¿Agregar autenticación biométrica en una app desarrollada en España? Vamos al grano
Estás desarrollando una app y te planteas meter autenticación biométrica: huella, reconocimiento facial, lo típico.
Quieres hacerlo bien, que mole, que sea cómodo… pero te preguntas: ¿es legal hacerlo en España? ¿Voy a meterme en un jardín con la AEPD? Pues te lo cuento sin rodeos, como hablarías con un colega tomando un café.
¿Tiene sentido usar biometría en una app en España?
La respuesta corta es: sí, pero con muchas comillas. La biometría es rápida, eficiente y mejora la experiencia del usuario, pero en España no puedes usarla alegremente. ¿Por qué? Porque los datos biométricos se consideran datos sensibles.
No estás gestionando un correo o un nombre. Estás tocando información íntima: la huella, la cara, la voz… cosas que si se filtran no se cambian tan fácil como una contraseña.
Lo que dice la AEPD (y por qué no puedes ignorarlo)
La Agencia Española de Protección de Datos dejó las cosas bastante claras en una resolución de 2023: los datos biométricos no se pueden usar salvo que haya una base legal muy sólida. Y no, la “comodidad” del usuario no basta.
¿Qué necesitas para que sea legal?
-
Consentimiento explícito, libre y específico.
-
Que el uso sea proporcional: si puedes hacer lo mismo con contraseña, no justifica usar la biometría.
-
Una Evaluación de Impacto sobre Protección de Datos (EIPD).
Vamos, que si lo haces, tiene que estar justificado hasta el último píxel. Si no cumples, estás a un paso de una sanción que puede hacerte replantear toda la app.
¿Es legal poner reconocimiento facial o huella en tu app?
Depende. Si eres una empresa que desarrolla una app de control de acceso o fichaje, y lo haces obligando al usuario sin darle alternativa… mal.
Pero si se usa de forma opcional, con consentimiento claro y medidas de seguridad duras, puede ser legal.
Eso sí, para hacerlo bien necesitas asesoramiento legal y técnico.
Aquí es donde entra la experiencia de firmas como Tangram Consulting, que no solo te ayudan con el RGPD, sino que pueden integrarte soluciones BI sin complicarte la vida.
Lo que sí puedes hacer (sin meterte en líos)
Si no quieres complicarte con autorizaciones, evaluaciones de impacto y demás, lo más sencillo es:
-
Usar alternativas seguras como contraseña más OTP (código SMS o email).
-
Integrar soluciones de login federado (Google, Apple, etc.).
-
Dejar la biometría como una capa adicional opcional, nunca obligatoria.
Por ejemplo, en esta guía práctica se explica cómo integrar estas capas sin perder usabilidad ni legalidad.
Alternativas legales: biometría sin sustos
Sí, puedes usar sistemas como Face ID o huella, pero solo si
:
-
No almacenas los datos tú directamente (uso nativo del sistema operativo).
-
Dejas claro al usuario qué haces y por qué.
-
Implementas una opción alternativa para quien no quiera usarla.
Esto último es clave: la biometría no puede ser la única forma de acceso. Si lo es, estás obligando al usuario a ceder sus datos sensibles, y eso choca de frente con el RGPD.
Ejemplos reales de implementación biométrica (bien hecha)
Apps como bancos, wallets o plataformas de salud lo hacen bien. ¿Cómo? Usan la biometría local, es decir, no procesan ni almacenan los datos.
El sistema operativo (iOS o Android) gestiona la validación, y tú solo te enteras de si el usuario fue autenticado o no. Fin.
Además, empresas que trabajan el desarrollo de apps desde una visión estratégica como Tangram Consulting están apostando por soluciones de autenticación robustas pero respetuosas con la privacidad.
Este enfoque les está funcionando incluso para posicionamiento ASO y mejora del engagement.
Cómo hacerlo bien y no morir sancionado en el intento
Aquí van mis recomendaciones, de desarrollador a desarrollador:
-
No toques los datos biométricos directamente. Usa APIs del sistema operativo.
-
No obligues nunca a usar biometría. Siempre debe haber alternativa.
-
Haz una EIPD si tu app accede o procesa datos biométricos.
-
Documenta todo y ten a mano una política de privacidad clara y detallada.
-
Y si ves que no puedes cumplir con todas las garantías… no lo hagas.
Si estás usando CMS o frameworks complejos, asegúrate de que tu stack esté alineado.
Por ejemplo, si trabajas con Drupal y quieres integrar módulos que aprovechen seguridad biométrica, en Tangram tienen una guía útil para adaptar el entorno sin riesgos innecesarios.
Recomendaciones para desarrolladores de apps en España
-
Consulta a un experto legal antes de tocar biometría.
-
Usa proveedores que ya cumplan con el RGPD.
-
Prioriza la experiencia de usuario, pero sin saltarte la normativa.
-
Si tu app va a publicarse en App Store o Google Play, cumple sus políticas sobre privacidad y seguridad biométrica.
-
Y recuerda: si no puedes explicar claramente por qué usas biometría, mejor no la uses.
¿Agregar autenticación biométrica en una app española? Se puede, sí.
Pero solo si sabes lo que haces y lo justificas con una buena base legal y técnica. No es algo que se deba improvisar ni meter porque “queda guay”.
Hazlo bien, con cabeza, y si tienes dudas, busca a gente que sepa. Que para eso están.