¿Sabes que los sindicatos también deben cumplir la normativa de Protección de Datos?

¿No sabes por dónde empezar?

No te agobies.

En este post tienes toda la información necesaria para adaptar tu sindicato a la ley de Protección de Datos.

Normativa de Protección de Datos

Las normas que regulan la Protección de Datos en los sindicatos son:

  • RGPD (vigente a partir del 25 de mayo en toda Europa)
  • LOPD (España)
  • Nueva LOPD (pendiente de aprobar aún en España)
  • LSSI (regula los servicios de la sociedad de la información y el comercio electrónico)

¿Cómo deben cumplir los sindicatos el RGPD?

Los sindicatos también tienen en sus manos una gran cantidad de datos, de afiliados, de proveedores o de empleados, por lo que también tendrán que adaptarse a la nueva normativa.

Para asegurar un debido cumplimiento de esta, debes tener en cuenta una serie de preguntas y cuestiones que te facilitarán la tarea.

¿Qué datos personales manejas?

Cada vez que un usuario te deja sus datos para afiliarse o para solicitar información, acuerdas la prestación de servicios con los profesionales y empresas externos, o cedes los datos de tus empleados para elaborar las nóminas, estás manejando datos de carácter personal de terceros. Para el correcto manejo de estos datos es preciso cumplir con la normativa de protección de datos.

Las principales actuaciones que debe realizar tu sindicato para adaptarse al RGPD son:

  1. Realizar un Registro de actividades de tratamiento
  2. Firmar los contratos con terceros
  3. Firmar los contratos con los empleados
  4. Solicitar el consentimiento a los socios
  5. Incluir los textos legales en la página web
  6. Realizar un Análisis de riesgos
  7. Evaluación de impacto
  8. Notificar brechas de seguridad
  9. Nombrar un DPD

A continuación te explico detalladamente cada una de esas actuaciones.

como cumplir la ley de proteccion de datos y el reglamento general de proteccion de datos

1. Registro de actividades de tratamiento

Lo primero que debes tener en cuenta es qué tipo de datos se manejan en el sindicato y qué cantidad.

En ese registro debes incluir la siguiente información:

  • Tipo de datos almacenados
  • Finalidad
  • Legitimados
  • Política de almacenamiento de esos datos
  • Si se realizan cesiones o transferencias internacionales
  • Medios a través de los que se realiza el tratamiento

Este registro de actividades de tratamiento debes mantenerlo siempre actualizado.

Los tratamientos más habituales en los sindicatos son:

  • Afiliados
  • Proveedores
  • Contabilidad
  • Recursos Humanos
  • Curriculum
  • Videovigilancia

2. Contratos con Encargados de tratamiento

No me digas que no cedes datos a terceros.

¿Estás seguro?

También lo haces.

Cada vez que contratas una gestoría para llevar los temas fiscales o laborales.

O si tienes una empresa informática que realiza el mantenimiento de los equipos en el sindicato.

Estos son los Encargados de tratamiento.

Así que, además de tener un registro de actividades de tratamiento, debes disponer de una lista de esas empresas externas con las que tienes contacto y asegurar que también cumplan la normativa obligatoria. Y qué decir tiene que hay que estar seguros de que el cliente sepa qué datos suyos se recopilan a través de estas páginas.

Para ello es necesario firmar un contrato de encargo de tratamiento con esos terceros en el que se establezcan las obligaciones de estos para proteger los datos personales a los que accedan.

terceros

Recuerda firmar el contrato de encargo de tratamiento con los terceros

¿Qué tiene que incluir ese contrato? ¿lo sabes?

Como mínimo debe establecerse:

  • objeto, la duración, la naturaleza y la finalidad del tratamiento,
  • tipo de datos personales,
  • categorías de interesados, y
  • obligaciones y derechos del responsable.

3. Acuerdo de confidencialidad con empleados

Es posible que en el sindicato tengas contratados empleados.

O haya voluntarios.

¿A que sí?

Los empleados tienen acceso a toda la información que maneja el sindicato y, por tanto, deben firmar un acuerdo de confidencialidad para evitar que esa información sea revelada a personas no autorizadas. También deben cumplir las medidas de seguridad establecidas por la empresa para garantizar la protección de los datos personales.

En los sindicatos los empleados disponen de un correo electrónico para comunicarse entre ellos y con afiliados y proveedores. Esto les convierte en objetivos de los atacantes, porque la ingeniería social y técnicas como el phishing son los métodos de ataque más utilizados debido al éxito que tiene para los ciberdelincuentes.

4. Consentimiento de afiliados

Además de actualizar la política de privacidad, tu sindicato debe tener el consentimiento expreso de todos sus afiliados para poder tratar sus datos.

