Cumplimiento legal

Listo para el registro horario digital de 2026.

Cómo Signa cumple cada punto que va a exigir el nuevo Real Decreto de registro horario digital, junto con el RGPD y la doctrina de la AEPD. Sin promesas vacías: lo que está implementado lo marcamos verde, lo que viene amarillo.

Norma baseRD-Ley 8/2019 art. 34.9 Estatuto Trabajadores

Norma que vieneRD registro horario digital 2026 (en tramitación)

Protección de datosRGPD + LOPDGDD 3/2018 + guía AEPD

SancionesLISOS art. 7.5 — grave, hasta 7.500 € por centro

Los seis requisitos clave

01 Activo

Inalterabilidad y trazabilidad

Toda modificación de un fichaje queda registrada con identidad, hora, IP, motivo y valores antes/después.

Trigger de base de datos sobre time_entries: cuando un admin edita un fichaje (con motivo obligatorio), se inserta automáticamente una entrada en audit_log con los valores previos y posteriores, la IP del cliente, el user-agent y el momento exacto. No es posible modificar el log a posteriori desde la aplicación.

02 Activo

Conservación 4 años

Los registros horarios se conservan 4 años desde su generación, como exige el Estatuto de los Trabajadores.

Job mensual programado en la base de datos (pg_cron) que purga fichajes con clock_in anterior a hace 4 años + 1 mes de margen. Documentos contables se conservan 6 años (Código de Comercio). El audit log no se purga: se conserva como prueba forense.

03 Activo

Acceso del trabajador

Cada empleado puede consultar todos sus fichajes y descargar su histórico en cualquier momento.

Portal del empleado en /mi-portal muestra los últimos 30 fichajes con indicador de edición administrativa. El empleado puede descargar un CSV completo de su historial con su nombre, empresa y SHA-256 de los datos.

04Parcial

Acceso remoto para Inspección de Trabajo

Arquitectura preparada para responder a la ITSS en cuanto se publique el estándar técnico oficial.

El audit log está estructurado para responder consultas por organización, periodo y empleado. Cuando la Inspección publique el formato API definitivo (presumiblemente Q4 2026 / Q1 2027), se expondrá un endpoint /api/itss/records con autenticación específica. Exportación PDF + CSV ya disponible.

05 Activo

Eventos por minuto

Entrada, salida y pausas se registran con timestamp exacto al segundo y modalidad de trabajo.

Tabla time_entries con clock_in/clock_out + tabla time_entry_pauses con start/end de cada pausa. Cada fichaje guarda la modalidad (presencial, teletrabajo, desplazamiento) y opcionalmente el centro de trabajo. El total de minutos trabajados se calcula automáticamente sumando pausas cerradas.

06 Activo

Seguridad técnica

TLS 1.3 en tránsito, AES-256 en reposo, hosting en la UE, RLS por organización.

Base de datos PostgreSQL gestionada por Supabase, alojada en la región eu-west-1 (Irlanda). Cada tabla tiene Row-Level Security: los empleados solo ven sus propios datos, los admins solo los de su organización. Backups diarios. Sin transferencias de datos fuera del Espacio Económico Europeo.

Tu rol y el nuestro (art. 28 RGPD)

Tu empresa es Responsable del Tratamiento de los datos de tu plantilla. Signa es Encargada del Tratamiento: procesamos esos datos exclusivamente conforme a tus instrucciones. El contrato de encargo (DPA) se acepta en el alta y queda registrado con tu versión y fecha. Puedes consultarlo cuando quieras en /legal/encargado-tratamiento.

Subencargados que utilizamos

La lista vigente. Si añadimos o sustituimos uno, te avisaremos con antelación razonable para que puedas oponerte.

Supabase

Base de datos y autenticación

UE (Frankfurt)Ver DPA

Vercel

Alojamiento del sitio y aplicación

UEVer DPA

Stripe Payments Europe Ltd.

Procesamiento de pagos

Irlanda (UE)Ver DPA

Lo que NO hacemos (y por qué)

Biometría (huella, facial). La AEPD la considera un tratamiento de alto riesgo en el contexto laboral porque hay desequilibrio entre empresa y trabajador, así que el consentimiento no levanta la prohibición. Alternativas menos invasivas (PIN, QR, tarjeta NFC) cumplen la finalidad.
Vigilancia continua por GPS. Solo capturamos ubicación al fichar, no entre fichajes. El admin puede activar el GPS opcionalmente y el empleado siempre puede rechazarlo. Antes del primer fichaje informamos al empleado por escrito de qué, cuándo y por qué (RGPD art. 13 + LOPDGDD art. 90), y la decisión queda guardada y es reversible desde su cuenta en cualquier momento.
Transferencias fuera del EEE. Todos los datos viven en servidores de la UE. Si en el futuro algún subencargado necesitara procesar fuera del EEE, lo anunciaríamos con antelación y aplicaríamos las cláusulas contractuales tipo de la Decisión 2021/914.

Régimen sancionador

La Inspección de Trabajo levantó 1.869 actas por registro horario en 2024 (+90,7 % vs 2019), con 20,19 M€ en sanciones. El régimen actual (LISOS art. 7.5) es infracción grave de 750 € a 7.500 € por centro de trabajo afectado. Para una pyme de 20 empleados, el riesgo real está en decenas de miles de euros si no llevas el registro digital bien.

Audit log inmutable con before/after
Exportación PDF + CSV firmada SHA-256
Retención 4 años automática
Acceso del trabajador a su histórico
Datos alojados en la UE (Frankfurt)
DPA aceptado y versionado en el alta

Empezar prueba gratuita

Aviso: Esta página describe nuestras prácticas técnicas y organizativas a la fecha de la última actualización. No constituye asesoramiento jurídico ni sustituye una validación por un abogado colegiado especializado. La interpretación última de la normativa y su aplicación a tu caso concreto corresponden a profesionales del Derecho.