Control Horario y RGPD: Lo que tu empresa debe cumplir
Cumplimiento RGPD 23 junio 2026 · 11 min de lectura

Control Horario y RGPD: Lo que tu empresa debe cumplir

Desde 2019 todas las empresas están obligadas a registrar la jornada de sus trabajadores. Pero ese registro trata datos personales y el RGPD tiene mucho que decir. Te explicamos cómo cumplir con ambas obligaciones sin complicaciones.

Desde el 12 de mayo de 2019, registrar la jornada laboral de tus trabajadores no es una opción: es una obligación legal. El Real Decreto-ley 8/2019 modificó el Estatuto de los Trabajadores y dejó claro que todas las empresas, sin excepción de tamaño ni sector, deben llevar un control horario diario de cada empleado.

Lo que muchos empresarios no saben es que ese registro de jornada no es solo una cuestión laboral. También es una cuestión de protección de datos. Cada vez que anotas la hora de entrada y salida de un trabajador, estás tratando datos personales. Y eso significa que el RGPD entra en juego.

En este artículo te explicamos las dos caras de esta obligación: qué exige la normativa laboral y qué exige la normativa de privacidad, para que tu empresa esté cubierta por todos los flancos.

La obligación de control horario: qué dice la ley

El artículo 34.9 del Estatuto de los Trabajadores, en su redacción tras el RDL 8/2019, establece que la empresa garantizará el registro diario de jornada, que deberá incluir el horario concreto de inicio y finalización de la jornada de trabajo de cada persona trabajadora.

Dato clave: La obligación de control horario aplica a todas las empresas con trabajadores por cuenta ajena, independientemente de su tamaño. Una empresa con un solo empleado tiene exactamente la misma obligación que una multinacional. No existe ninguna exención por razón de plantilla.

Esta norma surgió como respuesta a una realidad que la Inspección de Trabajo llevaba años denunciando: el abuso de las horas extraordinarias no remuneradas. Sin un registro objetivo de la jornada, era prácticamente imposible demostrar que un trabajador había superado su horario pactado.

El registro debe ser diario, debe recoger hora de inicio y hora de fin, y debe organizarse y conservarse durante un período determinado. Más adelante hablamos de los plazos de conservación.

Tipos de sistemas de registro horario

La ley no impone un sistema concreto. Cada empresa puede elegir el método que mejor se adapte a su organización, siempre que sea fiable, accesible y no manipulable. Estos son los más habituales:

Registro en papel

Hojas de firmas, partes de presencia o plantillas impresas. Es el sistema más básico y sigue siendo perfectamente válido. Su principal riesgo es la facilidad con la que puede falsificarse o rellenarse a posteriori, lo que lo hace vulnerable ante una inspección.

Ficheros Excel o digitales

Hojas de cálculo o documentos donde los propios empleados registran su jornada. Son más cómodos que el papel, pero presentan el mismo problema de fiabilidad si no hay control sobre quién modifica los datos y cuándo.

Aplicaciones de control horario

Software específico, ya sea instalado en local o en la nube, que permite registrar entradas y salidas desde ordenador, tablet o móvil. Muchos incluyen geolocalización, firma digital o foto para mayor seguridad. Son la opción más extendida hoy en día.

Sistemas biométricos

Lectores de huella dactilar, reconocimiento facial o de iris. Ofrecen la mayor fiabilidad en términos de identificación, pero son los que más implicaciones tienen desde el punto de vista de la protección de datos, como veremos más adelante.

Tarjetas o códigos de acceso

El trabajador ficha con una tarjeta de proximidad o introduciendo un código. Es un sistema habitual en industrias, almacenes y centros con acceso controlado.

El control horario trata datos personales: aquí entra el RGPD

Cuando registras la hora de entrada y salida de un trabajador, estás creando un registro que contiene su nombre o identificador, una marca temporal y, dependiendo del sistema, muchos más datos asociados: ubicación, imagen, identificador biométrico...

Todo eso son datos personales según el artículo 4 del Reglamento General de Protección de Datos (RGPD). Y tú, como empleador, eres el responsable del tratamiento.

Base jurídica del tratamiento

Una de las primeras preguntas que plantea el RGPD es: ¿con qué legitimación tratas estos datos? En el caso del control horario, la respuesta es clara: el tratamiento está amparado por el cumplimiento de una obligación legal (artículo 6.1.c del RGPD). El empresario no necesita el consentimiento del trabajador para llevar el registro de jornada, porque es la propia ley quien se lo exige.

