Redes sociales y aplicaciones móviles de las Cofradías de Sevilla y menores en Semana Santa
El mundo de las Hermandades y Cofradías de Sevilla ha sido tradicionalmente muy sensible en lo que respecta al cumplimiento de la normativa de protección de datos, siendo pionera en la materia la Hermandad del Gran Poder en cuanto a solicitar una aclaración por parte de la Autoridad de Control (en este caso, la Agencia Española de Protección de Datos), respecto al tratamiento de los listados de hermanos durante las elecciones a la Junta de Gobierno, por no mencionar las distintas recomendaciones e indicaciones que desde las distintas instituciones implicadas como pudieran ser el Consejo de Hermandades y Cofradías de Sevilla, el Colegio de Abogados de Sevilla o más recientemente, la Archidiócesis de Sevilla, en cuanto a situaciones de riesgo bastante frecuentes como pudieran ser el tratamiento de datos relativo a las papeletas de sitio o, especialmente, las situaciones especialmente complicadas que puede generarse por el tratamiento de menores de edad.
Sin embargo, los programas de Cumplimiento Normativo o Compliance, todavía no han calado suficientemente en el seno de las hermandades con el fin de prevenir posibles incumplimientos normativos como pudieran ser los delitos societarios, la prevención del blanqueo de capitales, o, incluso, la implantación de los canales de denuncia que pudieses reunir las garantías suficientes de confidencialidad e imparcialidad, especialmente en cuanto a la posible comisión de delitos en materia de menores o trabajadores relacionados con la hermandad, situaciones que requieren más pronto que tarde una autorregulación propia y específica.
En este sentido, el Reglamento General de Protección de Datos o RGPD, bebe de la filosofía del Compliance, y más estrictamente en todo lo correspondiente al Compliance Digital, en cuanto al cumplimiento normativo requerido por los tratamientos de datos personales que pudieran llevarse a cabo por una Hermandad en el entorno online, desde una simple página web que garantice una mínima presencia digital hasta la difusión de sus contenidos digitales a través de redes sociales, pasando por tratamientos accesorios y de un riesgo muy considerable como pudiera ser el uso de una Aplicación Móvil o APP titularidad de la Hermandad como canal para gestionar los adeudos propios del cobro de la cuota de hermano: imagínense por un momento que esa APP es hackeada y los datos bancarios de los hermanos se filtran por internet o se publican en una web del tipo “Foro Coches”. La crisis reputacional estaría servida sin mencionar las posibles consecuencias derivadas de no disponer de las auditorías legales, técnicas y organizativas pertinentes referidas a la misma APP. Y no ha sido por falta de resoluciones de notorio interés en el ámbito europeo.
El pasado 10 de julio de 2018, Tribunal de Justicia de la Unión Europea («TJUE») dictó sentencia en relación con el asunto C 25/17, en la que interpreta la normativa europea sobre protección de datos y establecía las obligaciones a las que se debe sujetar una comunidad religiosa al respecto, dado que la la Comisión de protección de datos de Finlandia dictó una resolución a fecha 17 de septiembre de 2013, mediante la cual prohibía a la comunidad de los Testigos de Jehová recoger o tratar datos personales en relación con la actividad de predicación puerta a puerta llevada a cabo por sus miembros; señaló el Tribunal que el concepto de responsable del tratamiento comprende tanto personas físicas como jurídicas que, de forma individual o conjuntamente con otros, determinen dichos fines y medios de tratamiento, y por ello, dado que la actividad de predicación resulta esencial para los fines propios de esta comunidad religiosa, se considera que tanto la comunidad como sus miembros son responsables de forma conjunta del tratamiento de los datos personales recabados en su labor de predicación, sin que sea preciso que se tomen medidas específicas de ningún tipo (tales como instrucciones por escrito y/o consignas en relación con esos tratamientos).
