Els sistemes de control biomètric d’entrada han estat en el focus de la polèmica des que es va obligar les empreses a registrar la jornada dels empleats. La seva normativa ha estat subjecta a guies, normatives i fins i tot lleis, que no han deixat de canviar i complicar-se des dels seus inicis, creant inseguretat jurídica que pot desembocar en severes multes.

un sistema de reconeixement d’empremta dactilar per a fitxar en l’entrada o sortida, estaria incomplint la normativa de l’Agència Espanyola de Protecció de Dades (AEPD), i l’empresa podria ser sancionada perquè utilitzar l’empremta dactilar és il·legal fins i tot quan l’empleat ha donat el seu consentiment d’ús. Però, tal com destaquen des de Audens, no sempre ho ha estat.

Al juliol de 2007 el Tribunal Suprem dictava sentènciaconsiderant que utilitzar l’empremta dactilar per al control horari no era una mesura excessiva, i l’ús a aquesta tecnologia no estava limitat per cap norma. Al novembre de 2012 s’aplicaven canvis en l’article 20.3 del Real Decreto Legislativo 2/2015 indiquen que “L’empresari podrà adoptar les mesures que estimi més oportunes de vigilància i control per a verificar el compliment pel treballador de les seves obligacions i deures laborals”. És a dir, que l’empresari podia continuar usant el registre de jornada per empremta dactilar de manera legal.

En 2016 es publica el Reglamento General de Protección de Datos (RGPD), i en ell s’inclouen els sistemes d’identificació per empremta dactilar i dades biomètriques com a “categoria especial”, diferenciant els usos de “identificació” i “autenticació”. El RGPD diu: “No obstant això, i amb caràcter general, les dades biomètriques únicament tindran la consideració de categoria especial de dades en els supòsits en què se sotmetin a tractament tècnic dirigit a la identificació biomètrica (un-a-diversos) i no en el cas de verificació/autenticació biomètrica (un-a-un)”.

Això implica que el sistema de registre de jornada per empremta dactilar vindria a verificar la identitat d’un empleat prèviament registrat és present, amb la qual cosa no incorre en els supòsits d’identificació sinó en els d’autenticació, quedant fora de “categoria especial”. Per tant, en aquest supòsit, el registre per empremta dactilar encara s’ajusta a la doctrina del Tribunal Suprem i manté la seva legalitat.

A l’abril de 2023, el Comité Europeo de Protección de Datos va confirmar unes directrius que tiraven per terra les instruccions del Tribunal Suprem i de l’Agència Espanyola de Protecció de Dades. En aquestes directrius s’unifica el criteri d’Autenticació i i Identificació que la AGPD havia mantingut separat ficant a tots dos en “categoria especial” per al tractament de dades.

El artículo 12 de esta directrizdirectriu del Comitè Europeu de Protecció de Dades diu:” Si bé totes dues funcions (autenticació i identificació) són distintes, ambdues es relacionen amb el processament de dades biomètriques relacionades amb una persona física identificada o identificable i, per tant, constitueixen un tractament de dades personals, i més concretament un tractament de categories especials d’informació personal”.