Preámbulo
1.- El cristianismo aportó a la cultura europea la convicción de la dignidad inviolable de la persona humana, radicada en el hecho de la Creación del ser humano “a imagen y semejanza de Dios”. La dignidad es, pues, un atributo de la naturaleza humana racional y libre, y su reconocimiento requiere una protección adecuada de los datos personales.
2.- La Iglesia Católica, reconociendo “el derecho de cada persona a proteger su propia intimidad”, conforme al canon 220 del Código de Derecho Canónico de 1983 (CIC) y el canon 23 del Código de Derecho Canónico de las Iglesias Orientales de 1990 (CICOR), por ser un derecho natural que todos debemos respetar, ha venido aplicando un conjunto de normas, todas ellas aprobadas y en vigor a fecha 25 de mayo de 2016, en relación al tratamiento de los datos personales, teniendo en cuenta, además de las citadas y de otras disposiciones del Derecho particular promulgadas por distintas Diócesis españolas, las siguientes:
– El art. I.6 del Acuerdo entre la Santa Sede y el Estado español de 3 de enero de 1979 sobre Asuntos Jurídicos, que “garantiza y protege la inviolabilidad de los archivos, registros y demás documentos pertenecientes a la Conferencia Episcopal Española, a las Curias episcopales, a las Curias de los superiores mayores de las Órdenes y Congregaciones religiosas, a las parroquias y otras instituciones y entidades eclesiásticas”.
– El canon 535 §§ 1-2 CIC y el canon 23 CICOR, que obliga a llevar los libros parroquiales conforme a las normas canónicas.
– Los cánones 487, 488 y 535 §§ 4-5 CIC, y los cánones 257, 258, y 296 § 4 y §5, referentes a los archivos de la Curia diocesana y de los archivos parroquiales.
– “Orientaciones sobre el modo de proceder en caso de abandono formal de la Iglesia Católica o de solicitud de cancelación de la partida de bautismo”, aprobadas por la LXXXIV Asamblea Plenaria de 7-11 de marzo de 2005.
– “Actualización de las Orientaciones sobre el modo de proceder en caso de abandono formal de la Iglesia Católica o de solicitud de cancelación de la partida de bautismo”, aprobadas por la XCI Asamblea Plenaria de 3-7 de marzo de 2008.
– “Orientaciones de la Conferencia Episcopal Española sobre los libros sacramentales parroquiales”, texto aprobado por la XCV Asamblea Plenaria el 23 de abril de 2010.
– “Orientaciones de la Conferencia Episcopal Española sobre la inscripción de los ficheros de las diócesis y parroquias en el Registro General de Protección de Datos”, aprobadas por la XCVI Asamblea Plenaria de la Conferencia Episcopal Española, el 25 de noviembre de 2010.
3.- El presente Decreto General no afecta a la regulación del secreto ministerial, ni a cualquier otro derecho u obligación de secreto regulada en el Derecho Canónico o el Derecho español, conforme al art. II.3 del Acuerdo entre la Santa Sede y el Estado español, de 28 de julio de 1976.
4.- Expuesto lo anterior, el artículo 91.1 del Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD), dispone que: “Cuando en un Estado miembro iglesias, asociaciones o comunidades religiosas apliquen, en el momento de la entrada en vigor del presente Reglamento, un conjunto de normas relativas a la protección de las personas físicas en lo que respecta al tratamiento, tales normas podrán seguir aplicándose, siempre que sean conformes con el presente Reglamento”.
El citado Reglamento fue publicado el día 4 de mayo de 2016, y entró en vigor el siguiente 25 de mayo, si bien será aplicable a partir del 25 de mayo de 2018 (art. 99.2). Este periodo de dos años, hasta su aplicación efectiva, tiene como objetivo permitir que los Estados de la Unión Europea, las distintas Instituciones y las organizaciones que tratan datos vayan preparándose, y adaptar las normas que sean necesarias para permitir o facilitar la aplicación del Reglamento.
Planteada así la cuestión, se considera necesario adaptar la normativa canónica vigente sobre la protección de datos de carácter personal que permita, por un lado, el cumplimiento del Reglamento General de Protección de Datos y la legislación española correspondiente; respetar la autonomía organizativa de la Iglesia reconocida en los Tratados Internacionales, tanto a nivel personal como institucional, como presupuesto necesario para el ejercicio del derecho de libertad religiosa, indispensable para la existencia del pluralismo en una sociedad democrática, en conformidad con la Constitución Española de 1978, la doctrina del Tribunal Constitucional y la jurisprudencia del Tribunal Europeo de Derechos Humanos; continuar aplicando las normas relativas a la protección de datos de las personas físicas en lo que respecta al tratamiento; y, por otro lado, garantizar el citado derecho fundamental, tanto a los fieles católicos, como a los que se relacionan, de alguna manera, con la Iglesia, sin perjuicio, como ya se ha indicado, de la aplicación de la legislación civil vigente en esta materia.
5.- Con la aprobación y entrada en vigor de este Decreto General, compilación de las principales normas propias de la Iglesia Católica anteriores a 2016 y su adaptación a la pertinente legislación europea y española, una vez se haya obtenido la preceptiva “recognitio” de la Santa Sede, que constituye el derecho particular de la Iglesia Católica en España, y que establece un nivel de protección sustancialmente equivalente al ordenamiento civil, complementando la normativa europea y estatal sobre la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a su libre circulación, se pretende, a su vez, preservar la necesaria y libre autonomía de la Iglesia en este tipo de regulaciones, ya que, en otro caso, se aplicaría directamente a la Iglesia la normativa europea y estatal, con las previsibles consecuencias no deseadas y conflictos jurídicos en el futuro.
6.- Considerando que las excepciones previstas en el Reglamento UE respecto a algunos derechos que es necesario proteger son insuficientes en la normativa europea, aconseja que la Iglesia, desde su propia tradición canónica, garantice y complemente un nivel de protección adecuado respecto a las normas civiles ya citadas. En este sentido, la adopción de un Decreto General permite introducir cláusulas que protejan los intereses específicos de la Iglesia Católica, como confesión religiosa, y garantizar sus peculiaridades.
7.- El contenido de este Decreto General, que ha sido redactado teniendo en cuenta las directrices de la Comisión de Episcopados de las Comunidades Europeas, reproduce, cuando se considera oportuno, los artículos más significativos del Reglamento General de Protección de Datos, para facilitar posteriormente su aplicación, al objeto de no hacer excesivas remisiones al texto europeo.
8.- Por otro lado, dada la complejidad y novedad de todo lo referido a la protección de datos de las personas físicas, se prevé la posibilidad de que, en el futuro, se puedan dictar normas de desarrollo del Decreto General, tanto por la Conferencia Episcopal Española como por las distintas autoridades eclesiásticas con potestad legislativa canónica, si bien, en este último caso, para garantizar una cierta uniformidad, será preceptivo el parecer favorable de la Conferencia Episcopal. En todo caso, deberá respetarse lo dispuesto en este Decreto General, así como la normativa europea y estatal, en lo que sea de pertinente aplicación.
Conforme a lo expuesto, a tenor del canon 455 § 1, y en virtud del mandato especial otorgado por la Congregación para los Obispos, de fecha 22 de enero de 2018 (Prot. Nº 37/2018), la CXI Asamblea Plenaria de la Conferencia Episcopal Española celebrada entre los días 16 y 20 de abril de 2018,
DECRETA
Capítulo I
Disposiciones generales
Artículo 1. Objeto
El presente Decreto General es una compilación de las principales normas propias de la Iglesia Católica anteriores a 2016, que están en vigor, y su adaptación a la pertinente legislación europea y española. Su objeto es la protección de los derechos personales de las personas físicas en lo que respecta al tratamiento de datos de carácter personal, así como garantizar que la adquisición, almacenamiento y utilización de los datos relativos a los fieles, a los organismos eclesiásticos, a las asociaciones eclesiásticas, así como a las personas que entran en contacto con los mismos sujetos, se lleve a cabo en el pleno respeto del derecho de la persona a la buena reputación y a la confidencialidad reconocido por el canon 220 del Código de Derecho Canónico.
Artículo 2. Ámbito de aplicación material
§ 1. Este Decreto General se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser contenidos en un fichero.
§ 2. El presente Decreto General no afecta a la regulación del secreto ministerial, ni a cualquier otro derecho u obligación de secreto regulada en el Derecho Canónico o el Derecho español.
Artículo 3. Ámbito de aplicación organizativo
§ 1. Este Decreto General se aplicará a todas las entidades de la Iglesia Católica en España, de carácter diocesano, supradiocesano o de ámbito nacional, que se citan en el artículo I del Acuerdo entre el Estado Español y la Santa Sede sobre Asuntos Jurídicos, firmado el 3 de enero de 1979, y, de un modo específico, en la medida en que el tratamiento de los datos personales tenga lugar dentro de las actividades de las citadas entidades en el cumplimiento de sus fines, independientemente de dónde se lleve a cabo el tratamiento, o de si lo realiza una autoridad eclesiástica o es llevado a cabo en su nombre.
§ 2. Las entidades canónicas, de Derecho pontificio o de ámbito internacional, así como las entidades civiles que se relacionen con la Iglesia Católica en España, podrán acogerse a lo establecido en este Decreto General, previo acuerdo con la Conferencia Episcopal Española.
