Registro Horario y RGPD: Protección de Datos de Empleados en el Control de Jornada

El registro horario obligatorio genera un tratamiento de datos personales de los empleados que esta sujeto al Reglamento General de Protección de Datos (RGPD, Reglamento UE 2016/679) y a la Ley Organica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantia de los derechos digitales (LOPDGDD).

Muchas empresas cumplen correctamente con la obligación de registrar la jornada conforme al artículo 34.9 del Estatuto de los Trabajadores, pero desconocen o descuidan las obligaciones que el RGPD impone sobre esos mismos datos. La consecuencia puede ser una sanción de la Agencia Española de Protección de Datos (AEPD) que supere con creces la multa que la Inspección de Trabajo podría imponer por la ausencia del registro.

Este artículo analiza todas las obligaciones de protección de datos aplicables al registro horario de empleados: la base jurídica del tratamiento, el principio de minimización, los plazos de conservación y supresión, los derechos de los trabajadores, la evaluación de impacto, el registro de actividades de tratamiento, las transferencias internacionales de datos y las sanciones por incumplimiento. Incluye orientaciones prácticas para elaborar el aviso de privacidad a los empleados y la entrada del registro horario en el ROPA.

Base jurídica del tratamiento

El artículo 6.1.c del RGPD: cumplimiento de una obligación legal

La primera pregunta que toda empresa debe responder al tratar datos personales es cual es la base jurídica que legitima ese tratamiento. En el caso del registro horario, la respuesta es clara: el artículo 6.1.c del RGPD, que legitima el tratamiento cuando es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento.

La obligación legal es el artículo 34.9 del Estatuto de los Trabajadores, introducido por el Real Decreto-ley 8/2019, que impone a todas las empresas la obligación de garantizar el registro diario de la jornada de cada trabajador, incluyendo hora de inicio y de finalizacion.

Esto tiene varias implicaciones importantes:

1. No es necesario el consentimiento del trabajador para registrar su jornada. La base jurídica es la obligación legal, no el consentimiento. Pedir al trabajador que “consienta” el registro horario es jurídicamente innecesario y puede generar confusión, porque el trabajador podría interpretar que tiene la opción de negarse.

2. El tratamiento se limita a lo necesario para cumplir la obligación legal. Si la empresa recoge datos adicionales que van más alla de lo exigido por el art. 34.9 ET (por ejemplo, geolocalizacion continua, capturas de pantalla del ordenador o monitorizacion de pulsaciones de teclado), esos datos adicionales necesitan una base jurídica propia y diferente, como el interés legitimo del empleador (art. 6.1.f RGPD), que requiere una ponderacion con los derechos del trabajador.

3. La base jurídica determina los derechos ejercitables. Cuando la base es la obligación legal (art. 6.1.c), el trabajador no puede ejercer el derecho de oposicion (art. 21 RGPD) frente a los datos estrictamente necesarios para cumplir esa obligación. Sin embargo, si puede ejercer los derechos de acceso, rectificacion y supresión (una vez transcurrido el período de conservación legal).

Cuando el interés legitimo entra en juego

Si la empresa recoge datos que van más alla del mínimo legal, la base jurídica aplicable a esos datos adicionales suele ser el interés legitimo del artículo 6.1.f del RGPD. Ejemplos:

• Geolocalizacion del fichaje: La ley no exige registrar la ubicación desde la que se ficha. Si la empresa lo hace, debe justificarlo como interés legitimo (verificar que el fichaje se realiza desde el lugar de trabajo declarado) y superar el test de ponderacion con los derechos del trabajador.
• Direccion IP del dispositivo: Registrar la IP como metadato del fichaje puede justificarse como interés legitimo para verificar la autenticidad del registro, pero debe informarse al trabajador.
• Datos biometricos (huella dactilar, reconocimiento facial): El uso de biometria para el fichaje implica el tratamiento de categorias especiales de datos (art. 9 RGPD), lo que exige una de las excepciones del art. 9.2, como la necesidad para el cumplimiento de obligaciones en el ámbito del derecho laboral (art. 9.2.b), además de una evaluación de impacto obligatoria.

