Conoce Atico34 - Solicita presupuesto
AsociacionesSectores

Protección de datos y sindicatos: cumplir RGPD y LOPD en el ámbito sindical

En el blog de Grupo Atico34 ya hemos hablado en otros artículos sobre la protección de datos dentro del marco de las relaciones laborales, pero ¿qué ocurre con los sindicatos? ¿Es de aplicación la Ley de Protección de Datos? ¿Qué obligaciones en materia de protección de datos tienen la representación legal de los trabajadores (RLT)? En esta guía repasamos los aspectos clave sobre protección de datos y sindicatos.

¿Deben los sindicatos cumplir la Ley de Protección de Datos?

Sí, los sindicatos deben cumplir con la Ley de Protección de Datos, puesto que tratan los datos personales de los empleados, y no solo de aquellos afiliados al sindicato dentro las empresas, sino también del resto de trabajadores en determinadas ocasiones y para diferentes finalidades.

Además, el sindicato o la RLT es el responsable del tratamiento de los datos personales que manejen o utilicen en el ejercicio de sus funciones representativas. Por lo tanto, deben cumplir con las obligaciones que la normativa de protección de datos establece para responsables del tratamiento y que detallaremos más adelante.

Protección de datos para sindicatos y otras organizaciones desde 180 euros al año.

tarifas proteccion datos

¿Qué normativa regula la protección de datos en sindicatos?

Cuando hablamos de normativa de protección de datos, nos referimos a:

  • El Reglamento General de Protección de Datos (RGPD), que es el marco europeo que regula la protección de datos en toda la UE desde mayo de 2018 y que es de obligado cumplimiento para cualquier responsable o encargado del tratamiento que maneje datos personales de ciudadanos de la UE, con independencia de dónde tenga su sede.
  • La Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD o LOPD), que es la ley española de protección de datos y que adapta en gran medida lo establecido en el RGPD respecto al tratamiento de datos personales, por lo que cumplir esta implica cumplir el Reglamento europeo
  • También debemos tener en cuenta la LSSI (Ley de Servicios de la Sociedad de la Información) en lo referente al envío de comunicaciones electrónicas.

Cómo cumplir el RGPD y la LOPD para sindicatos

Cómo decíamos, para cumplir el RGPD y la LOPD, los sindicatos deben cumplir con una serie de obligaciones como responsables del tratamiento, y deben de hacerlo de manera proactiva, es decir, deben implementar medidas técnicas y organizativas que garanticen la protección de los datos personales que manejan en el desempeño de su actividad sindical y de representación de los trabajadores. Además, deben poder demostrar que cumplen con dichas obligaciones, por lo que es necesario documentar dichas medidas y generar la documentación exigida por la normativa.

En los siguientes puntos detallamos las principales obligaciones en protección de datos para sindicatos, puesto que como con cualquier otra actividad en la que se manejen datos personales, protección de datos y RLT deben ir de la mano.

Legitimación del tratamiento

El RGPD y la LOPD establecen que para que un responsable pueda realizar un tratamiento de datos personales, debe estar legitimado para ello; las bases legitimadoras para el tratamiento de datos están recogidas en el artículo 6 del RGPD y, en el caso de sindicatos y RLT, la licitud de tratamiento estaría en:

  • El consentimiento expreso de los interesados, los titulares de los datos, ya que la filiación sindical es un dato especialmente protegido (y en especial en lo que atañe al descuento de la cuota sindical en la nómina).
  • El cumplimiento de una obligación legal por parte del responsable.
  • La existencia de un convenio colectivo, de acuerdo a lo establecido por el artículo 88.1 del RGPD y el artículo 64.9 del Estatuto de los Trabajadores.

En cualquier caso, esta licitud del tratamiento está limitada por los principios de minimización y la finalidad del tratamiento, es decir, que los sindicatos, en su calidad de responsables del tratamiento, solo podrán tratar los datos mínimamente necesarios de los trabajadores para alcanzar la finalidad para la que son recabados. Por ejemplo, el uso del nombre y los apellidos, así como del puesto de trabajo son datos que es necesario tratar por parte del sindicato. No lo serías, por el contrario, solicitar el número de teléfono personal de los empleados.

