El derecho a la protección de datos personales es reconocido en distintos instrumentos nacionales e internacionales como un derecho fundamental autónomo e independiente que faculta a la persona a disponer de sus datos, controlarlos, decidir cuáles proporcionar a un tercero —sea un particular o el Estado—, y saber quién los posee. Contando además en todo momento con la facultad de acceder, rectificar, cancelar u oponerse a su posesión o uso, nos comenta la maestra Ana Belem Hernández González, especialista en materia de protección de datos, quien abunda en este tema en cuestión.
Además, existen un cúmulo de principios, derechos y garantías establecidos en favor de las personas que puedan verse perjudicadas por el tratamiento de datos de carácter personal a ellas referidos.
Contexto internacional
Para que se llegara a tal reconocimiento, tuvo que haber un proceso largo de evolución que se ha plasmado en distintos instrumentos jurídicos internacionales; entre ellos la Declaración Universal de los Derechos Humanos de 1948, cuyo artículo 12 contempla la protección contra toda injerencia arbitraria tanto en la vida privada como en el domicilio, familia o correspondencia, y ataques contra la honra y reputación de la persona.
Asimismo, el Convenio para la Protección de los Derechos Humanos y de las Libertades Fundamentales de 1950, en su artículo 8, reconoce por primera vez el derecho a la vida privada.
Será el Convenio 108 del Consejo de Europa de 1981, sobre la protección de las personas en lo relativo al tratamiento automatizado de datos de carácter personal, el que establezca el derecho del titular para poder oponerse a la difusión de sus registros.
Con la Directiva 95/46/CE del Parlamento Europeo y del Consejo, del 24 de octubre de 1995, se habla ya del control del individuo sobre sus datos personales. Será con las sentencias 290/2000 y 292/2000 del 30 de noviembre, en las que el Tribunal Constitucional Español señale el alcance del contenido del derecho a la protección de datos personales, fijando así el derecho a la autodeterminación informativa como autónomo e independiente del de la intimidad, cuya conceptualización ya en 1983 el Tribunal Constitucional Alemán había fijado; y que ha sido entendido como la libertad de los individuos de controlar la forma en la que otros utilizan su información.
Como se aprecia, Europa ha sido un referente importante que Latinoamérica ha tomado como estándar para la adecuación en sus distintas legislaciones nacionales del derecho a la protección de datos personales; reconocido también en sus textos constitucionales como en el caso de México.
Es importante señalar que tal derecho se ha entendido incluso como una prolongación del propio derecho a la vida, y por tanto con una proyección en la dignidad del ser humano; extendiendo su protección a otros bienes y derechos de la persona.
Algunos autores sostienen que su finalidad es asegurar el acceso a las bases de datos y demás registros que se tengan sobre alguien, determinando así la posibilidad de suprimir, modificar, rectificar o actualizar la información que allí se contenga.
Por su parte Gozaíni considera errónea tal afirmación, y señala que la finalidad del derecho de protección de datos personales no se encuentra únicamente encaminada a la posibilidad de controlar la información propia en poder de otros, pues sería una visión muy acotada de ese derecho.
Por el contrario, sostiene que el derecho de protección de datos personales tiene una proyección mayor hacia otros fines inconmensurables: la intimidad, el honor, la propia imagen, la fama o la reputación, la confidencialidad, la reserva, así como la dignidad personal.
Será en esa medida en la que cobre importancia el concepto de la autodeterminación informativa, referida justamente al poder que tiene una persona de conocer o tener acceso a su información, a manipularla y controlarla, decidiendo cuándo, cómo y en qué medida la quiere transmitir.
Contexto local
En México, el artículo 16 constitucional párrafo segundo, reconoce el derecho de toda persona a la protección de sus datos personales, a acceder a ellos, rectificarlos, cancelarlos u oponerse a su uso.
No obstante, cuando desaparece ese derecho o capacidad de decisión en relación con la disposición de los datos personales por motivos de extinción de la personalidad; es decir, en el momento en que alguien muere, surgen algunas interrogantes.
