FicharNet - Control de horarios
Inicio Blog Brechas de datos en sistemas de fichaje: cuándo hay que notificar y cómo reaccionar
Blog FicharNet
Protección de datos
Tipo: Normativa Lectura: 2 min de lectura Revisado: 16 de marzo de 2026

Brechas de datos en sistemas de fichaje: cuándo hay que notificar y cómo reaccionar

Publicado el 27 de febrero de 2026

Si un sistema de fichaje expone horarios, credenciales, ubicaciones o datos de empleados, la organización debe valorar el riesgo, documentar la brecha y notificarla a la AEPD cuando proceda.

Volver al blog Probar FicharNet

Qué considera la AEPD una brecha de datos

La AEPD explica en su página oficial que una brecha de datos personales es un incidente de seguridad que ocasiona la destrucción, pérdida, alteración o acceso no autorizado a datos personales tratados por un responsable. Esto puede afectar también a sistemas de fichaje si se exponen horarios, identificadores, ubicaciones, credenciales o información de empleados.

La Agencia recuerda que el artículo 33 del RGPD obliga a notificar la brecha a la autoridad de control cuando sea probable que constituya un riesgo para los derechos y libertades de las personas. El plazo general es de setenta y dos horas desde que la organización tiene constancia de la brecha. Si el riesgo es alto, además, habrá que comunicarla a las personas afectadas conforme al artículo 34 del RGPD.

Qué hacer aunque no haya notificación

La propia AEPD añade una idea clave: incluso cuando la organización concluya que no existe riesgo y que la brecha no debe notificarse, sigue teniendo la obligación de documentarla, junto con los hechos relacionados, sus efectos y las medidas correctivas adoptadas. Esa documentación permite a la autoridad verificar el cumplimiento posterior.

Cómo aterrizarlo en un sistema de control horario

  • Detectar rápidamente accesos indebidos, pérdidas de exportaciones o errores de configuración.
  • Determinar qué categorías de datos se han visto afectadas y a cuántas personas alcanza el incidente.
  • Valorar el riesgo real para las personas afectadas, no solo el impacto reputacional para la empresa.
  • Dejar constancia documental de la gestión y de las medidas aplicadas.

En incidentes de gran impacto, la AEPD también recuerda que puede ser recomendable contactar con la autoridad tan pronto como haya evidencias de irregularidad, incluso antes de completar todos los detalles. Esa aproximación temprana suele ser más diligente que esperar sin actuar.

FicharNet encaja mejor en entornos donde estas obligaciones se tienen en cuenta desde el diseño, con control de accesos, trazabilidad y procedimientos claros de respuesta.

Seguir leyendo el blog Solicitar demo

Artículos relacionados

Una selección automática de lecturas cercanas a este tema.

Registro horario y protección de datos: minimización, accesos y conservación
Publicado: 01/03/2026 Lectura: 2 min de lectura

Registro horario y protección de datos: minimización, accesos y conservación

El registro horario es obligatorio, pero eso no permite tratar datos sin límites. La AEPD recuerda que debe usarse el sistema menos invasivo posible y que los datos no pueden reutilizarse para otras finalidades.

Abrir artículo
Fichaje biométrico: qué cautelas marca la AEPD antes de implantar huella o reconocimiento facial
Publicado: 28/02/2026 Lectura: 2 min de lectura

Fichaje biométrico: qué cautelas marca la AEPD antes de implantar huella o reconocimiento facial

La biometría para control de presencia no es una decisión técnica neutra. La AEPD advierte de que supone tratar categorías especiales de datos y exige un análisis estricto de idoneidad, necesidad y proporcionalidad.

Abrir artículo
Geolocalización para fichar: cuándo encaja y qué cautelas exige la AEPD
Publicado: 10/03/2026 Lectura: 2 min de lectura

Geolocalización para fichar: cuándo encaja y qué cautelas exige la AEPD

La geolocalización puede utilizarse en el ámbito laboral, pero exige información previa, proporcionalidad y una finalidad acotada. La AEPD recuerda que no vale para cualquier caso.

Abrir artículo