Registro de jornada y protección de datos: guía AEPD

El pasado 17 de febrero, la AEPD publicó una guía específica sobre el registro de jornada laboral y la protección de datos. Era cuestión de tiempo: con el nuevo Real Decreto que obligará al registro digital y la explosión de apps de fichaje, las dudas sobre privacidad se habían multiplicado.

La guía aclara puntos que generaban mucha confusión. Y tiene implicaciones directas para cualquier empresa que use (o vaya a usar) un software de control horario.

¿Necesitas consentimiento del trabajador para registrar su jornada?

No. Y esto es lo primero que aclara la AEPD de forma contundente.

La base legal del registro de jornada no es el consentimiento del trabajador, sino el cumplimiento de una obligación legal: el artículo 34.9 del Estatuto de los Trabajadores obliga a la empresa a garantizar el registro diario de jornada. En términos del RGPD, estamos ante el artículo 6.1.c: tratamiento necesario para cumplir una obligación legal.

¿Qué significa esto en la práctica? Que no necesitas pedir permiso a tus empleados para fichar. No hay formulario de consentimiento que firmar, ni casilla que marcar. El registro es obligatorio para la empresa y el tratamiento de datos está legitimado por ley.

Pero que no necesites consentimiento no significa que puedas hacer lo que quieras.

Lo que SÍ debes hacer

La AEPD deja claro que, aunque no necesites consentimiento, hay varias obligaciones que cumplir:

1. Informar al trabajador

Es obligatorio informar a cada empleado de:

• Que sus datos de jornada se están registrando
• Quién es el responsable del tratamiento
• Con qué finalidad se recogen los datos
• Cuánto tiempo se conservarán
• Qué derechos tiene (acceso, rectificación, supresión, etc.)

Esto puede hacerse en el contrato, en una política de privacidad interna o en un documento informativo específico. Pero tiene que hacerse. La falta de información es una de las infracciones más comunes.

2. Minimizar los datos recogidos

El principio de minimización del RGPD exige que el sistema de registro sea el menos intrusivo posible. Solo se deben recoger los datos estrictamente necesarios para la finalidad de control horario.

¿Qué es “necesario”? Hora de entrada, hora de salida. Quizás la ubicación en el momento del fichaje si hay justificación (empleados itinerantes, trabajo en obra). Pero nada más. Un sistema que graba audio, captura pantallas o rastrea movimientos continuos va mucho más allá de lo que la ley permite.

3. Conservar los datos 4 años (y después, eliminarlos)

El plazo de conservación es de 4 años, según establece el artículo 34.9 del Estatuto de los Trabajadores. Una vez transcurrido ese plazo, los datos deben suprimirse o bloquearse.

Conservar registros más allá de 4 años sin justificación es una infracción. Tener registros de 2018 todavía en el sistema es un riesgo innecesario.

4. Incluir el registro en el análisis de riesgos

La empresa debe incorporar el tratamiento de datos del registro de jornada en su análisis de riesgos y, si procede, en la evaluación de impacto en protección de datos (EIPD). Esto es especialmente relevante si se utiliza geolocalización o datos biométricos.

Si usas un software externo: el contrato DPA

Aquí es donde muchas empresas fallan sin saberlo.

Cuando una empresa usa una app o software de terceros para el registro de jornada — cualquier solución SaaS —, el proveedor se convierte en encargado del tratamiento según el artículo 28 del RGPD. Y eso exige un contrato formal: el DPA (Data Processing Agreement o Acuerdo de Encargado del Tratamiento).

Este contrato debe regular, como mínimo:

• Qué datos se tratan y con qué finalidad
• Las medidas de seguridad que aplica el proveedor
• Qué pasa con los datos cuando termina la relación
• Las obligaciones de confidencialidad
• El procedimiento en caso de brecha de seguridad

Si tu proveedor de software de fichaje no te ofrece un DPA, tienes un problema. La AEPD lo dice claramente: la empresa es responsable de verificar que el encargado del tratamiento cumple.

Además, si el software conecta con los servidores del proveedor (como ocurre en cualquier solución en la nube), hay que informar a los trabajadores de esa cesión de datos a un tercero. No basta con tener el contrato DPA; los empleados deben saber que sus datos de fichaje se procesan fuera de la infraestructura de la empresa.

Geolocalización: el punto más sensible

La guía de la AEPD dedica especial atención a la geolocalización, y no es casualidad. Es el aspecto que más dudas genera y donde más fácil es pasarse de la raya.

La regla es clara: la geolocalización en el fichaje solo es lícita si es necesaria y proporcional. Esto significa:

• Sí puede justificarse para empleados que trabajan fuera de la oficina (comerciales, técnicos de campo, repartidores)
• No se justifica para empleados que fichan siempre desde la misma oficina
• Nunca puede suponer un seguimiento continuo de la ubicación del trabajador

Capturar las coordenadas en el momento exacto del fichaje es una cosa. Rastrear dónde está el empleado durante toda la jornada es otra muy distinta — y la segunda no está amparada por la base legal del registro de jornada.

Si quieres profundizar en este tema, tenemos dos guías específicas: ¿Es legal fichar con geolocalización? y la guía completa de fichaje con geolocalización.

