El consentimiento como base legitimadora en el tratamiento de datos biométricos en el ámbito laboral: Un criterio en evolución

El 14 de marzo de 2025, mediante el Oficio No. SPDP-IRD-2025-0031-O, la Superintendencia de Protección de Datos Personales (SPDP) sentó un precedente determinante sobre la licitud del tratamiento de datos biométricos con fines de control de asistencia laboral. En dicho pronunciamiento, el organismo regulador afirmó con claridad que el consentimiento del trabajador no constituye una base válida para legitimar el tratamiento de datos biométricos, debido al desiquilibrio de poder en la relación laboral, lo que impide considerar dicho consentimiento como libre y voluntario, conforme exige el artículo 8 de la Ley Orgánica de Protección de Datos Personales (LOPDP).

Bajo esta premisa, la SPDP consideró que, incluso si existiese una manifestación expresa del titular de los datos, el contexto de subordinación laboral genera un riesgo elevado de “temor reverencial”, figura reconocida en el artículo 1472 del Código Civil ecuatoriano como un factor que impide la plena libertad del consentimiento. Por lo tanto, se concluyó que el uso de huellas digitales, reconocimiento facial u otros mecanismos biométricos para verificar la asistencia sería una práctica desproporcionada, innecesaria y contraria a los principios de minimización y proporcionalidad.

Posteriormente, la SPDP emitió el Oficio No. SPDP-IRD-2025-0065-O, en el cual ratificó los lineamientos establecidos previamente respecto el presente tema, pero introdujo nuevas precisiones técnicas que delinean un marco de interpretación más detallado y desarrollado.

 

En dicha absolución de consulta, la SPDP reconoce que el tratamiento de datos biométricos podría ser lícito, siempre que se cumplan cumulativamente tres condiciones fundamentales:

Superación del test de proporcionalidad: Se debe acreditar que el tratamiento es idóneo, necesario y no excesivo para la finalidad perseguida. Dicho test no solo debe aplicarse, sino que debe quedar documentado.

Evaluación de impacto y análisis de riesgo: de conformidad con los artículos 40, 41 y 42 de la LOPDP, el empleador debe llevar a cabo una evaluación documentada sobre los posibles impactos del tratamiento, incluyendo amenazas a la seguridad de la información, riesgos a los derechos fundamentales de los titulares y la aplicación de medidas organizativas y técnicas destinadas a prevenir, mitigar o neutralizar dichos riesgos. Esta evaluación, al igual que el test de proporcionalidad, debe ser elaborada por el responssable y el encargado de tratamiento de datos.

Un consentimiento libre: Sólo si se cumplen las condiciones anteriores, puede solicitarse el consentimiento del trabajador. Pero este debe ser realmente libre, específico, informado e inequívoco. Esto significa que el empleador debe ofrecer al trabajador alternativas reales y sin consecuencias negativas (económicas, disciplinarias o reputacionales) para el caso de que decida no consentir el uso de su información biométrica.


Un punto crucial de este pronunciamiento, es que la SPDP rechaza expresamente el uso del “interés general” como base legitimadora para este tipo de tratamiento, incluso en el ámbito de las instituciones públicas. La normativa ecuatoriana no reconoce el interés general como una causa autónoma para el tratamiento de datos sensibles, y por tanto su invocación carece de respaldo normativo dentro del régimen de protección de datos personales vigente en Ecuador.

Ahora bien, el 25 de julio de 2025, la SPDP emitió el Oficio No. SPDP-IRD-2025-0108-O, mediante el cual resolvió una consulta distinta a las anteriores por su enfoque exclusivo en el consentimiento como base legitimadora del tratamiento biométrico, sin aludir a instituciones públicas o al interés general.

La consulta planteaba si es jurídicamente viable utilizar el consentimiento explícito como fundamento legal para registrar la asistencia de trabajadores, siempre que exista un análisis de riesgo integral, medidas técnicas y organizativas que mitiguen dichos riesgos, y alternativas no invasivas que permitan al trabajador elegir libremente.

La respuesta de la SPDP fue clara: sí es posible utilizar el consentimiento como base legitimadora, pero únicamente en contextos excepcionales y bajo estrictas condiciones, reafirmando así el criterio técnico contenido en el Oficio No. SPDP-IRD-2025-0065-O. La entidad recalcó que el consentimiento por sí solo no es suficiente, y que el responsable del tratamiento debe demostrar documentalmente que:

      i.          Se han evaluado y descartado alternativas menos invasivas.

      ii.          Se ha superado el test de proporcionalidad.

     iii.          Se ha realizado una evaluación de impacto del tratamiento.

     iv.          El titular tuvo alternativas reales y no fue inducido a consentir por presión o subordinación.


Este enfoque más específico y técnico no contradice, sino que complementa y afina el criterio general establecido en los pronunciamientos anteriores. En definitiva, la SPDP establece que el uso de datos biométricos para control de asistencia es una medida altamente invasiva, que debe usarse como último recurso, y nunca como práctica generalizada, automática o por conveniencia operativa del empleador.

En conclusión, si bien la SPDP ha delineado principios rectores claros respecto al tratamiento de datos biométricos con fines de control de asistencia -como la excepcionalidad del uso, la primacía de medidas menos invasivas, y la exigencia de un consentimiento libre y plenamente informado-, lo cierto es que nos encontramos ante un criterio en evolución, que progresivamente ha transitado desde una prohibición tajante hacia una interpretación más técnica y condicionada. Este cambio evidencia la necesidad de directrices reglamentarias más específicas y vinculantes, que doten de mayor certeza jurídica tanto a empleadores como a titulares de los datos.


María José Zurita

Abogada | Asociada

Canessa Barriga Abogados

 

Sign in to leave a comment