La Ley de Protección de Datos no es algo que solo afecte a empresas, en realidad, cualquier entidad que maneje datos personales con fines que no sean domésticos, debe cumplir con la normativa vigente y eso incluye también a las hermandades y cofradías. En este artículo explicamos cómo deben cumplir con la normativa de protección de datos en hermandades o cofradías.
En este artículo hablamos de:
- ¿Por qué es necesaria la protección de datos en las cofradías?
- ¿Es obligatorio que las hermandades se ajusten a la normativa de protección de datos?
- ¿Qué leyes en materia de protección de datos son de obligado cumplimiento para hermandades y cofradías?
- ¿Cómo deben cumplir la LOPDGDD/RGPD las hermandades?
- Obtener el consentimiento de los hermanos
- Elaborar un registro de actividades de tratamiento
- Evaluación de impacto
- Nombrar un Delegado de Protección de Datos (DPD)
- Confidencialidad de los datos recogidos
- Adoptar las medidas de seguridad exigidas por la legislación
- Permitir a los titulares de los datos el ejercicio de sus derechos sobre sus datos
- Preguntas frecuentes
- ¿Cómo debe realizarse la cesión de los datos de los cofrades?
- ¿Qué datos se pueden publicar en los tablones de anuncios?
- ¿Cómo debo incorporar a los hermanos a listas de WhatsApp?
- ¿Cuál será la función del Delegado de Protección de Datos en una cofradía/hermandad?
- ¿Necesitas un presupuesto? Escríbenos o llámanos al 914 896 419
¿Por qué es necesaria la protección de datos en las cofradías?
La normativa de protección de datos son leyes que cualquier entidad que recoja y trate de datos de carácter personal debe cumplir. Las hermandades o cofradías, por su propia naturaleza, recogen y gestionan datos identificativos de sus miembros para poder llevar a cabo su gestión interna. Este hecho ya de por sí las obliga a dar cumplimiento a la normativa, pero hay una razón más.
Las hermandades recogen y tratan datos personales especialmente protegidos, en concreto los de convicciones religiosas. Según la Ley, este tipo de datos personales no pueden tratarse, salvo que se dé alguna de las excepciones recogidas en el apartado 2 del artículo 9 del RGPD (Reglamento General de Protección de Datos), que en el caso de las hermandades encontramos en la letra «d» de dicho apartado y artículo.
Este hecho, además, genera una serie de obligaciones que cualquier hermandad o cofradía debe contemplar para cumplir con la normativa, como veremos en los siguientes puntos.
¿Es obligatorio que las hermandades se ajusten a la normativa de protección de datos?
Como ya hemos adelantado en el punto anterior, sí, las hermandades o cofradías están obligadas a adaptarse a la normativa de protección de datos, con especial atención a las obligaciones que el tratamiento de datos relacionados con las convicciones religiosas supone.
Esto quiere decir que la Ley de Protección de Datos para las hermandades exige cumplir con más obligaciones que en otro tipo de organizaciones.
Además, no cumplir la Ley expondrá a la hermandad o cofradía a la posibilidad de ser sancionada por la AEPD. Estas sanciones pueden alcanzar hasta los 20 millones de euros, dependiendo de la gravedad de la infracción cometida.
¿Necesitas cumplir la ley de protección de datos? Contacta con nosotros sin compromiso.
¿Qué leyes en materia de protección de datos son de obligado cumplimiento para hermandades y cofradías?
Son dos las leyes en materia de protección de datos que deben cumplir las hermandades y cofradías:
LOPD para hermandades
La Ley Orgánica de Protección de Datos y Garantías de Derechos Digitales, LOPDGDD o LOPD, que entró en vigor en diciembre de 2018 y que modificaba la antigua ley de protección de datos introduciendo en la legislación española la regulación europea, es decir, el RGPD.
RGPD en hermandades
Y el RGPD, que es el marco regulatorio europeo para la protección de datos, aprobado en 2016 y en vigor en España desde mayo de 2018.
El RGPD es un reglamento de carácter más general, que trajo consigo varias novedades y cambios para la normativa española, aparte de simplificar varios de los trámites necesarios para cumplir con la ley.
Entre esas novedades tenemos la diferenciación entre dos tipos de datos personales; unos que podemos llamar genéricos, cuyo nivel de protección es exigente, pero no conlleva obligaciones extra. Y otro de categorías especiales, que son aquellos que necesitan una mayor protección o que, salvo excepciones, no se pueden tratar, puesto que pueden poner en riesgo los derechos fundamentales y libertades de los interesados.
