Access Control Register Spain (Registro de Control de Acceso)
REGISTRO DE CONTROL DE ACCESO
Access Control Register — LOPDGDD Article 89 / RGPD Article 6
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales
I. ORGANISATION AND CONTROLLER DETAILS
Organisation: [Organisation Name]
NIF/CIF: [Organisation NIF]
Premises address: [Organisation Address]
Responsible person: [Security Manager]
Data Protection Officer: [DPO Contact]
II. ACCESS CONTROL SYSTEM
System type: [System Type]
Areas subject to access control: [Controlled Areas]
System provider / processor: [Access System Provider]
III. DATA PROCESSING — LEGAL BASIS AND DATA CATEGORIES
Legal basis: [Legal Basis Access]
Data subjects monitored: [Data Subjects Monitored]
Data categories collected: [Data Collected]
Biometric data processed (RGPD art. 9): [Biometric Data Processed]
DPIA/EIPD status: [DPIA Completed]
IV. RETENTION PERIODS AND SECURITY MEASURES
Retention period: [Retention Period]
Deletion procedure: [Deletion Procedure]
Security measures: [Security Measures]
V. EMPLOYEE INFORMATION AND RIGHTS (LOPDGDD ART. 89.1)
Prior information provided: [Information Provided]
Works council consulted: [Works Council Consulted]
Version: [Register Version]
In [Register City], on [Register Date].
[Organisation Name]
[Security Manager]
Signature: _________________________
Security Manager / Data Controller Representative
________________
Signature
What Is a Access Control Register Spain (Registro de Control de Acceso)?
An Access Control Register Spain (Registro de Control de Acceso) is a formal record-keeping instrument governing the monitoring and logging of physical and logical access to company premises, restricted areas, and information systems in Spanish workplaces, operating under the dual framework of Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) Article 89, and Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (RGPD) Article 6. The register records who accesses controlled locations or systems, when access occurred, the duration of presence, and the authorisation basis — whether employee, contractor, visitor, or service provider.
LOPDGDD Article 89 — «Derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo» — establishes the conditions under which employers may monitor employee presence and access through technical systems. Although Article 89 primarily addresses video surveillance, the Agencia Española de Protección de Datos (AEPD) has consistently extended its principles to all forms of access monitoring through binding resolutions and its guía de control de acceso — including RFID access cards, biometric readers, turnstile systems, and electronic badge logs. The AEPD's guía de videovigilancia (2021) and guía de protección de datos en las relaciones laborales (2021) both address access control registers as independent processing activities requiring separate RGPD Article 30 documentation.
The legal basis for processing access control data in the employment context is RGPD Article 6.1(b) — processing necessary for the performance of the employment contract — and RGPD Article 6.1(c) — processing necessary for compliance with legal obligations including workplace security requirements under Ley 31/1995, de Prevención de Riesgos Laborales (LPRL) Article 14, which imposes on employers the duty to guarantee the safety of all persons on company premises. For security-sensitive installations — críticas under Ley 8/2011 de Protección de Infraestructuras Críticas — access control is a mandatory security measure imposed by the Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC).
Biometric access control — fingerprint readers, facial recognition, retinal scanners — involves special category data under RGPD Article 9.1 (biometric data processed for the purpose of uniquely identifying a natural person). The AEPD has issued multiple resolutions (PS/00152/2021, PS/00078/2022) sanctioning employers who deployed biometric access control without valid consent under RGPD Article 9.2(a) or demonstrating substantial public interest under Article 9.2(g). Biometric access control requires a Data Protection Impact Assessment (DPIA/EIPD) under RGPD Article 35, given the AEPD's criteria for high-risk processing activities.
The Estatuto de los Trabajadores (ET) Article 20.3 grants employers the right to adopt surveillance measures proportionate to the control of employees' work activity, but requires that workers and their representatives (comités de empresa, delegados de personal) be previously informed about the nature and extent of monitoring measures. The Tribunal Constitucional has addressed access monitoring in multiple judgments — STC 98/2000 and STC 186/2000 — establishing the proportionality test: monitoring measures must be appropriate (idónea), necessary (necesaria), and strictly proportionate (proporcional en sentido estricto) to the legitimate aim pursued.
