Cómo deben adaptarse los sindicatos al RGPD

Autor: Dudatis.com

Cómo deben adaptarse los sindicatos al RGPD

Las empresas no son las únicas que están obligadas a cumplir con la normativa de protección de datos, los sindicatos también deben hacerlo, dado que manejan en muchos casos información personal de sus afiliados y otros trabajadores. En esta entrada vamos a explicar paso a paso cómo deben adaptarse al RGPD los sindicatos.

Normativa de Protección de Datos

Si necesitáis consultar la normativa de protección de datos que deben aplicar los sindicatos, como el resto de empresas y entidades, encontraréis las leyes que la regulan en los siguientes textos:

  • RGPD
  • LOPD
  • LOPDGDD
  • LOPDD
  • LSSI (regula los servicios de la sociedad de la información y el comercio electrónico)

Cómo deben cumplir los sindicatos el RGPD

Cada vez que un usuario deja sus datos para afiliarse a un sindicato o para solicitar información, el sindicato acuerda la prestación de servicios con otros profesionales y empresas externos, o cede los datos de sus afiliados, se están manejando datos de carácter personal de terceros. Para el correcto manejo de estos datos es preciso cumplir con la Ley de Protección de Datos.

Para ello, hay que llevar a cabo una serie de actuaciones para que el sindicato se adapte al RGPD:

1. Registro de actividades de tratamiento

Como ocurre con la protección de datos para empresas, los sindicatos también deben elaborar un registro de actividades de tratamiento. Este documento sirve para determinar el tipo y la cantidad de datos que se manejan, así como recoge el tipo de tratamiento y los medios y los fines para ello, entre otras información.

Este registro se puede hacer por escrito o en formato electrónico, pero es fundamental mantenerlo actualizado, puesto que es uno de los documentos que en caso de inspección, la Agencia Española de Protección de Datos (AEPD) solicitará ver.

El registro de actividades de tratamiento debe incluir la siguiente información:

  • Tipo de datos almacenados
  • Finalidad
  • Legitimados
  • Política de almacenamiento de esos datos
  • Si se realizan cesiones o transferencias internacionales
  • Medios a través de los que se realiza el tratamiento

Entre los tratamientos más habituales en los sindicatos encontramos:

  • Afiliados
  • Proveedores
  • Contabilidad
  • Recursos Humanos
  • Curriculum
  • Videovigilancia

2. Contratos con Encargados de tratamiento

Si el sindicato necesita ceder los datos personales de sus afiliados a entidades externas, es necesario que firme con ellas un contrato de encargo de tratamiento. La cesión de datos más habitual es la referente al pago de las cuotas sindicales a través de la nómina a petición del trabajador.

En este contrato deben establecer las condiciones y obligaciones de las partes respecto a la protección de datos personales, de manera que el sindicato se asegure que esas entidades externas cumplen también con la normativa de protección de datos.

3. Acuerdo de confidencialidad

Tanto si en el sindicato hay contratos empleados o tiene voluntario, es necesario que estos firmen un acuerdo de confidencialidad, para asegurar que no revelarán información a terceras personas no autorizadas. Es especialmente importante si estos empleados o voluntarios van a tener acceso a datos personales de los afiliados.

Además de este acuerdo, deben cumplir las normas de seguridad establecidas por el sindicato en materia de protección de datos. Y no está de más informar y formar sobre las posibles amenazas y riesgos que existen y que pueden dejar al descubierto o permitir el robo de datos durante un ciberataque si no son cuidadosos con lo que abren en sus correos electrónicos o los sitios por los que navegan.

4. Consentimiento de afiliados al sindicato

Aparte de actualizar la política de privacidad, la protección de datos para sindicatos también incluye la obligación de obtener el consentimiento expreso de los afiliados para poder tratar sus datos.

En el sindicato debes contar con un formulario (virtual, si la captación de datos se realiza vía web, o en papel, para el resto de casos) solicitando el consentimiento para el tratamiento (máxime si se van a tratar datos sensibles).

