Control horario y RGPD: registrar jornada sin vulnerar datos

·

Desde la entrada en vigor del Real Decreto-ley 8/2019, de 8 de marzo, el registro diario de jornada es una obligación legal para la totalidad de las empresas españolas, con independencia de su tamaño o sector. El artículo 34.9 del Estatuto de los Trabajadores (ET) exige que el empresario garantice el registro del horario concreto de inicio y finalización de la jornada de cada trabajador. Lo que muchas organizaciones no han analizado con suficiente profundidad es que ese registro —con independencia del sistema tecnológico utilizado— constituye un tratamiento de datos personales sometido al Reglamento (UE) 2016/679 (RGPD) y a la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).

En este artículo explicamos qué datos personales genera el control horario, qué base jurídica ampara ese tratamiento, cómo aplicar el principio de minimización, cuándo la biometría exige una evaluación de impacto, y qué plazos de conservación deben respetarse. El objetivo no es abrumar con teoría, sino ofrecer una hoja de ruta práctica para que la empresa pueda implantar o revisar su sistema de fichaje RGPD-compatible.

La obligación legal: el artículo 34.9 del Estatuto de los Trabajadores

El artículo 34.9 del ET establece tres mandatos que toda empresa debe cumplir:

  1. Registrar diariamente el horario concreto de inicio y finalización de la jornada de cada persona trabajadora.
  2. Organizar y documentar ese registro mediante negociación colectiva, acuerdo de empresa o, en su defecto, decisión del empresario previa consulta con la representación legal de los trabajadores.
  3. Conservar los registros durante cuatro años, manteniéndolos a disposición de los propios trabajadores, de sus representantes legales y de la Inspección de Trabajo y Seguridad Social.

El incumplimiento de esta obligación constituye una infracción grave en materia de relaciones laborales según el artículo 7.5 de la Ley sobre Infracciones y Sanciones en el Orden Social (LISOS), con sanciones que van desde 751 hasta 7.500 euros por centro de trabajo. Sin embargo, la empresa que sí registra la jornada pero lo hace sin respetar la normativa de protección de datos puede incurrir en una infracción adicional de distinta naturaleza.

¿Qué datos personales genera el registro de jornada?

El tipo y volumen de datos personales varía sustancialmente en función del sistema elegido. En el plano mínimo, cualquier sistema de control horario genera, al menos, los siguientes datos vinculados a cada trabajador:

Dependiendo de la tecnología utilizada, el registro puede incluir también datos de geolocalización (aplicaciones móviles de fichaje), datos biométricos (huellas dactilares, reconocimiento facial) o patrones de comportamiento laboral que permiten inferir información sensible. Cada capa adicional de dato aumenta el riesgo y exige medidas de protección más exigentes.

Base jurídica del tratamiento: la obligación legal como fundamento

El artículo 6 del RGPD enumera las bases jurídicas que legitiman el tratamiento de datos personales. En el caso del registro de jornada analizado desde la óptica de la protección de datos, la base principal es el artículo 6.1.c: el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento. Esa obligación legal es, precisamente, el artículo 34.9 del ET.

Esto tiene consecuencias prácticas importantes: la empresa no necesita pedir el consentimiento de los trabajadores para tratar sus datos de control horario, porque la base jurídica no es el consentimiento sino el cumplimiento legal. Tampoco puede renunciar al tratamiento aunque el trabajador lo solicite, porque hacerlo implicaría incumplir la normativa laboral. Sin embargo, que la base sea una obligación legal no exime a la empresa de respetar los demás principios del RGPD: minimización, limitación de finalidad, exactitud, integridad y confidencialidad.

El principio de minimización aplicado al control horario

El artículo 5.1.c del RGPD consagra el principio de minimización de datos: los datos personales deben ser «adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados». Aplicado al fichaje RGPD, esto significa que la empresa debe plantearse, antes de implantar o renovar su sistema, qué datos son realmente necesarios para acreditar el cumplimiento del artículo 34.9 ET.

Las respuestas a estas preguntas orientan el diseño del sistema:

El principio de privacidad desde el diseño y por defecto (art. 25 RGPD) obliga a integrar estas reflexiones en la fase de selección del sistema, no como corrección a posteriori. Las empresas que trabajan con Summum Consultoría en la adecuación de sus sistemas de registro de jornada reciben un análisis de proporcionalidad previo a cualquier implantación tecnológica.

Biometría en el fichaje: el régimen especial del artículo 9 del RGPD

Uno de los errores más frecuentes en las empresas que instalan terminales de huella dactilar o reconocimiento facial para el control horario es no tener en cuenta que los datos biométricos destinados a identificar de forma unívoca a una persona física constituyen una categoría especial de datos según el artículo 9.1 del RGPD. Su tratamiento está prohibido con carácter general, salvo que concurra alguna de las excepciones del artículo 9.2.