The access control register as a data processing activity must be documented in the Registro de Actividades de Tratamiento under RGPD Article 30, specifying the purpose, legal basis, data categories, retention period, security measures, and any data processors (e.g., external security companies or access control system providers). Retention periods for access control logs are a frequent subject of AEPD inspection — the AEPD considers 30 days a reasonable maximum for general access control logs, with longer periods permissible only when documented security incidents or ongoing investigations justify extended retention.
When Do You Need a Access Control Register Spain (Registro de Control de Acceso)?
An Access Control Register Spain is needed when any company, public body, or organisation in Spain implements a physical or electronic system for monitoring and recording access to its premises, restricted areas, or information systems — given that such monitoring constitutes personal data processing subject to LOPDGDD and RGPD obligations.
The register is needed in workplaces with physical security installations — RFID card readers, turnstiles, electronic locks, intercom systems with identification — where employee, visitor, and contractor entry logs are generated automatically. Without a formal register governing the processing, the organisation lacks the RGPD Article 30 documentation required during AEPD inspections.
Access control registration is needed in offices, factories, and warehouses where the employer wishes to exercise its ET Article 20.3 monitoring rights — verifying employee attendance, controlling entry to restricted production areas, or documenting access to server rooms and data centres. The register formalises the monitoring scope and confirms the proportionality requirements of LOPDGDD Article 89 are met.
The register is required in organisations handling classified information, financial records, or health data — banks, insurance companies, hospitals, pharmaceutical manufacturers — where sector-specific regulations (LSSICE, Ley 44/2003 de Ordenación de Profesiones Sanitarias) mandate documented access controls as part of information security management.
A formal access control register is essential when engaging external security companies (empresas de seguridad privada) under Ley 5/2014 de Seguridad Privada, as these companies act as data processors under RGPD Article 28 and a Data Processing Agreement (contrato de encargo de tratamiento) must accompany the documented access register.
The register is required before deploying biometric access control systems — particularly fingerprint or facial recognition readers — given that biometric data processing requires RGPD Article 9 compliance, a DPIA under Article 35, and explicit consent or a substantial public interest legal basis. The AEPD has sanctioned multiple Spanish employers for biometric access control without adequate prior documentation.
Parties in Spain should prepare a Access Control Register Spain (Registro de Control de Acceso) proactively rather than waiting for a dispute to arise. Courts interpret agreements based on the written terms rather than oral representations. Under the Estatuto de los Trabajadores (ET) RDL 2/2015, Spanish employment law governs contracts, dismissals, and working conditions. The Tesorería General de la Seguridad Social (TGSS) administers social security contributions. The Servicio Público de Empleo Estatal (SEPE) manages unemployment benefits. The Inspección de Trabajo y Seguridad Social enforces labour compliance. The Juzgados de lo Social hear employment disputes under the Ley Reguladora de la Jurisdicción Social (Ley 36/2011). Where the transaction involves regulated activities, prior approval from the relevant authority may be required before execution.
What to Include in Your Access Control Register Spain (Registro de Control de Acceso)
A valid Access Control Register Spain under LOPDGDD Article 89 and RGPD Article 6 must contain the following essential elements to satisfy AEPD inspection requirements and demonstrate lawful processing.
Identification of the Data Controller: Full name, NIF/CIF, address, and legal representative of the organisation responsible for the access control processing. If an external security company operates the access control system, the RGPD Article 28 relationship — data processor vs. data controller — must be clearly defined, with a Data Processing Agreement (DPA/contrato de encargo de tratamiento) in place.
Scope and Purpose of Monitoring: A clear description of which premises, areas, or systems are subject to access control — building entrance, server room, production floor, restricted data zones — and the specific purpose of monitoring: safety under LPRL Article 14, security of confidential information, verification of attendance, compliance with Ley 8/2011 critical infrastructure requirements. The purpose must be specific and documented.
Legal Basis for Processing: The applicable RGPD Article 6.1 ground — performance of the employment contract (6.1.b), legal obligation (6.1.c), or legitimate interests (6.1.f). For biometric data, the additional RGPD Article 9.2 ground must be documented. Where legitimate interests form the basis, a documented balancing test (test de proporcionalidad) is required under LOPDGDD Article 89.1.
Categories of Data Subjects and Data Processed: A complete list of who is monitored — employees, external contractors, visitors, delivery personnel — and what data is collected: name, identity document, access card number, timestamp, location accessed, duration, and any biometric identifiers. The level of detail collected must be proportionate to the security objective.
