Tratamiento de datos de salud en sistemas de control de accesos
El control de accesos en una empresa puede parecer una cuestión puramente organizativa: saber quién entra, quién sale, a qué hora accede al centro de trabajo o qué personas tienen permiso para acceder a determinadas zonas. Sin embargo, cuando ese sistema empieza a incorporar información relacionada con la salud, la situación cambia por completo.
Medir la temperatura al entrar, bloquear el acceso por síntomas declarados, registrar incidencias médicas, asociar datos sanitarios a un fichaje o utilizar sistemas biométricos sin una base jurídica sólida puede convertir una herramienta de control interno en un tratamiento de datos especialmente sensible. Y en protección de datos, los datos de salud no son un dato más.
Para muchas pymes, el problema no está en querer controlar mejor sus accesos o cumplir con el registro horario. El riesgo aparece cuando se mezclan finalidades distintas: seguridad, prevención de riesgos laborales, control horario, vigilancia, salud laboral y gestión de presencia. Esta guía explica, con enfoque legal y práctico, qué límites existen en España, qué dice la normativa y cómo evitar que un sistema de control de accesos termine vulnerando derechos fundamentales de los trabajadores.
Qué se considera dato de salud en un sistema de control de accesos
Un dato de salud es cualquier información relativa al estado físico o mental de una persona que revele información sobre su salud pasada, presente o futura. En el ámbito laboral, esto incluye datos evidentes, como una baja médica o un certificado de aptitud, pero también otros menos obvios cuando se conectan con una decisión empresarial.
En un sistema de control de accesos, pueden aparecer datos de salud cuando la empresa utiliza información médica o fisiológica para permitir, restringir o condicionar la entrada al centro de trabajo. Por ejemplo, si el sistema registra que una persona no puede acceder porque supera una determinada temperatura corporal, porque declara síntomas o porque no cumple un requisito sanitario concreto, ya no estamos ante un simple registro de entrada.
Ejemplos habituales de datos de salud en accesos
- Temperatura corporal registrada en el acceso al centro de trabajo.
- Declaraciones de síntomas antes de entrar en las instalaciones.
- Información sobre contagios, enfermedades o exposición a riesgos sanitarios.
- Datos derivados de reconocimientos médicos usados para permitir o denegar accesos.
- Información fisiológica o biométrica que permita inferir aspectos de salud.
El punto clave es la finalidad y el contexto. Una tarjeta de empleado que abre una puerta no trata datos de salud por sí misma. Pero si esa autorización depende de una variable médica, el tratamiento cambia de naturaleza. En ese momento entran en juego las categorías especiales de datos previstas en el Reglamento General de Protección de Datos.
Marco legal aplicable en España
El tratamiento de datos de salud en sistemas de control de accesos se regula principalmente por el Reglamento General de Protección de Datos, la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales, el Estatuto de los Trabajadores y los criterios interpretativos de la Agencia Española de Protección de Datos.
El RGPD considera los datos relativos a la salud como categorías especiales de datos. Esto significa que, como regla general, su tratamiento está prohibido salvo que concurra una excepción válida del artículo 9.2 del RGPD y, además, exista una base jurídica del artículo 6.1.
Artículo 6 y artículo 9 del RGPD
Para tratar datos personales no basta con que la empresa tenga interés en hacerlo. Debe existir una base jurídica. En el caso de datos de salud, la exigencia es doble:
- Una base jurídica general del artículo 6.1 del RGPD.
- Una excepción específica del artículo 9.2 del RGPD para categorías especiales de datos.
En el ámbito laboral, algunas empresas intentan apoyarse en el consentimiento del trabajador. Sin embargo, esta vía suele ser problemática porque la relación laboral no se desarrolla entre partes plenamente equilibradas. El trabajador puede sentir que no tiene una alternativa real a aceptar. Por eso, la AEPD y el Comité Europeo de Protección de Datos han advertido en distintas ocasiones que el consentimiento en el entorno laboral debe analizarse con especial cautela.
