Cuando se habla del RGPD, la mayoría piensa en avisos de cookies, correos de marketing o formularios de suscripción. Pero el Reglamento General de Protección de Datos (Reglamento UE 2016/679) tiene un impacto muy concreto en algo mucho más cotidiano: la forma en que tu empresa registra la asistencia de los trabajadores.
Cada vez que un empleado ficha la entrada, cada vez que el sistema registra una salida anticipada, cada vez que una aplicación GPS certifica la ubicación de un trabajador — estás tratando datos personales. Y si lo haces sin las garantías adecuadas, te expones a sanciones que parten de 10.000 euros y pueden llegar hasta el 4% de la facturación global anual.
Esta guía te explica qué debes hacer, de forma concreta, para cumplir con la normativa. No es asesoramiento jurídico — para eso, acude a un profesional cualificado — pero sí es el mapa para entender dónde estás y qué puede faltarte.
¿Qué datos recoge un sistema de control de asistencia?
Antes de hablar de obligaciones, conviene aclarar de qué datos estamos hablando. Un sistema de control de asistencia trata al menos tres categorías:
Datos de horario (entrada/salida): son los más básicos. Registran cuándo el empleado ha comenzado y terminado su jornada laboral, incluyendo horas extra, pausas y salidas intermedias. Son datos personales comunes, pero sujetos al RGPD.
Datos de geolocalización: si usas una aplicación con GPS o geofencing, el sistema también registra dónde estaba el empleado en el momento del fichaje. Estos datos se consideran más sensibles porque pueden revelar hábitos, desplazamientos e incluso información sobre la vida privada del trabajador.
Solicitudes de vacaciones, baja por enfermedad y permisos: aquí se entra en el ámbito de las categorías especiales de datos (art. 9 RGPD). Los datos sobre el estado de salud — como una enfermedad o una hospitalización — gozan de protección reforzada y requieren bases jurídicas específicas para su tratamiento.
El RGPD y los datos de los empleados: bases jurídicas aplicables
El RGPD no prohíbe tratar los datos de tus empleados. Exige que tengas una base jurídica para hacerlo (art. 6 RGPD). Para el control de asistencia, las dos bases más relevantes son:
Ejecución del contrato (art. 6.1.b): el contrato de trabajo incluye obligaciones de horario. Registrar entradas y salidas es necesario para ejecutar y verificar el cumplimiento de ese contrato. Esta base cubre la mayoría de los datos estándar de asistencia.
Obligación legal (art. 6.1.c): determinadas normativas obligan a conservar los registros de asistencia — por ejemplo, obligaciones en materia de seguridad laboral o cotización a la Seguridad Social. Esta base se aplica junto con la contractual o en su lugar cuando existe una obligación normativa específica.
El consentimiento no es la base adecuada para los trabajadores por cuenta ajena. Las autoridades de protección de datos han señalado reiteradamente que el consentimiento en la relación laboral no es libre por definición: el empleado se encuentra en una posición de desequilibrio estructural respecto al empleador. Usar el consentimiento como única base para el tratamiento de datos de asistencia es un error que invalida todo el tratamiento.
¿Cuándo se necesita realmente el consentimiento?
El consentimiento solo es necesario para tratamientos que van más allá de la gestión ordinaria de la relación laboral — por ejemplo, compartir datos de asistencia con terceros con fines estadísticos, o para usos que el empleado no podría razonablemente prever.
Para el control de asistencia ordinario a efectos retributivos y de control horario, el consentimiento no es necesario.
Geolocalización: las reglas especiales
La geolocalización merece un tratamiento aparte. El tratamiento de datos GPS de los trabajadores requiere:
- Una base jurídica sólida (interés legítimo u obligación contractual/legal — no consentimiento)
- El cumplimiento de la normativa laboral nacional sobre vigilancia en el lugar de trabajo
- Una información específica que explique qué se registra, cuándo, durante cuánto tiempo y quién puede acceder a los datos
Las obligaciones concretas del empleador
Información a los empleados (art. 13 RGPD)
Este es el punto donde muchas pymes están en falta. Antes de que el sistema de control de asistencia entre en funcionamiento, cada empleado debe recibir una información clara y comprensible que explique:
- Quién es el responsable del tratamiento (tu empresa)
- Qué datos se recogen (horarios, ubicación GPS si procede)
- Con qué fines (gestión de asistencia, cálculo de nóminas, obligaciones legales)
- Durante cuánto tiempo se conservan los datos
- Con quién se comparten (asesor laboral, proveedor de software, posibles encargados del tratamiento)
- Qué derechos tiene el empleado (acceso, rectificación, supresión, oposición)
La información debe entregarse por escrito, con acuse de recibo firmado. Comunicarlo verbalmente no es suficiente.
Conservación de datos: ¿cuánto tiempo hay que guardarlos?