Retention Period: The defined maximum period for which access logs are retained — typically 30 days for routine access control per AEPD guidance, extendable when a security incident investigation is active or contractual obligations with clients (e.g., ISO 27001 audit requirements) require longer retention. The retention period must be documented and technically enforced through automatic deletion.
Information to Workers and Representatives: Evidence that employees and their representatives (comités de empresa, delegados de personal under ET Articles 61–68) have been informed of the access control monitoring in advance, as required by LOPDGDD Article 89.1 and RGPD Article 13. The prior information notice must state the purpose, legal basis, data categories, retention period, and data subject rights.
Security Measures: Technical and organisational measures protecting access control data — encrypted storage, access controls limiting who can query the logs, audit trails for log access, procedures for data breach notification under RGPD Article 33. For biometric systems, additional measures include template protection, liveness detection, and alternative authentication options for data subjects who withdraw consent.
forms-legal.com provides this Access Control Register Spain template as a practical compliance tool for Spanish employers managing workplace security systems. Given AEPD's active enforcement in this area — with sanctions averaging €50,000–€150,000 for LOPDGDD violations in access monitoring — consulting a qualified abogado especialista en protección de datos or a certified DPO is strongly recommended before deploying biometric or extensive access control systems.
Key Spanish statutory references: LOPDGDD art. 89 — workplace monitoring. RGPD arts. 6, 9, 13, 28, 30, 35 — legal basis, special data, transparency, processors, register, DPIA. ET art. 20.3 — employer monitoring rights. LPRL art. 14 — workplace safety. Ley 5/2014 — private security companies. STC 98/2000 and 186/2000 — proportionality doctrine.
Additional compliance elements for a Access Control Register Spain (Registro de Control de Acceso) used in Spain include: Under the Estatuto de los Trabajadores (ET) RDL 2/2015, Spanish employment law governs contracts, dismissals, and working conditions. The Tesorería General de la Seguridad Social (TGSS) administers social security contributions. The Servicio Público de Empleo Estatal (SEPE) manages unemployment benefits. The Inspección de Trabajo y Seguridad Social enforces labour compliance. The Juzgados de lo Social hear employment disputes under the Ley Reguladora de la Jurisdicción Social (Ley 36/2011). Forms-legal.com provides this template as a starting point for Spain-compliant documentation.
Cite this page
Reference this free template in an article, syllabus, or research note:
Forms Legal. (2026). Access Control Register Spain (Registro de Control de Acceso) (Spain) [Legal document template]. Forms Legal. https://forms-legal.com/espana/employment/hr-forms/access-control-register-spain
"Access Control Register Spain (Registro de Control de Acceso) (Spain)." Forms Legal, 2026, https://forms-legal.com/espana/employment/hr-forms/access-control-register-spain.
@misc{formslegal-access-control-register-spain,
author = {{Forms Legal}},
title = {Access Control Register Spain (Registro de Control de Acceso) (Spain)},
year = {2026},
howpublished = {\url{https://forms-legal.com/espana/employment/hr-forms/access-control-register-spain}},
note = {Free legal document template}
}Frequently Asked Questions
Los empleadores españoles solo pueden recoger datos personales a través de los sistemas de control de acceso en la medida estrictamente proporcional al objetivo legítimo de seguridad perseguido. Conforme al artículo 89 de la LOPDGDD y al artículo 5.1.c) del RGPD (principio de minimización de datos), los datos habitualmente admisibles son: la identidad del accedente (nombre, número de empleado o número de tarjeta de acceso), la zona concreta accedida (entrada del edificio, planta, zona restringida), la fecha y hora de entrada y salida, y si el acceso fue autorizado o denegado. La recogida de datos más granulares —seguimiento de movimientos exactos dentro de las instalaciones, registro de duraciones de descansos, monitorización de la frecuencia de visitas al baño— requiere una justificación más sólida y es más probable que la AEPD la considere desproporcionada. Los datos biométricos (huellas dactilares, geometría facial) constituyen datos de categoría especial conforme al artículo 9 del RGPD y exigen consentimiento explícito o base jurídica de interés público sustancial, además de una EIPD. La guía de protección de datos en las relaciones laborales de la AEPD (2021) proporciona orientaciones detalladas sobre el alcance admisible del control de acceso para cada sector.
