Tratamiento de datos de salud en sistemas de control de accesos laborales

Tratamiento de datos de salud en sistemas de control de accesos

Implantar un sistema de control de accesos en una empresa puede parecer una decisión puramente técnica:
quién entra, a qué hora, por qué puerta y con qué autorización. Sin embargo, cuando ese sistema empieza
a recoger información vinculada a la salud de las personas trabajadoras, la situación cambia por completo.
Ya no hablamos solo de seguridad, fichaje o trazabilidad interna. Hablamos de categorías especiales
de datos personales, sometidas a un nivel de protección mucho más exigente.

Durante los últimos años, muchas empresas se han planteado si pueden medir la temperatura al entrar al
centro de trabajo, vincular el acceso a certificados médicos, utilizar controles biométricos o registrar
incidencias de salud dentro de sus herramientas de control horario. La respuesta no puede resolverse con
un simple “sí” o “no”. Depende de la finalidad, de la base jurídica, de la proporcionalidad, de la
información facilitada a la plantilla y, sobre todo, de si existe una habilitación legal clara.

Esta guía analiza los límites legales del tratamiento de datos de salud en sistemas de control de
accesos desde una perspectiva práctica para pymes, responsables de RRHH y empresas que necesitan
cumplir la normativa laboral sin asumir riesgos innecesarios en materia de protección de datos.

Qué se considera dato de salud en un sistema de control de accesos

Un dato de salud no es únicamente un diagnóstico médico completo. En protección de datos, el concepto es
mucho más amplio. Puede incluir cualquier información que revele, directa o indirectamente, aspectos sobre
el estado físico o mental de una persona. Por eso, en un entorno laboral, determinados sistemas de acceso
pueden llegar a tratar datos especialmente sensibles aunque la empresa no los perciba inicialmente como
información médica.

En un sistema de control de accesos, pueden considerarse datos de salud aquellos registros que permitan
deducir que una persona está enferma, presenta síntomas, tiene una limitación física, ha sido excluida del
acceso por motivos sanitarios o necesita un tratamiento diferenciado por razones médicas. El riesgo no está
solo en guardar un informe clínico. También puede aparecer cuando se registran patrones, alertas o
incidencias que, combinadas con otros datos, permiten inferir información sanitaria.

Ejemplos habituales de datos de salud en accesos laborales

En la práctica, una empresa puede estar tratando datos de salud si su sistema de acceso registra alguno de
los siguientes elementos:

  • Temperatura corporal de una persona trabajadora o visitante.
  • Resultado de pruebas médicas, test sanitarios o controles preventivos.
  • Restricciones de entrada asociadas a síntomas, enfermedad o baja médica.
  • Información sobre vacunación, inmunidad o certificados sanitarios.
  • Registros de acceso vinculados a zonas médicas, salas de aislamiento o espacios restringidos por salud laboral.
  • Observaciones internas que permitan deducir una patología, dolencia o limitación funcional.

El punto clave es que la empresa debe valorar no solo qué dato recoge, sino también qué puede revelar ese
dato. Una simple etiqueta de “acceso denegado por control sanitario” puede ser suficiente para generar un
tratamiento de datos especialmente sensible si permite identificar a una persona concreta.

El tratamiento de datos de salud en sistemas de control de accesos debe analizarse desde una doble
perspectiva: la normativa de protección de datos y la normativa laboral. En España, la empresa puede tener
obligaciones legítimas de organización, seguridad, prevención de riesgos laborales y registro de jornada,
pero esas obligaciones no autorizan automáticamente a recopilar cualquier dato médico de la plantilla.

RGPD: categorías especiales de datos

El Reglamento General de Protección de Datos considera los datos relativos a la salud como
categorías especiales de datos personales. Esto implica una regla general de prohibición:
no pueden tratarse salvo que concurra una excepción específica prevista en el propio RGPD.

