Auditoría LOPD del sistema de control horario digital en una pyme

Auditoría LOPD del sistema de control horario: Paso a paso

Implantar un sistema de control horario no consiste únicamente en elegir una aplicación, crear usuarios y empezar a fichar. Cada registro de entrada, salida, pausa, modificación o incidencia contiene datos personales de trabajadores, y por tanto debe gestionarse con criterios de legalidad, proporcionalidad, seguridad y trazabilidad.

Para muchas pymes, el problema aparece cuando el sistema ya está funcionando: no se sabe exactamente qué datos se recogen, quién puede acceder a ellos, durante cuánto tiempo se conservan, si el proveedor actúa como encargado del tratamiento o si la empresa podría justificar su configuración ante una inspección laboral o una revisión de la Agencia Española de Protección de Datos.

Esta guía explica cómo realizar una auditoría LOPD del sistema de control horario paso a paso, con un enfoque práctico y legal. El objetivo es que cualquier empresa pueda revisar si su registro de jornada cumple con el Estatuto de los Trabajadores, la normativa de protección de datos y las exigencias actuales de seguridad documental.

Qué es una auditoría LOPD del sistema de control horario

Una auditoría LOPD del sistema de control horario es una revisión ordenada de todos los elementos legales, técnicos y organizativos que intervienen en el tratamiento de los datos personales asociados al registro de jornada. Aunque muchas empresas siguen utilizando la expresión “LOPD”, en la práctica actual la revisión debe contemplar el Reglamento General de Protección de Datos, la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales, y la normativa laboral que obliga a registrar la jornada.

El control horario implica tratar información vinculada a una persona trabajadora identificada o identificable. No se trata solo de saber a qué hora entra o sale. El sistema puede almacenar datos de identificación, turnos, ubicación, dispositivo utilizado, incidencias, permisos, modificaciones manuales, accesos de administradores, informes exportados y registros históricos.

Por eso, auditar el sistema permite responder a preguntas clave: ¿la empresa recoge solo los datos necesarios?, ¿existe una base jurídica adecuada?, ¿se ha informado correctamente a la plantilla?, ¿los registros se conservan durante el plazo exigido?, ¿el proveedor ofrece garantías suficientes?, ¿los accesos están limitados?, ¿hay medidas de seguridad proporcionadas?

Por qué no basta con tener un software de fichaje

Contar con una herramienta digital no garantiza por sí solo el cumplimiento normativo. Una aplicación puede ser técnicamente moderna y, aun así, estar mal configurada desde el punto de vista de protección de datos. El riesgo suele estar en los detalles: permisos demasiado amplios, conservación indefinida, ausencia de información a los trabajadores, uso de métodos intrusivos o falta de contrato con el proveedor.

La auditoría sirve para comprobar si el sistema está alineado con el principio de responsabilidad proactiva. Esto significa que la empresa no solo debe cumplir la normativa, sino poder demostrarlo documentalmente si una autoridad, una inspección o una reclamación interna lo exige.

Quién debe realizar esta revisión

La auditoría puede ser impulsada por la dirección de la empresa, el departamento de recursos humanos, la asesoría laboral, el responsable interno de protección de datos o un consultor especializado. En empresas con Delegado de Protección de Datos, este perfil debe participar en la revisión cuando el tratamiento lo requiera o cuando existan tecnologías especialmente sensibles.

En una pyme, no siempre existe un departamento legal interno. Aun así, conviene que la auditoría quede documentada en un informe sencillo, con fecha, alcance, conclusiones, riesgos detectados y acciones de mejora.

El sistema de control horario se sitúa en la intersección entre dos bloques normativos: la legislación laboral y la normativa de protección de datos. La empresa debe cumplir ambas. No basta con registrar la jornada si el tratamiento de datos es desproporcionado, y tampoco basta con proteger los datos si el registro no permite acreditar la jornada real.

Estatuto de los Trabajadores y obligación de registrar la jornada

El artículo 34.9 del Estatuto de los Trabajadores establece la obligación empresarial de garantizar el registro diario de jornada. Este registro debe incluir el horario concreto de inicio y finalización de la jornada de cada persona trabajadora, sin perjuicio de la flexibilidad horaria que pueda existir en la empresa.

Además, la norma exige que los registros se conserven durante cuatro años y permanezcan a disposición de las personas trabajadoras, sus representantes legales y la Inspección de Trabajo y Seguridad Social. Por tanto, cualquier sistema de control horario debe permitir conservar, localizar y presentar esos registros de forma fiable durante ese periodo.

