Las empresas no son las únicas que están obligadas a cumplir con la normativa de protección de datos, los sindicatos también deben hacerlo, dado que manejan en muchos casos información personales de sus afiliados y otros trabajadores. En esta entrada vamos a explicar paso a paso cómo deben adaptarse al RGPD los sindicatos.
Normativa de Protección de Datos
Si necesitáis consultar la normativa de protección de datos que deben aplicar los sindicatos, como el resto de empresas y entidades, encontraréis las leyes que la regulan en los siguientes textos:
¿Cómo deben cumplir los sindicatos el RGPD?
Cada vez que un usuario deja sus datos para afiliarse a un sindicato o para solicitar información, el sindicato acuerda la prestación de servicios con otros profesionales y empresas externos, o cede los datos de sus afiliados, se están manejando datos de carácter personal de terceros. Para el correcto manejo de estos datos es preciso cumplir con la Ley de Protección de Datos.
Para ello, hay que llevar a cabo una serie de actuaciones para que el sindicato se adapte al RGPD:
- Realizar un Registro de actividades de tratamiento
- Firmar los contratos con terceros
- Firmar los contratos con los empleados
- Solicitar el consentimiento a los socios
- Incluir los textos legales en la página web
- Realizar un Análisis de riesgos
- Evaluación de impacto
- Notificar brechas de seguridad
- Nombrar un DPD
A continuación detallamos cada una de estas actuaciones.
1. Registro de actividades de tratamiento
Como ocurre con la protección de datos para empresas, los sindicatos también deben elaborar un registro de actividades de tratamiento. Este documento sirve para determinar el tipo y la cantidad de datos que se manejan, así como recoge el tipo de tratamiento y los medios y los fines para ello, entre otra información.
Este registro se puede hacer por escrito o en formato electrónico, pero es fundamental mantenerlo actualizado, puesto que es uno de los documentos que en caso de inspección, la Agencia Española de Protección de Datos (AEPD) solicitará ver.
El registro de actividades de tratamiento debe incluir la siguiente información:
- Tipo de datos almacenados
- Finalidad
- Legitimados
- Política de almacenamiento de esos datos
- Si se realizan cesiones o transferencias internacionales
- Medios a través de los que se realiza el tratamiento
Entre los tratamientos más habituales en los sindicatos encontramos:
- Afiliados
- Proveedores
- Contabilidad
- Recursos Humanos
- Curriculum
- Videovigilancia
2. Contratos con Encargados de tratamiento
Si el sindicato necesita ceder los datos personales de sus afiliados a entidades externas, es necesario que firme con ellas un contrato de encargo de tratamiento. La cesión de datos más habitual es la referente al pago de las cuotas sindicales a través de la nómina a petición del trabajador.
En este contrato deben establecer las condiciones y obligaciones de las partes respecto a la protección de datos personales, de manera que el sindicato se asegure que esas entidades externas cumplen también con la normativa de protección de datos.
Recuerda firmar el contrato de encargo de tratamiento con los terceros
El contrato al menos debe incluir:
- objeto, la duración, la naturaleza y la finalidad del tratamiento,
- tipo de datos personales,
- categorías de interesados, y
- obligaciones y derechos del responsable.
3. Acuerdo de confidencialidad
Tanto si en el sindicato hay contratos empleados o tiene voluntario, es necesario que estos firmen un acuerdo de confidencialidad, para asegurar que no revelarán información a terceras personas no autorizadas. Es especialmente importante si estos empleados o voluntarios van a tener acceso a datos personales de los afiliados.
Además de este acuerdo, deben cumplir las normas de seguridad establecidas por el sindicato en materia de protección de datos. Y no está de más informar y formar sobre las posibles amenazas y riesgos que existen y que pueden dejar al descubierto o permitir el robo de datos durante un ciberataque si no son cuidadosos con lo que abren en sus correos electrónicos o los sitios por los que navegan.
4. Consentimiento de afiliados al sindicato
Aparte de actualizar la política de privacidad, la protección de datos para sindicatos también incluye la obligación de obtener el consentimiento expreso de los afiliados para poder tratar sus datos.
En el sindicato debes contar con un formulario (virtual, si la captación de datos se realiza vía web, o en papel, para el resto de casos) solicitando el consentimiento para el tratamiento (máxime si se van a tratar datos sensibles).
En él deben informar claramente de:
- datos del responsable del tratamiento (sindicato),
- finalidad concreta del tratamiento,
- tiempo que se conservarán,
- destinatarios si los hay (¿se ceden los datos a otras entidades?),
- transferencias de datos internacionales si se realizan,
- derechos de los afectados y cómo se pueden exigir estos y
- datos del Delegado de Protección de datos (si el sindicato debe contar con uno o así lo ha decidido).
