¿Es legal usar datos biométricos para controlar la asistencia en Ecuador?

En Ecuador, el uso de tecnologías biométricas —como huellas digitales, reconocimiento facial o escáneres de iris— se ha convertido en una práctica común para controlar la asistencia laboral. Sin embargo, la reciente opinión técnica emitida por la Superintendencia de Protección de Datos Personales (SPDP) ha puesto en duda la legalidad de este tipo de prácticas bajo el marco normativo actual. Este artículo busca explicar los alcances del pronunciamiento oficial, su impacto en las empresas y las recomendaciones legales para actuar en conformidad con la Ley Orgánica de Protección de Datos Personales (LOPDP).

El 14 de marzo de 2025, la SPDP emitió el Oficio No. SPDP-IRD-2025-0031-O, en el que analiza el uso de datos biométricos para fines de control de asistencia laboral. Este documento concluye que dicho uso es desproporcionado e innecesario, y por tanto no está en conformidad con los principios establecidos en la LOPDP. Asimismo, destaca que el consentimiento del trabajador, en un contexto de subordinación laboral, no puede considerarse libre ni válido como base legal para el tratamiento de datos biométricos.

En Ecuador, más del 80% de las empresas medianas y grandes utilizan sistemas biométricos para controlar la asistencia de su personal. Esto representa una inversión significativa en hardware y software, así como en la configuración de procesos internos. La SPDP advierte que el uso de estos sistemas sin un análisis previo de impacto puede acarrear sanciones, conforme al régimen sancionatorio descrito en el artículo 66 de la LOPDP. El pronunciamiento no es vinculante, pero puede influir en futuras auditorías.

¿Qué significa que este pronunciamiento no sea vinculante?

Aunque el pronunciamiento de la SPDP no tiene carácter coercitivo ni fuerza legal directa sobre terceros, su valor interpretativo es considerable. No constituye una norma, reglamento ni resolución con efecto obligatorio, por lo que no impone responsabilidades legales inmediatas ni genera obligaciones para quienes no participaron en la consulta que lo originó. En esencia, se trata de una opinión técnica basada en los principios de la Ley Orgánica de Protección de Datos Personales (LOPDP).

Uno de estos principios clave es el de proporcionalidad, recogido en el artículo 8 de la LOPDP, que establece que el tratamiento de datos personales debe ser adecuado, pertinente y no excesivo. Por ello, el uso de tecnologías biométricas, especialmente en el ámbito laboral, debe ser evaluado cuidadosamente para determinar si realmente es necesario o si existen alternativas menos invasivas que cumplan la misma finalidad.

Aunque el pronunciamiento no tiene fuerza vinculante como una resolución judicial o administrativa, puede servir como referencia interpretativa relevante. Su contenido podría ser tomado en cuenta en futuras auditorías, procesos administrativos o incluso litigios, lo que lo convierte en una guía técnica útil para la toma de decisiones empresariales responsables.

El pronunciamiento emitido por la SPDP tiene un carácter orientativo, lo que significa que no impone obligaciones legales, pero sí funciona como una guía para entender cómo las autoridades interpretan principios fundamentales de la LOPDP, como la proporcionalidad y la pertinencia en el tratamiento de datos personales. Esta interpretación técnica permite a las organizaciones anticiparse a criterios que podrían ser aplicados en procesos de supervisión o control.

Aunque seguir el pronunciamiento no es obligatorio, ignorarlo puede representar un riesgo significativo. Las empresas que no consideren estas orientaciones podrían enfrentarse a cuestionamientos legales o ser objeto de observaciones en futuras auditorías por parte de la autoridad de control. Por ello, es recomendable relacionar este tipo de pronunciamientos con el marco normativo vigente, como la Ley Orgánica de Protección de Datos Personales (LOPDP) y otras disposiciones complementarias, a fin de tomar decisiones informadas y minimizar posibles vulnerabilidades regulatorias.

¿Cómo regulan otros países el uso de datos biométricos?

El enfoque adoptado por Ecuador respecto al uso de datos biométricos guarda coherencia con las tendencias internacionales en materia de protección de datos personales. En España, el Reglamento General de Protección de Datos (RGPD) establece que la biometría solo puede utilizarse si es estrictamente necesaria y no existe otra alternativa menos invasiva para alcanzar el mismo objetivo. En Alemania, la normativa exige realizar una Evaluación de Impacto en Protección de Datos Personales (EIPD) antes de implementar cualquier sistema biométrico, y solo se justifica su uso en contextos donde exista un riesgo elevado para la seguridad. Por su parte, en el Reino Unido, la Oficina del Comisionado de Información (ICO) desaconseja expresamente el uso de sistemas biométricos para control de asistencia, salvo que se demuestre que no hay ningún otro método viable y que el uso sea proporcional, justificado y transparente.

Estos enfoques reflejan un principio común: la biometría no debe ser la regla, sino la excepción, especialmente cuando se trata de entornos laborales donde el consentimiento puede no ser libre. Adoptar estas buenas prácticas internacionales no solo fortalece el cumplimiento legal, sino que también protege los derechos de los trabajadores y mejora la reputación de la organización.

¿Qué alternativas existen al uso de biométricos para controlar la asistencia laboral?

