lunes, 18 de octubre de 2010

Informes Jurídicos extravantes (V)

Son varios los informes jurídicos que la Agencia de Protección de Datos del País Vasco ha emitido a petición del Departamento de Sanidad del Gobierno Vasco, todos ellos muy interesantes. El que hoy les comento, disponible aquí, trata distintas cuestiones relativas a la sanidad mortuoria. Para ponerles en antecedentes, les diré que es del año 2006, y por tanto, anterior a la aprobación del reglamento de desarrollo de la LOPD, cuyo art. 2 excluye de su ámbito de aplicación los datos de las personas fallecidas.

El informe comienza muy bien, como una película de Roger Corman:

“Las consultas que le planteamos han surgido con ocasión de los ficheros de nivel básico Sanitaria Mortuoria, responsabilidad de las Direcciones Territoriales del Departamento de Sanidad, tal y como viene recogido en la Orden de 1 de junio de 2005, del Consejero de Sanidad, por la que se regulan los ficheros de datos de carácter personal del Departamento de Sanidad. La finalidad de estos ficheros es la de control y registro de funerarias y servicios sanitarios, así como de defunciones, transporte y exhumaciones de cadáveres y restos (humanos y cadavéricos) ocurridas en el Territorio Histórico correspondiente. Los usos previstos son para fines estadísticos y gestión de usuarios”.

Entre los datos que las funerarias deben comunicar al Departamento de Sanidad figuran nombre, apellidos y DNI del fallecido, y fecha de su defunción. Las Entidades de Previsión Social Voluntaria de Euskadi solicitan a la Administración estos datos argumentando que resultan fundamentales para el ejercicio de su actividad (lo que en cristiano significa que los quieren para evitar fraudes de sus clientes, ya que estas entidades cubren, entre otras cosas, pensiones de jubilación complementarias y pensiones por enfermedad)

El Departamento de Sanidad no tiene claro que los datos de los fallecidos sean datos de carácter personal. Tampoco está seguro de lo que hacer en caso de que se considere que lo son. Así que, con mucha educación, preguntan lo siguiente:

“(…) agradeceríamos conocer su criterio sobre si los datos de las personas fallecidas han de ser considerados datos de carácter personal, y por lo tanto, sujetos a las limitaciones que sobre cesión de los mismos contiene la normativa de protección de datos, o si por el contralor, pueden ser libremente tratados, y en su caso, cedidos, con las claras limitaciones derivadas de la protección del derecho al honor y la intimidad del fallecido, pero sin las limitaciones impuestas por el derecho a la autodeterminación informativa.”

No obstante, y para el caso de que se considerase que son datos que deben quedar sujetos a la normativa de protección de datos, planteamos las dudas que exponemos a continuación.”
 
“El artículo 11.1 de la Ley 15/1999, de 16 de diciembre, posibilita la comunicación de datos a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado. En el caso de una posible cesión de datos a las EPSV se ha planteado la posibilidad de que éstas requieran de sus socios el consentimiento para pedir estos datos del Registro “Sanitaria Mortuoria” de las Direcciones Territoriales de este Departamento lo que suscita dos nuevas cuestiones:

Dada la finalidad meramente estadística declarada de estos ficheros ¿el consentimiento expreso del beneficiario para que el Departamento de Sanidad ceda a la EPSV pagadora su nombre, apellidos, DNI y fecha de fallecimiento a la EPSV es título suficiente para permitir dicha cesión?

Ya que los datos solicitados están recogidos en los ficheros Sanitaria Mortuoria que son de nivel básico, conforme a la normativa, resulta suficiente que el consentimiento del interesado sea inequívoco, sin que sea necesario que sea expreso. En el caso de que se solicitase el consentimiento del interesado y éste no contestase en el plazo que se fije ¿es posible entender (siempre que previamente se le advierte al interesado) esa omisión de oponerse al tratamiento como un consentimiento tácito del mismo?”

“Y para terminar, en el caso de que nos encontráramos ante datos de carácter personal y no se obtuviera el consentimiento de los interesados, ¿podría ser aplicable el artículo 11.2 c) de la LOPD? Este supuesto exime de consentimiento cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros, siempre que la comunicación se limite a la finalidad que la justifique. El necesario control que deben ejercer las EPSV sobre las prestaciones satisfechas justificaría la cesión de datos solicitada, siempre que se garantizase, vía convenio o contrato, la confidencialidad y el uso limitado de los datos por parte de las EPSV?”