Deber de informar

Con carácter previo a cualquier tratamiento de datos personales o cuando este se vaya a realizar, el sindicato o la RLT debe informar a los interesados sobre dicho tratamiento, en concreto sobre:

  • La identidad del responsable del tratamiento.
  • La base o bases legitimadoras para el tratamiento de datos personales.
  • La finalidad del tratamiento.
  • Plazo de conservación de los datos.
  • Los derechos que asisten a los interesados en materia de protección de datos, es decir, los derechos ARSULIPO (acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición), incluida la posibilidad de presentar una reclamación ante la AEPD.

Esta información puede suministrarse de la manera que estime oportuna el responsable, pero siempre debe ser fácilmente accesible o localizable por los interesados (por ejemplo, puede publicarse en la página web del sindicato) y debe estar redactada de forma comprensible.

Análisis de riesgos y evaluación de impacto

Antes de realizar ningún tratamiento de datos personales, es imprescindible llevar a cabo un análisis de los riesgos que pueden derivarse de dicho tratamiento para los derechos y libertades fundamentales de los interesados, es decir, se trata de identificar los riesgos y amenazas inherentes al tratamiento y determinar la probabilidad de que ocurran y el nivel de impacto negativo en la vida de los interesados si suceden.

En base a las conclusiones extraídas del análisis de riesgos, se podrá decidir qué medidas de seguridad técnicas y organizativas son las más adecuadas para minimizar tanto la probabilidad como el impacto de los riesgos y amenazas.

Por ejemplo, si la RLT ha creado una base de datos con la información de los trabajadores de la empresa, el análisis de riesgos podría determinar como riesgos el acceso no autorizado a la base de datos y su filtración. Para mitigar el impacto que la difusión de esa información tendría en los trabajadores, la RLT debería tanto cifrar la base de datos como proteger mediante contraseña el acceso al equipo o red en la que se encuentra almacenada.

En cuanto a la evaluación de impacto en protección de datos (EIPD), es un análisis de riesgos más exhaustivo que debe llevarse a cabo cuando el tratamiento de datos, por su naturaleza, alcance, contexto o fines, pueda entrañar un alto riesgo para los derechos y libertades de los interesados. El artículo 35.3 del RGPD establece qué tratamientos requieren una EIPD, así como la lista publicada por la AEPD (Agencia Española de Protección de Datos) publicada a tal efecto.

En el caso de los sindicatos, la EIPD debería hacerse si estos tratan datos personales a gran escala y de manera sistemática (sería el caso de empresas con un gran número de empleados), cuando se traten datos de filiación sindical o cuando se traten de datos relativos a víctimas de violencia de género.

Registro de actividades de tratamiento

Como responsable del tratamiento, el sindicato deberá llevar al día el registro de actividades de tratamiento; en este registro se recogen todos los tratamientos de datos personales que efectúe el sindicato y describe, de manera concisa, todo lo relativo a dichos tratamientos.

Se debe realizar un registro de actividades de tratamiento por cada tratamiento de datos personales diferente, llevarlo por escrito (incluidos medios electrónicos) y tenerlo lo más actualizado posible.

No es necesario inscribirlo en ningún sitio, pero si la AEPD lo solicita, debe ponerse a su disposición.

El registro de actividades de tratamiento contendrá la siguiente información:

  • Identificación y datos de contacto del responsable del tratamiento y, si los hay, del encargado del tratamiento y del Delegado de Protección de Datos (DPO).
  • Finalidad del tratamiento.
  • Base legitimadora del tratamiento.
  • Descripción de categorías de datos e interesados.
  • Categorías de destinatarios de los datos (existentes o previstos).
  • Transferencias internacionales de datos (si las hay).
  • Plazo de conservación previsto.
  • Descripción de medidas de seguridad adoptadas.