Artículo 4. Definiciones
§ 1. «Datos personales»: toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;
§ 2. «Tratamiento»: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, integrados o destinados a integrarse en un fichero o conjunto de ficheros, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción;
§ 3. «Limitación del tratamiento»: el marcado de los datos de carácter personal conservados con el fin de limitar su tratamiento en el futuro;
§ 4. «Elaboración de perfiles»: toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona;
§ 5. «Utilización de seudónimos»: el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable;
§ 6. «desvinculación de la identidad»: el tratamiento de datos personales de manera que los detalles de las condiciones personales o materiales no puedan ya atribuirse a una persona física identificada o identificable o solo sea posible invirtiendo tiempo, costes y trabajo desproporcionados;
§ 7. «Fichero»: todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados que permitan búsquedas por personas o datos personales y no meramente cronológicas, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica;
§ 8. «Responsable del tratamiento» o «responsable»: la persona física o jurídica, autoridad, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento;
§ 9. «Encargado del tratamiento» o «encargado»: la persona física o jurídica, autoridad, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento;
§ 10. «Destinatario»: la persona física o jurídica, autoridad, servicio u otro organismo al que se comuniquen datos personales, se trate o no de un tercero;
§ 11. «Tercero»: persona física o jurídica, autoridad, servicio u organismo distinto del interesado, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos personales bajo la autoridad directa del responsable o del encargado;
§ 12. «Consentimiento del interesado»: toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen;
§ 13. «Violación de la seguridad de los datos personales»: toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos;
§ 14. «Categorías especiales de datos personales»: datos personales que muestren la pertenencia a una etnia o raza, las opiniones políticas, ideología, religión o creencias de una persona física, su afiliación sindical, así como los datos genéticos, datos biométricos que identifiquen de manera inequívoca a una persona física, datos referentes a su salud o sexualidad. La pertenencia a una iglesia o congregación religiosa no equivale por sí sola a una categoría especial de datos personales;
§ 15. «Datos genéticos»: datos personales relativos a las características genéticas heredadas o adquiridas de una persona física que proporcionen una información única sobre la fisiología o la salud de esa persona, obtenidos en particular del análisis de una muestra biológica de tal persona;
§ 16. «Datos biométricos»: datos personales obtenidos a partir de un tratamiento técnico especifico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos;
§ 17. «Datos relativos a la salud»: datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud;
§ 18. «Autoridades eclesiásticas»: las referidas en el vigente Código de Derecho Canónico;
§ 19. «Entidades de la Iglesia Católica»: las referidas en el artículo 3 de este Decreto General;
§ 20. «País tercero»: un país fuera de la Unión Europea o del Espacio Económico Europeo;
§ 21. «Empresa»: persona física o jurídica dedicada a una actividad económica, independientemente de su forma jurídica, incluidas las sociedades o asociaciones que desempeñen regularmente una actividad económica;
§ 22. «Grupo empresarial»: grupo constituido por una empresa que ejerce el control y sus empresas controladas;
§ 23. «Resiliencia»: capacidad de recuperación del sistema de protección de datos después de una perturbación de cualquier tipo.
§ 24. «Autoridad de control»: la autoridad independiente encargada del control de protección de datos; esto es, la Agencia Española de Protección de Datos o, en su caso, la autoridad de control que en un futuro decidiera establecer la Conferencia Episcopal Española, conforme al artículo 42 § 1 de este Decreto General y el artículo 91.2 del Reglamento Europeo de Protección de Datos.
§ 25. «Delegado de Protección de Datos diocesano»: Persona designada por el Obispo en virtud de lo establecido en el artículo 36;
§ 26. «Delegado de Protección de Datos de la Conferencia Episcopal Española»: Persona designada por la Conferencia Episcopal Española en virtud de lo establecido en el artículo 36;
§ 27. Además de los trabajadores que ocupen efectivamente un empleo o estén contratados por una entidad eclesiástica, se considerarán como «Personas empleadas» a los efectos de este Decreto General los siguientes:
1. Clérigos y candidatos al sacerdocio.
2. Miembros de órdenes religiosas.
3. Personas que realicen prácticas laborales o actividades análogas en una entidad eclesiástica.
4. Personas que realicen actividades de voluntariado a través o en una entidad eclesiástica.
5. Personas que están en proceso de selección para un puesto de trabajo en una entidad eclesiástica y aquellos cuya relación laboral han finalizado.
Capítulo II
Principios
Artículo 5. Secreto de datos
Está prohibido a cualquier persona el tratamiento de datos personales sin la autorización del responsable del tratamiento. Las personas autorizadas por el responsable para el tratamiento de datos y cualquier persona involucrada en el mismo están obligadas a mantener la confidencialidad de los datos y al cumplimiento de la normativa en materia de protección de datos. Estas obligaciones continúan incluso después de finalizada su actividad.
Artículo 6. Licitud del tratamiento de datos personales
§ 1. El tratamiento de datos personales sólo será lícito si se cumple, al menos, una de las siguientes condiciones:
1. este Decreto General o cualquier otra norma eclesiástica o estatal lo permite u ordena;
2. el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;
3. el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;
4. el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;
5. el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;
6. el tratamiento es necesario para la realización de las funciones propias de la Iglesia Católica o de las potestades canónicas encomendadas a las autoridades eclesiásticas;
7. el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un menor.
Lo dispuesto en el n. 7 del § 1 de este artículo no será de aplicación al tratamiento realizado por las autoridades eclesiásticas en el ejercicio de sus funciones.
§ 2. El tratamiento para un fin diferente al que se recabaron los datos personales será lícito únicamente si:
1. este Decreto General o cualquier otra norma eclesiástica o estatal lo permite u ordena;
2. el interesado ha dado su consentimiento;
3. es obvio que refleja el interés del interesado y no existe motivo para creer que negaría el consentimiento;
4. los datos dados por el interesado deben verificarse porque existen indicios concretos por los que se puede suponer que son incorrectos;
5. los datos son accesibles públicamente o la persona responsable podría publicarlos, a menos que el interés legítimo del interesado por evitar el cambio de finalidad predomine con carácter evidente;
6. es necesario para prevenir un riesgo para la seguridad u otros intereses públicos o eclesiásticos relevantes;
7. es necesario con el fin de evitar la comisión de delitos o infracciones administrativas, para su investigación, persecución de los responsables, su enjuiciamiento o la ejecución de las penas;
8. es necesario para prevenir una infracción grave de los derechos de un tercero;
9. es necesario para la investigación científica, siempre que el interés científico esté por encima del interés de la persona afectada por el cambio en la finalidad del tratamiento y el propósito de la investigación no podría ser logrado de otras maneras;
10. es necesario para la realización de las funciones propias de la Iglesia Católica o de las potestades canónicas encomendadas a las autoridades eclesiásticas.
§ 3. No se trata de un cambio de finalidad si tiene lugar en el ejercicio de las facultades de supervisión y control, de auditoría, la ejecución de comprobaciones por parte del responsable, con fines de archivo en el interés de la Iglesia Católica, con fines de investigación científica o histórica o con fines estadísticos. Esto también se aplica al tratamiento con fines de formación y control por parte de la persona responsable, en la medida en que esto no entre en conflicto con los intereses del interesado.
§ 4. Si el tratamiento para una finalidad diferente a aquella para la que se han recogido los datos personales no se basa en el consentimiento de la persona interesada o en una norma eclesiástica o estatal, el tratamiento sólo será lícito si la finalidad del nuevo tratamiento es compatible con la finalidad para la cual los datos personales se recopilaron originalmente.
§ 5. Los datos personales que se tratan únicamente con fines de control, copia de seguridad de datos o para garantizar el funcionamiento adecuado de un sistema de tratamiento, sólo pueden utilizarse para estos fines.
Artículo 7. Condiciones para el tratamiento de datos personales
§ 1. Los datos personales serán:
1. tratados de manera lícita, leal y transparente en relación con el interesado («licitud, lealtad y transparencia»);
2. recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines, salvo lo establecido en este Decreto General o en la normativa que sea aplicable («limitación de la finalidad»);
3. adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados. En particular, los datos personales deben ser seudonimizados en la medida en que esto sea posible de acuerdo con el propósito para el que se utilizan y que el esfuerzo no sea desproporcionado al propósito pretendido de la protección («minimización de datos»);
4. exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan («exactitud»);
5. mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales, salvo lo establecido en este Decreto General o en la normativa que sea aplicable («limitación del plazo de conservación»);
6. tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).
§ 2. El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el § 1 de este artículo y deberá ser capaz de demostrarlo («responsabilidad proactiva»).
Artículo 8. Consentimiento
§ 1. Si el consentimiento se obtiene del interesado, se le informará de la finalidad del tratamiento y, si así lo exigen las circunstancias del caso individual o a petición del interesado, de las consecuencias de la denegación del consentimiento. El consentimiento sólo es válido si se basa en la decisión libre de la persona interesada.
§ 2. El consentimiento debe ser expreso, en los términos del artículo 7 del RGPD.
§ 3. Si el consentimiento del interesado se da en el contexto de una declaración escrita que también se refiera a otros asuntos, la solicitud de consentimiento se presentará de modo que se distinga claramente de los demás asuntos, de forma inteligible y de fácil acceso, y utilizando un lenguaje claro y sencillo. Dicha declaración, o parte de la misma, no será vinculante, si constituye una violación de este Decreto General.
§ 4. En la medida en que se procesen categorías especiales de datos personales, el consentimiento también debe referirse explícitamente a dichos datos.
§ 5. Cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales.
§ 6. El interesado tendrá derecho a retirar su consentimiento en cualquier momento. La retirada del consentimiento no afectará a la licitud del tratamiento basada en el consentimiento previo a su retirada. Antes de dar su consentimiento, el interesado será informado de ello. Será tan fácil retirar el consentimiento como darlo.
§ 7. Al evaluar si el consentimiento se ha dado libremente, se tendrá en cuenta en la mayor medida posible el hecho de si, entre otras cosas, la ejecución de un contrato, incluida la prestación de un servicio, se supedita al consentimiento al tratamiento de datos personales que no son necesarios para la ejecución de dicho contrato.
§ 8. Los datos personales de un menor que recibe electrónicamente atención pastoral o de otro tipo similar de una entidad eclesiástica sólo pueden procesarse si el menor ha cumplido los 16 años. Si el menor aún no ha cumplido los 16 años, el tratamiento sólo es lícito si dicho consentimiento lo dio o autorizó el titular de la patria potestad o tutela sobre el menor, y sólo en la medida en que se dio o autorizó. El responsable del tratamiento deberá, teniendo en cuenta la tecnología disponible, hacer los esfuerzos razonables para garantizar, en tales casos, que el consentimiento ha sido otorgado o autorizado por la persona habilitada para hacerlo.
