El fichaje recoge datos personales
Cada vez que un empleado ficha, se genera un dato personal: su nombre asociado a una hora y una fecha. Si además se registra su ubicación, dirección IP o datos biométricos, la cosa se complica.
El Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos (LOPDGDD) se aplican directamente al registro de jornada. Muchas PYMES cumplen con la obligación de fichar pero incumplen la de proteger esos datos. Y las sanciones por protección de datos pueden ser mucho más duras que las de registro horario.
Qué base legal justifica el fichaje
Para tratar datos personales necesitas una base legal. En el caso del registro horario, la base es clara: el cumplimiento de una obligación legal (artículo 6.1.c del RGPD), concretamente el artículo 34.9 del Estatuto de los Trabajadores.
Esto significa que no necesitas el consentimiento del empleado para registrar su jornada. Es la ley la que te obliga, y esa obligación legal es suficiente como base para el tratamiento.
Importante: Aunque no necesites consentimiento para fichar, sí debes informar al empleado sobre el tratamiento de sus datos: qué datos recoges, con qué finalidad, quién tiene acceso, cuánto tiempo los conservas y cómo puede ejercer sus derechos. Esta información debe facilitarse por escrito (política de privacidad laboral).
Los 6 puntos que debes cumplir
1. Informa a tus empleados
Antes de implementar cualquier sistema de fichaje, cada empleado debe recibir información clara sobre:
- Qué datos se recogen (hora, fecha, identificación)
- Para qué se usan (cumplimiento del registro de jornada)
- Quién tiene acceso a los datos (responsable de RRHH, gestoría, etc.)
- Cuánto tiempo se conservan (4 años según la ley de registro horario)
- Cómo ejercer sus derechos (acceso, rectificación, supresión)
2. Aplica el principio de minimización
Solo recoge los datos estrictamente necesarios. Para cumplir con el registro de jornada necesitas: identidad del empleado, hora de entrada y hora de salida. Nada más.
Registrar la ubicación del empleado al fichar es un tratamiento de datos mucho más intrusivo. Solo está justificado si hay una necesidad real (trabajadores itinerantes, por ejemplo) y debe ser proporcionado. Activar el GPS en el móvil de un empleado que teletrabaja desde casa no está justificado: ya sabes dónde está.
Si usas geolocalización, necesitas una evaluación de impacto (EIPD) y debes informar al empleado de forma específica.
3. Evita datos biométricos si puedes
La huella dactilar y el reconocimiento facial son datos biométricos, considerados de categoría especial por el RGPD (artículo 9). Su tratamiento está prohibido salvo excepciones muy específicas.
La Agencia Española de Protección de Datos (AEPD) ha dejado claro en varias resoluciones que el fichaje biométrico debe ser la última opción, no la primera. Si puedes identificar al empleado con un PIN, una tarjeta o una app, la biometría no está justificada.
4. Limita el acceso a los datos
No todo el mundo en la empresa necesita ver los registros de todos los empleados. Define quién puede acceder a qué:
- El empleado: solo a sus propios registros
- Su responsable directo: a los de su equipo
- RRHH o el administrador: a todos los registros
- La gestoría: solo a los datos necesarios para nóminas
5. Conserva los datos el tiempo justo
La ley de registro horario obliga a conservar los registros durante 4 años. Pasado ese plazo, debes eliminarlos. No guardes datos de fichaje indefinidamente por si acaso.
Consejo: Configura tu sistema para que elimine automáticamente los registros con más de 4 años. Así no dependes de acordarte de hacerlo manualmente y cumples sin esfuerzo.
6. Elige un proveedor que cumpla
Si usas un software de fichaje externo, ese proveedor es un encargado del tratamiento según el RGPD. Necesitas:
- Un contrato de encargado del tratamiento (artículo 28 del RGPD)
- Garantías de que los datos se almacenan en la UE (o en países con nivel adecuado de protección)
- Medidas de seguridad apropiadas (cifrado, control de acceso, copias de seguridad)
Pregunta clave al elegir proveedor: ¿Dónde se almacenan los datos? Si la respuesta es "en servidores de Amazon en Virginia" o "en Google Cloud en Estados Unidos", asegúrate de que el proveedor tiene las garantías adecuadas para la transferencia internacional de datos. Lo más sencillo: elige un proveedor que almacene los datos en la UE.
Sanciones por incumplimiento
Las sanciones del RGPD son conocidas por ser severas:
| Tipo de infracción | Multa máxima |
|---|---|
| Leve (falta de información, registro incompleto) | Hasta 40.000 € |
| Grave (falta de contrato con encargado, exceso de datos) | Hasta 300.000 € |
| Muy grave (tratamiento biométrico sin base legal) | Hasta 20.000.000 € o 4% facturación |
En la práctica, la AEPD aplica multas proporcionadas al tamaño de la empresa. Pero una PYME puede recibir perfectamente una sanción de varios miles de euros por no informar a sus empleados sobre el tratamiento de datos del fichaje.
Conclusión
El registro horario y la protección de datos van de la mano. Cumplir con uno sin cumplir con el otro te deja expuesto. La buena noticia es que con un sistema sencillo (sin biometría ni geolocalización innecesaria) y buenas prácticas de información y acceso, el cumplimiento es fácil.
Laborario almacena todos los datos en servidores de la UE, aplica cifrado en tránsito y en reposo, y permite configurar roles de acceso para que cada persona vea solo lo que le corresponde. Tus empleados pueden consultar sus propios registros en cualquier momento, y tú cumples con el RGPD sin quebraderos de cabeza.