Salvo, en el caso anteriormente citado de los Testigos de Jehová, no deja de ser curioso que históricamente, tanto las Iglesias como las asociaciones religiosas no se han caracterizado por prestar demasiada atención al derecho a la intimidad, y más precisamente ,cuando dicho concepto surge de uno de los padres de la Iglesia: San Agustín, el verdadero descubridor de la intimidad en el sentido que podemos entender tal concepto hoy día, ya que para este filósofo la intimidad era único cauce para encontrar a Dios. Algún autor, sin embargo, considera el secreto de confesión como un verdadero antecedente del derecho a la intimidad en el ámbito religioso, el cual realmente no empieza a recogerse en ningún tipo de previsión normativa hasta el Código de Derecho Canónico de 1917, cuando aparecen algunos cánones cuya finalidad es proteger la intimidad de los individuos especialmente e indirectamente en la intimidad de aquellos individuos que han sido confesados.
El derecho a la privacidad como tal se sustituye en el ordenamiento jurídico canónico por el concepto intimitatem, lo que sugiere que se admite una cierta reticencia a codificar por parte de la Iglesia este derecho a la vida privada. Sin embargo, el Código de Derecho Canónico de 1983, el cual sigue vigente a día de hoy, se incluye un listado de derechos y obligaciones para todos los fieles católicos, sean clérigos o laicos, en los cánones 208 a 223, recogiendo en uno de ellos, el 220, directamente la buena fama y la intimidad de la vida privada como derechos fundamentales de los fieles.
La situación en España deriva de los acuerdos existentes con las correspondientes autoridades eclesiásticas: el mandato constitucional de cooperar entre el Estado y la confesión religiosa en el caso de la Iglesia Católica, se materializó en la firma de los Acuerdos entre el Estado español y la Santa Sede de 3 de enero de 1979, que tienen carácter de Tratado Internacional y tras su publicación en el BOE, pasaron a formar parte del ordenamiento jurídico español en un lugar subordinado a la Constitución y, por consiguiente, su contenido debe interpretarse conforme a las disposiciones constitucionales en todo momento. El derecho de protección de datos es un derecho fundamental derivado del art. 18.4 CE y, por tanto, el Acuerdo no se vulnera por la aplicación de la normativa civil de protección de datos configurándose de aplicación directa en cuanto a los tratamientos especiales referidos a iglesias y asociaciones religiosas.
No es baladí, sin embargo, que algunas asociaciones y hermandades religiosas, sí hayan recogido de forma proactiva entre sus reglas y reglamentos la necesidad de respetar la problemática que subyace en el respeto hacia la protección de datos, no únicamente en referencia a sus hermanos o fieles, sino también de la necesidad de guardar la máxima confidencialidad a la hora de recabar los datos de personas que se relacionen con estas entidades de marcado carácter religioso, y más concretamente en los casos de asistencia social, estableciendo unas directrices generales más cercanas al deber de secreto que a la protección de datos, pero reconociendo en todo caso la sensibilidad de la que han de gozar los datos personales referidos a aquellos necesitados, que sin ser necesariamente devotos o afines a la confesión religiosa, puedan solicitar entre otros supuestos, asistencia social, y con más razón aún, colectivos desfavorecidos como enfermos, morosos a causa de una situación de pobreza, ancianos, menores, mujeres maltratadas o en situación de desigualdad o inmigrantes que solicitan la caridad de la Hermandad.
Más allá que la consideración del dato de religión en la LOPDGDD como una de las categorías especiales de datos en su artículo 9, el 22 de mayo de 2018, la Santa Sede emitió el decreto de «recognitio» del Decreto General de la Conferencia Episcopal Española sobre la protección de datos de la Iglesia católica en España, aprobado por la Conferencia Episcopal Española mediante Asamblea Plenaria, gracias al que se establece un nivel de protección sustancialmente equivalente al ordenamiento civil, complementando la normativa europea y estatal sobre la protección de las personas físicas en lo que respecta al tratamiento de datos personales, y preservando la necesaria y libre autonomía de la Iglesia en este tipo de regulaciones, ya que, en otro caso, se aplicaría la normativa europea y estatal, con las previsibles conflictos jurídicos en el futuro. Y todo ello porque el artículo 91 RGPD, otorgaba la posibilidad a las entidades religiosas de regirse por su propia normativa en protección de datos siempre y cuando se publicase antes del 25 de mayo de 2018 y no fuese contrario al Reglamento General, configurándose como algunos de los puntos más clarificadores y específicos de este decreto, tanto la delimitación de la categoría de personal como al consentimiento otorgado por menores en cuanto a la atención pastoral por vía electrónica.
