Implementar el registro de jornada obliga a recoger datos personales de los trabajadores. Eso activa el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos (LOPDGDD). El punto de tensión habitual: la empresa quiere fiabilidad en el fichaje, el RGPD exige minimización de datos. Y entre esas dos cosas se mete a veces un comercial vendiéndote huella o reconocimiento facial como solución, sin contarte el lío que hay detrás. Lo que viene: qué datos son legales, cuáles están restringidos y dónde están los límites reales.

Antes del RGPD había mucho descontrol. Y cuando salió, era todo muy confuso — ni siquiera el gobierno sabía cómo aplicarlo. Hoy se ha vuelto más conservador y parece que hay un camino marcado, aunque haya costado años llegar a él.

El principio de minimización: qué significa en el contexto del fichaje

El RGPD establece que los datos personales recogidos deben ser “adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados” (artículo 5.1.c del Reglamento UE 2016/679). Aplicado al fichaje, el fin es acreditar la jornada laboral — y para eso los datos mínimos son:

  • Nombre o identificador del trabajador.
  • Fecha del registro.
  • Hora exacta de inicio y fin de jornada.
  • En algunos convenios, registro de pausas.

Con esos datos, la empresa cumple su obligación de registro de jornada. Cualquier dato adicional —ubicación GPS continua, actividad del ordenador, capturas de pantalla, datos biométricos no justificados— requiere justificación adicional. No está prohibido de entrada, pero sí exige una base legal más sólida y, en muchos casos, una evaluación de impacto.

Datos biométricos: la huella dactilar, el iris y el reconocimiento facial

Esta es la parte que más preguntas genera. Y la respuesta tiene matices que los vendedores de biométrico no siempre explican bien — algunos directamente los esconden.

Los datos biométricos (huella dactilar, reconocimiento facial, iris) son una categoría especial de datos según el artículo 9 del RGPD. Su tratamiento está prohibido por defecto y solo se puede realizar con alguna de las excepciones tasadas del propio artículo 9.2.

Para el fichaje laboral, la excepción habitualmente invocada es el “cumplimiento de obligaciones y ejercicio de derechos en materia de Derecho laboral” (artículo 9.2.b). Pero la Agencia Española de Protección de Datos (AEPD) ha dejado claro en varias resoluciones y en su Guía sobre tratamientos de control de presencia mediante sistemas biométricos que esa excepción no basta por sí sola. Se requiere además:

  • Que el tratamiento sea necesario (que no exista alternativa menos invasiva que cumpla el mismo fin).
  • Una Evaluación de Impacto relativa a la Protección de Datos (EIPD) antes de implantar el sistema.
  • Base en el convenio colectivo o en negociación con los representantes de los trabajadores.

En la práctica: fichar con huella dactilar en España no está prohibido, pero está tan rodeado de requisitos que la mayoría de empresas —especialmente las PyMEs— no pueden cumplirlos todos sin un proyecto específico con asesoramiento en protección de datos. Esa es la razón real por la que el biométrico “en la práctica ya nadie lo usa”: no es prohibición expresa, es coste de compliance.

Si un proveedor te ofrece un sistema de fichaje con reconocimiento facial o huella sin mencionarte la EIPD ni la necesidad de base en convenio, eso es una señal de alerta.

Geolocalización: cuándo es legal y cuándo no

La geolocalización en el fichaje tiene tres escenarios:

Registro puntual de ubicación al fichar (un punto GPS al marcar entrada y al marcar salida). La AEPD considera que esto puede ser proporcional si hay finalidad legítima (verificar que el empleado está donde debe estar al inicio de la jornada, por ejemplo en trabajo de campo o con desplazamientos). Requiere información al empleado y base legal clara.

Rastreo continuo de ubicación durante la jornada. La AEPD ha señalado reiteradamente que el rastreo continuo de la ubicación de los trabajadores durante la jornada es desproporcionado para la finalidad de control de jornada. Puede estar justificado para actividades específicas (conductores, equipos de campo con incidencias), pero no para el control de presencia general.

Geolocalización en teletrabajo. El fichaje desde casa con registro de ubicación puntual puede ser proporcional. Conocer la ubicación exacta del domicilio del trabajador de forma continuada va más allá de lo necesario para el registro de jornada.

En todos los casos, el tratamiento tiene que estar recogido en la política de privacidad de la empresa, comunicado a los trabajadores antes de la implantación y, si el impacto es significativo, con EIPD.

