Registro de Control de Acceso (España)

El Registro de Control de Acceso es, en España, el documento de registro regulado por Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), que deja constancia ordenada de datos o actos.

El Artículo 89 de la LOPDGDD —«Derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo»— establece las condiciones en que el empresario puede controlar la presencia y los accesos de los trabajadores mediante sistemas técnicos. Aunque el Artículo 89 aborda principalmente la videovigilancia, la Agencia Española de Protección de Datos (AEPD) ha extendido sus principios a todas las formas de control de acceso mediante resoluciones vinculantes y su guía de control de acceso, incluyendo tarjetas RFID, lectores biométricos, torniquetes y registros electrónicos de identificación. La guía de videovigilancia de la AEPD (2021) y la guía de protección de datos en las relaciones laborales (2021) abordan los registros de control de acceso como actividades de tratamiento independientes que requieren su propia documentación en el Registro de Actividades de Tratamiento del Artículo 30 del RGPD.

La base jurídica del tratamiento de los datos de control de acceso en el ámbito laboral es el Artículo 6.1.b) del RGPD —tratamiento necesario para la ejecución del contrato de trabajo— y el Artículo 6.1.c) del RGPD —tratamiento necesario para el cumplimiento de obligaciones legales, incluidas las de seguridad en el trabajo impuestas por el Artículo 14 de la Ley 31/1995, de Prevención de Riesgos Laborales (LPRL), que obliga al empresario a garantizar la seguridad de todas las personas presentes en el centro de trabajo. Para instalaciones de seguridad estratégica —infraestructuras críticas conforme a la Ley 8/2011 de Protección de Infraestructuras Críticas— el control de acceso es una medida de seguridad obligatoria impuesta por el Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC).

El control de acceso biométrico —lectores de huella dactilar, reconocimiento facial, escáneres de retina— implica el tratamiento de datos de categoría especial conforme al Artículo 9.1 del RGPD (datos biométricos tratados con el fin de identificar de manera unívoca a personas físicas). La AEPD ha dictado varias resoluciones sancionadoras (PS/00152/2021, PS/00078/2022) contra empresas que implantaron sistemas biométricos sin consentimiento válido conforme al Artículo 9.2.a) del RGPD ni justificación de interés público sustancial conforme al Artículo 9.2.g). El control de acceso biométrico exige la realización de una Evaluación de Impacto relativa a la Protección de Datos (EIPD/DPIA) conforme al Artículo 35 del RGPD, dada su inclusión en los criterios de tratamientos de alto riesgo de la AEPD.

El Artículo 20.3 del Estatuto de los Trabajadores (ET) faculta al empresario para adoptar medidas de vigilancia y control proporcionales para verificar el cumplimiento de las obligaciones laborales, pero exige la información previa a los trabajadores y a sus representantes (comités de empresa y delegados de personal) sobre la naturaleza y el alcance de las medidas de control. El Tribunal Constitucional ha abordado la vigilancia de accesos en múltiples sentencias —STC 98/2000 y STC 186/2000— estableciendo el triple juicio de proporcionalidad: las medidas de control deben ser idóneas para el fin perseguido, necesarias por no existir medida menos invasiva, y estrictamente proporcionadas al objetivo legítimo.

El Registro de Control de Acceso, como actividad de tratamiento de datos, debe documentarse en el Registro de Actividades de Tratamiento del Artículo 30 del RGPD, especificando la finalidad, la base jurídica, las categorías de datos, el plazo de conservación, las medidas de seguridad y los encargados del tratamiento (empresas de seguridad privada o proveedores del sistema de control de acceso). Los plazos de conservación de los registros de acceso son objeto habitual de inspección por la AEPD: la Agencia considera razonable un máximo de treinta días para el control de acceso general, siendo admisible un período más largo únicamente cuando incidentes de seguridad documentados o investigaciones en curso lo justifiquen.

El Registro de Control de Acceso España es necesario cuando cualquier empresa, organismo público u organización en España implanta un sistema físico o electrónico de control y registro de accesos a sus instalaciones, áreas restringidas o sistemas de información, dado que dicho control constituye un tratamiento de datos personales sujeto a las obligaciones de la LOPDGDD y el RGPD.

El registro es necesario en centros de trabajo con instalaciones de seguridad física —lectores de tarjetas RFID, torniquetes, cerraduras electrónicas, porteros automáticos con identificación— donde se generan automáticamente registros de entradas de empleados, visitantes y contratistas. Sin un registro formal que documente el tratamiento, la organización carece de la documentación del Artículo 30 del RGPD exigida en las inspecciones de la AEPD.

El Registro de Control de Acceso es necesario en oficinas, fábricas y almacenes donde el empresario desee ejercer sus facultades de vigilancia y control del Artículo 20.3 del ET —verificar la asistencia de los trabajadores, controlar el acceso a zonas de producción restringidas o documentar el acceso a salas de servidores y centros de datos. El registro formaliza el alcance del control y acredita el cumplimiento del principio de proporcionalidad del Artículo 89 de la LOPDGDD.

El registro es obligatorio en organizaciones que tratan información clasificada, expedientes financieros o datos de salud —bancos, aseguradoras, hospitales, laboratorios farmacéuticos— donde la normativa sectorial (LSSICE, Ley 44/2003 de Ordenación de las Profesiones Sanitarias) exige controles de acceso documentados como parte de la gestión de la seguridad de la información.

Un Registro de Control de Acceso formal es imprescindible cuando se contrata a empresas de seguridad privada conforme a la Ley 5/2014 de Seguridad Privada, ya que estas empresas actúan como encargadas del tratamiento conforme al Artículo 28 del RGPD y el contrato de encargo de tratamiento debe acompañar al registro de accesos documentado.

