Las entidades evangélicas, ¿tienen que cumplir la normativa sobre protección de datos?

Las entidades evangélicas tienen la obligación de respetar lo previsto en la normativa de protección de datos de carácter personal, ya que no se encuentran excluidos de su ámbito de aplicación. Y tienen que cumplir con las obligaciones que esta normativa exige en la medida en que tengan o manejen datos de carácter personal de personas físicas.

La legislación de protección de datos encuentra su fundamento en el artículo 18 de la Constitución española, que garantiza el derecho al honor y a la intimidad personal y familiar de los ciudadanos. Para garantizar este derecho hay abundante normativa, tanto a nivel europeo como estatal. Mencionaremos aquí tan solo la más importante de nivel estatal que es la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de carácter personal, y el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica anteriormente mencionada, y la más reciente a nivel europeo, que es el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE.

¿Qué tipo de datos hay que proteger?

La normativa sobre protección de datos tiene como objeto proteger toda la información relativa a una persona física identificada o identificable, excluyéndose la información anónima, y se aplicará tanto a las personas físicas o jurídicas que lleven a cabo un tratamiento total o parcialmente automatizado, así como un tratamiento no automatizado, de datos personales contenidos o destinados a ser incluidos en un fichero, siempre que su actividad se lleve a cabo en la Unión Europea.

La Ley de Protección de Datos distingue tres tipos de datos, los datos que requieren un nivel de protección básico, los que requieren un nivel de protección medio, y un nivel de protección alto. Las medidas de seguridad que es necesario adoptar varían en función de cada nivel de protección. Los datos especialmente protegidos son aquéllos que hagan referencia a la ideología, religión o creencias, al origen racial, la salud y la vida sexual. Es probable, por tanto, que muchos de los datos que tienen las entidades evangélicas puedan estar especialmente protegidos, pues están referidos de manera directa a la religión y creencias. El libro de miembros de una iglesia, por ejemplo, recoge datos de carácter personal que se refieren directamente a la religión que profesan esas personas, por lo que estaríamos ante datos que tienen el máximo nivel de protección.

Por tratamiento de datos personales se entiende cualquier operación o procedimiento técnico, sea o no automatizado, que permita la recogida, grabación, conservación, elaboración, modificación, consulta, utilización, cancelación, bloqueo o supresión, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.

¿Qué datos quedan excluidos de la protección de esta normativa?

Quedarían excluidos de esta normativa los siguientes datos:

  • Los datos referidos a las personas jurídicas,
  • Los datos relativos a empresarios individuales cuando hagan referencia a ellos en su calidad de comerciantes, industriales o navieros, y los datos de contacto profesionales.
  • Los datos de personas fallecidas.
  • Los datos incluidos en ficheros domésticos, como puede ser la correspondencia o un repertorio de direcciones.

¿Qué ficheros existentes en la Iglesia o en entidades evangélicas deben estar protegidos?

El primer paso que debe dar la entidad es examinar cuáles son los datos de carácter personal y los ficheros que contienen estos datos con los que trabaja. Es habitual que las Iglesias evangélicas tengan los siguientes ficheros con datos de carácter personal en su funcionamiento cotidiano:

  • Ficheros con los datos de los miembros, o libros de miembros.
  • Los “libros parroquiales”, tales como libros de bautismos, de matrimonios y de defunciones.
  • Ficheros de contactos.
  • Ficheros de personal contratado.
  • Ficheros de las personas atendidas o usuarios de las obras sociales, por ejemplo.
  • Cualquier otro fichero con datos de carácter personal que sirva a sus fines específicos.

Éstos serán los ficheros con respecto a los cuales tendrá que adoptar las medidas de seguridad.

¿Qué medidas de seguridad hay que adoptar en una entidad evangélica?

Las obligaciones que tienen las Iglesias que tengan ficheros de carácter personal podrían agruparse en 4 fases. Estas cuatro fases están íntimamente relacionadas y tendrán que realizarse de manera simultánea. Dada la complejidad del cumplimiento de esta normativa, FEREDE ha creado un servicio específico de protección de datos para las entidades evangélicas para ayudarlas con la implantación de las medidas adecuadas y cumplir esta normativa.


FASE 1 25%

Fase 1 – Realizar un análisis de riesgos de cada actividad de tratamiento

El análisis de riesgos se hace a partir del Registro de actividades de tratamiento, y para cada actividad de tratamiento por separado.
Una vez determinadas las actividades de tratamiento se tienen que identificar las amenazas o vulnerabilidades a las que están expuestos los ficheros. En la siguiente fase, se implementarán las medidas que pueden reducir estos riesgos detectados.
Para evaluar el riesgo inherente tenemos que medir fundamentalmente los dos parámetros que lo determinan: la magnitud del impacto o daño posible y la probabilidad de que dicho daño llegue a ocurrir.
Una vez que tenemos calculado el riesgo, se debe decidir si se evita, se reduce, se asume o se transfiere.

