[{"@context":"http:\/\/schema.org\/","@type":"BlogPosting","@id":"https:\/\/ayudaleyprotecciondatos.es\/2018\/10\/18\/sindicatos\/#BlogPosting","mainEntityOfPage":"https:\/\/ayudaleyprotecciondatos.es\/2018\/10\/18\/sindicatos\/","headline":"Protecci\u00f3n de Datos en Sindicatos","name":"Protecci\u00f3n de Datos en Sindicatos","description":"C\u00f3mo deben cumplir el RGPD los sindicatos, principales actuaciones para adaptarse a la normativa de protecci\u00f3n de datos, con modelos \u2705","datePublished":"2018-10-18","dateModified":"2021-09-22","author":{"@type":"Person","@id":"https:\/\/ayudaleyprotecciondatos.es\/author\/agonzar34\/#Person","name":"Ana Gonz\u00e1lez","url":"https:\/\/ayudaleyprotecciondatos.es\/author\/agonzar34\/","image":{"@type":"ImageObject","@id":"https:\/\/secure.gravatar.com\/avatar\/9d20ce04c893956aaa747aa424b64675?s=96&d=blank&r=g","url":"https:\/\/secure.gravatar.com\/avatar\/9d20ce04c893956aaa747aa424b64675?s=96&d=blank&r=g","height":96,"width":96}},"publisher":{"@type":"Organization","name":"AyudaLeyProteccionDatos","logo":{"@type":"ImageObject","@id":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/01\/ayuda-ley-proteccion-datos.png","url":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/01\/ayuda-ley-proteccion-datos.png","width":600,"height":60}},"image":{"@type":"ImageObject","@id":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2018\/10\/Proteccion-datos-para-sindicatos-01.jpg","url":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2018\/10\/Proteccion-datos-para-sindicatos-01.jpg","height":1000,"width":1500},"url":"https:\/\/ayudaleyprotecciondatos.es\/2018\/10\/18\/sindicatos\/","about":["ASOCIACIONES\/ORGANIZACIONES","LOPDGDD & RGPD"],"wordCount":3675,"articleBody":" if (typeof BingeIframeRan === \"undefined\") { window.addEventListener(\"message\", receiveMessage, false); function receiveMessage(event) { try { var parsed = JSON.parse(event.data) if (parsed.context === \"iframe.resize\") { var iframes = document.getElementsByClassName(\"binge-iframe\"); for (let i = 0; i < iframes.length; ++i) { if (iframes[i].src == parsed.src || iframes[i].contentWindow === event.source) { iframes[i].height = parsed.height; } iframes[i].style.opacity = 1; } } } catch (error) { } } var BingeIframeRan = true; } Las empresas no son las \u00fanicas que est\u00e1n obligadas a cumplir con la normativa de protecci\u00f3n de datos, los sindicatos tambi\u00e9n deben hacerlo, dado que manejan en muchos casos informaci\u00f3n personales de sus afiliados y otros trabajadores. En esta entrada vamos a explicar paso a paso c\u00f3mo deben adaptarse al RGPD los sindicatos.Normativa de Protecci\u00f3n de Datos\u00bfC\u00f3mo deben cumplir los sindicatos el RGPD?1. Registro de actividades de tratamiento2. Contratos con Encargados de tratamiento3. Acuerdo de confidencialidad4. Consentimiento de afiliados al sindicato5. P\u00e1gina web del sindicatoAviso legalPol\u00edtica de privacidadPol\u00edtica de cookies6. An\u00e1lisis de riesgos7. Evaluaci\u00f3n de impacto8. Notificar brechas de seguridad9. Delegado de Protecci\u00f3n de DatosPreguntas frecuentes\u00bfPuede el sindicato publicar datos de los trabajadores afiliados en el tabl\u00f3n de anuncios de la empresa?\u00bfPuede enviarse informaci\u00f3n sindical a los trabajadores?\u00bfPuede la empresa ceder datos al comit\u00e9 de empresa?\u00bfPuede la empresa ceder datos de los trabajadores a los sindicatos?