Las hermandades religiosas tienen la obligación de gestionar los datos de sus fieles de manera que se cumplan las garantías de privacidad de datos personales. Se indican cuáles son las reglamentaciones para este tipo de entidades que establecen las legislaciones europea y española y cómo una consultoría especializada en la materia puede orientar.
¿Quién está obligado a cumplir con la legislación de protección de datos?
La legislación de protección de datos es obligatoria para todas aquellas empresas, instituciones y asociaciones que cuenten con un fichero de usuarios. Es fundamental señalar que no es necesario que haya un ánimo de lucro para tener que contar con un fichero propio.
El tratamiento de datos tiene que estar limitado a las finalidades que se indiquen expresamente y las confesiones religiosas tienen que pedirlo. Esto supone, por ejemplo, que hay que adjuntar un documento de consentimiento para proseguir. El objetivo final es claro, salvaguardar la privacidad del usuario y defender sus derechos.
Hay que recordar que el usuario siempre tendrá los derechos de Acceso, Cancelación, Rectificación, Oposición, Portabilidad y al Olvido. Para ello, es fundamental poder contar con la infraestructura necesaria para dar respuesta a sus necesidades.
Cómo cumplen con la legislación de protección de datos las confesiones religiosas
Las confesiones religiosas son entidades sin ánimo de lucro, pero esto no significa que no estén obligadas a realizar una gestión de los datos discreta. El RGPD establece la existencia de una figura ad hoc, que es el Delegado de Protección de Datos (DPO). Hasta ahora, esta cuestión era algo ambigua pero la Conferencia Episcopal ya ha enviado una circular para todas las organizaciones.
Uno de los acontecimientos que obligó a muchas organizaciones a ponerse al día fue la Semana Santa. No en vano, en ciudades como Sevilla uno de cada tres habitantes pertenece a alguna de las hermandades religiosas que organizan las procesiones. El arraigo en varias poblaciones de las cofradías religiosas ha hecho necesario delimitar mejor hasta dónde llegan las obligaciones de estas entidades.
Esta situación obligaba a regular el tratamiento de los datos, de ahí que se hayan dado directrices para cumplir con la legislación.
¿Qué organizaciones tienen que nombrar un Delegado de Protección de Datos?
En principio, estaban obligadas todas las organizaciones relacionadas con las confesiones religiosas. Esto incluye comités de ayuda parroquial, hermandades, cofradías o asociaciones vinculadas a la Iglesia. La normativa se aplica también a las demás religiones que cuenten con organizaciones asociadas.
Como principio general, se puede afirmar que las asociaciones vinculadas a organizaciones religiosas tienen que seguir las mismas pautas que una asociación laica. En consecuencia, se tiene que realizar el mismo control.
¿Qué funciones tiene el Delegado de Protección de Datos (DPO)?
Básicamente, el DPO tiene las mismas funciones que en otro tipo de entidades, que es la de supervisión. Es responsabilidad de esta persona comprobar que se están cumpliendo las pautas que establece la normativa y es el enlace con la Agencia Española de Protección de Datos (AEPD). Es importante recordar que este profesional ha de tener un conocimiento en derecho para poder realizar con garantías sus funciones.
Uno de los problemas que se presentaban era la inexistencia de personas especializadas dentro de las propias hermandades. La directriz de la Conferencia Episcopal si esto sucede es clara, buscar asesoramiento especializado y delegar esta función en profesionales.
¿Es obligatorio adaptar toda la normativa al RGPD?
Lo cierto es que hay una cierta confusión y, si se revisa la ley, no hay una obligatoriedad de adaptar miméticamente la metodología al RGPD. Ahora bien, el artículo 91.1 del Reglamento Europeo sí establece que las confesiones religiosas que tengan una política de protección de datos la pueden mantener si no lo contradice.
Sucede, no obstante, que la Iglesia Católica ha decidido adaptarse plenamente a la nueva normativa. El resultado es que las pautas que se tienen que adoptar son las mismas que para cualquier otra organización, también para las hermandades.
¿Cuál es el grado de cumplimiento de la normativa?
Por ahora, el grado de cumplimiento de la normativa europea es bajo, pero sí es cierto que conviene indicar dos aspectos.
El primer aspecto es que, hasta ahora, la mayoría de las empresas y asociaciones siguen incumpliendo flagrantemente la ley. Por otra parte, hay que indicar que las instituciones públicas no están siendo muy rigurosas con las inspecciones a asociaciones.
En cualquier caso, conviene recordar que la cuantía de las sanciones es lo suficientemente alta para adaptarse.
Conclusión
Las hermandades religiosas tienen un trato similar a otras asociaciones que también están obligadas a llevar un registro de sus miembros para realizar el tratamiento de datos. Como es habitual desconocer la normativa, lo más recomendable es contar con un asesor profesional. Gesprodat es una de las compañías que pueden asumir la función de DPO y asesorar a empresas y organizaciones con garantías.