En términos prácticos, una empresa no debería incorporar mediciones médicas o sanitarias dentro de su
sistema de control de accesos salvo que pueda justificar de forma sólida:

  • Una base jurídica adecuada para el tratamiento.
  • Una excepción válida para tratar categorías especiales de datos.
  • Una finalidad legítima, concreta y claramente informada.
  • La necesidad y proporcionalidad del tratamiento.
  • La imposibilidad de alcanzar la misma finalidad con medios menos invasivos.

Esta exigencia es especialmente importante porque el consentimiento del trabajador no suele ser una base
suficientemente libre en el contexto laboral. La relación entre empresa y persona trabajadora está marcada
por una situación de dependencia, por lo que no siempre puede entenderse que el consentimiento se presta
sin presión o sin consecuencias.

LOPDGDD y protección de datos en el ámbito laboral

La Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales, desarrolla
en España el marco del RGPD y refuerza la protección de las personas trabajadoras en el uso de medios
tecnológicos. En el ámbito laboral, la empresa puede ejercer facultades de control, pero debe hacerlo con
respeto a los principios de proporcionalidad, minimización de datos, transparencia y limitación de
finalidad.

Esto significa que un sistema de accesos no debe convertirse en una herramienta de vigilancia sanitaria
permanente. La empresa puede necesitar saber quién entra en sus instalaciones, pero eso no significa que
pueda crear historiales sanitarios, registrar síntomas o conservar información médica si no existe una
habilitación clara.

Estatuto de los Trabajadores y facultades de control empresarial

El Estatuto de los Trabajadores reconoce a la empresa ciertas facultades de dirección y control. El
artículo 20.3 permite adoptar medidas de vigilancia y control para verificar el cumplimiento de las
obligaciones laborales, siempre respetando la dignidad de la persona trabajadora. Por su parte, el artículo
34.9 establece la obligación de registrar diariamente la jornada.

Ahora bien, estas facultades no son ilimitadas. Registrar la hora de entrada y salida no equivale a poder
registrar datos médicos. Controlar el acceso físico a unas instalaciones no autoriza por sí solo a medir
temperatura, exigir certificados de salud o crear perfiles sanitarios internos.

Límites legales de medir temperatura u otros datos médicos

La medición de temperatura en accesos laborales fue una práctica especialmente debatida durante la crisis
sanitaria. Sin embargo, desde el punto de vista de protección de datos, tomar la temperatura a una persona
identificada o identificable puede implicar el tratamiento de datos de salud. No es una simple medida
organizativa. Es una actuación que puede revelar información sobre el estado físico de una persona.

Por qué medir temperatura puede ser problemático

Medir la temperatura en la entrada del trabajo puede parecer una medida preventiva, pero plantea varios
problemas legales. Primero, porque no siempre existe una base jurídica clara. Segundo, porque la fiebre
puede deberse a múltiples causas y no necesariamente a un riesgo laboral concreto. Tercero, porque la
medida puede generar consecuencias relevantes: denegación de acceso, comunicación interna, estigmatización
o registro de incidencias sanitarias.

Además, si la empresa conserva el dato, lo vincula al nombre del trabajador o lo integra en el software de
accesos, el riesgo aumenta. No es lo mismo una medida puntual, no registrada y justificada por una norma
sanitaria específica, que un sistema permanente que almacena valores de temperatura asociados a personas
identificadas.

El consentimiento no suele ser suficiente

En muchas pymes surge una pregunta lógica: “¿Y si el trabajador firma una autorización?”. En el ámbito
laboral, esta solución es débil. El consentimiento debe ser libre, específico, informado e inequívoco.
Cuando existe una relación de subordinación, la libertad real para negarse puede verse comprometida.

Por eso, basar un control de salud en el consentimiento de la plantilla puede ser insuficiente, especialmente
si la negativa a participar tiene consecuencias prácticas, como no poder acceder al centro de trabajo o ser
marcado internamente como incumplidor.