En cuanto a que se considerarán como «Personas empleadas» que deberán ser informados en lo concerniente a sus funciones y obligaciones en materia de protección de datos, se encuentran las personas que realicen prácticas laborales o actividades análogas en una entidad religiosa así como las personas que realicen actividades de voluntariado en la misma, algo perfectamente extrapolable al caso de las Hermandades.
En el art. 8.8 del Decreto General se menciona que los datos personales de un menor que recibe electrónicamente atención pastoral o de otro tipo similar de una entidad eclesiástica sólo pueden procesarse si el menor ha cumplido los 16 años. Por ello, si el menor que requiere atención pastoral por vía electrónica aún no ha cumplido los 16 años, el tratamiento sólo será lícito si dicho consentimiento lo prestó o autorizó el titular de la patria potestad o tutela sobre el menor, y sólo en la medida en que se dio o autorizó, debiendo por ello la hermandad correspondiente, teniendo en cuenta la tecnología disponible, hacer los esfuerzos razonables para garantizar, en tales casos, que el consentimiento ha sido otorgado o autorizado por la persona habilitada para hacerlo.
El 28 de Diciembre de 2018 se publicó por parte del Arzobispo de Sevilla un Decreto, que consolidaba determinadas especificaciones en la materia para las Hermandades y Cofradías de la Archidiócesis de Sevilla, como por ejemplo, la designación como Delegado de Protección de Datos de cada Hermandad aquella persona que ejerza como fiscal de la misma.
Sin embargo, determinados aspectos no han quedado suficientemente definidos en el citado Decreto por extrapolar el ámbito objetivo del RGPD. Así, la reciente Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y Garantía de los Derechos Digitales, además de consolidar en el ordenamiento español las exigencias impuestas por el RGPD y posibilitar la adaptación al ordenamiento jurídico español las disposiciones normativas exigidas por el mismo, incorpora al mismo la indiscutible novedad de encaminarse a «garantizar los derechos digitales de la ciudadanía conforme al mandato establecido en el artículo 18.4 de la Constitución» (art. 1.b), contenido que se ha concretado en el Título décimo de la norma referido a la «Garantía de los derechos digitales», compuesto de 19 artículos (del 79 al 97), en donde se reconocen al ciudadano español ciertos derechos de cuarta generación como pueden ser la neutralidad de la Red o el acceso universal a la misma, los derechos a la seguridad y educación digital, el derecho a la intimidad en el uso de dispositivos digitales dentro del ámbito laboral, la desconexión digital, la libertad de expresión digital, el derecho al testamento digital, la especial protección de los menores en Internet o el derecho al olvido en Internet, Redes Sociales o servicios equivalentes: estos aspectos pueden causar una serie de conflictos en las Hermandades al configurarse como un potencial incumplimiento de la LOPDGDD en tanto en cuanto no está regulado por el RGPD.
Queda expuesto que, con carácter general, la mayor parte de las actividades realizadas por los usuarios de redes sociales no están sujetos a la aplicación de la normativa de protección de datos si se tratan de actividades en el ámbito doméstico o privado, por aplicación de los arts. 2.2.a) LOPD 15/1999, 4 RLOPD 1720/20 y 3.2 de la anterior Directiva 95/46/CE, y en cualquier caso desde la entrada en vigor del RGPD, tal y como señala su art. 2.c), que reitera que «el Reglamento no se aplica al tratamiento de datos personales, así como del 2.2.a) LOPDGDD, en el sentido que los mismos señalan que la Ley no será de aplicación a los tratamientos efectuados por una persona física en el ejercicio de actividades exclusivamente personales o doméstica»; en este sentido, y en especial atención a las redes sociales, el art. 94.2 LOPDGDD, en cuanto que regula el derecho al olvido en redes sociales y servicios equivalentes, reitera lo anterior al indicar que «se exceptúan de lo dispuesto en este apartado los datos que hubiesen sido facilitados por personas físicas en el ejercicio de actividades personales o domésticas».
