RGPD y tarjetas con chip RFID: qué datos almacenar y cómo cumplir la normativa
-
julio 2, 2026
-
By: CARLOS RUIZ
-
8
Claves rápidas en 1 minuto
- Un chip RFID puede almacenar un identificador único, un número de empleado o un código de acceso, pero cuantos más datos personales incluya, mayor es la exigencia del RGPD.
- Desde noviembre de 2023, la AEPD recomienda expresamente las tarjetas de identificación como alternativa a los sistemas biométricos, por ser menos invasivas con la privacidad.
- La normativa exige informar al titular, aplicar el principio de minimización de datos y definir un plazo de conservación concreto (nunca conservar “indefinidamente”).
- Una brecha de seguridad con datos del chip debe notificarse a la AEPD en un plazo de 72 horas.
- El formato físico (ISO CR80, 85,6 × 54 mm, 0,76 mm de grosor) no cambia por incluir chip RFID, pero sí cambia lo que hay que documentar en tu registro de actividades de tratamiento.
Índice
- ¿Qué datos personales puede almacenar el chip de una tarjeta RFID?
- ¿Es legal grabar datos personales en una tarjeta RFID?
- ¿Por qué la AEPD recomienda tarjetas frente a sistemas biométricos?
- ¿Cuánto tiempo se pueden conservar los datos de una tarjeta de acceso?
- ¿Qué medidas de seguridad exige el RGPD para tarjetas con chip?
- ¿Qué debe figurar en tu política de privacidad?
- Checklist de cumplimiento para tarjetas RFID corporativas
- Preguntas frecuentes
¿Qué datos personales puede almacenar el chip de una tarjeta RFID?
Un chip RFID puede almacenar desde un simple identificador numérico hasta datos personales completos, y esa decisión es precisamente la que determina el nivel de exigencia del RGPD. Los chips MIFARE Classic 1K, uno de los más utilizados en control de acceso corporativo, disponen de 1.024 bytes de memoria distribuidos en sectores independientes: suficiente para un ID de empleado, un código de departamento o un nivel de permisos, pero también para nombre, DNI o incluso datos de horario si el sistema lo permite.
La recomendación técnica y legal coincide en el mismo punto: cuantos menos datos personales viajen físicamente en el chip, menor es el riesgo en caso de pérdida, clonación o acceso no autorizado con un lector RFID. Lo habitual (y lo que aconsejamos en nuestra fábrica en la mayoría de proyectos de control de acceso) es que el chip contenga solo un identificador aleatorio u opaco, y que ese identificador se vincule a los datos reales del titular en una base de datos protegida, nunca en la propia tarjeta.
Consejo práctico: si tu proyecto necesita identificar visualmente a la persona (foto, nombre, cargo), esos datos pueden ir impresos en la superficie de la tarjeta sin necesidad de duplicarlos dentro del chip. Separar “lo que se ve” de “lo que se lee por radiofrecuencia” reduce buena parte del riesgo.
¿Es legal grabar datos personales en una tarjeta RFID?
Sí es legal, siempre que exista una base jurídica válida (relación laboral, consentimiento o interés legítimo justificado), se informe al titular y se aplique el principio de minimización del artículo 5.1.c del RGPD. La clave no es la tecnología RFID en sí (que la AEPD no cuestiona) sino qué tipo de dato se trata y con qué finalidad.
El matiz importante es la diferencia entre un identificador (como el número de un empleado) y un dato de categoría especial (como huellas dactilares o reconocimiento facial). Las tarjetas RFID trabajan casi siempre con el primer tipo, lo que las sitúa en un nivel de exigencia mucho menor que los sistemas biométricos, que sí entran dentro del artículo 9 del RGPD por tratar categorías especiales de datos.
¿Por qué la AEPD recomienda tarjetas frente a sistemas biométricos?