La AEPD ha publicado criterios interpretativos que limitan severamente el uso de biometria en el ámbito laboral. La Guía sobre tratamientos de control de presencia mediante sistemas biometricos de la AEPD (noviembre 2023) establece que los sistemas biometricos de control de presencia deben superar un análisis de necesidad y proporcionalidad estricto, y que la empresa debe demostrar que no existen alternativas menos intrusivas.

Principio de minimización de datos

Que datos puede recoger la empresa

El artículo 5.1.c del RGPD establece que los datos personales seran adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados (principio de minimización de datos).

Aplicado al registro horario, esto significa que la empresa puede (y debe) recoger:

Datos estrictamente necesarios (base jurídica: obligación legal):

• Identidad del trabajador (nombre, apellidos o identificador de empleado).
• Fecha del registro.
• Hora concreta de inicio de la jornada.
• Hora concreta de finalizacion de la jornada.

Datos razonablemente necesarios para la integridad del registro (base jurídica: interés legitimo):

• Método de fichaje utilizado (app, web, terminal físico).
• Timestamp del servidor (para verificar que la hora registrada corresponde a la hora real del fichaje, no a una hora introducida manualmente despues).
• Identificador del dispositivo o navegador (para trazabilidad).

Datos adicionales que requieren justificación reforzada:

• Geolocalizacion (solo si es proporcionada y se ha informado al trabajador).
• Direccion IP (dato personal según la jurisprudencia del TJUE, sentencia C-582/14 Breyer).
• Datos biometricos (categorias especiales de datos, art. 9 RGPD).

Datos que no deben recogerse bajo la base jurídica del registro horario:

• Capturas de pantalla del ordenador del trabajador.
• Registro de pulsaciones de teclado (keylogging).
• Monitorizacion de la actividad en aplicaciones.
• Grabaciones de la camara web durante la jornada.
• Historial de navegacion.

Estos datos exceden por completo la finalidad del registro de jornada y constituyen una vigilancia del trabajador que requiere bases jurídicas independientes, evaluaciones de impacto específicas y, en muchos casos, resultan desproporcionados conforme a la doctrina del Tribunal Europeo de Derechos Humanos (STEDH Barbulescu v. Romania, Gran Sala, 2017) y la jurisprudencia del Tribunal Constitucional español.

Que datos no puede recoger la empresa para el fichaje

Conviene ser explicito sobre lo que no se puede hacer bajo la cobertura del registro horario:

1. No se puede registrar la productividad bajo la finalidad de “registro de jornada”. Si la empresa quiere medir la productividad, debe informar al trabajador de una finalidad de tratamiento separada.
2. No se puede utilizar el registro horario para vigilancia encubierta. Si los datos del fichaje se cruzan con otros datos (correos, actividad en herramientas, accesos a sistemas) para evaluar al trabajador, se esta cambiando la finalidad del tratamiento, lo que vulnera el principio de limitacion de la finalidad (art. 5.1.b RGPD).
3. No se puede compartir el registro de un trabajador con otros trabajadores salvo con los representantes legales de los trabajadores, que tienen derecho de acceso colectivo conforme al art. 34.9 ET.

Conservación de datos: 4 años y despues que

El plazo legal de conservación

El artículo 34.9 del Estatuto de los Trabajadores establece que la empresa conservara los registros de jornada durante cuatro años. Este plazo se computa desde la fecha de cada registro individual, no desde la fecha de extinción del contrato de trabajo.

Esto significa que:

• Un registro del 15 de enero de 2026 debe conservarse hasta el 15 de enero de 2030.
• Si el trabajador deja la empresa el 30 de junio de 2026, los registros anteriores a esa fecha siguen sujetos al plazo de cuatro años.
• La empresa no puede borrar los registros antes de que transcurran cuatro años, incluso si el trabajador lo solicita, porque la conservación es una obligación legal.