Artículo 9. Comunicación entre las entidades eclesiásticas o a las autoridades eclesiásticas
§ 1. La comunicación de datos personales entre las entidades eclesiásticas o a las autoridades eclesiásticas está permitido si es consecuencia del cumplimiento de una norma o es necesario para la realización de sus fines, y se cumplen los requisitos del artículo 6.
§ 2. La responsabilidad de la comunicación sólo será del destinatario en aquellos casos en los que, en virtud de la normativa aplicable, el responsable del tratamiento esté obligado a comunicar los datos.
§ 3. El destinatario sólo puede tratar los datos comunicados para el propósito para el cual se le han comunicado. El tratamiento para otros fines sólo está permitido bajo las condiciones del artículo 6 § 2.
§ 4. Los §§ 1 a 3 serán también aplicables a la comunicación a las autoridades públicas.
§ 5. Si los datos personales que pueden comunicarse conforme a este parágrafo están vinculados con otros datos personales, del interesado o un tercero, de tal manera que la separación sea imposible o sólo sea posible con un esfuerzo irrazonable, la comunicación se extenderá a tales datos en cuanto razonablemente el interés de la comunicación lo justifique, pero el tratamiento de los datos vinculados por parte del destinatario no será, por si mismo, admisible.
Artículo 10. Comunicación a autoridades no eclesiásticas ni públicas
La comunicación de datos personales a entidades distintas de las incluidas en el artículo 9 sólo está permitida si se dan los requisitos del artículo 6, el responsable no tiene ningún interés legítimo en la exclusión de dicha comunicación y la misma no supone peligro alguno para la misión de la Iglesia Católica.
Artículo 11. Tratamiento de categorías especiales de datos personales
§ 1. Está prohibido el tratamiento de categorías especiales de datos personales.
§ 2. Dicha prohibición no se aplica en los siguientes casos:
1. si el interesado ha consentido expresamente en el tratamiento de los datos personales para uno o más fines específicos;
2. el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, y de las personas empleadas en el ámbito del Derecho canónico;
3. si el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento;
4. si el tratamiento debe ser llevado a cabo por una entidad o autoridad eclesiástica en el curso de sus actividades legítimas y con la condición de que ello se aplique a las personas empleadas del cuerpo eclesiástico –incluyendo a antiguos miembros- o a personas generalmente asociadas con su propósito o que mantienen un contacto regular, aunque sea poco frecuente, con ellos, en relación con sus fines y siempre que los datos personales no se comuniquen a terceros sin el consentimiento de los interesados;
5. cuando el tratamiento se refiere a datos personales que la persona interesada ha hecho manifiestamente públicos;
6. si el tratamiento es necesario para la formulación, el ejercicio o la defensa de reclamaciones judiciales o administrativas, o cuando los tribunales o las autoridades eclesiásticas tengan que tratar los citados datos en el ejercicio de sus respectivas jurisdicciones;
7. si el tratamiento se basa en el Derecho canónico, al que voluntariamente se ha sometido el interesado, es proporcional y legítimo al objetivo perseguido, respeta el contenido del derecho a la protección de datos, y establece medidas apropiadas y específicas para salvaguardar los derechos e intereses fundamentales del interesado;
8. cuando el tratamiento es para fines de salud o de salud ocupacional, para la evaluación de la capacidad laboral del empleado, para el diagnóstico médico, atención o tratamiento en el sector sanitario o social, o para la gestión de sistemas y servicios en el campo de la asistencia sanitaria o sociales sobre la base del Derecho canónico o estatal, o bajo contrato con un profesional de la salud y sujeto a las condiciones y garantías mencionadas en el § 3;
9. si el tratamiento es apropiado y específico por razones de interés público en el campo de la salud pública o para garantizar normas de alta calidad y seguridad para la atención de la salud y para medicamentos y dispositivos médicos, con base en la legislación eclesiástica o nacional. En tal caso, se prevén medidas necesarias para proteger los derechos y libertades de la persona interesada, en particular el secreto profesional;
10. el tratamiento es necesario con fines de archivo en interés de la Iglesia Católica, fines de investigación científica o histórica o fines estadísticos, se basa en el Derecho canónico, es proporcional al objetivo perseguido, preserva la esencia del derecho a la privacidad y establece medidas apropiadas y específicas para salvaguardar los derechos e intereses fundamentales de la persona interesada.
§ 3. Los datos de categorías especiales podrán utilizarse de conformidad con el n. 8 del parágrafo anterior, si los mismos son tratados por o bajo la responsabilidad de personal especializado y si dicho personal está sujeto a secreto profesional, o si el tratamiento lo realiza otra persona que esté sujeta a una obligación de confidencialidad en virtud de la normativa aplicable.
§ 4. En los casos en que la prohibición de tratamiento no sea aplicable, teniendo en cuenta el estado de la técnica, los costos de implementación y la naturaleza, alcance, circunstancias y propósitos del tratamiento y la diferente probabilidad y gravedad de los riesgos a los derechos y libertades asociados con el tratamiento, deberán proporcionarse a las personas físicas medidas apropiadas y específicas para salvaguardar los intereses de la persona interesada.
Artículo 12. Tratamiento de datos personales relativos a condenas e infracciones penales
El tratamiento de datos personales relativos a condenas e infracciones penales canónicas o estatales, o medidas de seguridad conexas de conformidad con el artículo 6 § 1, sólo podrá llevarse a cabo cuando lo permita, en su ámbito respectivo, el Derecho canónico o estatal, y se establezcan garantías adecuadas para los derechos y libertades de los interesados.
Artículo 13. Tratamiento que no requiere identificación
§ 1. Si los fines para los cuales un responsable trata datos personales no requieren o ya no requieren la identificación de un interesado por el responsable, este no estará obligado a mantener, obtener o tratar información adicional con vistas a identificar al interesado con la única finalidad de cumplir el presente Decreto General.
§ 2. Si el responsable es capaz de demostrar que no está en condiciones de identificar al interesado, le informará en consecuencia, de ser posible. En estos casos, los artículos 17 a 22 no se aplicarán, a menos que el interesado proporcione información adicional que le permita ejercer sus derechos en virtud de esas disposiciones.
Capítulo III
Obligaciones de información del responsable y derechos del interesado
Sección 1
Obligaciones de información del responsable
Artículo 14. Transparencia de la información y modalidades de ejercicio de los derechos del interesado
§ 1. El responsable del tratamiento tomará las medidas oportunas para facilitar al interesado dentro de un tiempo razonable, toda la información indicada en los artículos 15 y 16, así como cualquier comunicación con arreglo a los artículos 17 a 24 y 34, relativa al tratamiento, en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, en particular cualquier información dirigida específicamente a un menor. La información será facilitada por escrito o por otros medios, inclusive, si procede, por medios electrónicos. Cuando lo solicite el interesado, la información podrá facilitarse verbalmente siempre que se demuestre la identidad del interesado por otros medios.
§ 2. El responsable del tratamiento facilitará al interesado el ejercicio de sus derechos en virtud de los artículos 17 a 24.
§ 3. En el caso del artículo 13 § 2, el responsable no se negará a actuar a petición del interesado con el fin de ejercer sus derechos en virtud de los artículos 17 a 24, salvo que pueda demostrar que no está en condiciones de identificar al interesado.
§ 4. El responsable del tratamiento facilitará al interesado información relativa a sus actuaciones sobre la base de una solicitud con arreglo a los artículos 17 a 24, y, en cualquier caso, en el plazo de un mes a partir de la recepción de la solicitud. Dicho plazo podrá prorrogarse otros dos meses en caso necesario, teniendo en cuenta la complejidad y el número de solicitudes. El responsable informará al interesado de cualquiera de dichas prórrogas en el plazo de un mes a partir de la recepción de la solicitud, indicando los motivos de la dilación. Cuando el interesado presente la solicitud por medios electrónicos, la información se facilitará por medios electrónicos cuando sea posible, a menos que el interesado solicite que se facilite de otro modo.
§ 4. Si el responsable del tratamiento no da curso a la solicitud del interesado, le informará sin dilación, y a más tardar transcurrido un mes de la recepción de la solicitud, de las razones de su no actuación y de la posibilidad de presentar una reclamación ante una autoridad de control y de ejercitar acciones judiciales.
§ 5. La información facilitada en virtud de los artículos 15 y 16, así como toda comunicación y cualquier actuación realizada en virtud de los artículos 17 a 24 y 34 serán a título gratuito. Cuando las solicitudes sean manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo, el responsable del tratamiento podrá:
1. cobrar un canon razonable en función de los costes administrativos afrontados para facilitar la información o la comunicación o realizar la actuación solicitada, o
2. negarse a actuar respecto de la solicitud.
§ 6. El responsable del tratamiento soportará la carga de demostrar el carácter manifiestamente infundado o excesivo de la solicitud.
§ 7. Sin perjuicio de lo dispuesto en el artículo 13, cuando el responsable del tratamiento tenga dudas razonables en relación con la identidad de la persona física que cursa la solicitud a que se refieren los artículos 17 a 23, podrá solicitar que se facilite la información adicional necesaria para confirmar la identidad del interesado.
Artículo 15. Información que deberá facilitarse cuando los datos se obtengan del interesado
§ 1. Cuando se obtengan de un interesado datos personales relativos a él, el responsable del tratamiento, en el momento en que estos se obtengan, le facilitará toda la información indicada a continuación:
1. la identidad y los datos de contacto del responsable;
2. los datos de contacto del delegado de protección de datos, en su caso;
3. los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento de conformidad con el artículo 6 del presente Decreto General;
4. cuando el tratamiento se base en el artículo 6 § 1.7, los intereses legítimos del responsable o de un tercero;
5. los destinatarios o las categorías de destinatarios de los datos personales, en su caso;
6. en su caso, la intención del responsable de transferir datos personales a un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión Europea, o, en el caso de las transferencias según el artículo 40, referencia a las garantías adecuadas o apropiadas y a los medios para obtener una copia de éstas o al hecho de que se hayan prestado.
