Es, en la Semana Santa, cuando las cofradías y hermandades, o cualquier tipo de congregación y asociación religiosa, muestran su actividad y cobran mayor exposición y protagonismo. Por ello, con el comienzo de la misma, es necesario recordar que, aunque pueda parecer excesivo o incluso absurdo, estas asociaciones, están obligadas a cumplir con la normativa en protección de datos.
La citada normativa, Reglamento Europeo de Protección de Datos, RGPD y en España, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, LOPDGDD, obligan a cualquier entidad que, en su actividad, trate datos de carácter personal, como, por ejemplo, un simple registro de miembros. Por lo que, por este simple hecho, estas congregaciones religiosas ya estarían obligadas.
En primer lugar y, antes de resolver cuestiones prácticas sobre sus obligaciones, hay que destacar algo muy significante e importante, de lo que no es fácil darse cuenta y, es que estas asociaciones religiosas tratan datos especialmente protegidos, regulados en el art. 9 del RGPD.
Este artículo, en su apartado 1, prohíbe el tratamiento de datos que revelen las convicciones religiosas o filosóficas, sin embargo, en su apartado 2, se establecen una serie de excepciones, siendo aplicable a estas asociaciones la recogida en el apartado d), al ser llevado a cabo el tratamiento sin ánimo de lucro, y por una finalidad exclusivamente religiosa, siempre que el tratamiento se refiera exclusivamente a los miembros actuales o antiguos de tales organismos o a personas que mantengan contactos regulares con ellos en relación con sus fines y siempre que los datos personales no se comuniquen fuera de ellos sin el consentimiento de los interesados.
Por ello, la congregación deberá de obtener el consentimiento expreso de los interesados que quieran formar parte de la misma, en el momento de su inscripción, informando sobre la finalidad de tratamiento de datos.
Especial diligencia hay que tener a la hora de publicar fotografías o vídeos de estos miembros en redes sociales, por ejemplo, finalidad para la cual, el consentimiento de inscripción no es suficiente, siendo necesario recabar uno expresamente para la captación y publicación de las imágenes. Esto no sería de aplicación cuando la imagen no permita identificar a las personas, por ejemplo, al ser panorámica o pixelar las caras.
También hay que tener especial cuidado con los miembros menores de edad.
Entre las obligaciones comunes que tienen estas congregaciones, están:
- Elaborar un registro de actividades de tratamiento (es un documento interno, que siempre debe estar actualizado y a disposición de la AEPD).
- Descripción de las medidas de seguridad.
- Evaluación de impacto.
- Confidencialidad.
- Ejercicio de derechos (se debe de informar y permitir a los interesados ejercer los derechos RGPD sobre sus datos, es decir, deben informar de dónde y cómo ejercer sus derechos.
Más en concreto, si la congregación quisiese ceder los datos de sus miembros a un tercero, sería necesario recabar en primer lugar el consentimiento expreso de los mismos para esta cesión, informado del motivo de la misma y, en segundo lugar, firmar un contrato responsable-encargado de tratamiento con este tercero, en donde se recogerán las obligaciones de confidencialidad, medidas de seguridad y finalidad de la cesión.
Si se quisiese hacer un grupo de Whatsapp con los miembros, también sería necesario recabar el consentimiento expreso de los mismos, informado en su obtención, de la finalidad del grupo.
Para más información contacte con nosotros, le informamos sin compromiso en el teléfono 988 609 224 y en
de******@ar***********.com
Síganos en Facebook y vea nuestro blog de protección de datos, para mantenerse informado de todas las novedades.
Arias Avogados