DEV Community

Cover image for Control horario con geolocalización: qué permite el RGPD y qué te puede costar caro
Vika Beckerman
Vika Beckerman

Posted on

Control horario con geolocalización: qué permite el RGPD y qué te puede costar caro

#productivity #tools #management #business

tags: [rrhh, seguridad, gdpr, gestion]

Control horario con geolocalización: qué permite el RGPD y qué te puede costar caro

La obligación de registrar la jornada laboral —vigente en España desde 2019 y con equivalentes en México, Colombia, Argentina y otros países de la región— ha llevado a muchas empresas a explorar el fichaje mediante GPS. La idea es tentadora: el empleado ficha desde el móvil y el sistema confirma que está en el lugar correcto. Sin embargo, entre la comodidad técnica y el cumplimiento legal hay una distancia que la Agencia Española de Protección de Datos (AEPD) ya ha empezado a medir... y a sancionar.

Este artículo resume los criterios que la AEPD ha publicado sobre el uso de geolocalización en el control horario, los errores más comunes que derivan en multas y por qué la terminal física en la puerta sigue siendo la alternativa más limpia desde el punto de vista jurídico.

Por qué la geolocalización no es un fichaje "gratuito" en términos de privacidad

Control horario con geolocalización: qué permite el RGPD y qué te puede costar caro

El GPS captura una categoría de dato personal especialmente sensible: la ubicación en tiempo real. A diferencia del registro de entrada y salida en una terminal, el rastreo por coordenadas puede revelar desplazamientos, hábitos de vida, visitas médicas o domicilio particular si el empleado trabaja en remoto. El RGPD (Reglamento General de Protección de Datos) y la LOPD-GDD obligan a que cualquier tratamiento de datos sea necesario, proporcional y transparente. La geolocalización continua de un empleado de oficina que cumple un horario fijo difícilmente supera ese triple filtro.

Los cuatro criterios de la AEPD que todo responsable IT debe conocer

1. Solo en el instante del fichaje

La AEPD es explícita: si el objetivo es verificar la presencia en un lugar de trabajo, basta con capturar la coordenada en el momento exacto del fichaje. Guardar la trayectoria completa del empleado a lo largo del día —o incluso durante la jornada— es desproporcionado y, salvo justificación muy robusta, ilegal.

Implicación práctica para el sysadmin: configura la app para que el acceso al GPS se active únicamente al pulsar "Fichar" y se desactive de inmediato. Revisa los permisos de la aplicación en MDM y asegúrate de que no solicita localización en segundo plano (ACCESS_BACKGROUND_LOCATION en Android o "Siempre" en iOS).

2. Proporcionalidad según el puesto

Un técnico de campo, un repartidor o un trabajador de obra tienen una justificación legítima para el fichaje con geocerca: su lugar de trabajo es variable y la verificación de presencia es el núcleo del servicio. Un contable que teletrabaja desde casa no. La AEPD exige una evaluación de impacto (EIPD) cuando el tratamiento supone un riesgo elevado para los derechos del trabajador, y el rastreo GPS suele activar ese umbral.

3. Información previa, por escrito y específica

No basta con incluir una línea genérica en el contrato sobre "uso de tecnologías de seguimiento". El artículo 13 del RGPD obliga a informar de forma concreta: qué dato se recoge (coordenada GPS), con qué finalidad (verificar presencia en el centro de trabajo), durante cuánto tiempo se conserva, quién tiene acceso y cuáles son los derechos del empleado. Esa información debe entregarse antes de implantar el sistema, no después.

4. Prohibido imponer el móvil personal

Este es el error que más empresas cometen. Obligar a un empleado a instalar una app corporativa en su teléfono personal supone trasladarle el coste de la herramienta de trabajo y acceder a un dispositivo sobre el que la empresa no tiene titularidad. La AEPD y los tribunales laborales han señalado repetidamente que el empleador debe proveer el medio o habilitar una alternativa que no requiera el dispositivo personal del trabajador.

La terminal en puerta como alternativa "limpia"

Frente a la complejidad legal del GPS, el fichaje mediante terminal física en la entrada cumple los mismos objetivos de control de presencia sin capturar datos de ubicación. No hay coordenadas que gestionar, no hay permisos de app que auditar y no existe riesgo de rastreo fuera del horario laboral.

TimeClock 365 integra en una sola plataforma el fichaje por terminal en puerta (RFID, NFC, Apple Wallet y Google Wallet) con la gestión horaria completa: la entrada registrada en el lector actualiza la asistencia al instante, sin necesidad de un reloj de fichar independiente ni de que el empleado lleve el móvil encima. Para los equipos en ruta o en obra, el sistema sí ofrece geocercas y geolocalización puntual en la app, pero circunscrita al momento del fichaje, en línea con el criterio de la AEPD.

Desde el punto de vista del departamento IT, la arquitectura es relevante: TimeClock 365 está certificado con ISO 27001 y diseñado conforme al RGPD, lo que simplifica la documentación del tratamiento ante una auditoría o una inspección de la autoridad de control.

Checklist rápido antes de activar el fichaje con GPS

  • [ ] ¿Tienes una base jurídica documentada (interés legítimo o negociación colectiva)?
  • [ ] ¿Has realizado la EIPD si el tratamiento es de alto riesgo?
  • [ ] ¿La app captura localización solo en el instante del fichaje?
  • [ ] ¿Has entregado la información del artículo 13 RGPD a cada empleado por escrito?
  • [ ] ¿Existe una alternativa para quien no quiera usar su móvil personal?
  • [ ] ¿El período de retención de los datos de ubicación está definido y es el mínimo necesario?

Si alguna respuesta es "no" o "no lo sé", tienes un riesgo abierto. Las sanciones de la AEPD en materia de geolocalización laboral han superado los 50 000 € en casos recientes.

Conclusión

La geolocalización puede ser una herramienta legítima de control horario, pero solo cuando se aplica con precisión quirúrgica: dato puntual, puesto justificado, información transparente y sin imposición del dispositivo personal. Para la mayoría de los entornos de oficina o con sede fija, la terminal en puerta elimina directamente el problema y ofrece el mismo nivel de fiabilidad —TimeClock 365 registra el 99 % de las jornadas con exactitud y reduce los accesos no autorizados en un 90 %.

¿Quieres ver cómo funciona en tu infraestructura? Prueba TimeClock 365 sin coste durante 14 días y comprueba si la terminal en puerta o las geocercas configuradas correctamente se adaptan mejor a tu caso de uso: Iniciar prueba gratuita

Top comments (0)