Continuamos, una semana más, con el análisis de una de las situaciones específicas recogidas en el artículo 91.1 del Capítulo IX del Reglamento Europeo de Protección de Datos (RGPD): Las normas vigentes sobre protección de datos de las iglesias y asociaciones religiosas.
Si a lo largo de nuestro anterior artículo, desarrollábamos los aspectos más básicos del Decreto General publicado por la Conferencia Episcopal Española sobre la protección de datos de la Iglesia Católica en España, en adelante, Decreto General, en nuestro post de hoy, nos enfocaremos en analizar la configuración del Delegado de Protección de Datos (DPD) dentro de la Iglesia Católica Española.
El DPD, como figura, no es algo novedoso para nosotros pues desde que entrase en vigor, en 2016, el RGPD, el Delegado se conformó como uno de los grandes protagonistas de la misma. Conscientes de su importancia, desde Prodat, hemos dedicado varios artículos al desarrollo y análisis de los aspectos más importantes en torno al DPD (El Delegado de protección de datos en el RGPD Parte I, Parte II, Parte III y Parte IV).
Sin embargo, ¿cómo regula el Decreto General, esta figura, en la Iglesia Católica Española?
Para analizar esta cuestión, hemos de partir de la diferenciación que el propio Decreto hace en su artículo 4 al recoger dos categorías de DPD:
– El Delegado de Protección de Datos Diocesano que será la persona designada por el Obispo (artículo 4 apartado 25 del Decreto General).
– El Delegado de Protección de Datos de la Conferencia Episcopal Española (artículo 4 apartado 26 del Decreto General) que será la persona designada por la Conferencia Episcopal Española.
La principal diferencia entre ambas figuras será su ámbito competencial pues mientras que el DPD Diocesano actuará en el ámbito de la entidad que lo haya designado, la actuación del DPD de la Conferencia Episcopal se ceñirá al propio de la Conferencia Episcopal Española.
¿Qué entidades están obligadas a designar un DPD?
El artículo 36.1 del Decreto General, nos ofrece un listado de las entidades que deberán designar esta figura:
1. Las Iglesias particulares de la Iglesia Católica en España;
2. Las entidades de la Iglesia Católica en España, de carácter diocesano, supradiocesano o de ámbito nacional, cuando el tratamiento se produzca dentro de sus actividades.
3. Las entidades canónicas de Derecho pontificio o de ámbito internacional y las entidades civiles relacionadas con la Iglesia Católica.
4. La Conferencia Episcopal Española.
Asimismo, se podrá designar un único DPD Diocesano para las entidades recogidas en el artículo 3 del Decreto General cuando así lo apruebe la autoridad eclesiástica competente, tal y como recoge el artículo 36 en su apartado 9.
Toda vez que el nombramiento del DPD sea firme, este deberá ser comunicado a la autoridad de control, por parte del responsable o encargado del tratamiento, y siempre a través del DPD de la Conferencia Episcopal (artículo 36.8 del Decreto General).
Así, y en lo referente a quién deberá asumir, en cada una de las entidades anteriormente mencionadas la posición de DPD, es el propio artículo 36 quién nos lo indica en su apartado 5:
– En cada iglesia particular será el moderador de curia; figura que será asumida, tal y cómo marca el canon 473.3 del Código de Derecho Canónico, por el Vicario General, a menos que, a juicio del Obispo, las circunstancias aconsejen otra cosa.
– En las entidades de la Iglesia Católica de España, con carácter diocesano, supra diocesano o de ámbito nacional, así como las entidades canónicas de Derecho pontificio o de ámbito internacional y las entidades civiles relacionadas con la Iglesia Católica, tales como Institutos religiosos, asociaciones públicas de fieles (nacionales e internacionales), fundaciones canónicas…etc. En ellas, el DPD será asumido por la persona que designe la propia entidad siempre con comunicación a la autoridad eclesiástica competente.
– En la Conferencia Episcopal Española, el DPD será designado por la Comisión Permanente, a propuesta del Secretario General.
¿Deberá este DPD, reunir alguna cualidad específica para poder ser nombrado como tal?
Independientemente de quién asuma esta posición, para su nombramiento, será ineludible que el DPD de las entidades del artículo 3 del Decreto General congregue en su persona, una serie de requisitos tales como:
– Disponer de la debida cualificación jurídica.
– Tener conocimientos en materia de protección de datos.
– No desempeñar otro tipo de tareas encomendadas a los responsables y encargados del tratamiento.
A su vez, el DPD de la Conferencia Episcopal, además de cumplir con los requisitos anteriormente mencionados, deberá:
– Ser experto en relaciones Iglesia-Estado.
– Pertenecer al personal de la Conferencia Episcopal Española, sin que sea trascendental el tipo de relación laboral existente entre ambos.
Pero ¿qué funciones concretas asumirá el DPD dentro de su ámbito competencial? El artículo 38 del Decreto General hace un desarrollo de las mismas a lo largo de su apartado 1; las cuales ejercerá, siempre, respaldado por la entidad responsable del tratamiento en el ejercicio de sus funciones.
– Informar y asesorar, tanto al responsable como al encargado del tratamiento de las obligaciones derivadas del RGPD.
– Supervisar el cumplimiento del Decreto General y demás normativa de protección de datos personales aplicable en su respectivo ámbito competencial, así como de las políticas del responsable o del encargado del tratamiento en esta materia.
– Ofrecer el asesoramiento requerido acerca de la evaluación de impacto y supervisar su aplicación.
– Las demás funciones recogidas a lo largo del articulado del Decreto General y de entre las cuales destacamos la fijación de cláusulas o garantías contractuales adicionales necesarias para las cuestiones recogidas en el artículo 29 apartados 3 y 5 del Decreto General.
– Cooperación con la autoridad de control, por parte del DPD Diocesano, a través del DPD de la Conferencia Episcopal.
– A su vez, el DPD de la Conferencia Episcopal ejercerá funciones de coordinación y consulta de los DPD Diocesanos y será el interlocutor con las autoridades de control en materia de protección de datos conforme al artículo 50 de los Estatutos de la conferencia episcopal española.
En el desarrollo de las funciones anteriormente mencionadas, el DPD deberá prestar atención debida a los riesgos asociados al tratamiento de los datos, tomando como base la naturaleza, el alcance y fines del tratamiento (artículo 38.2 del Decreto General); estando, asimismo, obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones (artículo 37.5 del Decreto General).
Asimismo, y en lo que respecta a la posición que asume el DPD en las entidades en que desarrolle sus funciones, no se introduce ninguna novedad respecto a lo ya contemplado por el artículo 38 del RGPD y que ya analizamos en los post anteriormente comentados.
Por último, es importante mencionar que los interesados podrán contactar con el DPD, en lo relativo a todas las cuestiones que versen sobre el tratamiento de sus datos personales, y al ejercicio de sus derechos en cualquier momento y, siempre, antes de dirigirse a la autoridad de control independiente (artículo 37.7 del Decreto General).