El Dictamen 5/2009 del Grupo del art. 29 aclara los supuestos en los que tales actividades no estarían cubiertas por dicha exención doméstica:
1) Cuando se utiliza la red social como plataforma de difusión y/o colaboración para una asociación o para una empresa: si el usuario de redes sociales actúa en nombre o representación de una sociedad o de una asociación, o utiliza la red principalmente como una plataforma para conseguir objetivos comerciales, políticos o benéficos, la exención no se aplica en ningún momento, siendo necesario cumplir con todas las obligaciones en materia de protección de datos, partiendo de la consideración de que se requiere el consentimiento del interesado.
2) Cuando se trate de datos especialmente protegidos como el origen racial o étnico, ideología, las opiniones políticas, las creencias religiosas o filosóficas, la pertenencia a un sindicato o datos relativos a la salud o a la vida sexual será necesario el consentimiento expreso del interesado, o que el mismo haya realizado acciones para que los datos sean manifiestamente públicos. En este sentido, al tratarse de categorías especiales de datos, el solo consentimiento del afectado no bastará para levantar la prohibición del tratamiento de datos cuya finalidad principal sea identificar su ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico, según el art. 9 LOPDGDD.
3) Cuando el acceso a la información del perfil de un usuario en una red social se extiende más allá de los contactos seleccionados en un principio como amigos, seguidores o contactos (es decir, cuando las publicaciones no están limitadas en cuanto a su acceso), como cuando se facilita el acceso al perfil a todos los miembros de la red social o cuando los datos se indexan por motores de búsqueda, ya que el acceso excede de la esfera personal o doméstica, y por tanto son de aplicación las previsiones de la normativa de protección de datos.
Es importante recordar la consideración de datos personales que suponen las imágenes referidas a personas físicas identificadas o identificables, que los usuarios de redes sociales publican mediante fotos o videos; en este sentido advierte la AEPD en su Informe 0197/2013, que debe tenerse en cuenta que la utilización que se haga de dichas imágenes puede, en ciertos supuestos, superar la exención doméstica en cuanto la difusión más allá del ámbito de la vida privada o familiar de los particulares, lo que daría lugar a la aplicación de la LOPD ya que si no existen limitaciones o filtros para el acceso a dichas fotos y las mismas son accesibles para cualquiera nos encontraremos ante una cesión de datos. En cualquier caso, el RGPD define en su art. 4.7, que entiende por responsable del tratamiento o responsable: «la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento».
No hay que olvidar tampoco que el art. 26 del RGPD, señala que cuando dos o más responsables determinen conjuntamente los objetivos y los medios del tratamiento serán considerados corresponsables del tratamiento; para ello dichas entidades corresponsables están obligadas suscribir un acuerdo que recoja sus respectivas funciones y responsabilidades en el cumplimiento de la normativa de protección de datos, en particular en cuanto al ejercicio de los derechos del interesado (que puede ejercerse frente a cualquiera de ellos) y a sus respectivas obligaciones de suministro de información. Es por ello que en algunas ocasiones podremos hablar de corresponsables del tratamiento en cuanto a las obligaciones que pudieran tener los distintos responsables que participen en la elaboración de un tratamiento sujeto a una red social, pero siempre y cuando suscriban ambos corresponsables un acuerdo en donde se regulen sus obligaciones, algo muy difícil hoy día con la mayoría de las redes sociales, y más especialmente en el ámbito de las APPS.
Es por todo ello que cada Hermandad para evitar cualquier tipo de problema derivado de la presencia digital en redes sociales, debe tener en cuenta:
1) Realizar una auditoría de cumplimiento normativo, especialmente en lo referente a las materias que exceden del RGPD – y por tanto del Decreto Arzobispal-, como pudieran ser el tratamiento de datos en Redes Sociales y APPS propias.
2) En los supuestos de recogida de datos online, adoptar un modelo de información por capas, estableciendo una primera capa en la red social o en la APP correspondiente, y una segunda capa en la política de privacidad de la web de la Hermandad.
3) El deber de secreto profesional implica que el todos los implicados en el funcionamiento de la Hermandad, y especialmente el personal y el voluntariado adscrito a la mismo, han de respetar dicha obligación de confidencialidad. En este sentido, y en relación con las redes sociales y las APPS, no hace falta discutir que cualquier tipo de empleado o voluntario que preste sus servicios en la Hermandad tiene la obligación en todo momento de conocer y respetar este referido deber de secreto en cuanto a los datos a los que haya podido tener acceso por razón del servicio que presta como gestor o administrador de las comunidades digitales correspondientes.
