Según la Agencia Española de Protección de Datos, los datos de desempeño en el trabajo son

datos que entrañan probablemente un riesgo alto

https://www.aepd.es/media/criterios/listas-dpia-es-35-4.pdf

y, por tanto, así deben tratarse en los Estudios de Impacto en materia de protección de datos que se hagan en las empresas y en sus sistemas informáticos.

El quid de la cuestión reside en decidir si el control de jornada laboral se puede considerar información de desempeño en el trabajo o no. Cuando se planteó el diseño informático de JornadaEfectiva no había acuerdo entre los expertos legales que consultamos (y las gestorías con las que trabajamos) y nos consta que sigue sin haberlo. Es por ello que, apoyados en nuestro trabajo en el sector médico, hemos desarrollado un sistema que tiene en cuenta los estrictos criterios de protección de datos de nivel alto impuestos por la Ley Orgánica de Protección de Datos de carácter personal (LOPD) y por el Reglamento General de Protección de Datos europeo (RGPD).

Normativa sobre protección de datos de carácter personal