La obligación de supresión tras el plazo

El RGPD impone una obligación simetrica: una vez transcurrido el período de conservación legal, los datos deben suprimirse o anonimizarse. El principio de limitacion del plazo de conservación (art. 5.1.e RGPD) establece que los datos personales seran conservados de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento.

Transcurridos los cuatro años, la empresa debe:

1. Suprimir los registros individuales que identifiquen al trabajador, o bien
2. Anonimizarlos de forma irreversible, de modo que no sea posible reidentificar al trabajador. La seudonimizacion no es suficiente; debe ser anonimizacion completa.

La conservación de registros más alla de los cuatro años sin base jurídica adicional constituye un tratamiento ilicito que puede dar lugar a una sanción de la AEPD.

En la práctica, muchas empresas conservan registros indefinidamente porque sus sistemas no tienen mecanismos automáticos de purgado. Esto genera un riesgo acumulativo: cuantos más datos historicos se conserven sin base jurídica, mayor es la exposicion ante una inspección de la AEPD o una reclamación de un extrabajador.

Excepciones al plazo de 4 años

Existen situaciones en las que la empresa puede necesitar conservar registros más alla de los cuatro años:

• Litigio en curso: Si existe un procedimiento judicial en el que los registros son relevantes, la empresa puede conservarlos mientras dure el litigio conforme al interés legitimo de defensa jurídica (art. 6.1.f RGPD). Pero debe documentar esta base jurídica.
• Inspección en curso: Si la ITSS ha iniciado una actuacion inspectora, los registros objeto de la inspección deben conservarse hasta su resolución definitiva.
• Obligaciones de Seguridad Social: Determinadas obligaciones de cotización pueden requerir la conservación de datos de jornada más alla de cuatro años, pero esto debe analizarse caso por caso.

Derechos de los empleados

Derecho de acceso (art. 15 RGPD)

El trabajador tiene derecho a obtener del responsable del tratamiento confirmacion de si se estan tratando o no datos personales que le conciernen y, en caso afirmativo, derecho de acceso a esos datos y a la siguiente información:

• Los fines del tratamiento.
• Las categorias de datos personales de que se trate.
• Los destinatarios o categorias de destinatarios.
• El plazo de conservación previsto.
• La existencia de derechos de rectificacion, supresión, limitacion y oposicion.
• El derecho a presentar una reclamación ante la AEPD.

En el contexto del registro horario, esto se traduce en que el trabajador puede solicitar una copia de todos sus registros de fichaje, incluyendo los metadatos asociados (hora del servidor, método de fichaje, IP si se ha registrado), durante todo el período de conservación.

El artículo 34.9 ET ya reconoce el derecho de acceso del trabajador a sus propios registros (“permaneciendo a disposicion de las personas trabajadoras”), por lo que existe una doble base legal para este derecho: el art. 15 RGPD y el art. 34.9 ET.

El plazo para responder a una solicitud de acceso es de un mes desde la recepcion de la solicitud (art. 12.3 RGPD), prorrogable dos meses más si la solicitud es compleja.

Derecho de rectificacion (art. 16 RGPD)

El trabajador tiene derecho a obtener la rectificacion de los datos personales inexactos que le conciernan. En el contexto del registro horario, esto significa que si un fichaje registra una hora incorrecta (por ejemplo, por un error técnico del sistema o por un fichaje accidental), el trabajador puede solicitar su correccion.

La empresa debe disponer de un procedimiento de regularizacion que permita:

1. Recibir la solicitud del trabajador.
2. Verificar la justificación (por ejemplo, cotejar con logs del sistema o con la declaracion del responsable directo).
3. Corregir el registro, dejando constancia de la versión original y de la versión rectificada.
4. Comunicar la rectificacion al trabajador.

Es importante que el sistema de registro mantenga un audit trail (rastro de auditoria) que registre quien modifico cada dato, cuando y por que motivo. Borrar el dato original y sustituirlo sin trazabilidad compromete la integridad del registro y puede generar sospechas de manipulacion.

Derecho de supresión (art. 17 RGPD)

El trabajador tiene derecho a obtener la supresión de sus datos cuando estos ya no sean necesarios para la finalidad para la que fueron recogidos, cuando retire su consentimiento (si esta era la base jurídica) o cuando el tratamiento sea ilicito.