Entiendo que la solución propuesta por las EPSV es solicitar al asociado (generalmente, el propio fallecido) su consentimiento para que la información relativa a su defunción le sea remitida a la entidad desde el Departamento de Salud Mortuoria (algo así como un consentimiento para la cesión del dato de forma póstuma). No creo que en caso de ser el beneficiario de la prestación un tercero necesiten que el Departamento de Sanidad les comunique la defunción de nadie: Ya se encargarán los familiares de exigir los pagos correspondientes a la entidad de previsión aportando los certificados de defunción correspondientes. El problema de las EPSV es el fraude cuando no se comunica la muerte de una persona que cobra una prestación.

En fin, la respuesta de la Agencia no tiene desperdicio. Fíjense qué sutilezas lógicas anuncian estos párrafos:

“Efectivamente, como bien se deduce de los términos en los que se plantea la consulta, no resulta fácil (y no sería además práctico) ofrecer una respuesta con pretensiones de alcance general y absoluto respecto a la cuestión que se encuentra en la base de la consulta y que se formula a través de la primera pregunta: si los datos de una persona fallecida pueden ser o no calificados como datos de carácter personal.

Decimos que no se aportaría ninguna solución práctica, porque la respuesta que con dicho alcance general pudiera ofrecerse, debiera ser afirmativa: sí pueden. Pero parece evidente que con dicha respuesta no cumpliríamos las expectativas de la consultante porque inmediatamente cabría preguntarse ¿Cuándo pueden? ¿Quién sería su titular? ¿A qué régimen se someten? etc.…”

Y continúa aún mejor:

“De acuerdo con la definición que de dato de carácter personal ofrece la LOPD (“cualquier información concerniente a personas físicas identificadas o identificables”), en opinión de esta Agencia, y con las cautelas más arriba referidas, no sólo los datos de una persona fallecida pueden ser calificados como datos de carácter personal, sino que, lo que puede resultar de mayor interés por relación al marco concreto en el que se realiza la pregunta, el propio dato del fallecimiento de una persona es un dato de carácter personal, si bien que su titular no es la propia persona fallecida, sino un tercero o terceros, también por referencia al marco concreto que nos ocupa, el o los familiares, en cuanto respecto de ellos, el dato del fallecimiento de la persona, es una información que, no sólo le concierne, sino que determina el nacimiento de nuevos derechos y obligaciones (piénsese en cuestiones de tipo sucesorio, relativas a prestaciones de Seguridad Social o tributarias, por ejemplo) o que tienen una especial trascendencia en su ámbito personal (circunstancias sociales del fallecido, datos de salud, repercusión mediática, etc.…)”

De acuerdo con lo explicado en la consulta y en dicho ámbito, el dato puede ser determinante de la atribución de derechos.

“La anterior solución concuerda, creemos, con la que puede deducirse de las citas contenidas en la consulta a las respuestas ofrecidas por la Agencia de Protección de Datos de la Comunidad de Madrid.

Efectivamente, en ellas, además de parecer apuntar la misma solución metodológica que más arriba se ha planteado (“… en función de cada caso concreto”, se dice en una de las citadas), se aborda la cuestión desde perspectivas diversas, de tal manera que no existe contradicción, a nuestro juicio, entre la declaración de que los fallecidos no son sujetos pasivos de la normativa de protección de datos, y el hecho de que el tratamiento de los datos de personas fallecidas, queden sometidos (se insiste, en función de cada caso concreto) al régimen jurídico de la protección de datos de carácter personal. Y ello por la razón más arriba apuntada que los datos de carácter personal que pertenecían al fallecido o el propio dato del fallecimiento de una persona, pueden ser datos de carácter personal, cuyo titular será un tercero, en especial, los familiares de la persona fallecida.”

A esto, sigue un razonamiento que les ahorraré sobre si es o no necesario el consentimiento del beneficiario para la cesión (¿por qué no de todos los herederos? ¿qué hacer si no hay beneficiario?) o si se puede aplicar alguna de las excepciones del art. 11.2 de la LOPD. Vayamos directamente a las conclusiones:

"1.- Los datos de carácter personal referentes a personas fallecidas o el dato del fallecimiento de una persona pueden ser considerados datos de carácter personal a efectos de aplicación de la normativa sobre protección de datos.