§ 2. Además de la información mencionada en el § 1 de este artículo, el responsable del tratamiento facilitará al interesado, en el momento en que se obtengan los datos personales, la siguiente información necesaria para garantizar un tratamiento de datos leal y transparente:
1. el plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo;
2. la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos, de conformidad con los artículos 17-20 y 22-23 del presente Decreto General;
3. cuando el tratamiento esté basado en los artículos 6 § 1.2 ó 11 § 2, 1), la existencia del derecho a retirar el consentimiento, de conformidad con el artículo 8, § 6 del presente Decreto General, en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada;
4. el derecho a presentar una reclamación ante una autoridad de control;
5. si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos personales y está informado de las posibles consecuencias de que no facilitar tales datos;
6. la existencia de decisiones automatizas, incluida la elaboración de perfiles, a que se refiere el artículo 24 §§ 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.
§ 3. Si el responsable tiene la intención de tratar los datos personales para un fin distinto de aquel para el que se recogieron, deberá informar previamente al interesado del nuevo propósito del tratamiento y de los aspectos relevantes del mismo.
§ 4. Lo anterior no se aplicará siempre y cuando el interesado ya disponga de la información; y, en cualquier caso, si en el contexto en el que se recojan los datos, la información fuera intranscendente.
§ 5. Tampoco se aplicará:
1. cuando los datos o el hecho de su almacenamiento o tratamiento deba mantenerse en secreto en virtud de lo dispuesto por este Decreto General, por el Derecho canónico u otra normativa aplicable;
2. cuando existan otros derechos o intereses protegidos, incluidos los del responsable del tratamiento, que deban prevalecer sobre la obtención de la información por el interesado.
3. si el suministro de la información puede poner en riesgo la realización de las funciones propias de la Iglesia Católica o de las potestades canónicas encomendadas a las autoridades eclesiásticas.
Artículo 16. Información que deberá facilitarse cuando los datos personales no se hayan obtenido del interesado
§ 1. Cuando los datos personales no se hayan obtenidos del interesado, el responsable del tratamiento le facilitará la información especificada en el artículo 15 §§ 1 y 2, y, además:
1. las categorías de datos personales de que se trate;
2. la fuente de la que proceden los datos personales y, en su caso, si proceden de fuentes de acceso público;
§ 2. El responsable del tratamiento facilitará la información indicada en los §§ 1 y 2 del artículo 15:
1. dentro de un plazo razonable, una vez obtenidos los datos personales, y a más tardar dentro de un mes, habida cuenta de las circunstancias específicas en las que se traten dichos datos;
2. si los datos personales han de utilizarse para comunicarse con el interesado, a más tardar en el momento de la primera comunicación a dicho interesado, o
3. si está prevista la comunicación a otro destinatario, a más tardar en el momento en que los datos personales sean comunicados por primera vez.
§ 3. Cuando el responsable proyecte el tratamiento ulterior de los datos personales para un fin que no sea aquél para el que se obtuvieron, proporcionará al interesado, antes de dicho tratamiento ulterior, información sobre ese otro propósito y cualquier otra información pertinente indicada en el § 1 de este artículo.
§ 4. Las disposiciones de los §§ 1 a 3 de este artículo no serán aplicables cuando y en la medida en que:
1. el interesado ya disponga de la información;
2. la comunicación de dicha información resulte imposible, en particular, para el tratamiento con fines de archivo en interés de la Iglesia Católica, fines de investigación científica o histórica o fines estadísticos, en la medida en que la obligación mencionada en el § 1 de este artículo pueda imposibilitar u obstaculizar gravemente el logro de los objetivos de tal tratamiento. En tales casos, el responsable adoptará medidas adecuadas para proteger los derechos, libertades e intereses legítimos del interesado, inclusive haciendo pública la información;
3. la obtención o la comunicación esté expresamente establecida por este Decreto General, por el Derecho canónico u otra normativa aplicable y se tomen las medidas adecuadas para proteger los intereses legítimos del interesado, o
4. los datos personales estén sujetos a obligación de secreto o confidencialidad de acuerdo con el Derecho canónico u otra normativa y por lo tanto deban ser tratados de forma confidencial.
§ 5. Los §§ 1 a 3 de este artículo no se aplicarán si el facilitar la información supone:
1. poner en riesgo la realización de las funciones propias de la Iglesia Católica o de las potestades canónicas encomendadas a las autoridades eclesiásticas;
2. lesionar otros derechos o intereses protegidos que deban prevalecer sobre la obtención de la información por el interesado.
§ 6. Si no se proporciona al interesado la información prevista en el § 1, el responsable tomará las medidas apropiadas para proteger los intereses legítimos del interesado y deberá consignar por escrito la causa por la que se abstuvo de proporcionar la información.
Sección 2
Derechos del interesado
Artículo 17. Derecho de acceso del interesado
§ 1. El interesado tendrá derecho a obtener del responsable del tratamiento la confirmación de si se están tratando o no datos personales que le conciernan y, en tal caso, derecho de acceso a los datos personales y a la siguiente información:
1. los fines de tratamiento;
2. las categorías de datos personales de que se trate;
3. los destinatarios o las categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales, en particular, destinatarios en terceros países u organizaciones internacionales;
4. de ser posible, el plazo previsto de conservación de los datos personales o, de no ser posible, los criterios utilizados para determinar este plazo;
5. la existencia del derecho a solicitar del responsable la rectificación o supresión de datos personales o la limitación del tratamiento de datos personales relativos al interesado, o a oponerse a dicho tratamiento, de conformidad con los artículos 18, 19, 20 y 23 del presente Decreto General;
6. el derecho a presentar una reclamación ante la autoridad de control;
7. cualquier información disponible sobre su origen, cuando los datos personales no se hayan obtenido del interesado;
8. la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 24, §§ 1 y 4, y, al menos, en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado
§ 2. Cuando se transfieran datos personales a un tercer país o a una organización internacional, el interesado tendrá derecho a ser informado de las garantías adecuadas en virtud del artículo 40, relativas a la transferencia.
§ 3. El responsable del tratamiento facilitará una copia de los datos personales objeto de tratamiento. El responsable podrá percibir, por cualquier otra copia solicitada por el interesado, una tasa razonable basada en los costes administrativos. Cuando el interesado presente la solicitud por medios electrónicos, y a menos que éste solicite que se le facilite de otro modo, la información se proporcionará en un formato electrónico de uso común.
§ 4. El derecho a obtener copia mencionado en el apartado anterior no afectará negativamente a los derechos y libertades de otros.
§ 5. No habrá este derecho de acceso, si no es posible identificar a la persona o no se proporciona la información necesaria para ello.
Asimismo, el interesado no podrá ejercer el derecho de acceso si:
1. el interesado no debe ser informado, de conformidad con los artículos 15 y 16 ó
2. los datos se almacenan sólo porque no se pueden borrar en virtud de lo dispuesto en este Decreto General, en el Derecho canónico o en otra normativa aplicable, o
2º. se almacenan sólo para fines de protección de datos o control de privacidad, la provisión de información requeriría un esfuerzo desproporcionado y el tratamiento para otros fines estaría excluido por medidas técnicas y organizativas adecuadas.
§ 6. Los motivos de la denegación de la información deben estar documentados y justificarse al interesado. Los datos almacenados con el fin de preparar y proporcionar la información al interesado sólo pueden procesarse para este fin y para fines de protección de datos; para otros fines, el tratamiento, de acuerdo con el artículo 20, debe ser restringido.
§ 7. Si la solicitud de acceso se realiza por o a través de una entidad eclesiástica, la información denegada debe ponerse en conocimiento del Delegado de Protección de Datos competente, a los efectos de que pueda analizar los elementos de la licitud de la denegación, salvo que la autoridad eclesiástica competente considere, bajo su exclusiva responsabilidad, que esa comunicación afectaría seriamente los intereses de la Iglesia Católica.
Artículo 18. Derecho de rectificación
§ 1. El interesado tendrá derecho a obtener del responsable del tratamiento, sin dilación indebida, la rectificación de los datos personales inexactos que le conciernan. Teniendo en cuenta los fines del tratamiento, el interesado tendrá derecho a que se corrijan los datos personales que sean incompletos, inclusive mediante una declaración adicional.
§ 2. El derecho de rectificación no se aplica si los datos personales se almacenan para fines de archivo en interés de la Iglesia Católica, fines de investigación científica o histórica o fines estadísticos. Si el interesado cuestiona la exactitud de sus datos personales, los datos no rectificados no podrán ser tratados para finalidades distintas de las de archivo en interés de la Iglesia Católica, fines de investigación científica o histórica o fines estadísticos y, si estas finalidades no se ponen en riesgo, se podrá hacer constar la solicitud de rectificación del interesado.
Artículo 19. Derecho de supresión
§ 1. El interesado tendrá derecho a obtener del responsable del tratamiento, sin dilación indebida, la supresión de los datos personales que le conciernan, siempre que concurra alguna de las circunstancias siguientes:
1. los datos personales ya no sean necesarios para los fines para los que fueron recogidos o tratados de otro modo;
2. el interesado retire el consentimiento en que se basa el tratamiento de conformidad con el artículo 6 § 1.2, o el artículo 11 § 2.1, y éste no se base en otro fundamento jurídico;
3. el interesado se oponga al tratamiento con arreglo al artículo 23 § 1, y no prevalezcan otros motivos legítimos para el tratamiento, o el interesado se oponga al tratamiento con arreglo al artículo 23 § 2;
4. los datos personales hayan sido tratados ilícitamente;
5. los datos personales deban suprimirse para el cumplimiento de una obligación legal establecida en este Decreto General o en otra norma de Derecho canónico;
6. los datos personales se hayan obtenido en relación con la oferta de servicios de la sociedad de la información mencionados en el artículo 8 § 8, in fine.
