Skip to content
Confir.
Prueba gratuita
Glosario

Datos biométricos: definición y papel en la Ley de IA de la UE

Definition8 April 2026· 15 min de lectura

Datos biométricos en el Reglamento (UE) 2024/1689: definición del artículo 3, usos de IA de alto riesgo del Anexo III, prácticas prohibidas del artículo 5 en vigor desde feb. 2025 y RGPD.

Los datos biométricos son datos personales derivados de un tratamiento técnico específico de las características físicas, fisiológicas o conductuales de una persona física —siendo las imágenes faciales y las huellas dactilares los ejemplos más claros—. En virtud del Reglamento (UE) 2024/1689 (la Ley de IA de la UE), esta categoría de datos se conecta directamente con algunas de las disposiciones más trascendentales del Reglamento: tres de las ocho áreas de alto riesgo del Anexo III, varias de las prácticas prohibidas absolutas del artículo 5 y un conjunto paralelo de obligaciones del RGPD que corren junto al Reglamento, no en su lugar.

Comprender dónde se sitúan los datos biométricos en el marco de la Ley de IA de la UE importa porque los mismos datos subyacentes —un escaneo facial, un patrón de la marcha, una huella dactilar— pueden situar un sistema en distintas categorías de riesgo según lo que el sistema haga con ellos. El tipo de dato por sí solo no determina sus obligaciones. Lo que el sistema infiere, decide o posibilita sí lo hace.

La definición de la Ley de IA de la UE

El artículo 3 de la Ley de IA de la UE, que establece las definiciones del Reglamento, define los datos biométricos en el punto 34 como:

«datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física, que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos».

El Reglamento se remite aquí a la definición del RGPD, en consonancia con el enfoque general del artículo 3 de incorporar la terminología del RGPD a la Ley de IA en lugar de crear definiciones paralelas. Los elementos clave son:

  • Tratamiento técnico específico — los datos biométricos no son simplemente una fotografía; requieren un tratamiento que extraiga de ella patrones característicos. Una imagen facial almacenada no es automáticamente un dato biométrico; un vector facial generado al procesar esa imagen con un software de reconocimiento sí lo es.
  • Físicas, fisiológicas o conductuales — las tres ramas abarcan rasgos morfológicos (huellas dactilares, patrones del iris, geometría facial), mediciones fisiológicas (patrones venosos, ADN) y patrones conductuales (marcha, voz, ritmo de tecleo).
  • Identificación única — la definición del artículo 3, punto 34, está orientada a los datos que pueden identificar a una persona. Esta es la definición pertinente para los sistemas de identificación biométrica. Por separado, el artículo 3 define la categorización biométrica y el reconocimiento de emociones, que operan sobre datos biométricos pero con fines distintos.

Por qué los datos biométricos son de alto riesgo en virtud del Reglamento

Área 1 del Anexo III: el grupo de la biometría

La primera área del Anexo III —la lista de sistemas de IA de alto riesgo del Reglamento— abarca tres categorías de IA que tratan datos biométricos:

  1. Sistemas de identificación biométrica remota — sistemas que identifican a personas físicas a distancia, en un espacio o entre una multitud, comparando datos biométricos con una base de datos de referencia. Esta es la categoría de mayor escrutinio: incluye los sistemas en tiempo real (transmisiones de cámaras) y los sistemas a posteriori (análisis de grabaciones).

  2. Sistemas de categorización biométrica — sistemas que asignan personas físicas a categorías sobre la base de sus datos biométricos. Las categorías se definen de forma amplia: sexo, edad, color del cabello, color de ojos, tatuajes y estado conductual o emocional. Obsérvese la matización: los sistemas de categorización del área 1 del Anexo III son de alto riesgo «en la medida en que no estén prohibidos». Algunos usos de la categorización están totalmente prohibidos en virtud del artículo 5 (véase más abajo).

  3. Sistemas de reconocimiento de emociones — sistemas que infieren o predicen estados emocionales a partir de señales biométricas. Se sitúan en el área 1 del Anexo III como de alto riesgo, pero solo para contextos que no estén ya recogidos por la prohibición del artículo 5 sobre el reconocimiento de emociones en el lugar de trabajo y en los centros educativos. Para esos dos contextos, el sistema está prohibido, no meramente regulado.

Los sistemas del área 1 del Anexo III que cumplen los criterios de clasificación del artículo 6 heredan toda la pila de obligaciones de alto riesgo: un sistema de gestión de riesgos con arreglo al artículo 9, requisitos de gobernanza de datos con arreglo al artículo 10, documentación técnica con arreglo al artículo 11, registro con arreglo al artículo 12, obligaciones de transparencia hacia los responsables del despliegue con arreglo al artículo 13, supervisión humana con arreglo al artículo 14 y requisitos de exactitud y ciberseguridad con arreglo al artículo 15. Los proveedores también deben completar el procedimiento de evaluación de la conformidad: para el área 1 del Anexo III (biometría), esa es la vía del organismo notificado del Anexo VII cuando no se aplican normas armonizadas, en lugar de la vía de autoevaluación interna del Anexo VI disponible para la mayoría de las demás categorías del Anexo III.