Estatuto de los Trabajadores y registro de jornada
El artículo 34.9 del Estatuto de los Trabajadores obliga a las empresas a garantizar el registro diario de jornada, incluyendo el horario concreto de inicio y finalización de la jornada de cada persona trabajadora. Además, estos registros deben conservarse durante cuatro años y permanecer a disposición de las personas trabajadoras, sus representantes legales y la Inspección de Trabajo y Seguridad Social.
Esta obligación legal no autoriza a recopilar cualquier dato. El registro horario debe limitarse a la finalidad que lo justifica: acreditar la jornada realizada. Por tanto, un sistema de fichaje no debería incorporar datos de salud si no existe una justificación adicional, proporcionada y claramente documentada.
Contexto 2026: más control, pero no carta blanca
En el contexto laboral de 2026, la tendencia regulatoria y administrativa se dirige hacia sistemas de registro horario más fiables, trazables y accesibles. Sin embargo, la digitalización del control horario no elimina los límites de protección de datos. Al contrario: cuanto más automatizado sea el sistema, más importante será aplicar principios como minimización de datos, limitación de finalidad, proporcionalidad, transparencia y seguridad.
| Norma o criterio | Qué regula | Impacto en control de accesos |
|---|---|---|
| RGPD | Protección de datos personales y categorías especiales | Exige base jurídica y excepción válida para tratar datos de salud. |
| LOPDGDD | Adaptación española del RGPD y derechos digitales | Refuerza garantías, información y derechos de las personas trabajadoras. |
| Estatuto de los Trabajadores | Registro diario de jornada y obligaciones laborales | Obliga a registrar jornada, pero no habilita a recopilar datos médicos sin necesidad. |
| Criterios AEPD | Interpretación práctica de protección de datos | Advierte sobre temperatura, biometría, proporcionalidad y minimización. |
Temperatura, síntomas y controles médicos en el acceso al trabajo
Uno de los ejemplos más claros de tratamiento de datos de salud en el acceso al trabajo es la medición de temperatura. Durante periodos de emergencia sanitaria, muchas empresas incorporaron controles térmicos en la entrada de sus centros. La AEPD advirtió que la temperatura corporal es un dato de salud cuando se utiliza para evaluar el estado sanitario de una persona o decidir si puede acceder a un lugar.
Esto significa que la empresa no puede implantar controles de temperatura de forma general, indefinida o preventiva sin analizar antes su legitimación, necesidad y proporcionalidad. No basta con decir que se hace “por seguridad”. Hay que justificar por qué ese tratamiento es necesario, qué norma lo permite, qué datos se conservan, durante cuánto tiempo y quién puede acceder a ellos.
¿Puede una empresa tomar la temperatura a sus trabajadores?
Solo podría hacerlo cuando exista una base jurídica adecuada y una finalidad legítima claramente definida, normalmente vinculada a obligaciones de salud pública o prevención de riesgos laborales en un contexto concreto. Incluso en ese caso, la empresa debe aplicar medidas de minimización: no conservar datos si no es necesario, no asociar mediciones a historiales individuales salvo justificación, informar previamente y evitar usos secundarios.
El riesgo aparece cuando el control se convierte en una práctica rutinaria sin cobertura suficiente. Por ejemplo, registrar cada día la temperatura de toda la plantilla y almacenar esos datos junto al fichaje horario puede ser desproporcionado si no existe una obligación específica que lo respalde.
Declaraciones de síntomas y formularios de acceso
También deben analizarse con cautela los formularios en los que se pregunta al trabajador si tiene fiebre, tos, malestar, diagnóstico médico o contacto con personas enfermas. Aunque parezcan preguntas simples, pueden revelar información sanitaria. Si se vinculan a la identidad del trabajador y a una decisión de acceso, estamos ante tratamiento de datos personales de salud.