En el sindicato debes contar con un formulario (virtual, si la captación de datos se realiza vía web, o en papel, para el resto de casos) solicitando el consentimiento para el tratamiento (máxime si se van a tratar datos sensibles).

En él deben informar claramente de:

  • datos del responsable del tratamiento (sindicato),
  • finalidad concreta del tratamiento,
  • tiempo que se conservarán,
  • destinatarios si los hay (¿se ceden los datos a otras entidades?),
  • transferencias de datos internacionales si se realizan,
  • derechos de los afectados y cómo se pueden exigir estos y
  • datos del Delegado de Protección de datos (si el sindicato debe contar con uno o así lo ha decidido).

Uno de los fines principales del RGPD es que los clientes sean mucho más conscientes de qué información disponen las empresas de ellos y para qué se utiliza. Por ello, es esencial que se les comunique cualquier cambio que se vaya a realizar.

¿Y cómo se hace?

Una buena opción sería enviar emails a los afiliados y empleados o publicar alguna entrada en la página web y difundirla posteriormente por redes sociales, para generar más confianza.

5. Página web

Si tienes página web, debes incluir los textos exigidos por la ley de Protección de Datos y la LSSI:

  • Aviso legal
  • Política de privacidad
  • Política de cookies

Aviso legal

Este es el documento donde se identifica al propietario de la página web.

En él debes incluir:

  • Nombre del propietario
  • CIF / NIF
  • Dirección
  • Email

Debes poner un enlace visible a este texto desde cualquier página de la web.

Política de privacidad

Es importante revisar la política de privacidad del sindicato y hacer una versión de esta más extensa, que incluya más información acerca del procesamiento de los datos.

Así, en el texto de Política de privacidad tendrás que informar expresamente de:

  • existencia de un tratamiento de los datos que se le están solicitando,
  • finalidad,
  • destinatario o destinatarios de aquella información,
  • legitimación para el tratamiento,
  • plazo de conservación de los datos,
  • identidad y dirección del responsable del tratamiento de los datos y
  • posibilidad de ejercer sus derechos de acceso, rectificación, cancelación y oposición y por qué vía.

Todos esos detalles deberán formar parte de la política de privacidad. Una vez actualizada, tienes que asegurarse de que esta nueva versión se publique en la web.

Política de cookies

Las cookies son archivos de información enviados por un sitio web y almacenados en el navegador del usuario que visita ese sitio. Se utilizan para analizar las visitas a nuestra página web o mostrar publicidad dinámica.

Por tanto, si tu web incluye algo de esto, debes cumplir con la ley de cookies.

La ley que regula las cookies es la propia LSSI. En ese texto debe informarse sobre las cookies utilizadas en la página, su finalidad y duración.

6. Análisis de riesgos

Presta atención porque esto es importante.

En el sindicato debes también realizar un análisis del riesgo en el que valores los riesgos que puedan derivarse de los tratamientos que se realicen, teniendo en cuenta, entre otras cuestiones:

  • tipo de datos,
  • naturaleza de los datos,
  • medios de tratamiento,
  • cesiones,
  • transferencias internacionales y
  • número de interesados afectados;

Tras estos análisis deberás implementar unas medidas de seguridad adecuadas.

7. Evaluación de impacto

Aquí viene lo más complicado.

Agárrate a la silla!

Además, si el riesgo resultara ser especialmente alto deberás realizar una evaluación de impacto para minimizar las posibilidades de afectar a los derechos o libertades de los interesados; e implementar unas medidas de seguridad adecuadas.

Las principales empresas que deberán realizar esta evaluación de impacto son:

  • Empresas que realicen una evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar.
  • Entidades que realicen un tratamiento a gran escala de las categorías especiales de datos, o de los datos personales relativos a condenas e infracciones penales.
  • Empresas que realicen una observación sistemática a gran escala de una zona de acceso público.

Resumiendo

Los sindicatos realizan un tratamiento de categorías especiales de datos ya que manejan datos de afiliación sindical, considerados como datos sensibles. Por eso estás obligado a hacer esa Evaluación de impacto.

8. Notificar brechas de seguridad

¿Y esto qué significa?

No te preocupes que te lo explico.

Una de las obligaciones que establece el nuevo Reglamento es la notificación de los incidentes de seguridad que se produzcan en la empresa, tanto a los afectados como a la AEPD.

