El 19 de marzo de 2025, la Superintendencia de Protección de Datos Personales (en adelante, SPDP) emitió el Oficio N° SPDP-IRD-2025-0031-O[1], en respuesta a la consulta N° 002-2025, en la cual se solicitó un pronunciamiento sobre la procedencia del tratamiento de datos biométricos en el control de asistencia laboral. En su resolución, la SPDP concluyó que dicho tratamiento resulta desproporcionado e impertinente, limitando su aplicación bajo cualquier circunstancia. En su lugar, sugiere métodos alternativos como: uso de tarjetas magnéticas, el registro manual de asistencia o el control de horarios mediante direcciones IP. Veamos los principales argumentos esgrimidos en su pronunciamiento.

El artículo 26 de la Ley Orgánica de Protección de Datos Personales (LOPDP) establece que, cuando se traten datos sensibles (como las huellas-datos biométricos), es obligatorio obtener el consentimiento del titular, el cual debe ser libre y no impuesto. Sobre esta base, la SPDP sostiene que, en el contexto de una relación laboral, el consentimiento del trabajador no puede considerarse verdaderamente libre, pues existiría una relación de poder y un denominado “temor reverencial” que lo obligaría a aceptarlo sin una plena autonomía de decisión. En consecuencia, la SPDP descarta el consentimiento como base jurídica válida para el tratamiento de estos datos en el control de registro laboral.

Sin embargo, la propia normativa establece excepciones a la exigencia de consentimiento. Una de ellas es la contenida en el literal b del artículo 26 de la LOPDP, que permite el tratamiento de datos sensibles sin necesidad de consentimiento cuando este se derive del cumplimiento de una obligación legal o del ejercicio de un derecho laboral. Aquí surge un punto crucial en la argumentación de la SPDP: la entidad sostiene que“…la excepción no aplica en el presente caso debido a que no hay ninguna norma expresa la cual obligue al responsable de tratamiento (empleador) a registrar la asistencia con el uso de dispositivos biométricos” No obstante, esta lectura del artículo 26 parece confundir dos conceptos distintos: la existencia de una obligación legal y la obligatoriedad de un método específico para su cumplimiento. Lo que la excepción establece no es que exista norma expresa que obligue el uso de estos dispositivos, sino que el tratamiento de datos sensibles pueda realizarse sin consentimiento cuando exista una obligación legal o el ejercicio de un derecho. Por tanto, la pregunta debería ser si el registro de asistencia podría o no estar vinculado a obligaciones y derechos laborales ya reconocidos en el ordenamiento jurídico.

Al respecto, llama la atención que no se haya desarrollado mayor análisis sobre lo propuesto. Los controles de asistencia no son una simple formalidad, sino que guardan una relación directa con derechos y obligaciones laborales, como: el pago de remuneraciones, descuentos, el cálculo de horas extras, faltas graves o injustificadas, entre otros. En el contexto europeo, la Agencia Española de Protección de Datos (AEPD) ha señalado en su «Guía sobre Relaciones Laborales y Protección de Datos«[2] que la base legitimadora para registrar la asistencia se sustenta en la obligación legal de registrar la jornada laboral. Y en Ecuador ¿el artículo 47 del Código de Trabajo, que establece una jornada de 8 horas diarias, no impone una obligación al empleador de verificar su cumplimiento? ¿El artículo 55 ibidem, que regula las horas extraordinarias, no exige un control para el pago de horas extras? ¿Y qué hay de los demás escenarios derivados del registro de asistencia, como los procesos por faltas graves? ¿Por qué la Superintendencia no valoró todos estos elementos?

Ahora, si se acepta este matiz alternativo y se asume que la base legitimadora para el el registro de asistencia es una obligación legal, el debate sobre la necesidad del consentimiento perdería sentido. No sería un requisito indispensable, dado que la propia normativa prevé excepciones a su exigencia en estos casos. Por tanto, la base legitimadora sería una obligación legal, y paralelamente el cumplimiento contractual.

Sin embargo, si entramos en el debate del consentimiento, en el ámbito laboral es un tema ampliamente debatido a nivel internacional. Si bien es cierto que debe analizarse con mayor rigor para garantizar que sea libre y voluntario, esto no significa que todo consentimiento obtenido en relaciones laborales deba considerarse viciado de manera resctrictiva. En este contexto, quizás podría ser más acertado matizar la postura adoptada, en lugar de descartar por completo esta posibilidad.

En lo que respecta al juicio de proporcionalidad para el uso dispositivos para recabar datos sensibles-biométricos, la SPDP, sin dar muchas razones, concluye que este tipo de tratamientos no cumple con los criterios de necesidad y pertinencia. Sin embargo, el principio de proporcionalidad exige una evaluación caso por caso, considerando la necesidad del tratamiento y su impacto en los derechos de los trabajadores. No se trata de imponer una restricción absoluta, sino de valorar las circunstancias específicas de cada situación para determinar la pertinencia de la medida. Pero, en lugar de ello, el pronunciamiento de la institución opta por una negativa tajante sin mayor reparo.

Es llamativo que, pese a la contundencia con la que la SPDP rechaza el uso de datos biométricos, concluya su pronunciamiento sugiriendo una evaluación de impacto antes de su implementación ¿Esto no implica la posibilidad de que, en ciertos escenarios, su uso sí pueda ser adecuado y proporcional? La propia Agencia Española establece en su guía un listado de garantías[3] para los casos en que se implementen sistemas biométricos para verificación o autenticación. Esto evidencia que el debate no debería centrarse en una prohibición absoluta, sino en cómo implementar medidas de protección adecuadas para garantizar un equilibrio entre la protección de datos y la operatividad laboral.

Con lo dicho, lejos de cerrar la discusión, se abren una serie de interrogantes que merecen ser debatidas con mayor profundidad. La protección de datos personales es un derecho, pero su regulación debe ser equilibrada, con argumentos sólidos. Una interpretación restrictiva podría generar incertidumbre y obstaculizar el desarrollo de mecanismos de control que, aplicados de manera proporcional, podrían coexistir con la garantía de los derechos de los trabajadores.

---

[1] https://spdp.gob.ec/consultasatendidas/

[2] https://www.aepd.es/guias/la-proteccion-de-datos-en-las-relaciones-laborales.pdf , pagina 35.

[3] Ibidem. pág. 31 y 32.

Artículo elaborado por : Equipo de Protección de Datos de Vérité Legal & Compliance, liderado por Franklin C.