Entre ellas el cuestionamiento sobre si el interés jurídico sobre los datos personales sigue subsistiendo, al existir derechos que tienen vigencia posterior a la muerte; pues más allá de la existencia hay una tutela sobre derechos fuera del patrimonio, tales como la fama, el buen nombre, la reputación, estimación personal y social, que constituye lo que en la doctrina española se conoce como personalidad pretérita.
Tales derechos pueden ser tutelados por quien se encuentre legitimado para ello, con el objeto de protegerlos de alguna intromisión; por ejemplo, cuando la familia quiere asegurar o proteger la memoria de su ser querido.
Otro motivo de tutela de los datos personales de un fallecido puede serlo el impacto en la propia persona que los tutela: desde el cobro de algún seguro de vida en el que se le requiere al beneficiario el informe o expediente médico del fallecido para poderlo hacer efectivo; pasando por el reclamo de prestaciones laborales o de seguridad social, hasta casos como en el que debido al interés histórico, científico o social de la persona fallecida, se requiere ejercer el llamado derecho al olvido.
En estas hipótesis –solo por citar algunos ejemplos– el tema se vuelve complejo, ya sea porque nos encontramos ante supuestos que escapan al común de la regulación que existe en la materia, o porque como en el caso mexicano, dicha regulación se presenta dispar para el sector privado y para el público.
Lo que se hace evidente cuando acudimos a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP –DOF del 5 de julio de 2010–) es que esta no prevé el caso de los datos de personas fallecidas, lo cual sí hace la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (LGPDPPSO –DOF del 23 de enero de 2017–) de reciente publicación.
Por ello, en el primer caso, no se puede tener acceso, ni pedir la rectificación o la cancelación, ni oponerse al uso de aquella información concerniente a una persona fallecida que se encuentre en posesión de particulares. Lo cual ocurre por lo general, ante el cobro de seguros, o cuando se pide acceso al expediente clínico de algún familiar fallecido en un hospital privado.
Sin embargo, en el caso del sector público, la LGPDPPSO indica las bases, principios y procedimientos para garantizar el derecho que tiene toda persona a la protección de sus datos personales que se encuentran en posesión de cualquier autoridad, entidad, órgano y organismo de los poderes ejecutivo, legislativo y judicial, órganos autónomos, partidos políticos, fideicomisos y fondos públicos, en el ámbito federal, estatal o municipal.
En el caso específico, el Capítulo II titulado Del ejercicio de los derechos de Acceso, Rectificación, Cancelación y Oposición (ARCO), en su artículo 49 párrafo cuarto, sí prevé el supuesto referente a los datos de personas fallecidas tal y como se puede apreciar en la siguiente transcripción:
“Artículo 49. […]
Tratándose de datos personales concernientes a personas fallecidas, la persona que acredite tener un interés jurídico, de conformidad con las leyes aplicables, podrá ejercer los derechos que le confiere el presente Capítulo, siempre que el titular de los derechos hubiere expresado fehacientemente su voluntad en tal sentido o que exista un mandato judicial para dicho efecto.”
En este sentido, quien acredite tener un interés jurídico, siempre que el titular de esos datos –la persona fallecida– haya expresado fehacientemente su voluntad para que alguien más ejerza los derechos ARCO respecto de sus datos personales o exista un mandato judicial que así lo reconozca, lo puede hacer.
Esto ha significado un avance en la materia en relación con los datos personales de quien ha fallecido; no obstante, la instrumentación y conocimiento de la normativa no ha tenido un gran avance, lo cual puede responder al hecho de ser una ley de creación reciente, y con ello se ha considerado que sus requisitos representan un obstáculo al ejercicio de un derecho que por antonomasia corresponde a su titular; pero que tiene efectos jurídicos aun después de su muerte.