2.- Los datos de carácter personas referentes a personas fallecidas están sujetos, respecto a la cesión de los mismos, al régimen general previsto en la LOPD.

3.- La cesión de datos de carácter personal contenidos en el fichero Sanitaria Mortuoria a las EPSV no estaría amparada en la excepción contenida en el artículo 11.2 c) de la LOPD.

4.- Dicha cesión sería posible si contara con el consentimiento inequívoco de los interesados

5.- Dicho consentimiento puede ser prestado tácitamente."

Como se indica en el informe, el hecho de que una persona ha fallecido puede considerarse un dato de carácter personal siempre que se asocie a una persona viva, y exclusivamente porque se refiera a esta última. La razón es clara: la LOPD sólo se aplica a las personas físicas (así lo indica su art. 1); y la personalidad civil, de acuerdo al artículo 32 del Código Civil, se extingue con la muerte.

Nombre, apellidos, DNI y fecha de defunción, por si solos, no pueden ser considerados datos de carácter personal. El objeto de la consulta es analizar si se pueden ceder estos datos, no los de los beneficiarios o los de los herederos, que en muchos no existirán o no serán clientes o socios de las entidades de previsión, y desde se trata de información que el departamento de sanidad no parece conocer).

En mi opinión, esta operación no queda sujeta a la LOPD. Pero además, si lo estuviera, tendríamos el problema de a quién solicitar el consentimiento. El interesado será, no el muerto, sino aquél con quien se relacionen esos datos: la viuda, la querida, los hijos…No tiene que ser necesariamente el heredero o todos los herederos. Y desde luego, es posible que nunca se lleguen a relacionar los datos del fallecido con un cliente o asociado de las EPSV, o con una persona viva.

Pensemos dos supuestos bastante frecuentes: el anciano sin familia al que encuentran muerto después de tirar la puerta abajo los bomberos y el típico fraude que consiste en no decir que el abuelo ha muerto para seguir cobrando el cheque de la pensión.

En el primer caso, el beneficiario de la prestación y socio de la entidad es el propio finado, y no sé a quién pretenderían pedir el consentimiento para la cesión, ni qué persona viva se relacionaría con estos datos.

En el segundo supuesto, el beneficiario y socio también es el muerto. La entidad es posible que ni siquiera tenga datos de quienes son sus familiares o de quienes están cometiendo el fraude. Lo que le interesa a la EPSV es dejar de pagar la pensión que se recibía a nombre de alguien que ha muerto. Como en el caso anterior, no sé a quienes van a pedirles el consentimiento para la cesión, pero si se lo piden a los herederos que quieren seguir cobrando la pensión del abuelo, dadas las circunstancias, no creo que lo presten.

No sé qué pensarán Ustedes, pero a mí esta interpretación de la Agencia Vasca me parece una excesivamente estricta, y además, roza lo absurdo.

La respuesta más sencilla habría sido la siguiente:

1º. Los datos de los fallecidos por sí solos no son datos de carácter personal. Las bases de datos de Sanidad Mortuoria que no contengan información de personas vivas no son ficheros de datos de carácter personal a efectos de la LOPD. Y en cualquier caso, si fueran ficheros, ya que nos ponemos así de estrictos ¿por qué darles el nivel de seguridad básico? A mí no se me ocurre otro dato que exprese mejor la salud de una persona que el hecho de que no continúe con vida.

2º. No obstante, la defunción de una persona puede considerarse un dato de carácter personal si se asocia a una persona viva, por ejemplo, porque sea su heredero o el beneficiario de un seguro de vida.

3º. Si sólo se van a ceder informaciones de fallecidos, no relacionados con personas físicas vivas, a dicha comunicación no se le aplica la LOPD.

Buenas noches.

3 comentarios:

Osete dijo...

Totalmente deacuerdo con usted mi querida María.

A mi entender, esto es una de las muchas locuras en la aplicación de leyes que por ser muy legalistas acaban por liarla parda, como la chica de la piscina.

aunque este problema ya lo solventa el actual reglamento en su art.2 para los supuestos anteriores como bien dice usted, solamente habría que aplicar el
art. 1 de la lopd y el código civil.

en fin, si no fuera así no disfrutaríamos de esos informes...

David González Calleja dijo...

Para enmarcarlo, el informe de la Agencia. Espectacular.

Ad Edictum dijo...

Gracias por sus comentarios. Pues sí... Estos informes son dignos de una película de Berlanga.