§ 2. Cuando haya hecho públicos los datos personales y esté obligado, en virtud de lo dispuesto en el apartado 1, a suprimir dichos datos, el responsable del tratamiento, teniendo en cuenta la tecnología disponible y el coste de su aplicación, adoptará medidas razonables, incluidas medidas técnicas, con miras a informar a los responsables que estén tratando los datos personales, de la solicitud del interesado de supresión de cualquier enlace a esos datos personales, o cualquier copia o réplica de los mismos.
§ 3. Los §§ 1 y 2 de este artículo no se aplicarán cuando el tratamiento sea necesario:
1. para ejercer el derecho a la libertad de expresión e información;
2. para el cumplimiento de una obligación legal que requiera el tratamiento de datos impuesta en este Decreto General, en el Derecho canónico o en otra normativa aplicable al responsable del tratamiento, o para la realización de las funciones propias de la Iglesia Católica o de las potestades canónicas encomendadas a las autoridades eclesiásticas, o
3. por razones de interés público en el ámbito de la salud pública de acuerdo con el artículo 11 § 2.8 y 9 y artículo 11 § 3;
4. fines de archivo en interés de la Iglesia Católica, fines de investigación científica o histórica o fines estadísticos, en la medida en que el derecho indicado en el apartado 1 pudiera hacer imposible u obstaculizar gravemente el logro de los objetivos de dicho tratamiento, o
5. para la formulación, el ejercicio o la defensa de reclamaciones.
§ 4. En los casos previstos en el § 3 de este artículo, el derecho de supresión se ejercerá de acuerdo con lo previsto en el artículo 20 de este Decreto General.
Artículo 20. Derecho a la limitación del tratamiento
§ 1. El interesado tendrá derecho a obtener del responsable la limitación del tratamiento de los datos cuando se cumpla alguna de las condiciones siguientes:
1. el interesado impugne la exactitud de los datos personales, durante un plazo que permita al responsable verificar la exactitud de los mismos;
2. el tratamiento sea ilícito y el interesado se oponga a la supresión de los datos personales y solicite en su lugar la limitación de su uso;
3. el responsable ya no necesite los datos personales para los fines del tratamiento, pero el interesado los necesite para la formulación, el ejercicio o la defensa de reclamaciones;
4. el interesado se haya opuesto al tratamiento, en virtud del artículo 23, mientras se verifica si los motivos legítimos del responsable prevalecen sobre los del interesado.
§ 2. Cuando el tratamiento de datos personales se haya limitado en virtud del apartado 1, los datos sólo podrán ser objeto de tratamiento, con excepción de su conservación, con el consentimiento del interesado o para la formulación, el ejercicio o la defensa de reclamaciones, o con miras a la protección de los derechos de otra persona física o jurídica, o por razones de interés eclesiástico importante.
§ 3. Todo interesado que haya obtenido la limitación del tratamiento con arreglo al apartado 1 será informado por el responsable antes del levantamiento de dicha limitación.
§ 4. La limitación del tratamiento en los casos previstos en el § 1, números 1 a 3, del presente artículo se realizará de conformidad con lo dispuesto en el artículo 19 § 3.
Artículo 21. Obligación de notificación relativa a la rectificación o supresión de datos personales o la limitación del tratamiento
El responsable del tratamiento comunicará cualquier rectificación o supresión de datos personales o limitación del tratamiento, efectuada con arreglo a los artículos 18, 19 § 1, y 20, a cada uno de los destinatarios a los que se hayan comunicado los datos personales, salvo que sea imposible o exija un esfuerzo desproporcionado. El responsable informará al interesado acerca de dichos destinatarios, si este así lo solicita.
Artículo 22. Derecho a la portabilidad de los datos
§ 1. El interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento, sin que lo impida el responsable al que se los hubiera facilitado, cuando:
1. el tratamiento esté basado en el consentimiento, con arreglo al contrato de conformidad del artículo 6 § 1.3, y
2. el tratamiento se efectúe por medios automatizados.
§ 2. Al ejercer su derecho a la portabilidad de datos, de acuerdo con lo anterior, el interesado tendrá derecho a que los datos personales se transmitan directamente de un responsable, cuando sea técnicamente posible.
§ 3. El ejercicio del derecho mencionado en el § 1 de este artículo se entenderá sin perjuicio de lo dispuesto en el artículo 19. Tal derecho no se aplicará al tratamiento que sea necesario para la realización de las funciones propias de la Iglesia Católica o de las potestades canónicas encomendadas a las autoridades eclesiásticas.
§ 4. El derecho mencionado en el § 1 de este artículo no afectará negativamente a los derechos y libertades de otros.
§ 5. El derecho a la portabilidad de los datos tampoco tendrá aplicación cuando existan fines de archivo en interés de la Iglesia Católica, fines de investigación científica o histórica o fines estadísticos, en la medida en que el derecho indicado en el § 1 de este artículo pudiera hacer imposible u obstaculizar gravemente el logro de los objetivos de dicho tratamiento.
Artículo 23. Derecho de oposición
§ 1. El interesado tendrá derecho a oponerse en cualquier momento, por motivos relacionados con su situación particular, a que datos personales que le conciernan sean objeto de un tratamiento basado en lo dispuesto en el artículo 6 § 1.6 ó 7, incluida la elaboración de perfiles sobre la base de dichas disposiciones. El responsable dejará de tratar los datos personales, salvo que:
1. justifique motivos legítimos imperiosos que prevalezcan sobre los intereses, los derechos y las libertades del interesado;
2. sea necesario para la formulación, el ejercicio o la defensa de reclamaciones:
3. sea necesario para la realización de las funciones propias de la Iglesia Católica o de las potestades canónicas encomendadas a las autoridades eclesiásticas:
4. sea necesario para el cumplimiento de una obligación legal impuesta en este Decreto General, en el Derecho canónico o en otra normativa aplicable.
§ 2. Cuando el tratamiento de datos personales tenga por objeto la mercadotecnia directa, el interesado tendrá derecho a oponerse en todo momento al tratamiento de los datos personales que le conciernan, incluida la elaboración de perfiles en la medida en que esté relacionada con la citada mercadotecnia.
§ 3. Cuando el interesado se oponga al tratamiento con fines de mercadotecnia directa, los datos personales dejarán de ser tratados para dichos fines
§ 4. A más tardar en el momento de la primera comunicación con el interesado, el derecho indicado en los §§ 1 y 2 de este artículo le será mencionado explícitamente, claramente y al margen de cualquier otra información.
§ 5. Cuando los datos personales se traten, en interés de la Iglesia Católica, con fines de archivo, fines de investigación científica o histórica, o fines estadísticos, el interesado tendrá derecho, por motivos relacionados con su situación particular, a oponerse al tratamiento de datos personales que le conciernan, salvo que éste sea necesario para la realización de las funciones propias de la Iglesia Católica o de las potestades canónicas encomendadas a las autoridades eclesiásticas.
Artículo 24. Decisiones individuales automatizadas, incluida la elaboración de perfiles
§ 1. El interesado tiene derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar.
§ 2. El § 1 de este artículo no se aplicará si la decisión:
1. es necesaria para la celebración o ejecución de un contrato entre el interesado y el responsable del tratamiento;
2. es admisible en virtud de lo establecido en este Decreto General, en el Derecho canónico o en otra normativa aplicable, en el ámbito respectivo, y se establezcan asimismo medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado;
3. se basa en el consentimiento explícito del interesado;
4. sea necesario para la realización de las funciones propias de la Iglesia Católica o de las potestades canónicas encomendadas a las autoridades eclesiásticas.
§ 3. En los casos a los que se refiere el § 2.1 y 3, el responsable tomará las medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos de la persona interesada.
§ 4. Las decisiones a que se refiere el § 2 de este artículo no se basarán en las categorías especiales de datos personales contempladas en el artículo 11 § 1, salvo que se aplique el artículo 11 § 2.1 ó 7, y se hayan tomado medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado.
Artículo 25. Disposiciones comunes a los derechos del interesado
§ 1. Los derechos regulados en esta sección sólo pueden ser excluidos o restringidos en virtud de lo establecido en este Decreto General, en el Derecho canónico o por la normativa europea o estatal, en el ámbito respectivo.
§ 2. Si los datos del interesado se almacenan automáticamente de forma que existan varios responsables, el interesado puede acudir a cada uno de ellos para ejercer sus derechos, debiendo el responsable al que se haya recurrido trasladar la solicitud del interesado a la entidad competente e informar de ese traslado al interesado.
Capítulo IV
Responsable del tratamiento y encargado
Sección 1
Tecnología y organización; tratamiento de trabajo
Artículo 26. Medidas técnicas y organizativas
§ 1. Teniendo en cuenta, entre otros, el estado de la técnica, los costes de ejecución, la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Decreto General y normativa aplicable. Estas medidas incluyen, entre otras:
1. la utilización de seudónimos, la desvinculación de la identidad y el cifrado de datos personales, cuando sea procedente;
2. la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
3. la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;
4. un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
§ 2. Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.
§ 3. Las medidas sólo serán necesarias si el esfuerzo en su implementación está en proporción razonable con el propósito de la protección.
§ 4. La adhesión a códigos de conducta aprobados a tenor de lo dispuesto en el artículo 44 podrá ser utilizada como elemento para demostrar el cumplimiento de las obligaciones por parte del responsable del tratamiento.
§ 5. El responsable y el encargado del tratamiento tomarán medidas para garantizar que cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo pueda tratar dichos datos siguiendo instrucciones del responsable, salvo que esté obligada a ello en virtud de este Decreto General, del Derecho canónico o de otra normativa aplicable.
Artículo 27. Diseño y configuraciones por defecto
§ 1. Teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la utilización de seudónimos, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente Decreto General y proteger los derechos de los interesados.
§ 2. El responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del mismo. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad. Tales medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas.
