Protección de datos en el fichaje laboral: guía RGPD 2026

¿Qué dice el RGPD sobre el registro horario de los empleados?

El Reglamento General de Protección de Datos (RGPD) no prohíbe el control horario, pero impone condiciones claras sobre cómo deben tratarse los datos de fichaje. Cada vez que un empleado registra su entrada o salida, la empresa está recogiendo y almacenando datos personales —marca temporal, identificador del trabajador, ubicación si aplica— que entran dentro del ámbito de protección de la normativa europea.

La clave está en el principio de minimización de datos: solo puedes recoger la información estrictamente necesaria para cumplir con la obligación legal de registro horario. Recoger datos adicionales —como la geolocalización precisa sin justificación, fotografías del trabajador, o datos biométricos— sin una base jurídica sólida puede considerarse una infracción del RGPD con sanciones de hasta 20 millones de euros o el 4% de la facturación anual.

Datos mínimos que puedes recoger al fichar

Para cumplir con el Real Decreto-ley 8/2019 de registro horario sin vulnerar la normativa de protección de datos, tu sistema debe limitarse a recoger:

• Identificador del trabajador — nombre y apellidos o código de empleado único
• Fecha y hora de cada fichaje — registro cronológico de entrada y salida
• Tipo de jornada — ordinaria, extraordinaria, descanso, etc.

Cualquier dato adicional requiere una justificación específica. Por ejemplo, el fichaje por geolocalización solo está permitido si el trabajador desarrolla su actividad en distintas ubicaciones y es necesario para verificar el cumplimiento de la jornada. En estos casos, la empresa debe informar previamente al empleado y realizar una evaluación de impacto (EIPD) antes de implantarlo.

Obligaciones de la empresa como responsable del tratamiento

Como responsable del tratamiento de los datos de fichaje, tu empresa debe cumplir con varias obligaciones concretas:

• Informar a los trabajadores — antes de implantar cualquier sistema, debes comunicar por escrito qué datos se recogen, con qué finalidad, durante cuánto tiempo se conservarán y si se cederán a terceros (como la Inspección de Trabajo).
• Base jurídica adecuada — el registro horario se ampara en el cumplimiento de una obligación legal (art. 6.1.c RGPD). No necesitas consentimiento del trabajador, pero sí información previa.
• Período de conservación — los registros deben conservarse durante 4 años según el Estatuto de los Trabajadores. Una vez superado ese plazo, deben eliminarse de forma segura.
• Medidas de seguridad — el acceso a los datos debe estar restringido a personal autorizado (RRHH, dirección). Debes implantar medidas técnicas como cifrado, control de accesos y registros de auditoría.

Derechos de los trabajadores sobre sus datos de fichaje

Los empleados tienen plenos derechos ARCO+POL sobre sus datos de registro horario. Pueden solicitar:

• Acceso — conocer qué datos de fichaje tiene la empresa sobre ellos
• Rectificación — corregir errores en los registros (un fichaje mal pulsado, un olvido)
• Supresión — solicitar la eliminación de los datos una vez cumplido el plazo de conservación legal
• Oposición — oponerse a un método de fichaje concretos si consideran que es desproporcionado, como la geolocalización continua sin justificación
• Portabilidad — recibir sus datos de fichaje en un formato estructurado

La empresa debe responder a estas solicitudes en un plazo máximo de un mes, prorrogable a dos si la solicitud es compleja o numerosa.

Cómo elegir un sistema de fichaje que cumpla con el RGPD

Al evaluar soluciones de control horario para tu pyme, ten en cuenta estos criterios de protección de datos:

• Sin datos biométricos — los sistemas que requieren huella dactilar, reconocimiento facial o escáner de iris recogen datos de categoría especial (art. 9 RGPD), lo que exige una justificación mucho más estricta y una evaluación de impacto obligatoria. Para la mayoría de las pymes, un sistema basado en PIN o código de empleado es suficiente y evita riesgos legales innecesarios.
• Almacenamiento seguro — los datos deben estar cifrados tanto en reposo como en tránsito, preferiblemente en servidores ubicados en la UE o en países con nivel adecuado de protección.
• Registro de accesos — el sistema debe permitir auditar quién ha consultado los datos de fichaje y cuándo.
• Política de conservación — debe permitir configurar la eliminación automática de registros tras el período legal de 4 años.
• Delegado de Protección de Datos (DPD) — si tu empresa trata datos a gran escala, puede ser obligatorio designar un DPD que supervise el cumplimiento normativo.

Un sistema como el kiosco de fichaje por PIN de TandemHR cumple con estos criterios al no recoger datos sensibles, almacenar la información en servidores seguros y ofrecer control de accesos para el equipo de RRHH.

Preguntas frecuentes sobre RGPD y registro horario

¿Puedo usar el dedo o la huella para fichar?

La huella dactilar es un dato biométrico considerado de categoría especial por el RGPD. Su uso solo está permitido si existe una ley que lo ampare o si el trabajador da su consentimiento explícito y se realiza una evaluación de impacto. Para la mayoría de las pymes, un sistema de fichaje por PIN es la opción más segura desde el punto de vista legal.

¿Cuánto tiempo debo conservar los registros horarios?

El Estatuto de los Trabajadores establece un plazo de conservación de 4 años. Durante ese tiempo, los datos deben estar disponibles para la Inspección de Trabajo si los solicita. Pasado ese plazo, deben eliminarse de forma segura.

¿Puede un trabajador negarse a fichar por motivos de privacidad?

No puede negarse al registro horario porque es una obligación legal de la empresa. Sin embargo, sí puede oponerse al método concreto si considera que es desproporcionado (por ejemplo, si implica geolocalización continua sin justificación). En ese caso, la empresa debe ofrecer una alternativa igualmente válida, como un kiosco físico con PIN.

¿Necesito el consentimiento de los empleados para implantar el control horario?

No. La base legal del registro horario es el cumplimiento de una obligación legal (art. 6.1.c RGPD), no el consentimiento. Sin embargo, sí debes informar a los trabajadores previamente y documentar esa información en tu registro de actividades de tratamiento.

¿Qué sanciones puedo recibir por incumplir el RGPD en el fichaje?

Las infracciones del RGPD se clasifican en dos niveles: las leves pueden alcanzar los 10 millones de euros o el 2% del volumen de negocio anual, y las graves hasta 20 millones de euros o el 4% de la facturación anual. Además, la Agencia Española de Protección de Datos (AEPD) puede requerir la suspensión del tratamiento de datos hasta que se regularice la situación.

Conclusión: cumplir con el RGPD no es opcional, pero es más sencillo de lo que parece

La protección de datos en el fichaje laboral no es un obstáculo, sino una garantía tanto para la empresa como para el trabajador. Un sistema de registro horario bien diseñado, que recoja solo los datos necesarios, los almacene de forma segura y respete los derechos de los empleados, cumple con la normativa sin generar cargas administrativas excesivas.

En TandemHR, nuestro sistema de fichaje por PIN está diseñado para cumplir con el RGPD desde el primer momento. Sin biometría, sin datos sensibles, sin complicaciones. Solicita una demostración gratuita y descubre cómo poner tu empresa al día con el registro horario y la protección de datos.