\u00bfC\u00f3mo puedo demostrar que mi sindicato cumple el RGPD?ModelosSancionesNo atender debidamente el ejercicio del derecho de cancelaci\u00f3nAcceso a datos personales por terceros no autorizados\u00bfNecesitas cumplir el RGPD?Entradas relacionadasNormativa de Protecci\u00f3n de DatosSi necesit\u00e1is consultar la normativa de protecci\u00f3n de datos que deben aplicar los sindicatos, como el resto de empresas y entidades, encontrar\u00e9is las leyes que la regulan en los siguientes textos:RGPDLOPDLSSI (regula los servicios de la sociedad de la informaci\u00f3n y el comercio electr\u00f3nico)\u00bfC\u00f3mo deben cumplir los sindicatos el RGPD?Cada vez que un usuario deja sus datos para afiliarse a un sindicato o para solicitar informaci\u00f3n, el sindicato acuerda la prestaci\u00f3n de servicios con otros profesionales y empresas externos, o cede los datos de sus afiliados, se est\u00e1n manejando datos de car\u00e1cter personal de terceros. Para el correcto manejo de estos datos es preciso cumplir con la Ley de Protecci\u00f3n de Datos.Para ello, hay que llevar a cabo una serie de actuaciones para que el sindicato se adapte al RGPD:Realizar un Registro de actividades de tratamientoFirmar los contratos con tercerosFirmar los contratos con los empleadosSolicitar el consentimiento a los sociosIncluir los textos legales en la p\u00e1gina webRealizar un An\u00e1lisis de riesgosEvaluaci\u00f3n de impactoNotificar brechas de seguridadNombrar un DPDA continuaci\u00f3n detallamos cada una de estas actuaciones.1. Registro de actividades de tratamientoComo ocurre con la protecci\u00f3n de datos para empresas, los sindicatos tambi\u00e9n deben elaborar un registro de actividades de tratamiento. Este documento sirve para determinar el tipo y la cantidad de datos que se manejan, as\u00ed como recoge el tipo de tratamiento y los medios y los fines para ello, entre otra informaci\u00f3n.Este registro se puede hacer por escrito o en formato electr\u00f3nico, pero es fundamental mantenerlo actualizado, puesto que es uno de los documentos que en caso de inspecci\u00f3n, la Agencia Espa\u00f1ola de Protecci\u00f3n de Datos (AEPD) solicitar\u00e1 ver.El registro de actividades de tratamiento debe incluir la siguiente informaci\u00f3n:Tipo de datos almacenadosFinalidadLegitimadosPol\u00edtica de almacenamiento\u00a0de esos datosSi se realizan cesiones o transferencias internacionalesMedios a trav\u00e9s de los que se realiza el tratamientoEntre los tratamientos m\u00e1s habituales en los sindicatos encontramos:AfiliadosProveedoresContabilidadRecursos HumanosCurriculumVideovigilanciaDescarga aqu\u00ed todos los modelos gratis para tu sindicato2. Contratos con Encargados de tratamientoSi el sindicato necesita ceder los datos personales de sus afiliados a entidades externas, es necesario que firme con ellas un contrato de encargo de tratamiento. La cesi\u00f3n de datos m\u00e1s habitual es la referente al pago de las cuotas sindicales a trav\u00e9s de la n\u00f3mina a petici\u00f3n del trabajador.En este contrato deben establecer las condiciones y obligaciones de las partes respecto a la protecci\u00f3n de datos personales, de manera que el sindicato se asegure que esas entidades externas cumplen tambi\u00e9n con la normativa de protecci\u00f3n de datos.Recuerda firmar el contrato de encargo de tratamiento con los tercerosEl contrato al menos debe incluir:objeto, la duraci\u00f3n, la naturaleza y la finalidad del tratamiento,tipo de datos personales,categor\u00edas de interesados, yobligaciones y derechos del responsable.3. Acuerdo de confidencialidadTanto si en el sindicato hay contratos empleados o tiene voluntario, es necesario que estos firmen un acuerdo de confidencialidad, para asegurar que no revelar\u00e1n informaci\u00f3n a terceras personas no autorizadas. Es especialmente importante si estos empleados o voluntarios van a tener acceso a datos personales de los afiliados.Adem\u00e1s de este acuerdo, deben cumplir las normas de seguridad establecidas por el sindicato en materia de protecci\u00f3n de datos. Y no est\u00e1 de m\u00e1s informar y formar sobre las posibles amenazas y riesgos que existen y que pueden dejar al descubierto o permitir el robo de datos durante un ciberataque si no son cuidadosos con lo que abren en sus correos electr\u00f3nicos o los sitios por los que navegan.4. Consentimiento de afiliados al sindicatoAparte de actualizar la pol\u00edtica de privacidad, la protecci\u00f3n de datos para sindicatos tambi\u00e9n incluye la obligaci\u00f3n de obtener el consentimiento expreso de los afiliados para poder tratar sus datos.En el sindicato debes