Artículo 28. Corresponsables del tratamiento
§ 1. Cuando dos o más responsables determinen conjuntamente los objetivos y los medios del tratamiento, serán considerados corresponsables del mismo. Los corresponsables determinarán de modo transparente y de mutuo acuerdo sus responsabilidades respectivas en el cumplimiento de las obligaciones impuestas por el Derecho Canónico y/o el presente Decreto General o, en particular en cuanto al ejercicio de los derechos del interesado y a sus respectivas obligaciones de suministro de información, a los que se refieren los artículos 15 y 16, salvo, y en la medida en que, sus responsabilidades respectivas se rijan por normas imperativas de Derecho. Dicho acuerdo podrá designar un punto de contacto para los interesados.
§ 2. El acuerdo indicado en el § 1 de este artículo, reflejará debidamente las funciones y relaciones respectivas de los corresponsables en relación con los interesados. Se pondrán a disposición del interesado los aspectos esenciales del acuerdo.
§ 3. Independientemente de los términos del acuerdo a que se refiere el § 1 de este artículo, los interesados podrán ejercer los derechos que les reconoce el presente Decreto frente a, y en contra de cada uno de los responsables
Artículo 29. Encargado del tratamiento
§ 1. Cuando se vaya a realizar un tratamiento por cuenta de un responsable del tratamiento, este elegirá únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme a los requisitos del presente Decreto General y garantice la protección de los derechos del interesado.
§ 2. El encargado del tratamiento no recurrirá a otro encargado sin la autorización previa por escrito, específica o general, del responsable. En este último caso, el encargado informará al responsable de cualquier cambio previsto en la incorporación o sustitución de otros encargados, dando así al responsable la oportunidad de oponerse a dichos cambios.
§ 3. El tratamiento por el encargado se regirá por un contrato u otro acto jurídico con arreglo al Derecho canónico o a la normativa que en virtud de éste resulte aplicable, que vincule al encargado respecto del responsable y establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, así como las obligaciones y derechos del responsable. Dicho contrato o acto jurídico estipulará, en particular, que el encargado:
1. tratará los datos personales únicamente siguiendo instrucciones documentadas del responsable, inclusive con respecto a las transferencias de datos personales a un tercer país o una organización internacional, salvo que esté obligado a ello en virtud de este Decreto General, del Derecho canónico o de otra normativa aplicable al encargado; en tal caso, el encargado informará al responsable de esa exigencia legal previamente al tratamiento, salvo que tal Derecho lo prohíba.
2. garantizará que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria o legal;
3. tomará todas las medidas necesarias de conformidad con el artículo 26;
4. respetará las condiciones indicadas en los §§ 2 y 5 de este artículo para recurrir a otro encargado del tratamiento;
5. asistirá al responsable, teniendo cuenta la naturaleza del tratamiento, a través de medidas técnicas y organizativas apropiadas, siempre que sea posible, para que éste pueda cumplir con su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados establecidos en el capítulo III;
6. debe ayudar a los responsables a cumplir con las obligaciones establecidas en los artículos 33 a 35, teniendo en cuenta la naturaleza del tratamiento y la información a su disposición;
7. a elección del responsable, suprimirá o devolverá todos los datos personales una vez finalice la prestación de los servicios de tratamiento, y suprimirá las copias existentes, a menos que se requiera la conservación de los datos personales en virtud de este Decreto General, del Derecho canónico o de otra normativa aplicable;
8. pondrá a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente artículo, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del responsable o de otro auditor autorizado por el mismo. El encargado informará inmediatamente al responsable si, en su opinión, una instrucción infringe el presente Decreto General, el Derecho canónico o cualquier otra normativa aplicable.
§ 4. Cuando un encargado del tratamiento recurra a otro encargado para llevar a cabo determinadas actividades de tratamiento por cuenta del responsable, se impondrán a este otro encargado, mediante contrato u otro acto jurídico, con arreglo al Derecho canónico o a la normativa que en virtud de éste resulte aplicable, las mismas obligaciones de protección de datos que las estipuladas en el contrato u otro acto jurídico entre el responsable y el encargado a que se refiere el § 3 de este artículo, en particular la prestación de garantías suficientes de aplicación de medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme con las disposiciones del presente Decreto. Si ese otro encargado incumple sus obligaciones de protección de datos, el encargado inicial seguirá respondiendo ante el responsable del tratamiento, por lo que respecta al cumplimiento de las obligaciones del otro encargado
§ 5. La adhesión del encargado del tratamiento a códigos de conducta, aprobados a tenor de lo dispuesto en el artículo 44, podrá ser utilizada como elemento para demostrar la existencia de las garantías suficientes a que se refieren los §§ 1 y 4 del presente artículo.
§ 6. Sin perjuicio de que el responsable y el encargado del tratamiento celebren un contrato individual, el contrato u otro acto jurídico a que se refieren los §§ 3 y 4 del presente artículo podrá basarse, total o parcialmente, en las cláusulas contractuales tipo a que se refiere el § 7 del mismo artículo, inclusive cuando formen parte de una certificación concedida al responsable o encargado.
§ 7. El Delegado de Protección de Datos competente podrá fijar cláusulas o garantías contractuales adicionales para las cuestiones a que se refieren los §§ 3 a 5 del presente artículo, en el marco de lo previsto en el Derecho Canónico o en la normativa europea o estatal que sea de pertinente aplicación en el ámbito respectivo.
§ 8. El contrato u otro acto jurídico a que se refieren los §§ 3 y 4 de este artículo constará por escrito, inclusive en formato electrónico.
§ 9. Si un encargado infringe el presente Decreto General determinando los fines y medios del tratamiento, será considerado responsable del mismo.
Artículo 30. Tratamiento bajo la autoridad del responsable o del encargado del tratamiento
El encargado del tratamiento y cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo podrá tratar dichos datos siguiendo instrucciones del responsable, a no ser que esté obligado a ello en virtud de este Decreto General, del Derecho canónico o de otra normativa resulte aplicable.
Sección 2
Obligaciones del responsable
Artículo 31. Registro de las actividades de tratamiento
§ 1. Cada responsable y, en su caso, su representante, llevarán un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. Dicho registro deberá contener la siguiente información:
1. el nombre y los datos de contacto del responsable y, en su caso, del corresponsable y del delegado de protección de datos;
2. los fines del tratamiento;
3. una descripción de las categorías de interesados y de las categorías de datos personales;
4. el uso de perfiles, cuando proceda;
5. las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales;
6. en su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 41.2, la documentación de garantías adecuadas;
7. cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos;
8. cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 26.
§ 2. Cada encargado llevará un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta de un responsable que contendrá:
1. el nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado, y del delegado de protección de datos;
2. las categorías de tratamientos efectuados por cuenta de cada responsable;
3. en su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 41.2, la documentación de garantías adecuadas;
4. cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 26.
§ 3. Los registros a que se refieren los §§ 1 y 2 de este artículo constarán por escrito.
§ 4. El responsable o el encargado del tratamiento pondrán el registro a disposición del delegado de protección de datos competente y de la autoridad de control cuando así sea solicitado.
§ 5. Las obligaciones indicadas en los §§ 1 y 2 del presente artículo no se aplicarán a ninguna empresa ni organización que emplee a menos de 250 personas, a menos que el tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales indicadas en el artículo 11, o datos personales relativos a condenas e infracciones penales a que se refiere el artículo 12.
Artículo 32. Cooperación con la autoridad de control y el Delegado de Protección de Datos
El responsable y el encargado del tratamiento cooperarán con la autoridad de control de protección de datos así como con el Delegado de Protección de Datos competente, a petición de éste y, siempre, bajo la coordinación del Delegado de Protección de Datos de la Conferencia Episcopal Española.
Artículo 33. Notificación a la autoridad de control de una violación de la seguridad de los datos personales
§ 1. En caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará a la autoridad de control competente, a través del Delegado de Protección de Datos de la Conferencia Episcopal Española, en un plazo máximo de 72 horas a contar desde el momento en que se haya tenido constancia de ella, salvo que dicha violación de seguridad no constituya un riesgo para los derechos y las libertades de las personas físicas. Pasado el plazo de 72 horas, la comunicación a la autoridad de control deberá incluir los motivos de la dilación.
§ 2. El encargado del tratamiento notificará sin dilación indebida al responsable del tratamiento las violaciones de la seguridad de los datos personales de las que tenga conocimiento.
§ 3. La notificación contemplada en el § 1 de este artículo deberá, como mínimo:
1. describir la naturaleza de la violación de la seguridad de los datos personales, incluyendo, cuando sea posible, las categorías y número aproximado de interesados afectados, así como las categorías y número aproximado de registros de datos personales afectados;
2. comunicar el nombre y los datos de contacto del delegado de protección de datos;
3. describir las posibles consecuencias de la violación de la seguridad de los datos personales;
4. describir las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
§ 4. La información se facilitará de manera gradual y sin dilación indebida, cuando no sea posible facilitarla simultáneamente.
§ 5. El responsable del tratamiento documentará cualquier violación de la seguridad de los datos personales, incluidos los hechos relacionados con ella, sus efectos y las medidas correctivas adoptadas. Dicha documentación permitirá a la autoridad de control verificar el cumplimiento de lo dispuesto en el presente artículo.
Artículo 34. Comunicación al interesado concerniente a una violación de la seguridad de los datos personales
§ 1. Cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento la comunicará al interesado sin dilación indebida.
§ 2. La comunicación al interesado contemplada en el § 1 del presente artículo describirá con un lenguaje claro y sencillo la naturaleza de la violación de la seguridad de los datos personales y contendrá como mínimo la información así como las medidas a que se refiere el artículo 33 § 3.2-4.
§ 3. La comunicación al interesado a que se refiere el § 1 no será necesaria si se cumple alguna de las condiciones siguientes:
1. que el responsable del tratamiento haya adoptado medidas de protección técnicas y organizativas apropiadas, y estas medidas se han aplicado a los datos personales afectados por la violación de la seguridad de los datos personales, particularmente aquellas medidas de cifrado, que hagan ininteligibles los datos personales para cualquier persona que no tenga autorización para acceder a ellos;
2. que el responsable del tratamiento haya tomado medidas ulteriores encaminadas a reducir en lo posible que se concrete el alto riesgo para los derechos y libertades del interesado, a que se refiere el § 1 de este artículo;
3. que suponga un esfuerzo desproporcionado; en cuyo caso, se optará, en su lugar, por una comunicación pública o una medida semejante por la que se informe a los interesados de manera igualmente efectiva.
