RGPD
Reglamento General de Protección de Datos (UE 2016/679): normativa europea que regula el tratamiento de datos personales, con impacto directo en los sistemas de fichaje laboral.
Qué es el RGPD
El RGPD (Reglamento General de Protección de Datos) es el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, que regula el tratamiento de datos personales de las personas físicas en la Unión Europea. Entró en vigor el 25 de mayo de 2018 y es de aplicación directa en todos los Estados miembros, incluida España, donde se complementa con la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
El RGPD establece los principios, derechos y obligaciones que deben cumplir todas las organizaciones que tratan datos personales: desde el nombre y el DNI de un empleado hasta su hora de entrada al trabajo, su ubicación geográfica o sus datos biométricos. Para cualquier empresa que utilice un sistema de fichaje digital, el RGPD es la norma que define qué datos puede recoger, cómo debe tratarlos y durante cuánto tiempo puede conservarlos.
En España, la autoridad encargada de supervisar el cumplimiento del RGPD es la Agencia Española de Protección de Datos (AEPD), que ha emitido resoluciones especialmente relevantes sobre el uso de datos biométricos y geolocalización en el entorno laboral.
Principios fundamentales del RGPD
El RGPD se articula sobre siete principios que toda empresa debe cumplir al tratar datos personales:
| Principio | Significado | Aplicación al fichaje |
|---|---|---|
| Licitud, lealtad y transparencia | Base legal válida e información clara al interesado | Informar al empleado sobre el sistema de fichaje |
| Limitación de la finalidad | Datos recogidos para fines determinados | No usar datos de fichaje para fines no comunicados |
| Minimización de datos | Solo los datos estrictamente necesarios | No recoger ubicación continua si basta con geovalla |
| Exactitud | Datos correctos y actualizados | Permitir al empleado corregir fichajes erróneos |
| Limitación del plazo | No conservar más tiempo del necesario | 4 años para registro de jornada (art. 34.9 ET) |
| Integridad y confidencialidad | Seguridad adecuada de los datos | Cifrado, control de acceso, copias de seguridad |
| Responsabilidad proactiva | Demostrar el cumplimiento | Documentar decisiones, EIPD cuando proceda |
El RGPD y el registro de jornada
El registro de jornada obligatorio implica necesariamente el tratamiento de datos personales: nombre del trabajador, hora de entrada, hora de salida y, dependiendo del sistema, ubicación o datos biométricos. La empresa debe cumplir con el RGPD en cada uno de estos tratamientos.
Base legal para el registro horario
La base legal más adecuada para el tratamiento de datos derivado del registro de jornada es el cumplimiento de una obligación legal (artículo 6.1.c del RGPD), puesto que el artículo 34.9 del Estatuto de los Trabajadores impone esta obligación a todas las empresas.
Esta base legal cubre el registro básico (hora de entrada y salida), pero no necesariamente todos los datos adicionales que un sistema de fichaje pueda recoger. Por ejemplo:
- Nombre y hora de fichaje: cubierto por la obligación legal.
- Geolocalización: requiere análisis adicional de proporcionalidad; puede ampararse en el interés legítimo del empresario si se justifica adecuadamente.
- Datos biométricos: categoría especial (artículo 9 RGPD); la obligación legal del registro de jornada no justifica por sí sola el tratamiento de datos biométricos.
Datos biométricos como categoría especial
El artículo 9 del RGPD prohíbe, con carácter general, el tratamiento de datos biométricos dirigidos a identificar de manera unívoca a una persona. El fichaje biométrico (huella dactilar, reconocimiento facial) entra en esta categoría. La AEPD ha establecido que:
- El consentimiento del trabajador no es válido como base legal (no se considera libre en una relación laboral).
- La empresa debe demostrar que no existe un método menos intrusivo (como tarjetas NFC o apps móviles).
- Es obligatoria una Evaluación de Impacto en Protección de Datos (EIPD) antes de implantar fichaje biométrico.
Derechos de los trabajadores bajo el RGPD
Los empleados, como interesados cuyos datos se tratan, tienen los siguientes derechos:
- Derecho de información: conocer qué datos se recogen, con qué finalidad, durante cuánto tiempo y quién tiene acceso.
- Derecho de acceso: consultar sus propios registros de fichaje en cualquier momento.
- Derecho de rectificación: solicitar la corrección de fichajes erróneos.
- Derecho de supresión: solicitar la eliminación de datos una vez transcurrido el plazo de conservación legal (4 años).
- Derecho de oposición: oponerse a tratamientos basados en el interés legítimo (no al basado en obligación legal).
- Derecho a la portabilidad: recibir sus datos en formato estructurado y legible por máquina.
La empresa debe facilitar el ejercicio de estos derechos de forma sencilla y gratuita, respondiendo en un plazo máximo de un mes.
Obligaciones de la empresa
Para cumplir con el RGPD en relación con el fichaje laboral, la empresa debe:
- Informar a los trabajadores antes de implantar el sistema: qué datos se recogen, para qué, durante cuánto tiempo y quién los trata.
- Documentar la base legal del tratamiento y, si se utiliza geolocalización o biometría, realizar una EIPD.
- Firmar un contrato de encargado del tratamiento con el proveedor del software de fichaje (obligatorio cuando se utiliza un servicio SaaS).
- Garantizar la seguridad de los datos: cifrado, control de acceso, copias de seguridad, procedimientos ante brechas.
- Registrar la actividad de tratamiento en el registro de actividades de tratamiento de la empresa.
- Designar un DPO (Delegado de Protección de Datos) si la empresa está obligada a ello.
Sanciones por incumplimiento
Las sanciones del RGPD se clasifican en dos niveles:
| Nivel | Importe máximo | Infracciones |
|---|---|---|
| Menor | 10 M EUR o 2% facturación global | Incumplimiento de obligaciones del responsable o encargado |
| Mayor | 20 M EUR o 4% facturación global | Vulneración de principios, derechos de los interesados, transferencias internacionales |
En la práctica, la AEPD ha impuesto sanciones a empresas españolas por tratamiento indebido de datos biométricos de empleados, con importes que van desde los 20.000 hasta los 200.000 euros.