El RGPD no fija un plazo único para los datos de asistencia. Se aplican los principios de minimización y limitación del plazo de conservación (art. 5 RGPD). En la práctica:
- Los datos necesarios para las nóminas deben conservarse al menos 4 años (plazo de prescripción de los créditos salariales en España; puede variar según el país)
- Los datos necesarios para obligaciones fiscales y de Seguridad Social siguen los plazos tributarios — habitualmente 10 años para la documentación contable
- Los datos de geolocalización usados únicamente para verificar la presencia en el centro de trabajo no deben conservarse más tiempo del necesario — en muchos casos, unos meses son suficientes
Define una política de retención de datos por escrito e implementa mecanismos de eliminación automática. Si usas un software SaaS, verifica que el proveedor admita estas funcionalidades.
¿Quién es el DPO y cuándo es obligatorio?
El Delegado de Protección de Datos (DPO) es obligatorio solo en determinados supuestos (art. 37 RGPD): autoridades públicas, organizaciones que realizan un seguimiento sistemático a gran escala de personas físicas, o que tratan datos especiales a gran escala. La mayoría de las pymes con un sistema estándar de control de asistencia no están obligadas a designar un DPO.
No obstante, nombrarlo voluntariamente puede ser conveniente si tu organización cuenta con muchos empleados o utiliza seguimiento GPS continuo.
Registro de actividades de tratamiento
Las empresas con más de 250 empleados están obligadas a llevar un registro de las actividades de tratamiento (art. 30 RGPD). Para las empresas más pequeñas, la obligación surge solo cuando el tratamiento no es ocasional o presenta riesgos para los derechos de los interesados.
El control de asistencia con geolocalización suele encuadrarse en este supuesto. Mantén un registro aunque no estés estrictamente obligado: en caso de inspección, demuestra un enfoque responsable.
Geolocalización y vigilancia laboral en la normativa española
Más allá del RGPD, en España el Estatuto de los Trabajadores y la Ley Orgánica 3/2018 (LOPDGDD) regulan el tratamiento de datos en el ámbito laboral. El art. 87 LOPDGDD establece el derecho a la intimidad en el uso de dispositivos digitales, y el art. 89 regula la videovigilancia y la geolocalización en el trabajo.
Para usar sistemas de geolocalización con los trabajadores, el empleador debe:
- Informar previamente a los empleados, con carácter expreso, claro e inequívoco
- Comunicarlo también a la representación legal de los trabajadores, si existe
- Garantizar que el seguimiento se limita estrictamente al tiempo y al lugar de trabajo
Una aplicación de control de asistencia con geofencing que registra únicamente el momento del fichaje — no los desplazamientos continuos a lo largo del día — se considera generalmente proporcionada. El seguimiento GPS ininterrumpido de empleados de oficina durante toda la jornada no lo es.
Qué arriesgas si no cumples la normativa
Las sanciones del RGPD son conocidas: hasta 20 millones de euros o el 4% de la facturación global anual, la cifra que sea mayor. En la práctica, la Agencia Española de Protección de Datos (AEPD) ha emitido resoluciones relevantes contra empresas por infracciones relacionadas con la vigilancia laboral:
- Sanciones por instalar sistemas de geolocalización en vehículos de empresa sin informar a los empleados.
- Resoluciones por conservar datos de fichaje durante más tiempo del necesario sin base jurídica suficiente.
- Apercibimientos a empleadores que no entregaron la información de privacidad antes de activar nuevos sistemas de control.
Además de las sanciones económicas, una resolución de la autoridad de control puede suponer la suspensión del tratamiento — lo que significa paralizar el sistema de control de asistencia hasta que se subsanen las deficiencias.
Cómo elegir una herramienta que cumpla el RGPD
Al evaluar un software de control de asistencia, verifica siempre:
- Alojamiento de datos en la UE: ¿los datos se almacenan en servidores dentro de la UE/EEE? ¿El proveedor ofrece garantías para transferencias fuera del EEE?
- Acuerdo de encargado del tratamiento: ¿el proveedor de software actúa como encargado del tratamiento conforme al art. 28 RGPD? Debe hacerlo, y necesitas un Acuerdo de Tratamiento de Datos (ATD) por escrito.
- Funciones de retención: ¿puedes configurar la eliminación automática tras un período definido?
- Registros de acceso: ¿quién en tu empresa puede consultar los datos de asistencia? ¿El sistema registra los accesos?
- Apoyo al cumplimiento: ¿el proveedor te ayuda a preparar la información de privacidad para los empleados?
Pintime está diseñado con estos requisitos en mente: infraestructura europea, ATD disponible, geofencing que registra únicamente el momento del fichaje — no el seguimiento continuo. Pruébalo gratis durante la fase Beta.
Este artículo tiene carácter informativo y no constituye asesoramiento jurídico. Para una evaluación específica de tu situación, consulta a un abogado laboralista o a un especialista en protección de datos.