Datos médicos que no deberían integrarse en el control de accesos

Salvo habilitación legal específica o una justificación muy sólida, la empresa debería evitar integrar en
su sistema de accesos los siguientes datos:

  • Temperatura corporal registrada de forma individualizada.
  • Diagnósticos médicos o informes de salud.
  • Resultados de pruebas sanitarias.
  • Motivos médicos de una ausencia o restricción de acceso.
  • Información sobre tratamientos, enfermedades o síntomas.
  • Observaciones subjetivas sobre el estado físico de una persona trabajadora.

La recomendación general es clara: si el objetivo es controlar entradas, salidas y presencia, el sistema
debe limitarse a los datos necesarios para esa finalidad. Añadir información médica convierte una herramienta
de gestión laboral en un tratamiento de alto riesgo.

Límites legales de medir temperatura en el acceso al trabajo

Control horario, accesos y datos de salud: diferencias clave

Uno de los errores más frecuentes es mezclar tres conceptos que deben mantenerse separados: control horario,
control de accesos y control sanitario. Aunque puedan utilizar herramientas similares, su finalidad legal
no es la misma.

Control horario

El control horario tiene como finalidad registrar la jornada diaria de cada persona trabajadora. Su objetivo
es acreditar la hora de inicio y fin de la jornada, facilitar el control de horas extraordinarias y cumplir
con la obligación del artículo 34.9 del Estatuto de los Trabajadores.

En este contexto, los datos necesarios suelen ser limitados: identidad del trabajador, fecha, hora de entrada,
hora de salida, pausas cuando proceda y posibles incidencias laborales justificadas. No debería incluir datos
de salud salvo que exista una necesidad legal muy concreta.

Control de accesos

El control de accesos permite gestionar quién puede entrar en determinadas instalaciones, zonas o equipos.
Puede responder a razones de seguridad, organización interna, protección de activos o trazabilidad. Sin
embargo, su finalidad sigue siendo controlar el acceso físico o lógico, no evaluar el estado médico de la
plantilla.

Una tarjeta, un PIN, una app corporativa, un código personal o una credencial digital pueden ser medios
válidos si cumplen los principios de protección de datos. Lo importante es que el sistema no recopile más
información de la necesaria.

Control sanitario

El control sanitario pertenece a un terreno mucho más sensible. Puede estar relacionado con prevención de
riesgos laborales, vigilancia de la salud o medidas impuestas por autoridades sanitarias. Pero precisamente
por su sensibilidad, requiere una justificación reforzada y no debe confundirse con el registro ordinario
de presencia.

Tipo de controlFinalidad principalDatos habitualesRiesgo legal
Control horarioRegistrar la jornada laboral diariaEmpleado, fecha, hora de entrada y salidaMedio, si se limita a la jornada
Control de accesosGestionar entradas a instalaciones o zonasCredencial, permiso, hora de acceso, ubicación internaMedio-alto, si se amplía sin justificación
Control sanitarioEvaluar información vinculada a la saludTemperatura, síntomas, pruebas, restricciones médicasAlto, por tratar categorías especiales de datos

La tabla muestra una idea esencial: no todo dato generado en la entrada de la empresa tiene la misma
naturaleza. La empresa debe documentar qué finalidad persigue y evitar que un sistema pensado para fichar
termine acumulando información sanitaria innecesaria.

Riesgos y consecuencias del incumplimiento

Tratar datos de salud sin base jurídica suficiente puede tener consecuencias importantes. No solo por las
posibles sanciones económicas, sino también por el impacto reputacional, los conflictos laborales y la pérdida
de confianza de la plantilla.

Sanciones en materia de protección de datos

El RGPD establece un régimen sancionador especialmente severo para los incumplimientos relacionados con
principios básicos del tratamiento, bases jurídicas, derechos de las personas afectadas y categorías
especiales de datos. Cuando una empresa recopila información médica sin justificación suficiente, puede estar
incumpliendo algunos de los pilares centrales de la normativa.

