El Juzgado de lo Social número 3 de A Coruña ha dictado la sentencia SJSO 2400/2025, en la que valida el uso de un sistema de huella dactilar para controlar el acceso y registrar la jornada laboral en un hospital privado. La resolución ha generado debate porque se aleja del posicionamiento tradicional de las autoridades de protección de datos, que siempre han considerado muy restringido el uso de tecnologías biométricas en el ámbito laboral.

Hasta ahora, tanto la AEPD como la Comisión Europea han mantenido una línea clara: los datos biométricos son datos especialmente protegidos y, salvo en situaciones muy concretas, no pueden utilizarse para controlar la jornada laboral. El artículo 9.1 del RGPD prohíbe el tratamiento de este tipo de datos salvo que se aplique alguna de las excepciones del artículo 9.2, y la mayoría de estas excepciones no encajan en un fichaje convencional. Además, la AEPD recuerda que el consentimiento de los trabajadores no es válido en estos casos porque no es un consentimiento libre en una relación laboral.

La sentencia introduce un cambio de perspectiva bastante significativo. El juzgado argumenta que, en un hospital, el uso de biometría puede ampararse en el artículo 9.2.i del RGPD, que permite tratar datos de categoría especial cuando existen razones de interés público en el ámbito de la salud pública. Según este criterio, el correcto funcionamiento del centro, la seguridad de pacientes y profesionales y la protección frente a posibles riesgos sanitarios podrían justificar el sistema.

Para llegar a esta conclusión, el juzgado destaca varios elementos:

• No se guarda la huella completa, sino una plantilla parcial, cifrada y no reconstruible, lo que reduce el riesgo y se alinea con el principio de minimización. Aun así, para la AEPD, esta plantilla sigue siendo dato biométrico y, por tanto, especialmente protegido.
• El hospital había realizado varias EIPD, tanto antes como después de la implantación del sistema. En estas evaluaciones se analizaron riesgos, alternativas y medidas de mitigación. El juzgado lo valora como una muestra de diligencia y proporcionalidad.
• La plantilla fue informada de manera detallada, mediante reuniones, comunicaciones internas y documentación específica. Según el juzgado, esto acredita el cumplimiento de los artículos 12 y 13 del RGPD, relativos a la transparencia.
• El contexto sanitario: el tribunal considera que la seguridad de un hospital justifica un nivel de control superior al de otros entornos laborales. Esto incluye evitar accesos indebidos, garantizar la trazabilidad de determinadas operativas y asegurar la calidad del servicio.

La sentencia también menciona el nuevo Reglamento europeo de Inteligencia Artificial (AI Act), y sugiere que la verificación biométrica presencial presenta un riesgo bajo. Este punto, sin embargo, es discutible: el AI Act no clasifica automáticamente estos sistemas como de “bajo riesgo” y se centra sobre todo en la regulación de la identificación remota y otras prácticas de alto riesgo.

Pese a la solidez técnica del sistema analizado, la interpretación jurídica del juzgado presenta algunos elementos que suscitan dudas:

• Salud pública vs. control laboral: el artículo 9.2.i RGPD exige una base legal específica que autorice el tratamiento por motivos de salud pública. En el caso del fichaje, la finalidad es laboral, no sanitaria. Actualmente no existe ninguna normativa que habilite expresamente este tratamiento para esta finalidad
• Existencia de alternativas menos intrusivas: la normativa laboral obliga a registrar la jornada, pero no a hacerlo con huella dactilar. Tarjetas, aplicaciones o códigos serían opciones menos invasivas que, según el criterio de la AEPD, deberían emplearse de forma prioritaria.
• Coherencia con la doctrina europea: tanto las Directrices del Comité Europeo de Protección de Datos como las decisiones de la Comisión mantienen una postura restrictiva, especialmente a raíz de diversas sanciones impuestas por sistemas de fichaje biométrico.