RGPD y Ley Orgánica 3/2018

Desde la perspectiva de protección de datos, el registro horario debe cumplir los principios del artículo 5 del RGPD: licitud, lealtad, transparencia, limitación de la finalidad, minimización de datos, exactitud, limitación del plazo de conservación, integridad y confidencialidad.

La Ley Orgánica 3/2018 adapta estos principios al marco español y refuerza la necesidad de garantizar los derechos digitales de las personas trabajadoras. En un sistema de control horario, esto se traduce en una obligación clara: informar de forma comprensible sobre qué datos se recogen, para qué se utilizan, quién puede acceder a ellos, durante cuánto tiempo se conservan y cómo pueden ejercerse los derechos de protección de datos.

Directrices de la AEPD y proporcionalidad del sistema

La Agencia Española de Protección de Datos insiste en que cualquier tratamiento vinculado al control laboral debe respetar el principio de proporcionalidad. La empresa puede controlar el cumplimiento de la jornada, pero no puede convertir el sistema de fichaje en una herramienta de vigilancia permanente o excesiva.

Esto es especialmente importante cuando se utilizan tecnologías como geolocalización, dispositivos móviles, tarjetas identificativas, lectores biométricos o integraciones con sistemas de acceso. La pregunta que debe hacerse la empresa es sencilla: ¿este dato es realmente necesario para registrar la jornada? Si la respuesta es no, el tratamiento puede ser difícil de justificar.

Elemento revisadoExigencia legalRiesgo si no se cumple
Registro diario de jornadaDebe reflejar inicio y fin de la jornada de cada trabajador.Sanciones laborales y dificultad para acreditar horarios reales.
Conservación de registrosLos datos deben conservarse durante cuatro años.Pérdida de evidencias ante inspección o reclamación.
Información a trabajadoresDebe explicarse el tratamiento de datos de forma clara.Reclamaciones ante la AEPD y falta de transparencia.
Accesos internosSolo deben acceder personas autorizadas y con necesidad real.Accesos indebidos, fugas de información o uso desviado.
Proveedor del softwareDebe existir contrato de encargado del tratamiento si trata datos por cuenta de la empresa.Responsabilidad por falta de garantías o tratamiento no regulado.

Paso a paso para auditar un sistema de control horario

Una auditoría eficaz debe seguir un método. Revisar pantallas sueltas del software o preguntar al proveedor si “cumple la LOPD” no es suficiente. Lo adecuado es analizar el ciclo completo del dato: desde que se recoge en el fichaje hasta que se elimina o bloquea al finalizar el plazo de conservación.

Paso 1: Identificar qué datos recoge el sistema

El primer paso consiste en elaborar un inventario de datos. La empresa debe saber exactamente qué información se almacena en el sistema de control horario. Lo habitual es encontrar nombre, apellidos, DNI o identificador interno, correo electrónico corporativo, centro de trabajo, departamento, horario, fichajes de entrada y salida, pausas, incidencias y registros de modificaciones.

También conviene revisar si el sistema recoge datos adicionales: ubicación GPS, IP, dispositivo, fotografías, firma, huella, reconocimiento facial o datos derivados de sistemas de acceso. Cuanto más sensible o intrusivo sea el dato, mayor deberá ser la justificación legal y técnica.

Paso 2: Comprobar la base jurídica del tratamiento

El registro horario se apoya principalmente en el cumplimiento de una obligación legal de la empresa. No es necesario pedir consentimiento al trabajador para registrar la jornada cuando el tratamiento responde a una exigencia normativa. De hecho, basar este tratamiento en el consentimiento podría ser problemático, porque en el ámbito laboral existe una relación de desequilibrio entre empresa y trabajador.

La auditoría debe comprobar que esta base jurídica está correctamente documentada en el registro de actividades de tratamiento y en la cláusula informativa entregada a la plantilla.

Paso 3: Revisar la información facilitada a los trabajadores

Los trabajadores deben recibir información clara y accesible sobre el sistema de fichaje. Esta información puede incluirse en una política interna, anexo contractual, comunicación corporativa o documento específico de protección de datos.

La comunicación debería explicar, como mínimo, la identidad del responsable del tratamiento, la finalidad del registro horario, la base jurídica, los datos tratados, el plazo de conservación, los destinatarios, la existencia del proveedor tecnológico, las medidas básicas de seguridad y la forma de ejercer derechos.

Paso a paso de auditoría LOPD para software de control horario

Paso 4: Analizar el contrato con el proveedor del software

Si la empresa utiliza una aplicación externa de control horario, el proveedor suele actuar como encargado del tratamiento. Esto exige un contrato o acuerdo de encargo conforme al artículo 28 del RGPD.

