Tus encargados planifican turnos por WhatsApp — y tú pagas 4.500 €/año por el software que ignoran

En España hay una ley: estás obligado a registrar el horario de cada empleado. Cada día, cada entrada y salida. Y hay otra ley: no puedes recoger datos biométricos. Ni huellas, ni cara, nada.

Tenemos una cadena de restaurantes. Más de cien personas. Pagábamos unos cuatro mil quinientos euros al año por un servicio en la nube para el control horario. Dinero que podría estar en nóminas.

Compré diez pegatinas NFC a euro y medio la unidad y un lector USB por treinta y nueve. Escribí el software. Ahora estamos lanzando un piloto en un restaurante. Esto es lo que se ve desde dentro.

El problema: pasta y ley

Cuando eché cuentas de lo que pagábamos por el SaaS de control horario, la cosa dolió. Cuatro mil quinientos euros al año. Por esa pasta: cuadrantes, envío de emails, fichaje de entrada y salida. Más una tablet que hay que comprar para cada restaurante. Y si el cuadrante no cuadra, el sistema no te deja fichar.

Suena razonable hasta que te haces la pregunta: ¿y quién usa realmente el cuadrante? Nuestros encargados planifican turnos por WhatsApp. El cuadrante del sistema es puro trámite. Pagábamos cuatro mil quinientos por una función que usábamos a un tercio.

Pero no puedes simplemente darte de baja. El Real Decreto 8/2019 exige registro de jornada — fichaje obligatorio. La Inspección de Trabajo puede presentarse y pedir los registros de cuatro años. Si no los tienes, multa.

Lo primero que se me ocurrió: huellas, como en todos lados. Pero en 2023 la AEPD dijo: biometría en el trabajo, no. Ni huellas, ni cara, ni voz. Intromisión desproporcionada en la privacidad.

Dos leyes, una paradoja. Registra, pero no toques el cuerpo de nadie. ¿Y entonces qué se puede hacer?

La idea: NFC con criptografía

Existen unas pegatinas NFC — NTAG 424 DNA. Se diferencian de las normales en que llevan criptografía de verdad dentro. AES-128. Cada vez que un móvil toca la pegatina, el chip genera un código único basado en una clave secreta y un contador interno. El contador sube con cada toque y no se resetea. Nunca.

La idea es sencilla: pegas el sticker en la pared junto a la entrada del restaurante. El empleado llega, toca con el móvil. El navegador abre un enlace con un código cifrado. El servidor verifica el código, compara el contador con el valor anterior, registra la entrada. Te vas — tocas otra vez. Salida.

Hacer una foto del enlace y mandárselo a un colega no funciona: el contador ya ha avanzado, el código ha caducado. Copiar la pegatina tampoco: la clave está grabada en el chip y no sale. Un trozo de plástico en la pared hace lo que antes necesitaba una tablet con software.

Una pegatina cuesta euro y medio. El lector para programarlas, treinta y nueve. Para siete restaurantes hacen falta siete pegatinas más tres de repuesto. Todo el kit: cincuenta y cinco euros. Una vez.

Los hábitos son como un semillero. Regar cada día es un rollo. Pero luego tienes tomates. Aquí pasa algo parecido: escribir el software una vez es más aburrido que pagar una suscripción mensual. Pero al cabo de un año la diferencia son cuatro mil quinientos euros.

Lo que inventamos (y por qué)

La pegatina con criptografía es la base. Pero con una pegatina sola no basta. Si vamos a sustituir un sistema comercial, hay que pensar en todo lo que puede salir mal.

Decidimos recoger todo lo que el navegador esté dispuesto a soltar. Red WiFi del restaurante, información del dispositivo, GPS, user-agent, dirección IP, delta del contador NFC. No porque seamos paranoicos, sino porque queremos ver anomalías. Si alguien ficha desde un ordenador de sobremesa en vez de un móvil, es raro. Si el contador salta veinte posiciones en vez de una, alguien ha estado probando la pegatina en su casa. Si la zona horaria no coincide con España, preguntas.

No bloqueamos por estos datos. Solo registramos y señalamos. La idea es que un empleado honesto no tiene nada que temer, y al que no lo es se le ve por el patrón, no por un evento suelto.

Historia aparte: passkey. Es WebAuthn, una tecnología que permite autenticarse con huella o Face ID en el móvil, pero los datos no salen del dispositivo. La biometría se queda en el teléfono del empleado; el servidor solo recibe una confirmación criptográfica. La ley no se vulnera — no recogemos biometría, es el móvil del empleado el que decide cómo confirmar la identidad.

En fiabilidad esto anda por el 90-95% de una huella en servidor. Una tarjeta magnética se la pasas a un colega en un segundo. Un PIN se lo dictas por teléfono. Pero darle a alguien tu móvil desbloqueado con tu cara registrada ya no es un descuido, es un acuerdo. Para un restaurante donde la gente trabaja codo con codo y todos se conocen, es más que suficiente.

Sobre el papel, bonito. En la práctica, dolor de cabeza. El empleado cambia de móvil y la passkey desaparece. Necesitas un proceso de reemisión a través de la oficina. Alguien pierde el teléfono y hay que desactivar la clave antigua. Todo eso hay que pensarlo, escribirlo, probarlo.

¿Y los informes que exige la ley para la Inspección? Los datos los tenemos — cada entrada y salida con precisión de segundo. Montar el informe en el formato que piden es tarea de un par de días, cuando toque.

El piloto: qué funciona y qué no

Ahora mismo estamos en fase de piloto. Un restaurante. El sistema antiguo sigue funcionando en paralelo — nadie se la juega si algo sale mal.

Las pegatinas llegaron de Italia. Compramos el lector, escribimos el software de programación — a cada pegatina se le graba una clave única vinculada a un restaurante concreto. El primer restaurante está programado.

El onboarding funciona. La persona toca la pegatina, se abre la página, se registra en el sistema. La passkey funciona, ahora en alfa. Todo esto está vivo, corriendo en un servidor ahora mismo.

Lo más honesto que puedo decir del piloto: creemos que lo hemos pensado bien. Criptografía, metadatos, anomalías, passkey. Pero hasta que los empleados no lo usen cada día, no sabemos qué se nos ha escapado. Para eso es el piloto.

Qué viene después

Todo esto lo ha escrito y montado una sola persona. Sin departamento de IT. La criptografía, el servidor, el onboarding, la detección de anomalías, la passkey. No es por presumir — es para ilustrar lo accesibles que son hoy tecnologías que antes necesitaban un equipo.

Si el piloto sale bien, escalamos a los 7 restaurantes y cancelamos la suscripción. 55 € una vez en lugar de 4.500 € cada año. La diferencia puede ir a nóminas.

Todavía no sé qué va a salir en combate. Puede que los empleados encuentren una forma de engañar al sistema en la que no he pensado. Puede que la passkey se rompa en algún Android de 2019. Puede que todo funcione. Ya escribiré cuando lo sepa.