La empresa debe evitar recopilar información médica detallada si no es imprescindible. En muchos casos, puede ser más adecuado establecer protocolos organizativos, medidas preventivas generales, formación interna y canales de comunicación con el servicio de prevención, sin convertir el control de accesos en una base de datos sanitaria.

Control horario y control de accesos: diferencias legales
Control horario y control de accesos no son lo mismo, aunque muchas empresas los integren en una misma solución tecnológica. El control horario sirve para registrar la jornada laboral. El control de accesos sirve para gestionar la entrada a espacios físicos o digitales. Pueden coincidir en determinados puntos, pero responden a finalidades distintas.
Esta diferencia es importante porque el principio de limitación de finalidad exige que los datos se usen solo para el objetivo informado y legítimo. Si una empresa instala un sistema para fichar la entrada y salida, no debería reutilizar esos datos para fines incompatibles, como vigilancia intensiva, evaluación médica o decisiones disciplinarias no previstas, salvo que exista base legal suficiente y se haya informado correctamente.
Qué datos son razonables en un sistema de fichaje
Un sistema de registro horario debería recoger únicamente los datos necesarios para acreditar la jornada. Por ejemplo:
- Identificación de la persona trabajadora.
- Fecha del registro.
- Hora de inicio de jornada.
- Hora de finalización de jornada.
- Incidencias horarias justificadas, cuando proceda.
En cambio, no debería recopilar por defecto datos médicos, información sobre síntomas, temperatura, diagnósticos, discapacidad, medicación o cualquier otra información sanitaria que no sea necesaria para cumplir la obligación de registro de jornada.
Conservación de registros y plazos legales
El Estatuto de los Trabajadores exige conservar los registros de jornada durante cuatro años. Ese plazo se refiere a los datos necesarios para acreditar el cumplimiento de la jornada laboral. No debe interpretarse como una autorización para conservar durante cuatro años información sanitaria vinculada al acceso o al fichaje.
Si en algún contexto excepcional se tratasen datos de salud, su plazo de conservación debería definirse de forma específica, limitada y justificada. La regla debe ser conservar lo mínimo durante el menor tiempo posible. Mantener datos sanitarios “por si acaso” puede vulnerar el principio de limitación del plazo de conservación.
Biometría, datos sensibles y criterios de la AEPD
Los sistemas biométricos han sido frecuentes en el control de presencia: huella dactilar, reconocimiento facial, geometría de la mano o patrones físicos similares. Sin embargo, su uso en el ámbito laboral se ha vuelto cada vez más restrictivo. La AEPD ha establecido criterios especialmente exigentes para el tratamiento biométrico en controles de presencia y acceso.
El dato biométrico puede ser una categoría especial de dato cuando se utiliza para identificar de manera unívoca a una persona. En ese caso, no basta con que el sistema sea cómodo o rápido. La empresa debe justificar por qué no puede utilizar alternativas menos intrusivas, como tarjetas, PIN, aplicaciones de fichaje, códigos personales o sistemas de identificación no biométricos.
Biometría para identificación y autenticación
La diferencia entre identificación y autenticación es relevante. La identificación busca determinar quién es una persona entre un conjunto de individuos. La autenticación verifica si una persona es quien dice ser. En ambos casos puede existir tratamiento biométrico, pero el análisis de riesgos y proporcionalidad debe ser riguroso.
En la práctica, para una pyme, implantar huella o reconocimiento facial para fichar o abrir una puerta puede ser difícil de justificar si existen medios menos invasivos. La comodidad operativa no suele ser suficiente para legitimar el tratamiento de datos biométricos especialmente protegidos.
Evaluación de impacto y análisis de proporcionalidad
Cuando un tratamiento puede entrañar un alto riesgo para los derechos y libertades de las personas, el RGPD exige realizar una evaluación de impacto relativa a la protección de datos. En sistemas biométricos o tratamientos de datos de salud, esta evaluación puede ser necesaria para valorar riesgos, medidas técnicas, alternativas y garantías.
