La Secretaría de la Hermandad INFORMA QUE: desde octubre de 2016 esta Hermandad da cumplimiento en materia de seguridad y protección de datos conforme a la normativa vigente.
Como viene siendo habitual la Hermandad se somete de forma semestral al control y verificación de los datos y seguridad como le marcan la normativa vigente.
De esta forma y para conocimiento de todos los Hermanos de ésta comunicamos que se ha procedido a la segunda correspondiente a este año 2022 quedando la Hermandad en plenas condiciones y garantias de control hasta Noviembre de 2023 y regularizada conforme a la LEY ORGÁNICA 3/2018 de Protección de Datos de Carácter Personal y Garantía de los Derechos Digitales y a su vez al nuevo REGLAMENTO EUROPEO (UE) 2016/679.
La Ley de Protección de Datos no es algo que solo afecte a empresas, en realidad, cualquier entidad que maneje datos personales con fines que no sean domésticos, debe cumplir con la normativa vigente y eso incluye también a las hermandades y cofradías. En este artículo explicamos cómo deben cumplir con la normativa de protección de datos en hermandades o cofradías.
La normativa de protección de datos son leyes que cualquier entidad que recoja y trate de datos de carácter personal debe cumplir. Las hermandades o cofradías, por su propia naturaleza, recogen y gestionan datos identificativos de sus miembros para poder llevar a cabo su gestión interna. Este hecho ya de por sí las obliga a dar cumplimiento a la normativa, pero hay una razón más.
Este hecho, además, genera una serie de obligaciones que cualquier hermandad o cofradía debe contemplar para cumplir con la normativa, como veremos en los siguientes puntos.
¿Es obligatorio que las hermandades se ajusten a la normativa de protección de datos?
Como ya hemos adelantado en el punto anterior, sí, las hermandades o cofradías están obligadas a adaptarse a la normativa de protección de datos, con especial atención a las obligaciones que el tratamiento de datos relacionados con las convicciones religiosas supone.
Esto quiere decir que la Ley de Protección de Datos para las hermandades exige cumplir con más obligaciones que en otro tipo de organizaciones.
Además, no cumplir la Ley expondrá a la hermandad o cofradía a la posibilidad de ser sancionada por la AEPD. Estas sanciones pueden alcanzar hasta los 20 millones de euros, dependiendo de la gravedad de la infracción cometida.
¿Qué leyes en materia de protección de datos son de obligado cumplimiento para hermandades y cofradías?
Son dos las leyes en materia de protección de datos que deben cumplir las hermandades y cofradías:
LOPD para hermandades
La Ley Orgánica de Protección de Datos y Garantías de Derechos Digitales, LOPDGDD o LOPD, que entró en vigor en diciembre de 2018 y que modificaba la antigua ley de protección de datos introduciendo en la legislación española la regulación europea, es decir, el RGPD.
RGPD en hermandades
Y el RGPD, que es el marco regulatorio europeo para la protección de datos, aprobado en 2016 y en vigor en España desde mayo de 2018.
El RGPD es un reglamento de carácter más general, que trajo consigo varias novedades y cambios para la normativa española, aparte de simplificar varios de los trámites necesarios para cumplir con la ley.
Entre esas novedades tenemos la diferenciación entre dos tipos de datos personales; unos que podemos llamar genéricos, cuyo nivel de protección es exigente, pero no conlleva obligaciones extra. Y otro de categorías especiales, que son aquellos que necesitan una mayor protección o que, salvo excepciones, no se pueden tratar, puesto que pueden poner en riesgo los derechos fundamentales y libertades de los interesados.
El RGPD también eliminó la obligación de inscribir los ficheros en la AEPD (Agencia Española de Protección de Datos) y la elaboración del documento de seguridad, «fundiendo» ambos requisitos en el nuevo registro de actividades de tratamiento, del que hablaremos más adelante.
Además, introdujo la figura del Delegado de Protección de Datos (DPD o DPO) y la necesidad de recabar el consentimiento expreso, que, cómo veremos un poco más adelante, son dos aspectos de especial importancia para las hermandades y cofradías.
¿Cómo deben cumplir la LOPDGDD/RGPD las hermandades?
La protección de datos para hermandades y cofradías debe tener en cuenta, como ya hemos dicho, algunas obligaciones más por el tipo de datos personales que recogen y tratan. En las siguientes líneas vamos a explicar los pasos fundamentales que deben seguir para cumplir con la normativa.
Si bien, cabe señalar que, dada la complejidad que puede requerir este cumplimiento, es aconsejable que la hermandad recurra a los servicios de una consultoría especializada en protección de datos, si no cuentan con personas con los conocimientos necesarios para ello.
Elaborar un registro de actividades de tratamiento
Bajo determinadas circunstancias, cuando se recogen y tratan datos personales, es obligatorio elaborar un registro de actividades de tratamiento; se trata de un listado con información concisa, pero detallada sobre cada tratamiento de datos que lleve a cabo la hermandad y con el que se documentan dichos tratamientos.
Es un documento interno, que siempre debe estar actualizado y a disposición de la AEPD, si esta lo solicita.
Entre esas circunstancias, el RGPD obliga a llevar este registro de actividades de tratamiento cuando se tratan datos de categorías especiales, como los de convicción religiosa, por lo tanto, las hermandades deben contar siempre con este documento.