La Evaluación de Impacto relativa a la Protección de Datos (EIPD/DPIA) conforme al artículo 35 del RGPD es obligatoria cuando el tratamiento de control de acceso pueda suponer un alto riesgo para los derechos y libertades de las personas físicas. La lista de tipos de tratamientos que requieren EIPD de la AEPD identifica los siguientes supuestos de control de acceso como exigentes de EIPD: (1) sistemas biométricos de control de acceso —lectores de huella dactilar, reconocimiento facial o escáneres de retina— por implicar datos de categoría especial del artículo 9.1 del RGPD; (2) control sistemático de los desplazamientos de los trabajadores dentro del centro de trabajo mediante puntos de acceso interconectados; (3) control de acceso combinado con videovigilancia que genere un perfil conductual completo de los trabajadores. La EIPD no es necesariamente obligatoria para sistemas simples de fichaje en una única entrada del edificio, siempre que el tratamiento sea de alcance limitado, el plazo de conservación sea corto (treinta días o menos) y los datos no se combinen con otros conjuntos de datos. Antes de implantar cualquier nuevo sistema de control de acceso, la organización debe realizar una valoración preliminar conforme a los criterios de EIPD de la AEPD para determinar si resulta exigible una evaluación completa.
Sí. La información previa a los trabajadores es un requisito obligatorio conforme al artículo 89.1 de la LOPDGDD y al artículo 13 del RGPD antes de poner en funcionamiento cualquier sistema de control de acceso. La información previa debe incluir: la identidad y los datos de contacto del responsable del tratamiento; las finalidades concretas del control de acceso; la base jurídica del tratamiento; las categorías de datos recogidos; el plazo de conservación; los datos identificativos de los encargados del tratamiento (empresa de seguridad privada en su caso); los derechos de los interesados (acceso, rectificación, supresión, oposición, limitación y portabilidad conforme a los artículos 15 a 22 del RGPD); y el derecho a presentar reclamación ante la AEPD. La AEPD exige que los representantes de los trabajadores (comités de empresa y delegados de personal conforme a los artículos 61 a 68 del ET) sean informados con carácter previo, y que los trabajadores individualmente considerados reciban notificación escrita antes de que el sistema entre en funcionamiento. La información puede canalizarse a través de las políticas internas de la empresa, el manual del empleado o un aviso específico de vigilancia. La falta de información previa es una de las infracciones más frecuentemente detectadas en las inspecciones de la AEPD sobre vigilancia en el lugar de trabajo.
Sí, pero únicamente bajo condiciones estrictas. El control de acceso biométrico implica el tratamiento de datos de categoría especial conforme al artículo 9.1 del RGPD (datos biométricos tratados con el fin de identificar de manera unívoca a personas físicas), lo que activa los requisitos adicionales de base jurídica del artículo 9.2. En el ámbito laboral, la AEPD ha aceptado dos bases jurídicas principales: (1) el consentimiento explícito de cada trabajador conforme al artículo 9.2.a) del RGPD —aunque el consentimiento en la relación laboral rara vez se considera libremente prestado dada la asimetría de poder existente, lo que hace esta base jurídica frágil; y (2) el interés público esencial conforme al artículo 9.2.g) del RGPD, vinculado a obligaciones legales sectoriales (por ejemplo, acceso a infraestructuras críticas conforme a la Ley 8/2011). Además, el empleador debe: realizar una EIPD obligatoria conforme al artículo 35 del RGPD; ofrecer una alternativa de autenticación no biométrica a los trabajadores que no consientan; implementar medidas técnicas apropiadas para proteger las plantillas biométricas (protección de plantillas, almacenamiento no reversible); y documentar todo ello en el Registro de Actividades de Tratamiento. La AEPD ha impuesto sanciones relevantes (PS/00152/2021 —20.000 €; PS/00078/2022 —50.000 €) contra empresas que implantaron lectores de huella dactilar sin cumplir estos requisitos.
La posición de la AEPD sobre los plazos de conservación de los registros de control de acceso es que la conservación debe limitarse a lo necesario para la finalidad declarada conforme al principio de limitación del plazo de conservación del artículo 5.1.e) del RGPD. Para el control general de seguridad y asistencia en el trabajo, la AEPD considera razonable un máximo de treinta días —suficiente para investigar los incidentes que puedan comunicarse en ese período. Un plazo más largo puede estar justificado en circunstancias específicas: (1) investigación activa de un incidente de seguridad —los registros pueden conservarse durante la investigación y los procedimientos judiciales o disciplinarios posteriores; (2) compromisos contractuales con clientes (auditorías ISO 27001, requisitos de secreto bancario) que especifiquen plazos de conservación más largos; (3) obligaciones legales derivadas de normativa sectorial (Ley 8/2011 de Protección de Infraestructuras Críticas —seis meses es un plazo habitual para los registros de acceso a zonas críticas). El plazo de conservación debe documentarse en el registro de control de acceso e implementarse técnicamente mediante procedimientos de supresión o anonimización automática, de modo que los registros no se conserven más allá del período definido sin una justificación activa. La conservación indefinida o más allá del período justificado es una de las infracciones de la LOPDGDD más frecuentemente detectadas en las inspecciones laborales de la AEPD.
