La
protección de datos es una materia que nos permea. España (Europa en general)
es puntera en esa materia, frente a territorios mucho más relajados como EE.UU.
La idea de que los datos personales de cada uno –su nombre, su dirección, sus
condiciones de salud, sus opiniones políticas, su número de teléfono, sus
prácticas sexuales, sus contraseñas de servicios online... todo lo que uno
pueda pensar– son parte del derecho a la intimidad y por ello deben estar
protegidos es relativamente nueva, pero tanto la Unión Europea como el Estado
español la han adoptado como un principio que rige su actuación política y
jurídica.
Todos
recordamos el cachondeo hace unos años cuando entró en vigor en la UE el
Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés), que
todas las webs que manejaban bases de datos se pusieron a mandar correos
electrónicos para pedir el consentimiento expreso a las personas incluidas para
seguir tratando esa información. A pesar de que los reglamentos europeos son de
aplicación directa, España decidió promulgar una nueva Ley Orgánica de
Protección de Datos para sustituir a la antigua y conformarse con el marco
europeo. La norma nueva es la Ley Orgánica de Protección de Datos Personales y
Garantía de los Derechos Digitales (LOPDG), y lleva un añito en vigor.
Este
nuevo marco (el GDPR a nivel europeo, la LOPDG a nivel estatal) blinda los
datos personales. Salvo supuestos justificados, nadie puede acceder a mi información
personal salvo que yo dé una autorización expresa o exista algún interés
público relevante.
Vale.
¿Y si yo me muero? ¿Qué pasa con mis datos personales (sobre todo con mis
cuentas en redes sociales, protegidas por datos tales como la contraseña) si
fallezco sin dar esa autorización, que nadie en el mundo ha dado? ¿Las cuentas
se tienen que quedar ahí para siempre, como fantasmas, eternos testimonios de
que yo una vez existí? ¿Mis familiares y allegados deben soportar encontrarse
con mi cara o con mi foto de perfil en búsquedas aleatorias?
El
GDPR no nos da ninguna respuesta. Su considerando 27 dice que el Reglamento no
se aplica a las personas fallecidas. Los considerandos son la forma en que el
derecho europeo estructura las exposiciones de motivos de las normas. Es decir,
que el considerando 27 no es jurídicamente vinculante, pero sí
sirve para explicar la voluntad del legislador y para interpretar el GDPR. Por
tanto, en principio, cuando el artículo 1 de este Reglamento dice que
“establece las normas relativas a la protección de las personas físicas en lo
que respecta al tratamiento de los datos personales”, hay que entender que se
aplica solo a las personas físicas vivas.
¿Qué
pasa entonces con los datos de las personas fallecidas? Al quedar fuera del
GDPR, ¿pierden toda la protección? ¿Hemos pasado de la sobreprotección de la
legislación europea a la completa libertad para hacer con esos datos lo que se
quiera? ¿Nos hemos ido al extremo opuesto? No exactamente. El considerando 27
del GDPR dice algo más: remite a los distintos Estados para regular el régimen
de los datos personales de los fallecidos. Y España lo ha hecho.
La
LOPDG sostiene el mismo principio que el GDPR, es decir, que no es aplicable a
los datos de personas fallecidas (artículo 2.2.b), pero enseguida
establece qué ha de hacerse con estos datos. El artículo 3 regula varios
supuestos:
- Fallecido mayor de edad que hubiera designado a alguien para gestionar este tema: obviamente, es esta persona o entidad quien debe encargarse de cumplir las instrucciones del fallecido en lo relativo al acceso, rectificación y supresión de datos.
- Fallecido mayor de edad que en vida no hubiera dejado instrucciones al respecto: son sus herederos y sus familiares (aunque no sean herederos) quienes pueden acceder a sus datos personales y, en su caso, solicitar su rectificación o supresión. Es posible que el fallecido prohíba expresamente esta posibilidad, en cuyo caso los datos no se borrarán.
