Los datos personales de personas fallecidas

La protección de datos es una materia que nos permea. España (Europa en general) es puntera en esa materia, frente a territorios mucho más relajados como EE.UU. La idea de que los datos personales de cada uno –su nombre, su dirección, sus condiciones de salud, sus opiniones políticas, su número de teléfono, sus prácticas sexuales, sus contraseñas de servicios online... todo lo que uno pueda pensar– son parte del derecho a la intimidad y por ello deben estar protegidos es relativamente nueva, pero tanto la Unión Europea como el Estado español la han adoptado como un principio que rige su actuación política y jurídica.

Todos recordamos el cachondeo hace unos años cuando entró en vigor en la UE el Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés), que todas las webs que manejaban bases de datos se pusieron a mandar correos electrónicos para pedir el consentimiento expreso a las personas incluidas para seguir tratando esa información. A pesar de que los reglamentos europeos son de aplicación directa, España decidió promulgar una nueva Ley Orgánica de Protección de Datos para sustituir a la antigua y conformarse con el marco europeo. La norma nueva es la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDG), y lleva un añito en vigor.

Este nuevo marco (el GDPR a nivel europeo, la LOPDG a nivel estatal) blinda los datos personales. Salvo supuestos justificados, nadie puede acceder a mi información personal salvo que yo dé una autorización expresa o exista algún interés público relevante.

Vale. ¿Y si yo me muero? ¿Qué pasa con mis datos personales (sobre todo con mis cuentas en redes sociales, protegidas por datos tales como la contraseña) si fallezco sin dar esa autorización, que nadie en el mundo ha dado? ¿Las cuentas se tienen que quedar ahí para siempre, como fantasmas, eternos testimonios de que yo una vez existí? ¿Mis familiares y allegados deben soportar encontrarse con mi cara o con mi foto de perfil en búsquedas aleatorias?

El GDPR no nos da ninguna respuesta. Su considerando 27 dice que el Reglamento no se aplica a las personas fallecidas. Los considerandos son la forma en que el derecho europeo estructura las exposiciones de motivos de las normas. Es decir, que el considerando 27 no es jurídicamente vinculante, pero sí sirve para explicar la voluntad del legislador y para interpretar el GDPR. Por tanto, en principio, cuando el artículo 1 de este Reglamento dice que “establece las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales”, hay que entender que se aplica solo a las personas físicas vivas.

¿Qué pasa entonces con los datos de las personas fallecidas? Al quedar fuera del GDPR, ¿pierden toda la protección? ¿Hemos pasado de la sobreprotección de la legislación europea a la completa libertad para hacer con esos datos lo que se quiera? ¿Nos hemos ido al extremo opuesto? No exactamente. El considerando 27 del GDPR dice algo más: remite a los distintos Estados para regular el régimen de los datos personales de los fallecidos. Y España lo ha hecho.

La LOPDG sostiene el mismo principio que el GDPR, es decir, que no es aplicable a los datos de personas fallecidas (artículo 2.2.b), pero enseguida establece qué ha de hacerse con estos datos. El artículo 3 regula varios supuestos:

• Fallecido mayor de edad que hubiera designado a alguien para gestionar este tema: obviamente, es esta persona o entidad quien debe encargarse de cumplir las instrucciones del fallecido en lo relativo al acceso, rectificación y supresión de datos.
• Fallecido mayor de edad que en vida no hubiera dejado instrucciones al respecto: son sus herederos y sus familiares (aunque no sean herederos) quienes pueden acceder a sus datos personales y, en su caso, solicitar su rectificación o supresión. Es posible que el fallecido prohíba expresamente esta posibilidad, en cuyo caso los datos no se borrarán.
• Fallecimiento de menores o incapacitados: los legitimados para solicitar el acceso, rectificación y supresión de los datos son los representantes legales y el Ministerio Fiscal.

En definitiva, el artículo 3 LOPDG está pensando sobre todo en el borrado de datos. Cuando alguien muere, mantener su nombre en los archivos y ficheros en los que estaba ya no tiene ningún sentido.

Sin embargo, creo que eso no es lo que nos preocupa. Sí, si nos morimos nuestros herederos pueden dirigirse a la lista de correo de Ortopedias Fernández para que borren nuestro nombre y no nos manden más publicidad, pero creo que lo que perturba de este asunto son los perfiles en redes sociales. Y de eso se ocupa, más específicamente, el artículo 96 LOPDG, que menciona un derecho que suena más rimbombante de lo que es: el derecho al testamento digital.

El derecho al testamento digital tiene que ver, precisamente, con “el acceso a contenidos gestionados por prestadores de servicios de la sociedad de la información”, o sea, a cuentas de correo electrónico, perfiles en redes sociales y demás. Y la regla viene a ser la misma: se legitima a una serie de personas, que coincide en lo esencial con la lista del artículo 3 (aunque se añaden algunos legitimados más, como el albacea testamentario) para que ejecuten las instrucciones del fallecido y, si estas no existieran, para que decidan sobre los datos. Si los legitimados solicitaran el borrado de los perfiles en redes sociales, este deberá realizarse sin dilación.

Por tanto, el régimen siempre es el mismo, tanto en el artículo 3 (más general) como en el 96 (ceñido a los datos gestionados por prestadores de servicios de la sociedad de la información): se está a las instrucciones del fallecido y, si no existen, deciden los parientes. Cabe entonces preguntarse cómo se dejan esas instrucciones. El artículo 96.1.b LOPDG parece aceptar la posibilidad de que se haga por testamento, pero ¿y si no hay testamento? O ¿y si queremos salirnos del marco del artículo 96? ¿Cómo se redacta ese documento de instrucciones?

Pues… no se sabe. Ambos preceptos, el 3 y el 96, remiten a un Real Decreto que deberá regular cómo se acreditará la validez y la vigencia de estos documentos, y menciona incluso la posibilidad de establecer un sistema de registro. Pero este Real Decreto, hasta donde yo sé, no se ha dictado. Así que no existen mecanismos específicos para demostrar cuál era la voluntad del fallecido.

Antes de la LOPDG, la única norma al respecto era un artículo del Real Decreto que desarrollaba la LOPD, que no mencionaba en absoluto la voluntad de la persona fallecida y que dejaba por tanto al pleno arbitrio a los familiares. Ahora la ley opta por otro criterio,  como hemos visto, pero mientras no diga cómo debe ejecutarse dicho criterio, no será realmente posible ponerlo en vigor. Sí, existen formas de intentarlo (una escritura pública suscrita por el fallecido, el propio testamento, quizás incluso un documento privado), pero todas recaen en un vacío legal y eso hace las cosas más difíciles.

Podemos ponernos a especular cuánto tardaremos en tener el Real Decreto que regule este asunto. Yo digo que diez años.

¿Te ha gustado esta entrada? ¿Quieres ayudar a que este blog siga adelante? Puedes convertirte en mi mecenas en la página de Patreon de Así Habló Cicerón. A cambio podrás leer las entradas antes de que se publiquen, recibirás PDFs con recopilaciones de las mismas y otras recompensas. Si no puedes o no quieres hacer un pago mensual pero aun así sigues queriendo apoyar este proyecto, en esta misma página a la derecha tienes un botón de PayPal para que dones lo que te apetezca. ¡Muchas gracias!