La protección de datos de personas fallecidas es un debate abierto en el mundo de la protección de datos. La cuestión de lo que sucede con los datos personales de la persona fallecida y la privacidad de las personas después de la muerte sigue sin estar clara y sin resolver desde una perspectiva legal y reglamentaria. Por lo tanto, se han desarrollado varias teorías para responder a la pregunta de si los datos personales deben protegerse después de la muerte de un interesado.
Podríamos preguntarnos, ¿por qué preocuparse por los datos personales de los muertos cuando no hemos cubierto adecuadamente a los vivos?
La identidad digital de los interesados persiste mucho después de su muerte biológica. Con el crecimiento de estas identidades digitales surgió el desarrollo del concepto de “nativos digitales” y “internautas” o “ciudadanos de Internet”.
El incremento de las nuevas tecnologías ha originado un crecimiento de los “nativos digitales”, junto con el almacenamiento en línea de una gran cantidad de activos digitales y datos personales.
El número de nativos digitales en todo el mundo es significativo y un número importante de ellos muere todos los días. Por lo tanto, no se puede ignorar el efecto, la importancia y la protección de sus identidades digitales.
El marco legal actual para el derecho fundamental a la privacidad parece inadecuado para hacer frente a la protección de datos de una persona fallecida.
El Reglamento general de protección de datos de la UE parece aplicarse solo a los interesados vivos. Establece específicamente que no se aplica a esa categoría de personas y los estados pueden legislar para proteger los datos personales de los fallecidos.
Con la escasez en la protección legislativa de los derechos de protección de datos de las personas fallecidas, en este artículo, intentaremos examinar los diversos marcos regulatorios para la protección de datos y las orientaciones que tienen sobre los derechos de protección de datos de personas fallecidas.
En este artículo hablamos de:
La protección de datos de personas fallecidas según el RGPD y la LOPDGDD
La protección de datos de los fallecidos es una cuestión ciertamente polémica. Pero, ¿Qué dicen en Reglamento europeo de protección de datos y la ley española de protección de datos al respecto?
RGPD
El Reglamento europeo no regula directamente la protección de datos de las personas fallecidas. En concreto, el artículo 27 indica que el RGPD no resulta de aplicación en lo que respecta a los datos personales de fallecidos.
LOPDGDD
La Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) no contradice lo establecido en el RGPD. Por tanto, excluye su aplicabilidad a los datos de las personas fallecidas, pero regula en su Artículo 3 ciertas situaciones en las que podrá permitirse el tratamiento de datos de las personas fallecidas.
Del mismo modo, la LOPDGDD también indica cómo obtener los datos de personas fallecidas. En este sentido, las personas vinculadas al fallecido (familiares, herederos o de hecho) podrán dirigirse al responsable o encargado del tratamiento con el objeto de solicitar:
- El acceso a los datos personales del fallecido
- La rectificación o supresión de los mismos
Eso también pueden solicitarlo las personas o instituciones designadas expresamente por el fallecido para ello.
Cuando el fallecido sea menor de edad, podrá realizarse este tratamiento en los supuestos indicados anteriormente, además por sus representantes legales y/o el Ministerio Fiscal quien actuará de oficio o a instancia de cualquier persona física o jurídica interesada.
En caso de ser una persona con discapacidad, pueden realizar esas solicitudes las personas designadas como sus representantes, siempre que esas facultades se encuentren incluidas en las medidas de apoyo prestadas por el designado.
El titular de los datos personales puede establecer prohibiciones expresas para el tratamiento, no autorizando a los familiares y/o herederos que estime oportuno el ejercicio de los derechos de acceso, rectificación y/o supresión. Este tipo de prohibición también podrá aplicarse en caso de que así lo disponga una ley.
El fallecido puede prohibir expresamente el tratamiento de sus datos. Pero no podrá nunca prohibir el derecho que corresponde a sus herederos de acceder a los datos patrimoniales del causante sobre su herencia.
Derechos de protección de datos de personas fallecidas
Muchas reglas legales sugieren que los muertos no tienen derechos. Los muertos no pueden casarse, divorciarse o votar. El albacea de una herencia no puede demandar por difamación o calumnia de una persona fallecida. Y el derecho a la privacidad médica se erosiona sustancialmente con la muerte, lo que brinda a los miembros de la familia la capacidad de obtener información confidencial sobre las condiciones médicas de un difunto.
Por otro lado, varias instituciones legales han pasado un tiempo considerable tratando de proteger los derechos de los muertos. Como resultado, la mayoría de las distribuciones testamentarias, solicitudes de entierro y designaciones de donación de órganos son válidas incluso si contradicen las preferencias de los vivos.
La cita anterior representa en gran medida la posición actual con respecto a los derechos post mortem. Sin embargo, este no es siempre el caso.
