La normativa de protecció de dades s’aplica a les dades de les persones difuntes?
Per donar resposta a aquesta pregunta, cal partir de la premissa que el dret fonamental a la protecció de dades personals és un dret personalíssim, del qual és titular la persona física a qui es refereixen les dades.
L’article 32 del Codi civil disposa que la personalitat civil s’extingeix per la mort de les persones. En conseqüència, el dret a la protecció de dades existeix mentre la persona titular es manté en vida, i el dret s’extingeix amb la mort de la persona.
El Reglament General de Protecció de Dades (RGPD) s’ha alineat amb aquest posicionament, com ja havia fet la Directiva 95/46/CE, en aplicació de la qual generalment els estats havien entès que les seves determinacions no s’aplicaven a les dades de persones difuntes. Val a dir que en l’articulat del RGPD no es fa cap menció al tractament de les dades de persones finades, però sí que s’hi refereix expressament en els considerants.
En efecte, l’article 2 del RGPD en regula l'àmbit d’aplicació material, i en l’apartat segon s’enumeren diversos tractaments de dades personals als quals no s’aplica el RGPD (les activitats no compreses en l’àmbit d’aplicació del dret de la Unió, els efectuats per persones físiques en exercici d’activitats exclusivament personals o domèstiques, etc.), sense que en aquesta llista de tractaments exclosos es mencioni el supòsit del tractament de dades de persones difuntes.
En canvi, en el considerant 27 del RGPD s’indica de manera clara que “El presente Reglamento no se aplica a la protección de datos personales de persones fallecidas”. I tot seguit obre la porta que els estats regulin el tractament de dades de persones difuntes: “Los Estados miembros son competentes para establecer normas relativas al tratamiento de los datos personales de éstas.” Aquest criteri d’excloure l’aplicació del RGPD respecte de les dades de persones difuntes es reitera en els considerants 158 i 160.
L’opció que brinda el RGPD als estats membres de regular específicament el tractament de dades de persones difuntes ha estat aprofitada pel legislador estatal en la Llei orgànica 3/2018, de protecció de dades i garantia dels drets digitals (LOPDGDD). D’entrada, la LOPDGDD, en l'article 2.2.b, exclou del seu àmbit d’aplicació el tractament de les dades de persones difuntes, sens perjudici del que s’estableix a l’article 3, dedicat de manera específica a les dades de les persones difuntes.
En aquest precepte de la LOPDGDD es reconeix a les persones vinculades a la persona difunta per raons familiars o de fet i també als hereus, la facultat d'adreçar-se als responsables i encarregats a fi de sol·licitar l’accés, la rectificació i la supressió de les dades de persones difuntes. Com a excepció, disposa que no és possible l’accés, la rectificació o la supressió si ho impedeix una llei, o si la persona difunta ho hagués prohibit expressament en vida, prohibició que no afectaria l’accés dels hereus a les dades de caràcter patrimonial del causant.
I, d’acord amb les instruccions donades per la persona difunta, també poden exercir aquesta facultat les persones o institucions designades expressament per aquesta. En tot allò relatiu als requisits i les condicions d’acreditació i vigència d’aquests manaments i instruccions del causant, la LOPDGDD es remet al seu desenvolupament reglamentari.
L’article 3 de la LOPDGDD es refereix expressament als casos en què les persones mortes eren menors o persones amb discapacitat, supòsits en què les sol·licituds esmentades les poden formular també els seus representants legals o fins i tot el Ministeri fiscal. En el cas de persones amb discapacitat, a més dels subjectes anteriors també poden exercir aquestes facultats les persones que hagin estat designades per a l’exercici de funcions de suport, si aquestes facultats s’entenen compreses en les mesures de suport prestades per aquesta persona.
Així, malgrat que en principi els drets d’accés, rectificació i supressió correspon d'exercir-los a la persona titular de la informació, pel seu caràcter personalíssim, la LOPDGD legitima determinades persones per tal de fer ús d’aquestes facultats. Val a dir que aquestes eventuals sol·licituds d’accés, rectificació o supressió efectuades per les persones legitimades per l’article 3 de la LOPDGDD no es podrien considerar com un exercici dels drets establerts en els articles 15, 16 i 17 del RGPD.
En tot cas, en la regulació del règim sancionador de la LOPDGDD s’ha volgut protegir expressament algunes d’aquestes facultats reconegudes a les persones vinculades a la persona difunta, en incloure com a tipus infractor greu l’incompliment de l’obligació de suprimir les dades referides a una persona difunta quan fos exigible conformement a l’article 3 de la LOPDGDD (art. 74.g). Per contra, no s’ha establert expressament com a infracció l’eventual desatenció de les sol·licituds d’accés i de rectificació.