Esta resolución pone sobre la mesa un debate importante sobre cómo deberían utilizarse los sistemas biométricos en hospitales, que son entornos especialmente sensibles. El tribunal considera que, si se adoptan medidas de seguridad sólidas y se realiza un análisis de riesgos bien fundamentado, el uso de este tipo de tecnología puede llegar a ser proporcional en un contexto en el que la seguridad asistencial es prioritaria. Aun así, la decisión también genera incertidumbre, porque se aleja del criterio que hasta ahora habían defendido las autoridades de protección de datos. En cualquier caso, la sentencia todavía no es definitiva y puede ser recurrida ante el Tribunal Superior de Justicia de Galicia, por lo que habrá que estar atentos a la evolución de esta cuestión.

Las implicaciones del principio de motivación, del derecho a ser oído y de la condición de “inexistencia de control” del tercer país en contratación pública de la Agencia de la Unión Europea para el Programa Espacial (EUSPA)

En la decisión que dictó el Tribunal General el 19 de noviembre de 2025 en el asunto T-41/24, las empresas demandantes, LGAI Technological Center, S.A. y jtsec Beyond IT Security, S.L., impugnaron dos decisiones de la EUSPA mediante las cuales se les notificaba que no habían sido seleccionadas en la licitación EUSPA/OP/01/23 para la prestación de «servicios de apoyo a la acreditación de seguridad». La cuestión central gira en torno a la aplicación de una condición de participación establecida en el pliego: que la entidad jurídica adjudicataria «no esté sujeta al control de un tercer país o de una entidad de un tercer país».

El Tribunal procede a diferenciar y resolver (en primer lugar) la inadmisibilidad del recurso respecto a la primera decisión impugnada, al considerar que éste había quedado sin objeto porque la propia EUSPA le había «anulado» antes de la intervención jurisdiccional. En segundo lugar, examina en profundidad el fondo del recurso referido a la segunda decisión impugnada, analizando sucesivamente el derecho a ser escuchado (artículo 41 de la Carta de los Derechos Fundamentales), la obligación de motivación (artículo 296 TUE y artículo 170 del Reglamento financiero), la obligación de evaluar las ofertas según la interpretación de las control” y, por último, el principio de proporcionalidad y de maximización de la competencia.

En lo que se refiere al derecho a ser escuchado, el Tribunal constata que las demandantes aportaron la documentación exigida y respondieron a las solicitudes de aclaración formuladas por la EUSPA en relación con su estructura accionaral y el control. De esta forma, considera que se garantizó el derecho a presentar el punto de vista y no existe vulneración. En relación con la motivación de la decisión, el Tribunal concluye que ésta era suficiente dado que se identificaba la no prueba del cumplimiento de la condición de control, y además se adjuntaba un resumen de las conclusiones del comité de evaluación que explicaba la cuestión. Por tanto, no se vulnera la obligación de motivar.

En cuanto a la exigencia de evaluación conforme al pliego, se sostiene que la condición del anuncio (punto 2.2.1.1 c) del pliego y artículo 24(2)(c) del Reglamento (UE) 2021/696) exigía que la entidad jurídica “no esté sujeta al control” de un tercer país o entidad de un tercer país o entidad de una influencia decisiva, directa o indirectamente, bien por una, bien por diversas entidades interpuestas. El Tribunal valida la interpretación adoptada por la EUSPA que entiende que la capacidad puede venir de un conjunto de propietarios no concertados y que ésta no exige, como pretendieron las demandantes, la demostración de un acuerdo explícito de concertación.

En la aplicación concreta de la condición, el comité de evaluación concluyó que la sociedad matriz de las demandantes tenía accionistas de terceros países (Estados Unidos) con participaciones significativas y la capacidad para convocar juntas y adoptar decisiones relevantes, lo que hacía de la demandante una entidad bajo control según su definición normativa. Así, no se identificó error manifiesto de apreciación en la valoración de los elementos hechos y jurídicos relevantes.

Por último, en lo que se refiere al principio de proporcionalidad y al de maximización de la competencia, el Tribunal recuerda que la finalidad del Reglamento del Programa Espacial es proteger intereses esenciales de seguridad de la Unión, y que esto justifica que la condición de control tenga una tipología más exigente en este contexto. La interpretación adoptada por la EUSPA no supone una restricción arbitraria de la competencia, sino una medida objetivamente dirigida al cumplimiento del objetivo legislativo.

