Normativa 9 min lectura

Interoperabilidad API ITSS: qué es, cómo afecta a tu software de fichaje y qué debes exigir a tu proveedor

2 de junio de 2026

La interoperabilidad con la ITSS es la capacidad técnica que el borrador del nuevo Real Decreto exige a cualquier software de fichaje: conectarse con la Inspección de Trabajo mediante un protocolo API REST estandarizado para que los inspectores puedan consultar los registros de jornada de tu empresa de forma remota, sin llamar a tu puerta. La interoperabilidad es la capacidad técnica del sistema de registro horario para enviar datos automáticamente a la Inspección de Trabajo mediante un protocolo API REST estandarizado. Dicho en plano: si tu software no tiene ese canal de comunicación, no cumple el nuevo estándar aunque lleve años funcionando.

Este artículo no es un resumen genérico del decreto. Es una disección específica del requisito técnico más novedoso y más ignorado: la API de la ITSS. Qué significa, qué datos viajan, qué plazos maneja el borrador y, sobre todo, las preguntas exactas que debes hacerle a tu proveedor antes de renovar o contratar.


Por qué la interoperabilidad es el cambio más disruptivo del borrador

Desde mayo de 2019, todas las empresas tienen la obligación de registrar la jornada de sus trabajadores. El Real Decreto-ley 8/2019 modificó el artículo 34.9 del Estatuto de los Trabajadores para establecer la obligación de las empresas de llevar un registro diario de jornada que incluya el horario concreto de inicio y finalización de la jornada de cada trabajador. El problema es que esa norma no especificó cómo. El RDL 8/2019 introdujo la obligación de registrar la jornada laboral (Art. 34.9 del Estatuto de los Trabajadores), pero dejó abierta una laguna crítica: no especificó requisitos técnicos concretos. El Tribunal Supremo lo confirmó en la STS 41/2023 al señalar que el artículo 34.9 ET “no especifica cuál ha de ser el concreto contenido, mecanismo o herramienta” del registro.

El resultado ha sido previsible: siete años después, alrededor del 35% de las pymes sigue utilizando papel o Excel como sistema de fichaje. Y la Inspección no ha estado esperando. La tendencia de la ITSS es intensificar las inspecciones, no relajarlas: las actuaciones por registro horario pasaron de 4.800 en 2019 a 9.097 en 2024.

La Inspección de Trabajo levantó 1.869 actas de infracción por registro horario en 2024, un incremento del 90,7% respecto a 2019. Las multas alcanzaron 20,19 millones de euros ese mismo año.

El nuevo Real Decreto viene a cerrar esa laguna con requisitos concretos. El nuevo decreto añade a este marco: la obligatoriedad exclusiva del formato digital, la interoperabilidad con la ITSS, la inmutabilidad técnica de los registros y un régimen sancionador reforzado. De todos esos pilares, la interoperabilidad es el que más impacto operativo tendrá y el que menos se ha explicado con detalle.


Qué dice exactamente el borrador sobre la API REST

El cambio más disruptivo: el anteproyecto exige que los sistemas de registro horario puedan enviar datos automáticamente a la Inspección de Trabajo mediante un protocolo API REST estandarizado. La ITSS podrá consultar registros de forma remota, sin necesidad de personarse en la empresa.

En términos prácticos, esto significa que la Inspección ya no necesita planificar una visita presencial, pedir que un responsable de RRHH exporte un Excel y enviarlo por correo. El inspector lanza una consulta desde sus sistemas internos y tu software responde directamente.

Qué datos tendrá que transmitir tu sistema

Datos mínimos a transmitir: inicio, fin, pausas, identificación del trabajador y centro de trabajo. Tiempo de respuesta máximo al requerimiento: 24 horas.

Pero el borrador va más allá del simple “entrada/salida”. El registro deberá incluir, como mínimo: hora y minuto de inicio y fin de jornada, hora y minuto de cada pausa no computable como trabajo efectivo, clasificación de las horas (ordinarias, extraordinarias o complementarias), indicación de si se compensan en tiempo o se retribuyen, y si la jornada se realiza de forma presencial o a distancia.

Esto va mucho más allá del simple “entrada y salida” que exige la norma actual.