Las obligaciones de alto riesgo de estos sistemas se aplican a partir del 2 de diciembre de 2027 para los sistemas autónomos, en virtud del acuerdo político del Ómnibus Digital alcanzado en mayo de 2026 (originalmente el plazo era el 2 de agosto de 2026).

Prácticas prohibidas del artículo 5 que afectan a la biometría

El artículo 5 —en vigor desde el 2 de febrero de 2025— enumera las prácticas de IA que la UE considera de un riesgo inaceptable y prohíbe por completo. Varias dependen directamente de los datos biométricos o del tratamiento biométrico:

El artículo 5, apartado 1, letra e, prohíbe la creación o ampliación de bases de datos de reconocimiento facial mediante la extracción no selectiva de imágenes faciales de internet o de grabaciones de circuito cerrado de televisión. Esto cubre las prácticas de recopilar grandes volúmenes de imágenes faciales sin consentimiento ni limitación de la finalidad, normalmente para construir bases de datos comerciales de reconocimiento.

El artículo 5, apartado 1, letra f, prohíbe los sistemas de IA que infieren las emociones de personas físicas en el lugar de trabajo o en los centros educativos, salvo cuando se haga por razones de seguridad o con fines médicos. La prohibición se aplica con independencia de que el sistema de reconocimiento de emociones se considerara de otro modo de alto riesgo con arreglo al Anexo III. Desplegar IA de reconocimiento de emociones para la vigilancia en el lugar de trabajo o en las aulas está prohibido, no meramente regulado. El techo de la multa por una infracción del artículo 5 es de 35 000 000 EUR o el 7 % del volumen de negocios anual mundial total, si esta última cifra es mayor (artículo 99, apartado 3).

El artículo 5, apartado 1, letra g, prohíbe los sistemas de categorización biométrica que infieran o deduzcan la raza, las opiniones políticas, la afiliación sindical, las convicciones religiosas o filosóficas, la vida sexual o la orientación sexual de una persona física a partir de datos biométricos. La prohibición se dirige a los sistemas que utilizan la biometría como vía para inferir atributos sensibles, un patrón que había surgido en herramientas desplegadas comercialmente.

El artículo 5, apartado 1, letra h, prohíbe la identificación biométrica remota en tiempo real en espacios de acceso público con fines de garantía del cumplimiento del Derecho, fuera de un conjunto reducido de excepciones. Las excepciones son exhaustivas: búsquedas selectivas de personas desaparecidas; la prevención de amenazas terroristas concretas, sustanciales e inminentes; la identificación de personas sospechosas de delitos graves específicos. Cada uso requiere autorización previa de una autoridad judicial o administrativa (con estrechas excepciones por urgencia) y está limitado geográfica y temporalmente.

El límite entre lo prohibido y lo de alto riesgo importa aquí. Un sistema de identificación biométrica remota a posteriori (no en tiempo real) utilizado por las autoridades garantes del cumplimiento del Derecho entra en el área 1 del Anexo III y es de alto riesgo, no prohibido. El uso en tiempo real por las autoridades garantes del cumplimiento del Derecho en espacios públicos, fuera de las excepciones, está prohibido. La verificación biométrica 1:1 —el desbloqueo de un teléfono, una puerta de pasaporte— no está ni prohibida ni es de alto riesgo; se sitúa en el nivel de riesgo mínimo porque confirma en lugar de identificar.

La superposición con el RGPD

Los datos biométricos utilizados para identificar de forma única a una persona física son una categoría especial de datos personales con arreglo al artículo 9 del RGPD. Dicho artículo restringe el tratamiento de tales datos a bases jurídicas específicas: consentimiento explícito, intereses vitales, actividades legítimas de asociaciones, datos hechos públicos por el interesado, reclamaciones jurídicas, intereses públicos esenciales, medicina preventiva o laboral, salud pública y fines de archivo/investigación. El tratamiento sin una base válida del artículo 9 es ilícito.

