Tienes que registrar la jornada de cada trabajador por ley. Y a la vez tienes prohibido recoger más datos de los necesarios, también por ley. Dos normas que parecen empujar en sentido contrario, y en medio una PyME que solo quiere saber a qué hora entra su gente sin que la AEPD le abra un expediente.


Dos leyes que se cruzan en el reloj de fichar

El artículo 34.9 del Estatuto de los Trabajadores obliga desde 2019 a registrar la jornada diaria de cada empleado. Hora de entrada, hora de salida, cuatro años de conservación.

Pero el registro genera datos personales. Y desde el momento en que hay datos personales, manda el Reglamento General de Protección de Datos y la Ley Orgánica 3/2018 (LOPDGDD).

La pregunta no es si puedes fichar. Tienes que hacerlo. La pregunta es cuánto puedes recoger y cómo lo guardas. Ahí es donde casi todas las PyMEs se pasan de la raya sin enterarse.


El principio que lo decide todo: minimización

El RGPD tiene un artículo, el 5.1.c, que resume el conflicto entero: solo puedes tratar los datos adecuados, pertinentes y limitados a lo necesario para la finalidad.

La finalidad del fichaje es saber el tiempo de trabajo efectivo. Nada más. Con eso en la mano, todo dato extra que el sistema recoja "porque viene de serie" es un dato que no deberías estar guardando.

Lo que sí es necesario para esa finalidad:

  • Identificación del trabajador (nombre, número de empleado o similar).
  • Hora exacta de inicio y fin de jornada.
  • Pausas si el convenio o el contrato las computa.
  • Fecha.

Y se acaba la lista. Un sistema de fichaje no necesita saber la temperatura corporal, ni con quién comes, ni cuántas veces vas al baño.


Huella dactilar y reconocimiento facial: el terreno minado

Aquí está la confusión más cara. Un dato biométrico —huella, cara, iris— es una categoría especial según el artículo 9 del RGPD. Por defecto, prohibido. Solo se puede tratar si encaja una de las excepciones del propio artículo 9.2.

Durante años, las empresas dieron por hecho que con el consentimiento del trabajador bastaba. La AEPD lo desmontó. En el ámbito laboral el consentimiento casi nunca es válido como base: existe una relación de subordinación, y un trabajador que "acepta" poner la huella para fichar no lo hace con libertad real. Nadie dice que no a su jefe el primer día.

La AEPD publicó en noviembre de 2023 una guía sobre tratamientos de control de presencia mediante biometría que dejó la huella casi fuera de juego. Su posición: para usar biometría en el fichaje hace falta una habilitación legal o convencional específica, no un consentimiento individual. Y a día de hoy esa habilitación no existe de forma general.

Mi lectura, después de ver el sector por dentro: el biométrico no está prohibido en el papel, pero la AEPD lo dejó tan cuesta arriba que para una PyME no compensa. Un PIN, una tarjeta o una app con login resuelven el mismo problema sin entrar en categorías especiales del artículo 9. Quien siga con el lector de huella en recepción está jugando con sanciones de las gordas.


Geolocalización: puedes ver dónde fichan, no seguirlos

Muchas apps de fichaje guardan la ubicación GPS en el momento de marcar entrada. Eso es legítimo si la finalidad lo justifica: un comercial que ficha desde la calle, una obra, personal de mantenimiento que se mueve entre centros.

Lo que no es legítimo es el rastreo continuo. La app puede capturar la coordenada en el instante del fichaje y nada más. Tener el móvil del trabajador emitiendo posición toda la jornada no es control horario, es vigilancia. Y el artículo 90 de la LOPDGDD, que regula la geolocalización laboral, exige informar de forma expresa y clara de qué se hace con esos datos.

Regla práctica: ubicación puntual al fichar, sí. Mapa del recorrido del empleado, no.