En función de la gravedad, la autoridad de control puede exigir la supresión de datos, limitar el tratamiento,
imponer medidas correctivas o iniciar un procedimiento sancionador. Para una pyme, incluso una sanción
moderada puede tener un impacto económico y reputacional considerable.

Conflictos laborales y pérdida de confianza

El problema no termina en la protección de datos. Si la plantilla percibe que la empresa recoge información
médica sin necesidad, pueden surgir reclamaciones, quejas ante representantes legales, denuncias internas o
conflictos con trabajadores concretos.

La confianza es especialmente importante en sistemas de fichaje y control de accesos. Si el personal entiende
que la herramienta se usa para finalidades ocultas o excesivas, la implantación puede fracasar aunque el
software sea técnicamente correcto.

Riesgo de acumulación de datos innecesarios

Muchas empresas no incumplen por mala fe, sino por acumulación. Añaden campos, observaciones, etiquetas o
incidencias sin revisar si son necesarias. Con el tiempo, el sistema acaba almacenando más información de la
que debería.

En protección de datos, conservar información “por si acaso” es una mala práctica. El principio de minimización
exige que los datos sean adecuados, pertinentes y limitados a lo necesario. Si el dato no es imprescindible
para controlar la jornada o gestionar el acceso, probablemente no debería estar en el sistema.

Buenas prácticas de privacidad en control horario y accesos digitales

Buenas prácticas para empresas y responsables de RRHH

Una empresa puede implantar controles de acceso y sistemas de registro horario sin invadir la esfera médica
de la plantilla. La clave está en diseñar el sistema desde la protección de datos, no corregirlo después
cuando ya se han creado riesgos.

Aplicar privacidad desde el diseño

Antes de activar un sistema de control de accesos, conviene revisar qué datos se van a recoger, para qué se
usarán, quién podrá consultarlos y durante cuánto tiempo se conservarán. Esta revisión debe realizarse antes
de poner la herramienta en marcha.

La privacidad desde el diseño implica configurar el sistema para que recoja solo los datos necesarios. Si una
pyme únicamente necesita saber si un trabajador ha fichado, no debería activar módulos adicionales de salud,
geolocalización permanente, observaciones médicas o controles invasivos.

Separar el fichaje de cualquier información sanitaria

Una buena práctica es mantener separados los sistemas de registro horario y cualquier procedimiento relacionado
con vigilancia de la salud o prevención de riesgos laborales. El software de fichaje debe registrar la jornada;
no debe convertirse en un repositorio sanitario.

Si por una situación excepcional la empresa debe aplicar una medida sanitaria, esta debe analizarse de forma
independiente, con intervención de prevención de riesgos, asesoramiento jurídico y una documentación clara de
la base que la justifica.

Informar con transparencia a la plantilla

La empresa debe informar de forma clara sobre el funcionamiento del sistema. La plantilla debe saber qué datos
se recogen, con qué finalidad, durante cuánto tiempo, quién puede acceder a ellos y cómo ejercer sus derechos.
Esta información no debe esconderse en textos confusos ni en políticas genéricas difíciles de entender.

La transparencia reduce conflictos. Cuando las personas trabajadoras entienden que el sistema se limita al
cumplimiento horario y no recopila datos médicos, la implantación suele ser más sencilla.

Revisar permisos internos y accesos al sistema

No todas las personas de la empresa necesitan acceder a todos los registros. El responsable de RRHH puede
necesitar consultar fichajes, pero no necesariamente información técnica completa del sistema. Un mando
intermedio puede necesitar validar horarios, pero no descargar historiales completos.

Los permisos deben asignarse por perfiles y con criterio de necesidad. Además, conviene mantener trazabilidad
sobre quién accede a los datos y qué operaciones realiza dentro de la herramienta.

Conservar los registros solo durante el plazo necesario

En materia de registro de jornada, el Estatuto de los Trabajadores establece la obligación de conservar los
registros durante cuatro años y mantenerlos a disposición de las personas trabajadoras, sus
representantes legales y la Inspección de Trabajo y Seguridad Social.