La normativa laboral ecuatoriana —en concordancia con el Código del Trabajo— establece que los empleadores están obligados a llevar un registro fiable y verificable de la jornada laboral de sus trabajadores. Sin embargo, no exige ni obliga al uso de tecnologías biométricas para cumplir con este requerimiento. Esto abre la puerta a otras soluciones que permiten cumplir con la ley sin comprometer la privacidad de los empleados ni incurrir en riesgos regulatorios.

Entre las alternativas más recomendadas se encuentran:

Tarjetas RFID o credenciales digitales: permiten el registro de ingreso y salida mediante tarjetas con chip o códigos únicos, sin necesidad de capturar datos biométricos. Son ampliamente usadas en instituciones financieras, centros corporativos y plantas industriales.

Aplicaciones móviles con geolocalización: permiten verificar la presencia del trabajador en el lugar autorizado mediante la ubicación GPS del dispositivo móvil. Estas apps pueden integrarse con sistemas de gestión de asistencia y establecer parámetros de control por zona geográfica o red corporativa.

Códigos QR o PINs personales: cada trabajador tiene un identificador único que puede ser escaneado o ingresado al sistema de control de asistencia. Esta solución, aunque sencilla, puede complementarse con controles de IP, ubicación o validaciones adicionales para mayor seguridad.

Registros manuales digitalizados con trazabilidad: se puede implementar un sistema digital donde los trabajadores registran su asistencia con nombre, hora y firma digital (o validación por correo institucional), conservando trazabilidad y evidencia verificable, sin recurrir a datos sensibles.

Cada una de estas opciones cumple con el objetivo legal de llevar un control adecuado de asistencia, pero lo hace de forma menos intrusiva, lo cual resulta clave para cumplir con los principios de proporcionalidad y minimización establecidos por la Ley Orgánica de Protección de Datos Personales (LOPDP).

Recomendaciones de 593 INNOVA

Desde 593 INNOVA recomendamos a las empresas que evalúan el uso de datos biométricos para el control de asistencia, o cualquier otro tratamiento de datos personales, adoptar un enfoque preventivo y alineado con la Ley Orgánica de Protección de Datos Personales (LOPDP). Para ello, sugerimos:

Realizar una Evaluación de Impacto (EIPD): Este análisis permite identificar riesgos asociados al tratamiento de datos sensibles, anticiparse a posibles vulneraciones y definir medidas de mitigación adecuadas. Es especialmente recomendable cuando se emplean tecnologías intrusivas como la biometría.

Justificar la necesidad del tratamiento y su proporcionalidad: Antes de implementar cualquier sistema, debe demostrarse que el tratamiento es indispensable para alcanzar una finalidad legítima, y que no existen métodos menos invasivos que logren el mismo propósito.

Implementar medidas de seguridad técnicas y organizativas (Art. 37 LOPDP): Es fundamental establecer protocolos, herramientas y buenas prácticas que garanticen la integridad, confidencialidad y disponibilidad de los datos personales frente a accesos no autorizados o incidentes de seguridad.

Documentar todo el proceso de análisis y decisión: La trazabilidad documental es clave. Permite demostrar ante autoridades de control o en auditorías que la organización actuó con diligencia y en cumplimiento de los principios de la ley.

Capacitar al personal de Recursos Humanos y Tecnología en cumplimiento normativo: La protección de datos no depende solo de la tecnología, sino de las personas que la administran. La formación continua fortalece la cultura de cumplimiento dentro de la organización.

Conclusión

El pronunciamiento técnico de la Superintendencia de Protección de Datos Personales (SPDP) no debe verse únicamente como una advertencia, sino como una valiosa oportunidad para que las empresas ecuatorianas reevalúen sus prácticas internas de control y tratamiento de datos personales. En particular, el uso de tecnologías como la biometría requiere un análisis más profundo que vaya más allá de su efectividad operativa y se enfoque en su legalidad, necesidad y proporcionalidad.

Adoptar alternativas menos invasivas, implementar evaluaciones de impacto, reforzar la documentación de decisiones y fortalecer la formación del talento humano, son pasos clave para garantizar el cumplimiento de la LOPDP. Más allá de la norma, estas acciones contribuyen a generar una cultura de respeto por la privacidad y confianza entre empleados, clientes y autoridades.

Hoy más que nunca, las organizaciones que se anticipan y actúan con responsabilidad no solo evitan sanciones: se posicionan como líderes éticos y tecnológicamente conscientes en un entorno donde la protección de los datos personales es una prioridad.

¿Tienes dudas sobre el uso de biométricos en tu empresa?

En 593 INNOVA acompañamos a las organizaciones ecuatorianas a transitar el camino del cumplimiento normativo con soluciones legales, técnicas y estratégicas alineadas a la Ley Orgánica de Protección de Datos Personales (LOPDP). Si tu empresa está evaluando el uso de datos biométricos, revisando sus procesos de tratamiento de datos o requiere orientación frente a las exigencias de la SPDP, estamos listos para ayudarte.

Contamos con un equipo multidisciplinario especializado en protección de datos personales, tecnología y transformación digital. Podemos apoyarte en:

• Evaluaciones de impacto (EIPD)

• Adaptación de políticas y contratos

• Capacitación interna y formación ejecutiva

• Implementación de sistemas de cumplimiento y trazabilidad

Agenda una asesoría gratuita o escríbenos a info@593innova.com para conversar sobre las mejores opciones para tu organización.

Cumplir con la ley no solo es una obligación, es una oportunidad para liderar con transparencia, innovación y confianza.