En el caso de que se dé una situación de ciberataque o infracción en el sindicato, lo ideal es que estés prevenido con un plan de respuesta ante incidentes. Existe un límite de 72 horas para notificar a las autoridades y dotar a estas de información, por lo que el plan debe someterse a prueba para garantizar que cumpla con el plazo.

aviso alerta

¡Cuidado! Debes notificar las brechas de seguridad en un plazo de 72 horas

Cabe destacar que, aunque no se permitirán infracciones intencionadas de la ley, existirán atenuantes si se puede demostrar a las autoridades y a los clientes que se está haciendo todo lo posible para cumplir con ella.

9. Delegado de Protección de Datos

En el sindicato debes designar a un profesional con la cualificación necesaria en esta materia para que salvaguarde los procesos y políticas internas del tratamiento de datos personales. Este profesional será el Delegado de Protección de Datos (DPD).

Además, para cumplir con el principio de información del nuevo RGPD, la designación del DPD y sus datos de contacto deben hacerse públicos y deberán ser comunicados a las autoridades de supervisión competentes.

El Delegado de Protección de Datos podrá ser tanto una persona en plantilla de la empresa como una externa y el cargo podrá ser desempeñado también por una empresa que ofrezca el servicio.

Preguntas frecuentes

¿Puede el sindicato publicar datos de los trabajadores afiliados en el tablón de anuncios de la empresa?

Solo en caso de que el acceso a esos tablones de anuncios sea de las personas legitimadas.

En las empresas o centros de trabajo, siempre que sus características lo permitan, se pondrá a disposición de los delegados de personal o del comité de empresa un local adecuado en el que puedan desarrollar sus actividades y comunicarse con los trabajadores, así como uno o varios tablones de anuncios.

Actualmente, resulta fácil encontrar en este tipo de tablones notas informativas, anuncios, convocatorias, declaraciones, sentencias, etc. Cuando estos documentos contienen datos personales la simple publicación de éstos constituye un tratamiento que puede comportar el acceso a datos por terceros carentes de legitimación.

¿Puede enviarse información sindical a los trabajadores?

, puede enviarse esa información sin su consentimiento.

Pero se reconoce el derecho de los trabajadores a mostrar su oposición a la recepción de mensajes con contenido sindical y, en ese caso, la obligación de los Sindicatos de cesar en el tratamiento de los datos de los solicitantes.

En lo referente a la información sindical remitida a los trabajadores en período electoral, debe concluirse que durante dicho período electoral debe prevaler el derecho a la actividad sindical sobre el derecho a la protección de datos.

¿Puede la empresa ceder datos de los trabajadores a los sindicatos?

, puede cederlos con el consentimiento del trabajador.

La cesión de datos más común a las organizaciones sindicales es la relativa al cobro de la cuota sindical en el pago de la nómina. Se trata de una solicitud que debe realizar el propio trabajador, por lo que sólo con el consentimiento expreso y por escrito del afectado podrán ser objeto de tratamiento los datos de carácter personal que revelen la ideología, afiliación sindical, religión y creencias.

¿Cómo puedo demostrar que mi sindicato cumple el RGPD?

Puedes demostrar el cumplimiento de las siguientes formas:

  • Estableciendo políticas internas de protección de datos.
  • Adoptando códigos de conducta aprobados por asociaciones y otros organismos que representan categorías de responsables y encargados del tratamiento.
  • Obteniendo certificaciones de protección de datos por parte de organismos de certificación acreditados.
  • Ejecutando las directrices dadas por el Consejo Europeo de Protección de Datos.
  • Cumpliendo las indicaciones específicas dadas por un Delegado de Protección de datos.

Modelos

Aquí te dejo todos los documentos que necesitarás para adaptar tu sindicato a la normativa de Protección de Datos.

Sanciones

Con esta nueva normativa se incrementan las exigencias en materia de Protección de Datos, y también las sanciones en caso de incumplimiento.

Las sanciones se endurecen considerablemente, con multas que pueden llegar a los 20 millones de euros o el 4% de la facturación global anual.

¿Ves como no es ninguna broma?

Algunos de los ejemplos de sanciones impuestas por la AEPD a sindicatos son:

No atender debidamente el ejercicio del derecho de cancelación

El responsable del tratamiento tendrá la obligación de hacer efectivo el derecho de rectificación o cancelación del interesado en el plazo de diez días.

Serán rectificados o cancelados, en su caso, los datos de carácter personal cuyo tratamiento no se ajuste a lo dispuesto en la presente Ley y, en particular, cuando tales datos resulten inexactos o incompletos. Resolución AEPD R/01567/2018

Acceso a datos personales por terceros no autorizados

El responsable del tratamiento deberá adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos. Resolución AEPD R/02729/2017

Ahora ya conoces lo que tienes que hacer para cumplir con el RGPD.

No pierdas más tiempo y ponte a ello.

¿Necesitas cumplir el RGPD?

Protección de Datos en Sindicatos
4.6 (92%) 10 votos