Jornal9
Volver al blog
26 abr 2026

Control horario y RGPD: obligaciones de protección de datos

Qué datos puedes recoger al fichar, qué información debes dar al empleado, cuándo necesitas EIPD y el veto a la biometría para finalidad laboral.

Joaquim Puigverd

Joaquim Puigverd

26 de abril de 2026

Control horario y RGPD: obligaciones de protección de datos

El registro horario procesa datos personales de cada empleado. Eso activa obligaciones RGPD que muchas empresas pasan por alto. La combinación de sanción laboral + sanción AEPD puede ser devastadora. Este es el mapa.

La base legal del registro horario

El tratamiento de datos para registrar la jornada tiene base legal directa en el RDL 8/2019 (cumplimiento de obligación legal del responsable, Art. 6.1.c RGPD). No necesitas consentimiento del empleado.

Pero esto solo cubre los datos mínimos imprescindibles: identificación del empleado, fecha, hora de entrada y salida. Cualquier dato adicional necesita justificación proporcional.

Datos que sí puedes recoger

Con base legal en el RDL 8/2019:

  • Identificador del empleado: nombre, DNI o ID interno.
  • Fecha y hora de entrada y salida.
  • Pausas cuando aplican por convenio.
  • Correcciones con motivo y autor.

Con base legal adicional (interés legítimo o contrato):

  • Ubicación GPS puntual al fichar, si el trabajo es móvil y está justificado (obras, reparto, instalación).
  • Dirección IP del dispositivo desde el que se ficha, como metadato de auditoría.

Datos que NO puedes recoger

Aunque el software lo permita, recoger estos datos para fichaje no tiene base legal y es sancionable:

  • Rastreo GPS continuo durante la jornada (más allá del momento de fichar).
  • Capturas de pantalla o trackeo de actividad en el ordenador.
  • Biometría (huella, facial) salvo casos muy tasados y con EIPD.
  • Datos de salud o sensibles sin base legal específica.

Biometría: el veto de la AEPD

En 2024 la AEPD publicó una guía específica que convirtió la biometría (huella, reconocimiento facial) para registro horario en sospechosa por defecto:

  • La biometría es categoría especial de datos (Art. 9 RGPD).
  • Requiere base legal específica más allá del cumplimiento de obligación.
  • Requiere EIPD previa (evaluación de impacto) documentada.
  • Requiere principio de proporcionalidad: demostrar que no hay alternativa menos invasiva.

En la mayoría de casos, una app con contraseña o PIN cumple igual sin tocar biometría. Por eso la AEPD considera el uso de huella para fichar desproporcionado salvo excepciones.

Empresas que instalaron relojes de huella en 2020-2023 están retirándolos por el riesgo de sanción.

Obligaciones de información al empleado

Antes de que un empleado empiece a fichar, debes entregarle por escrito:

  • Identidad del responsable del tratamiento (la empresa).
  • Finalidad: cumplir obligación legal de registro horario.
  • Base legal: Art. 6.1.c RGPD + RDL 8/2019.
  • Destinatarios: Inspección de Trabajo, representantes legales.
  • Plazo de conservación: 4 años.
  • Derechos: acceso, rectificación, supresión (con limitaciones por conservación legal), portabilidad.
  • Cómo ejercerlos: email o procedimiento interno.

Este documento suele formar parte del contrato o anexo de alta. Sin entregarlo, la AEPD puede sancionar como falta grave (hasta 300.000 €).

Evaluación de Impacto (EIPD)

No siempre es obligatoria. Lo es cuando:

  • Usas biometría (si decides hacerlo pese al riesgo).
  • Haces tratamientos masivos o con geolocalización extensiva.
  • Combinas registro horario con otros sistemas de vigilancia.

Para el caso estándar (app con PIN, fichaje 1 clic, sin geolocalización), no hace falta EIPD. Sí hace falta el registro de actividades de tratamiento (RAT) actualizado.

Encargado del tratamiento

Cuando contratas software SaaS de fichaje, el proveedor es encargado del tratamiento (Art. 28 RGPD). Debes firmar un contrato de encargo donde el proveedor se compromete a:

  • Procesar datos solo según tus instrucciones.
  • Garantizar confidencialidad.
  • Aplicar medidas de seguridad técnicas y organizativas.
  • Notificar brechas de seguridad.
  • Devolver o destruir datos al finalizar el contrato.

Sin este contrato, la empresa incumple RGPD aunque el proveedor cumpla. El contrato lo proporciona el proveedor serio por defecto.

Cómo Jornal9 cumple RGPD

  • Datos mínimos: solo identificador, fecha y hora. Sin biometría, sin trackeo continuo.
  • GPS puntual opcional solo si la empresa lo activa (sectores móviles).
  • Datos en la UE: servidores en España/UE, sin transferencias fuera sin salvaguardas.
  • Contrato de encargo firmado por defecto con cada cliente.
  • EIPD template disponible para clientes que la necesiten.
  • Derechos RGPD ejecutables por el trabajador desde la propia app.

Desde 80 €/año. Calcula tu precio o lee la guía legal completa.

Cumple la ley en 5 minutos

Jornal9 es fichaje de 1 clic, desde 80 €/año, con soporte humano en español y catalán.

Calcula tu precioLee la guía legal