El registro es necesario antes de implantar sistemas de control de acceso biométrico —especialmente lectores de huella dactilar o reconocimiento facial— dado que el tratamiento de datos biométricos exige el cumplimiento del Artículo 9 del RGPD, la realización de una EIPD conforme al Artículo 35 y la acreditación de consentimiento explícito o de interés público sustancial como base jurídica. La AEPD ha sancionado a varias empresas españolas por implantar control de acceso biométrico sin la documentación previa adecuada.

Las organizaciones en España deben elaborar el Registro de Control de Acceso de forma preventiva, sin esperar a que surja un conflicto o una inspección. El Estatuto de los Trabajadores (ET) RDL 2/2015 rige los contratos, despidos y condiciones laborales. La Tesorería General de la Seguridad Social (TGSS) gestiona las cotizaciones sociales. El Servicio Público de Empleo Estatal (SEPE) administra las prestaciones por desempleo. La Inspección de Trabajo y Seguridad Social vela por el cumplimiento de la normativa laboral. Los Juzgados de lo Social resuelven los conflictos laborales conforme a la Ley Reguladora de la Jurisdicción Social (Ley 36/2011).

Un Registro de Control de Acceso España válido conforme al Artículo 89 de la LOPDGDD y al Artículo 6 del RGPD debe contener los siguientes elementos esenciales para superar las inspecciones de la AEPD y acreditar la licitud del tratamiento.

Identificación del responsable del tratamiento: nombre completo, NIF/CIF, domicilio y representante legal de la organización responsable del tratamiento de los datos de control de acceso. Si una empresa de seguridad privada gestiona el sistema de control de acceso, la relación entre encargado del tratamiento y responsable conforme al Artículo 28 del RGPD debe quedar claramente definida mediante el correspondiente contrato de encargo de tratamiento.

Ámbito y finalidad del control: descripción precisa de las instalaciones, zonas o sistemas sometidos a control de acceso —entrada del edificio, sala de servidores, planta de producción, zonas de datos restringidos— y la finalidad concreta del control: seguridad en el trabajo conforme al Artículo 14 de la LPRL, protección de información confidencial, verificación de la asistencia laboral, cumplimiento de los requisitos de la Ley 8/2011 de Protección de Infraestructuras Críticas. La finalidad debe ser específica y documentada.

Base jurídica del tratamiento: el fundamento aplicable del Artículo 6.1 del RGPD —ejecución del contrato de trabajo (6.1.b), cumplimiento de una obligación legal (6.1.c) o interés legítimo (6.1.f). Para los datos biométricos, debe documentarse además el fundamento del Artículo 9.2 del RGPD. Cuando la base sea el interés legítimo, se requiere un test de proporcionalidad documentado conforme al Artículo 89.1 de la LOPDGDD.

Categorías de interesados y datos tratados: relación completa de los colectivos controlados —empleados, contratistas externos, visitantes, repartidores— y los datos recogidos: nombre, documento de identidad, número de tarjeta de acceso, marca temporal, zona accedida, duración de la presencia e identificadores biométricos en su caso. El nivel de detalle recogido debe ser proporcional al objetivo de seguridad perseguido.

Plazo de conservación: período máximo de conservación de los registros de acceso —habitualmente treinta días para el control de acceso ordinario conforme a las directrices de la AEPD, ampliable cuando exista una investigación activa de incidentes de seguridad o compromisos contractuales con clientes (por ejemplo, auditorías ISO 27001) que requieran una conservación más prolongada. El plazo debe documentarse e implementarse técnicamente mediante supresión o anonimización automática.

Información a trabajadores y representantes: acreditación de que los trabajadores y sus representantes (comités de empresa y delegados de personal conforme a los artículos 61 a 68 del ET) han sido informados con carácter previo sobre el sistema de control de acceso, conforme al Artículo 89.1 de la LOPDGDD y al Artículo 13 del RGPD. El aviso de información previa debe indicar la finalidad, la base jurídica, las categorías de datos, el plazo de conservación y los derechos de los interesados.

Medidas de seguridad: medidas técnicas y organizativas para proteger los datos de control de acceso —almacenamiento cifrado, controles de acceso que limiten las consultas a los registros, trazabilidad de los accesos a los propios registros, procedimientos de notificación de brechas de seguridad conforme al Artículo 33 del RGPD. Para los sistemas biométricos, se añaden medidas adicionales: protección de plantillas biométricas, detección de ataques de presentación (liveness detection) y alternativas de autenticación para los interesados que retiren el consentimiento.

forms-legal.com ofrece esta plantilla de Registro de Control de Acceso España como herramienta práctica de cumplimiento para las empresas españolas con sistemas de seguridad en el lugar de trabajo. Dado el activo papel sancionador de la AEPD en este ámbito —con multas medias de entre 50.000 € y 150.000 € por infracciones de la LOPDGDD en materia de control de acceso—, se recomienda encarecidamente consultar a un abogado especialista en protección de datos o a un Delegado de Protección de Datos (DPD) certificado antes de implantar sistemas biométricos o de control de acceso de amplio alcance.

Referencias normativas clave: LOPDGDD art. 89 —vigilancia en el lugar de trabajo. RGPD arts. 6, 9, 13, 28, 30, 35 —base jurídica, datos especiales, transparencia, encargados, registro, EIPD. ET art. 20.3 —facultades de control empresarial. LPRL art. 14 —seguridad en el trabajo. Ley 5/2014 —empresas de seguridad privada. STC 98/2000 y 186/2000 —doctrina de proporcionalidad.