Sin embargo, este derecho tiene una excepcion importante en el artículo 17.3.b RGPD: no se aplicara cuando el tratamiento sea necesario para el cumplimiento de una obligación legal. Dado que el art. 34.9 ET obliga a conservar los registros durante cuatro años, el trabajador no puede exigir la supresión de sus registros dentro de ese plazo.

Una vez transcurridos los cuatro años, el derecho de supresión si es ejercitable plenamente, y la empresa debe proceder a la eliminación o anonimizacion de los datos.

Derecho de oposicion (art. 21 RGPD)

El derecho de oposicion permite al interesado oponerse al tratamiento de sus datos cuando la base jurídica es el interés legitimo (art. 6.1.f). Sin embargo, cuando la base es la obligación legal (art. 6.1.c), el derecho de oposicion no es aplicable a los datos estrictamente necesarios para cumplir esa obligación.

En la práctica, el trabajador no puede oponerse a que la empresa registre su hora de entrada y salida, porque es una obligación legal. Pero si puede oponerse a tratamientos adicionales basados en el interés legitimo, como la geolocalizacion del fichaje, si demuestra que sus intereses, derechos y libertades prevalecen sobre el interés legitimo del responsable.

Derecho a la portabilidad (art. 20 RGPD)

El derecho a la portabilidad permite al interesado recibir sus datos en un formato estructurado, de uso común y lectura mecanica, y transmitirlos a otro responsable. Este derecho solo se aplica cuando la base jurídica es el consentimiento (art. 6.1.a) o la ejecucion de un contrato (art. 6.1.b), no cuando es la obligación legal (art. 6.1.c).

Por tanto, estrictamente, el derecho a la portabilidad del art. 20 RGPD no sería aplicable al registro horario basado en la obligación legal. No obstante, el derecho de acceso del art. 15 permite al trabajador obtener una copia de sus datos, lo que en la práctica tiene un efecto similar.

Evaluación de Impacto en la Protección de Datos (DPIA)

Cuando es obligatoria

El artículo 35 del RGPD exige que el responsable del tratamiento realice una Evaluación de Impacto en la Protección de Datos (DPIA, por sus siglas en ingles) antes de iniciar un tratamiento que entrañe un alto riesgo para los derechos y libertades de las personas fisicas.

La AEPD ha publicado una lista de tipos de tratamiento que requieren DPIA (conforme al art. 35.4 RGPD). En el contexto del registro horario, una DPIA es obligatoria cuando:

1. Se utilizan datos biometricos para el fichaje (huella dactilar, reconocimiento facial, iris). Los datos biometricos son categorias especiales de datos conforme al art. 9 RGPD y su tratamiento implica automáticamente un alto riesgo.

2. Se aplica geolocalizacion sistemática y a gran escala. Si la empresa registra la ubicación GPS de todos sus empleados en cada fichaje, el tratamiento puede considerarse una observacion sistemática a gran escala de una zona de acceso público (art. 35.3.c RGPD).

3. Se realiza perfilado o toma de decisiones automatizadas basadas en los datos del registro. Si la empresa utiliza algoritmos para evaluar el rendimiento del trabajador a partir de los datos de fichaje (por ejemplo, correlacionando horas de presencia con productividad), esto puede constituir un perfilado que requiere DPIA.

4. Se tratan datos de trabajadores vulnerables a gran escala. La relación laboral implica un desequilibrio de poder que la AEPD considera como factor de riesgo adicional. Cuando el tratamiento afecta a toda la plantilla, la escala amplifica el riesgo.

Cuando no es necesaria

Un sistema de registro horario básico que se límite a registrar la identidad del trabajador, la fecha, la hora de entrada y la hora de salida, sin biometria, sin geolocalizacion y sin perfilado, generalmente no requiere DPIA. La recogida de datos mínimos para cumplir una obligación legal clara no alcanza el umbral de “alto riesgo” que activa la obligación del art. 35.