FASE 2 50%

Fase 2 – Elaboración de un documento de seguridad

Recuerde que esta es la Fase 2 de cuatro fases totales. Todas las medidas de seguridad deberán constar explicadas en el documento de seguridad correspondiente de la entidad, que es obligatorio crear y mantener. En el documento se deben detallar los criterios, medidas y procedimientos que la Iglesia debe y tiene acordado adoptar para garantizar el cumplimiento de los derechos y obligaciones contenidos en la normativa, y para mitigar los riesgos detectados previamente en el análisis de riesgos.

Este documento no ha de remitirse a la Agencia Española de Protección de Datos, sino que la entidad tiene que disponer del mismo, actualizarlo y aplicarlo para evitar posibles sanciones.

A modo indicativo, el documento de seguridad deberá contener información sobre los siguientes asuntos:

  • Identificación de la entidad y del ámbito objetivo del Documento de Seguridad
  • Designar un Responsable de Seguridad
  • Explicar cómo se gestionan los soportes y documentos donde se almacena la información y establecer procedimientos de ejecución y seguridad para las copias de respaldo y recuperación de la información.
  • Disponer de controles y registros de accesos a la información
  • Prever y gestionar las incidencias de seguridad
  • Efectuar auditorías y controles periódicos
FASE 3 75%

Fase 3 – Designación de un responsable de seguridad

Recuerde que esta es la Fase 3 de cuatro fases totales. El encargado de aplicar en la Iglesia la normativa de protección de datos constará en el documento de seguridad y es el responsable o responsables de seguridad. Para implantar y cumplir la normativa de protección de datos, deberá existir en la entidad una o más personas que sean designadas como responsable de seguridad, que deberán formarse en esta materia, y que se tendrán que responsabilizar del cumplimiento de todas las medidas de seguridad que consten en el correspondiente documento de seguridad. La obligación del responsable de seguridad es velar por el cumplimiento en una determinada entidad de las normas de seguridad contenidas en el Documento de Seguridad y en la normativa de protección de datos.

Es importante destacar que, de producirse una inspección de la Agencia de Protección de Datos, y de imponerse una sanción, ésta sería impuesta a la entidad responsable de los ficheros, que es la entidad religiosa, y no al responsable de seguridad.

FASE 4 100%

Fase 4 – Aplicación y auditoría de las medidas contenidas en el documento de seguridad.

Recuerde que esta es la Fase 4 de cuatro fases totales. Una vez aplicadas las medidas contenidas en el documento de seguridad, la protección de los datos de carácter personal con los que se trabaja es algo continuo y que, por tanto, hay que integrar en la forma de funcionar de la Iglesia. Es recomendable que el responsable del tratamiento efectúe una auditoría cada dos años para verificar el estado de cumplimiento de las normas en materia de protección de datos, elaborando informes que dejen constancia de los controles efectuados y de las medidas correctoras adoptadas.

¿En qué consiste recabar el consentimiento del afectado?

Para que la entidad pueda disponer de los datos personales de sus miembros, asistentes o beneficiarios de cualquier servicio, debe contar con el consentimiento previo, de manera expresa, y por escrito.

El consentimiento que se recabe ha de ser un consentimiento informado, libre, específico e inequívoco, es decir, el responsable del tratamiento tendrá que informar al interesado previamente a obtener dicho consentimiento, de lo siguiente:

– la identidad y los datos de contacto del responsable y, en su caso, de su representante;

– los datos de contacto del delegado de protección de datos, en su caso;

– los fines del tratamiento a que se destinan los datos personales y la base jurídica y la base jurídica del tratamiento que, en este caso, es el consentimiento;

– los destinatarios o las categorías de destinatarios de los datos personales, en su caso;

– en su caso, la intención del responsable de transferir datos personales a un tercer país u organización internacional;

– el plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo;

–  la existencia del derecho a solicitar del responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos;

– el derecho a retirar el consentimiento en cualquier momento;

– el derecho a presentar una reclamación ante una autoridad de control.

[/dt_progress_bars]

¿De quién hay que recabar el consentimiento?

Hay que recabar el consentimiento de todas las personas de las que se soliciten y se gestionen, mediante ficheros, datos de carácter personal. Por ejemplo, los beneficiarios de la obra social de la entidad, los contactos o asistentes de la iglesia, las personas que participen en alguna actividad de la entidad (campamentos, etc.)

¿Se puede revocar el consentimiento?

El consentimiento puede ser revocado en cualquier momento y, en ese caso, no podrán tenerse ni tratarse los datos personales de la persona que haya solicitado su revocación. Este tipo de cláusulas deberán ser utilizadas siempre por la Iglesia para recabar el consentimiento expreso de toda persona que facilite sus datos a la entidad.

Esta revocación se realiza a través de los denominados derechos de los interesados (Acceso, Rectificación, Cancelación, Limitación, Oposición y Portabilidad).

¿Cuáles son los derechos de los interesados?