El acceso es bajo demanda, no vigilancia permanente

Una pregunta habitual es si esto supone que la ITSS estará mirando los registros de tu empresa en tiempo real de forma continua. No es así. La cesión de datos a la ITSS está amparada por el Art. 6.1.c del RGPD (obligación legal). Es acceso bajo demanda, no cesión masiva.

La ITSS es una autoridad pública con competencias de inspección, el acceso será bajo demanda (no cesión masiva) y está sujeta a confidencialidad profesional.

El estándar técnico exacto aún no existe

Aquí viene el dato que más desconcierta a las empresas: el requisito de interoperabilidad es un requisito futuro pendiente de reglamento técnico. Las especificaciones exactas del API se publicarán con el decreto aprobado.

Cualquier proveedor que prometa “certificación oficial” del nuevo decreto a día de hoy no está siendo preciso, porque las especificaciones técnicas del protocolo API aún no se han publicado.

Esto no significa que no haya nada que hacer ahora. Significa que debes asegurarte de que tu proveedor tiene la arquitectura técnica preparada para implementarlo cuando llegue.


El estado real del decreto a junio de 2026

Para entender bien el contexto, conviene tener clara la cronología. El 30 de septiembre de 2025, el Consejo de Ministros aprobó la tramitación urgente de un Decreto-ley específico sobre control horario digital, separándolo de la reducción de jornada.

El 23 de marzo de 2026, el Consejo de Estado emitió un dictamen contrario al Decreto-ley del Ministerio de Trabajo. Considera que el texto presenta importantes deficiencias: no evalúa correctamente el impacto económico (especialmente en pymes), impone obligaciones que deberían tramitarse como ley y no como reglamento, y no se adapta a las particularidades de distintos sectores.

Sobre los requisitos técnicos en concreto, el Consejo de Estado fue especialmente crítico: el texto no definía con claridad qué características técnicas concretas debe cumplir un sistema para ser aceptado por la Inspección de Trabajo. Requisitos como la inmutabilidad de registros, la custodia de datos o la interoperabilidad con la ITSS estaban formulados de forma genérica, lo que genera inseguridad jurídica.

El Consejo de Estado no rechaza la idea del registro horario digital: rechaza cómo estaba redactado el borrador. La distinción es importante, porque confirma que el decreto llegará, pero revisado.

El decreto no está en vigor, pero el Ministerio mantiene el objetivo de publicarlo en 2026.

La conclusión práctica: la dirección es irreversible, el estándar API vendrá, y esperar al BOE para preguntarle a tu proveedor cómo lo va a implementar es llegar tarde.


Qué implica la interoperabilidad para tu empresa en la práctica

Es el cambio que más impacto tendrá en la operativa, porque elimina el margen de preparación documental ante una visita inspectora: los datos deben estar listos en tiempo real.

Con la normativa de 2019, cuando llegaba una inspección presencial, la empresa tenía un margen —a veces de horas— para preparar y ordenar la documentación. Con la API de la ITSS, ese margen desaparece. El inspector puede hacer la consulta en cualquier momento y tu sistema debe responder en menos de 24 horas.

Esto tiene varias consecuencias prácticas:

1. Tu sistema debe estar en la nube o tener conectividad garantizada. Los sistemas deberán ser capaces de generar y transmitir informes en tiempo real mediante protocolo API REST estandarizado. Esto implica que el sistema de fichaje debe ser un software con conectividad, no una hoja de cálculo.

2. Los registros deben estar siempre íntegros, no solo cuando llega la inspección. Cualquier modificación en el registro debe dejar un rastro digital inmutable: quién hizo el cambio, cuándo y por qué. Si un responsable de RRHH corrige un olvido de fichaje a las 23:00 de un martes, esa corrección tiene que quedar registrada con todos esos datos. Si un trabajador olvida fichar, la corrección posterior debe incluir trazabilidad completa (quién la introdujo, cuándo y por qué). Una corrección unilateral sin conocimiento del trabajador puede considerarse manipulación ante un tribunal.

3. La responsabilidad es tuya, no de tu proveedor. La empresa no puede alegar desconocimiento ni fallos técnicos del software. Si el sistema no cumple con los requisitos solicitados por la normativa, la responsabilidad es del empleador, no del proveedor tecnológico.

