| Informe | 2025-0075 |
| Enlace | 📋 |
Resumen del Informe Jurídico de la AEPD (Referencia: 2025-0075)
El informe jurídico de la Agencia Española de Protección de Datos (AEPD) analiza un Real Decreto proyectado para desarrollar los requisitos del registro de jornada de los trabajadores, basado en el artículo 34.7 del Estatuto de los Trabajadores. La AEPD concluye que la norma no cumple con los requisitos esenciales de protección de datos exigidos por el RGPD (Reglamento General de Protección de Datos) y la LOPDGDD (Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales), lo que podría suponer una vulneración del derecho fundamental a la protección de datos personales.
Fundamento jurídico y principios aplicables
El informe destaca que el tratamiento de datos personales en un registro de jornada debe cumplir con los principios de legalidad, proporcionalidad y reserva de ley, según el artículo 53.1 de la Constitución Española y el artículo 8 de la LOPDGDD.
Reserva de ley: El tratamiento de datos debe estar directamente regulado por una ley formal, sin que puedan delegarse en normas reglamentarias cuestiones esenciales como los tipos de datos tratados, finalidades, garantías y medidas de seguridad.
Principio de proporcionalidad: La medida debe ser idónea, necesaria y equilibrada para no afectar desproporcionadamente el derecho fundamental.
Base legal clara: El artículo 6.3 del RGPD exige que la base legal del tratamiento (en este caso, el registro de jornada) determine con precisión:
La finalidad del tratamiento.
Los tipos de datos personales tratados (excluyendo datos sensibles, salvo habilitación expresa).
Las entidades que acceden a los datos y con qué fines.
Las operaciones y procedimientos de tratamiento.
La limitación temporal de conservación de datos.
Las medidas de seguridad y garantías necesarias.
Principales deficiencias del proyecto normativo
La AEPD identifica varios incumplimientos clave en el borrador del Real Decreto:
A. Falta de Evaluación de Impacto en Protección de Datos (EIPD)
No se ha realizado un análisis de riesgos ni una Evaluación de Impacto en Protección de Datos (EIPD), a pesar de que el artículo 35 del RGPD lo exige para tratamientos de datos que puedan suponer un alto riesgo para los derechos de los trabajadores.
El real Decreto debe incluir esta EIPD como parte de la Memoria de Análisis de Impacto Normativo, según el artículo 2.1.g del RD 931/2022. La AEPD recomienda que sea el legislador, y no los responsables posteriores, quien realice esta evaluación para previo al tratamiento.
B. Incompleta determinación de los tratamientos de datos
La norma no especifica con claridad:
Qué datos personales se recogerán (ej.: identificación del trabajador, horarios, horas extras, etc.). El artículo 3 solo establece un «contenido mínimo», pero deja cabos sueltos que podrían dar lugar a tratamientos excesivos o innecesarios.
Cuál será el plazo de conservación de los registros (el ET establece 4 años, pero no se regula si se pueden destruir antes o si deben eliminarse al finalizar la relación laboral).
Quiénes podrán acceder a los datos: El artículo 6.2 menciona a los representantes de los trabajadores, pero no especifica si podrán hacerlo fuera del centro de trabajo (importante en el contexto de teletrabajo).
Medidas técnicas y organizativas para garantizar la seguridad de los datos (ej.: seudonimización, cifrado, acceso restringido).
C. Riesgos derivados delRegistro Digital Obligatorio
El artículo 2 impone el registro digital como única modalidad, sin justificación suficiente:
No se ha evaluado qué riesgos existen en un sistema digital (ej.: accesos no autorizados, filtraciones).
No se contemplan alternativas más proporcionales (ej.: registros en papel para pequeños negocios con bajo riesgo).
El artículo 4 prohíbe que el registro esté en zonas de acceso público, pero no precisa cómo garantizar la seguridad en entornos telemáticos (ej.: plataformas de teletrabajo).
D. Omisión de garantías esenciales
El proyecto no regula:
Quién será el responsable del tratamiento (empresa, responsable de RRHH, delegado de protección de datos).
Medidas para evitar el acceso indebido o la fuga de datos.
Procedimientos de transparencia e información a los trabajadores sobre cómo se usan sus datos.
Sanciones por incumplimiento (ej.: multas en caso de filtración).
Riesgos derivados del incumplimiento
Si se aprueba el Decreto sin subsanar estas deficiencias, podrían darse:
Tratamientos de datos sin base legal suficiente (violación del artículo 6 RGPD).
Incumplimiento del principio de minimización (se recolectarían más datos de los necesarios).
Riesgos de ciberseguridad y accesos no autorizados (no hay garantías técnicas definidas).
Posibles sanciones por la AEPD al considerar que el tratamiento es ilegal, lo que expondría a las empresas a multas de hasta 20 millones de euros o el 4% de su facturación global (según el artículo 83 RGPD).
Recomendaciones de la AEPD
Para que el Real Decreto sea conforme al RGPD y la doctrina constitucional:
Incluir un análisis de riesgos y una EIPD en la Memoria de Impacto Normativo, siguiendo la Guía de la AEPD sobre evaluaciones de impacto.
Especificar con precisión:
Los datos personales mínimos que se recogerán.
Los plazos de conservación y condiciones de destrucción.
Las medidas de seguridad técnicas y organizativas (ej.: cifrado, acceso con doble autenticación).
Las garantías de transparencia e información a los trabajadores.
Justificar la obligatoriedad del registro digital y evaluar alternativas menos invasivas.
Regular quiénes podrán acceder a los datos y en qué circunstancias, especialmente en entornos de teletrabajo.
Conclusión final
La AEPD rechaza el proyecto en su forma actual, ya que no garantiza el derecho a la protección de datos de los trabajadores. El borrador del Real Decreto debe reelaborarse para incluir:
✅ Una EIPD previa.
✅ Definición clara de tratamientos, datos y medidas de seguridad.
✅ Justificación de la obligatoriedad del registro digital.
De lo contrario, la norma podría ser impugnada por vulnerar el derecho fundamental a la protección de datos y el principio de reserva de ley, pudiendo ser objeto de recursos de inconstitucionalidad o sanciones por parte de la AEPD.
Resumen en cifras clave
Falta: Evaluación de Impacto en Protección de Datos (EIPD) y análisis de riesgos (art. 24 y 35 RGPD).
Riesgo: Multas de hasta 20 millones de euros o el 4% de facturación global (art. 83 RGPD).
Principios incumplidos: Reserva de ley (art. 53.1 CE), proporcionalidad (RGPD) y protección de datos desde el diseño (art. 25 RGPD).
Datos sensibles: Excluidos (aunque no están previstos en el registro, debe asegurarse su no recolección).
Fuente: Informe jurídico AEPD (Ref. 2025-0075) sobre el Real Decreto de registro de jornada laboral.