En él deben informar claramente de:

  • Datos del responsable del tratamiento (sindicato)
  • Finalidad concreta del tratamiento
  • Tiempo que se conservarán
  • Destinatarios si los hay (¿se ceden los datos a otras entidades?)
  • Transferencias de datos internacionales si se realizan
  • Derechos de los afectados y cómo se pueden exigir estos
  • Datos del Delegado de Protección de datos (si el sindicato debe contar con uno o así lo ha decidido)

Uno de los fines principales del RGPD es que los clientes sean mucho más conscientes de qué información disponen las empresas de ellos y para qué se utiliza. Por ello, es esencial que se les comunique cualquier cambio que se vaya a realizar.

Una buena opción sería enviar emails a los afiliados y empleados o publicar alguna entrada en la página web y difundirla posteriormente por redes sociales, para generar más confianza.

5. Página web del sindicato

Si tienes página web, debes incluir los textos exigidos por la ley de Protección de Datos y la LSSI:

  • Aviso legal
  • Política de privacidad
  • Política de cookies

Aviso legal

Este es el documento donde se identifica al propietario de la página web.

En él debes incluir:

  • Nombre del propietario
  • CIF / NIF
  • Dirección
  • Email

Debes poner un enlace visible a este texto desde cualquier página de la web.

Política de privacidad

Es importante revisar la política de privacidad del sindicato y hacer una versión de esta más extensa, que incluya más información acerca del procesamiento de los datos.

Así, en el texto de Política de privacidad tendrás que informar expresamente de:

  • Existencia de un tratamiento de los datos que se le están solicitando
  • Finalidad
  • Destinatario o destinatarios de aquella información
  • Legitimación para el tratamiento
  • Plazo de conservación de los datos
  • Identidad y dirección del responsable del tratamiento de los datos
  • Possibilidad de ejercer sus derechos de acceso, rectificación, cancelación y oposición y por qué vía

Todos esos detalles deberán formar parte de la política de privacidad. Una vez actualizada, tienes que asegurarse de que esta nueva versión se publique en la web.

Política de cookies

Las cookies son archivos de información enviados por un sitio web y almacenados en el navegador del usuario que visita ese sitio. Se utilizan para analizar las visitas a nuestra página web o mostrar publicidad dinámica.

Por tanto, si tu web incluye algo de esto, debes cumplir con la ley de cookies.

La ley que regula las cookies es la propia LSSI. En ese texto debe informarse sobre las cookies utilizadas en la página, su finalidad y duración.

6. Análisis de riesgos

Todo tratamiento de datos personales puede entrañar riesgos, por ello es necesario realizar un análisis para valorar la importancia de los mismos y la posibilidad de que ocurran. Para ello se deben tener en cuenta, entre otras, las siguientes cuestiones:

  • Tipo de datos
  • Naturaleza de los datos
  • Medios de tratamiento
  • Cesiones
  • Transferencias internacionales
  • Número de interesados afectados

Una vez hecho el análisis de riesgos, se deben implementar las medidas de seguridad adecuadas para prevenirlos. Esto es importante, porque no contar con medidas de prevención y seguridad puede implicar sanciones por parte de la AEPD.

7. Evaluación de impacto

No en todos los casos es necesario hacer una evaluación de impacto, puesto que se debe llevar a cabo cuando en función de los datos manejados, exista un riesgo especialmente alto para los derechos o libertades de los interesados (los dueños de los datos).

Sin embargo, los sindicatos, realizan un tratamiento de categorías especiales de datos ya que manejan datos de afiliación sindical, considerados como datos sensibles. Por eso estás obligado a hacer esa Evaluación de impacto.

8. Notificar brechas de seguridad

Desde la entrada en vigor en 2018 del RGPD es obligatorio informar de las brechas de seguridad cuando estas se produzcan, es decir, que si detectamos que alguien ha intentado entrar en nuestras bases de datos o archivos de datos personales, tenemos que informar tanto a los afectado como la a AEPD. Los sindicatos también deben hacerlo.

El plazo máximo para hacer esta notificación es de 72 horas. Por lo que se recomienda contar con protocolos de actuación ante incidentes de este tipo, para poder darles una respuesta rápida y, sobre todo, no exceder el plazo máximo y ponerles solución lo antes posible.

Cabe destacar que, aunque no se permitirán infracciones intencionadas de la ley, existirán atenuantes si se puede demostrar a las autoridades y a los clientes que se está haciendo todo lo posible para cumplir con ella.