Esta sentencia, por tanto, establece relevantes puntos de fijación para los procedimientos de contratación pública en el ámbito de programas de la UE con exigencias de seguridad elevada: (i) el derecho a ser escuchado y la motivación de los actos administrativos se mantienen como garantías fundamentales; (ii) la definición de “control” puede comprender la capacidad de acción de diversas entidades no concertadas formalmente; (iii) el órgano de contratación dispone de una amplia facultad de apreciación siempre que justifique adecuadamente su valoración y (iv) el objetivo de seguridad prevaleció, a este nivel de contratación, ante la maximización de la competencia.

Texto íntegro sentencia:

https://curia.europa.eu/juris/document/document.jsf?text=&docid=306329&pageIndex=0&doclang=es&mode=req&dir=&occ=first&part=1&cid=9058376

La gestión de los proyectos financiados a través del Mecanismo de Recuperación y Resiliencia (MRR) sigue siendo un reto relevante para las administraciones públicas, que deben operar en un entorno caracterizado por una elevada exigencia normativa y una cultura de control orientada al resultado. Este modelo de gestión obliga a integrar en el día a día una metodología basada en la trazabilidad, la transparencia y la evidencia documental, con procedimientos muy concretos que garantizan que los recursos europeos se utilicen de forma eficiente y conforme a los criterios del Plan de Recuperación, Transformación y Resiliencia.

Una de las piezas centrales de este sistema es el seguimiento de metas y objetivos, que debe quedar registrado y validado mediante la plataforma CoFFEE, la herramienta oficial que permite monitorizar la ejecución y asegurar que cada actuación avanza en la dirección acordada. Esta digitalización del seguimiento ha supuesto un importante cambio en la cultura administrativa, ya que requiere introducir datos de forma sistemática, acreditar evidencias y mantener actualizado el estado de cada proyecto. La vinculación entre financiación y cumplimiento objetivable hace que CoFFEE sea un mecanismo de control esencial y, al mismo tiempo, un instrumento que refuerza la planificación estratégica interna.

A esta dimensión de seguimiento se le suma la exigencia de cumplir con los criterios de contribución verde y digital, que obligan a justificar de forma precisa cómo cada actuación participa en las transiciones ecológica y tecnológica. Este etiquetado, aparentemente formal, determina una parte substancial de la elegibilidad de los gastos y condiciona la redacción inicial de los proyectos. Las modificaciones que puedan alterar este impacto deben revisarse cuidadosamente para evitar desajustes con los compromisos adquiridos.

Otro de los requisitos que vertebra el sistema es el cumplimiento del principio de no causar perjuicios significativos al medio ambiente, conocido como DNSH. Esta condición, que se aplica a todos los proyectos financiados con fondos MRR, obliga a incorporar evaluaciones ambientales, declaraciones responsables y documentación justificativa que permita acreditar que las actuaciones no comprometen a los objetivos de sostenibilidad fijados por la Unión Europea. Este enfoque acompaña a las entidades ejecutoras durante todo el ciclo de vida del proyecto y se extiende igualmente a contratistas y subcontratistas.

La integridad en la gestión se refuerza mediante la aplicación del Plan de medidas antifraude y las declaraciones de ausencia de conflicto de interés, que deben verificarse a través de la plataforma MINERVA, una herramienta que analiza posibles vínculos entre responsables públicos y operadores económicos. MINERVA se ha convertido en un filtro imprescindible para asegurar que no existen conflictos que puedan comprometer la imparcialidad del procedimiento y, al mismo tiempo, representa un instrumento preventivo que contribuye a reforzar la confianza en la gestión de los recursos públicos.

Este conjunto de requisitos se completa con obligaciones estrictas de trazabilidad financiera, incluyendo la identificación de los perceptores finales, la comprobación de los titulares reales y la prevención de la doble financiación.

En definitiva, la gestión de los fondos MRR requiere una planificación esmerada, una documentación exhaustiva y una cultura organizativa orientada al resultado y la transparencia. Es un modelo exigente, pero, al mismo tiempo, una oportunidad para que las administraciones refuercen su capacidad de gestión y consoliden prácticas que pueden perdurar más allá del marco temporal del Plan de Recuperación.