Esto es importante porque evita una confusión habitual: no debes pedirle a tus empleados que firmen un consentimiento para registrar su horario. El fundamento no es el consentimiento, sino la obligación legal derivada del Estatuto de los Trabajadores.

Datos biométricos: una categoría especial

Si tu empresa utiliza sistemas de control de presencia basados en huella dactilar, reconocimiento facial o cualquier otra característica biométrica, la situación cambia radicalmente.

Los datos biométricos son una categoría especial de datos según el artículo 9 del RGPD. Su tratamiento está prohibido como regla general, y solo se permite en supuestos muy concretos. En el ámbito laboral, el artículo 9.2.b permite tratar estas categorías cuando sea necesario para cumplir obligaciones en el ámbito del Derecho laboral, siempre que exista una norma legal o un convenio colectivo que lo autorice expresamente.

Advertencia legal: La AEPD ha sancionado a empresas por usar lectores de huella dactilar para el control horario sin base jurídica suficiente. El simple hecho de que sea cómodo o fiable no justifica tratar datos biométricos. Antes de instalar cualquier sistema biométrico, consulta con un especialista en protección de datos. Las multas en este ámbito pueden superar los 300.000 euros.

Qué información debes dar a tus trabajadores

El RGPD establece un deber de transparencia que se concreta en el derecho de información. Tus trabajadores tienen derecho a saber, antes de que empieces a tratar sus datos, al menos lo siguiente:

  • Quién trata sus datos: la empresa, con sus datos de contacto.
  • Para qué se tratan: en este caso, para cumplir la obligación de registro de jornada establecida en el artículo 34.9 del ET.
  • Con qué legitimación: obligación legal (art. 6.1.c RGPD).
  • Cuánto tiempo se conservan: al menos 4 años, por exigencia legal.
  • A quién se comunican: por ejemplo, al proveedor del software de control horario si actúa como encargado del tratamiento, o a la Inspección de Trabajo si lo solicita.
  • Cuáles son sus derechos: acceso, rectificación, supresión, limitación y portabilidad, así como el derecho a reclamar ante la AEPD.

Esta información debe facilitarse por escrito, generalmente a través de una cláusula informativa en el contrato de trabajo o en un documento anexo al mismo. No basta con tenerla en la política de privacidad de la web corporativa: los trabajadores deben recibirla de forma directa y poder acreditar que la han recibido.

El papel del proveedor de software como encargado del tratamiento

Si utilizas una aplicación o plataforma externa para llevar el control horario, ese proveedor accede a los datos de tus empleados en tu nombre. Esto lo convierte en un encargado del tratamiento según el artículo 28 del RGPD.

Como responsable del tratamiento, estás obligado a firmar con ese proveedor un contrato de encargado del tratamiento que establezca las condiciones en las que accede a los datos, las medidas de seguridad que aplica y su obligación de no utilizar esos datos para fines propios. Sin ese contrato, incumples el RGPD aunque el proveedor sea de confianza.

Conservación de los registros: los 4 años que no puedes olvidar

El artículo 34.9 del Estatuto de los Trabajadores establece que los registros de jornada deben conservarse durante un mínimo de 4 años, a disposición de los trabajadores, sus representantes legales y la Inspección de Trabajo y Seguridad Social.

Plazo de conservación: Los registros de control horario deben conservarse durante 4 años desde la fecha de cada registro. Este plazo no es de prescripción de infracciones, sino de conservación documental obligatoria. Borrar los registros antes de que transcurra ese período es en sí mismo una infracción.

Desde el punto de vista del RGPD, este plazo de conservación tiene un encaje perfecto: el principio de limitación del plazo de conservación (artículo 5.1.e del RGPD) exige que los datos no se conserven más tiempo del necesario para la finalidad para la que se recogieron. En este caso, la propia norma laboral fija ese plazo en 4 años, lo que da cobertura legal a la conservación durante ese período.

Una vez transcurridos los 4 años, si no existe ninguna otra razón legal que justifique mantener esos datos (por ejemplo, un litigio laboral en curso), deberás proceder a su supresión o bloqueo.

Acceso a los registros

Los registros deben estar disponibles para:

  • Los propios trabajadores, que pueden solicitar copias de sus registros en ejercicio de su derecho de acceso.
  • Los representantes legales de los trabajadores (delegados de personal, comité de empresa).
  • La Inspección de Trabajo y Seguridad Social, que puede solicitarlos en cualquier momento durante el período de conservación.

