Ir al contenido principal

¿Cuáles son las obligaciones legales si se implementa un control horario?

Todo lo que necesitas saber sobre tus obligaciones legales antes de implementar un sistema de control horario en tu empresa.

Actualizado esta semana

¿Cuáles son mis obligaciones si implemento un sistema de control horario?

En España, el control del tiempo de trabajo es una obligación legal para todas las empresas desde mayo de 2019. Esto implica la implantación de un sistema de registro diario de la hora de inicio y de fin de la jornada laboral para cada persona trabajadora.

Este sistema debe, no obstante, respetar un marco legal estricto, establecido principalmente en el artículo 34.9 del Estatuto de los Trabajadores. Su finalidad debe ser clara y exclusiva: garantizar el control del tiempo de trabajo. En ningún caso puede utilizarse para vigilar de forma generalizada el comportamiento, los desplazamientos o el rendimiento de los empleados.

Otro principio fundamental: el respeto a la privacidad. El sistema implementado debe ser para el objetivo fijado. Por ejemplo, un nivel de detalle excesivo o el uso injustificado de datos biométricos puede considerarse intrusivo por parte de la AEPD, la autoridad española de protección de datos.

Por último, la empresa debe informar a sus trabajadores de forma clara y transparente (te explicamos cómo hacerlo después) sobre el funcionamiento del sistema, los datos recogidos, el tiempo de conservación, la finalidad del tratamiento y los derechos asociados.

☝ Cabe destacar que, a partir de 2025, será obligatorio para todas las empresas contar con un sistema de fichaje digital, seguro e inalterable, con acceso en tiempo real para los trabajadores y la Inspección de Trabajo.


¿Cómo informar a mis empleados sobre el sistema de fichaje?

Antes de la activación de cualquier sistema de control horario, la empresa debe informar por escrito a los empleados, de forma clara, comprensible y accesible, en aplicación de los artículos 13 y 14 del RGPD. La AEPD (Agencia Española de Protección de Datos) insiste especialmente en la transparencia y la limitación de la finalidad del tratamiento.

La información debe incluir:

  • La finalidad concreta del sistema (ej.: registro de la jornada laboral conforme al artículo 34.9 del Estatuto de los Trabajadores),

  • Las modalidades de funcionamiento (tarjeta, aplicación, terminal fijo, geolocalización, foto, etc.),

  • Las categorías de datos recogidos (horarios, ubicación, imagen, etc.),

  • La base legal del tratamiento (obligación legal o interés legítimo),

  • El plazo de conservación de los datos (generalmente, un máximo de 4 años para los datos de jornada laboral),

  • Los derechos de los trabajadores (acceso, rectificación, oposición, limitación, reclamación ante la AEPD),

  • La identidad del responsable del tratamiento y, en su caso, los datos de contacto del DPO (Delegado de Protección de Datos).

La AEPD no establece expresamente un “plazo razonable”, pero recomienda conceder un tiempo suficiente para que los empleados puedan:

  • Leer y comprender la información,

  • Formular preguntas o solicitar aclaraciones,

  • Ejercer sus derechos, especialmente si tienen dudas sobre la proporcionalidad del sistema (ej.: uso de foto o geolocalización).

Un plazo de 10 a 15 días se considera razonable en la práctica, según los usos habituales en materia de protección de datos en España.


¿Puedo tomar una foto de mis empleados al fichar?

Sí, pero con precauciones.

La AEPD ha hecho varias recomendaciones en relación con la toma de fotos en el momento del fichaje:

  • La AEPD prohíbe los sistemas biométricos (reconocimiento facial, huellas dactilares) ya que constituyen un tratamiento de datos sensibles de alto riesgo, y los califica de desproporcionados cuando existen alternativas menos intrusivas (PIN, tarjeta, etc.).

  • Por ello, recomienda evitar los sistemas biométricos, salvo que exista un acuerdo colectivo explícito que lo autorice y se haya realizado una evaluación de impacto validada.

