El reconocimiento biométrico —ya sea de huella dactilar, reconocimiento facial o escáner de iris— se ha convertido en una característica habitual en los smartphones desde hace casi una década. Su migración a las cerraduras del hogar era inevitable. Sin embargo, lo que parece un paso natural tiene implicaciones jurídicas que muchos fabricantes y usuarios desconocen o prefieren ignorar.
Los datos biométricos son categoría especial bajo el RGPD
El Reglamento General de Protección de Datos (RGPD) de la Unión Europea clasifica los datos biométricos en su artículo 9 como datos de "categoría especial", al mismo nivel que los datos de salud, origen étnico o creencias religiosas. Esto significa que su tratamiento está sujeto a restricciones más estrictas que las aplicables a datos personales ordinarios: se requiere una base jurídica reforzada (consentimiento explícito o necesidad probada para un fin específico), y el principio de minimización de datos exige que se recojan solo los datos estrictamente necesarios.
La cuestión clave es: ¿una cerradura biométrica residencial en tu propio domicilio está sujeta al RGPD? La respuesta es "depende". El artículo 2 del RGPD excluye el tratamiento de datos realizado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas. Si una persona instala un lector de huella dactilar en su puerta y registra únicamente su propia huella, probablemente está dentro de la exención doméstica. Pero si el mismo dispositivo procesa también las huellas de su pareja, sus hijos adultos, o el personal de limpieza, la exención doméstica puede no aplicar.
El debate de la arquitectura de privacidad: local vs. nube
La distinción más importante entre fabricantes de cerraduras biométricas desde el punto de vista regulatorio es si el procesamiento de los datos biométricos se realiza localmente en el dispositivo o si las plantillas biométricas se envían a un servidor en la nube para su verificación. Los modelos de procesamiento local son los que presentan un perfil de riesgo regulatorio más favorable: si los datos nunca salen del dispositivo, el riesgo de brecha de datos se limita al dispositivo físico.
Fabricantes como LockerTech, dormakaba (en su gama residencial) y EVVA procesan los datos exclusivamente en el dispositivo. Por contraste, algunos modelos de marcas asiáticas de bajo coste envían las plantillas biométricas a servidores en China, lo que genera una transferencia internacional de datos de categoría especial que en muchos casos no cumple los requisitos del RGPD para transferencias a terceros países.
Lo que dice la Agencia Española de Protección de Datos
La AEPD publicó en marzo de 2026 una guía preliminar sobre el uso de biometría en control de acceso residencial y empresarial. Para el ámbito residencial, la agencia adopta una postura pragmática: reconoce que la exención doméstica cubre los casos de uso personal estricto, pero advierte de que cualquier dispositivo que procese datos de terceros (empleados del hogar, visitas frecuentes con acceso registrado) debe cumplir con los principios del RGPD. Para el ámbito empresarial, la posición es más estricta: la AEPD ha emitido ya varias multas (la más alta de 120.000 euros) a empresas que instalaron lectores biométricos sin haber realizado la preceptiva Evaluación de Impacto en Protección de Datos (DPIA).
Recomendaciones prácticas
Si estás pensando en instalar una cerradura biométrica en tu vivienda, los expertos recomiendan: elegir un modelo con procesamiento local; verificar que el fabricante tiene política de privacidad clara y no transfiere datos fuera de la UE; limitar el número de huellas registradas a los residentes habituales; y no registrar nunca huellas de empleados domésticos sin informarles y obtener su consentimiento explícito por escrito.