El concepto de privacidad post mortem sugiere que la protección de la información personal debería sobrevivir a los interesados y subsistir incluso después de la muerte. Esta teoría no está exenta de problemas.
Por ejemplo, algunos estudiosos opinan que cualquier lesión a la privacidad del fallecido no tiene ningún efecto sobre él, que es básicamente una “lesión sin efecto” ya que la víctima no se ve afectada por el mal. Además, después de la muerte, la persona fallecida ya no puede regular el procesamiento de sus datos personales o la gestión de su identidad digital.
Mercantilización vs, propiedad de los datos personales
Esta teoría de la mercantilización de datos aboga por el concepto de “libertad de datos” y la mercantilización de datos personales de personas fallecidas.
Esto significa que los responsables del tratamiento de datos conservan el acceso y el derecho a procesar los datos de dichas personas. Esto puede describirse como un enfoque contractual para la privacidad post mortem.
Otro método para la protección de datos de personas fallecidas es a través del derecho contractual. Cuando una persona crea una cuenta con un proveedor de servicios, tiene que aceptar los “Términos de servicio” del proveedor haciendo clic afirmativamente. Muchos de estos acuerdos se utilizan generalmente cuando los usuarios se registran para usar un servicio en línea, y dichos acuerdos generalmente se mantienen en los tribunales.
Por ejemplo: Facebook conmemora las páginas de perfil de los usuarios fallecidos. En otras palabras, convertirá la página de Facebook de un usuario fallecido en un monumento en línea. Los usuarios aceptan esta política cuando se registran para obtener una cuenta.
Aunque Facebook no proporcionará los detalles de inicio de sesión de la cuenta del usuario, la mayoría del contenido que un usuario fallecido había compartido previamente (por ejemplo, fotos, publicaciones) permanecerá visible. Y, aunque la mayoría de los sitios web de Internet permiten que solo los miembros de la familia cancelen la cuenta de un usuario fallecido, cualquier persona, independientemente de su relación con la persona fallecida, puede solicitar la memorización del perfil de una persona fallecida, asegurando que el perfil ser preservado y permanecer visible mientras Facebook exista.
Sin embargo, este método ha demostrado ser inadecuado, ya que los términos de los acuerdos de servicio finalmente ponen la privacidad de una persona fallecida a merced de un proveedor de servicios que puede ignorar los deseos del fallecido con respecto a cómo se trata su privacidad después de la muerte y sin que el usuario, joven o viejo, esté vivo
Además, debido a que estos acuerdos están redactados con tanta firmeza a favor del proveedor del servicio, los derechos de privacidad del usuario fallecido son aún más vulnerables. La información digital del fallecido regida por estos acuerdos de servicio es a menudo muy personal y sensible, lo que hace que proteger los derechos de privacidad del fallecido sea tan importante.
Los argumentos anteriores y muchos más han generado muchas preocupaciones entre los académicos de privacidad.
Algunos de estos problemas incluyen el daño moral potencial a sus recuerdos, la explotación del dolor de los parientes vivos, y el hecho de que los datos personales de personas fallecidas también pueden incluir datos personales de sus familiares, por ejemplo, datos de salud o genéticos.
Eliminación o anonimización
Se puede argumentar que, dado que la muerte termina un contacto, la muerte de un interesado debe poner fin al procesamiento de sus datos.
Por lo tanto, en caso de fallecimiento, los datos personales de un interesado deben eliminarse o anonimizarse. Esto también puede hacerse a la inversa al afirmar que el controlador de datos al fallecer un interesado tiene control ilimitado de los datos personales del fallecido, ya que la muerte puso fin a los derechos del fallecido y también a las obligaciones contractuales del Controlador / Procesador de datos .
Sin embargo, la regla de que la muerte termina las obligaciones contractuales no es absoluta y tiene varias excepciones.
El modelo de derechos de propiedad se basa en la presunción de que los datos personales en la práctica ya son, o deberían ser considerados, como un activo o una mercancía.
La UE con el RGPD se inclina hacia la “propiedad” de los datos personales en gran parte debido a la introducción del derecho al olvido, que se asemeja a las características esenciales de la propiedad: el derecho a destruir.
Además, el derecho a la portabilidad de datos que está recogido en el RGPD también se inclina hacia un régimen de derechos de propiedad para la protección de datos, ya que permite a las personas ejercer un mayor control sobre sus datos al poder moverlos de una plataforma a otra.
El enfoque de cuasi propiedad
La mercantilización de los datos personales y los argumentos de propiedad son dos extremos que plantean sus propios problemas únicos. Por lo tanto, se introdujo un escenario intermedio llamado “cuasi-propiedad” o “herencia de datos personales”.