En el contexto laboral, la excepción aplicable suele ser el artículo 9.2.b del RGPD: el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral. Sin embargo, la Agencia Española de Protección de Datos (AEPD) ha señalado en sus orientaciones que esta excepción no basta por sí sola: la empresa debe acreditar que el uso de biometría es necesario y proporcional, es decir, que no existe un sistema alternativo menos intrusivo que permita igualmente verificar la presencia del trabajador.

Dicho de otro modo: si un sistema de tarjeta RFID o una aplicación con código PIN cumple igualmente la función de acreditar la entrada y salida del trabajador para cubrir la obligación del artículo 34.9 ET, instalar un lector de huellas dactilares puede no superar el test de proporcionalidad. La biometría solo se justifica cuando existe una necesidad real —por ejemplo, entornos de alta seguridad donde la suplantación de identidad supone un riesgo material verificable.

¿Cuándo es necesaria una Evaluación de Impacto en Protección de Datos?

El artículo 35 del RGPD obliga a realizar una Evaluación de Impacto en Protección de Datos (EIPD) cuando el tratamiento pueda entrañar un alto riesgo para los derechos y libertades de las personas físicas. El tratamiento a gran escala de categorías especiales de datos es uno de los supuestos que, según las directrices del Comité Europeo de Protección de Datos (CEPD), requiere preceptivamente una EIPD.

Por tanto, cualquier empresa que implante un sistema de control horario basado en biometría debe realizar una EIPD antes de poner el sistema en producción. Esta evaluación debe documentar: la descripción del tratamiento y sus fines, la valoración de necesidad y proporcionalidad, los riesgos identificados para los derechos de los trabajadores y las medidas previstas para mitigarlos. Si tras la EIPD subsiste un riesgo residual alto, el artículo 36 del RGPD exige consulta previa a la autoridad de control (en España, la AEPD) antes de iniciar el tratamiento.

El equipo de protección de datos de Summum Consultoría acompaña a las empresas en la elaboración de la documentación necesaria para implantar un sistema de registro de jornada conforme al RGPD, incluyendo la EIPD cuando el sistema elegido lo requiere.

Geolocalización como método de control horario

Otra modalidad tecnológica en auge es el fichaje mediante aplicación móvil con geolocalización: el trabajador registra su presencia desde el smartphone y el sistema valida que se encuentra en la ubicación correcta. El artículo 90 de la LOPDGDD regula estos sistemas en el ámbito laboral e impone al empresario la obligación de informar previamente a los trabajadores y a sus representantes de su existencia y características. La distinción clave en materia de proporcionalidad es la que separa la captura puntual de coordenadas en el momento del fichaje —suficiente para acreditar el cumplimiento del artículo 34.9 ET— de la geolocalización continua durante toda la jornada, que excede ese fin y requeriría una justificación independiente. El análisis detallado de la geolocalización laboral y la videovigilancia, con el régimen completo del artículo 90 de la LOPDGDD, se desarrolla en nuestro artículo específico Control horario, geolocalización y videovigilancia laboral: qué exige el RGPD y la LOPDGDD.

Plazos de conservación de los registros

El artículo 34.9 del ET fija un plazo de conservación de cuatro años para los registros de jornada. El RGPD, por su parte, establece en su artículo 5.1.e el principio de limitación del plazo de conservación: los datos no deben mantenerse más tiempo del necesario para los fines del tratamiento. En este caso, el plazo de cuatro años del ET constituye el máximo legalmente establecido; una vez transcurrido, la empresa debe proceder a la supresión o anonimización de los datos.

Durante ese plazo, los datos de control horario deben almacenarse con las medidas de seguridad adecuadas, limitando el acceso a las personas que realmente necesiten consultarlos (responsables de recursos humanos, inspectores de trabajo cuando lo requieran, representantes de los trabajadores en el ejercicio de sus funciones legales). La política de accesos debe estar documentada y revisada periódicamente.

Comparativa de sistemas de control horario y su impacto en protección de datos
Sistema Tipo de dato Categoría especial (art. 9) EIPD requerida Nivel de riesgo RGPD
Libro de firmas o registro en papel Firma manuscrita + horario No No Bajo
Software de gestión con PIN o contraseña Identificador + timestamp No No (salvo gran escala) Bajo-medio
Tarjeta RFID o NFC ID de tarjeta + timestamp No No Bajo-medio
App móvil con geolocalización en el fichaje Coordenadas GPS + timestamp No Recomendable Medio
App móvil con geolocalización continua Trayectoria GPS en tiempo real No Alto
Lector de huella dactilar Dato biométrico (huella) Sí (preceptiva) Alto
Reconocimiento facial Dato biométrico (geometría facial) Sí (preceptiva) Muy alto

Deber de información a los trabajadores

Los artículos 13 y 14 del RGPD imponen al responsable del tratamiento la obligación de informar a los interesados —en este caso, a los trabajadores— sobre las características esenciales del tratamiento de sus datos. Esta información debe facilitarse, como máximo, en el momento en que se recogen los datos por primera vez o, en el caso del artículo 14, en el plazo de un mes desde que el responsable obtiene los datos por fuente distinta del interesado.

