La reciente sanción de 5.000 euros impuesta por la Agencia Española de Protección de Datos (AEPD) a un sindicato por compartir, sin autorización, el censo electoral de sus afiliados en un grupo de WhatsApp ha encendido las alarmas sobre la urgencia de implementar medidas de ciberseguridad y formación en estas organizaciones. Este caso no es solo un recordatorio de las graves consecuencias legales que puede tener una brecha de datos, sino también de la importancia de contar con profesionales capacitados en lugar de confiar en prácticas improvisadas o poco profesionales.
El caso: datos de afiliados expuestos en WhatsApp
La infracción tuvo lugar cuando se procedió al inicio de la constitución del sindicato Eusko Langileen Alkartasuna-Solidaridad de los Trabajadores Vascos (en adelante, sindicato ELA) en una empresa y el representante sindical del sindicato ELA, en el contexto de un proceso electoral interno en una empresa, compartió el censo electoral de los afiliados a través de un grupo de WhatsApp. Este censo contenía información personal sensible, como nombres, apellidos, fechas de nacimiento, DNI y antigüedad en la empresa.
Cinco afiliados afectados por esta exposición interpusieron reclamaciones ante la AEPD, que procedió a abrir un único procedimiento sancionador. Según la resolución, la difusión del censo electoral constituyó una violación del artículo 5.1.f) del Reglamento General de Protección de Datos (RGPD), que exige proteger los datos personales contra el acceso no autorizado. Además, se vulneró el artículo 32 del RGPD al no haber implementado medidas de seguridad adecuadas para prevenir este tipo de incidentes.
Falta de formación: un problema sistémico en todas las instituciones
Este caso pone de manifiesto un problema recurrente en muchas organizaciones sindicales: la falta de formación adecuada en ciberseguridad y protección de datos. En lugar de recurrir a profesionales capacitados, muchas veces se asignan responsabilidades críticas a personas sin la preparación necesaria, lo que aumenta significativamente el riesgo de errores y brechas de seguridad.
Los sindicatos manejan una cantidad considerable de información sensible, desde datos personales de afiliados hasta información sobre negociaciones laborales. Una filtración no solo puede tener consecuencias legales, sino también erosionar la confianza de los afiliados y dañar la reputación de la organización.
Como destaca Ángel Bahamontes, presidente de la Asociación Nacional de Tasadores y Peritos Judiciales Informáticos (ANTPJI): “Confiar la gestión de datos sensibles a personas sin formación específica es invitar al desastre. Las organizaciones, incluidas las sindicales, deben entender que la ciberseguridad no es opcional, sino una responsabilidad ética y legal”.
El caso del sindicato ELA refleja una cultura de improvisación que no se limita a esta organización en particular. Según un estudio de la AEPD, el 45% de las organizaciones pequeñas y medianas en España carece de protocolos adecuados de ciberseguridad. En el caso de los sindicatos, este porcentaje puede ser aún mayor debido a la percepción de que la protección de datos no es una prioridad.
Además, la falta de respuesta del sindicato ELA al requerimiento de la AEPD para analizar el incidente demuestra un desconocimiento de las obligaciones legales en materia de protección de datos. Este tipo de actitudes no solo agravan la situación legal, sino que también dificultan la adopción de medidas correctivas.
La importancia de la ciberseguridad en el sector sindical
Los sindicatos no solo tienen la responsabilidad de proteger los datos de sus afiliados, sino también de implementar una cultura de ciberseguridad que evite incidentes similares en el futuro. Esto incluye:
- Contratación de profesionales cualificados: Es fundamental contar con expertos en ciberseguridad y protección de datos que puedan gestionar adecuadamente la información sensible.
- Formación continua: Los representantes sindicales deben recibir formación periódica sobre el RGPD, buenas prácticas en ciberseguridad y gestión de datos.
- Implementación de medidas tecnológicas: Herramientas como plataformas de comunicación seguras (por ejemplo, Signal o Microsoft Teams) pueden minimizar los riesgos asociados al uso de aplicaciones no seguras como WhatsApp.
- Auditorías regulares: Realizar auditorías periódicas para identificar vulnerabilidades y asegurar el cumplimiento normativo.
El rol de los Compliance Officers
Una solución viable para los sindicatos es la incorporación de Compliance Officers, profesionales especializados en garantizar el cumplimiento normativo dentro de las organizaciones. Estos expertos no solo se encargan de implementar políticas de protección de datos, sino que también aseguran que se adopten buenas prácticas en toda la organización.
Como señala José Zamarriego, presidente de Ascom: “El compliance officer es un elemento preventivo que aporta valor a las organizaciones. En el caso de los sindicatos, podría ser la figura clave para evitar errores graves como la exposición de datos personales”.
Lecciones aprendidas y próximos pasos
Este incidente debe servir como un llamado de atención para todas las organizaciones, no solo para los sindicatos. La protección de datos no es un lujo ni un trámite administrativo, sino una obligación legal y una garantía de confianza hacia las personas cuyos datos se gestionan.
Pasos clave que los sindicatos deben tomar:
- Diseñar un protocolo de gestión de datos: Incluir medidas específicas para garantizar la confidencialidad, como el cifrado de archivos y el uso de contraseñas seguras.
- Promover la concienciación interna: Realizar talleres y campañas educativas para que todos los miembros del sindicato comprendan la importancia de la protección de datos.
- Colaborar con expertos externos: Consultar con profesionales en ciberseguridad para implementar soluciones tecnológicas adecuadas.
- Transparencia y comunicación: En caso de incidentes, informar rápidamente a los afectados y a las autoridades competentes, mostrando un compromiso con la mejora continua.
El caso del sindicato ELA es un ejemplo más de cómo la falta de formación y medidas de ciberseguridad puede tener consecuencias graves para las organizaciones. En un mundo cada vez más digitalizado, no basta con cumplir mínimamente con las normativas; es necesario ir más allá, adoptando una cultura de protección de datos y ciberseguridad que inspire confianza en todas las partes involucradas.
Para los sindicatos, esto no solo significa proteger a sus afiliados, sino también adaptarse a los estándares actuales de profesionalismo y responsabilidad. En palabras de Ángel Bahamontes: “No podemos seguir confiando en amigos o conocidos para gestionar algo tan crítico como los datos personales de los afiliados. Necesitamos profesionales formados que puedan garantizar la seguridad y la confianza de las personas que representamos”.
Este caso debe servir como un punto de inflexión para que los sindicatos y otras organizaciones refuercen sus políticas de ciberseguridad y demuestren su compromiso con la protección de datos, fortaleciendo la confianza en sus instituciones.