  • En cambio, tomar una simple foto al finalizar el fichaje, sin análisis biométrico (es decir, sin redes de reconocimiento facial ni almacenamiento de características biométricas), puede considerarse aceptable, siempre que la foto sea temporal, esté protegida, no se analice y los empleados hayan sido informados previamente.


¿Qué reglas se aplican al uso de la geolocalización para fichar?

La geolocalización está estrictamente regulada por la AEPD. Solo puede utilizarse si resulta imprescindible para justificar los horarios de trabajo (por ejemplo, en el caso de trabajadores itinerantes o con intervenciones en múltiples ubicaciones).

Antes de activarla:

  • Asegúrate de que no exista una alternativa menos intrusiva para registrar la jornada laboral.

  • Informa por escrito y de forma clara a las personas trabajadoras antes de su implementación.

  • Detalla en la nota informativa:

    • La finalidad exacta del seguimiento por geolocalización

    • La base legal del tratamiento (obligación legal o interés legítimo)

    • La identidad del responsable del tratamiento y, en su caso, del DPO

    • Los destinatarios de los datos recogidos

    • El plazo de conservación de los datos (habitualmente 30 días para este tipo de tratamiento)

    • Los derechos de los empleados (acceso, rectificación, oposición, limitación)

    • La posibilidad de presentar una reclamación ante la AEPD

  • Consulta, si procede, con la representación legal de los trabajadores antes de implantar el sistema.

  • Publica esta información en una política interna de privacidad, accesible en la intranet (en una parte “Política de protección de datos > Geolocalización) o mediante un documento disponible a petición de los empleados.

  • Prioriza el uso de dispositivos móviles profesionales destinados a este fin, evitando interferir con la vida privada.

  • Desactiva la geolocalización fuera del horario laboral.

  • Evita la recogida de datos en tiempo real o de forma continua, salvo que sea estrictamente necesario. (En Combo, por ejemplo, los datos se eliminan automáticamente a los 30 días.)

Toda medida de este tipo debe ser proporcional, justificada y respetuosa con la privacidad de las personas trabajadoras.


Plazo de conservación de los datos

En España, las empresas deben conservar los registros del tiempo de trabajo durante un plazo de 4 años, tal como lo establece el artículo 34.9 del Estatuto de los Trabajadores. Esta obligación responde a fines de control laboral y de inspección, y está alineada con los criterios de la AEPD en materia de protección de datos.


¿Tengo que informar o consultar al comité de empresa?

Sí. Si tu empresa cuenta con representantes legales de los trabajadores (comité de empresa, delegados de personal), es obligatorio consultarles antes de implementar cualquier sistema de control de la actividad laboral, conforme al artículo 64.5 del Estatuto de los Trabajadores.

Esto implica:

  • Una presentación clara del sistema (objetivos, funcionamiento, datos recopilados…)

  • Una consulta formal con los representantes (aunque su opinión sea consultiva, la consulta sí es obligatoria)

  • si el sistema es permanente o potencialmente intrusivo, puede ser necesario incluirlo en la normativa interna de la empresa o en los acuerdos colectivos aplicables.

También es importante asegurarse de que esta información esté publicada y accesible para todos los empleados (carteles en el centro de trabajo, el intranet corporativo, una comunicación escrita individual…).


¿Qué riesgos existen si no cumplo con estas obligaciones?

No cumplir con las obligaciones legales en materia de control horario puede tener consecuencias importantes:

  • En caso de litigio laboral, los registros de jornada pueden no ser aceptados como prueba si el sistema no ha sido implantado correctamente (falta de transparencia o ausencia de consulta con los representantes)

  • En una inspección de trabajo, la empresa puede enfrentarse a sanciones económicas por no cumplir con la normativa del artículo 34.9 del Estatuto de los Trabajadores.

  • Los empleados pueden presentar reclamaciones ante la AEPD (Agencia Española de Protección de Datos) por vulneración de su privacidad o uso desproporcionado de sus datos personales.

En resumen: es preferible anticiparse, definir claramente el sistema desde el inicio y cumplir con el marco legal, antes que tener que corregirlo tras una denuncia o inspección.

¿Ha quedado contestada tu pregunta?