Quines dades personals es tracten en el control horari
Un sistema de fitxatge tracta, com a mínim:
- Identitat del treballador (nom, codi, DNI).
- Hora i data de cada fitxatge.
- Assignació a centre de treball o torn.
Depenent del sistema, s'hi poden afegir: ubicació del fitxatge (geolocalització), empremta o reconeixement facial (biometria), IP del dispositiu, identificador del dispositiu, fotografia del treballador. Cada dada addicional augmenta la responsabilitat de l'empresa com a responsable del tractament.
Bases jurídiques per al tractament
El RGPD exigeix una base jurídica per a qualsevol tractament de dades personals. En el control horari, les bases més habituals són:
- Obligació legal (article 6.1.c del RGPD): el registre horari és obligatori per llei.
- Execució del contracte (article 6.1.b): el registre forma part del compliment del contracte laboral.
- Interès legítim (article 6.1.f): per a tractaments accessoris proporcionats.
El consentiment del treballador rarament és una base vàlida en relació laboral, atesa l'asimetria entre les parts.
Principi de minimització
L'empresa ha de tractar només les dades estrictament necessàries per a la finalitat. Si la finalitat és registrar la jornada, no es justifica tractar dades addicionals com geolocalització contínua, captures de pantalla, control del ratolí o seguiment de l'ordinador. Aquests tractaments requereixen justificació específica i, en molts casos, són desproporcionats.
Geolocalització en el fitxatge
L'AEPD ha emès criteris sobre la geolocalització aplicada al control horari. La idea central: el GPS només es justifica quan aporta valor a la finalitat concreta (acreditar presència a l'obra, comercials en ruta) i es limita al moment del fitxatge, no a seguiment continu. Per a més detall, consulta control horari amb geolocalització.
Biometria: màxima prudència
L'AEPD considera que el tractament de dades biomètriques en el control horari (empremta, facial) és desproporcionat excepte en casos molt concrets. L'empremta o el rostre són dades especialment protegides i l'empresa ha de poder justificar per què no són vàlides alternatives menys invasives (PIN, targeta, app mòbil). Per a més detall, consulta control horari biomètric.
Accés als registres
- El treballador pot accedir als seus propis registres (dret d'accés).
- Els representants legals poden accedir a dades agregades, no individuals sense justificació.
- La Inspecció de Treball pot accedir al registre complet en la seva actuació.
- Altres treballadors no han de tenir accés als registres aliens.
Terminis de conservació
El registre horari s'ha de conservar quatre anys a comptar des de cada jornada. Passat aquest termini, les dades s'han d'eliminar o anonimitzar, llevat que existeixi una altra obligació legal que en justifiqui la conservació (per exemple, un litigi en curs).
Errors RGPD habituals
- No informar el treballador abans d'implantar el sistema.
- Activar geolocalització contínua sense justificar.
- Recollir biometria sense valorar alternatives.
- Donar accés al sistema a persones sense necessitat operativa.
- Conservar dades més enllà dels quatre anys sense justificació.
- No incloure el tractament en el registre d'activitats del responsable.
- No signar contracte d'encàrrec del tractament amb el proveïdor cloud.
El registre horari també és tractament de dades
Registrar la jornada implica tractar dades personals de la plantilla, així que el compliment no acaba en l'obligació laboral: comença també l'obligació de protecció de dades. Això no significa que registrar sigui problemàtic —és obligatori i legítim— sinó que cal fer-ho bé: amb una base jurídica clara, informant les persones treballadores, recollint només les dades necessàries (minimització) i amb un contracte d'encàrrec de tractament amb el proveïdor que allotgi els fitxatges. El xoc més habitual entre complir el registre i respectar la privacitat apareix quan s'afegeix geolocalització o biometria "perquè es pot": aquí és on el principi de proporcionalitat decideix, i on més empreses s'equivoquen per excés.
Checklist de protecció de dades en el registre
| Punt | Què exigeix |
|---|---|
| Base jurídica | Documentada (compliment d'obligació legal) |
| Informació a la plantilla | Què es recull, per a què, quant de temps es conserva |
| Minimització | Només dades necessàries; no geolocalització per defecte |
| Encàrrec de tractament | Contracte amb el proveïdor cloud |
| Conservació | El termini del registre, sense excessos |
La geolocalització i la biometria tenen la seva pròpia anàlisi a control horari amb geolocalització i control horari biomètric.
Cas pràctic, errors i font oficial
Una empresa va activar geolocalització contínua a l'app de fitxatge sense informar ni avaluar la proporcionalitat. Una reclamació de la plantilla va obligar a revisar-ho: n'hi havia prou amb el segell del fitxatge, no amb el rastreig. Van reconfigurar-lo a ubicació només en l'instant del fitxatge, informada, i el problema va desaparèixer. Els errors típics són: recollir més del necessari, no informar i no signar encàrrec de tractament amb el proveïdor. Per orientar-se, l'Agència Espanyola de Protecció de Dades publica criteris sobre control laboral; aquesta pàgina és orientativa i no substitueix assessorament especialitzat. Si vols complir el registre sense recollir dades de més, pots comparar una eina que es limiti al necessari. Marc general a la guia pilar i la part laboral a la llei de control horari.
Complir el registre i respectar la privacitat no s'oposen
Convé tancar desfent un fals dilema: registrar la jornada i respectar la protecció de dades no són objectius enfrontats, són dues obligacions que es compleixen alhora si el sistema es dissenya bé. El conflicte només apareix quan es recull més del necessari —geolocalització contínua, biometria sense justificar— "perquè l'eina ho permet". Si el sistema es limita al que el registre necessita (entrada, sortida, pauses, amb segell), informa la plantilla i signa l'encàrrec de tractament amb el proveïdor, no hi ha tensió: es compleix l'obligació laboral sense envair la privacitat. La regla pràctica és la minimització: davant qualsevol dada extra, preguntar-se si el registre la necessita de debò o si només és còmoda de tenir; si és el segon cas, no es recull. Així, protecció de dades deixa de ser un obstacle i passa a ser, simplement, fer el registre bé. El marc laboral és a la llei de control horari i el cas de mobilitat a control horari amb geolocalització.
Preguntes freqüents
Puc usar geolocalització en el fitxatge sense més?
Només si és proporcionada: limitada a l'instant del fitxatge, amb una finalitat real (treball sense centre fix), informada i minimitzada. El rastreig continu durant la jornada difícilment supera el test de proporcionalitat.