Los derechos tradicionales en materia de protección de datos de carácter personal son los conocidos como los derechos ARCO (Acceso, Rectificación, Cancelación y Oposición). A estos cuatro derechos, el RGPD (Reglamento UE 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE) ha incorporado los derechos de Limitación y de Portabilidad.

El derecho de acceso permite al interesado preguntar al responsable del tratamiento si tiene datos personales suyos, cuáles, el origen de los mismos y la fuente, y obtener una copia de los datos personales objeto de tratamiento. El responsable debe resolver sobre la solicitud de acceso en el plazo máximo de 1 mes desde la recepción de la petición, mediante su visualización en pantalla, escrito, copia o fotocopia remitida por correo, certificado o no, fax, correo electrónico u otros sistemas de comunicación electrónica o cualquier otro sistema que sea adecuado a la configuración material del fichero o a la naturaleza del tratamiento.

Los derechos de rectificación y cancelación corresponden a la posibilidad de que el interesado solicite la modificación de sus datos por resultar inexactos o incompletos, en el primer caso, o que se supriman aquellos datos que resulten inadecuados o excesivos. Para ejercitar los derechos de rectificación y cancelación, el afectado debe dirigirse al responsable del tratamiento solicitando la rectificación o cancelación de sus datos. Ambos derechos deben hacerse efectivos por parte del responsable del tratamiento en el plazo de 10 días hábiles siguientes a la recepción de la solicitud.

El derecho de oposición es el derecho del afectado a que no se lleve a cabo el tratamiento de sus datos de carácter personal o se cese de dichos tratamientos. El responsable del tratamiento resolverá sobre la solicitud de oposición en el plazo máximo de 10 días a contar desde la fecha de recepción. Si el responsable no dispone de datos personales del afectado, deberá comunicárselo.

El derecho a la limitación del tratamiento puede hacerse efectivo en 4 casos: cuando el interesado ha impugnado la exactitud de sus datos personales, durante el plazo que permite al responsable verificar la exactitud de los mismo; cuando el tratamiento es ilícito y el interesado ha solicitado la limitación de su uso; cuando el responsable ya no los necesita, pero el interesado sí, para la formulación de reclamaciones; o bien cuando el interesado se ha opuesto al tratamiento, mientras se verifica si los motivos legítimos del responsable prevalecen sobre los del interesado.

El derecho a la portabilidad es el derecho que tienen los interesados a recibir los datos personales que les incumban, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento, siempre que el tratamiento esté basado en el consentimiento y se efectúe por medios automatizados.

¿Cuáles son las consecuencias por el incumplimiento de la normativa de protección de datos?

Las consecuencias del incumplimiento de esta normativa pueden consistir en sanciones económicas muy elevadas, que pueden alcanzar los 20.000.000 de euros, según la gravedad de la infracción. La ley de protección de datos prevé, por tanto, un régimen sancionador muy severo, especialmente cuando los datos tienen la consideración de alta protección como son algunos de los datos con los que trabajan las entidades religiosas. A modo de ejemplo, constituye infracción grave mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sensibles sin las debidas condiciones de seguridad expuestas.

Por otra parte, e independientemente de las multas administrativas que se puedan imponer, las personas cuyos datos estén tratando las iglesias, sin las garantías enumeradas más arriba, pueden exigirle a la entidad evangélica una indemnización por los daños y perjuicios sufridos.

¿Puede FEREDE ayudarme con la adecuación de mi entidad a la normativa de protección de datos?

FEREDE pone en marcha un SERVICIO específico en materia de Protección de Datos para las iglesias y entidades evangélicas que la integran, de suscripción voluntaria y adicional a los servicios que ya se prestan.

Solicitando este servicio, FEREDE podrá ayudar y asesorar a su entidad para cumplir la normativa de Protección de Datos y adaptarse al Reglamento Europeo. FEREDE nació como instrumento de servicio a las iglesias, hace más de 60 años y, por tanto, conoce cómo son y cómo funcionan sus entidades, y puede indicarles los pasos a dar en función de las características específicas de las mismas, poniendo a su disposición a los abogados de su Servicio Jurídico.

El Servicio creado por FEREDE tendrá una duración de dos años, e incluirá:

  • Asesoramiento, apoyo formación necesaria para la adaptación al Reglamento Europeo.
  • Realización del correspondiente análisis de riesgos y, en su caso, evaluación de impacto,
  • Redacción de las cláusulas legales, formularios, preceptivos contratos, protocolos y documento de seguridad.
  • Designación de FEREDE como Delegado de Protección de Datos de la entidad, asumiendo las funciones de orientar y asesorar a la entidad en esta materia durante toda la duración del contrato.
  • Auditoría a realizar en el segundo año para verificar la correcta implantación y adaptación al Reglamento Europeo.

Tras los dos años de servicio, la entidad podrá decidir si sigue contando con FEREDE para que siga siendo su Delegado de Protección de Datos y para que siga encargándose de asesorar, orientar a la entidad y realizar las preceptivas auditorías.

Para solicitar información específica sobre este servicio puede escribir a protecciondatos@ferede.org