Tiempo de lectura: 10 minutos
Las convicciones son un dato de categoría especial. Por tanto, su tratamiento está prohibido, salvo invocación de situaciones tasadas en el propio RGPD que levanten esa prohibición.
Al igual que se vio en el artículo dedicado a servicios sociales, muchas asociaciones religiosas cuentan con voluntarios para sus tareas relacionadas con la comunidad a la que sirve. Si bien las Iglesias con un elevado número de fieles (y algunas de sus organizaciones) suelen estar particularmente dotadas para cumplir la normativa de protección de datos, hay muchas otras organizaciones religiosas que se rigen principalmente por el buen hacer de sus afiliados. Algunas, habitualmente de pequeña dimensión, abordan la protección de datos de forma lateral.
El artículo dibuja dos escenarios. El primero, las iglesias mayoritarias y organizadas (cuyo paradigma aquí sería la Iglesia Católica y su jerarquía rectora, la Conferencia Episcopal Española) y asociaciones cercanas o derivadas. Por otro lado, asociaciones de todo tipo, vinculadas de una u otra forma a una confesión, que disponen de medios limitados y no pueden abordar la adecuación a la protección de datos personales con el rigor exigible.
La prohibición del tratamiento
Si bien las convicciones religiosas son datos de categoría especial (RGPD 9.1), la propia norma en su siguiente artículo 9.2.d excepciona la prohibición en entidades con finalidad religiosa. Una interesante aportación de la norma europea para proteger a las personas que ejercen dos derechos fundamentales: el de asociación y el de libertad religiosa y de culto.
Lo anterior, no obstante, debe asumirse sujeto a una condición: las debidas garantías. En otras palabras, la cautela en dotar a esos tratamientos de medidas de seguridad jurídica, organizativa y técnica.
Marco general
Un primer análisis cuando se aborda la adecuación de una entidad religiosa es conocer si tiene mecanismos establecidos para cumplir con la normativa. Tal sería el caso de las entidades pertenecientes a la Iglesia Católica en España, la cual ha hecho movimientos precisos de adaptación. En ese sentido, el Decreto General 37/2018 de la Conferencia Episcopal Española, de 22 de mayo de 2018, es la norma reguladora sobre protección de datos . La fecha es relevante, ya que tres días después, el RGPD adquiría plena aplicabilidad en toda la Unión Europea.
De esa forma, la Iglesia Católica en España tiene (sigue teniendo) normativa propia en protección de datos, que no será alterada por el RGPD en cuanto no lo contradiga y podrá someterse, si así lo decide, al control de una Autoridad de Control independiente y específica.
En ese Decreto General se dispone que cada Obispado tendrá un Delegado de Protección de Datos, y otro la Conferencia. Dispone también la forma de designar esa figura e informarla ante la Autoridad de Control y la designación de Delegado compartido entre diversas entidades afectadas por la normativa o que, por su relación con la Iglesia católica, se acojan al Decreto General. El Decreto también prevé, cuando así se justifique, el asesoramiento del Delegado por parte de entidades externas.
Iglesias y disposiciones legales
Las iglesias son mencionadas en el RGPD en su considerando 165 y en el artículo 91. Por su parte, la LOPD añade una matización a los archivos eclesiásticos en la Disposición Adicional 22.
Así, las entidades directamente vinculadas a la Iglesia Católica cuentan con un marco normativo propio, un delegado de protección de datos y la jerarquía necesaria para que su adecuación, concienciación y cumplimiento estén prácticamente asegurados desde el minuto cero.
La intimidad, un valor religioso
Las religiones suelen ensalzar la discreción como virtud; San Agustín calificaba la intimidad como el único cauce para encontrar a Dios. El secreto de confesión, el derecho a la buena fama de los fieles, y la necesidad de ser discreto al dar limosna , ….. Indicios, todos ellos, que facilitan una actitud de reserva en relación con los datos de los miembros y simpatizantes de una asociación religiosa.
Otras entidades
La estructura jurídica y organizativa dibujada hasta aquí en la Iglesia Católica es radicalmente distinta en otro tipo de organizaciones, incluso católicas: las Hermandades y Cofradías tienen una gran tradición en diversas zonas, pero las hay también de reducida dimensión. Otras confesiones dependen grandemente de los recursos que aporten sus fieles. Su labor, no solo religiosa, sino social y, frecuentemente, asistencial, implica un denso trasiego de datos personales, tanto regulares como especiales, cuya protección no debe ser ignorada.
Pasaríamos, pues, de entidades con estructura propia y recursos notables, a otras de escasa dotación para afrontar retos como la protección de la privacidad en un entorno donde la informática puede actuar de muy inesperadas maneras.
Procesos habituales
Se recorre en los siguientes apartados los tratamientos habituales en las asociaciones religiosas.