La Ley de IA no desplaza al RGPD. Ambos regímenes se aplican simultáneamente cuando un sistema de IA trata datos biométricos. En la práctica, esto significa:

  • Un sistema de identificación biométrica de alto riesgo debe satisfacer tanto la pila de obligaciones de los artículos 9 a 15 de la Ley de IA como el requisito de base de categoría especial del artículo 9 del RGPD antes de su despliegue.
  • La prohibición del artículo 5, apartado 1, letra g, de la Ley de IA sobre la categorización por atributos sensibles complementa al artículo 9 del RGPD, no lo sustituye: la Ley de IA prohíbe el caso de uso por completo; el RGPD restringiría en cualquier caso el tratamiento subyacente.
  • Una evaluación de impacto relativa a la protección de datos (EIPD) con arreglo al artículo 35 del RGPD suele ser necesaria para el tratamiento biométrico a gran escala. Cuando el responsable del despliegue de un sistema de IA de alto riesgo deba también completar una evaluación de impacto relativa a los derechos fundamentales (EIDF) con arreglo al artículo 27 de la Ley de IA (aplicable a determinados responsables del despliegue de organismos públicos y privados de sistemas de alto riesgo cubiertos por los puntos 5, letra b, y 5, letra c, del Anexo III), el artículo 27, apartado 4, permite que la EIDF se base en una EIPD existente en lugar de partir de cero.

El regulador que tramite las reclamaciones sobre datos biométricos puede ser una autoridad de protección de datos (APD) para la dimensión del RGPD y una autoridad nacional de vigilancia del mercado para la dimensión de la Ley de IA. Son organismos diferentes con remedios diferentes. Un sistema puede ser conforme con un régimen y no conforme con el otro.

Conceptos biométricos relacionados

Tres términos del Reglamento se confunden con facilidad, pero tienen significados distintos:

Los datos biométricos (artículo 3, punto 34) son la entrada: los datos brutos o tratados derivados de las características físicas, fisiológicas o conductuales de una persona. Es una categoría de datos, definida de forma coherente con el RGPD.

La categorización biométrica es un proceso: la asignación de personas físicas a categorías sobre la base de sus datos biométricos (artículo 3, punto 40). Las categorías pueden incluir características demográficas o atributos sensibles. De alto riesgo con arreglo al área 1 del Anexo III cuando es lícita; prohibida con arreglo al artículo 5, apartado 1, letra g, cuando se utiliza para inferir atributos sensibles.

La identificación biométrica remota es también un proceso: identificar a personas físicas a distancia comparando datos biométricos con una base de datos de referencia (artículo 3, punto 41). Es el proceso subyacente tanto de la categoría de alto riesgo de identificación biométrica del Anexo III como de la prohibición del uso en tiempo real por las autoridades garantes del cumplimiento del Derecho del artículo 5, apartado 1, letra h. Véase la página dedicada para la distinción entre tiempo real y a posteriori y las excepciones de la garantía del cumplimiento del Derecho.

El reconocimiento de emociones es una categoría distinta (artículo 3, punto 39): sistemas de IA que identifican o infieren los estados emocionales o psicológicos de personas físicas a partir de sus datos biométricos o de otro tipo. Prohibido en el lugar de trabajo y en los centros educativos; de alto riesgo en otros contextos en los que entra en el área 1 del Anexo III.

La sección de definiciones del Reglamento (artículo 3) contiene los cuatro términos. Al evaluar un sistema de IA biométrico, la cuestión no es solo qué datos trata, sino en qué casilla definitoria encaja, porque las obligaciones y las prácticas prohibidas se vinculan al proceso, no solo al tipo de dato.

Preguntas frecuentes

¿Es una fotografía de alguien un dato biométrico con arreglo a la Ley de IA de la UE?

Una fotografía no es automáticamente un dato biométrico con arreglo al Reglamento. La definición del artículo 3, punto 34, requiere un «tratamiento técnico específico» para extraer patrones característicos de los rasgos físicos o conductuales. Una foto estática almacenada en un expediente de RR. HH. es un dato personal, pero no un dato biométrico. La misma imagen, una vez procesada con un software de reconocimiento facial para generar una plantilla o vector facial, se convierte en dato biométrico, porque el tratamiento técnico ha extraído rasgos característicos que permiten la identificación única.

¿Se aplica la Ley de IA de la UE solo a la IA biométrica en la garantía del cumplimiento del Derecho?

No. El Reglamento se aplica a todos los sectores. El área 1 del Anexo III abarca la identificación, la categorización y el reconocimiento de emociones biométricos dondequiera que se produzcan —en el empleo, el comercio minorista, la banca, el control de acceso a edificios, la educación y otros ámbitos—, en la medida en que no estén cubiertos por las prácticas prohibidas del artículo 5. La garantía del cumplimiento del Derecho recibe un trato especial porque la identificación biométrica remota en tiempo real en espacios públicos está prohibida específicamente para su uso por las autoridades garantes del cumplimiento del Derecho, fuera de las estrechas excepciones del artículo 5, apartado 1, letra h.

¿Cuál es la diferencia entre la identificación biométrica y la categorización biométrica?