Així, per exemple, si els pares d’un menor finat sol·liciten al responsable d’una xarxa social d’internet la supressió de fotos publicades del menor, en cas de desatenció podrien posar-ho en coneixement de l’autoritat de control per tal que iniciés el procediment sancionador corresponent, i imposar la sanció corresponent al tipus infractor indicat. Però aquesta opció no seria viable en la desatenció de les sol·licituds d’accés o rectificació, atès que el tipus infractor esmentat es refereix només a la supressió. Sembla que l’opció viable per a aquests altres casos d’accés i rectificació seria formular una reclamació davant l’autoritat de control, amb la finalitat que mitjançant el procediment conegut com de tutela de drets (de naturalesa no sancionadora), es requerís al responsable que facilités l’accés o la rectificació. En cas d’incomplir-se aquest requeriment de l’autoritat de control, aquesta conducta sí que està tipificada com a infracció.
Com he dit abans, les facultats de l’article 3 de la LOPDGDD no es poden considerar com un exercici dels drets d’accés o rectificació, que corresponen en exclusiva a la persona titular, pel seu caràcter personalíssim. Però no sembla que això hagi d’impedir l’admissió d’una eventual reclamació efectuada, per exemple, pels pares d’un menor difunt als qui no se’ls facilita l’accés demanat, de la mateixa manera que les autoritats de control han anat admetent les sol·licituds d’accés a històries clíniques de pacients difunts formulades per part de familiars o persones vinculades, tal com permet expressament la legislació específica que regula l’accés a la història clínica (art. 3.1 de la Llei 21/2000 i art. 5.1 de la Llei 41/2002).
A l’últim, tot el que he exposat s’ha de posar en connexió amb un dels drets digitals regulats en el títol X de la LOPDGDD, com és el dret al testament digital (art. 96). En aquest precepte es fixen un seguit de regles sobre l’accés a continguts gestionats per prestadors de serveis de la societat d’informació sobre persones difuntes. En la primera d’aquestes regles es disposa que les persones vinculades al difunt es poden adreçar als prestadors de serveis d’internet per accedir als continguts relatius a la persona difunta, i donar instruccions sobre la seva utilització, destí o supressió, excepte que la persona finada ho hagués prohibit expressament, o així ho establís una llei.
A banda de l’accés per part de les persones vinculades al difunt, en les condicions exposades, l’article 96.1 de la LOPDGDD també permet exercir l’accés als continguts esmentats al marmessor testamentari i a la persona o institució que la persona difunta hagi designat expressament. En el cas concret de menors o persones amb discapacitat, en els mateixos termes establerts en l’article 3 de la LOPDGDD, aquesta facultat pot ser exercida pel Ministeri fiscal o la persona designada per exercir les funcions de suport, en aquest darrer cas, només pel que fa a persones amb discapacitat.
En l’apartat 2 del mateix precepte es reconeix també a les persones vinculades al difunt la facultat de decidir sobre el manteniment o l'eliminació dels perfils personals del difunt, en xarxes socials o serveis equivalents, excepte que la persona difunta hagi decidit quelcom sobre aquest respecte, ja que en tal cas caldria atenir-se a les seves instruccions donades en vida.
Ara bé, el darrer apartat de l’article 96 de la LOPDGDD precisa que les seves determinacions no regeixen en les comunitats autònomes amb dret civil propi. A Catalunya, la Llei 10/2008, del 10 de juliol, del llibre quart del Codi civil de Catalunya, relatiu a les successions, ha regulat les “voluntats digitals en cas de mort” en l'article 411-10, i defineix com a tals voluntats les disposicions que estableix una persona perquè, després de la seva mort, l'hereu o la persona designada per executar-les actuï davant dels prestadors de serveis digitals amb els qui el causant tingui comptes actius.
Algunes d’aquestes actuacions que pot deixar encomanades en vida en el testament són les de comunicar als prestadors de serveis digitals la seva defunció, o sol·licitar que es cancel·lin els seus comptes. Aquestes actuacions les pot dur a terme també l’hereu si el causant no ha expressat les seves voluntats digitals, però en aquest cas l’hereu no pot accedir als continguts dels comptes i arxius digitals del difunt, llevat que obtingui autorització judicial.
A mode de conclusió, considero que s’han de valorar positivament aquestes determinacions que permeten a les persones properes dur a terme determinades actuacions respecte de les dades d’una persona difunta. En efecte, en un món com l’actual, en què els suports digitals estan cada cop més presents, i en què les xarxes socials tenen un protagonisme formidable, resulten necessàries eines com les que he mencionat, per tal d’evitar situacions doloroses per als familiars i les persones vinculades a algú que ha mort, com seria la d’haver de suportar l’exposició a les xarxes socials d’imatges o altres informacions de la persona que han perdut.