Sobre todo, por el hecho de requerir la expresión de la voluntad de la persona que falleció o la existencia de un mandato judicial; pues tal y como lo señala la disposición citada, los derechos ARCO respecto de una persona fallecida, pueden ser ejercidos por quien acredite tener un interés jurídico. Pero además el titular de esos datos debió haber expresado su voluntad de manera fehaciente u otorgado un mandato judicial para ello, lo cual se ha catalogado como un exceso o una carga para poder hacer efectivos tales derechos.
Los Lineamientos Generales de Protección de Datos Personales para el Sector Público5, desarrollan de forma más precisa algunos aspectos puntuales de la LGPDPPSO; incluido el caso particular de la protección de datos de personas fallecidas, y en relación con el interés jurídico, señalan lo que debe entenderse por este. Establecen que en caso de que la persona fallecida no haya expresado su voluntad o no exista un mandato judicial para tal efecto, bastará con que se acredite el interés jurídico de la persona que pretende ejercer los derechos ARCO.
Según lo previsto en el artículo 75 de dichos lineamientos, se entiende por interés jurídico aquel que tiene una persona física que con motivo del fallecimiento del titular pretende ejercer los derechos ARCO para el reconocimiento de derechos sucesorios; atendiendo a la relación de parentesco por consanguinidad o afinidad que haya tenido con el titular. Tal interés lo puede alegar el albacea, herederos, legatarios, familiares en línea recta sin limitación de grado, y en línea colateral hasta el cuarto grado; lo cual debe acreditarse con la copia simple del documento delegatorio reconocido por la fe del notario público o suscrito por dos testigos.
Cabe destacar que en la práctica, algunos operadores jurídicos consideran que tales lineamientos no son interpretativos de la mencionada LGPDPPSO, y que no tienen un carácter obligatorio, al no ser emitidos por el poder legislativo y no estar al mismo nivel jerárquico de la ley aplicable; por ello, no pueden ir más allá del propio texto de la ley especial (LGPDPPSO).
Sin embargo, resulta relevante el precedente que emitió el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) a través de la Resolución del Recurso de Revisión RRD 310/18; en el que ordenó a un hospital público entregar el expediente médico de una persona fallecida, al padre de esta, aun cuando no existía el mandato judicial que ordena el artículo 49 de la LGPDPPSO, ni la manifestación expresa de la voluntad por parte de la fallecida.
Lo anterior fue determinado por el Pleno del INAI con base en una interpretación extensiva de la LGPDPPSO, donde el órgano garante consideró que la intención del legislador fue la de tutelar el ejercicio de los derechos ARCO de las personas fallecidas en favor de quienes tuvieran derecho a ello; ya sea por parentesco por consanguinidad o afinidad.
De acuerdo al principio de progresividad en materia de derechos humanos, se estimó que la garantía del derecho a la protección de datos personales debe interpretarse de forma amplia y no restrictiva de acuerdo a las circunstancias del caso, buscando la maximización en el ejercicio de los derechos.
Por esa razón, se consideró que se contaba con legitimación para solicitar el expediente clínico, en virtud de que se acreditó el vínculo de parentesco de consanguinidad en línea recta ascendente, además de sostener que la protección de los datos personales no se pierde con la muerte de su titular.
En dicha resolución se determinó tutelar el derecho a saber sobre las causas de la muerte y sus posibles implicaciones, en favor de los familiares; lo cual se logró a través del ejercicio de uno de los derechos ARCO, al otorgar al padre de la fallecida, el acceso al expediente médico de esta.
Al respecto, la resolución hace referencia al concepto de personalidad pretérita, entendida como la trascendencia de la existencia de la persona que obliga a que se proteja su memoria y el recuerdo, pues esta no solo se puede apreciar desde el punto de vista corporal, sino que también comprende bienes inmateriales en los que la muerte no incide de manera tan directa, como en el caso de los datos personales.