La Agencia Española de Protección de Datos considera el tratamiento de datos biométricos (huella dactilar, reconocimiento facial) como una operación de alto riesgo, y en su guía de noviembre de 2023 señala expresamente que ofrecer un medio equivalente de acceso, como una tarjeta, hace que ya no se cumpla el principio de necesidad exigido para justificar el uso de biometría. En la práctica, esto convierte a la tarjeta con chip en la alternativa que la propia Agencia identifica como menos intrusiva.
Este criterio ha cambiado el enfoque de muchas empresas que en los últimos años habían migrado a huella o facial para control de presencia laboral: sustituir ese sistema por tarjetas RFID no es un paso atrás tecnológico, es la vía que hoy ofrece más seguridad jurídica frente a la Agencia.
¿Cuánto tiempo se pueden conservar los datos de una tarjeta de acceso?
No existe un plazo único válido para todos los casos: el RGPD exige fijar un periodo de conservación proporcional a la finalidad y documentarlo, no dejarlo indefinido. Como referencia, los registros de jornada laboral que a menudo comparten sistema con el control de acceso, deben conservarse durante 4 años según la normativa laboral vigente; pasado ese plazo, y si no hay otra finalidad legítima, los datos deben eliminarse o anonimizarse.
Para tarjetas de acceso sin vinculación a control horario (visitantes, acreditaciones temporales, tarjetas de eventos), el criterio habitual es conservar los datos solo mientras dure la relación o el evento, y desactivar o reasignar el identificador del chip una vez finalizado.
| Tipo de tarjeta | Dato típico en el chip | Criterio de conservación orientativo |
|---|---|---|
| Empleado (acceso + jornada) | ID interno vinculado a base de datos | Duración de la relación laboral + hasta 4 años en registros de jornada |
| Visitante / proveedor | ID temporal reasignable | Duración de la visita; borrado o reasignación inmediata |
| Acreditación de evento | ID de acreditación + nivel de acceso | Duración del evento; desactivación al finalizar |
| Socio de club/gimnasio | ID de socio vinculado a cuota | Duración de la relación contractual + plazos fiscales aplicables |
¿Qué medidas de seguridad exige el RGPD para tarjetas con chip?
El RGPD no detalla una lista cerrada de medidas técnicas para tarjetas RFID, pero exige que sean “adecuadas al riesgo”: esto incluye, como mínimo, cifrado de la información sensible en el chip, control de quién puede leer y reprogramar las tarjetas, y un procedimiento definido para desactivar tarjetas perdidas o robadas. En nuestra fábrica, el acabado más solicitado para tarjetas de control de acceso corporativo combina chip MIFARE con cifrado de sector y numeración visible no correlativa con el ID interno, precisamente para dificultar la inferencia de datos si la tarjeta se extravía.
Un punto que muchas empresas pasan por alto: si se produce una brecha de seguridad que afecte a datos personales almacenados en el sistema de tarjetas (por ejemplo, una base de datos vinculada comprometida), existe la obligación de notificarlo a la AEPD en un plazo de 72 horas desde que se tiene conocimiento del incidente.
¿Qué debe figurar en tu política de privacidad?
Si tu empresa emite tarjetas con chip que almacenan o se vinculan a datos personales, tu política de privacidad debe identificar claramente la finalidad del tratamiento, la base legal, el plazo de conservación y el procedimiento para ejercer los derechos de acceso, rectificación, supresión, limitación, portabilidad y oposición. Esto aplica tanto si el titular es un empleado como si es un cliente, socio o visitante.
Un detalle práctico que aplicamos en proyectos de diseño de tarjetas: incluir en el reverso de la tarjeta un texto breve con la referencia a la política de privacidad y el contacto del responsable o DPO, de forma que el titular tenga la información accesible sin depender solo de un cartel en la entrada.
