¿Cuál es la importancia de la protección de datos personales en el contexto de las iglesias?

Toda Iglesia o comunidad cristiana, sin importar su denominación, requiere recopilar y tratar  datos personales de los fieles que hacen parte de ella; esta situación nace como consecuencia tanto de los procesos de comunicación entre pastores, líderes de grupo  y miembros base de cada congregación, como de la prestación de los servicios pastorales que ofrece cada colectividad.

Con base en lo  anterior, se podrá decir que  coordinar actividades como  el culto y las reuniones de estudio bíblico, organizar ceremonias de bautismo o matrimonio, y programar caminatas, paseos, bazares o eventos destinados a recolectar fondos de apoyo económico que involucran  no solo la captura y tratamiento de datos personales sino  la creación de una base de datos que contenga al menos nombres, teléfono y correo electrónico de los participantes, además de número de cédula y  domicilio si dicho participante diezma o realiza  donaciones a la iglesia, ello en virtud a que todo aporte económico se debe ligar a una persona real cuyo documento será incluido en la declaración de origen de ingresos que se le reporta a la DIAN. 

Basado en lo anterior, y continuando con el  tema de protección de datos personales se puede concluir que el poseer un conjunto de datos personales le implica a la Iglesia la responsabilidad de tratar, almacenar y  proteger tal información  de forma idónea, siguiendo un conjunto de reglas y principios que la norma de protección de datos en Colombia define.

En este punto algún fiel podría pensar lo siguiente: nuestra comunidad está compuesta por personas afines que tienen la misma ideología religiosa, la misma fe, y los mismos principios, además de contar con un altísimo grado de compromiso y honestidad de los líderes hacia la comunidad, por lo tanto tenemos minimizadas las posibilidades de uso indebido de la información, entonces  ¿Por qué realizar la gestión de tratamiento de datos personales en una Iglesia? 

La respuesta es simple: porque esas normas son una Ley de carácter obligatorio que establece que toda persona natural o jurídica cuya actividad implique realizar  captura y/o tratamiento de información personal debe actuar bajo lineamientos específicos para así garantizar los derechos de los titulares, y la minimización de los  impactos negativos por el uso indebido o no autorizado de la información. Y es en este momento que debe quedar  claro que el planteamiento no es el uso indebido derivado de deshonestidad del miembros o colaboradores de la iglesia, sino que se deben considerar los errores humanos y las brechas que generalmente aparecen producto de decisiones marginales en  términos de seguridad, lo que siempre es aprovechado por personas ajenas para cometer toda suerte de acciones que conducen daños severos a la privacidad, la reputación  y a la estabilidad de los miembros cualquier comunidad religiosa.

¿Cuál sería la responsabilidad de la Iglesia? La respuesta se centra en que debe cumplir con todas las normas establecidas para la protección de datos personales, ello implica asignar a un representante que asegure que los procesos de captura y tratamiento de datos estén alineados con los requerimientos legales, registrar las bases de datos ante la Superintendencia de Industria y Comercio si el patrimonio de la iglesia supera los 100.000 UVT,  elaborar avisos de privacidad acordes a la actividad  religiosa desarrollada y obtener el consentimiento para el tratamiento de los datos personales tanto de cada uno de los miembros que son inscritos, como del resto de personas tales como empleados, contratistas o proveedores.

Así las cosas, cada Iglesia o comunidad religiosa deberá actuar como institución legal y reorganizar su gestión administrativa, adicionando una nueva actividad basada en riesgos que exclusivamente se orientará hacia un control total en el uso de los datos personales. Lo anterior necesariamente conducirá a:

1. La  elaboración de una política de tratamiento.
2. Crear un conjunto de  avisos de privacidad y notificaciones cuyo destino son los titulares de la información personal.
3. Elaborar  formularios apropiados para  obtener el consentimiento de los titulares y así hacer legal el manejo de su información.
4. Incorporar cláusulas o acuerdos de confidencialidad en los contratos de empleados, colaboradores de la institución y terceros que participan en el procesamiento de datos.
5. Crear políticas internas y procedimientos rigurosos que aseguren tanto el cumplimiento de las diferentes  etapas de captura y almacenamiento de los datos, como el uso estricto de  canales autorizados para el flujo de ellos.
6. Mantener un alto grado de seguridad en el proceso de custodia de la información.
7. Disponer de canales apropiados de comunicación.
8. Realizar análisis de riesgos y gestión de incidentes para así retroalimentar y mejorar los procesos.

Por supuesto que ese conjunto de actividades sumado a otros más no son tarea fácil, pero siempre habrá que hacerlo en búsqueda de un buen manejo de la información. He aquí algunas recomendaciones adicionales en seguridad:

• Cifre todas las comunicaciones externas, prestando especial atención a las relacionadas con bautismos y matrimonios, dado que en esas comunicaciones habitualmente no solo incluyen la información básica de los interesados sino que manejan diversos datos sensibles.
• Si se usa almacenamiento en la nube, utilice siempre sistemas de organizaciones reconocidas y confiables, prefiriendo las que definan las características de procesamiento de datos.
• Limite el registro de datos personales a lo estrictamente necesario conforme al propósito de uso, y tenga especial cuidado con el manejo de los datos de hijos e hijas de los fieles cuando los primeros son menores de edad.
• En lo posible implemente sistemas Web que faciliten el acceso a los datos por parte de los titulares para que así ellos mediante autogestión puedan consultar y/o borrar los registros de suscripciones a devocionales o boletines bíblicos.
• Tenga mucho cuidado al manejar las bases de datos en hojas de cálculo como Excel dada la posibilidad de copia o sustracción. Siempre proteja la hoja de cálculo con una contraseña compleja, además procure mantener el archivo en un ordenador seguro que cuente con clave de inicio. Procure nunca almacenar ese tipo de datos en una memoria externa.
• Lleve registro de los procesos de acceso a la información incluyendo quién agrega  y edita los datos, y cuándo se realiza esto.
• Documente todos sus procesos internos de manejo de información, y establezca acciones de contingencia en caso de  violación de datos.

Asumir que su Iglesia tiene información poco importantes no es conveniente, recuerde que son sus bases de datos el objetivo claro de las organizaciones cyber-criminales, pues estas quieren aprovechar la buena fe y confianza de sus miembros para poder engañarlos.