BeeTime
Iniciar sesión
Volver al blog
Cómo cumplir la ley de protección de datos con tu control horario (sin volverte loco con el RGPD)
Equipo Productividad BeeTime
6 min de lectura

El registro de jornada no va solo de fichar: también es tratamiento de datos personales. Te contamos qué exige el RGPD en control horario, cuánto tiempo guardar los fichajes, y cómo gestionar geolocalización y biometría sin montar un operativo paranoico.

Control Horario
Protección de Datos
RGPD
RRHH
PYMES

Cómo cumplir la ley de protección de datos con tu control horario (sin volverte loco con el RGPD)

Desde que el registro de jornada se hizo obligatorio en España con el Real Decreto-ley 8/2019, muchas empresas se preocuparon sobre todo por “cómo fichar”: app, máquina, Excel, papel…
Pero hay una segunda capa igual de importante que a menudo se olvida: qué pasa con todos esos datos. Porque sí, el control horario también está bajo el radar del RGPD.

La buena noticia es que no hace falta montar un operativo paranoico ni tener un departamento legal interno.
Si entiendes qué datos manejas, para qué los usas y durante cuánto tiempo, tienes la mitad del camino hecho.

1. Qué datos personales recoge realmente tu sistema de control horario

Cuando hablamos de control horario no hablamos solo de horas. El sistema suele guardar una combinación de:

  • Identidad de la persona: nombre y apellidos, ID interno, email corporativo u otros identificadores.
  • Datos de la jornada: fecha, hora de entrada, hora de salida, pausas, incidencias.
  • Información de contexto: centro de trabajo, departamento, tipo de jornada (completa, parcial, turnos).
  • En algunos casos, datos adicionales: geolocalización puntual al fichar, dirección IP del dispositivo, e incluso datos biométricos si se usa huella o reconocimiento facial.

Todo esto son datos personales y, por tanto, están sometidos al RGPD y a la Ley Orgánica de Protección de Datos.
Los registros horarios no son simples “marcas en un papel”: son trazas de la vida laboral diaria de cada persona.

2. Para qué puedes usar esos datos (y para qué no deberías)

Aquí entra en juego el primer gran principio del RGPD: la finalidad.

En control horario, la base principal para tratar estos datos suele ser doble:

  • Cumplir con una obligación legal: registrar la jornada, conservarla y poder mostrarla si la Inspección de Trabajo lo pide.
  • Organizar internamente el trabajo: cuadrar horarios, validar ausencias, calcular horas extra, justificar nóminas y gestionar calendario laboral.

Sobre ese marco tiene sentido que RRHH, dirección y la asesoría laboral accedan a los datos diarios.
Lo que ya no encaja tanto es utilizarlos para otros fines alejados de esa finalidad, por ejemplo:

  • Analizar hábitos personales sin un motivo vinculado a la gestión laboral.
  • Hacer un seguimiento “comportamental” extremo sin comunicarlo previamente.
  • Compartir datos de fichajes con perfiles que no necesitan verlos para su trabajo.

Un criterio muy sano:
si no puedes explicar de forma sencilla a la plantilla por qué usas esos datos para algo, probablemente no deberías usarlos para eso.

3. Cuánto tiempo deben guardarse los fichajes

La normativa laboral exige conservar el registro horario durante al menos cuatro años. Ese es el estándar que la Inspección toma como referencia cuando revisa una empresa.

A efectos prácticos, esto significa:

  • Necesitas un sistema donde puedas recuperar sin agobios quién trabajó qué días, en qué horario y con qué incidencias durante los últimos años.
  • No tiene mucho sentido conservar los datos brutos “para siempre” si ya no hay obligación ni utilidad real.
  • A partir de esos cuatro años, puedes plantearte borrar o anonimizar los registros, salvo que haya procesos abiertos (conflictos, demandas, reclamaciones) que aconsejen mantenerlos un tiempo extra.

La clave no es solo cumplir el mínimo legal, sino no acumular datos eternamente sin criterio.