Uno de los fines principales del RGPD es que los clientes sean mucho más conscientes de qué información disponen las empresas de ellos y para qué se utiliza. Por ello, es esencial que se les comunique cualquier cambio que se vaya a realizar.
¿Y cómo se hace?
Una buena opción sería enviar emails a los afiliados y empleados o publicar alguna entrada en la página web y difundirla posteriormente por redes sociales, para generar más confianza.
5. Página web del sindicato
Si tienes página web, debes incluir los textos exigidos por la ley de Protección de Datos y la LSSI:
- Aviso legal
- Política de privacidad
- Política de cookies
Aviso legal
Este es el documento donde se identifica al propietario de la página web.
En él debes incluir:
- Nombre del propietario
- CIF / NIF
- Dirección
Debes poner un enlace visible a este texto desde cualquier página de la web.
Política de privacidad
Es importante revisar la política de privacidad del sindicato y hacer una versión de esta más extensa, que incluya más información acerca del procesamiento de los datos.
Así, en el texto de Política de privacidad tendrás que informar expresamente de:
- existencia de un tratamiento de los datos que se le están solicitando,
- finalidad,
- destinatario o destinatarios de aquella información,
- legitimación para el tratamiento,
- plazo de conservación de los datos,
- identidad y dirección del responsable del tratamiento de los datos y
- posibilidad de ejercer sus derechos de acceso, rectificación, cancelación y oposición y por qué vía.
Todos esos detalles deberán formar parte de la política de privacidad. Una vez actualizada, tienes que asegurarse de que esta nueva versión se publique en la web.
Política de cookies
Las cookies son archivos de información enviados por un sitio web y almacenados en el navegador del usuario que visita ese sitio. Se utilizan para analizar las visitas a nuestra página web o mostrar publicidad dinámica.
Por tanto, si tu web incluye algo de esto, debes cumplir con la ley de cookies.
La ley que regula las cookies es la propia LSSI. En ese texto debe informarse sobre las cookies utilizadas en la página, su finalidad y duración.
6. Análisis de riesgos
Todo tratamiento de datos personales puede entrañar riesgos, por ello es necesario realizar un análisis para valorar la importancia de los mismos y la posibilidad de que ocurran. Para ello se deben tener en cuenta, entre otras, las siguientes cuestiones:
- tipo de datos,
- naturaleza de los datos,
- medios de tratamiento,
- cesiones,
- transferencias internacionales y
- número de interesados afectados;
Una vez hecho el análisis de riesgos, se deben implementar las medidas de seguridad adecuadas para prevenirlos. Esto es importante, porque no contar con medidas de prevención y seguridad puede implicar sanciones por parte de la AEPD.
7. Evaluación de impacto
No en todos los casos es necesario hacer una evaluación de impacto, puesto que se debe llevar a cabo cuando en función de los datos manejados, exista un riesgo especialmente alto para los derechos o libertades de los interesados (los dueños de los datos).
Sin embargo, los sindicatos, los sindicatos realizan un tratamiento de categorías especiales de datos ya que manejan datos de afiliación sindical, considerados como datos sensibles. Por eso estás obligado a hacer esa Evaluación de impacto.
8. Notificar brechas de seguridad
Desde la entrada en vigor en 2018 del RGPD es obligatorio informar de las brechas de seguridad cuando estas se produzcan, es decir, que si detectamos que alguien ha intentado entrar en nuestras bases de datos o archivos de datos personales, tenemos que informar tanto a los afectado como la a AEPD. Los sindicatos también deben hacerlo.
El plazo máximo para hacer esta notificación es de 72 horas. Por lo que se recomienda contar con protocolos de actuación ante incidentes de este tipo, para poder darles una respuesta rápida y, sobre todo, no exceder el plazo máximo y ponerles solución lo antes posible.
¡Cuidado! Debes notificar las brechas de seguridad en un plazo de 72 horas
Cabe destacar que, aunque no se permitirán infracciones intencionadas de la ley, existirán atenuantes si se puede demostrar a las autoridades y a los clientes que se está haciendo todo lo posible para cumplir con ella.
9. Delegado de Protección de Datos
En el sindicato debes designar a un profesional con la cualificación necesaria en esta materia para que salvaguarde los procesos y políticas internas del tratamiento de datos personales. Este profesional será el Delegado Protección de Datos (DPD).