Los errores más comunes

Después de analizar la guía de la AEPD, estos son los fallos que vemos con más frecuencia:

1. No informar a los trabajadores. Implantar un sistema de fichaje sin comunicar formalmente a los empleados que sus datos se recogen, quién los trata y con qué finalidad. Es la infracción más básica y más habitual.

2. No tener un DPA con el proveedor. Usar un software de fichaje sin contrato de encargado del tratamiento. Muchas apps baratas o genéricas no ofrecen DPA. El problema es de la empresa, no del proveedor.

3. Conservar datos más tiempo del necesario. Guardar registros de fichaje de hace 6, 8 o 10 años “por si acaso”. El plazo legal es 4 años. Todo lo que exceda eso debe eliminarse.

4. Geolocalizar sin justificación. Activar la geolocalización para todos los empleados, incluidos los que fichan siempre en la oficina. O peor: permitir el seguimiento continuo de ubicación fuera del momento de fichaje.

5. Pedir consentimiento como base legal. Algunas empresas hacen firmar un “consentimiento para el registro de jornada”. No solo no es necesario, sino que es incorrecto: el consentimiento en una relación laboral no se considera libre (hay desequilibrio de poder), y además no es la base legal aplicable.

6. No incluir el registro en el análisis de riesgos. Tratar los datos de fichaje como si no fueran datos personales. Lo son, y deben estar contemplados en la documentación de protección de datos de la empresa.

Cómo lo hace Cleverfy

En Cleverfy hemos diseñado el sistema de fichaje con la protección de datos como prioridad desde el primer día. Forma parte del diseño desde el primer día.

• DPA incluido — Nuestro contrato de encargado del tratamiento está disponible públicamente en nuestros términos y condiciones. No hay que pedirlo, ni negociarlo, ni esperar a que legal lo revise. Está ahí desde el momento en que te registras.

• Datos en España — Toda la infraestructura está en AWS España (dentro del Espacio Económico Europeo). Los datos de tus empleados no cruzan fronteras ni se procesan en jurisdicciones con menor protección.

• Cifrado completo — TLS en tránsito y cifrado en reposo. Los datos están protegidos tanto cuando viajan como cuando se almacenan.

• Geolocalización solo al fichar — Capturamos la ubicación únicamente en el momento exacto del fichaje, si la empresa lo tiene activado. No hay tracking continuo, ni monitorización de rutas, ni seguimiento fuera de horario.

• Conservación de 4 años con bloqueo — Cumplimos exactamente con el plazo legal. Los datos se bloquean tras el periodo de conservación.

• Notificación de brechas en 48 horas — Si ocurriera una incidencia de seguridad, nuestro compromiso es notificar en un plazo inferior al que exige el RGPD (72 horas).

Puedes consultar todas las funcionalidades de la plataforma y los precios si estás evaluando opciones.

Lo que viene: registro digital obligatorio

Conviene recordar que el nuevo Real Decreto de control horario va a exigir que el registro sea digital y accesible en tiempo real por la Inspección de Trabajo. Esto significa que las hojas Excel, las plantillas en papel y los sistemas manuales tienen los días contados.

Cuando ese registro sea obligatoriamente digital, las implicaciones en protección de datos se multiplican: más datos en la nube, más proveedores involucrados, más necesidad de DPAs rigurosos y medidas de seguridad reales.

Prepararse ahora no es solo cumplir con la ley actual. Es anticiparse a lo que viene.

Preguntas frecuentes

¿Necesito el consentimiento del trabajador para fichar?

No. La base legal del registro de jornada es el cumplimiento de una obligación legal (Art. 34.9 ET y Art. 6.1.c del RGPD), no el consentimiento. Eso sí, debes informar al trabajador de que sus datos se recogen, con qué finalidad y durante cuánto tiempo.

¿Qué es un DPA y necesito uno con mi software de fichaje?

Un DPA (Data Processing Agreement) es el contrato obligatorio entre tu empresa y cualquier proveedor externo que trate datos personales de tus empleados. Si usas un software de fichaje en la nube (SaaS), necesitas un DPA. Si tu proveedor no te lo ofrece, tienes un problema de cumplimiento.

¿Puedo usar geolocalización en el fichaje?

Sí, pero solo si es necesario y proporcional. La AEPD permite capturar la ubicación en el momento del fichaje para empleados que trabajan fuera de la oficina. Lo que no está permitido es el seguimiento continuo de ubicación ni geolocalizar a empleados que fichan siempre desde el mismo sitio.

Nota legal: Este artículo tiene carácter informativo y no constituye asesoramiento jurídico. Para cuestiones específicas de protección de datos, consulta con un delegado de protección de datos o asesor especializado.

---

¿Tu sistema de fichaje cumple con el RGPD? Prueba Cleverfy gratis y comprueba cómo un software diseñado con la privacidad como prioridad puede simplificar el cumplimiento.

---

Fuentes: AEPD Laboratorio — El registro de jornada laboral y la protección de datos (17 febrero 2026), Estatuto de los Trabajadores — Art. 34.9, Reglamento General de Protección de Datos (RGPD)