Información actualizada conforme al Decreto del Arzobispo de 28.12.2018 y al Decreto General de la Conferencia Episcopal Española de abril de 2018
La Protección de Datos en las Hermandades y Cofradías es una tarea pendiente en muchos casos, JMSM PRIVACY CONSULTING te decimos cómo empezar y qué debes hacer para cumplir con los requisitos legales más básicos.
Sin duda, los datos personales tratados en el seno de hermandades y cofradías deben gozar de una protección especial, en atención al artículo 9 del RGPD, ya que los datos revelan la convicción religiosa de los hermanos afectados.
Consecuentemente, el tratamiento debe pasar, necesariamente, por el consentimiento expreso del hermano o de sus representantes legales, cuando éstos últimos sean personas con diversidad funcional o menores de edad.
Además de la normativa europea y nacional específica, la Conferencia Episcopal Española ha dictado un Decreto en la materia, con algunas cuestiones que afectan directamente a las Hermandades y Cofradías.
Nuestra experiencia nos dice a modo general, las obligaciones comunes de las Hermandades y Cofradías son, entre otras:
I.- Registro de actividades. Este documento es la base de toda adecuación, y como mínimo, debe contener:
• Nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos.
• Fines del tratamiento.
• Descripción de las categorías de interesados.
• Descripción de las categorías de datos personales.
• Categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales.
• Transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en su caso, la documentación de garantías adecuadas.
• Cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos.
• Cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad.
II.- Analizar y documentar el cumplimiento de los siguientes principios:
• Licitud. Basada en el consentimiento de los afectados.
• Finalidad. Los datos recogidos con fines determinados, explícitos y legítimos, no deben ser tratados para finalidades incompatibles.
• Calidad de los datos. Los datos recogidos deben ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados, no se permite recoger datos innecesarios o excesivos.
• Exactitud. Los datos deben ser exactos y, si fuera necesario, actualizados, adoptándose medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos.
• Plazo de conservación. Los datos sólo serán mantenidos durante el tiempo estrictamente necesario para los fines del tratamiento, debiendo adoptarse mecanismos para bloquear los datos de personas que fallecen o ya no se encuentran en la organización.
• Transparencia. La información a los afectados es fundamental para garantizar los derechos de los usuarios, por ello se debe poder identificar a los responsables del tratamiento y, especialmente, al Delegado de Protección de Datos con facilidad, así como poner a disposición de los hermanos los medios oportunos para que puedan resolver sus dudas y ejercer sus derechos.
III.- Evaluación de Impacto. Es obligatorio analizar el origen, la naturaleza, la particularidad y la gravedad del riesgo.
IV.- Nombramiento de un Delegado de Protección de Datos. En atención, al Decreto de la Conferencia Episcopal Española, el Delegado de Protección de Datos debe comunicarse a la autoridad de control, a través del Delegado de Protección de Datos de la CEE.
El Delegado de Protección de Datos, debe acreditar competencia técnica suficiente, para ello la CEE exige como requisitos, para las entidades de carácter público canónico:
a) Tener la debida cualificación jurídica y conocimientos en la práctica de protección de datos.
b) Desempeñar su cargo en exclusiva. No pudiendo realizar funciones encomendadas a los responsables o encargados del tratamiento.
En este apartado, la Archidiócesis de Sevilla vino a decir, mediante Decreto, que el cargo más idóneo en las Hermandades y Cofradías para tal función era la de Fiscal o análogo, por su función principal de velar por el cumplimiento de las reglas, también se ocupó de decir que cuando careciera de los requisitos recogidos anteriormente, deberá contar con asesoramiento especializado. Sin embargo, no se ha tenido en cuenta que el cargo de Delegado de Protección de datos tiene naturaleza independiente y autónoma, por lo que, al igual que ocurre en el resto de organizaciones la responsabilidad debe recaer en alguien con la suficiente preparación y estructura, como reconoce la propia Conferencia Episcopal Española.
Si bien, la Archidiócesis de Sevilla ha puesto en el punto de mira al Fiscal, y creemos que podría ser el cargo idóneo para nombrarse como responsable del Tratamiento de la Hermandad (puesto incompatible con el Delegado de Protección de Datos), sin perjuicio de que bien podría serlo el Secretario Primero o análogo de cada Hermandad.
V.- Implantar un Protocolo para comunicar violaciones y brechas de seguridad. Existe la obligación de notificarlas en un plazo máximo de 72 horas a la Agencia Española de Protección de Datos.
VI.- Implantar un Protocolo de Atención al Hermano. Debe darse respuesta en plazo y forma a los derechos de los hermanos, ante la posibilidad de que algún interesado ejerza alguno de los derechos que establece el RGPD o la LOPDGDD.
VII.- Responsabilidad Proactiva. En consonancia con las normas europeas, el objeto de sanción es la falta de interés en cumplir la norma, por lo que no solo hay que cumplir las obligaciones, sino demostrar su cumplimiento, a la vez que se actualizan y mantienen vivos los protocolos implantados.
De manera especial, las Hermandades, Cofradías y Asociaciones músico Culturales deben contar con el consentimiento expreso de sus hermanos para la toma y publicación de imágenes en redes sociales o publicaciones o para la remisión de emails u otras comunicaciones. De la misma forma, hay que prestar especial cuidado a la exposición pública de los datos, por ejemplo, en la lista de la cofradía o mediante el censo electoral, debiendo adoptarse las medidas oportunas para garantizar los derechos de los hermanos.
En conclusión, dada la importancia de las comunicaciones de las Hermandades y Cofradías con sus hermanos y de las Asociaciones músico Culturales por la especial relevancia de los archivos documentales de las Hermandades y por las obligaciones que conllevan el tratamiento de datos de carácter especial, es fundamental que estos colectivos inicien su andadura de la mano de profesionales que asesoren una buena implantación desde el principio, tal y como pronuncia la Conferencia Episcopal Española.