4. Geolocalización y biometría: las zonas delicadas

Cuando entran en juego la ubicación y la biometría, las preguntas se multiplican. Y es lógico.

Geolocalización puntual al fichar

En el caso de la geolocalización, su uso suele tener sentido en empresas con:

  • Personal en ruta o trabajo de campo.
  • Teletrabajo combinado con visitas o desplazamientos.
  • Múltiples centros, obras, tiendas, clientes…

Asociar la ubicación al momento del fichaje puede aportar seguridad: evita fichajes “desde casa” cuando se debe estar en otro lugar o desde ubicaciones donde realmente no se estaba trabajando.

Ahora bien, hay dos límites claros:

  • Geolocalizar el momento concreto del fichaje no es lo mismo que hacer un seguimiento continuo del dispositivo durante toda la jornada.
    Lo primero suele ser defendible; lo segundo ya se parece demasiado a un sistema de vigilancia.
  • Siempre hay que informar: la plantilla debe saber que en el momento de fichar se registra su ubicación, para qué se hace y quién podrá verla. Nada de sorpresas.

Biometría (huella, rostro…)

La biometría añade otra capa de sensibilidad. Son datos que identifican de manera única a una persona y que no se pueden cambiar como una contraseña.

Su uso exige:

  • Justificar claramente por qué es necesario recurrir a ello (y no a medios menos intrusivos).
  • Aplicar medidas de seguridad adicionales y cumplir los requisitos específicos que el RGPD marca para categorías especiales de datos.

Muchas pymes, por simplicidad y prudencia, optan por evitar la biometría y usar métodos menos intrusivos:

  • PIN o códigos personales.
  • Usuario y contraseña.
  • Kioskos compartidos en centro de trabajo, etc.

5. Seguridad y accesos: quién ve qué y cómo lo protege

Más allá de qué recoges, está cómo lo custodias. Un control horario serio no debería depender de:

  • Excels sin contraseña compartidos en carpetas donde entra media empresa.
  • Hojas impresas guardadas en cajones sin control de acceso.
  • Copias dispersas de registros en correos personales o USBs.

Utilizar un sistema en la nube con usuarios y permisos bien definidos ayuda a:

  • Limitar el acceso a RRHH, dirección y, si procede, a la asesoría laboral.
  • Dejar traza de quién ha accedido a qué y cuándo.
  • Garantizar conexiones cifradas, copias de seguridad y posibilidades de restauración ante fallos.

Y tan importante como restringir el acceso es dar acceso a la persona interesada:
que cada empleado pueda consultar su histórico de fichajes genera confianza y ayuda a detectar errores rápido.

6. Buenas prácticas RGPD para tu control horario

Si quieres hacer las cosas bien sin complicarte la vida, puedes marcarte como mínimos:

  • Informar por escrito a la plantilla de qué datos se recogen en el control horario, con qué finalidad, quién accede y durante cuánto tiempo se conservan.
  • Firmar con tu proveedor de software un acuerdo de encargado del tratamiento, donde se comprometa a proteger esos datos según RGPD.
  • Revisar una vez al año quién tiene permisos internos sobre el sistema de fichajes y si sigue teniendo sentido.
  • Establecer una política clara de conservación: registros de más de cuatro años, si no hay motivo para mantenerlos, se eliminan o se anonimizan.
  • Mantener un registro de actividades de tratamiento donde se refleje el control horario y sus principales características (base legal, categorías de datos, cesiones, plazos, etc.).

Controlar la jornada no solo va de horas, sino también de respeto por la información de las personas.
Cuando ambas cosas encajan, el sistema deja de ser un foco de preocupación y pasa a ser simplemente otra herramienta de gestión más: transparente, útil y alineada con la ley.

Descubre cómo BeeTime te ayuda a cumplir con el registro horario y el RGPD sin complicarte la vida

¿Te ha gustado este artículo?

Lee más artículos sobre gestión de RRHH y conoce cómo BeeTime puede transformar la gestión de tu empresa.

Ver más artículosConoce nuestros servicios