9. Delegado de Protección de Datos

En el sindicato debes designar a un profesional con la cualificación necesaria en esta materia para que salvaguarde los procesos y políticas internas del tratamiento de datos personales. Este profesional será el Delegado Protección de Datos (DPD).

Además, para cumplir con el principio de información del nuevo RGPD, la designación del DPD y sus datos de contacto deben hacerse públicos y deberán ser comunicados a las autoridades de supervisión competentes.

El Delegado de Protección de Datos podrá ser tanto una persona en plantilla de la empresa como una externa y el cargo podrá ser desempeñado también por una empresa que ofrezca el servicio.

Preguntas frecuentes

¿Puede el sindicato publicar datos de los trabajadores afiliados en el tablón de anuncios de la empresa?

Solo en caso de que el acceso a esos tablones de anuncios sea de las personas legitimadas. En las empresas o centros de trabajo, siempre que sus características lo permitan, se pondrá a disposición de los delegados de personal o del comité de empresa un local adecuado en el que puedan desarrollar sus actividades y comunicarse con los trabajadores, así como uno o varios tablones de anuncios. Actualmente, resulta fácil encontrar en este tipo de tablones notas informativas, anuncios, convocatorias, declaraciones, sentencias, etc. Cuando estos documentos contienen datos personales la simple publicación de éstos constituye un tratamiento que puede comportar el acceso a datos por terceros carentes de legitimación.

¿Puede enviarse información sindical a los trabajadores?

Sí, puede enviarse esa información sin su consentimiento. Pero se reconoce el derecho de los trabajadores a mostrar su oposición a la recepción de mensajes con contenido sindical y, en ese caso, la obligación de los Sindicatos de cesar en el tratamiento de los datos de los solicitantes. Sin embargo, cuando enfrentamos la ley de protección de datos y las elecciones sindicales, la AEPD reconoció en una resolución que durante ese período prevalece el derecho a la actividad sindical sobre el derecho a la protección de datos, es decir, que los afiliados podrán recibir información electora referente al sindicato.

¿Puede la empresa ceder datos al comité de empresa?

Dado que el Estatuto de los Trabajadores establece el derecho del comité de empresa a acceder a determinada información relacionada con los trabajadores, como estadísticas de absentismo, accidentes de trabajo, faltas muy graves, copias básica de contratos de trabajo, etc., la AEPD recomienda que para contemplar por parte del comité de empresa la protección de datos, esta información se facilite en forma estadística o lo más anonimizada posible.

¿Puede la empresa ceder datos de los trabajadores a los sindicatos?

Sí, puede cederlos con el consentimiento del trabajador. La cesión de datos más común a las organizaciones sindicales es la relativa al cobro de la cuota sindical en el pago de la nómina. Se trata de una solicitud que debe realizar el propio trabajador, por lo que sólo con el consentimiento expreso y por escrito del afectado podrán ser objeto de tratamiento los datos de carácter personal que revelen la ideología, afiliación sindical, religión y creencias.

¿Cómo puedo demostrar que mi sindicato cumple el RGPD?

Puedes demostrar el cumplimiento de las siguientes formas:

  • Manteniendo el registro de actividades de tratamiento actualizado.
  • Firmando contratos de encargo de tratamiento con terceros.
  • Contando con acuerdos de confidencialidad con empleados y voluntarios.
  • Obteniendo el consentimiento expreso de los afiliados.
  • Incluyendo los textos legales en la página web.
  • Realizando análisis de riesgos y evaluaciones de impacto.
  • Notificando brechas de seguridad en un plazo de 72 horas.
  • Designando a un Delegado de Protección de Datos.

Entradas relacionadas

Si te interesa el tema de la protección de datos, te recomendamos revisar las siguientes entradas:

  • Normativa de Protección de Datos
  • ¿Necesitas cumplir el RGPD?
  • ¿Cuánto cuesta cumplir la LOPD?

Esperamos que esta información te haya sido útil y te ayude a cumplir con la normativa de protección de datos en tu sindicato.


0 Comentarios

En Dudatis.com, nos encanta que participes y expreses tus opiniones. Tu voz es importante para nosotros. Siéntete libre de comentar y compartir tus ideas. Esperamos con interés tus comentarios.


Deja un comentario

Tu dirección de correo electrónico no será publicada. Apreciamos tu participación, y te pedimos que respetes nuestras normas. Recuerda que los campos marcados con * son obligatorios.