Con las importantes novedades introducidas en materia de Protección de datos por el RGPD y la posterior LOPDGDD, recibimos numerosas consultas sobre cómo deben proteger los datos las entidades religiosas.
Gran parte de las noticias que habrás visto se centra en la necesidad de que cualquier organización que tenga datos personales realice cambios, iglesias incluidas. También apreciamos que las iglesias se centren en objetivos misioneros y no se esfuercen por hacer un mal uso de los datos.
El objetivo de este post es proporcionar una guía completa de las regulaciones, y ayudar a las iglesias a comprender los elementos clave del cambio y los aspectos que tienen más probabilidades de requerir acción.
En este artículo hablamos de:
RGPD en entidades religiosas
Las diferentes iglesias tienen un uso muy diferente de los datos y las necesidades consiguientes con respecto a los nuevos requisitos del RGPD.
Las iglesias más pequeñas y aquellas que solo tienen datos sobre individuos por razones muy limitadas no necesitan recibir costosos consejos profesionales. Aunque algunas, incluso con datos limitados, pueden solicitarlo para su tranquilidad, lo cual es legítimo y correcto, ya que vemos el profesionalismo cada vez mayor que se espera de las iglesias tanto por los reguladores como por el público en general, incluyendo miembros de la iglesia.
Recomendamos que las iglesias más grandes o aquellas que tienen datos confidenciales trabajen cuidadosamente los problemas con uno o más de sus administradores que se hagan responsables del proyecto y esperen recibir el asesoramiento de especialistas en la materia.
Estas son las exigencias establecidas en el RGPD que deben cumplir las entidades religiosas.
1. Registro de actividades de tratamiento
¿Qué datos personales (información relacionada con personas vivas, incluidas opiniones sobre ellos y expresiones de intención) posee la entidad, cómo los recopila y con qué fines?
Dentro de la información que pueden manejar las entidades religiosas se incluyen creencias religiosas, salud física o mental, orientación sexual y actividad sindical. Esta se considera como “Información personal confidencial” y está sujeta a protección adicional.
Esto puede significar, por ejemplo, que necesita el consentimiento explícito de un individuo antes de procesar sus datos.
En la práctica, puede ser muy difícil procesar legalmente datos personales confidenciales, así que, debes cumplir todos los requisitos exigidos.
Concéntrate en áreas potenciales de procesamiento arriesgado. Por ejemplo, donde están involucrados datos personales sensibles, como datos sobre la salud de un miembro de la congregación u otros asuntos pastorales.
Se requeriría que una iglesia u organización benéfica registre si tienen cualquier tipo de datos personales, incluidos detalles de asuntos pastorales (como actas de reuniones, cuando se envían cartas o correos electrónicos con cualquier tipo de comentario u opinión declarada sobre individuos o notas pastorales).
2. Deber de información
Las iglesias y entidades religiosas deben informar a los titulares de los datos que vayan a tratar sobre la forma en que se realizará ese tratamiento.
La Ley se aplica a cualquier uso de datos personales, que se conoce como “procesamiento”. La definición de procesamiento incluye el uso de los datos para cualquier propósito.
Entonces el RGPD se aplica, por ejemplo, para usar una lista de miembros de la iglesia para enviar información sobre la iglesia o una invitación a un evento. Sin embargo, la definición de “procesamiento” va mucho más allá de esto.
“Procesar” incluye obtener los datos en primer lugar, deshacerse de los datos e incluso simplemente mantener datos, por lo que todas estas cosas se rigen por los requisitos de la Ley.
Cómo te comunicas con las personas (sujetos de datos), cómo procesarás cualquier información personal que tengas sobre ellos: ¿tus avisos de privacidad cubren toda la información requerida por el RGPD?
Para las iglesias más pequeñas, esto puede implicar poco más que aclarar cuándo colocará a los miembros de la iglesia en una lista de correo y con qué frecuencia les enviará su boletín de correo electrónico del domingo por la mañana.
Si tienen más datos personales porque, por ejemplo, administran una guardería u otro servicio comunitario de la iglesia, deberán considerar este tema más a fondo.
Existe un requisito general de que el procesamiento de datos personales se realice de manera “justa”. Esto implica sopesar todas las circunstancias relevantes.
Un factor importante es la medida en que la persona conoce los fines para los que se utilizarán los datos.
Por ejemplo, si una iglesia reúne los datos personales de sus miembros e indica que esto es para que la iglesia misma pueda mantener un registro de sus miembros, obteniendo y utilizando esos datos para cedérselos a una sociedad misionera para que pueda escribir a los miembros de la iglesia para solicitar donaciones.
Por lo tanto, es importante que las iglesias informen a los miembros de la iglesia qué información tienen o usan y
para qué se utilizará.
3. Consentimiento
Deben existir unos fundamentos legales para procesar todos los datos que utilizamos.
Por lo general, buscar el consentimiento es la forma más simple de garantizar que pueda usar legalmente datos sobre una persona, pero no es el único fundamento legal. De hecho, es uno de los motivos más débiles: puede retirarse en cualquier momento y debe ser fácil para las personas (“interesados”) retirar el consentimiento.