No obstante, la decisión de no realizar una DPIA debe documentarse, explicando los motivos por los que se considera que el tratamiento no entranha un alto riesgo.

Contenido mínimo de la DPIA

Cuando la DPIA es necesaria, debe incluir como mínimo (art. 35.7 RGPD):

1. Descripcion sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento.
2. Evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad.
3. Evaluación de los riesgos para los derechos y libertades de los interesados.
4. Medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de los datos personales.

Registro de actividades de tratamiento (ROPA)

Obligación del artículo 30 RGPD

El artículo 30 del RGPD obliga a todo responsable del tratamiento a llevar un registro de las actividades de tratamiento realizadas bajo su responsabilidad. El registro horario de empleados es una actividad de tratamiento que debe estar incluida en el ROPA de la empresa.

Contenido de la entrada del ROPA para el registro horario

La entrada del registro horario en el ROPA debe incluir al menos:

Empresas exentas de la obligación de ROPA

El artículo 30.5 del RGPD exime de la obligación de llevar el ROPA a las empresas con menos de 250 empleados, salvo que el tratamiento entrañe un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorias especiales de datos.

En la práctica, dado que el registro horario es un tratamiento no ocasional (se realiza cada día laborable), la mayoria de las pymes españolas estan obligadas a incluirlo en su ROPA independientemente de su tamano.

Transferencias internacionales de datos

El problema del alojamiento en la nube

Muchas empresas utilizan software de registro horario en la nube (SaaS). Si el proveedor del software aloja los datos fuera del Espacio Económico Europeo (EEE), se produce una transferencia internacional de datos personales que debe cumplir con los requisitos del Capitulo V del RGPD (arts. 44-49).

Escenarios comunes

1. Proveedor con servidores en la UE: No hay transferencia internacional. Es el escenario más sencillo y recomendable.

2. Proveedor con servidores en Estados Unidos: Tras la invalidacion del Privacy Shield (STJUE C-311/18, Schrems II, 2020), las transferencias a EEUU requerian clausulas contractuales tipo (SCCs) con medidas complementarias. Desde julio de 2023, el EU-US Data Privacy Framework (DPF) permite transferencias a empresas estadounidenses certificadas bajo el DPF sin necesidad de SCCs. La empresa debe verificar que su proveedor esta certificado.

3. Proveedor con servidores en un pais sin decisión de adecuacion: La transferencia requiere clausulas contractuales tipo actualizadas (Decisión de Ejecucion 2021/914 de la Comisión) y una evaluación del impacto de la transferencia (Transfer Impact Assessment, TIA).

Recomendacion práctica

Para minimizar la complejidad jurídica y los riesgos asociados a las transferencias internacionales, la recomendacion es elegir un proveedor de software de registro horario que aloje los datos en servidores ubicados dentro del EEE, preferiblemente en España. Esto elimina la necesidad de analizar mecanismos de transferencia, SCCs o certificaciones DPF.

DALTICO Equipo aloja todos los datos de sus clientes en servidores ubicados en la Unión Europea, eliminando cualquier riesgo asociado a transferencias internacionales de datos.

Aviso de privacidad para empleados

Obligación de información

Los artículos 13 y 14 del RGPD exigen que el responsable del tratamiento informe al interesado sobre el tratamiento de sus datos personales. En el contexto laboral, esta información debe proporcionarse antes de iniciar el tratamiento, es decir, antes de que el trabajador comience a fichar.

Contenido del aviso de privacidad

El aviso de privacidad dirigido a los empleados en relación con el registro horario debe incluir al menos:

1. Identidad y datos de contacto del responsable del tratamiento: Nombre de la empresa, CIF, direccion, email de contacto.
2. Datos de contacto del Delegado de Protección de Datos (si la empresa tiene DPD nombrado).
3. Fines del tratamiento: Cumplimiento de la obligación legal de registro diario de jornada (art. 34.9 ET); control de horas extraordinarias; generación de informes de jornada; cumplimiento de obligaciones de Seguridad Social.
4. Base jurídica: Art. 6.1.c RGPD (cumplimiento de obligación legal). Si se recogen datos adicionales (geolocalizacion, IP), indicar la base jurídica específica para cada categoria (interés legitimo, con indicacion de la ponderacion realizada).
5. Categorias de datos: Enumerar todos los datos que se recogen.
6. Destinatarios: Inspección de Trabajo, representantes legales de los trabajadores, asesoria laboral, proveedor del software de registro (encargado del tratamiento).
7. Transferencias internacionales: Indicar si los datos se transfieren fuera del EEE y, en caso afirmativo, el mecanismo utilizado.
8. Plazo de conservación: 4 años desde la fecha de cada registro.
9. Derechos del empleado: Acceso, rectificacion, supresión (tras el período de conservación), limitacion, oposicion (si la base es el interés legitimo).
10. Derecho a reclamar ante la AEPD: Indicar que el empleado puede presentar una reclamación ante la Agencia Española de Protección de Datos (www.aepd.es).
11. Obligatoriedad del suministro de datos: Indicar que el registro de jornada es una obligación legal y que la negativa a fichar puede tener consecuencias disciplinarias.

Formato y entrega

El aviso de privacidad puede entregarse de forma separada o incluirse como clausula específica en el contrato de trabajo, en el acuerdo de trabajo a distancia (si aplica) o en la política de registro horario de la empresa. Lo importante es que se entregue de forma previa al inicio del tratamiento, que sea claro y accesible, y que se pueda acreditar su recepcion por el trabajador.

La recomendacion es entregar un documento independiente, firmado por el trabajador como acuse de recibo, que se archive junto con la documentación laboral del empleado.

Encargado del tratamiento: el proveedor de software

Relación responsable-encargado

Cuando la empresa utiliza un software de registro horario de un proveedor externo (SaaS), ese proveedor actua como encargado del tratamiento conforme al artículo 28 del RGPD. La empresa (responsable) y el proveedor (encargado) deben firmar un contrato de encargo del tratamiento que incluya:

1. El objeto y la duración del tratamiento.
2. La naturaleza y la finalidad del tratamiento.
3. El tipo de datos personales y las categorias de interesados.
4. Las obligaciones y derechos del responsable.
5. La obligación del encargado de tratar los datos solo siguiendo instrucciones del responsable.
6. La obligación de confidencialidad.
7. Las medidas de seguridad.
8. Las condiciones para contratar subencargados.
9. La asistencia al responsable en el cumplimiento de las solicitudes de derechos de los interesados.
10. La eliminación o devolucion de los datos al finalizar el servicio.

La mayoria de los proveedores SaaS incluyen estas clausulas en sus Terminos de Servicio o en un Acuerdo de Procesamiento de Datos (DPA). La empresa debe verificar que el DPA del proveedor cumple con los requisitos del art. 28 RGPD antes de contratar el servicio.

Responsabilidad del encargado

El encargado del tratamiento responde ante la AEPD si incumple las obligaciones que el RGPD impone directamente a los encargados (art. 28 y concordantes) o si actua fuera de las instrucciones del responsable. La empresa responsable no queda exonerada por el incumplimiento del encargado si no ha actuado con la debida diligencia en su seleccion y supervision.

Sanciones de la AEPD

Infracciones y cuantias

El RGPD establece dos niveles de sanciones administrativas:

Nivel inferior (art. 83.4 RGPD): Hasta 10.000.000 EUR o el 2% del volumen de negocio total anual global del ejercicio financiero anterior (la cifra mayor). Se aplica a infracciones como:

• Incumplimiento de la obligación de llevar el ROPA (art. 30).
• Falta de DPIA cuando es obligatoria (art. 35).
• Incumplimiento de las obligaciones del encargado del tratamiento (art. 28).

Nivel superior (art. 83.5 RGPD): Hasta 20.000.000 EUR o el 4% del volumen de negocio total anual global (la cifra mayor). Se aplica a infracciones como:

• Tratamiento sin base jurídica válida (art. 6).
• Vulneración de los derechos de los interesados (arts. 12-22).
• Transferencia internacional sin base adecuada (arts. 44-49).