Ese contrato debe regular aspectos como las instrucciones del responsable, la confidencialidad, las medidas de seguridad, la subcontratación, la asistencia para atender derechos, la devolución o supresión de datos al finalizar el servicio y la disponibilidad de evidencias de cumplimiento.

Paso 5: Revisar permisos y perfiles de acceso

Uno de los errores más habituales en pymes es permitir que demasiadas personas accedan a los registros horarios. La auditoría debe comprobar qué perfiles existen en el sistema: administrador, recursos humanos, responsable de centro, mando intermedio, trabajador o asesor externo.

Cada perfil debe tener acceso únicamente a la información necesaria para su función. Un responsable de tienda, por ejemplo, puede necesitar revisar los fichajes de su equipo, pero no debería acceder a los registros de toda la empresa si no existe una razón organizativa clara.

Paso 6: Comprobar conservación, bloqueo y eliminación

Los registros horarios deben conservarse durante cuatro años. La auditoría debe verificar si el software permite mantener esos datos durante el plazo legal y si existe un criterio definido para su eliminación o bloqueo una vez transcurrido dicho plazo.

No es recomendable conservar indefinidamente todos los registros sin una justificación. La conservación ilimitada contradice el principio de limitación del plazo y puede aumentar el riesgo en caso de brecha de seguridad.

Paso 7: Evaluar medidas de seguridad

El sistema debe contar con medidas técnicas y organizativas apropiadas. Entre ellas, control de accesos, contraseñas robustas, autenticación adicional cuando proceda, cifrado, copias de seguridad, registro de actividad, gestión de incidencias, permisos por rol y mecanismos de recuperación de información.

La empresa también debe revisar cómo se exportan los informes. Un sistema puede ser seguro dentro de la aplicación, pero perder el control cuando los registros se descargan en hojas de cálculo, se envían por correo sin protección o se almacenan en carpetas compartidas sin permisos adecuados.

Checklist de cumplimiento LOPD para el registro de jornada

El siguiente checklist ayuda a comprobar si el sistema de control horario está preparado desde el punto de vista de protección de datos y cumplimiento laboral.

  • Inventario de datos: la empresa conoce qué datos recoge el sistema y con qué finalidad.
  • Base jurídica documentada: el tratamiento se vincula al cumplimiento de una obligación legal.
  • Cláusula informativa: los trabajadores han sido informados de forma clara y accesible.
  • Registro de actividades: el tratamiento de control horario está incluido en la documentación interna de protección de datos.
  • Contrato con proveedor: existe acuerdo de encargo del tratamiento cuando se utiliza software externo.
  • Permisos limitados: cada usuario accede solo a los datos necesarios para su función.
  • Conservación de cuatro años: el sistema permite conservar los registros durante el plazo legal.
  • Supresión o bloqueo: existe una política para gestionar los datos al finalizar el plazo de conservación.
  • Medidas de seguridad: se aplican controles técnicos adecuados para proteger la información.
  • Trazabilidad: el sistema registra modificaciones, accesos relevantes e incidencias.
  • Exportaciones controladas: los informes descargados se almacenan y comparten de forma segura.
  • Revisión periódica: la empresa revisa el sistema cuando cambia la normativa, el proveedor o la forma de fichaje.

Documentación mínima que debería conservar la empresa

Una pyme debería conservar, al menos, la política interna de control horario, la cláusula informativa entregada a trabajadores, el contrato con el proveedor, el registro de actividades de tratamiento, el análisis de riesgos, las evidencias de configuración de permisos y los procedimientos de conservación y exportación de registros.

Esta documentación no tiene que ser compleja, pero sí coherente. Lo importante es que permita demostrar que la empresa ha tomado decisiones razonables y proporcionadas sobre el tratamiento de los datos.

Errores frecuentes y riesgos legales en pymes

Muchas empresas creen que el riesgo principal del control horario está en no fichar. Sin embargo, también existen riesgos importantes cuando se ficha de forma incorrecta, se recogen datos excesivos o no se protege adecuadamente la información.

Usar sistemas demasiado intrusivos sin justificación

La utilización de biometría, geolocalización constante o fotografías asociadas al fichaje puede generar problemas si no existe una necesidad clara y proporcionada. En muchos casos, una pyme puede cumplir la obligación de registro horario con métodos menos invasivos, como fichaje mediante usuario, PIN, tarjeta, app o dispositivo compartido.

La auditoría debe valorar si el sistema elegido es proporcional al objetivo perseguido. Registrar la jornada no autoriza a controlar todos los movimientos del trabajador.

