El Informe 0339/2013 de la Agencia Española de Protección de Datos (AEPD) aborda la determinación del nivel de seguridad que debe aplicarse a los ficheros que contienen datos numéricos sobre el crédito horario de los representantes de los trabajadores. Este informe se centra en la comercialización de un sistema de control de presencia por huella que gestiona el control horario de los trabajadores, incluyendo el crédito horario para fines de representación laboral.
La Constitución Española y la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD) establecen que ciertos datos, como la afiliación sindical, son especialmente protegidos y requieren un nivel de seguridad reforzado. El artículo 7 de la LOPD especifica que estos datos solo pueden ser tratados con el consentimiento expreso y por escrito del afectado, y que no se puede obligar a nadie a declarar sobre su ideología, religión o creencias.
El informe destaca que la afiliación sindical es un dato especialmente protegido, según lo establecido en la Directiva 95/46/CE y la LOPD. Esto implica que los ficheros que contengan estos datos deben aplicar las mismas medidas de seguridad que se prevén para otros datos sensibles. El Tribunal Constitucional ha subrayado que la afiliación sindical es una opción ideológica protegida por la Constitución, y que la revelación de esta afiliación es un derecho exclusivo del trabajador.
El sistema español de representación de los trabajadores incluye tanto la representación unitaria como la sindical. La Ley Orgánica 11/1985 de Libertad Sindical y el Estatuto de los Trabajadores reconocen el derecho de los representantes de los trabajadores a disponer de un crédito de horas mensuales retribuidas para el ejercicio de sus funciones.
El informe concluye que, dado que el fichero que contiene datos sobre el crédito horario de los representantes sindicales incluye información especialmente protegida, debe aplicarse el nivel de seguridad alto establecido en el artículo 81 del Reglamento de desarrollo de la LOPD. No se aplican las excepciones del apartado 5 del mismo artículo, ya que los datos no se utilizan únicamente para transferencias dinerarias ni aparecen de forma incidental o accesoria.
Además, se menciona la posibilidad de segregar los datos en el sistema de información para facilitar el cumplimiento de las medidas de seguridad correspondientes, siempre que se puedan delimitar los datos afectados y los usuarios con acceso a los mismos.
Finalmente, se indica que la empresa consultante ya había sido advertida en términos similares en un informe anterior emitido por la AEPD en marzo de 2011, sin que se haya considerado un criterio diferente hasta la fecha.