Los datos personales de los fallecidos, ¿son objeto de protección?
Julián López Martínez
Director de Sepín Administrativo. Abogado
A estas alturas, a nadie se le escapa que es inminente (próximo 25 de mayo de 2018) la aplicación en España del Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la Protección de las Personas Físicas en lo que respecta al Tratamiento de Datos Personales y a la Libre Circulación de estos (SP/LEG/19835).
Seguramente por ello, se desprende de los entornos profesionales que estamos en este momento temporal en el que, fundamentalmente, las empresas muestran preocupación -por encima incluso de la ya habitual- por adoptar las medidas necesarias para garantizar la protección de los datos por ellas tratadas, asegurándose el cumplimiento de la normativa y tratando de evitar fuertes sanciones económicas.
Aprovechando esta coyuntura temporal, he considerado que pudiera resultar de interés ocupar las escasas líneas que componen este post para aludir a una cuestión que habitualmente pasa desapercibida: el tratamiento de datos de personas fallecidas. ¿Son objeto de protección los datos personales de las personas fallecidas?
Para abordar cómo se regula esta cuestión y tratar de contestar a la pregunta recién planteada, voy a distinguir tres cuerpos o grupos normativos: 1.º La actual normativa vigente en España, compuesta por la Ley Orgánica de 1995 y su Reglamento de desarrollo, del año 2007. 2.º El ya citado Reglamento UE 2016/679, de Protección de Datos. 3.º La futura Ley Orgánica de Protección de Datos de Carácter Personal.
1.º Los datos de los fallecidos en la actual normativa interna
La normativa en vigor en España en la actualidad viene constituida por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (SP/LEG/3266) y por el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (SP/LEG/3943).
La primera de ellas, la Ley Orgánica no hace ningún tipo de referencia a la cuestión que nos ocupa; por su parte, el Reglamento de desarrollo del año 2007 sí contiene una previsión específica al respecto en su art. 2.4:
“Este reglamento no será de aplicación a los datos referidos a personas fallecidas. No obstante, las personas vinculadas al fallecido, por razones familiares o análogas, podrán dirigirse a los responsables de los ficheros o tratamientos que contengan datos de este con la finalidad de notificar el óbito, aportando acreditación suficiente del mismo, y solicitar, cuando hubiere lugar a ello, la cancelación de los datos”.
El precepto transcrito no deja lugar a dudas: la normativa de protección de datos no resulta de aplicación al tratamiento de los datos de los muertos. Eso sí, la norma Reglamentaria contempla la posibilidad de que sus causantes (en concreto, las “personas vinculadas al fallecido, por razones familiares o análogas”) puedan comunicar la defunción y, en su caso, solicitar la cancelación de los datos.
En este sentido, el Gabinete Jurídico de la AEPD emitió su Informe 61/2008 (SP/DOCT/70753) en el que tras remitirse al art. 32 del Código Civil, según el cual, “la personalidad civil se extingue por la muerte de las personas”, concluye la extinción, con la muerte, de los derechos inherentes a la personalidad. En sus conclusiones, el Gabinete Jurídico de la Agencia afirmaba con absoluta firmeza que las personas fallecidas no son titulares del derecho a la protección de datos de carácter personal y justificaba la previsión del transcrito art. 2.4 del Reglamento, en la necesidad de conciliar el carácter personalísimo del ejercicio de los derechos de acceso, rectificación, cancelación y oposición con la posibilidad de que el responsable conozca efectivamente el hecho mismo del óbito y pueda proceder, en su caso, a la cancelación de los datos.
Más allá de ese derecho a comunicar el fallecimiento de un familiar y solicitar al responsable del tratamiento la cancelación de sus datos, no existía otra actuación posible. Es por ello que, en algunos casos, en los que se han presentado denuncias ante la AEPD por vulneración de la normativa de protección de datos, la Agencia ha dictado resoluciones de archivo, algunas de ellas posteriormente confirmadas por la Sala de lo Contencioso-Administrativo de la Audiencia Nacional. A modo de ejemplo, podemos citar la Sentencia de 3 de mayo de 2017 (rec. 1764/2015) –SP/SENT/909084–:
«La actora viene a poner realmente el acento en la demanda en que Sanitas ha efectuado un tratamiento de los datos personales del fallecido conculcando los principios y garantías del artículo 4.4 LOPD, pues los siguió tratando, en lugar de darlos de baja, manteniéndole como tomador de una póliza de seguro de salud pese a haber fallecido, reclamando su pago y considera que dicha conducta que integra una infracción grave del art. 44.3 c) LOPD y que la AEPD ha desatendido su obligación de velar por el cumplimiento de la normativa de protección de datos prevista en el art. 37 LOPD, pues debía haber iniciado un expediente sancionador, lo que no ha hecho.