La empresa debería preguntarse, como mínimo:
- ¿Existe una base jurídica suficiente para este tratamiento?
- ¿El dato de salud o biométrico es imprescindible?
- ¿Hay una alternativa menos intrusiva?
- ¿Se ha informado de forma clara a la plantilla?
- ¿Se han definido plazos de conservación?
- ¿Se han aplicado medidas de seguridad adecuadas?
- ¿Se ha consultado al delegado de protección de datos, si existe?
| Sistema | Nivel de riesgo | Observación legal |
|---|---|---|
| Tarjeta identificativa | Bajo o medio | Puede ser adecuado si se informa correctamente y se limita la finalidad. |
| PIN personal | Bajo o medio | Alternativa menos intrusiva que la biometría, aunque debe evitarse el uso compartido. |
| App de fichaje | Medio | Debe configurar permisos, trazabilidad, acceso limitado y protección de datos. |
| Huella dactilar | Alto | Puede implicar datos biométricos de categoría especial y exige justificación reforzada. |
| Reconocimiento facial | Alto | Tratamiento especialmente intrusivo que requiere análisis estricto de necesidad y proporcionalidad. |
| Temperatura vinculada al acceso | Alto | Puede ser dato de salud y no debe implantarse sin base legal y garantías específicas. |

Buenas prácticas para pymes y responsables de RRHH
Una pyme no necesita convertir el control horario o el control de accesos en un sistema complejo de vigilancia. Lo más seguro, desde el punto de vista legal, suele ser aplicar soluciones sencillas, proporcionadas y bien documentadas.
El primer paso es separar finalidades. Si el objetivo es cumplir con el registro horario, el sistema debe limitarse a registrar la jornada. Si el objetivo es controlar el acceso a zonas restringidas, deben definirse permisos de acceso. Si existe una necesidad preventiva o sanitaria, debe tratarse de forma independiente, con asesoramiento especializado y con participación del servicio de prevención cuando corresponda.
Principios básicos que debe cumplir el sistema
- Minimización: recoger solo los datos imprescindibles.
- Transparencia: informar a los trabajadores de forma clara.
- Limitación de finalidad: no reutilizar los datos para fines no informados.
- Seguridad: proteger accesos, credenciales, registros y copias.
- Conservación limitada: aplicar plazos concretos y justificados.
- Responsabilidad proactiva: documentar decisiones, riesgos y medidas.
Qué debería evitar una empresa
- Registrar temperatura de forma permanente sin una obligación clara.
- Guardar datos médicos junto al registro horario ordinario.
- Usar biometría por comodidad sin analizar alternativas.
- No informar a la plantilla sobre el tratamiento de datos.
- Permitir accesos internos indiscriminados a registros sensibles.
- Conservar datos sanitarios sin plazo definido.
- Usar el sistema de accesos para vigilancia laboral desproporcionada.
Cómo configurar una solución de control horario respetuosa con la privacidad
Una herramienta de control horario adecuada para pymes debe permitir registrar entradas y salidas, conservar los registros exigidos por la normativa laboral, generar informes y controlar permisos de acceso internos sin recopilar información innecesaria. La clave no está solo en la herramienta, sino en su configuración.
Por ejemplo, una empresa puede usar una app de fichaje con usuarios diferenciados, roles de acceso, trazabilidad de cambios, exportación de registros y conservación documental durante el plazo legal. Todo ello sin medir temperatura, sin usar reconocimiento facial y sin crear historiales médicos de la plantilla.
En este punto, soluciones como Jornalab pueden ayudar a profesionalizar el registro horario desde un enfoque más seguro: datos limitados a la jornada, registros organizados, acceso controlado e información disponible para cumplir con las obligaciones laborales sin invadir la esfera sanitaria del trabajador.
Preguntas Frecuentes sobre Tratamiento de datos de salud en sistemas de control de accesos
¿Puede una empresa medir la temperatura a los trabajadores al entrar?