Criterios de graduacion

La AEPD tiene en cuenta los siguientes factores para determinar la cuantia de la sanción (art. 83.2 RGPD):

• La naturaleza, gravedad y duración de la infracción.
• La intencionalidad o negligencia.
• Las medidas adoptadas para paliar los daños.
• El grado de responsabilidad del responsable o encargado.
• Las infracciones anteriores.
• El grado de cooperacion con la autoridad de control.
• Las categorias de datos afectados.
• La forma en que la autoridad tuvo conocimiento de la infracción (denuncia del trabajador, inspección de oficio, etc.).

Resoluciones relevantes de la AEPD

La AEPD ha dictado varias resoluciones que afectan directamente al tratamiento de datos en el contexto del registro horario:

1. PS/00050/2020: Sanción de 20.000 EUR a una empresa por instalar un sistema de control de presencia mediante reconocimiento facial sin realizar una evaluación de impacto ni informar adecuadamente a los trabajadores.

2. PS/00120/2021: Sanción de 6.000 EUR por no atender en plazo una solicitud de acceso de un extrabajador a sus registros de jornada.

3. Informe 2021/0049 del Gabinete Jurídico de la AEPD: Concluye que la base jurídica del tratamiento de datos derivado del registro horario es el art. 6.1.c RGPD (obligación legal) y que el consentimiento no es la base adecuada.

Obligaciones prácticas: lista de verificación

Para empresas que ya tienen registro horario

Si tu empresa ya dispone de un sistema de registro de jornada, verifica que cumple con las siguientes obligaciones RGPD:

1. La base jurídica del tratamiento esta documentada (art. 6.1.c RGPD por obligación legal del art. 34.9 ET).
2. Si se recogen datos adicionales (geolocalizacion, IP, biometria), existe una base jurídica específica para cada categoria documentada.
3. Los empleados han recibido un aviso de privacidad que cumple con los arts. 13-14 RGPD antes de comenzar a fichar.
4. El registro horario esta incluido en el ROPA de la empresa (art. 30 RGPD).
5. Existe un contrato de encargo del tratamiento con el proveedor de software (art. 28 RGPD).
6. Si se utilizan datos biometricos o geolocalizacion sistemática, se ha realizado una DPIA (art. 35 RGPD).
7. Existe un procedimiento para atender las solicitudes de acceso, rectificacion y supresión de los empleados en el plazo de un mes.
8. Los registros se conservan durante 4 años y se suprimen o anonimizan automáticamente una vez transcurrido el plazo.
9. Si los datos se alojan fuera del EEE, existe un mecanismo de transferencia internacional válido (capitulo V RGPD).
10. Las medidas de seguridad son adecuadas al riesgo: cifrado, control de acceso, copias de seguridad, audit trail.

Para empresas que van a implementar registro horario

Si tu empresa va a implementar un sistema de registro de jornada, incluye las siguientes tareas en el plan de implementacion:

1. Documentar la base jurídica del tratamiento.
2. Redactar el aviso de privacidad para los empleados.
3. Actualizar el ROPA con la nueva actividad de tratamiento.
4. Evaluar si es necesaria una DPIA (solo si se van a usar datos biometricos, geolocalizacion o perfilado).
5. Seleccionar un proveedor con DPA conforme al art. 28 RGPD y datos alojados en el EEE.
6. Configurar el sistema para recoger solo los datos mínimos necesarios.
7. Configurar el sistema para suprimir automáticamente los datos tras 4 años.
8. Establecer un procedimiento de atención a solicitudes de derechos.
9. Comunicar a los empleados antes del inicio del fichaje.

Preguntas frecuentes

Necesito el consentimiento del trabajador para registrar su jornada?

No. La base jurídica del tratamiento es el cumplimiento de una obligación legal (art. 6.1.c RGPD), no el consentimiento. El artículo 34.9 del Estatuto de los Trabajadores obliga a la empresa a garantizar el registro, por lo que no es necesario ni recomendable solicitar el consentimiento del trabajador para los datos mínimos del fichaje.

Puede un empleado negarse a fichar alegando protección de datos?