La Agencia Española de Protección de Datos (AEPD) mantiene una activa labor inspectora y sancionadora en materia de vigilancia laboral y control de acceso, con sanciones graduadas en función de la gravedad de la infracción conforme a los artículos 71 a 76 de la LOPDGDD y al artículo 83 del RGPD. Las infracciones se clasifican en tres niveles: (1) infracciones leves —incumplimiento de la obligación de designar Delegado de Protección de Datos cuando sea preceptivo, falta de respuesta a ejercicios de derechos en plazo— con apercibimiento o multa de hasta 40.000 €; (2) infracciones graves —tratamiento sin base jurídica, ausencia de medidas de seguridad adecuadas, falta de contrato de encargo de tratamiento con los encargados, implantación de sistemas biométricos sin consentimiento— con multas de 40.001 € a 300.000 €; (3) infracciones muy graves —transferencias internacionales sin garantías adecuadas, tratamiento de datos de categoría especial sin base jurídica del artículo 9 del RGPD, infracciones sistemáticas— con multas de hasta 20.000.000 € o el 4 % del volumen de negocio anual global, la cuantía que resulte mayor. En materia de control de acceso específicamente: la PS/00152/2021 impuso 20.000 € por lectores biométricos de huella dactilar sin consentimiento; la PS/00078/2022 impuso 50.000 € por la misma causa. Las medidas adicionales incluyen órdenes de cese del tratamiento y la obligación de realizar una EIPD. Para grandes organizaciones que traten datos biométricos de miles de trabajadores, el umbral porcentual (4 % del volumen de negocio global) puede generar sanciones de importe muy elevado.
This template is provided for informational purposes only and does not constitute legal advice. Laws vary by jurisdiction and change over time. Consult a qualified attorney for advice specific to your situation.Full disclaimer
Found an error? Let us knowRelated Documents
You may also find these documents useful:
Protocolo de Uso de Dispositivos Digitales España
Protocolo de Uso de Dispositivos Digitales para España — conforme al artículo 87 de la Ley Orgánica 3/2018 (LOPDGDD), que establece las normas del empleador sobre el uso aceptable de ordenadores corporativos, teléfonos móviles, tabletas y acceso a internet, junto con los procedimientos de supervisión de empleados compatibles con la normativa española de protección de datos y derecho laboral.
Registro de Actividades de Tratamiento — España
Registro de Actividades de Tratamiento (RAT) para España, regulado por el artículo 30 del Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018 (LOPDGDD), que documenta todas las operaciones de tratamiento de datos personales realizadas por una organización como responsable o encargado del tratamiento, con el contenido obligatorio especificado por la Agencia Española de Protección de Datos.
Protocolo del Canal Interno de Información (Canal de Denuncias)
Protocolo del Canal Interno de Información para España — conforme a la Ley 2/2023, de 20 de febrero, artículo 5, que establece un sistema interno de información para infracciones del derecho de la UE y del ordenamiento nacional, protegiendo a los informantes frente a represalias y garantizando el tratamiento confidencial de los comunicados a través del responsable del sistema.
Protocolo de Igualdad Retributiva España
Protocolo de Igualdad Retributiva para España — conforme al Real Decreto 902/2020, de 13 de octubre, artículo 3, que establece procedimientos de auditoría salarial transparentes, criterios de valoración de puestos de trabajo y medidas correctoras de la brecha retributiva para alcanzar la igualdad de remuneración por trabajos de igual valor.
Contrato de Trabajo Indefinido España
Contrato de Trabajo Indefinido para España — conforme al Estatuto de los Trabajadores (RDL 2/2015), artículos 15 y 49, estableciendo una relación laboral por tiempo indefinido con alta en la Tesorería General de la Seguridad Social (TGSS).