El RGPD también eliminó la obligación de inscribir los ficheros en la AEPD (Agencia Española de Protección de Datos) y la elaboración del documento de seguridad, «fundiendo» ambos requisitos en el nuevo registro de actividades de tratamiento, del que hablaremos más adelante.
Además, introdujo la figura del Delegado de Protección de Datos (DPD o DPO) y la necesidad de recabar el consentimiento expreso, que, cómo veremos un poco más adelante, son dos aspectos de especial importancia para las hermandades y cofradías.
¿Cómo deben cumplir la LOPDGDD/RGPD las hermandades?
La protección de datos para hermandades y cofradías debe tener en cuenta, como ya hemos dicho, algunas obligaciones más por el tipo de datos personales que recogen y tratan. En las siguientes líneas vamos a explicar los pasos fundamentales que deben seguir para cumplir con la normativa.
Si bien, cabe señalar que, dada la complejidad que puede requerir este cumplimiento, es aconsejable que la hermandad recurra a los servicios de una consultoría especializada en protección de datos, si no cuentan con personas con los conocimientos necesarios para ello.
Obtener el consentimiento de los hermanos
Aunque la antigua LOPD contemplaba el consentimiento tácito, desde la entrada en vigor del RGPD, es obligatorio obtener el consentimiento expreso de los interesados para poder recoger y tratar sus datos personales.
Por lo tanto, las hermandades deben recabar este consentimiento expreso de sus miembros, algo que puede incluirse en el formulario de inscripción en la hermandad, añadiendo las cláusulas informativas sobre la recogida y fines del tratamiento de datos necesarias. Es necesario que el consentimiento se otorgue mediante una acción afirmativa, por lo que se puede incluir una casilla para marcarlo.
Hay que señalar que siempre que los datos personales se vayan a usar con una finalidad distinta para la que fueron recogidos, el consentimiento expreso debe volver a solicitarse a los interesados.
Por ejemplo, si en su momento no se recabó el consentimiento expreso para publicar fotografías de los interesados en las redes sociales de la hermandad, deberá solicitarse para poder hacerlo cuando dicha foto permite la identificación de la persona.
Además, dado que en las hermandades también hay menores de edad, es importante tener en cuenta que la normativa permite a los mayores de 14 años dar su propio consentimiento para el tratamiento de datos personales, mientras que para los menores de esa edad, es necesario que el consentimiento lo presten sus padres o tutores legales.
Elaborar un registro de actividades de tratamiento
Bajo determinadas circunstancias, cuando se recogen y tratan datos personales, es obligatorio elaborar un registro de actividades de tratamiento; se trata de un listado con información concisa, pero detallada sobre cada tratamiento de datos que lleve a cabo la hermandad y con el que se documentan dichos tratamientos.
Es un documento interno, que siempre debe estar actualizado y a disposición de la AEPD, si esta lo solicita.
Entre esas circunstancias, el RGPD obliga a llevar este registro de actividades de tratamiento cuando se tratan datos de categorías especiales, como los de convicción religiosa, por lo tanto, las hermandades deben contar siempre con este documento.
El registro de actividades de tratamiento debe realizarlo el responsable de tratamiento (en este caso, es la hermandad y la persona que designe para ello) y contener la siguiente información:
- Identificación y datos de contacto del responsable del tratamiento (y si los hay, del corresponsable, representante, encargado del tratamiento y del DPD)
- Legitimidad del tratamiento
- Fines del tratamiento
- Descripción de categorías de datos e interesados
- Descripción de destinatarios de los datos (existentes y previstos)
- Información y documentación de garantías si hay transferencias internacionales de datos
- Plazos de conservación de los datos
- Descripción de las medidas de seguridad
Evaluación de impacto
Como ocurre con el registro de actividades de tratamiento o el DPD, dado el tipo especial de datos personales que tratan las hermandades y cofradías, también están obligadas a realizar una evaluación de impacto de protección de datos (EIPD).
La EIPD es un análisis de riesgos en profundidad, que debe realizarse con carácter previo a la realización de ninguna actividad de tratamiento, puesto que sirve precisamente para determinar los riesgos y amenazas que dicho tratamiento puede suponer para la protección de esos datos y de los derechos fundamentales y libertades de los interesados.
De las conclusiones de una EIPD se deben implantar las medidas de seguridad necesarias para minimizar la probabilidad de que un riesgo o amenaza se materialice y, en caso de hacerlo, reducir la gravedad del mismo.
Nombrar un Delegado de Protección de Datos (DPD)
Como ya avanzamos, para hermandades y cofradías contar con un Delegado de Protección de Datos (DPD) es obligatorio, este se ocupará de asesorarlas e informarlas sobre los tratamientos de datos personales que se lleven a cabo en ellas.