contar con un\u00a0formulario\u00a0(virtual, si la captaci\u00f3n de datos se realiza v\u00eda web, o en papel, para el resto de casos) solicitando el consentimiento para el tratamiento (m\u00e1xime si se van a tratar datos sensibles).En \u00e9l deben informar claramente de:datos del responsable del tratamiento (sindicato),finalidad concreta del tratamiento,tiempo que se conservar\u00e1n,destinatarios si los hay (\u00bfse ceden los datos a otras entidades?),transferencias de datos internacionales si se realizan,derechos de los afectados y c\u00f3mo se pueden exigir estos ydatos del Delegado de Protecci\u00f3n de datos (si el sindicato debe contar con uno o as\u00ed lo ha decidido).Uno de los fines principales del RGPD es que los clientes sean mucho m\u00e1s conscientes de qu\u00e9 informaci\u00f3n disponen las empresas de ellos y para qu\u00e9 se utiliza. Por ello, es esencial que se les comunique cualquier cambio que se vaya a realizar.\u00bfY c\u00f3mo se hace?Una buena opci\u00f3n ser\u00eda enviar emails a los afiliados y empleados o publicar alguna entrada en la p\u00e1gina web y difundirla posteriormente por redes sociales, para generar m\u00e1s confianza.5. P\u00e1gina web del sindicatoSi tienes p\u00e1gina web, debes incluir los textos exigidos por la ley de Protecci\u00f3n de Datos y la LSSI:Aviso legalPol\u00edtica de privacidadPol\u00edtica de cookiesAviso legalEste es el documento donde se identifica al propietario de la p\u00e1gina web.En \u00e9l debes incluir:Nombre del propietarioCIF \/ NIFDirecci\u00f3nEmailDebes poner un enlace visible a este texto desde cualquier p\u00e1gina de la web.Pol\u00edtica de privacidadEs importante\u00a0revisar la pol\u00edtica de privacidad del sindicato y hacer una versi\u00f3n de esta m\u00e1s extensa, que incluya m\u00e1s informaci\u00f3n acerca del procesamiento de los datos.As\u00ed, en el texto de Pol\u00edtica de privacidad\u00a0tendr\u00e1s que informar expresamente de:existencia de un tratamiento de los datos que se le est\u00e1n solicitando,finalidad,destinatario o destinatarios de aquella informaci\u00f3n,legitimaci\u00f3n para el tratamiento,plazo de conservaci\u00f3n de los datos,identidad y direcci\u00f3n del responsable del tratamiento de los datos yposibilidad de ejercer sus derechos de acceso, rectificaci\u00f3n, cancelaci\u00f3n y oposici\u00f3n y por qu\u00e9 v\u00eda.Todos esos detalles deber\u00e1n formar parte de la pol\u00edtica de privacidad. Una vez actualizada, tienes que asegurarse de que esta nueva versi\u00f3n se publique en la web.Pol\u00edtica de cookiesLas cookies son archivos\u00a0de informaci\u00f3n enviados por un sitio web y almacenados en el navegador del usuario que visita ese sitio. Se utilizan para\u00a0analizar las visitas a nuestra p\u00e1gina web o mostrar publicidad din\u00e1mica.Por tanto, si tu web incluye algo de esto, debes cumplir con la ley de cookies.La ley que regula las cookies es la propia LSSI. En ese texto debe informarse sobre las cookies utilizadas en la p\u00e1gina, su finalidad y duraci\u00f3n.\u00bfCu\u00e1nto cuesta cumplir la LOPD?6. An\u00e1lisis de riesgos Todo tratamiento de datos personales puede entra\u00f1ar riesgos, por ello es necesario realizar un an\u00e1lisis para valorar la importancia de los mismos y la posibilidad de que ocurran. Para ello se deben tener en cuenta, entre otras, las siguientes cuestiones:tipo de datos,naturaleza de los datos,medios de tratamiento,cesiones,transferencias internacionales yn\u00famero de interesados afectados;Una vez hecho el an\u00e1lisis de riesgos, se deben implementar las medidas de seguridad adecuadas para prevenirlos. Esto es importante, porque no contar con medidas de prevenci\u00f3n y seguridad puede implicar sanciones por parte de la AEPD.7. Evaluaci\u00f3n de impactoNo en todos los casos es necesario hacer una evaluaci\u00f3n de impacto, puesto que se debe llevar a cabo cuando en funci\u00f3n de los datos manejados, exista un riesgo especialmente alto para los derechos o libertades de los interesados (los