En el ámbito del control horario, la información mínima que debe recibir cada trabajador incluye:

Esta información puede integrarse en el contrato de trabajo, en el documento de bienvenida al empleado, en la intranet corporativa o en un documento específico de protección de datos entregado al inicio de la relación laboral. Lo importante es que sea accesible, inteligible y que la empresa pueda acreditar que cada trabajador la ha recibido.

La convergencia con los sistemas tecnológicos de la empresa

El control horario rara vez vive en un silo tecnológico aislado. En la mayoría de las empresas, los datos de fichaje se integran con el sistema de nóminas, el ERP corporativo, la herramienta de gestión de recursos humanos o, en empresas con trabajo en campo, con aplicaciones de planificación de rutas y tareas. Cada integración es un flujo de datos adicional que debe estar documentado en el Registro de Actividades de Tratamiento (RAT) exigido por el artículo 30 del RGPD y que implica verificar que los encargados del tratamiento involucrados (proveedores de software, integradores, operadores cloud) tienen suscritos los contratos de encargo de tratamiento exigidos por el artículo 28 del RGPD.

Las empresas que disponen de un departamento o asesoría de sistemas deben coordinar la implantación o revisión del sistema de control horario con el área de protección de datos desde el primer momento, no solo para la configuración técnica de accesos y cifrado, sino para garantizar que la arquitectura del sistema respeta el principio de privacidad desde el diseño (art. 25 RGPD). Desde Summum Consultoría trabajamos de forma coordinada entre nuestras divisiones de Consultoría y Sistemas para acompañar este proceso de manera integral.

El régimen sancionador: qué riesgo asume la empresa

El incumplimiento de las obligaciones del RGPD en el contexto del control horario puede dar lugar a sanciones en los dos frentes normativos:

Conviene subrayar que la AEPD no solo actúa de oficio: con frecuencia, las investigaciones se inician por reclamaciones de trabajadores o exempleados. Una empresa que ha implantado un sistema de fichaje biométrico sin EIPD, sin informar correctamente a los trabajadores y sin contrato de encargo de tratamiento con el proveedor del terminal concentra varios focos de riesgo simultáneos.

Preguntas frecuentes

¿Puede el empresario usar la geolocalización del móvil corporativo para controlar la jornada?

Sí, siempre que se cumplan los requisitos del artículo 90 de la LOPDGDD: informar previamente a los trabajadores y a sus representantes legales sobre la existencia y características del sistema de geolocalización, con especial mención a los derechos que les asisten (arts. 15-22 RGPD). Además, el uso de la geolocalización debe ser proporcional al fin: si el objetivo es únicamente registrar la jornada, la captura de coordenadas en los momentos de fichaje es suficiente; el seguimiento continuo de posición durante toda la jornada puede no superar el test de proporcionalidad.

¿Un sistema de huellas dactilares necesita siempre una EIPD?

Sí. El tratamiento de datos biométricos para identificar de forma unívoca a las personas físicas constituye una categoría especial de datos según el artículo 9.1 del RGPD, y el tratamiento de categorías especiales de datos está explícitamente listado entre los supuestos que requieren EIPD preceptiva según las directrices del Comité Europeo de Protección de Datos. La EIPD debe realizarse y documentarse antes de implantar el sistema, no después. Si el resultado de la EIPD revela un riesgo residual alto que no puede mitigarse con medidas técnicas u organizativas, la empresa debe consultar a la AEPD antes de proceder.

¿Cuánto tiempo hay que conservar los registros de jornada?

El artículo 34.9 del Estatuto de los Trabajadores fija un plazo mínimo de cuatro años. Durante ese período, los registros deben permanecer a disposición de los trabajadores, de sus representantes legales y de la Inspección de Trabajo y Seguridad Social. Una vez transcurridos los cuatro años, el principio de limitación del plazo de conservación del artículo 5.1.e del RGPD exige suprimir o anonimizar los datos, salvo que exista otra obligación legal que justifique una conservación más prolongada (por ejemplo, una disputa laboral en curso que exija conservar los datos como prueba).

¿Qué información hay que dar a los trabajadores sobre el sistema de control horario?

Como mínimo, la establecida en el artículo 13 del RGPD: identidad del responsable, finalidad y base jurídica del tratamiento, plazo de conservación, destinatarios de los datos, y derechos de los interesados con indicación de cómo ejercerlos y del derecho a reclamar ante la AEPD. Si el sistema involucra biometría o geolocalización, la información debe mencionar específicamente estas circunstancias. Entregar esta información por escrito al inicio de la relación laboral y conservar el acuse de recibo es la práctica recomendada para acreditar el cumplimiento ante la AEPD.