Datos de personas fallecidas: ¿Datos personales o no personales?

Datos Personales, Historia Clínica, RGPD 3 minutos

Como ya es sabido por todos, desde hace algo más de dos años rige en toda Europa el Reglamento (UE) 2016/679 o Reglamento General de Protección de Datos que regula el tratamiento de este tipo de datos personales por entes públicos y/o privados, es decir, aquella información que permite identificar o hacer identificable (directamente no la identifica pero no sería excesivamente costoso) a una persona física.

Se trata de una normativa que establece unas (para algunos), estrictas obligaciones en el tratamiento de estos datos personales y que, en todo momento, se debe velar por el cumplimiento de esta normativa y, además, estar en disposición de demostrar que estas obligaciones se están cumpliendo.

En determinadas circunstancias, impone obligaciones adicionales como las de tener que realizar una Evaluación de Impacto o las de nombrar una persona en la organización que vele por el cumplimiento de esta normativa.

En definitiva, quien maneja datos personales, debe atenerse a una serie de normas para garantizar que ese tratamiento sea el adecuado de acuerdo a una serie de principios: licitud, lealtad, transparencia, limitación de finalidad, minimización de datos, limitación del plazo de conservación, integridad, confidencialidad y responsabilidad proactiva. Vemos por tanto que unos de los principios es el de confidencialidad, de ser garante de que se mantiene en secreto los datos personales.

Este principio, también se encuentra en nuestro ordenamiento jurídico en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales y en concreto en su artículo 5, donde impone un deber de confidencialidad a «todas las personas que intervengan en cualquier fase» del tratamiento.

En resumen, la normativa de protección de datos establece toda una serie de regulaciones para que, entre otras cuestiones, los datos personales se mantengan fuera del conocimiento de personas no autorizadas.

Por contra, existe igualmente una normativa específica para el tratamiento de datos NO personales. Se trata del Reglamento (UE) 2018/1807 del Parlamento Europeo y del Consejo de 14 de noviembre de 2018 relativo a un marco para la libre circulación de datos no personales en la Unión Europea .

Este Reglamento se aplica a «al tratamiento en la Unión de datos electrónicos que no tengan carácter personal» y en él se impone una serie de obligaciones para la libre circulación de estos datos en la Unión Europea, lo que se materializa en la prohibición de los llamados requisitos para la localización de datos, es decir, «cualquier obligación, prohibición, condición, restricción u otro requisito previsto en las disposiciones legales, reglamentarias o administrativas en los Estados miembros» que imponga que los datos se deban tratar en un lugar determinado, de una forma determinada o que se dificulte su tratamiento, salvo por cuestiones de seguridad nacional.

En definitiva, si con los datos personales hay una cierta restricción en su tratamiento manifestada por el principio de confidencialidad, en los datos no personales, es todo lo contrario, las restricciones en su tratamiento se deben eliminar. Por ello, desde el punto de vista de la protección de datos habría dos tipos de datos:

  • Los personales: Con límites y restricciones en su tratamiento.
  • Los no personales: Sin límites y restricciones en su tratamiento

Siguiendo esta clasificación: ¿Donde se podrían incluir los datos de personas fallecidas?

Según el propio Reglamento General de Protección de Datos (Considerando 27) no es aplicable a «la protección de datos personales de personas fallecidas» . Es más, la Ley Orgánica 3/2018 en su artículo 2.b señala que esta norma no es de aplicación «a los tratamientos de datos de personas fallecidas». Por tanto, a tenor de todo lo expuesto, los datos de personas fallecidas no serían datos personales y por tanto, podrían tratarse sin límites y restricciones…….pero nuestro legislador ha querido que no sea así, ya que el propio artículo 3 de la Ley Orgánica 3/2018 ha querido establecer una serie de condiciones en el acceso a los datos de personas fallecidas.

¿Estas restricciones serían incompatibles con la prohibición de los requisitos de localización del Reglamento 2018/1807 para la libre circulación de datos no personales en la Unión Europea? O realmente en contra de lo que dice la propia normativa de protección de datos, ¿los datos de fallecidos si son datos personales? ¿Estamos ante una nueva categoría de datos: datos personales, no personales y datos de fallecidos? Sin duda, estas incógnitas se irán resolviendo con las diferentes interpretaciones de los órganos de control, como pudiera ser el reciente Dictamen de la Agencia Vasca de Protección de Datos D19-008, sobre acceso a la Historia Clínica de personas fallecidas por parte de familiares .

Gontzal Gallo
Especialista en Derecho de las TIC
Colegiado en el Colegio de la Abogacía de Bizkaia
http://www.gontzalgallo.com
Twitter: @gongaru
Linkedin: Gonzalo Gallo

Publicado por Gontzal

Especialista en Derecho de las TIC. Colegiado en el Colegio de la Abogacía de Bizkaia. Interesado en todo lo que se cuece en/para/por Internet.

Publicado

Deja una respuesta

Introduce tus datos o haz clic en un icono para iniciar sesión:

Gravatar
Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Cancelar

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.