Además, para cumplir con el principio de información del nuevo RGPD, la designación del DPD y sus datos de contacto deben hacerse públicos y deberán ser comunicados a las autoridades de supervisión competentes.
El Delegado de Protección de Datos podrá ser tanto una persona en plantilla de la empresa como una externa y el cargo podrá ser desempeñado también por una empresa que ofrezca el servicio.
Preguntas frecuentes
¿Puede el sindicato publicar datos de los trabajadores afiliados en el tablón de anuncios de la empresa?
Solo en caso de que el acceso a esos tablones de anuncios sea de las personas legitimadas.
En las empresas o centros de trabajo, siempre que sus características lo permitan, se pondrá a disposición de los delegados de personal o del comité de empresa un local adecuado en el que puedan desarrollar sus actividades y comunicarse con los trabajadores, así como uno o varios tablones de anuncios.
Actualmente, resulta fácil encontrar en este tipo de tablones notas informativas, anuncios, convocatorias, declaraciones, sentencias, etc. Cuando estos documentos contienen datos personales la simple publicación de éstos constituye un tratamiento que puede comportar el acceso a datos por terceros carentes de legitimación.
¿Puede enviarse información sindical a los trabajadores?
Sí, puede enviarse esa información sin su consentimiento. Pero se reconoce el derecho de los trabajadores a mostrar su oposición a la recepción de mensajes con contenido sindical y, en ese caso, la obligación de los Sindicatos de cesar en el tratamiento de los datos de los solicitantes.
Sin embargo, cuando enfrentamos la ley de protección de datos y las elecciones sindicales, la AEPD reconoció en una resolución que durante ese período prevalece el derecho a la actividad sindical sobre el derecho a la protección de datos, es decir, que los afiliados podrán recibir información electora referente al sindicato.
¿Puede la empresa ceder datos al comité de empresa?
Dado que el Estatuto de los Trabajadores establece el derecho del comité de empresa a acceder a determinada información relacionada con los trabajadores, como estadísticas de absentismo, accidentes de trabajo, faltas muy graves, copias básica de contratos de trabajo, etc., la AEPD recomienda que para contemplar por parte del comité de empresa la protección de datos, esta información se facilite en forma estadística o lo más anonimizada posible.
¿Puede la empresa ceder datos de los trabajadores a los sindicatos?
Sí, puede cederlos con el consentimiento del trabajador.
La cesión de datos más común a las organizaciones sindicales es la relativa al cobro de la cuota sindical en el pago de la nómina. Se trata de una solicitud que debe realizar el propio trabajador, por lo que sólo con el consentimiento expreso y por escrito del afectado podrán ser objeto de tratamiento los datos de carácter personal que revelen la ideología, afiliación sindical, religión y creencias.
¿Cómo puedo demostrar que mi sindicato cumple el RGPD?
Puedes demostrar el cumplimiento de las siguientes formas:
- Estableciendo políticas internas de protección de datos.
- Adoptando códigos de conducta aprobados por asociaciones y otros organismos que representan categorías de responsables y encargados del tratamiento.
- Obteniendo certificaciones de protección de datos por parte de organismos de certificación acreditados.
- Ejecutando las directrices dadas por el Consejo Europeo de Protección de Datos.
- Cumpliendo las indicaciones específicas dadas por un Delegado de Protección de datos.
Modelos
Aquí te dejo todos los documentos que necesitarás para adaptar tu sindicato a la normativa de Protección de Datos.
- Contrato con terceros
- Página web
- Compromiso confidencialidad empleados
- Consentimientos
- Videovigilancia
- Comunicaciones
Sanciones
Aunque pueden existir circunstancias en que la libertad sindical y la protección de datos se enfrenten (como hemos visto un poco más arriba), es importante que los sindicatos cumplan con LOPD y el RGPD, porque las infracciones conllevan, en muchos casos, sanciones económicas.
Aquí tenéis dos ejemplos de sanciones impuestas por la AEPD a sindicatos:
No atender debidamente el ejercicio del derecho de cancelación
El responsable del tratamiento tendrá la obligación de hacer efectivo el derecho de rectificación o cancelación del interesado en el plazo de diez días.
Serán rectificados o cancelados, en su caso, los datos de carácter personal cuyo tratamiento no se ajuste a lo dispuesto en la presente Ley y, en particular, cuando tales datos resulten inexactos o incompletos. Resolución AEPD R/01567/2018
Acceso a datos personales por terceros no autorizados
El responsable del tratamiento deberá adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos. Resolución AEPD R/02729/2017
Ahora ya conoces lo que tienes que hacer para cumplir con el RGPD.
No pierdas más tiempo y ponte a ello.