Otros motivos incluyen la necesidad de ejecutar un contrato con la persona en cuestión y la necesidad de lograr los “intereses legítimos” de la organización.
El consentimiento obtenido debe cumplir con los requisitos del RGPD, como ser otorgado libremente, de forma específica, informado y sin ambigüedades, ya sea otorgado o no antes de la entrada en vigor del RGPD.
También se exige la obligación de poder demostrar que hemos obtenido ese consentimiento, en caso de que nos lo requieran.
Debemos tener en cuenta que sólo podemos enviar publicidad electrónica a aquellas personas que han dado su consentimiento expreso para ello. El simple hecho de enviar información a las personas sobre los servicios de la iglesia podría tratarse como marketing para este propósito.
4. Contratos con proveedores
Si le pagas a un profesional de TI local, incluso si es hijo de un miembro de la iglesia, para mantener en funcionamiento el ordenador en la oficina de la iglesia, probablemente tengas un “procesador de datos” y debes tener un contrato para asegurarse este no hace mal uso de los datos en poder de la iglesia.
Deberás considerar si cada organización o persona con la que tratas es un procesador de datos, que solo usa los datos como le indicas y en tu nombre, o un responsable de tratamiento, usando la información para los fines que ellos decidan.
5. Actualizar las políticas de privacidad
¿Mantienes registros de cómo se procesan los datos personales y por qué? ¿Existe un marco claro de responsabilidad?
El RGPD requiere que demuestres que cumples con la ley, y para todas las iglesias, excepto las más pequeñas, es probable que esto implique tener algunos documentos básicos que registren cómo recopilarás datos sobre los miembros de la congregación y otros, y qué harás con esos datos.
También debes tener un procedimiento claro para responder si un miembro de la congregación u otra persona solicita una copia de todos los datos que tienes sobre ellos.
6. Procedimiento para notificar las violaciones de datos
Según la ley actual, no existe, estrictamente hablando, ningún requisito legal para informar infracciones a la AEPD, pero el RGPD requiere información dentro de las 72 horas en casos que representen un riesgo para las personas.
En casos de alto riesgo, el individuo también necesitaría ser notificado.
Otra reglas
Hay ocho principios establecidos en la LOPDGDD que deben cumplirse siempre que se procesan datos personales:
- Los datos deben ser procesados de manera justa y legal. Esto se menciona arriba.
- Los datos deben obtenerse solo para fines legales específicos y no pueden ser utilizados para otros fines.
- Los datos deben ser relevantes y no excesivos. Por ejemplo, no necesitas evaluaciones de los ingresos de alguien para una lista de miembros.
- Los datos deben ser precisos y actualizados. Esto implicará tener alguna política o práctica establecida para revisar y actualizar datos; esto tendrá que ser apropiado dada la naturaleza de los datos y los fines para los que se conservan.
- La información no debe mantenerse por más tiempo del necesario. Esto significa que la iglesia debe tener una política para revisar los datos personales que posee y eliminar datos personales que ya no son necesarios.
- Los datos deben ser utilizados de acuerdo con los derechos de la persona interesada. Por ejemplo, el individuo tiene derecho a acceder a copias de sus datos personales, por lo que no debes almacenarlos y procesarlos de una manera que pueda frustrar ese derecho.
- Los datos deben mantenerse seguros. Esto significa que debe haber tanto medidas técnicas (por ejemplo, garantizar que los sistemas informáticos de la iglesia tengan contraseñas y cortafuegos para evitar que las personas incorrectas accedan a él) y medidas físicas (p. ej. los archivos no deben tratarse casualmente sino almacenarse en entornos bloqueados) apropiados dada la naturaleza e importancia de los datos personales.
- Los datos no deben transferirse al extranjero, excepto a países de la UE, EEE y algunos otros países específicos. Por el momento, los países especificados son Argentina, Canadá, Guernsey, Jersey, la Isla de Man y Suiza. Por lo tanto, no puede transferir datos personales a ningún otro país a menos que tenga el consentimiento de la persona interesada.
Divulgación de datos personales
Según la Ley, las personas tienen un derecho de acceso para solicitar copias de los datos personales que la Iglesia u otra organización tiene sobre ellos.
Hay algunas excepciones limitadas, como datos personales que incluyen información sobre terceros, pero cada solicitud debe considerarse a la luz de todas las circunstancias Mientras que una iglesia puede tener derecho a retener datos personales por varias razones, no tiene derecho a retenerlo simplemente porque sería
vergonzoso o perjudicial para la iglesia misma o para los trabajadores de la iglesia.
Por ejemplo, los registros de la iglesia pueden contener comentarios sobre un miembro de la iglesia que está recibiendo cuidado pastoral para problemas difíciles. La persona que brinda esa atención puede haber realizado
comentarios en el archivo de esa persona que son incorrectos o incluso insultantes, pero esa no es una razón para retener la divulgación de esos datos del afectado. Lo mismo también se aplica, por supuesto, a los archivos de los empleados de la iglesia.