4) Cabe la posibilidad de que la Hermandad disponga de encargados de tratamientos como pudieran ser Community Managers o desarrolladores informáticos externos, que han de firmar el correspondiente contrato de encargado de tratamiento y demostrar a la Hermandad que dispone de las garantías suficientes para prestar ese servicio: se exige a la Hermandad una responsabilidad proactiva a la hora de elegir un CM o tercero que gestione la presencia en redes sociales o el soporte informático a la APP. Según el RGPD, el responsable está obligado a adoptar medidas apropiadas, incluyendo la elección de encargados, de tal forma que se garantice que el tratamiento de datos se está realizando conforme a lo que establece el Reglamento Europeo, previsión que se extiende igualmente al encargado cuando subcontraten servicios que impliquen acceso a datos, con otros subencargados.
Es por ello que en lo referido a dicho contrato se recomienda, siguiendo las exigencias del RGPD y del principio de responsabilidad activa:
a) Una descripción detallada de las prestaciones a realizar en el papel del CM correspondiente.
b) Señalar las redes sociales en las que se va a realizar un tratamiento de datos (Facebook, Twitter, Instagram, etc..) y en base a ellas, señalar convenientemente a cuáles de ellas va a tener acceso el encargado.
c) Que el encargado únicamente tratará los datos conforme a las instrucciones de la Hermandad como responsable del tratamiento y si el servicio prestado por el encargado del tratamiento va a tener, o no, carácter remunerado.
d) Si la prestación va a ser temporal o indefinida y si existe la posibilidad de subcontratación de los servicios con otros gestores o CM.
e) La obligación de guardar secreto.
f) Establecer las medidas de seguridad y atender a los principios de responsabilidad activa.
g) Recibir una formación específica en cuanto a sus funciones y obligaciones no únicamente en protección de datos, sino igualmente materia de derechos fundamentales (libertad de expresión, honor y propia imagen personal y familiar) así como respeto a la propiedad intelectual e industrial tanto propia como de terceros, tipos penales relacionados e incluso en derecho al olvido y protección de menores.
h) Reportar de cualquier tipo de incidencia, brechas de seguridad o violaciones de datos que pudiera afectar a la Hermandad, al delegado de protección de datos de la misma, para adoptar las medidas preventivas y oportunas que permitan paliar el daño o al menos no incrementarlo, en un plazo no superior a las 72 horas desde que se tenga conocimiento de esta. Es por eso que la eficacia a la hora de implementar los tiempos es absolutamente fundamental.
i) Disponer de un canal de comunicación ágil y eficaz con el delegado de protección de datos, como pudiera ser la delimitación de un mail de contacto.
j) Establecer si puede contestar a los derechos de los ciudadanos través de las redes sociales, o si ha de remitir al DPD, ya que muchas veces los usuarios piden a través de las redes sociales que se rectifiquen datos o incluso que se borren, tal y como se exige en el articulado 92 y 94 de la LOPDGDD.
Todas estas recomendaciones han de ser adaptadas a la realidad de cada Hermandad, tal y como exigen los correctos programas de compliance, con el fin de garantizar el respeto a los derechos fundamentales relacionados con la reciente LOPDGDD, de forma asimétrica tanto respecto al cumplimiento de las directrices de las autoridades eclesiásticas como de aquellas autoridades civiles de control correspondientes a la protección de datos personales, configurándose para ello el compromiso real de cada Hermandad como un requisito indispensable para el goce y disfrute de la fe y los cultos eclesiásticos de los sevillanos con todas las garantías éticas y legales, tanto para ellos como para cualquier ciudadano del mundo, europeo o no europeo, creyente o no creyente. Porque como señala el Papa Francisco:
“Internet es un don de Dios, pero también es una gran responsabilidad. Ha traído consigo un alargamiento de los horizontes […] Pidamos juntos para que las redes sociales favorezcan la solidaridad y el respeto del otro en sus diferencias”.