para implementar registros digitales sin límites a la tecnología empleada? La biometría —el uso de rasgos físicos o conductuales para identificar a una persona— se posiciona como uno de los sistemas más eficaces. Difícilmente puede ser suplantada y previene prácticas fraudulentas como el “fichaje por otro”.
Pero también es la opción que más riesgos plantea para la privacidad. ¿Qué ocurre si una huella o un patrón facial se ve comprometido? A diferencia de una contraseña, no se puede cambiar. Por eso, el tratamiento de datos biométricos está sometido a un régimen legal especialmente estricto.
El Reglamento General de Protección de Datos (RGPD) prohíbe con carácter general el tratamiento de datos biométricos, al considerarlos de categoría especial. Esta prohibición solo puede levantarse si existe una base jurídica y si se supera el juicio de idoneidad, necesidad y proporcionalidad.
Durante un tiempo, la Agencia Española de Protección de Datos (AEPD) aceptó el uso de estos sistemas para el registro de jornada, siempre que mediara el consentimiento libre, informado y explícito del trabajador. Sin embargo, su criterio cambió tras la publicación de la Guía sobre tratamientos de control de presencia mediante sistemas biométricos, influida por las Directrices 05/2022 del Comité Europeo de Protección de Datos.
Desde entonces, la AEPD ha endurecido su postura: el uso de biometría ya no puede ser “por defecto” y debe justificarse caso por caso. En concreto, la Guía considera inválido el consentimiento como base legal para registrar la jornada. ¿El motivo? No existe una ley que obligue a usar biometría para este fin, y si existen sistemas alternativos menos intrusivos para la privacidad del trabajador, el uso de datos biométricos no superaría el juicio de necesidad ni el principio de minimización. Es decir, si el control puede realizarse sin recurrir a datos biométricos, no es legítimo utilizarlos, aunque el trabajador consienta.
Este nuevo enfoque se ha traducido en varios procedimientos sancionadores iniciados por la AEPD contra empresas que han implantado sistemas de fichaje biométrico. No obstante, la jurisprudencia española se ha mostrado algo más flexible.
El Tribunal Supremo ya se pronunció en este sentido en su Sentencia 5200/2007, y más recientemente, el Juzgado de lo Social nº 1 de Benidorm hizo lo propio en la Sentencia 116/2025. En este último caso, el juzgado avaló un sistema biométrico que captaba únicamente minucias —puntos clave de la huella—, que eran convertidas en códigos alfanuméricos sin generar imágenes ni permitir su reconstrucción. Los datos no quedaban en poder de la empresa ni eran accesibles a terceros, indicando que el tratamiento era limitado y proporcionado al objetivo perseguido.
En todo caso, tanto la AEPD como las autoridades europeas y la jurisprudencia coinciden en lo esencial: el uso de tecnologías biométricas para registrar la jornada debe cumplir estrictamente con la normativa de protección de datos. Esto exige contar con una base legal, realizar una Evaluación de Impacto en Protección de Datos (EIPD), informar de forma previa y comprensible a los trabajadores, y demostrar que el sistema es idóneo, necesario y proporcional. Además, debe aplicarse el principio de minimización y, cuando proceda, comunicarse a la representación legal de los trabajadores. Si no se cumplen estos requisitos, el riesgo no es solo normativo: también se resiente la confianza en la empresa y se abre la puerta a litigios y sanciones.
¿Permitirá el nuevo proyecto normativo suavizar el criterio actual de la AEPD respecto al uso de datos biométricos para registrar la jornada?
Algunas autoridades ya han intentado tender puentes entre innovación y privacidad. El informe del Centro Criptológico Nacional, publicado en diciembre de 2024, destaca el uso de Renewable Biometric References (RBRs), recogidas en la norma ISO/IEC 24745:2022. Este sistema permite tratar datos biométricos de forma revocable y segura, garantizando confidencialidad, integridad y minimización del riesgo. A su vez, el Reglamento Europeo de Inteligencia Artificial considera que los sistemas biométricos no remotos —es decir, con intervención activa del usuario— representan un riesgo bajo o nulo para los derechos fundamentales.
El control horario no es un simple trámite administrativo. Es una herramienta clave para garantizar el cumplimiento de los derechos laborales, más aún si se aprueba una reducción de jornada. De ahí que el nuevo proyecto normativo insista en sistemas digitales interoperables, con registros inalterables e identificación inequívoca.
La cuestión, por tanto, no es solo si la biometría es la vía más eficaz, sino cómo se implanta. ¿Con qué garantías? ¿Con qué límites? ¿Cambiará este proyecto normativo el criterio actual de la AEPD?
Lo que está claro es que el uso de datos biométricos debe aplicarse con responsabilidad. Ni todo vale en nombre de la eficiencia, ni puede ignorarse que se trata de información extremadamente sensible. Encontrar el equilibrio entre control horario y protección de datos será uno de los grandes desafíos legislativos de los próximos meses. Conviene estar atentos a los próximos pronunciamientos.
Artículo publicado originalmente en el Blog de Fide en ElConfidencial
Artículo escrito por Sara Duro Santos, principal associate del Área Laboral en ECIJA, y Esperanza López Prados, Counsel del Área IT & Privacy en ECIJA