La cuasi-propiedad es un concepto híbrido elaborado en sistemas legales de derecho consuetudinario para un grupo heterogéneo de “bienes”. En particular, la cuasi propiedad es una forma de protección de propiedad “relacional”, “contextual” y “similar a la responsabilidad” elaborada por la jurisprudencia de los Estados Unidos para proteger cadáveres, información periodística, secretos comerciales, etc.
En términos más específicos, cuasi -la propiedad no es un derecho absoluto sobre los bienes, sino una protección contextual contra las apropiaciones indebidas ilegítimas de categorías especiales de bienes (bienes intangibles o bienes no comerciales).
Esta teoría presenta los datos personales como un activo, una propiedad intangible al igual que los derechos de autor que se pueden heredar como parte del patrimonio del difunto.
La UE y otras leyes nacionales de Protección de datos
Varios Estados miembros de la UE (Bulgaria, República Checa, Dinamarca, Estonia, Francia, Italia, Letonia, Lituania, Portugal, Eslovaquia, Eslovenia y España) han establecido un Reglamento para la protección de datos post mortem en diferentes formas, mientras que pocos estados miembros excluyen explícitamente esta protección.
Bulgaria, por ejemplo, reconoce que “en caso de fallecimiento de la persona física, sus derechos serán ejercidos por sus herederos”, extendiendo así el derecho de acceso a los datos personales no solo a los titulares, también a su familia.
En cuanto al Reglamento General de Protección de Datos (RGPD), no regula explícitamente la protección de datos post mortem. En particular, establece lo siguiente: “este Reglamento no se aplica a los datos personales de personas fallecidas. Los Estados miembros pueden establecer normas sobre el procesamiento de datos personales de personas fallecidas”.
Vamos a analizar cómo se regula la protección de datos de los difuntos en algunos países de la UE.
Estonia
La Ley de Protección de Datos de Estonia va más allá, al adoptar un modelo similar a la propiedad intelectual (o cuasi-propiedad) y dar una considerable cantidad de libertad a una persona para decidir sobre el uso de datos personales en el caso de procesar datos personales con el consentimiento de un sujeto de datos.
La Ley establece: “El consentimiento de un interesado será válido durante la vida del interesado y treinta años después de la muerte del interesado, a menos que el interesado haya decidido lo contrario”. Además, autoriza a ciertos miembros de la familia a permitir el procesamiento de datos personales después de la muerte del interesado, pero limita este período a treinta años después de la muerte.
Italia
El Código de protección de datos italiano también prevé la protección de datos del difunto. Establece que “cuando esté relacionado con los datos personales de un fallecido, puede ser ejercido por cualquier entidad que esté interesada en él o que actúe para proteger a un sujeto de datos o por razones familiares que merecen protección”. El enfoque italiano es muy amplio y se ha definido como un modelo “kantiano”.
Francia
Según la nueva ley francesa que cumple con el RGPD, la protección de los datos de los sujetos fallecidos está profundamente regulada. La Ley otorga al sujeto derechos para tomar decisiones preventivas sobre el procesamiento de sus datos personales post mortem. Esa persona también puede delegar estos derechos a otra persona para ejercerlos activamente después de la muerte del interesado.
También proporciona escenarios en los que el difunto no dio ninguna directiva o delegó a ninguna persona sus derechos de protección de datos.
Otros países
Por el contrario, la Ley de Protección de Datos de Suecia se refiere explícitamente a los datos personales de los vivos, definiendo los datos personales como “todo tipo de información que directa o indirectamente puede ser referida a una persona física que está viva”.
Del mismo modo, la Ley de Protección de Datos del Reino Unido define los datos personales como “datos relacionados con un individuo vivo”.
Otros Estados miembros también utilizan predominantemente el término “persona física”; entendido generalmente como una persona con capacidad legal, comenzando con el nacimiento y terminando con su muerte.
Conclusión
En la era de la “e-inmortalidad”, se ha vuelto urgente y necesario proteger los derechos a la privacidad y la protección de datos del difunto. Este artículo solo intenta iniciar la discusión sobre la privacidad post mortem y los datos personales del difunto. También señala algunos posibles puntos de controversia dentro de este espacio, discutiendo las diversas teorías sobre la privacidad Post Mortem.
Es evidente que ni el régimen de mercantilización ni el de propiedad han demostrado ser adecuados en la protección de la privacidad post mortem.
Una adecuada solución sería incluir los datos del fallecido dentro de la definición de datos personales en las legislaciones de protección de datos. Además, debe establecerse una protección durante un tiempo limitado, con apropiadas garantías sobre otros intereses relevantes. De esta forma, el régimen estaría adecuadamente protegido bajo el mismo marco que otros conceptos relacionados con la protección de datos y la privacidad.