4. Las sanciones se multiplican por trabajador. Con la normativa actual, la sanción por no tener registro horario es una infracción grave con multa de 751 a 7.500 euros por empresa. Con el nuevo decreto, las multas se aplicarán por cada trabajador afectado con un tope de hasta 10.000 euros por trabajador. Una empresa de 30 empleados podría enfrentarse a sanciones de hasta 300.000 euros por una sola inspección.


Los requisitos técnicos completos que deberá cumplir tu software

La interoperabilidad no es un requisito aislado. Forma parte de un conjunto de exigencias técnicas que el borrador define de forma conjunta. Según el anteproyecto, el sistema debe ser 100% digital, con log de auditoría inmutable, sellado temporal automático, identificación unívoca del trabajador, registro de entrada/salida/pausas, conservación 4 años, acceso inmediato para trabajadores e Inspección, y cifrado en reposo y en tránsito.

En cuanto a cifrado, el estándar propuesto es AES-256 en reposo y TLS 1.3 en tránsito.

Sobre los métodos de identificación permitidos, la identificación del trabajador se realizará con credenciales únicas (usuario+clave, PIN, QR, tarjeta/NFC). Queda excluida la biometría de alto riesgo. Si tienes lectores de huella dactilar en la entrada, deberías hablar con tu asesor laboral sobre cómo migrar antes de que el decreto entre en vigor.

El acceso remoto para la ITSS implica que la Inspección de Trabajo y la representación de la plantilla deben poder consultar los datos sin intervención previa del empresario. Esto es un punto importante: no se trata solo de que tú puedas exportar un informe y enviarlo. La conexión debe ser directa.


Las 7 preguntas que debes hacerle a tu proveedor ahora mismo

Este es el núcleo práctico del artículo. Tanto si estás evaluando un nuevo software como si tienes uno contratado, estas preguntas te dirán si estás en buenas manos o si tienes un problema.

Pregunta 1: ¿Tu arquitectura es compatible con una integración API REST?

Si el sistema es un software de escritorio sin conexión a internet o una app que solo exporta PDFs, la respuesta es no. Necesitas un sistema en la nube con arquitectura orientada a servicios.

Pregunta 2: ¿Te comprometes contractualmente a implementar la interoperabilidad cuando se publique el estándar oficial?

Pregunta a tu proveedor si se compromete contractualmente a implementar la interoperabilidad ITSS cuando se publique el estándar. Que lo diga verbalmente no vale. Debe estar en el contrato o en un addendum firmado.

Pregunta 3: ¿El sistema genera log de auditoría inmutable para cada modificación?

Cada corrección de un fichaje debe quedar registrada con usuario, timestamp y motivo. La SAN 4128/2023 ratificó una sanción de 187.515€ a una empresa de logística porque los registros en Excel eran editados retrospectivamente sin log de cambios. Si tu proveedor no sabe qué es un log de auditoría, cambia de proveedor.

Pregunta 4: ¿El sellado temporal es automático e independiente del usuario?

El trabajador no debe poder elegir la hora de su fichaje. El sello de tiempo debe generarse en el servidor en el momento del registro, no en el dispositivo del usuario. Esto evita manipulaciones desde el móvil.

Pregunta 5: ¿Los registros del sistema permiten exportar los campos mínimos que exige el borrador?

Inicio, fin, pausas, tipo de hora (ordinaria/extraordinaria/complementaria), modalidad presencial o teletrabajo, e identificación del trabajador. La mayoría de los sistemas actuales no cumplirán los requisitos de fiabilidad, trazabilidad, contenido mínimo y acceso remoto de la ITSS. Será necesario adaptar o sustituir los sistemas. Compruébalo tú mismo con una exportación de prueba.

Pregunta 6: ¿Los servidores están en la UE/EEE?

El decreto reforzará las obligaciones de protección de datos: servidores en la UE/EEE obligatorios (salvo Cláusulas Contractuales Estándar). Un software alojado en servidores en EE.UU. o en jurisdicciones sin adecuación de protección de datos genera un problema adicional de RGPD. Pídele al proveedor confirmación escrita de dónde están sus servidores.

Pregunta 7: ¿Tienes un plan de conformidad para actualizaciones normativas?

El proveedor debe actualizar el sistema ante cambios legales sin requerir acciones manuales del usuario. Si cada vez que cambia la normativa tienes que pagar una actualización extraordinaria o migrar a otra versión de pago, estás asumiendo un riesgo innecesario.


