En enero de 2025, la Superintendencia de Protección de Datos Personales de Ecuador emitió el Oficio N.º SPDP-IRD-2025-0031-O, una resolución que ha generado gran debate en el ámbito empresarial y jurídico de Latinoamérica. En él, la autoridad ecuatoriana resolvió que el uso obligatorio de datos biométricos como la huella digital para el registro de asistencia laboral, sin consentimiento del titular, es ilegal.
El caso se originó a raíz de una denuncia contra una empresa que exigía a sus trabajadores registrar su ingreso mediante un lector de huella dactilar. Tras analizar el reclamo, la Superintendencia concluyó que dicho mecanismo no solo vulneraba el derecho a la protección de datos personales, sino que además contravenía el principio de consentimiento, base fundamental de toda política de tratamiento de datos sensibles.
Esta decisión ha encendido las alarmas más allá de las fronteras ecuatorianas, especialmente en Perú, donde muchas organizaciones emplean sistemas similares sin el debido sustento legal ni consentimiento informado.
¿Qué dijo exactamente la autoridad ecuatoriana?
El pronunciamiento gira en torno a tres preguntas claves:
1. ¿Es procedente el tratamiento de datos biométricos para el registro de asistencia laboral?
No, se considera desproporcionado e impertinente, ya que existen mecanismos menos invasivos para cumplir el mismo fin (tarjetas, sistemas manuales o digitales sin datos sensibles).
2. ¿Es necesario el consentimiento expreso para el tratamiento de datos biométricos?
Aunque parezca contradictorio, el consentimiento en este contexto no es válido, por no ser libre ni exento de presión (por el temor a perder el trabajo, entre otros).
3. ¿Se justifica el tratamiento sin consentimiento bajo las otras bases del artículo 26 de la LOPDP?
Tampoco, porque ninguna de las excepciones –ni por obligación legal, ni por interés vital, ni por orden judicial– es aplicable a este caso.
Este enfoque refuerza el principio de minimización de datos y el de proporcionalidad, pilares del derecho a la protección de datos personales en entornos democráticos.
El caso peruano: ¿estamos protegidos?
En el Perú, la Ley N.º 29733 – Ley de Protección de Datos Personales, y su reglamento, establecen con claridad el marco de protección:
- El artículo 2, inciso 4 califica como datos personales toda información que identifique o pueda identificar a una persona, lo cual incluye claramente los datos biométricos, considerados además datos sensibles.
- Según el artículo 5, el tratamiento de estos datos solo puede realizarse con el consentimiento previo, expreso, informado e inequívoco del titular.
- El artículo 13 profundiza aún más:
- 13.5 y 13.6: El tratamiento de datos sensibles requiere consentimiento escrito y solo puede omitirse si una ley específica lo autoriza por razones de interés público.
- 13.7: El consentimiento puede ser revocado en cualquier momento.
- 13.8: Solo entidades públicas competentes pueden tratar datos relacionados con antecedentes o infracciones.
La norma no exige ni autoriza expresamente el uso de datos biométricos para dicho fin, ni mucho menos impone su uso como obligatorio. En ese sentido, cualquier implementación de sistemas biométricos debe ser analizada bajo la Ley de Protección de Datos Personales – Ley N.º 29733, la cual clasifica los datos biométricos como datos sensibles.
¿Qué implica esto?
· Requiere consentimiento libre, informado, expreso y previo, que en una relación laboral puede verse comprometido por el desequilibrio de poder.
· El tratamiento debe superar los principios de proporcionalidad y necesidad, lo que pone en tela de juicio si realmente es imprescindible recurrir a datos tan sensibles para una finalidad que puede cumplirse de forma menos invasiva.
Es decir, la obligación de registrar la asistencia con huella digital sin consentimiento escrito del trabajador sería, en principio, ilegal y pasible de sanciones por parte de la Autoridad Nacional de Protección de Datos Personales del Perú (ANPD).
Alternativas legales y seguras: ¿cómo controlar la asistencia sin violar derechos?
Ante este panorama, las empresas peruanas deben repensar sus métodos de control de asistencia. Existen opciones tecnológicas que respetan los derechos de los trabajadores y cumplen con los objetivos administrativos:
- Registro por app móvil o página web con geolocalización voluntaria.
- Tarjetas de proximidad (RFID/NFC) que no recogen datos sensibles.
- Códigos QR dinámicos generados desde el celular.
- Firmas digitales o electrónicas simples.
- Reconocimiento facial opcional, con consentimiento explícito y debida protección.
Conclusión: lo que Ecuador nos recuerda
El caso ecuatoriano es un llamado de atención para los empleadores peruanos: los derechos digitales no son opcionales. La tecnología no puede imponerse por encima de la legislación ni del consentimiento libre de las personas. Hoy más que nunca, proteger los datos personales no es solo una obligación legal, sino una muestra de respeto y ética empresarial.
Empresas peruanas: es momento de revisar sus políticas de control de asistencia y adecuarlas al marco legal vigente. La protección de datos personales también construye reputación y confianza.