Sin embargo, considera la Sala que la AEPD no ha desatendido ninguna obligación, por cuanto como razona la resolución impugnada no cabe actuación sancionadora por supuesto incumplimiento del art. 4.4 LOPD en relación con el tratamiento de los datos de carácter personal de un fallecido, pese a que los mismos debieron haber sido cancelados en su día, pues como ya se ha dicho, la normativa de protección de datos deja fuera de su ámbito de aplicación dichos tratamientos.
Cosa distinta, es que si pese a lo manifestado por Sanitas en el correo de 17 de abril de 2015, se persistiera en el tratamiento de los datos del fallecido pueda solicitar el recurrente a la AEPD el inicio de un procedimiento de Tutela de Derechos, que no sancionador, para la cancelación de los citados datos, lo que resulta coherente y no es contradictorio con lo sostenido en el informe jurídico 61/2008 de la AEPD».
2.º Los datos de los fallecidos en el Reglamento UE
El considerando 27 del Reglamento UE que se aplicará a partir del 25 de mayo de 2018 afirma que “El presente Reglamento no se aplica a la protección de datos personales de personas fallecidas. Los Estados miembros son competentes para establecer normas relativas al tratamiento de los datos personales de estas”.
Esta exclusión del ámbito de aplicación viene ratificada en los Considerandos 158 (“El presente Reglamento también debe aplicarse al tratamiento de datos personales realizado con fines de archivo, teniendo presente que no debe ser de aplicación a personas fallecidas…” y 160 “El presente Reglamento debe aplicarse asimismo al tratamiento datos personales que se realiza con fines de investigación histórica. Esto incluye asimismo la investigación histórica y la investigación para fines genealógicos, teniendo en cuenta que el presente Reglamento no es de aplicación a personas fallecidas”.
Así pues, la norma que ahora ocupa y preocupa a todos los responsables y encargados de tratamiento, el Reglamento europeo, no resultará de aplicación al tratamiento de datos de personas fallecidas. No obstante, este es uno de los aspectos en el que las instituciones comunitarias otorgan libertad y margen de actuación a los Estados miembros para establecer su propia ordenación interna, como admitía el citado considerando vigésimo séptimo.
3.º La regulación en la futura LOPD
En España se encuentra actualmente en tramitación parlamentaria el Proyecto de la nueva Ley Orgánica de Protección de Datos, siendo más que probable que la norma no esté aprobada antes del 25 de mayo de 2018.
No obstante, el texto del proyecto que entró al Congreso hacia uso de esa facultad que concedía el Reglamento comunitario “para establecer normas relativas al tratamiento de los datos personales de estas (las personas fallecidas)».
En el proyecto, a cuyo contenido puede acceder a través de la web del Congreso de los Diputados y, por supuesto, también, desde la web de Sepín especializada en Protección de Datos, se prevé una mayor regulación en cuanto a los derechos y obligaciones concernientes al tratamiento de los datos de fallecidos. En concreto, el art. 3 de la futura norma, salvo modificación por vía de enmienda en el Congreso o en el Senado, será el siguiente:
“Artículo 3. Datos de las personas fallecidas.
1. Los herederos de una persona fallecida que acrediten tal condición mediante cualquier medio válido conforme a Derecho, podrán dirigirse al responsable o encargado del tratamiento al objeto de solicitar el acceso a los datos personales de aquella y, en su caso, su rectificación o supresión. Como excepción, los herederos no podrán acceder a los datos del causante, ni solicitar su rectificación o supresión, cuando la persona fallecida lo hubiese prohibido expresamente o así lo establezca una ley.
2. El albacea testamentario así como aquella persona o institución a la que el fallecido hubiese designado expresamente para ello también podrá solicitar, con arreglo a las instrucciones recibidas, el acceso a los datos personales de éste y, en su caso su rectificación o supresión. Mediante real decreto se establecerán los requisitos y condiciones para acreditar la validez y vigencia de estos mandatos e instrucciones y, en su caso, el registro de los mismos.
3. En caso de fallecimiento de menores, estas facultades podrán ejercerse también por sus representantes legales o, en el marco de sus competencias, por el Ministerio Fiscal, que podrá actuar de oficio o a instancia de cualquier persona física o jurídica interesada. En caso de fallecimiento de personas con discapacidad, estas facultades también podrán ejercerse, además de por quienes señala el párrafo anterior, por quienes hubiesen sido designados para el ejercicio de funciones de apoyo”.