§ 4. Cuando el responsable todavía no haya comunicado al interesado la violación de la seguridad de los datos personales, la autoridad de control, una vez considerada la probabilidad de que tal violación entrañe un alto riesgo, podrá exigirle que lo haga o podrá decidir que se cumple alguna de las condiciones mencionadas en el § 3 de este artículo.
Artículo 35. Evaluación de impacto relativa a la protección de datos y consulta previa
§ 1. Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales. Una única evaluación podrá abordar una serie de operaciones de tratamiento similares que entrañen altos riesgos similares.
§ 2. El responsable del tratamiento recabará el asesoramiento del delegado de protección de datos, si ha sido nombrado, al realizar la evaluación de impacto relativa a la protección de datos.
§ 3. El responsable puede plantear al Delegado de Protección de Datos de la Conferencia Episcopal Española, a través del Delegado de Protección de Datos correspondiente, la conveniencia de consultar a la autoridad de control.
§ 4. La evaluación de impacto relativa a la protección de los datos a que se refiere el § 1 de este artículo se requerirá en caso de:
1. evaluación sistemática y exhaustiva de aspectos personales de personas físicas, que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar;
2. tratamiento a gran escala de las categorías especiales de datos a que se refiere el artículo 11, o de los datos personales relativos a condenas e infracciones penales, a que se refiere el artículo artículo 12; u
3. observación sistemática a gran escala de una zona de acceso público.
§ 5. Los delegados de protección de datos podrán, asimismo, en su ámbito competencial, establecer y publicar la lista de los tipos de tratamiento que requieren evaluaciones de impacto relativas a la protección de datos.
§ 6. Los delegados de protección de datos coordinarán, en su ámbito competencial, y a través del Delegado de Protección de Datos de la Conferencia Episcopal Española, las listas de los tipos de tratamiento que requieren evaluaciones de impacto relativas a la protección de datos.
§ 7. La evaluación del impacto deberá contener como mínimo:
1. una descripción sistemática de las operaciones de tratamiento previstas y sus fines, incluyendo, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento;
2. una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad;
3. una evaluación de los riesgos para los derechos y libertades de los interesados de conformidad con el § 1 de este artículo; y
4. las medidas previstas para afrontar los riesgos, incluidas las garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales, así como las medidas para demostrar la conformidad con el presente Decreto General, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas.
§ 8. El cumplimiento de los códigos de conducta, a que se refiere el artículo 46, por parte de los responsables o encargados correspondientes, se tendrá debidamente en cuenta al evaluar las repercusiones de las operaciones de tratamiento realizadas por dichos responsables o encargados, en particular a efectos de la evaluación de impacto relativa a la protección de datos.
§ 9. El responsable recabará, cuando proceda, la opinión de los interesados o de sus representantes en relación con el tratamiento previsto, sin perjuicio de la protección de intereses eclesiásticos o de la seguridad de las operaciones de tratamiento.
§ 10. Cuando el tratamiento de conformidad con el artículo 6 § 1 nn. 4 ó 6, tenga su base jurídica en este Decreto General, en el Derecho canónico o en otra normativa europea o estatal que se aplique al responsable del tratamiento, en el ámbito respectivo, los §§ 1 a 7 de este artículo no serán de aplicación, excepto si la norma que contenga la obligación establece como necesario proceder a dicha evaluación, con carácter previo a las actividades de tratamiento.
§ 11. El responsable deberá examinar si el tratamiento es conforme a la evaluación de impacto relativa a la protección de datos cuando exista un cambio del riesgo que representen las operaciones de tratamiento; en el resto de los casos, este examen se realizará si fuere necesario.
§ 12. El responsable, a través del Delegado de Protección de Datos de la Conferencia Episcopal Española, consultará a la autoridad de control antes de proceder al tratamiento, cuando una evaluación de impacto relativa a la protección de datos muestre que el citado tratamiento puede implicar un alto riesgo si no se toman medidas para mitigarlo.
Sección 3
Delegado de protección de datos
Artículo 36. Designación del Delegado de Protección de Datos
§ 1. Designarán un Delegado de Protección de Datos:
1. Las Iglesias particulares de la Iglesia Católica en España;
2. Las entidades citadas en el artículo 3, de carácter público canónico.
3. Las entidades citadas en el artículo 3, de carácter privado canónico, en los casos en que sea preceptivo.
4. La Conferencia Episcopal Española.
§ 2. El Delegado de Protección de Datos a que se refiere el § 1 de este artículo, actuará dentro del ámbito competencial de la entidad que lo designe.
§ 3. El ámbito competencial de los Delegados de Protección de Datos a los que se refiere el § 1.2 de este artículo, será el de la entidad que los ha designado, sin perjuicio de las competencias de los Delegados de Protección de Datos a los que se refieren los apartados 1 y 3 del mismo.
§ 4. El ámbito competencial del Delegado de Protección de Datos del § 1.4 de este artículo será el propio de la Conferencia Episcopal Española; ejercerá en exclusiva las funciones de coordinación y consulta de los Delegados de Protección de Datos del §1.1 y 2 de este artículo, y será el interlocutor con las autoridades de control en materia de protección de datos, conforme al art. 50 de los Estatutos de la Conferencia Episcopal Española.
§ 5. Serán designados Delegados de Protección de Datos:
1. En cada Iglesia particular, el Moderador de Curia, conforme al canon 473 § 2 y concordantes del Código de Derecho Canónico, o la persona que designe la autoridad eclesiástica competente, debiendo reunir al menos los requisitos del punto siguiente.
2. En las entidades del § 1.2 de este artículo, la persona que la autoridad eclesiástica competente considere idónea, debiendo reunir al menos los siguientes requisitos.
1) Tener la debida cualificación jurídica y conocimientos en la práctica de protección de datos.
2) Desempeñar su cargo en exclusiva. No pudiendo realizar funciones encomendadas a los responsables o encargados del tratamiento.
3. En las entidades del § 1.3 de este artículo, la persona designada por la propia entidad, comunicándolo a la autoridad eclesiástica competente.
4. En la Conferencia Episcopal Española, la persona que nombre la Comisión Permanente, a propuesta del Secretario General.
El Delegado de Protección de Datos de la Conferencia Episcopal Española deberá reunir los siguientes requisitos:
1) Tener la debida cualificación jurídica y conocimientos en la práctica de protección de datos.
2) Ser experto en relaciones Iglesia-Estado.
3) Pertenecer al personal de la Conferencia Episcopal Española, con independencia del tipo de relación laboral.
4) Desempeñar su cargo en exclusiva. No pudiendo realizar funciones encomendadas a los responsables o encargados del tratamiento.
§ 6. La autoridad eclesiástica competente proporcionará, cuando proceda, al Delegado de Protección de Datos designado, los medios para su formación en la materia así como el debido asesoramiento de profesionales con conocimientos especializados del Derecho y en materia de protección de datos.
§ 7. El Delegado de Protección de Datos no podrá ser responsable de ningún ámbito en materia de protección de datos.
§ 8. El responsable o el encargado del tratamiento publicarán los datos de contacto del delegado de protección de datos y los comunicarán, a través del Delegado de Protección de Datos de la Conferencia Episcopal Española, a la autoridad de control.
§ 9. Podrá designarse un único Delegado de Protección de Datos para las entidades de los §§ 1.2 y 3, cuando así lo autorice la autoridad eclesiástica competente.
Artículo 37. Posición del Delegado de Protección de Datos
§ 1. El responsable del tratamiento garantizará que el Delegado de Protección de Datos participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales.
§ 2. El responsable del tratamiento respaldará al Delegado de Protección de Datos en el desempeño de las funciones mencionadas en el artículo 38, facilitando los recursos necesarios para el desempeño de dichas funciones y el acceso a los datos personales, así como a las operaciones de tratamiento, y para su formación continua.
§ 3. El responsable del tratamiento garantizará que el Delegado de Protección de Datos no recibe ninguna instrucción que le impida desempeñar sus funciones. No podrá ser destituido ni sancionado en el desempeño de sus funciones y rendirá cuentas directamente al más alto nivel jerárquico del responsable.
§ 5. El Delegado de Protección de Datos estará obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones.
§ 6. El Delegado de Protección de Datos podrá desempeñar otras funciones y cometidos. El responsable del tratamiento garantizará que dichas funciones y cometidos no den lugar a conflicto de intereses y que no sean tan extensas como para impedirle el cumplimiento de sus obligaciones conforme a este Decreto General o a otras normas de Derecho Canónico.
§ 7. Los interesados podrán ponerse en contacto con el Delegado de Protección de Datos en lo referido a todas las cuestiones relativas al tratamiento de sus datos personales y al ejercicio de sus derechos, al amparo del presente Decreto General, en cualquier momento y, en todo caso, antes de dirigirse a la autoridad de control independiente.
Artículo 38. Funciones del Delegado de Protección de Datos
§ 1. El Delegado de Protección de Datos tendrá como mínimo las siguientes funciones:
1. informar y asesorar al responsable, al encargado y a las personas empleadas que se ocupen del tratamiento de datos en el ámbito de su respectiva competencia;
2. supervisar el cumplimiento del presente Decreto General y demás normativa de protección de datos personales aplicable en su respectivo ámbito competencial, así como de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;
3. ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35;
4. cooperar con la autoridad de control a través del Delegado de Protección de Datos de la Conferencia Episcopal, que actuará como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 35, y realizar consultas, en su caso, sobre cualquier otro asunto;
5. Las demás establecidas en este Decreto General.
§ 2. El Delegado de Protección de Datos desempeñará sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y los fines del tratamiento.