No. El registro de jornada es una obligación legal que vincula tanto a la empresa como al trabajador. El trabajador no puede oponerse al tratamiento de los datos estrictamente necesarios para el registro (identidad, fecha, hora) porque la base jurídica es la obligación legal, que no admite oposicion conforme al art. 21 RGPD. La negativa a fichar puede tener consecuencias disciplinarias.

Cuanto tiempo debo conservar los registros horarios?

Cuatro años desde la fecha de cada registro individual (art. 34.9 ET). Transcurrido ese plazo, los datos deben suprimirse o anonimizarse conforme al principio de limitacion del plazo de conservación (art. 5.1.e RGPD).

Puedo usar la huella dactilar para el fichaje?

Puedes, pero necesitas una base jurídica reforzada (art. 9.2.b RGPD), una DPIA obligatoria (art. 35 RGPD), y debes demostrar que no existen alternativas menos intrusivas. La AEPD ha endurecido sus criterios sobre el uso de biometria en el ámbito laboral en su Guía de 2023, y recomienda alternativas como el PIN, la tarjeta de proximidad o la app con credenciales individuales.

Que hago si un extrabajador solicita acceso a sus registros?

Debes atender la solicitud en el plazo de un mes (art. 12.3 RGPD). Si los registros estan dentro del período de conservación de 4 años, debes proporcionar una copia. Si ya han sido suprimidos por haber transcurrido el plazo, informas al solicitante de que los datos ya no existen.

Mi proveedor de software aloja los datos en EEUU. Es legal?

Puede serlo si el proveedor esta certificado bajo el EU-US Data Privacy Framework (DPF). Debes verificar la certificación en la lista pública del Departamento de Comercio de EEUU (dataprivacyframework.gov). Si el proveedor no esta certificado bajo el DPF, necesitas clausulas contractuales tipo (SCCs) con medidas complementarias. La opción más segura para una pyme española es elegir un proveedor con datos alojados en la UE.

Tengo que incluir el registro horario en el ROPA?

Si. El registro horario es un tratamiento de datos personales no ocasional, por lo que debe incluirse en el Registro de Actividades de Tratamiento (ROPA) conforme al art. 30 RGPD, independientemente del tamano de la empresa.

Glosario relacionado

• RGPD: Reglamento europeo de proteccion de datos personales.
• Delegado de proteccion de datos (DPD): Responsable de supervisar el cumplimiento del RGPD en la organizacion.
• Fichaje biometrico: Identificacion del empleado mediante datos biometricos como huella o rostro.

Guias relacionadas

• Registro Horario Obligatorio en Espana: Guia Completa 2026
• Registro Horario Valido en Juicio: Que Necesitas para que tus Registros Resistan
• Falsificacion del Registro Horario: Consecuencias Legales para Empresa y Trabajador
• Registro Horario en Teletrabajo Hibrido: Guia Legal y Tecnica
• Sanciones por No Tener Registro Horario: Cuantias Actualizadas 2026

Cumple con el RGPD y con la ley laboral al mismo tiempo

El registro horario obliga a tratar datos personales de tus empleados. Hacerlo bien protege a la empresa ante la Inspección de Trabajo y ante la AEPD. Hacerlo mal puede suponer sanciones acumuladas de ambos organismos.

DALTICO Equipo es el único sistema de registro horario en España certificado por perito informático forense. Esta diseñado para cumplir simultáneamente con el art. 34.9 ET y con el RGPD: recoge solo los datos mínimos necesarios, conserva los registros durante 4 años con supresión automática, aloja los datos en la Unión Europea y genera registros con valor probatorio real.

• Datos mínimos por defecto (principio de minimización RGPD)
• Alojamiento en la Unión Europea (sin transferencias internacionales)
• Audit trail completo de todas las modificaciones
• Supresión automática tras el período de conservación
• DPA (contrato de encargo del tratamiento) incluido
• Configuración en 5 minutos, desde 3 EUR/empleado/mes

Solicita una demostracion gratuita | Ver caracteristicas de control horario | Ver precios