LEGAL VERITAS ®

EMPRESA DE PROTECCION DE DATOS

Control de accesos y biometría en plantas industriales: lo que la normativa permite en 2026

Control de accesos y biometría en plantas industriales: lo que la normativa permite en 2026

General ·

La implantación de control biométrico de empleados en plantas industriales y fábricas inteligentes plantea retos jurídicos relevantes en 2026. En particular, estos sistemas afectan directamente a derechos fundamentales como la protección de datos personales y la intimidad en el ámbito laboral. Por ello, su uso debe analizarse a la luz de la normativa vigente y de los criterios de las autoridades de control. Así pues, las ideas clave a analizar son:

  • Primero, que el uso de datos biométricos implica el tratamiento de categorías especiales de datos.
  • Segundo, que no todo sistema de control de accesos biométrico es lícito en el entorno industrial.
  • Tercero, que la base jurídica y el principio de proporcionalidad son determinantes.
  • Cuarto, que la geolocalización y la monitorización requieren garantías reforzadas.
  • Quinto, que la documentación y la evaluación de impacto son esenciales.

Tabla de contenidos

Autora:

Domingo Gómez

Industria 4.0 y control biométrico de empleados en entornos industriales

En primer lugar, la Industria 4.0 se caracteriza por la automatización avanzada y la interconexión de sistemas. En este contexto, las empresas industriales recurren a tecnologías de control de accesos para:

  • Primero, proteger instalaciones críticas.
  • Segundo, prevenir riesgos laborales.
  • Tercero, garantizar la trazabilidad de operaciones.
  • Cuarto, controlar turnos y presencia.

Sin embargo, no todas las tecnologías presentan el mismo impacto jurídico. En especial, los sistemas biométricos exigen un análisis más riguroso.

¿Qué se considera dato biométrico según la normativa vigente?

De acuerdo con el artículo 4.14 del RGPD, los datos biométricos son aquellos obtenidos a partir de un tratamiento técnico específico, relativos a características físicas, fisiológicas o conductuales de una persona física.

Además, el artículo 9 del RGPD los califica como categorías especiales de datos personales cuando se utilizan para identificar de manera unívoca a una persona. Entre otros, se incluyen:

  • Para comenzar, la huella dactilar.
  • Seguidamente, el reconocimiento facial.
  • A continuación, la geometría de la mano.
  • Para finalizar, el iris o retina.

Por tanto, su tratamiento se encuentra, con carácter general, sujeto a una prohibición reforzada, salvo que concurra alguna de las excepciones previstas de forma expresa en el artículo 9.2 del RGPD y se cumplan el resto de principios aplicables.

Tecnología biométrica¿Dato biométrico RGPD?Impacto potencial en protección de datos
Huella dactilarAlto
Reconocimiento facialMuy alto
Geometría de la manoAlto
Iris o retinaMuy alto
Tarjeta RFID sin biometríaNoBajo

Control biométrico de empleados y base jurídica en el ámbito laboral

En el ámbito del control biométrico de empleados hay que conocer cuál es el marco normativo aplicable, así como la posición de la AEPD y del Comité Europeo de Protección de Datos.

Marco normativo aplicable para el control biométrico de empleados

En el entorno laboral industrial, el tratamiento de datos personales se apoya principalmente en:

  • Primero, el artículo 6 del RGPD, relativo a la licitud del tratamiento.
  • Segundo, el artículo 9.2 del RGPD, sobre excepciones para categorías especiales.
  • Tercero, el artículo 20.3 del Estatuto de los Trabajadores, en materia de control empresarial.
  • Cuarto, el artículo 90 de la Ley Orgánica 3/2018 (LOPDGDD), sobre derechos digitales en el ámbito laboral.

Ahora bien, la Agencia Española de Protección de Datos ha sido clara en sus criterios recientes.

Posición de la AEPD y del Comité Europeo de Protección de Datos

Según la Guía sobre tratamientos de control de presencia mediante sistemas biométricos de la AEPD, el uso de biometría para el control horario o de accesos solo es lícito cuando:

  • Para comenzar, sea estrictamente necesario.
  • Para continuar, no existan medios menos intrusivos.
  • En último lugar, cuando se supere un test de proporcionalidad.

En consecuencia, el consentimiento del trabajador, con carácter general, no se considera una base jurídica válida en el ámbito laboral, debido al desequilibrio de poder existente, conforme a lo indicado por el Comité Europeo de Protección de Datos y el considerando 43 del RGPD.

Base jurídica analizadaViabilidad jurídica generalCondición imprescindible
Consentimiento del trabajadorNo, en generalDesequilibrio de poder
Interés legítimoSolo excepcionalmenteTest de proporcionalidad
Obligación legalEn supuestos concretosNorma específica
Control empresarial (ET)Puede justificar el tratamientoFinalidad legítima, necesidad y proporcionalidad

Geolocalización y monitorización en fábricas inteligentes

Además del acceso físico, muchas plantas industriales incorporan sistemas de geolocalización y monitorización de empleados.