El DPD debe contar con los conocimientos y competencias necesarias en materia de protección de datos para poder ocuparse de las obligaciones y tareas que le asigna la normativa.
Puesto que la ley no obliga en ningún caso a que el DPD sea una persona de dentro de la organización, si las hermandades no cuentan con un miembro que pueda ocuparse con garantías de esta posición, podrán recurrir a un DPD externo, contratándolo, por ejemplo, a través de una consultoría especializada en protección de datos.
Confidencialidad de los datos recogidos
Todo miembro de la hermandad o cofradía que pueda acceder a los datos personales que se recogen y tratan en ella, debe mantener la debida confidencialidad de la información.
En una empresa, los empleados firman acuerdos de confidencialidad, en los que se incluyen las consecuencias de no cumplir con ello, algo que también puede hacerse en la hermandad para garantizar que ningún miembro filtra o utiliza los datos personales del resto de miembros a terceros o con otros fines.
Adoptar las medidas de seguridad exigidas por la legislación
Las hermandades y cofradías deberán adoptar las medidas de seguridad técnicas y organizativas que exige la legislación para proteger los datos personales que van a tratar.
El análisis de riesgos y la evaluación de impacto serán los que determinen qué medidas de seguridad es necesario implantar para garantizar la seguridad y confidencialidad de la información. Además, dichas medidas deben evaluarse periódicamente para garantizar su efectividad y el nivel de cumplimiento normativo que se alcanza con ellas.
Así mismo, las medidas de seguridad deben contar con un protocolo o plan de actuación en caso de producirse brechas de seguridad que puedan poner en riesgo los datos personales de los interesados. Dicho protocolo debe permitir informar tanto a la AEPD como a los propios interesados de un incidente de seguridad lo antes posible. De hecho, la notificación a la AEPD debe hacerse en un plazo máximo de 72 horas.
Permitir a los titulares de los datos el ejercicio de sus derechos sobre sus datos
Las hermandades y cofradías deben informar y permitir a los interesados ejercer los derechos RGPD sobre sus datos, es decir, deben informar de dónde y cómo ejercer los derechos de:
- Acceso
- Rectificación
- Cancelación
- Oposición
- Portabilidad
- Olvido
Las hermandades y cofradías no podrán oponerse o dificultar el ejercicio de estos derechos, teniendo plazos para dar cumplimiento a las peticiones que sobre ellos hagan los interesados y titulares de los mismos.
No dar cumplimiento a esta obligación es una infracción y motivo de sanción.
Preguntas frecuentes
¿Cómo debe realizarse la cesión de los datos de los cofrades?
Si la hermandad o cofradía va a ceder datos a terceros, es necesario recabar el consentimiento expreso de los interesados para ello. Además, también será necesario firmar un contrato de encargo de tratamiento con esos terceros, donde se recojan las obligaciones en materia de protección de datos que deben cumplirse.
¿Qué datos se pueden publicar en los tablones de anuncios?
Salvo consentimiento expreso de los interesados, no se podrán publicar datos personales en los tablones de anuncios de la hermandad o cofradía, por ejemplo, cuando se publican las listas de salida en una procesión o el censo de las elecciones.
Ahora bien, si los datos personales son seudoanonimizados, sí podrán publicarse. Es importante que los datos publicados no permitan identificar al interesado por terceros.
¿Cómo debo incorporar a los hermanos a listas de WhatsApp?
Para poder incorporar a los hermanos a las listas de WhatsApp para efectuar comunicaciones, es necesario contar con el consentimiento expreso de los interesados. Es decir, se debe informar de que el fin o uno de los fines de recoger el número de teléfono móvil, es añadirlo a la lista de WhatsApp de la hermandad para enviar comunicaciones. Los hermanos deberán dar su consentimiento mediante una acción afirmativa para poder ser incluidos.
¿Cuál será la función del Delegado de Protección de Datos en una cofradía/hermandad?
Las principales funciones del DPD en una hermandad o cofradía son las siguientes:
- Informar y asesorar al responsable, al encargado y a aquellos miembros de la hermandad o cofradía que se encarguen del tratamiento de datos dentro de sus propias competencias.
- Supervisar el cumplimiento normativo en materia de protección datos, así como de las políticas del responsable y del encargado del tratamiento, incluyendo la asignación de responsabilidades, la formación y la concienciación en materia de protección de datos de los miembros que lleven a cabo actividades de tratamiento y/o auditorías.
- Asesorar sobre la evaluación de impacto y supervisar su aplicación.
- Cooperar con la AEPD a través del DPD de la Conferencia Episcopal.