Este plazo no debe utilizarse como excusa para conservar datos de salud si no procede. La obligación de
conservar el registro horario no convierte en lícito almacenar datos médicos dentro de ese registro. Cada
categoría de información debe tener su propia justificación y su propio criterio de conservación.

Preguntas Frecuentes sobre Tratamiento de datos de salud en sistemas de control de accesos

¿Puede una empresa medir la temperatura a los trabajadores al entrar?

Solo podría hacerlo si existe una base jurídica adecuada, una finalidad legítima y una justificación
proporcionada. La medición de temperatura puede considerarse tratamiento de datos de salud, por lo que
no debería implantarse como medida ordinaria de control de acceso sin una habilitación clara.

¿El consentimiento del trabajador permite tratar datos de salud en el fichaje?

En general, el consentimiento en el ámbito laboral es problemático porque puede no considerarse libre.
La relación de dependencia entre empresa y trabajador hace que basar el tratamiento de datos de salud
únicamente en una autorización firmada sea una opción jurídicamente débil.

¿Se pueden guardar datos médicos dentro del sistema de control horario?

Como regla general, no debería hacerse. El sistema de control horario debe limitarse a registrar la jornada
laboral. Incluir diagnósticos, síntomas, temperatura o motivos médicos de ausencia puede suponer un
tratamiento excesivo y de alto riesgo.

¿Qué diferencia hay entre controlar accesos y controlar la salud?

Controlar accesos significa gestionar quién puede entrar en una instalación o zona concreta. Controlar la
salud implica recoger información sobre el estado físico o médico de una persona. Aunque ambas acciones
puedan realizarse en la entrada del centro de trabajo, tienen finalidades y exigencias legales distintas.

¿Puede una empresa denegar el acceso por motivos sanitarios?

Dependerá del caso y de la existencia de una base legal o preventiva suficiente. Si la empresa adopta una
medida de este tipo, debe poder justificarla, documentarla y aplicar criterios proporcionales, evitando
registros innecesarios o comunicaciones internas que revelen información médica.

¿Qué datos debe recoger un sistema legal de fichaje?

Un sistema de fichaje debe recoger los datos necesarios para acreditar la jornada: identidad de la persona
trabajadora, fecha, hora de inicio, hora de finalización y, cuando proceda, pausas o incidencias laborales.
No necesita recopilar datos médicos para cumplir la obligación de registro horario.

Conclusión

El tratamiento de datos de salud en sistemas de control de accesos exige mucha prudencia. Una empresa puede
controlar la jornada, gestionar entradas y proteger sus instalaciones, pero no debe convertir esas herramientas
en sistemas de recopilación sanitaria si no existe una justificación legal clara.

Para una pyme, la opción más segura es utilizar soluciones de fichaje y control horario que respeten el
principio de minimización, separen la gestión laboral de cualquier dato médico y permitan conservar los
registros obligatorios de forma organizada, accesible y segura.

Jornalab ayuda a las empresas a digitalizar el registro horario con un enfoque práctico, legal y adaptado a
la realidad de cada negocio. Si tu empresa necesita controlar la jornada sin asumir riesgos innecesarios en
protección de datos, contar con una herramienta clara y bien configurada es el primer paso.

Referencias

  1. BOE — Reglamento (UE) 2016/679, Reglamento General de Protección de Datos. Unión Europea. 2016.
  2. BOE — Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales. Jefatura del Estado. 2018.
  3. BOE — Real Decreto Legislativo 2/2015, Estatuto de los Trabajadores. Ministerio de Empleo y Seguridad Social. 2015.
  4. BOE — Real Decreto-ley 8/2019, de medidas urgentes de protección social y lucha contra la precariedad laboral. Jefatura del Estado. 2019.
  5. AEPD — La protección de datos en las relaciones laborales. Agencia Española de Protección de Datos. 2021.
  6. AEPD — Guía sobre tratamientos de control de presencia mediante sistemas biométricos. Agencia Española de Protección de Datos. 2023.