Sanciones por incumplimiento: qué se arriesga tu empresa

El incumplimiento de la obligación de control horario se sanciona por dos vías distintas, que pueden acumularse.

Sanciones de la Inspección de Trabajo (ITSS)

La falta de registro de jornada o el mantenimiento de un sistema de registro deficiente se considera una infracción grave en materia de relaciones laborales, conforme al artículo 7.5 de la Ley sobre Infracciones y Sanciones en el Orden Social (LISOS). Las sanciones en grado mínimo parten de 626 euros y pueden alcanzar los 6.250 euros en grado máximo por cada infracción.

Además, si la Inspección detecta que los registros no reflejan la realidad (por ejemplo, porque se rellenan de forma sistemática sin que correspondan a la jornada real), puede presumir la existencia de horas extraordinarias no abonadas, con las consecuencias económicas y sancionadoras que eso conlleva.

Sanciones por incumplimiento del RGPD

Si el problema no es la ausencia de registro sino la forma en que se tratan esos datos (sin informar a los trabajadores, sin contrato con el encargado del tratamiento, usando sistemas biométricos sin base jurídica, etc.), la AEPD puede imponer sanciones económicas que alcanzan los 10 millones de euros o el 2% del volumen de negocio global para infracciones del artículo 83.4 del RGPD, y hasta 20 millones de euros o el 4% para las infracciones más graves.

En la práctica, para una PYME, las sanciones de la AEPD en materia laboral suelen estar en rangos más moderados, pero existen expedientes sancionadores resueltos con multas de decenas de miles de euros por incumplimientos relacionados con el tratamiento de datos de empleados.

Lista de verificación: ¿cumple tu empresa con todo?

Para que puedas hacer una revisión rápida de tu situación, aquí tienes los puntos clave que debes verificar:

  1. Tienes un sistema de control horario implementado que registra hora de inicio y fin de jornada de cada trabajador, cada día.
  2. El sistema es fiable y no puede manipularse fácilmente (o si se hace, queda constancia del cambio).
  3. Los trabajadores han recibido información por escrito sobre el tratamiento de sus datos en el marco del control horario.
  4. Si usas un proveedor de software externo, tienes firmado el contrato de encargado del tratamiento.
  5. Si usas sistemas biométricos, tienes un análisis jurídico que acredita la base legal para ese tratamiento.
  6. Los registros se conservan durante al menos 4 años y están disponibles para la Inspección de Trabajo y los trabajadores.
  7. El tratamiento de datos del control horario está recogido en el Registro de Actividades de Tratamiento de tu empresa.

Preguntas frecuentes sobre control horario y RGPD

¿Puede un trabajador negarse a fichar?

No. El registro de jornada es una obligación legal y el trabajador está obligado a cumplirla. Negarse a fichar puede constituir una falta laboral. Sin embargo, el trabajador sí puede ejercer sus derechos de acceso y rectificación sobre los datos registrados si considera que son incorrectos.

¿Puede la empresa instalar cámaras para controlar la presencia?

Las cámaras de videovigilancia en el entorno laboral están sujetas a requisitos específicos de información y proporcionalidad. No son el sistema adecuado para el control horario, aunque puedan servir para otros fines de seguridad. Si tu empresa tiene cámaras, este es un tratamiento separado con sus propias obligaciones de cumplimiento.

¿Qué pasa con los teletrabajadores?

La obligación de registro horario se aplica igualmente a los trabajadores en modalidad de teletrabajo o trabajo a distancia. La Ley 10/2021 de trabajo a distancia no modifica esta obligación. Los sistemas utilizables son los mismos (aplicaciones, autoregistro digital, etc.), pero debes prestar especial atención a no introducir mecanismos de vigilancia desproporcionados bajo la excusa del control horario.

¿Y los trabajadores a tiempo parcial?

El control horario es especialmente relevante para los contratos a tiempo parcial, ya que la legislación prevé controles adicionales para evitar el fraude. El incumplimiento con trabajadores a tiempo parcial puede acarrear la conversión del contrato en uno a tiempo completo.

¿Tu empresa tiene el control horario en regla, tanto laboral como en privacidad?

En ConfidencialyDat llevamos años ayudando a empresas y autónomos de Murcia a cumplir con el RGPD de forma sencilla y sin tecnicismos. Solicita tu presupuesto personalizado sin ningún compromiso.

📞 633 705 235 · ✉ confidencialydat@veltaris.es

→ Pide tu presupuesto gratis ahora

← Protocolo de Acoso Sexual en la Empresa: Obligación Legal y RGPD