El informe jurídico 0094/2008 de la Agencia Española de Protección de Datos (AEPD) aborda la cuestión de qué nivel de seguridad debe implementarse en los ficheros que contienen datos de hermanos cofrades adscritos a una Hermandad de confesión católica. Este informe se basa en la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal y su Reglamento de desarrollo, aprobado por el Real Decreto 1720/2007.
La AEPD ha establecido previamente que la condición de hermano o cofrade de una Hermandad católica revela la religión y creencias del individuo, lo que clasifica estos datos como especialmente protegidos. Según el artículo 81.3 a) del Reglamento, los ficheros que contienen datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual deben adoptar medidas de seguridad de nivel alto.
Sin embargo, el artículo 85.5 a) del Reglamento establece una excepción a esta regla general, permitiendo la implementación de medidas de seguridad de nivel básico cuando los datos se utilicen únicamente para realizar transferencias dinerarias a las entidades de las que los afectados sean asociados o miembros. Esta excepción solo es aplicable si los datos son tratados por una entidad distinta a la de la que los afectados son miembros, como podría ser una entidad financiera encargada de gestionar las contribuciones de los cofrades.
En el caso específico de una Hermandad católica, la excepción no es aplicable porque los datos son tratados por la propia Hermandad, y las finalidades del tratamiento exceden la mera gestión de pagos, abarcando otras relaciones y actividades propias de la Hermandad. Por lo tanto, los ficheros mantenidos por la cofradía o Hermandad que contengan datos personales de los cofrades o hermanos deben someterse a las medidas de seguridad de nivel alto, conforme a lo dispuesto en el artículo 81.3 a) del Reglamento.
En resumen, la AEPD concluye que los ficheros de una Hermandad católica que contengan datos personales de sus miembros deben implementar medidas de seguridad de nivel alto, debido a la naturaleza especialmente protegida de los datos relacionados con la religión y creencias de los individuos. La excepción que permite medidas de seguridad de nivel básico no es aplicable en este caso, ya que los datos son tratados por la propia Hermandad y no únicamente para la gestión de pagos.