AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

### Geolocalización de empleados: límites legales y técnicos ante el nuevo registro horario digital

admin

#### Introducción

La inminente entrada en vigor del nuevo registro horario digital en 2026 ha reactivado el debate sobre la geolocalización de empleados en España, especialmente en sectores con alta movilidad. Con la proliferación de herramientas de control de presencia y fichaje mediante dispositivos móviles, surgen dudas técnicas y legales acerca del alcance del seguimiento que puede ejercer la empresa sobre su plantilla. En este artículo se analizan las diferencias técnicas y normativas entre el seguimiento continuo y la geolocalización puntual, identificando riesgos, buenas prácticas y criterios de cumplimiento regulatorio para los responsables de seguridad y tecnología.

#### Contexto del Incidente o Vulnerabilidad

La Ley de Control Horario, reforzada por el Real Decreto-ley 8/2019 y los desarrollos previstos para 2026, obliga a las empresas a registrar la jornada laboral de sus empleados. Esta obligación ha propiciado la adopción de soluciones de fichaje basadas en aplicaciones móviles o dispositivos corporativos que, en muchos casos, recaban datos de geolocalización. Sin embargo, la geolocalización de empleados está sujeta a estrictas limitaciones derivadas de la legislación europea (GDPR) y nacional (LOPDGDD), así como de la doctrina y resoluciones de la Agencia Española de Protección de Datos (AEPD).

El debate se centra en el tipo de seguimiento que es lícito: si la empresa puede monitorizar de forma continuada la ubicación de sus empleados o debe limitarse a una geolocalización puntual, normalmente asociada al momento de fichaje o a tareas concretas.

#### Detalles Técnicos

Desde el punto de vista técnico, existen dos grandes aproximaciones a la geolocalización de empleados:

– **Geolocalización puntual**: captura de la localización en un momento específico, como el inicio y finalización de la jornada, o durante una intervención técnica. Se implementa mediante una llamada puntual a las APIs de localización del dispositivo (Android/iOS), registrando las coordenadas GPS en el backend de la aplicación.
– **Seguimiento continuo**: registro persistente y en tiempo real de la ubicación del empleado durante toda la jornada laboral o incluso fuera de ella. Técnicamente, esto implica el uso de servicios en segundo plano, transmisión periódica de coordenadas y almacenamiento masivo de datos de localización.

Los vectores de ataque asociados a estas soluciones incluyen la posible interceptación de datos en tránsito (si no se usan canales cifrados TLS 1.2+), acceso no autorizado a bases de datos de geolocalización, explotación de vulnerabilidades en APIs móviles (CVE-2022-36934, CVE-2021-23852, entre otras) y uso malicioso de frameworks de post-explotación como Metasploit o Cobalt Strike para obtener persistencia o exfiltrar datos.

En términos de TTP (Tactics, Techniques, and Procedures) según MITRE ATT&CK, el abuso de la geolocalización entra dentro de las técnicas T1005 (Data from Local System), T1071 (Application Layer Protocol), y T1557 (Man-in-the-Middle).

#### Impacto y Riesgos

El seguimiento continuo de empleados conlleva importantes riesgos legales y de seguridad:

– **Cumplimiento normativo**: el tratamiento masivo de datos de localización puede ser considerado desproporcionado según el principio de minimización de datos (GDPR, art. 5.1.c). La AEPD ha sancionado a empresas por geolocalizar empleados fuera de lo estrictamente necesario para la gestión laboral.
– **Seguridad de la información**: la acumulación de grandes volúmenes de datos de localización se convierte en un vector de riesgo ante ataques de ransomware, brechas de datos o accesos indebidos, exponiendo información sensible sobre hábitos, rutas y patrones de movilidad.
– **Privacidad**: el exceso de control puede vulnerar derechos fundamentales y generar litigios laborales, máxime si la geolocalización se extiende fuera del horario de trabajo o sin el consentimiento explícito y documentado del empleado.

Según datos de la AEPD, el 23% de las reclamaciones relacionadas con control empresarial en 2023 estuvieron vinculadas a sistemas de geolocalización.

#### Medidas de Mitigación y Recomendaciones

Los expertos en ciberseguridad y privacidad recomiendan:

– Limitar la geolocalización a momentos puntuales y estrictamente necesarios (por ejemplo, solo al fichar).
– Implementar medidas técnicas de seguridad: cifrado en tránsito y reposo, autenticación robusta, control de accesos, y monitorización de logs de acceso a datos de localización.
– Realizar un Análisis de Impacto en Protección de Datos (DPIA) antes de desplegar sistemas de geolocalización.
– Informar de manera transparente a los empleados y recabar su consentimiento explícito, en línea con el art. 13 del GDPR.
– Auditoría periódica y revisión de los permisos concedidos a aplicaciones móviles corporativas.

#### Opinión de Expertos

Consultores legales y técnicos, como los de Kronjop, advierten que la geolocalización puntual es el estándar aceptado por la AEPD y los tribunales: “El seguimiento continuo solo sería lícito en casos muy excepcionales y siempre bajo criterios de proporcionalidad, necesidad y con garantías reforzadas”, señala Pablo Fernández, DPO y miembro de ISMS Forum. Añade que “el despliegue masivo de apps de control horario exige una revisión exhaustiva tanto de la arquitectura técnica como de los procedimientos de acceso y conservación de datos”.

#### Implicaciones para Empresas y Usuarios

Para los CISOs, responsables de RRHH y administradores de sistemas, la tendencia hacia el registro horario digital implica revisar las soluciones actuales y futuras, asegurando el cumplimiento de GDPR, LOPDGDD y la inminente NIS2 para sectores críticos. Fallos en la gestión de la geolocalización pueden acarrear sanciones de hasta el 4% de la facturación anual global y pérdida de confianza por parte de empleados y clientes.

Por su parte, los empleados deben conocer sus derechos y exigir transparencia sobre qué datos se recogen, con qué fines y cómo pueden ejercer sus derechos de acceso, rectificación y oposición.

#### Conclusiones

La geolocalización de empleados en el contexto del registro horario digital debe ser puntual, justificada y proporcional. El seguimiento continuo representa un riesgo legal y técnico difícilmente justificable en la mayoría de escenarios. Las empresas deben auditar sus soluciones, reforzar la seguridad y priorizar el cumplimiento normativo, combinando eficiencia operativa con respeto a la privacidad y la protección de datos.

(Fuente: www.cybersecuritynews.es)