Solo podría hacerlo si existe una base jurídica válida, una finalidad legítima y una justificación proporcional. La temperatura corporal puede considerarse un dato de salud cuando se utiliza para decidir si una persona puede acceder al centro de trabajo.
La empresa debe evitar implantar controles generalizados o permanentes sin respaldo legal específico. Además, debe informar previamente, limitar la conservación y aplicar medidas de seguridad.
¿El registro horario permite recopilar datos médicos del trabajador?
No. La obligación de registro horario permite registrar la jornada laboral, pero no autoriza automáticamente a recopilar datos de salud. El sistema debe limitarse a los datos necesarios para acreditar la hora de inicio y fin de la jornada.
¿Se pueden guardar datos de salud junto al fichaje?
Como regla general, no debería hacerse. Mezclar datos de salud con registros horarios aumenta el riesgo legal y puede vulnerar los principios de minimización, limitación de finalidad y conservación limitada.
Si existiera una situación excepcional que justificase el tratamiento, debería documentarse de forma separada y con garantías reforzadas.
¿Es legal usar huella dactilar para fichar en el trabajo?
El uso de huella dactilar puede implicar tratamiento de datos biométricos de categoría especial. Por ello, exige una justificación reforzada y un análisis de necesidad, proporcionalidad y alternativas menos intrusivas.
En muchos casos, una tarjeta, PIN o app de fichaje puede ser una alternativa menos invasiva y más prudente desde el punto de vista legal.
¿Durante cuánto tiempo deben conservarse los registros horarios?
El Estatuto de los Trabajadores exige conservar los registros de jornada durante cuatro años. Estos registros deben estar disponibles para las personas trabajadoras, sus representantes legales y la Inspección de Trabajo y Seguridad Social.
Ese plazo no debe aplicarse automáticamente a datos sanitarios, que requieren una justificación y un plazo de conservación propio.
¿Qué debe informar la empresa antes de implantar un sistema de control de accesos?
Debe informar sobre quién es el responsable del tratamiento, qué datos se recogen, con qué finalidad, cuál es la base jurídica, durante cuánto tiempo se conservarán, quién podrá acceder a ellos y cómo pueden ejercerse los derechos de protección de datos.
¿Una app de fichaje puede ser más segura que un sistema biométrico?
Sí. Una app de fichaje bien configurada puede cumplir con el registro horario sin tratar datos biométricos ni datos de salud. La seguridad jurídica no depende de usar la tecnología más intrusiva, sino de usar la más adecuada y proporcional.
Conclusión
El tratamiento de datos de salud en sistemas de control de accesos exige una prudencia especial. No todo lo que la tecnología permite es legalmente recomendable. Una pyme puede controlar su jornada laboral, organizar accesos y cumplir con sus obligaciones sin convertir el fichaje en un sistema de vigilancia sanitaria.
La clave está en separar finalidades, recoger solo los datos necesarios, evitar tratamientos intrusivos y documentar correctamente las decisiones. En materia laboral, la confianza también se construye desde la privacidad.
Jornalab ayuda a las empresas a gestionar el registro horario de forma clara, ordenada y adaptada a las necesidades reales de una pyme, evitando complicaciones innecesarias y facilitando el cumplimiento de las obligaciones laborales sin invadir datos sensibles.
Referencias
- Real Decreto Legislativo 2/2015, de 23 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto de los Trabajadores. BOE. 2015.
- Real Decreto-ley 8/2019, de 8 de marzo, de medidas urgentes de protección social y de lucha contra la precariedad laboral en la jornada de trabajo. BOE. 2019.
- Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016. BOE / Diario Oficial de la Unión Europea. 2016.
- Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. BOE. 2018.
- Comunicado de la AEPD en relación con la toma de temperatura por parte de comercios, centros de trabajo y otros establecimientos. Agencia Española de Protección de Datos. 2020.
- Guía sobre tratamientos de control de presencia mediante sistemas biométricos. Agencia Española de Protección de Datos. 2023.