Límites legales a la geolocalización

El artículo 90 de la LOPDGDD permite el uso de sistemas de geolocalización siempre que:

  • Primero, exista una finalidad legítima.
  • Segundo, se informe de forma expresa, clara y previa.
  • Tercero, se respeten los principios de minimización y proporcionalidad.

Asimismo, la geolocalización continua o permanente suele considerarse desproporcionada, salvo en supuestos muy concretos y debidamente justificados de seguridad industrial, y siempre que se respeten los principios del artículo 5 del RGPD.

Monitorización y vigilancia tecnológica

Por otro lado, la monitorización mediante sensores, dispositivos wearables o sistemas de seguimiento de actividad debe evaluarse caso por caso. En particular, debe tenerse en cuenta:

  • Primero, que no puede utilizarse para un control constante del comportamiento.
  • Segundo, que debe limitarse al tiempo de trabajo.
  • Tercero, que requiere políticas internas claras y documentadas.

Evaluación de impacto y obligaciones documentales en el ámbito del control biométrico de empleados

Siempre que la implantación de un sistema biométrico o de monitorización avanzada pueda entrañar un alto riesgo para los derechos y libertades de las personas trabajadoras, resulta imprescindible realizar una Evaluación de Impacto relativa a la Protección de Datos, conforme al artículo 35 del RGPD. Así pues, esta evaluación debe:

  • Primeramente, identificar riesgos específicos.
  • Seguidamente, analizar la necesidad y proporcionalidad.
  • Por último, definir medidas técnicas y organizativas adecuadas.

Además, la empresa debe mantener un registro actualizado de actividades de tratamiento.

Recomendaciones prácticas para empresas industriales en el control biométrico de empleados

A modo de síntesis, antes de implantar control biométrico de empleados, resultan aconsejables medidas como:

  • Primero, analizar alternativas menos intrusivas.
  • Segundo, documentar el test de proporcionalidad.
  • Tercero, informar adecuadamente a la plantilla.
  • Cuarto, actualizar políticas internas y protocolos.
  • Quinto, contar con asesoramiento jurídico especializado.

En Legal Veritas asesoramos a empresas industriales en la implantación segura y conforme a derecho de sistemas de control tecnológico en entornos de Industria 4.0. Por ello, si estás valorando introducir biometría, geolocalización o monitorización avanzada, contacta con nuestro equipo legal antes de tomar decisiones que puedan generar riesgos sancionadores.

¡Contacta con nosotros!

El contenido expuesto está redactado con carácter informativo. Por ello, incluso aunque se adapta al marco legal de 2026 en materia de privacidad, si necesitas asesoramiento acude a un equipo de expertos especializados como Legal Veritas para que estudie tu situación de manera individual.

Preguntas Frecuentes (FAQ)

¿Puede una empresa imponer el uso de huella dactilar para acceder a la fábrica?

Con carácter general, no. Esto se debe a que el uso de huella dactilar implica tratar datos biométricos conforme al artículo 9 del RGPD. Por ello, la AEPD exige acreditar que no existen alternativas menos intrusivas. Así pues, si existen alternativas menos intrusivas que permitan alcanzar la misma finalidad, la medida podrá considerarse desproporcionada y, en consecuencia, contraria a la normativa de protección de datos.

¿Es válido el consentimiento del trabajador para el control biométrico?

En la mayoría de los casos, no. En este sentido, el considerando 43 del RGPD y la doctrina del Comité Europeo de Protección de Datos establecen que el consentimiento no es libre en relaciones laborales, debido al desequilibrio existente entre empresa y trabajador. Por ello, solo en supuestos muy excepcionales y debidamente acreditados podría valorarse su validez, lo que en la práctica resulta poco frecuente.

¿Puede utilizarse reconocimiento facial por motivos de seguridad industrial?

Solo en supuestos excepcionales. No obstante, debe justificarse un riesgo real y elevado, conforme al artículo 9.2 del RGPD, y acreditarse que no existen alternativas menos intrusivas para alcanzar la misma finalidad. Además, se exige una evaluación de impacto previa y la adopción de medidas técnicas y organizativas reforzadas.

¿Durante cuánto tiempo pueden conservarse los datos biométricos?

El principio de limitación del plazo de conservación, recogido en el artículo 5.1.e del RGPD, obliga a conservar los datos únicamente durante el tiempo imprescindible para la finalidad perseguida. Por tanto, los plazos deben definirse y documentarse previamente, evitando cualquier conservación indefinida o no justificada.

Fuentes y recursos


Entradas Relacionadas

Domingo Gómez

Delegado de protección de datos DPO
Miembro de la Asociación profesional española de privacidad e inteligencia artificial

Interacciones con los lectores

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *