Registro horario digital y RGPD
El registro horario es una obligación para las empresas, pero muchas todavía lo ven solo como una cuestión laboral. Sin embargo, cada vez que una persona trabajadora ficha su entrada, su salida, sus pausas o su ubicación, la empresa está tratando datos personales.
Y ahí entra en juego la protección de datos.
En un momento en el que muchas empresas están sustituyendo las hojas de papel o los Excel por aplicaciones de fichaje, sistemas biométricos, tarjetas, códigos QR o herramientas con geolocalización, conviene hacerse una pregunta importante:
¿Está cumpliendo tu empresa el RGPD cuando controla la jornada laboral de sus trabajadores?
La respuesta no depende solo del software elegido. Depende de cómo se haya implantado, qué datos se recogen, con qué finalidad, quién puede acceder a ellos, durante cuánto tiempo se conservan y si la plantilla ha sido correctamente informada.
El registro horario ya es obligatorio para las empresas
Desde la modificación del Estatuto de los Trabajadores introducida por el Real Decreto-ley 8/2019, las empresas deben garantizar un registro diario de jornada que incluya el horario concreto de inicio y finalización de cada persona trabajadora. Esta obligación busca facilitar el control de la jornada, las horas extraordinarias y el cumplimiento de los límites laborales.
Además, el Ministerio de Trabajo ha planteado reforzar los requisitos del registro de jornada mediante sistemas digitales, con garantías de autenticidad, trazabilidad, accesibilidad y conservación documental.
Esto significa que muchas empresas que todavía utilizan métodos manuales o poco seguros deberían empezar a revisar sus sistemas de control horario. Pero digitalizar el fichaje no basta: también hay que cumplir la normativa de protección de datos.
¿Por qué el control horario afecta a la protección de datos?
Porque el registro horario permite identificar a una persona trabajadora y conocer información relacionada con su actividad laboral: hora de entrada, hora de salida, pausas, turnos, incidencias, ubicación en determinados casos o incluso datos biométricos si se usa huella dactilar o reconocimiento facial.
La Agencia Española de Protección de Datos recuerda que el control de jornada debe aplicarse de la forma menos intrusiva posible y respetando el principio de minimización, es decir, recogiendo solo los datos necesarios para cumplir la finalidad prevista.
Por ejemplo, una empresa puede necesitar saber a qué hora entra y sale una persona trabajadora. Pero eso no significa que siempre pueda controlar su ubicación exacta durante toda la jornada o exigirle que fiche con huella dactilar si existen alternativas menos invasivas.
¿Hace falta el consentimiento del trabajador para implantar un sistema de fichaje?
Con carácter general, no.
La AEPD aclara que para implantar un sistema de control horario no suele ser necesario pedir el consentimiento de la persona trabajadora, porque la base jurídica es el cumplimiento de una obligación legal de la empresa.
Ahora bien, esto no significa que la empresa pueda utilizar cualquier sistema sin límites. Aunque no sea necesario el consentimiento, la empresa sí debe cumplir con el RGPD y la LOPDGDD.
Eso implica, entre otras cuestiones:
- Informar correctamente a la plantilla.
- Definir la finalidad del tratamiento.
- Limitar los datos recogidos.
- Controlar los accesos a la información.
- Revisar el contrato con el proveedor del software.
- Conservar los registros solo durante el tiempo necesario.
- Evaluar si el sistema elegido es proporcional.
Cuidado con la huella dactilar y el reconocimiento facial
Uno de los errores más frecuentes es pensar que fichar con huella dactilar es más seguro y, por tanto, siempre más recomendable. En realidad, desde el punto de vista de la protección de datos, puede ser justo lo contrario.
La AEPD considera que el uso de datos biométricos para control de presencia o acceso supone un tratamiento de categorías especiales de datos y de alto riesgo. Además, exige superar un análisis de idoneidad, necesidad y proporcionalidad.
En la práctica, esto significa que una empresa no debería implantar un sistema de fichaje con huella o reconocimiento facial sin una revisión previa. Debe valorar si existe una alternativa menos invasiva, como una tarjeta, una app con credenciales, un código personal u otro sistema que permita cumplir la obligación laboral sin tratar datos biométricos.
El problema no es solo técnico. También es jurídico. Si el sistema no está correctamente justificado, documentado y comunicado, la empresa puede exponerse a reclamaciones o sanciones.
Apps de fichaje y geolocalización: cuándo pueden generar problemas
Cada vez más empresas utilizan aplicaciones móviles para fichar, especialmente cuando tienen personal en teletrabajo, comerciales, técnicos desplazados o trabajadores que prestan servicios fuera del centro de trabajo.
Estas herramientas pueden ser útiles, pero también pueden generar riesgos si recogen más información de la necesaria.
La AEPD ha señalado que los datos del registro horario no pueden utilizarse para finalidades distintas. Por ejemplo, si una empresa recoge datos de jornada, no debería aprovechar ese sistema para comprobar la ubicación de una persona trabajadora con otros fines no informados o no justificados.
Por eso, antes de activar la geolocalización en una app de fichaje, la empresa debería preguntarse:
| ¿Es realmente necesaria la ubicación para registrar la jornada? |
| ¿Se registra solo en el momento del fichaje o durante toda la jornada? |
| ¿La plantilla ha sido informada de forma clara? |
| ¿Existe una alternativa menos invasiva? |
| ¿Se ha documentado este tratamiento en la política de protección de datos? |
La geolocalización permanente o excesiva puede convertirse en un tratamiento desproporcionado si no está bien justificada.
Qué debe revisar tu empresa antes de contratar un software de control horario
Elegir una herramienta de fichaje digital no debería depender solo del precio o de la facilidad de uso. Desde el punto de vista del RGPD, es importante revisar varios aspectos antes de contratar.
El primero es saber qué datos recoge la herramienta. No es lo mismo registrar únicamente la hora de entrada y salida que recoger ubicación, dispositivo, IP, imagen, firma, huella o patrones biométricos.
También es fundamental comprobar dónde se almacenan los datos, quién tiene acceso, qué medidas de seguridad aplica el proveedor y si existe un contrato de encargo del tratamiento conforme al RGPD.
Además, la empresa debe asegurarse de que la plantilla recibe una información clara. Las personas trabajadoras deben saber qué datos se tratan, para qué se utilizan, durante cuánto tiempo se conservan, quién es el responsable del tratamiento y cómo pueden ejercer sus derechos.
Documentación de protección de datos que deberías tener actualizada
Implantar un sistema de registro horario digital no consiste solo en instalar una aplicación. También exige revisar la documentación de protección de datos de la empresa.
Entre los documentos que conviene revisar o actualizar están:
| – Registro de actividades de tratamiento. |
| – Cláusula informativa para trabajadores. |
| – Contrato con el proveedor del software. |
| – Política interna de uso del sistema de fichaje. |
| – Análisis de riesgos. |
| – Evaluación de impacto, si el sistema puede implicar alto riesgo. |
| – Medidas de seguridad aplicadas al acceso y conservación de los registros. |
| – Procedimiento para atender derechos de protección de datos. |
En empresas con Delegado de Protección de Datos, también será recomendable consultar previamente al DPD antes de implantar sistemas más sensibles, especialmente si hay biometría, geolocalización o control intensivo de la actividad laboral.
Errores frecuentes que pueden poner en riesgo a tu empresa
- Uno de los errores más habituales es contratar una app de fichaje sin revisar sus condiciones de privacidad. Muchas empresas asumen que, si el proveedor es conocido o el software es popular, ya cumple con todo. Pero la responsabilidad principal sigue siendo de la empresa que decide usarlo.
- Otro error frecuente es no informar a los trabajadores. Aunque el registro horario sea obligatorio, la empresa debe explicar cómo funciona el sistema y qué tratamiento de datos se realiza.
- También puede ser problemático conservar los datos indefinidamente, permitir accesos internos innecesarios o utilizar la información del fichaje para finalidades distintas a las inicialmente previstas.
Y, por supuesto, uno de los puntos más delicados es usar huella dactilar, reconocimiento facial o geolocalización sin haber valorado antes si son sistemas necesarios y proporcionales.
¿Qué puede hacer tu empresa para cumplir correctamente?
La mejor forma de reducir riesgos es revisar el sistema antes de implantarlo, no cuando ya hay una reclamación o una inspección.
Una empresa debería comprobar si el método de fichaje elegido es adecuado, si trata solo los datos necesarios, si la plantilla está informada, si el proveedor cumple garantías suficientes y si la documentación de protección de datos está actualizada.
En VocemDAT ayudamos a empresas, autónomos, centros educativos y entidades a adaptar sus obligaciones de protección de datos a situaciones reales del día a día.
Nuestro objetivo es que no tengas que enfrentarte solo a normativas complejas, dudas técnicas o posibles sanciones.
¿Necesitas ayuda?
CONTACTA
CON NUESTROs expertos