En la misma resolución se hace alusión al criterio jurisprudencial del Consejo para la Transparencia en Chile, quien ya se ha pronunciado sobre datos de personas fallecidas y considera que la memoria de estas constituye una prolongación de su personalidad que debe ser protegida; en consecuencia, quienes se encargan de esa protección o tutela pueden determinar qué información desean apartar del conocimiento de los demás, y cómo manejarla6.
Cabe destacar que existen otros derechos que se pueden ejercer a partir de la muerte del titular de los datos; como los relativos a derechos sucesorios, beneficios de seguros de vida, prestaciones generadas ante instituciones de seguridad social, e incluso la propia tutela de la memoria del finado.
Esto quiere decir que, en efecto, la protección de los datos personales no se pierde con la muerte de la persona; y más aún, las consecuencias o efectos que los mismos pueden seguir causando generan un impacto tal, que reclaman una verdadera protección.
Lo cual pone de manifiesto que la protección de datos personales es un derecho que de ser ejercido, habilita otros derechos que se relacionan con él.
En este sentido, se advierte que los beneficiarios de instituciones de seguridad social, como el Instituto Mexicano del Seguro Social (IMSS) o el Instituto de Seguridad y Servicios Sociales de los Trabajadores del Estado (ISSSTE), pueden solicitar el acceso, rectificación, cancelación u oposición respecto de los datos personales de sus familiares fallecidos, prolongándose la protección de los derechos de quienes en vida adquirieron determinadas obligaciones o prestaciones.
Asimismo, los deudos de personas fallecidas pueden ejercer derechos ARCO respecto de documentos que obren en instituciones públicas relacionados con cuestiones laborales, como puede ser la hoja única de servicios, información sobre seguros de vida, entre otros.
Conclusión
No se debe perder de vista la importancia del tema, pues como se ha hecho evidente, la protección de los datos personales tiene una repercusión aun después de la muerte de su titular; que a pesar de estar regulado por la LGPDPPSO, requiere de la determinación de criterios que tomen en cuenta el caso del sector privado que hasta hoy no ha incorporado este supuesto en su legislación.
Al respecto, la LFPDPPP no prevé el caso de datos de fallecidos; lo cual ha significado un obstáculo para quienes en algún momento han recurrido a solicitar el acceso, la rectificación, cancelación u oposición de la información personal de quien ha dejado de existir, o ante los hospitales privados para poder cobrar algún seguro de vida o para conocer el expediente clínico del fallecido.
Lo que ha impedido que el órgano garante, principal promotor y defensor del derecho de protección de datos personales, pueda pronunciarse con respecto a este tipo de sucesos que se han presentado desde que la ley de la materia aplicada al sector privado entró en vigor.
A pesar de que ya se ha dado el paso de legislar tal supuesto en el sector público, siguen existiendo problemas al momento de aplicación de la ley, pues como se mencionó, para algunos resulta excesiva la exigencia de acreditación de la expresión de la voluntad de la persona antes de morir, con respecto a la tutela de sus datos personales.
Es relevante señalar que, en nuestra consideración, el derecho de protección de datos personales no se pierde con la muerte de la persona; lo que se pierde es la posibilidad de que el titular ejerza ese derecho. Por ello, quienes puedan acreditar algún interés jurídico, pueden ejercer los derechos ARCO; pues aun después de la muerte, los datos siguen siendo susceptibles de ser protegidos, al impactar en la memoria del fallecido por un lado, y al tener una relevancia jurídica para los familiares o personas que se encuentran a su alrededor; datos personales que incluso resultan necesarios para ejercer determinadas acciones legales, como en el caso del cobro de algún seguro por parte del beneficiario, u otros tantos ejemplos que ya hemos mencionado.
A pesar de que en el recurso de revisión resuelto por el INAI se optó por acudir a la interpretación extensiva de la ley aplicada al sector público, la protección de datos de personas fallecidas reclama su regulación en el sector privado; lo cual puede significar un paso en la homologación de criterios que faciliten la aplicación de ambas leyes, para casos futuros.
