Dentro de nuestro análisis “paso a paso por el Reglamento General de Protección de Datos (RGPD)”, ya hemos hablado en anteriores publicaciones de aquellas disposiciones relativas a las situaciones específicas de tratamiento que se recogen en su Capítulo IX tales como:
– tratamiento y libertad de expresión y de información,
– tratamiento y acceso del público a documentos oficiales,
– tratamiento del número nacional de identificación,
– tratamiento en el ámbito laboral y;
– tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos
Vamos a referirnos ahora a otra de estas situaciones específicas recogidas en el mismo Capítulo, en concreto, en el artículo 91.1: Normas vigentes sobre protección de datos de las iglesias y asociaciones religiosas:
“Cuando en un Estado miembro las iglesias, asociaciones o comunidades religiosas apliquen, en el momento de la entrada en vigor del presente Reglamento, un conjunto de normas relativas a la protección de las personas físicas en lo que respecta al tratamiento, tales normas podrán seguir aplicándose, siempre que sean conformes con el presente Reglamento.”
A tenor de lo citado en el párrafo anterior, la Iglesia Católica española, tomando como punto de partida el derecho a la libertad religiosa, reconocido en el artículo 16 CE, ha decidido adaptar la normativa canónica sobre la protección de datos personales al RGPD y a la legislación española; siempre eso sí respetando la libre autonomía organizativa que los Tratados Internacionales le reconocen.
Para ello, y en virtud del canon 455 del Código de Derecho Canónico y del mandato especial otorgado por la Congregación para los Obispos (Prot. Nº 37/2018), el 22 de mayo, la Santa Sede emitió el decreto de “recognitio” del Decreto General de la Conferencia Episcopal Española sobre la protección de datos de la Iglesia católica en España, aprobado por la Conferencia Episcopal Española en su última reunión de la Asamblea Plenaria. Para su elaboración, se han seguido las directrices de la Comisión de Episcopados de las Comunidades Europeas.
En relación a su contenido, se aprecia que el Decreto plasma los principales artículos del RGPD con el fin de facilitar su aplicación. Su estructura se compone de un preámbulo y 46 artículos divididos en 7 Capítulos, siguiendo un orden similar al de la norma europea.
La finalidad del Decreto es asegurar por un lado la protección del tratamiento de datos de las personas físicas y por otro, los intereses específicos de la Iglesia Católica. En concreto, se pretende garantizar que el tratamiento de los datos de los fieles, de las asociaciones y organismos eclesiásticos, y de las personas que entran en contacto con ellos, siempre respetando el derecho a la buena reputación y a la confidencialidad, reconocido en el canon 220 del Código de derecho Canónico.
En este sentido, es importante destacar que en virtud del art. II.3 del Acuerdo entre la Santa Sede y el Estado español, de 28 de julio de 1976, este Decreto no aplica en la regulación de ningún derecho u obligación de secreto que se regule en Derecho canónico o derecho español. Entonces, ¿en qué casos aplica?
– Por un lado, el artículo 2.1 del Decreto, relativo al ámbito de aplicación material, deja claro que se aplica tanto al tratamiento de datos automatizado como al no automatizado.
– Por otro lado, el artículo 3, se refiere al ámbito de aplicación organizativo:
- Con carácter general, aplica a todas las entidades de la Iglesia Católica en España, de carácter diocesano, supradiocesano o de ámbito nacional, cuando el tratamiento se produzca dentro de sus actividades, independientemente de si lo realiza la propia autoridad eclesiástica o se realiza en su nombre. Aplica entre otros a las diócesis, parroquias, cofradías, hermandades, escuelas y universidades católicas, etc.
- Con carácter especial, se podrán acoger a este Decreto, siempre previo acuerdo con la Conferencia Episcopal Española, las entidades canónicas de Derecho pontificio o de ámbito internacional y las entidades civiles relacionadas con la Iglesia Católica.
El artículo 4 recoge una serie de definiciones al igual que hace el RGPD, incorporando algunas nuevas de entre las cuales cabe destacar:
– El concepto de “resiliencia” como capacidad de recuperación del sistema de protección de datos tras cualquier perturbación.
– La diferencia entre Delegado de Protección de Datos diocesano y Delegado de Protección de Datos de la Conferencia Episcopal Española; a la que dedicaremos un análisis específico.
– La consideración de “personas empleadas” que tienen tanto los trabajadores que ocupen un empleo como los clérigos y candidatos al sacerdocio, los miembros de las distintas órdenes religiosas, de las personas que realicen prácticas laborales o voluntariados en entidades eclesiásticas, así como las personas que estén en proceso de selección para acceder a un puesto de trabajo o cuya relación laboral haya finalizado.
No obstante, dado el carácter novedoso y complejo de la materia, el propio Decreto contempla la posibilidad de que en el futuro se dicten normas que lo desarrollen, bien por parte de la Conferencia Episcopal Española como por las autoridades eclesiásticas que tengan potestad legislativa canónica.
Nosotros seguiremos estudiando cómo se regula la protección de datos en las iglesias y asociaciones religiosas mediante el Decreto General en nuestras próximas publicaciones.