Encargo del tratamiento

En el caso de que el sindicato o la RLT ceda o comunique datos personales de los trabajadores o afiliados a terceros, siempre que tenga una base legitimadora para hacerlo, deberá firmar con estos terceros un contrato de encargo del tratamiento, en el que fije las condiciones y obligaciones del encargado del tratamiento respecto a los datos cedidos.

Acuerdos de confidencialidad

Cualquier miembro del sindicato o la RLT que acceda a datos personales de los trabajadores, debe mantener la confidencialidad de la información, no pudiendo usarla con otros fines. Para reforzar el cumplimiento del deber de secreto, se puede recurrir a la firma de acuerdos de confidencialidad por parte de los miembros de la representación sindical.

La publicación en tablones de anuncios

Los artículos 81 del ET y 8.2 de la Ley de Libertad Sindical reconocen la capacidad de los sindicatos o la RLT para publicar datos personales en los tablones de anuncios de la empresa, sean estos tablones físicos o digitales. Ahora bien, a la hora de publicar dicha información en los tablones, es necesario tener en cuenta la propia normativa de protección de datos.

Para aclarar dudas, la AEPD dio algunas indicaciones al respecto; primero, que a la información de los tablones solo pueda acceder el personal debidamente legitimado (lo que incluye a los propios trabajadores), y lo segundo, que los tablones no deben colocarse en zonas por las que transiten clientes o proveedores o, en el caso de tablones digitales, que sean accesibles navegando por internet (deben estar en una intranet accesible solo por usuario y contraseña).

Así mismo, la información publicada en los tablones de anuncios deberá ser la estrictamente necesaria para alcanzar el objetivo propuesto. En caso de tener que publicar una resolución administrativa o judicial, previamente se procederá a la anonimización de los datos personales que aparezcan en ellas.

En cualquier caso, no se podrá publicar en el tablón de anuncios la información relativa a la Relación Nominal de Trabajadores ni a la Relación de Liquidación de Cotizaciones.

Obligaciones para página web

En caso de que el sindicato tenga una página web, debe cumplir con las siguientes obligaciones:

  • Redactar y publicar la correspondiente política de privacidad del sitio web.
  • Redactar y publicar la política de cookies para informar sobre el uso de las mismas e implementar el aviso de cookies para recabar el consentimiento para su uso.
  • Adaptar los formularios web al RGPD y la LOPD.
  • Redactar y publicar el aviso legal.

Designación del Delegado de Protección de Datos

Los sindicatos o RLT que traten con datos personales de manera sistemática y a gran escala, así como con datos de categorías especiales de manera habitual, deben designar un Delegado de Protección de Datos. Este profesional será quien asesore al sindicato en materia de protección de datos y supervise el cumplimiento de las obligaciones establecidas en la normativa. Así mismo, funcionará de enlace entre el sindicato y la AEPD (no confundirlo con el delegado sindical).

El DPO puede ser tanto un miembro del sindicato o la RLT, siempre que disponga de los conocimientos y experiencia necesarios para ello, o puede designarse de manera externa, a través de una consultoría especializada en protección de datos.

Contrata un Delegado de Protección de Datos

Auditorías periódicas

Se recomienda realizar auditorías periódicas de protección de datos por parte del sindicato, para evaluar el nivel de cumplimiento de la normativa y si es necesario adoptar nuevas medidas o mejorar las ya implementadas.

Estas auditorías deberán realizarse cada uno o dos años y es recomendable que las haga un servicio externo experto en la materia.

Notificación de brechas de seguridad

Si se produjera una brecha de seguridad que pudiera exponer los datos personales que trata el sindicato y de ello derivarse un riesgo para los derechos y libertades de los interesados, el sindicato deberá notificar el incidente en un plazo no máximo de 72 horas, tanto a la AEPD como a los propios interesados.

¿Pueden sancionar al sindicato por no cumplir la Ley de Protección de Datos?