Qué pasa si tu proveedor no puede responder estas preguntas

Hay dos escenarios. Si tu proveedor no puede responder, pero tiene arquitectura cloud moderna y voluntad de adaptarse, pídele un compromiso por escrito con un plazo máximo de implementación ligado a la publicación del BOE. Es razonable.

Si tu proveedor no tiene arquitectura compatible, no sabe qué es un API REST, o te da respuestas evasivas, tienes tiempo de migrar con calma. Las empresas que ya cuentan con un sistema digital con trazabilidad completa solo tendrán que implementar la actualización de interoperabilidad cuando se publique el estándar. Las que aún dependen de papel o Excel se enfrentan a una migración obligatoria contra reloj.

La ventana para actuar sin prisas se está cerrando. A fecha de mayo de 2026 el decreto no está publicado en el BOE, pero el Ministerio de Trabajo mantiene su objetivo de hacerlo antes de que termine el año, con un plazo de entrada en vigor de solo 20 días desde la publicación. Veinte días no es tiempo suficiente para evaluar proveedores, negociar contratos, migrar datos históricos y formar a la plantilla.


FAQ

¿Qué es la interoperabilidad con la ITSS en el fichaje digital?

La interoperabilidad es la capacidad técnica del sistema de registro horario para enviar datos automáticamente a la Inspección de Trabajo mediante un protocolo API REST estandarizado. En la práctica, significa que la ITSS podrá consultar los registros de tu empresa de forma remota, sin necesidad de personarse físicamente.

¿Existe ya un estándar técnico publicado para la API de la ITSS?

No. No existe ninguna “certificación oficial” de sistemas de fichaje porque el Real Decreto con sus especificaciones técnicas aún no se ha publicado. Cualquier proveedor que afirme lo contrario no está siendo preciso.

¿Qué datos tendrá que transmitir mi sistema de fichaje a la ITSS?

El anteproyecto exige que los sistemas de fichaje puedan enviar datos automáticamente a la ITSS mediante un protocolo API REST estandarizado. La ITSS podrá consultar registros de forma remota, sin personarse en la empresa. Datos mínimos a transmitir: inicio, fin, pausas, identificación del trabajador y centro de trabajo. Tiempo de respuesta máximo al requerimiento: 24 horas.

Sí, es completamente legal. La cesión de datos a la ITSS está amparada por el Art. 6.1.c del RGPD (obligación legal). Es acceso bajo demanda, no cesión masiva.

Preguntas frecuentes

¿Qué es la interoperabilidad con la ITSS en el fichaje digital?
Es la capacidad técnica del sistema de registro horario para enviar datos automáticamente a la Inspección de Trabajo y Seguridad Social mediante un protocolo API REST estandarizado. En la práctica, significa que la ITSS podrá consultar los registros de tu empresa de forma remota, sin necesidad de personarse físicamente.
¿Existe ya un estándar técnico publicado para la API de la ITSS?
No. A junio de 2026 las especificaciones técnicas exactas del protocolo API no se han publicado. Se publicarán junto al Real Decreto definitivo. Cualquier proveedor que afirme tener ya una 'certificación oficial' de interoperabilidad no está siendo preciso.
¿Qué datos tendrá que transmitir mi sistema de fichaje a la ITSS?
Según el anteproyecto, los datos mínimos son: hora de inicio y fin de jornada, pausas no computables, identificación del trabajador y centro de trabajo. El tiempo de respuesta máximo al requerimiento será de 24 horas.
¿Es legal que la ITSS acceda remotamente a mis registros? ¿Vulnera el RGPD?
Sí, es legal. La cesión de datos a la ITSS está amparada por el artículo 6.1.c del RGPD (obligación legal). El acceso es bajo demanda, no una cesión masiva, y la ITSS está sujeta a confidencialidad profesional.
Si mi software ya funciona bien hoy, ¿tendré que cambiar de proveedor?
No necesariamente. Las empresas que ya tienen un sistema digital con trazabilidad completa solo tendrán que implementar la actualización de interoperabilidad cuando se publique el estándar técnico. La clave es que tu proveedor se comprometa contractualmente a hacerlo.

Artículos relacionados