due\u00f1os de los datos).Sin embargo, los sindicatos, los sindicatos realizan un tratamiento de categor\u00edas especiales de datos ya que manejan datos de afiliaci\u00f3n sindical, considerados como datos sensibles. Por eso est\u00e1s obligado a hacer esa Evaluaci\u00f3n de impacto.8. Notificar brechas de seguridadDesde la entrada en vigor en 2018 del RGPD es obligatorio informar de las brechas de seguridad cuando estas se produzcan, es decir, que si detectamos que alguien ha intentado entrar en nuestras bases de datos o archivos de datos personales, tenemos que informar tanto a los afectado como la a AEPD. Los sindicatos tambi\u00e9n deben hacerlo.El plazo m\u00e1ximo para hacer esta notificaci\u00f3n es de 72 horas. Por lo que se recomienda contar con protocolos de actuaci\u00f3n ante incidentes de este tipo, para poder darles una respuesta r\u00e1pida y, sobre todo, no exceder el plazo m\u00e1ximo y ponerles soluci\u00f3n lo antes posible.\u00a1Cuidado! Debes notificar las brechas de seguridad en un plazo de 72 horasCabe destacar que, aunque no se permitir\u00e1n infracciones intencionadas de la ley, existir\u00e1n atenuantes si se puede demostrar a las autoridades y a los clientes que se est\u00e1 haciendo todo lo posible para cumplir con ella.9. Delegado de Protecci\u00f3n de DatosEn el sindicato debes designar a un\u00a0profesional con la cualificaci\u00f3n necesaria\u00a0en esta materia para que\u00a0salvaguarde los procesos y pol\u00edticas internas del tratamiento de datos personales. Este profesional ser\u00e1 el Delegado Protecci\u00f3n de Datos (DPD).Adem\u00e1s, para cumplir con el principio de informaci\u00f3n del nuevo RGPD, la designaci\u00f3n del DPD y sus datos de contacto deben hacerse p\u00fablicos y deber\u00e1n ser comunicados a las autoridades de supervisi\u00f3n competentes.El Delegado de Protecci\u00f3n de Datos podr\u00e1 ser tanto una persona en plantilla de la empresa como una externa y el cargo podr\u00e1 ser desempe\u00f1ado tambi\u00e9n por una empresa que ofrezca el servicio.Preguntas frecuentes\u00bfPuede el sindicato publicar datos de los trabajadores afiliados en el tabl\u00f3n de anuncios de la empresa?Solo en caso de que el acceso a esos tablones de anuncios sea de las personas legitimadas.En las empresas o centros de trabajo, siempre que sus caracter\u00edsticas lo permitan, se pondr\u00e1 a disposici\u00f3n de los delegados de personal o del comit\u00e9 de empresa un local adecuado en el que puedan desarrollar sus actividades y comunicarse con los trabajadores, as\u00ed como uno o varios tablones de anuncios.Actualmente, resulta f\u00e1cil encontrar en este tipo de tablones notas informativas, anuncios, convocatorias, declaraciones, sentencias, etc. Cuando estos documentos contienen datos personales la simple publicaci\u00f3n de \u00e9stos constituye un tratamiento que puede comportar el acceso a datos por terceros carentes de legitimaci\u00f3n.\u00bfPuede enviarse informaci\u00f3n sindical a los trabajadores?S\u00ed, puede enviarse esa informaci\u00f3n sin su consentimiento. Pero se reconoce el derecho de los trabajadores a mostrar su oposici\u00f3n a la recepci\u00f3n de mensajes con contenido sindical y, en ese caso, la obligaci\u00f3n de los Sindicatos de cesar en el tratamiento de los datos de los solicitantes.Sin embargo, cuando enfrentamos la ley de protecci\u00f3n de datos y las elecciones sindicales, la AEPD reconoci\u00f3 en una resoluci\u00f3n que durante ese per\u00edodo prevalece el derecho a la actividad sindical sobre el derecho a la protecci\u00f3n de datos, es decir, que los afiliados podr\u00e1n recibir informaci\u00f3n electora referente al sindicato.\u00bfPuede la empresa ceder datos al comit\u00e9 de empresa?Dado que el Estatuto de los Trabajadores establece el derecho del comit\u00e9 de empresa a acceder a determinada informaci\u00f3n relacionada con los trabajadores, como estad\u00edsticas de absentismo, accidentes de trabajo, faltas muy graves, copias b\u00e1sica de contratos de trabajo, etc., la AEPD recomienda que para contemplar por parte del comit\u00e9 de empresa la protecci\u00f3n de datos, esta informaci\u00f3n se facilite en forma estad\u00edstica o lo m\u00e1s anonimizada posible.