Capítulo V
Transferencia de datos personales a terceros países u organizaciones internacionales
Artículo 39. Principios generales
Sólo se realizarán transferencias de datos personales que sean objeto de tratamiento o vayan a serlo tras su transferencia a un tercer país u organización internacional si, a reserva de las demás disposiciones del presente Decreto General, el responsable y el encargado del tratamiento cumplen las condiciones establecidas en el presente capítulo, incluidas las relativas a las transferencias ulteriores de datos personales desde el tercer país u organización internacional a otro tercer país u otra organización internacional. Las transferencias de datos personales entre autoridades eclesiásticas no se considerarán transferencias de datos personales a terceros países u organizaciones internacionales.
Las entidades a las que hace referencia el art. 3.1 de este Decreto General gozan de libertad para mantener relaciones y comunicarse con todas las entidades de la Iglesia Católica, de conformidad con el canon 204 § 2, y el art. II del Acuerdo sobre Asuntos Jurídicos entre la Santa Sede y el Estado español de 3 de enero de 1979.
Ninguna disposición de este Decreto General puede interpretarse de manera que limite de manera relevante esta libertad.
Artículo 40. Transferencias basadas en una decisión de adecuación o mediante garantías adecuadas
§ 1. Podrá realizarse una transferencia de datos personales a un tercer país u organización internacional siempre que, según el parecer del Delegado de Protección de Datos de la Conferencia Episcopal Española, éstos garanticen un nivel de protección adecuado de conformidad con lo dispuesto en el RGPD.
§ 2. Si no se dispone de una decisión sobre adecuación en virtud de lo anterior, los datos personales podrán transferirse, en el marco de lo preceptuado en el RGPD, si:
1. un instrumento jurídicamente vinculante establece salvaguardias adecuadas para la protección de datos personales, o
2. el responsable del tratamiento, habiendo evaluado todas las circunstancias involucradas en la transferencia, puede asumir que existen salvaguardas adecuadas para la protección de los datos personales y así lo documenta.
Artículo 41. Excepciones
En ausencia de los requisitos del artículo anterior, las transferencias de datos personales a un tercer país u organización internacional únicamente se realizarán si se cumple alguna de las condiciones siguientes:
1. que el interesado haya dado explícitamente su consentimiento a la transferencia propuesta, tras haber sido informado de los posibles riesgos, en caso de existir;
2. que la transferencia sea necesaria para la ejecución de un contrato entre el interesado y el responsable del tratamiento o para la ejecución de medidas precontractuales adoptadas a solicitud del interesado;
3. que la transferencia sea necesaria para la celebración o ejecución de un contrato, en interés del interesado, entre el responsable del tratamiento y otra persona física o jurídica;
4. que la transferencia sea necesaria conforme al ordenamiento jurídico propio de la Iglesia Católica, y se realice de conformidad con el artículo
5. que la transferencia sea necesaria para la formulación, el ejercicio o la defensa de reclamaciones;
6. que la transferencia sea necesaria para proteger los intereses vitales del interesado o de otras personas, cuando el interesado esté física o jurídicamente incapacitado para dar su consentimiento.
Capítulo VI
Autoridades de control de protección de datos
Artículo 42. Autoridades de control de protección de datos
§ 1. La Conferencia Episcopal Española se reserva el derecho a establecer, en el futuro, de conformidad a la normativa vigente, una autoridad de control independiente específica.
§ 2. Toda comunicación entre las entidades a las que se refiere el artículo 3 de este Decreto General y la autoridad de control competente deberá realizarse, necesariamente, a través del Delegado de Protección de Datos de la Conferencia Episcopal Española.
Capítulo VII
Otras disposiciones
Artículo 43. Libros sacramentales
Los libros sacramentales se rigen por las normas propias del Derecho Canónico, así como por el Acuerdo sobre Asuntos Jurídicos de 3 de enero de 1979 suscrito por la Santa Sede y el Estado español.
Artículo 44. Códigos de conducta
§ 1. La Conferencia Episcopal Española podrá aprobar modelos de códigos de conducta a aplicar en materia de protección de datos, que, sin perjuicio de otros contenidos, contendrán la regulación de los procedimientos extrajudiciales y otros procedimientos de resolución de conflictos, que permitan resolver las controversias relativas al tratamiento entre los responsables del mismo y los interesados.
§ 2. Los Delegados de Protección de Datos promoverán la elaboración de códigos de conducta conforme a los modelos mencionados en el § 1 de este artículo, que, en todo caso, se destinarán a contribuir a la correcta aplicación del presente Decreto General.
§ 3. Los códigos de conducta a los que se refiere el § 2 de este artículo serán aprobados, modificados y suprimidos por las autoridades eclesiásticas competentes, previo informe del Delegado de Protección de Datos de la Conferencia Episcopal Española, y tendrán carácter obligatorio para los responsables a los que se dirijan.
§ 4. La supervisión del cumplimiento de un código de conducta corresponderá al Delegado de Protección de Datos correspondiente.
§ 5. El proyecto de código o su modificación será presentado, cuando sea procedente, a los efectos oportunos, y siempre a través del Delegado de Protección de Datos de la Conferencia Episcopal Española, a la autoridad de control competente.
Artículo 45. Desarrollo normativo
Tanto la Conferencia Episcopal Española como, en su caso, las distintas autoridades eclesiásticas con potestad legislativa canónica a que se refiere el artículo 3 de este Decreto General, en relación con los cánones 131 y 135 §§ 1-2 CIC, podrán dictar normas en desarrollo del mismo, si bien, en este último caso, para garantizar la debida uniformidad jurídica, será preceptivo el parecer favorable de la Conferencia Episcopal Española.
En la interpretación y aplicación de este Decreto General, y en su desarrollo normativo, deberá respetarse en todo caso lo dispuesto en esta Norma canónica, así como la normativa europea y estatal, en lo que sea de pertinente aplicación.
Artículo 46. Disposición Final
Este Decreto General, aprobado por la CXI Asamblea Plenaria de la Conferencia Episcopal Española, celebrada entre los días 16 y 20 de abril de 2018, obtenida la recognitio de la Congregación para los Obispos de la Santa Sede, con fecha 22 de mayo de 2018, entrará en vigor el 25 de mayo de 2018, y será publicado en el Boletín Oficial de la Conferencia Episcopal Española y en su página web oficial, conforme a los cánones 455 §§ 2-3 y 8 § 2 CIC, y el artículo 15 de los Estatutos de la Conferencia Episcopal Española, aprobado por la XCII Asamblea Plenaria de la misma entre los días 24 y 28 de noviembre de 2008.
Sumario
Preámbulo
Capítulo I. Disposiciones generales
Artículo 1. Objeto
Artículo 2. Ámbito de aplicación material
Artículo 3. Ámbito de aplicación organizativo
Artículo 4. Definiciones
Capítulo II. Principios
Artículo 5. Secreto de datos
Artículo 6. Licitud del tratamiento de datos personales
Artículo 7. Condiciones para el tratamiento de datos personales
Artículo 8. Consentimiento
Artículo 9. Comunicación entre las entidades eclesiásticas o a las autoridades eclesiásticas
Artículo 10. Comunicación a autoridades no eclesiásticas ni públicas
Artículo 11. Tratamiento de categorías especiales de datos personales
Artículo 12. Tratamiento de datos personales relativos a condenas e infracciones penales
Artículo 13. Tratamiento que no requiere identificación
Capítulo III. Obligaciones de información del responsable y derechos del interesado
Sección 1. Obligaciones de información del responsable
Artículo 14. Transparencia de la información y modalidades de ejercicio de los derechos del interesado
Artículo 15. Información que deberá facilitarse cuando los datos se obtengan del interesado
Artículo 16. Información que deberá facilitarse cuando los datos personales no se hayan obtenido del interesado
Sección 2. Derechos del interesado
Artículo 17. Derecho de acceso del interesado
Artículo 18. Derecho de rectificación
Artículo 19. Derecho de supresión
Artículo 20. Derecho a la limitación del tratamiento
Artículo 21. Obligación de notificación relativa a la rectificación o supresión de datos personales o la limitación del tratamiento
Artículo 22. Derecho a la portabilidad de los datos
Artículo 23. Derecho de oposición
Artículo 24. Decisiones individuales automatizadas, incluida la elaboración de perfiles
Artículo 25. Disposiciones comunes a los derechos del interesado
Capítulo IV. Responsable del tratamiento y encargado
Sección 1. Tecnología y organización; tratamiento de trabajo
Artículo 26. Medidas técnicas y organizativas
Artículo 27. Diseño y configuraciones por defecto
Artículo 28. Corresponsables del tratamiento
Artículo 29. Encargado del tratamiento
Artículo 30. Tratamiento bajo la autoridad del responsable o del encargado del tratamiento
Sección 2. Obligaciones del responsable
Artículo 31. Registro de las actividades de tratamiento
Artículo 32. Cooperación con la autoridad de control y el Delegado de Protección de Datos.
Artículo 33. Notificación a la autoridad de control de una violación de la seguridad de los datos personales
Artículo 34. Comunicación al interesado concerniente a una violación de la seguridad de los datos personales
Artículo 35. Evaluación de impacto relativa a la protección de datos y consulta previa
Sección 3. Delegado de protección de datos
Artículo 36. Designación del Delegado de Protección de Datos
Artículo 37. Posición del Delegado de Protección de Datos
Artículo 38. Funciones del Delegado de Protección de Datos
Capítulo V. Transferencia de datos personales a terceros países u organizaciones internacionales
Artículo 39. Principios generales
Artículo 40. Transferencias basadas en una decisión de adecuación o mediante garantías adecuadas
Artículo 41. Excepciones
Capítulo VI. Autoridades de control de protección de datos
Artículo 42. Autoridades de control de protección de datos
Capítulo VII. Otras disposiciones
Artículo 43. Libros sacramentales
Artículo 44. Códigos de conducta
Artículo 45. Desarrollo normativo
Artículo 46. Disposición Final