Qué datos adicionales puede recoger la empresa (y bajo qué condiciones)

Más allá de los campos mínimos de jornada, algunas empresas quieren registrar datos adicionales:

Fotografía en el momento del fichaje. Es un dato personal y, si se usa para verificar identidad, puede ser categoría especial si permite inferir información biométrica. Requiere evaluación de proporcionalidad e información al empleado.

Dirección IP o dispositivo desde el que se ficha. Dato técnico que puede ser relevante para la trazabilidad del sistema. No es dato especialmente sensible, pero sí dato personal que debe aparecer en el registro de actividades de tratamiento.

Actividad del ordenador durante la jornada (keyloggers, capturas de pantalla). Esto va mucho más allá del registro de jornada y entra en el control de la actividad laboral, que tiene su propio marco legal con requisitos adicionales. La AEPD ha sancionado empresas por implantar herramientas de monitorización de actividad sin informar adecuadamente a los trabajadores.

Obligaciones formales: qué tiene que hacer la empresa

Si la empresa usa un software de fichaje que recoge datos personales, tiene que:

  1. Incluir el tratamiento en el Registro de Actividades de Tratamiento (RAT) que exige el artículo 30 RGPD.
  2. Informar a los trabajadores antes de implantar el sistema: qué datos se recogen, con qué finalidad, durante cuánto tiempo se conservan y quién tiene acceso (incluido si hay acceso para Inspección de Trabajo).
  3. Firmar un contrato de encargado del tratamiento con el proveedor del software de fichaje, ya que el proveedor trata datos personales por cuenta de la empresa.
  4. Realizar EIPD si el sistema incluye datos biométricos o geolocalización continua.

El punto 3 lo pasan por alto muchas empresas: si usas un software de fichaje externo, ese proveedor es un encargado del tratamiento. Sin contrato que regule cómo trata esos datos, la empresa tiene un incumplimiento del RGPD. Emplyx firma ese contrato de encargado con cada cliente como parte del proceso de alta, con las garantías técnicas y organizativas que exige el RGPD. Para empresas de hasta 10 empleados el acceso es gratuito (ver precios).

Preguntas frecuentes

¿Está prohibido el fichaje con huella dactilar en España? No está prohibido como tal, pero exige una Evaluación de Impacto (EIPD) previa, base en convenio colectivo o negociación con representantes de los trabajadores, y demostración de que no hay alternativa menos invasiva. La guía de la AEPD sobre biometría en control de presencia detalla los requisitos. En la práctica, eso lo hace inviable para la mayoría de PyMEs sin asesoramiento específico.

¿Tiene la empresa que informar a los trabajadores antes de implantar el sistema de fichaje? Sí. El RGPD exige informar al trabajador de qué datos se recogen, con qué finalidad, durante cuánto tiempo se conservan, quién tiene acceso y cuáles son sus derechos. Esa información debe darse antes de que empiece el tratamiento, no a posteriori.

¿Puede el trabajador pedir que se borren sus datos de fichaje? El derecho de supresión (“derecho al olvido”) del RGPD tiene excepciones cuando el tratamiento es necesario para el cumplimiento de una obligación legal. La empresa tiene obligación legal de conservar el registro de jornada durante cuatro años. Durante ese periodo, no puede borrar los datos a petición del trabajador. Una vez pasado el plazo de conservación, sí.

¿Los datos de fichaje pueden usarse para otros fines además del registro de jornada? Solo con base legal adicional. Si los datos de jornada se usan para control de productividad, vigilancia o cualquier finalidad diferente al registro de jornada obligatorio, eso requiere justificación propia. El principio de limitación de la finalidad del RGPD prohíbe usar datos recogidos para un fin determinado en otro diferente sin nueva base legal.

¿Qué información incluye el contrato de encargado del tratamiento con el proveedor de software? Debe incluir el objeto y la duración del tratamiento, la naturaleza y finalidad, el tipo de datos y categorías de interesados, las instrucciones del responsable al encargado, las medidas de seguridad, las condiciones de subcontratación y la gestión de incidencias de seguridad, entre otros elementos que enumera el artículo 28 RGPD.

El RGPD no impide llevar registro de jornada. Lo que exige es llevarlo con los datos mínimos necesarios, informando a los trabajadores y teniendo en orden los contratos con los proveedores. El biométrico es la parte más compleja; para la mayoría de empresas, la alternativa sin huella funciona igual de bien y sin los requisitos adicionales.