El registro de actividades de tratamiento debe realizarlo el responsable de tratamiento (en este caso, es la hermandad y la persona que designe para ello) y contener la siguiente información:
- Identificación y datos de contacto del responsable del tratamiento (y si los hay, del corresponsable, representante, encargado del tratamiento y del DPD)
- Legitimidad del tratamiento
- Fines del tratamiento
- Descripción de categorías de datos e interesados
- Descripción de destinatarios de los datos (existentes y previstos)
- Información y documentación de garantías si hay transferencias internacionales de datos
- Plazos de conservación de los datos
- Descripción de las medidas de seguridad
Evaluación de impacto
Como ocurre con el registro de actividades de tratamiento o el DPD, dado el tipo especial de datos personales que tratan las hermandades y cofradías, también están obligadas a realizar una evaluación de impacto de protección de datos (EIPD).
La EIPD es un análisis de riesgos en profundidad, que debe realizarse con carácter previo a la realización de ninguna actividad de tratamiento, puesto que sirve precisamente para determinar los riesgos y amenazas que dicho tratamiento puede suponer para la protección de esos datos y de los derechos fundamentales y libertades de los interesados.
De las conclusiones de una EIPD se deben implantar las medidas de seguridad necesarias para minimizar la probabilidad de que un riesgo o amenaza se materialice y, en caso de hacerlo, reducir la gravedad del mismo.
Nombrar un Delegado de Protección de Datos (DPD)
Como ya avanzamos, para hermandades y cofradías contar con un Delegado de Protección de Datos (DPD) es obligatorio, este se ocupará de asesorarlas e informarlas sobre los tratamientos de datos personales que se lleven a cabo en ellas.
Puesto que la ley no obliga en ningún caso a que el DPD sea una persona de dentro de la organización, si las hermandades no cuentan con un miembro que pueda ocuparse con garantías de esta posición, podrán recurrir a un DPD externo, contratándolo, por ejemplo, a través de una consultoría especializada en protección de datos.
Confidencialidad de los datos recogidos
Todo miembro de la hermandad o cofradía que pueda acceder a los datos personales que se recogen y tratan en ella, debe mantener la debida confidencialidad de la información.
En una empresa, los empleados firman acuerdos de confidencialidad, en los que se incluyen las consecuencias de no cumplir con ello, algo que también puede hacerse en la hermandad para garantizar que ningún miembro filtra o utiliza los datos personales del resto de miembros a terceros o con otros fines.
Adoptar las medidas de seguridad exigidas por la legislación
Las hermandades y cofradías deberán adoptar las medidas de seguridad técnicas y organizativas que exige la legislación para proteger los datos personales que van a tratar.
El análisis de riesgos y la evaluación de impacto serán los que determinen qué medidas de seguridad es necesario implantar para garantizar la seguridad y confidencialidad de la información. Además, dichas medidas deben evaluarse periódicamente para garantizar su efectividad y el nivel de cumplimiento normativo que se alcanza con ellas.
Así mismo, las medidas de seguridad deben contar con un protocolo o plan de actuación en caso de producirse brechas de seguridad que puedan poner en riesgo los datos personales de los interesados. Dicho protocolo debe permitir informar tanto a la AEPD como a los propios interesados de un incidente de seguridad lo antes posible. De hecho, la notificación a la AEPD debe hacerse en un plazo máximo de 72 horas.
Permitir a los titulares de los datos el ejercicio de sus derechos sobre sus datos
Las hermandades y cofradías deben informar y permitir a los interesados ejercer los derechos RGPD sobre sus datos, es decir, deben informar de dónde y cómo ejercer los derechos de:
- Acceso
- Rectificación
- Cancelación
- Oposición
- Portabilidad
- Olvido
Las hermandades y cofradías no podrán oponerse o dificultar el ejercicio de estos derechos, teniendo plazos para dar cumplimiento a las peticiones que sobre ellos hagan los interesados y titulares de los mismos.
No dar cumplimiento a esta obligación es una infracción y motivo de sanción.
Preguntas frecuentes
¿Cómo debe realizarse la cesión de los datos de los cofrades?
Si la hermandad o cofradía va a ceder datos a terceros, es necesario recabar el consentimiento expreso de los interesados para ello. Además, también será necesario firmar un contrato de encargo de tratamiento con esos terceros, donde se recojan las obligaciones en materia de protección de datos que deben cumplirse.
¿Qué datos se pueden publicar en los tablones de anuncios?
Salvo consentimiento expreso de los interesados, no se podrán publicar datos personales en los tablones de anuncios de la hermandad o cofradía, por ejemplo, cuando se publican las listas de salida en una procesión o el censo de las elecciones.
Ahora bien, si los datos personales son seudoanonimizados, sí podrán publicarse. Es importante que los datos publicados no permitan identificar al interesado por terceros.
¿Cómo debo incorporar a los hermanos a listas de WhatsApp?
Para poder incorporar a los hermanos a las listas de WhatsApp para efectuar comunicaciones, es necesario contar con el consentimiento expreso de los interesados. Es decir, se debe informar de que el fin o uno de los fines de recoger el número de teléfono móvil, es añadirlo a la lista de WhatsApp de la hermandad para enviar comunicaciones. Los hermanos deberán dar su consentimiento mediante una acción afirmativa para poder ser incluidos.
¿Cuál será la función del Delegado de Protección de Datos en una cofradía/hermandad?
Las principales funciones del DPD en una hermandad o cofradía son las siguientes:
- Informar y asesorar al responsable, al encargado y a aquellos miembros de la hermandad o cofradía que se encarguen del tratamiento de datos dentro de sus propias competencias.
- Supervisar el cumplimiento normativo en materia de protección datos, así como de las políticas del responsable y del encargado del tratamiento, incluyendo la asignación de responsabilidades, la formación y la concienciación en materia de protección de datos de los miembros que lleven a cabo actividades de tratamiento y/o auditorías.
- Asesorar sobre la evaluación de impacto y supervisar su aplicación.
- Cooperar con la AEPD a través del DPD de la Conferencia Episcopal.
Comentarios recientes