Lo que la empresa tiene que hacer aunque solo registre la hora

Aunque te limites al dato mínimo —entrar, salir, fecha— el RGPD te obliga a algunas cosas. Ninguna es opcional:

  • Informar al trabajador. Cláusula informativa: qué datos se recogen, con qué finalidad, cuánto se conservan, quién los trata. Suele ir en el contrato o en un documento aparte firmado.
  • Registrar la actividad de tratamiento. El artículo 30 del RGPD pide un registro interno donde conste el tratamiento "control horario". Una PyME pequeña puede llevarlo en una hoja, pero tiene que existir.
  • Base de legitimación correcta. No es el consentimiento. Es el cumplimiento de una obligación legal (art. 6.1.c RGPD): la empresa ficha porque el art. 34.9 ET la obliga. Eso simplifica la vida, porque no dependes de que el trabajador acepte.
  • Limitar el acceso. Solo RRHH y los responsables que de verdad necesiten ver el registro. El compañero de al lado no tiene por qué saber a qué hora llegas.
  • Plazo de conservación. Cuatro años por el art. 34.9 ET. Pasado ese tiempo, los datos se borran o se anonimizan. Guardarlos "por si acaso" diez años es una infracción.

Si quieres entender el otro lado de la moneda —qué te exige la Inspección de Trabajo cuando se planta en el centro—, lo desarrollamos en la nota sobre qué pide la Inspección en una visita de control horario.


Lo que la AEPD multa de verdad

Las sanciones por protección de datos no juegan en la liga del Estatuto de los Trabajadores. El RGPD permite multas de hasta 20 millones de euros o el 4% de la facturación anual global, lo que sea mayor.

Eso es el techo teórico. En la práctica, para una PyME los importes que aparecen en las resoluciones de la AEPD por control de presencia se mueven en otro orden, pero siguen doliendo: tratar biometría sin base válida, no informar al trabajador o no tener registro de actividades son los motivos que más se repiten.

El detalle incómodo: a la AEPD no la llama el inspector de trabajo. La llama un empleado. Una denuncia de un trabajador molesto por el lector de huella basta para abrir un procedimiento. Y ese procedimiento es independiente del laboral —puedes tener el fichaje impecable de cara a la ITSS y aun así comerte una sanción de protección de datos.

Antes de elegir sistema, conviene tener claras las opciones reales: lo comparamos en la nota sobre métodos de fichaje y cuál encaja con cada empresa.


Preguntas frecuentes

¿Puedo usar la huella dactilar para fichar si el trabajador firma un consentimiento? No es seguro. La AEPD considera que en la relación laboral el consentimiento rara vez es libre, por la dependencia entre empresa y empleado. Su guía de 2023 exige una habilitación legal o de convenio para usar biometría, no una firma individual. A día de hoy lo más prudente es no usar huella ni cara.

¿Qué base legal uso para el fichaje, consentimiento u obligación legal? Obligación legal (art. 6.1.c RGPD). La empresa ficha porque el art. 34.9 del ET la obliga, no porque el trabajador lo autorice. Esto es una ventaja: no necesitas pedir permiso ni puedes negarte a registrar a quien no quiera.

¿Cuánto tiempo puedo guardar los registros de jornada? Cuatro años, el plazo que fija el art. 34.9 ET para tenerlos a disposición de la Inspección. Pasado ese tiempo deben eliminarse o anonimizarse. Conservarlos más allá sin causa es una infracción del principio de limitación del plazo.

¿Puede mi app de fichaje guardar la ubicación GPS? Sí, pero solo la del momento exacto del fichaje y cuando la finalidad lo justifica (trabajo en movilidad, varios centros). El seguimiento continuo de la posición durante la jornada no está cubierto y vulnera el art. 90 de la LOPDGDD si no se informa con claridad.

¿Tengo que informar al trabajador de cómo funciona el sistema de fichaje? Sí, siempre. El RGPD obliga a entregar una cláusula informativa: qué datos se recogen, para qué, cuánto se conservan y quién accede. Sin esa información, hay infracción aunque el registro de horas sea perfecto.

¿Necesito delegado de protección de datos por tener control horario? No por sí solo. El DPD es obligatorio en supuestos concretos del art. 37 RGPD. Una PyME que solo registra horas de su plantilla normalmente no lo necesita, salvo que trate datos a gran escala o categorías especiales.


¿Vas a implantar el fichaje y no quieres que el sistema recoja más de lo que la ley permite? En Emplyx el registro de jornada se queda en el dato mínimo —entrada, salida, fecha— con acceso restringido y borrado automático a los cuatro años. Sin huella, sin rastreo, sin sustos con la AEPD.