La Audiencia Nacional (AN) ha anulado una resolución de la Agencia Española de Protección de Datos (AEPD) hacia una empresa por el uso de datos biométricos para el control de accesos en su sede. Una decisión con la que el tribunal reconoce que la sanción impuesta, de 20.000 euros, fue desproporcionada.
El 12 de noviembre de 2021, la AEPD imponía a la empresa Daviser Servicios S.L. una sanción de 20.000 euros, entendiendo que la compañía había cometido infracción grave del reglamento de protección de datos.
En concreto, la Agencia estimaba así las acusaciones realizadas por la Federación Intercomarcal de Tarragona de la CGT, que señalaba a los ficheros de acceso a la empresa, consistentes en «lectura de huella digital» y clave del operario.
Ficheros que también se encontraban instalados en las puertas de acceso a los vestuarios, lavabos y comedor.
Un sistema de lectura de huella dactilar, y por tanto de tratamiento de datos biométricos de los trabajadores, que la Agencia consideraba que vulneraba el principio de minimización de datos, contemplado en el artículo 5.1 del RGPD. Y con ello, sancionaba a Daviser Servicios S.L. con 20.000 euros.
Una decisión que la empresa llevaba ante los tribunales. En concreto, ante la sala de lo Contencioso-Administrativo de la Audiencia Nacional.
Sala, compuesta por los magistrados Fernando Luis Ruiz Piñeiro (presidente), Amalia Basanta Rodríguez (ponente), Luis Hemuth Moya y Ricardo Fernández Carballo-Calero que, en su sentencia de 11 de febrero de 2026, estimaba parcialmente las pretensiones de la compañía.
Un fallo en el que los magistrados realizaban un análisis sobre los tres elementos fundamentales en cuanto a los datos biométricos y su uso empresarial: idoneidad, necesidad y proporcionalidad.
Los datos biométricos, a examen
Caso en el que la Audiencia Nacional coincidía con la AEPD en que instalar estos lectores de datos biométricos para ir al servicio no eran «proporcionales ni necesarios». Y es que, pese a la justificación de la empresa, que buscaba así prohibir el acceso a personal externo, el tribunal valora, al igual que la Agencia, que existen métodos «mucho menos intrusivos».
Sin embargo, el tribunal considera que la sanción impuesta es excesiva.
Ello, valorando la AN que la empresa «no actuó unilateralmente con fines de vigilancia oculta», ya que la medida se aprobó en reuniones informativas con los trabajadores. Del mismo modo, la compañía colaboró en todo momento, llegando a desactivar estos dispositivos.
Algo que, para el tribunal, supone que la sanción y el expediente disciplinario de la AEPD tuvieron un cumplido efecto disuasorio.
Valoración que lleva al tribunal, por la ausencia de dolo y la disposición de la empresa a corregir el uso de estos datos biométricos, a anular la sanción, estipulando únicamente una amonestación formal en forma de apercibimiento.