- Fallecimiento de menores o incapacitados: los legitimados para solicitar el acceso, rectificación y supresión de los datos son los representantes legales y el Ministerio Fiscal.
En definitiva, el artículo 3 LOPDG está pensando sobre todo en el borrado de
datos. Cuando alguien muere, mantener su nombre en los archivos y ficheros en
los que estaba ya no tiene ningún sentido.
Sin
embargo, creo que eso no es lo que nos preocupa. Sí, si nos morimos nuestros
herederos pueden dirigirse a la lista de correo de Ortopedias Fernández para
que borren nuestro nombre y no nos manden más publicidad, pero creo que lo que perturba
de este asunto son los perfiles en redes sociales. Y de eso se ocupa, más
específicamente, el artículo 96 LOPDG, que menciona un derecho que suena más
rimbombante de lo que es: el derecho al testamento digital.
El
derecho al testamento digital tiene que ver, precisamente, con “el acceso a
contenidos gestionados por prestadores de servicios de la sociedad de la
información”, o sea, a cuentas de correo electrónico, perfiles en redes
sociales y demás. Y la regla viene a ser la misma: se legitima a una serie de
personas, que coincide en lo esencial con la lista del artículo 3 (aunque se
añaden algunos legitimados más, como el albacea testamentario) para que
ejecuten las instrucciones del fallecido y, si estas no existieran, para que
decidan sobre los datos. Si los legitimados solicitaran el borrado de los
perfiles en redes sociales, este deberá realizarse sin dilación.
Por
tanto, el régimen siempre es el mismo, tanto en el artículo 3 (más general)
como en el 96 (ceñido a los datos gestionados por prestadores de servicios de
la sociedad de la información): se está a las instrucciones del fallecido y, si
no existen, deciden los parientes. Cabe entonces preguntarse cómo se dejan esas
instrucciones. El artículo 96.1.b LOPDG parece aceptar la posibilidad de que se
haga por testamento, pero ¿y si no hay testamento? O ¿y si queremos salirnos
del marco del artículo 96? ¿Cómo se redacta ese documento de instrucciones?
Pues…
no se sabe. Ambos preceptos, el 3 y el 96, remiten a un Real Decreto que deberá
regular cómo se acreditará la validez y la vigencia de estos documentos, y
menciona incluso la posibilidad de establecer un sistema de registro. Pero este
Real Decreto, hasta donde yo sé, no se ha dictado. Así que no existen
mecanismos específicos para demostrar cuál era la voluntad del fallecido.
Antes
de la LOPDG, la única norma al respecto era un artículo del Real Decreto que desarrollaba
la LOPD, que no mencionaba en absoluto la voluntad de la persona fallecida y
que dejaba por tanto al pleno arbitrio a los familiares. Ahora la ley opta por
otro criterio, como hemos visto, pero mientras no diga cómo debe ejecutarse dicho criterio, no será
realmente posible ponerlo en vigor. Sí, existen formas de intentarlo (una
escritura pública suscrita por el fallecido, el propio testamento, quizás
incluso un documento privado), pero todas recaen en un vacío legal y eso hace
las cosas más difíciles.
Podemos
ponernos a especular cuánto tardaremos en tener el Real Decreto que regule este
asunto. Yo digo que diez años.
¿Te ha gustado esta entrada? ¿Quieres ayudar a que este blog siga adelante? Puedes convertirte en mi mecenas en la página de Patreon de Así Habló Cicerón. A cambio podrás leer las entradas antes de que se publiquen, recibirás PDFs con recopilaciones de las mismas y otras recompensas. Si no puedes o no quieres hacer un pago mensual pero aun así sigues queriendo apoyar este proyecto, en esta misma página a la derecha tienes un botón de PayPal para que dones lo que te apetezca. ¡Muchas gracias!
No hay comentarios:
Publicar un comentario