No limitar los accesos internos

Otro error habitual es configurar usuarios administradores de forma indiscriminada. Si varias personas pueden ver, modificar o exportar todos los registros, aumenta el riesgo de uso indebido de la información.

El principio de minimización también se aplica a los accesos. Cada perfil debe estar justificado y revisarse periódicamente, especialmente cuando una persona cambia de puesto o deja la empresa.

No controlar las modificaciones manuales

Un sistema de control horario debe permitir corregir errores, pero esas correcciones deben quedar registradas. La auditoría debe comprobar si el software conserva un historial de cambios: quién modificó el registro, cuándo lo hizo, qué dato se cambió y cuál fue el motivo.

Sin trazabilidad, la empresa puede tener dificultades para acreditar la fiabilidad de los registros ante una inspección o una reclamación de horas extraordinarias.

Errores frecuentes en la auditoría LOPD del control horario digital

Conservar datos sin criterio

La obligación laboral exige conservar los registros durante cuatro años, pero eso no significa que todos los datos asociados al sistema deban guardarse para siempre. La empresa debe definir qué se conserva, durante cuánto tiempo y qué ocurre después.

Una política de conservación clara reduce riesgos y evita acumular información innecesaria. También facilita la respuesta ante solicitudes de derechos o incidencias de seguridad.

Preguntas Frecuentes sobre Auditoría LOPD del sistema de control horario: Paso a paso

¿Es obligatorio hacer una auditoría LOPD del sistema de control horario?

No existe una obligación general de realizar una auditoría formal con ese nombre en todas las empresas. Sin embargo, la empresa sí debe cumplir el principio de responsabilidad proactiva y poder demostrar que su sistema de registro horario respeta la normativa de protección de datos y la legislación laboral.

¿Durante cuánto tiempo deben conservarse los registros de jornada?

Los registros de jornada deben conservarse durante cuatro años y estar disponibles para las personas trabajadoras, sus representantes legales y la Inspección de Trabajo y Seguridad Social.

¿Hay que pedir consentimiento al trabajador para usar un software de control horario?

En general, no. El registro horario responde a una obligación legal de la empresa, por lo que la base jurídica principal no es el consentimiento, sino el cumplimiento de una obligación legal.

¿Puede una empresa usar geolocalización para fichar desde el móvil?

Puede utilizarse si existe una justificación clara, proporcional y limitada a la finalidad de validar el fichaje. No debería convertirse en un sistema de seguimiento permanente de la ubicación del trabajador.

¿Qué debe revisar una pyme antes de contratar un software de control horario?

Debe revisar qué datos recoge, si permite conservar registros durante cuatro años, qué medidas de seguridad ofrece, cómo gestiona permisos, si permite trazabilidad de cambios y si el proveedor facilita un contrato de encargado del tratamiento.

¿Qué ocurre si el sistema de fichaje no cumple la normativa de protección de datos?

La empresa puede enfrentarse a reclamaciones, requerimientos de la AEPD, sanciones económicas o problemas probatorios en caso de inspección laboral. Además, un sistema mal configurado puede generar conflictos internos con la plantilla.

Conclusión

Auditar la LOPD de un sistema de control horario no es un trámite reservado a grandes empresas. Es una revisión necesaria para cualquier pyme que quiera fichar de forma legal, conservar registros con garantías y evitar riesgos innecesarios en materia laboral y de protección de datos.

La clave está en combinar cumplimiento laboral, minimización de datos, transparencia con la plantilla, seguridad técnica y documentación interna. Un sistema de fichaje bien configurado debe permitir registrar la jornada, proteger la información y demostrar el cumplimiento si llega una inspección o una revisión.

Con una solución como Jornalab, las empresas pueden avanzar hacia un control horario digital más ordenado, seguro y preparado para las exigencias legales actuales, reduciendo errores administrativos y facilitando una gestión profesional de los registros de jornada.

Referencias

  1. BOE — Real Decreto Legislativo 2/2015, de 23 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto de los Trabajadores. Boletín Oficial del Estado. 2015.
  2. BOE — Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales. Boletín Oficial del Estado. 2018.
  3. BOE — Reglamento UE 2016/679 General de Protección de Datos. Boletín Oficial del Estado. 2016.
  4. BOE — Real Decreto-ley 8/2019, de medidas urgentes de protección social y de lucha contra la precariedad laboral en la jornada de trabajo. Boletín Oficial del Estado. 2019.
  5. AEPD — Agencia Española de Protección de Datos. Organismo oficial de protección de datos en España.
  6. Ministerio de Trabajo y Economía Social — Información laboral y normativa sobre jornada de trabajo. Ministerio de Trabajo y Economía Social.