Caos ante la nueva normativa de protección de datos - Alfa y Omega

Caos ante la nueva normativa de protección de datos

Para facilitar a las parroquias la adaptación a la normativa que entra en vigor este 25 de mayo, el Arzobispado de Madrid ha puesto en marcha el Anillo Digital

Ricardo Benjumea
Foto: CNS

Este 25 de mayo entra en vigor el reglamento de Reglamento General de Protección de Datos. Aprobado hace dos años, la Unión Europea concedió 24 meses de moratoria, pero ya no hay excusas que valgan para cumplir una norma que introduce profundos cambios en el día a día del funcionamiento de las organizaciones.

La sensación es de caos e imprevisión total. La gran mayoría de empresas españolas confiesan no haber hecho los deberes, según todas las encuestas. Tampoco se prevé que esté aprobada antes de otoño en el Congreso la ley orgánica que debe desarrollar la norma en España. El reglamento comunitario, sin embargo, es de aplicación directa en toda la UE. E incluye severas multas (un 4 % de la facturación anual o hasta 20 millones de euros por el mal uso de esa información) e infracciones en algunos casos con consideración penal.

A nivel eclesial, el diagnóstico no es muy distinto. Los datos que manejan parroquias, hospitales o escuelas católicas se consideran especialmente sensibles, lo que implica la obligatoriedad de extremar el cuidado en su conservación y manejo. Muchas de estas instituciones, sin embargo, todavía no se han puesto al día. Algunos puntos requieren aclaración, por lo cual la Conferencia Episcopal (CEE) aprobó en la última plenaria el Decreto General sobre Protección de Datos personales, que adapta la normativa canónica a la comunitaria. Sin embargo, el retraso en la llegada de la recognitio de Roma (un trámite obligatorio) ha impedido hasta ahora la presentación pública del texto, si bien el martes se celebró en la CEE un encuentro informativo con representantes de todas las diócesis.

Fin a la cultura del consentimiento tácito

El recuerdo de cambios legales en materia de protección de datos levanta ampollas por los litigios judiciales tras la campaña de apostasías que afectaba a los libros de Bautismo, unos casos zanjados finalmente por el Supremo a favor de la Iglesia. Felipe García Pesquera, profesor de Derecho de la Universidad CEU Andalucía, descarta que vaya a repetirse algo similar, tras estudiar cómo afecta la nueva norma a las hermandades y parroquias. «Lo que sí nos afecta y mucho, pero como a todo el mundo, es tener que cambiar esa mentalidad tan arraigada en España del consentimiento tácito: “Mientras no me digas lo contrario, voy a seguir utilizando tus datos”. Pero la cosa deja de funcionar así». El consentimiento pasa a ser inequívoco, motivo por el cual las bandejas de correo electrónico se han llenado en las últimas semanas de mensajes de remitentes solicitando poder seguir enviando información.

Otro elemento problemático es que, «si hasta ahora, el reglamento de 2007 contiene 40 artículos con medidas de seguridad, ahora es la propia organización la que debe decidir qué medidas tomar en función de un análisis del riesgo», prosigue García Pesquera.

El Anillo Digital de la diócesis de Madrid

El interventor del Arzobispado de Madrid, Julio Lage, reconoce que «los cambios no son fáciles de entender». Por ello la diócesis ha puesto en marcha con Telefónica el llamado Anillo Digital, una red de comunicaciones que permite un almacenamiento seguro de los datos.

En paralelo, Madrid quiere extender el nuevo plan contable, que permitirá la implantación de una contabilidad homogénea y facilitará la transparencia económica en la diócesis. El Arzobispado invita a sumarse a este Anillo a todas las parroquias de la diócesis. En un ordenador con las especificidades requeridas, deberá almacenarse también la información más sensible, que no podrá estar al alcance de cualquiera. «Ante la duda que los párrocos o responsables puedan tener, que nos llamen», pide Lage. «Lo peor que nos puede pasar es que alguien por desconocimiento actúe mal, y luego nos surjan los problemas», ya sean multas económicas o «daños de imagen por aparecer ante la opinión pública como incumplidores».

En empresas de gran tamaño (a nivel eclesial, el caso típico es la diócesis) se hace obligatoria la figura de un delegado de Protección de Datos, que transmita instrucciones precisas sobre el manejo de los datos que los empleados (o los voluntarios) necesiten consultar. En cada parroquia puede ser recomendable también que haya una persona encargada de este tema, considera Juan Luis Jarillo, secretario general de la Fundación Universitaria San Pablo CEU, que desde 2014 ha pilotado la adaptación en los distintos departamentos y organismos de la organización.

«Hay todo un cambio de cultura», advierte. «Ahora se exige proactividad, demostrar que se están poniendo los medios» para manejar la información de los usuarios sin vulnerar ninguno de sus derechos.

Jarillo ha elaborado un decálogo con medidas como la «política de mesas limpias», según la cual «antes de marcharnos a casa el lugar de trabajo debe quedar despejado, con el ordenador bloqueado con contraseña, y los documentos con información personal, custodiados bajo llave. O evitar «comentar con terceros datos personales sujetos al deber de confidencialidad»; «facilitar un teléfono o un correo» sin el consentimiento de la persona, o «tirar a la papelera documentos con datos personales sin destruir».

«No es tan complicado. Básicamente debemos estar preparados para cuando llegue una inspección y que esto no nos suene a chino», dice. Pero sobre todo, «debemos aplicar el sentido común», como por ejemplo «no dejar los libros de bautismo al alcance de cualquiera que pase por ahí». Y ante la duda, «pedir consentimiento por escrito para todo». Un consentimiento que debe ser «lo más general posible», de modo que abarque el «máximo número de casos».

Decálogo de protección de datos

1 – Los datos no son de quien los trata, sino de su titular. Solo él (mediante consentimiento expreso) tiene derecho a decidir quién los puede tratar y con qué finalidad.

2 – Trata los datos personales como querrías que se tratasen los tuyos.

3 – Cualquier persona que trate datos personales de terceros está sujeta al deber de confidencialidad, que perdurará incluso, una vez finalizada la relación con la organización.

4 – Evita comentar con otros los datos personales o confidenciales que tratas en tu puesto de trabajo.

5 – Accede solo a información con datos personales si realmente es necesario para poder desempeñar correctamente tu trabajo.

6 – Cuando dejes sola tu mesa de trabajo, asegúrate de cerrar la sesión abierta en tu ordenador. No facilites a nadie tu contraseña ni claves.

7 –  No dejes documentación con datos personales o confidenciales a la vista de otras personas sin tu supervisión.

8 – Sigue una política de mesas limpias y guarda bajo llave, al finalizar la jornada laboral, toda la documentación que manejes en tu puesto de trabajo.

9 –  No tires documentos que contengan datos personales o información confidencial a la papelera. Utiliza, en su lugar, la destructora.

10 –  El delegado de Protección de Datos de tu organización podrá resolverte cualquier duda que te surja.

Fuente: Fundación CEU San Pablo