La identificación biométrica (artículo 3, punto 41) es un proceso 1:N: un sistema toma una muestra biométrica y la compara con una base de datos para encontrar una coincidencia; la pregunta es «¿quién es esta persona?». La categorización biométrica (artículo 3, punto 40) es un proceso distinto: asigna a una persona a una categoría sobre la base de rasgos biométricos; la pregunta es «¿a qué grupo pertenece esta persona?». Un sistema de control de acceso por reconocimiento facial realiza identificación; un sistema que estima la edad o infiere el estado emocional a partir de un rostro realiza categorización. Ambos están sujetos al área 1 del Anexo III; algunos usos de la categorización están prohibidos con arreglo al artículo 5, apartado 1, letra g.

¿Puede una empresa utilizar el reconocimiento biométrico para el control horario y de asistencia de los empleados?

Un sistema de control horario y de asistencia de los empleados que utiliza el reconocimiento por huella dactilar o facial para la verificación 1:1 (confirmar que la persona es quien dice ser, no identificarla entre una multitud) suele ser de riesgo mínimo con arreglo a la Ley de IA de la UE: la verificación queda fuera del ámbito de la identificación biométrica remota. Sigue estando sujeto al artículo 9 del RGPD para el tratamiento subyacente de datos de categoría especial, y la mayoría de los Estados miembros de la UE exigen el consentimiento explícito del empleado o un convenio colectivo para los datos biométricos de asistencia. El nivel de riesgo de la Ley de IA y la base de licitud del RGPD son cuestiones separadas.

¿Cuándo se aplican realmente las obligaciones de alto riesgo de la biometría?

En virtud del acuerdo político del Ómnibus Digital alcanzado en mayo de 2026, las obligaciones de alto riesgo de los sistemas autónomos del Anexo III —incluido el grupo de la biometría— se aplican a partir del 2 de diciembre de 2027. La fecha original era el 2 de agosto de 2026; esa fecha se ha aplazado. Las prácticas prohibidas del artículo 5, incluidas las prohibiciones de extracción facial, categorización por atributos sensibles e identificación biométrica remota en tiempo real por las autoridades garantes del cumplimiento del Derecho, están en vigor desde el 2 de febrero de 2025.

¿El cumplimiento del RGPD cubre las obligaciones de la Ley de IA para los sistemas biométricos?

No. El artículo 9 del RGPD regula la base de licitud para el tratamiento de datos biométricos de categoría especial; la Ley de IA regula los requisitos de diseño, documentación, evaluación de la conformidad y gobernanza de los sistemas de IA que tratan tales datos. Un sistema puede tener una base válida del artículo 9 del RGPD y aun así no cumplir los requisitos de gestión de riesgos del artículo 9 ni de documentación técnica del artículo 11 de la Ley de IA. Los dos regímenes se acumulan; satisfacer uno no satisface el otro.

Términos relacionados

  • Categorización biométrica — cómo define y regula el Reglamento los sistemas de IA que clasifican a las personas por rasgos biométricos, incluida la prohibición de inferir atributos sensibles del artículo 5, apartado 1, letra g
  • Identificación biométrica remota — el proceso de identificación 1:N en el centro tanto del área 1 del Anexo III como de la prohibición del uso por las autoridades garantes del cumplimiento del Derecho del artículo 5, apartado 1, letra h
  • Sistema de reconocimiento de emociones — el tercer caso de uso biométrico del área 1 del Anexo III, y prohibido por completo en el lugar de trabajo y en los centros educativos
  • Anexo III: sistemas de IA de alto riesgo — la lista completa de ocho áreas de alto riesgo, con la biometría como área 1
  • Área 1 del Anexo III: identificación biométrica — la vía de evaluación de la conformidad (organismo notificado del Anexo VII) y las obligaciones de los operadores específicas de esta categoría
  • Artículo 5: prácticas de IA prohibidas — la lista completa de usos prohibidos, incluidas las cuatro prohibiciones biométricas en vigor desde febrero de 2025

Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar

Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.

Empieza la prueba gratuita →

Guías relacionadas

Definition

La alfabetización en materia de IA en la Ley de IA de la UE: definición, obligación y qué exige

La alfabetización en materia de IA se define en el artículo 3, punto 56, de la Ley de IA de la UE. El Artículo 4 es obligatorio desde el 2 de febrero de 2025, para todos los sistemas de IA, no solo los de alto riesgo.

Definition

Sistema de IA: definición en virtud de la Ley de IA de la UE

¿Qué se considera un sistema de IA en virtud del Reglamento (UE) 2024/1689? Definición del Artículo 3, características clave, casos límite y por qué importa para el cumplimiento.

Definition

El representante autorizado en virtud de la Ley de IA de la UE

Definición del artículo 3, punto 5; cuándo lo exigen el Artículo 22 y el Artículo 54; qué hace el representante; y por qué los proveedores de fuera de la UE deben designarlo antes de acceder al mercado.