\u00bfPuede la empresa ceder datos de los trabajadores a los sindicatos?S\u00ed, puede cederlos con el consentimiento del trabajador.La cesi\u00f3n de datos m\u00e1s com\u00fan a las organizaciones sindicales es la relativa al cobro de la cuota sindical en el pago de la n\u00f3mina. Se trata de una solicitud que debe realizar el propio trabajador, por lo que s\u00f3lo con el consentimiento expreso y por escrito del afectado podr\u00e1n ser objeto de tratamiento los datos de car\u00e1cter personal que revelen la ideolog\u00eda, afiliaci\u00f3n sindical, religi\u00f3n y creencias.\u00bfC\u00f3mo puedo demostrar que mi sindicato cumple el RGPD?Puedes demostrar el cumplimiento de las siguientes formas:Estableciendo\u00a0pol\u00edticas internas\u00a0de protecci\u00f3n de datos.Adoptando\u00a0c\u00f3digos de conducta\u00a0aprobados por asociaciones y otros organismos que representan categor\u00edas de responsables y encargados del tratamiento.Obteniendo\u00a0certificaciones\u00a0de protecci\u00f3n de datos por parte de organismos de certificaci\u00f3n acreditados.Ejecutando las directrices dadas por el Consejo Europeo de Protecci\u00f3n de Datos.Cumpliendo las indicaciones espec\u00edficas dadas por un Delegado de Protecci\u00f3n de datos.ModelosAqu\u00ed te dejo todos los documentos que necesitar\u00e1s para adaptar tu sindicato a la normativa de Protecci\u00f3n de Datos.Contrato con tercerosP\u00e1gina webAviso legalPol\u00edtica de cookiesPol\u00edtica de privacidadCompromiso confidencialidad empleadosConsentimientosConsentimiento clientesConsentimiento CVVideovigilanciaCarteles VideovigilanciaInformaci\u00f3n a trabajadores de instalaci\u00f3n de VideovigilanciaComunicacionesCorreos electr\u00f3nicosFacturasSancionesAunque pueden existir circunstancias en que la libertad sindical y la protecci\u00f3n de datos se enfrenten (como hemos visto un poco m\u00e1s arriba), es importante que los sindicatos cumplan con LOPD y el RGPD, porque las infracciones conllevan, en muchos casos, sanciones econ\u00f3micas.Aqu\u00ed ten\u00e9is dos ejemplos de sanciones impuestas por la AEPD a sindicatos:No atender debidamente el ejercicio del derecho de cancelaci\u00f3nEl responsable del tratamiento tendr\u00e1 la obligaci\u00f3n de hacer efectivo el derecho de rectificaci\u00f3n o cancelaci\u00f3n del interesado en el plazo de diez d\u00edas.Ser\u00e1n rectificados o cancelados, en su caso, los datos de car\u00e1cter personal cuyo tratamiento no se ajuste a lo dispuesto en la presente Ley y, en particular, cuando tales datos resulten inexactos o incompletos. Resoluci\u00f3n AEPD\u00a0R\/01567\/2018Acceso a datos personales por terceros no autorizadosEl responsable del tratamiento\u00a0deber\u00e1 adoptar las medidas de \u00edndole t\u00e9cnica y organizativas necesarias que garanticen la seguridad de los datos de car\u00e1cter personal y eviten su alteraci\u00f3n, p\u00e9rdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnolog\u00eda, la naturaleza de los datos almacenados y los riesgos a que est\u00e1n expuestos. Resoluci\u00f3n AEPD\u00a0R\/02729\/2017Ahora ya conoces lo que tienes que hacer para cumplir con el RGPD.No pierdas m\u00e1s tiempo y ponte a ello. \u00bfNecesitas cumplir el RGPD? Solicita varios presupuestos Entradas relacionadas\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\tConsejos sobre Protecci\u00f3n de Datos para comercios\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t"},{"@context":"http:\/\/schema.org\/","@type":"BreadcrumbList","itemListElement":[{"@type":"ListItem","position":1,"item":{"@id":"https:\/\/ayudaleyprotecciondatos.es\/#breadcrumbitem","name":"Ayuda Ley Protecci\u00f3n Datos"}},{"@type":"ListItem","position":2,"item":{"@id":"https:\/\/ayudaleyprotecciondatos.es\/2018\/10\/18\/sindicatos\/#breadcrumbitem","name":"Protecci\u00f3n de Datos en Sindicatos"}}]}]