Registro de afiliados, simpatizantes, colaboradores
El funcionamiento de la organización religiosa necesita la recogida de los datos de las personas (afiliados, simpatizantes, colaboradores, …), a las cuales hay que dar la pertinente información sobre el uso que se darán a esos datos, su potencial entrega a terceros y el motivo y finalidad de tal entrega.
Otros interesados
Además de lo anterior, existen datos personales de distintos orígenes. Algunos de sencilla gestión (proveedores, asesores o algunas instituciones externas) y otros muy delicados (personas solicitantes de ayuda social o médica, incluidos menores, personas en riesgo de exclusión social, personas que cumplen condena). Estos casos implican una cuidadosa y prudente elección de los datos recogidos, donde deslindar lo necesario de lo superfluo es, sin duda, un ejercicio difícil. Precisamente la ayuda que presta una entidad religiosa suele centrarse en el soporte emocional, social e incluso material a las personas. Los datos que se conocen pueden ser abundantes, muy personales y sensibles (de categoría especial, en terminología RGPD). No todos son candidatos a quedar registrados en una base de datos o en un documento, pero todos deben estar convenientemente protegidos de la exposición pública, de la escucha ajena.
Flujos de datos
Del registro de personas derivará un flujo de datos: las operaciones que implican un conocimiento de datos por otras personas de la entidad o ajenas a ella. Esas operaciones, atención a la persona, entrega de documentos para trámites, dotación (y registro) de un servicio (comedor, atención individualizada por voluntarios, …) propicia que los datos personales se difundan. Una situación que no es fácilmente controlable pero que, obligatoriamente, debe suceder en las mejores condiciones posibles para evitar que información privada sea conocida por quien no debiera. En la práctica, y como se veía en otro artículo, las personas en situación vulnerable pueden tener mermada su capacidad de autoprotección. Es, pues, la institución quien debe poner medios y procedimientos para que las actividades sociales de la entidad religiosa no sean motivo de comunicaciones indebidas.
Participación en actividades propias
Las procesiones, actos litúrgicos, reuniones, charlas, … se enmarcan dentro de las actividades esperables de una asociación. La publicación, la inscripción y lista de asistentes. Todo ello es revelador de una creencia religiosa y, como tal, sometido a precaución adicional.
La recogida o entrega de alimentos, ropa, muebles, objetos para el hogar, … posiblemente impliquen un registro nominal y se asocien a acompañamientos en el propio hogar u otros espacios.
Operaciones con datos que implican comunicación a terceros
Bien sea por obligación legal, o por conveniencia, es habitual que los datos circulen: nóminas, operaciones tributarias, listas de asistentes a actos de terceros, donativos …. pueden terminar extramuros de la propia institución … Las nóminas van al banco, la tributación a Hacienda, la cotización a la Seguridad Social, … y, además de éstas, ineludibles, otras pueden ser gestionadas por terceros (porque así conviene a la entidad), como la Protección de Riesgos Laborales, los seguros de bienes, instalaciones o acontecimientos, el mantenimiento de ordenadores, de software o bases de datos, el uso de whatsapp entre miembros de la asociación, la publicación en la web de fotografías de actos, …
En muchos de los anteriores casos, y cualesquiera otros que pudiéramos imaginar, si un tercero tiene acceso a los datos personales será necesario firmar entre ambas partes (la institución y el tercero, por ejemplo, el gestor administrativo, laboral o fiscal) el correspondiente contrato de encargo, escrito, según las previsiones de RGPD 28 (en caso de la Iglesia Católica, su equivalente en el Decreto General, artículo 29). Además, la elección de cualquier tercero debe ser hecha de forma que existan garantías y evidencias de que el mismo cumple la normativa de datos personales. Sus errores o infracciones revertirán directamente en la entidad ya que, no por haber firmado un contrato queda exonerada de responsabilidad sobre los datos personales que le han sido confiados.
Las redes sociales implican una potencial fuente de problemas de privacidad, por su rápida y compulsiva propagación y por la percepcion errónea de que todo lo que se publica se puede difundir. Cuando la realidad es justamente la opuesta.
Conclusiones
Como han señalado diversos profesionales de la protección de datos y la privacidad, las instituciones con más carga de datos sensibles (servicios sociales y asociaciones religiosas) son las menos dotadas de recursos (económicos y materiales) para afrontar una protección de datos personales coherente con la sensibilidad y volumen de los datos. Una situación en absoluto idónea para que nuestra sociedad reduzca los factores de discriminación, pilar fundamental de la protección de datos personales y otros derechos fundamentales de las personas.
Antonio March | amc@datium.eu
Marzo 2020
Imagen ermita en colina: Janez Podnar – Slovenia – Pexels
Imagen niño rezando: Abdullah Ghatasheh – Qatar – Pexels