Checklist de cumplimiento para tarjetas RFID corporativas
- ✅ El chip almacena solo un identificador, no datos personales completos
- ✅ Existe una base legal documentada para el tratamiento
- ✅ La política de privacidad especifica finalidad, plazo y derechos ARSULIPO
- ✅ Hay un procedimiento definido para desactivar tarjetas perdidas o de bajas
- ✅ El plazo de conservación de los datos vinculados está fijado y documentado
- ✅ Existe protocolo de notificación de brechas de seguridad en 72 horas
- ✅ Si se valoró biometría, se ha comprobado si la tarjeta cubre la misma finalidad con menor riesgo
Tras fabricar miles de tarjetas para proyectos de control de acceso, confirmamos que la mayoría de incumplimientos no vienen del tipo de chip elegido, sino de la falta de un criterio claro de qué datos guardar y durante cuánto tiempo. Resolver eso antes de encargar la tirada ahorra revisiones posteriores y evita rediseñar el sistema de codificación.
Si estás definiendo un proyecto de control de acceso con tarjetas RFID y quieres resolver dudas técnicas sobre qué chip encaja con tu caso de uso, en esta guía explicamos en detalle cómo funciona la tecnología RFID y NFC, y también puedes revisar nuestra comparativa entre RFID y NFC en tarjetas PVC si todavía estás decidiendo la tecnología. Para profundizar en qué tecnología pedir según presupuesto y frecuencia de uso, La Fábrica de Tarjetas PVC explica en detalle cómo elegir entre RFID, banda magnética o código QR.
Preguntas frecuentes
¿Puedo grabar el DNI en el chip de una tarjeta de acceso?
Técnicamente sí, pero no es recomendable: el DNI es un dato identificativo directo y su inclusión innecesaria va en contra del principio de minimización. Lo habitual es usar un identificador interno propio.
¿Una tarjeta RFID de acceso necesita evaluación de impacto (EIPD)?
Solo si el tratamiento implica alto riesgo, como el cruce con datos biométricos o de categoría especial. Para un uso estándar de identificador + control de acceso, normalmente no es obligatoria, aunque conviene documentar el análisis de riesgo igualmente.
¿Qué pasa si un empleado pierde su tarjeta con chip RFID?
Debe desactivarse de inmediato el identificador asociado en el sistema para evitar accesos no autorizados, y emitir una tarjeta nueva con un ID diferente, no el mismo reciclado.
¿Las tarjetas de visitante también requieren cumplir el RGPD?
Sí. Aunque la relación sea puntual, cualquier dato personal vinculado a la tarjeta (nombre, empresa, motivo de la visita) está sujeto a las mismas obligaciones de información y conservación proporcional.
¿Necesitas diseñar un sistema de tarjetas RFID que cumpla con el RGPD desde el primer diseño? En Kuatricomía fabricamos tarjetas con chip en Express 72h y te asesoramos sobre qué datos conviene codificar.
Posts Relacionados
Tarjetas MIFARE Madrid: fabricación local, plazos y asesoramiento técnico
Claves rápidas en 1 minuto Las tarjetas MIFARE operan a 13,56 MHz bajo el estándar ISO/IEC 14443A con
RFID vs NFC en tarjetas PVC: diferencias técnicas, frecuencias y cuándo usar cada tecnología
RFID opera en varias frecuencias y NFC solo a 13,56 MHz. Comparamos chips, alcance, seguridad y casos
Integración de tarjetas plásticas con apps y sistemas digitales: guía técnica para un ecosistema sin fricciones
Esta guía expone los componentes, protocolos y buenas prácticas para integrar tus tarjetas plásticas
Tarjetas de PVC con Funciones Interactivas
¿Sabías que ahora pueden incluir funciones interactivas que van mucho más allá de lo tradicional
¿Son necesarias las tarjetas de PVC en la era Digital?
Vivimos en un mundo completamente digitalizado, y sin embargo, las tarjetas de PVC siguen estando muy
Tarjetas de PVC con Realidad Aumentada (RA)
Las tarjetas de PVC con realidad aumentada consiguen que las empresas impacten a sus clientes, ofreciendo
Leave a comment