No cumplir con las obligaciones de la Ley de Protección de Datos es motivo de sanción. Dependiendo de la gravedad de la infracción, los datos y número de interesados de afectados, la intencionalidad del hecho y la duración en el tiempo, el sindicato podría enfrentarse a las multas establecidas según las siguientes horquillas:

  • Infracciones leves: hasta 40.000 euros.
  • Infracciones graves: de 40.000 a 300.000 euros.
  • Infracciones muy graves hasta 20 millones de euros o el 4% de la facturación del último ejercicio.

Grupo Atico34 ayuda a los sindicatos a cumplir el RGPD y la LOPD

Con más de 12 años de experiencia, Grupo Atico34 ha ayudado a todo tipo de organizaciones, privadas y públicas, a cumplir con el RGPD y la LOPD. Nuestro equipo de expertos no solo tienen los conocimientos necesarios en la normativa, sino también la experiencia en su aplicación y podrán ayudar a cualquier sindicato o RLT a adaptarse a la Ley de Protección de Datos y cumplir con sus correspondientes obligaciones.

Estudiaremos el caso particular y propondremos e implementaremos las medidas necesarias para cumplir con la Ley, siempre con una atención completamente personalizada y un asesoramiento continuo.

Contacta con nosotros sin compromiso e infórmate de qué podemos hacer por ti y por qué somos la empresa líder en protección de datos.

¿Necesitas un presupuesto? Escríbenos o llámanos al 914 896 419

He leído y acepto la política de privacidad.

Preguntas frecuentes

¿Son los datos de afiliación sindical datos especialmente protegidos? ¿Y el dato de las cuotas sindicales?

La respuesta es sí. Los datos de afiliación, según el artículo 9 del RGPD, son datos especialmente protegidos, por lo que requieren un consentimiento expreso del afectado para su tratamiento, salvo que podamos acudir a otros motivos o bases legítimas que justifiquen el tratamiento de esta categoría de datos.

Por su parte, el dato del importe de la cuota sindical, como tal, no es considerado un dato especialmente protegido, dado que se trataría, realmente, de un dato meramente económico.

¿Puede enviarse información sindical a los trabajadores?

Los sindicatos o RLT están legitimados para enviar correos electrónicos con información sindical a los trabajadores, pero, de acuerdo a la AEPD, sería recomendable que este tipo de correos se enviarán, si es posible, a la dirección de correo corporativo de los trabajadores, puesto que las cuentas privadas de los trabajadores no deben cederse.

¿Puede el sindicado publicar datos de trabajadores en el tablón de anuncios?

Ya lo vimos más arriba, los sindicatos están legitimados para publicar datos de los trabajadores en el tablón de anuncios, pero deben hacerlo observando la normativa de protección de datos, es decir, limitando el acceso a dichos tablones (colocándolos en lugares donde solos los empleados tengan acceso) y publicando solo la información estrictamente necesaria.

¿Pueden oponerse los trabajadores a la cesión de sus datos para los procesos electorales de la RLT?

En este caso, prevalece el derecho a la libertad sindical frente al derecho a la protección de datos y los trabajadores no pueden negarse a la cesión de sus datos a la RLT para la comunicación de los datos del censo electoral necesarios para enviar información a los trabajadores y la participación de los mismos en la celebración de elecciones sindicales.

Por lo tanto, en este caso, los trabajadores no pueden oponerse al tratamiento de sus datos personales.

Así mismo, la empresa, en determinados procedimientos, deberá ceder información personal de los trabajadores a la RLT para proceder a los períodos de consultas respecto a traslados, modificaciones sustanciales de las condiciones de trabajo, suspensiones y despidos colectivos. En este caso, el trabajador no podrá oponerse a esta cesión de datos, pero sí deberá dar su consentimiento si va a proceder a grabar las negociaciones y ejercer su derecho de acceso a los datos personales tratados para conocer el baremo y los criterios utilizados en la decisión tomada por la empresa.

Otros sectores