El concepto
de afectado o interesado viene regulado en el artículo 4.1) del Reglamento
(UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo
a la protección de las personas físicas en lo que respecta al tratamiento de
datos personales y a la libre circulación de estos datos y por el que se deroga
la Directiva 95/46/CE (RGPD); el artículo 3.e) de la Ley
Orgánica 15/1999, de 13 de diciembre, Regula a Protección de Datos de Carácter
Personal (LOPD); y
posteriormente el artículo 5.a) del Real Decreto
1720/2007, de 21 diciembre, Aprueba el Reglamento de desarrollo de la Ley
Orgánica 15/1999, de 13-12-1999, de protección de datos de carácter personal.
La
legislación española la se establece como “persona física titular de los
datos que sean objeto del tratamiento”, mientras el RGPD lo amplia
definiéndola como “toda persona cuya identidad pueda determinarse, directa o
indirectamente, en particular mediante un identificador, como por ejemplo un
nombre, un número de identificación, datos de localización, un identificador en
línea o uno o varios elementos propios de la identidad física, fisiológica,
genética, psíquica, económica, cultural o social”. De estas dos definiciones se
excluyen datos de personas jurídicas definidas en el artículo 35 del Código
civil, esto es, organizaciones creadas por personas físicas o naturales a
las que se les reconoce personalidad propia.
Además de
ser persona física, es imprescindible que los datos la identifiquen o puedan
hacerla identificable. Solo afecta a aquellas personas están vivas y cuyos
datos personales son tratados. De ningún modo pueden acceder terceros a
excepción del fallecimiento del titular, que serán las “personas vinculadas
al fallecido, por razones familiares o análogas, [quienes] podrán
dirigirse a los responsables de los ficheros o tratamientos que contengan datos
de éste con la finalidad de notificar el óbito, aportando acreditación
suficiente del mismo, y solicitar, cuando hubiere lugar a ello, la cancelación
de los datos” (art. 2.4 del Reglamento LOPD).
Casos especiales
Por regla
general hablamos de afectado o interesado en términos de persona mayor de edad,
con nacionalidad española y plenas facultades mentales, intelectuales o
psíquicas para hacer valer sus derechos por sí misma. Sin embargo, ¿qué ocurre
en los demás casos?
Nasciturus: concebido pero no nacido
El artículo
29 del Código civil indica que solo podrá
considerarse persona la nacida, esto es, “en el momento del nacimiento con
vida, una vez producido el entero desprendimiento del seno materno” (art.
30 Cc.). A continuación hace una salvedad que permite incluir
al nasciturus dentro del concepto: “el concebido [pero no nacido] se
tiene por nacido para todos los efectos que le sean favorables, siempre que
nazca con las condiciones que expresa el artículo siguiente”. Por tanto, la
validez de los derechos del no nacido aún se retrotraen, tienen efecto, desde
que el concebido. Prueba de ello es la Recomendación R (97) 5, de 13 de
febrero de 1997, del Consejo de Europa, sobre los derechos del paciente ante el
tratamiento informático, que establece como datos de carácter personal
susceptible de protección legal los datos médicos del concebido pero no nacido.
Una protección que se refuerza con los derechos a la protección de los datos
médicos de la madre.
Menores de 18 años
El artículo 8.1 RGPD establece que solo podrán dar el consentimiento los menores
que tengan como mínimo 16 años. No obstante, en el párrafo siguiente permite a
los Estados miembros establecer una edad inferior, siempre que tenga como
límite los 13 años. En el caso del derecho español, el artículo 13 del Reglamento
LOPD establece los 14 años como edad mínima. Si tiene menos necesitarán
el consentimiento de los padres o tutores legales.
En el caso
de los menores de catorce años, la situación es más delicada puesto que hay una
conexión entre los datos del menor y los de los padres o tutores que deben dar
su consentimiento. Para recabar los datos de uno es requisito imprescindible
obtener los datos de los otros. Para evitar que afecte a los derechos de los
padres o tutores, no podrán obtenerse más datos que los imprescindibles para su
identificación, quedando fuera información relativa a la “actividad
profesional de los progenitores, información económica, datos sociológicos o
cualesquiera otros”.
Al tratarse
de menores de edad, la entidad que recabe los datos del menor deberá informarle
“expresamente en un lenguaje que sea fácilmente comprensible”.
Discapacitados psíquicos
Es necesario el previo consentimiento de los
padres o tutores legales. Como en el caso de los menores de edad, la
recopilación de los datos de los representantes legales del discapacitado debe
ser la imprescindible para la mera identificación.
Extranjeros
El artículo
13.1 de la Constitución Española establece claramente
que “los extranjeros gozarán en España de las libertades públicas que
garantiza el presente Título en los términos que establezcan los tratados y la
ley.” Entre esos derechos se encuentran los del art. 18: “Derecho
al honor, a la intimidad y a la propia imagen” y demás leyes y tratados
internacionales (incluidos los relativos a protección de datos personales).
Fallecidos
Como resulta
obvio, una persona fallecida no puede reclamar sus derechos de acceso,
rectificación, cancelación y oposición. El Considerando
27 del RGPD lo refuerza en esta
línea y deja a los Estados miembro para que legisle su tratamiento. Hay que ir
al art. 2.4 del Reglamento LOPD que permite a
las “personas vinculadas al fallecido, por razones familiares o análogas,
dirigirse a los responsables de los ficheros o tratamientos que contengan datos
de éste con la finalidad de notificar el óbito, aportando acreditación
suficiente del mismo, y solicitar, cuando hubiere lugar a ello, la cancelación
de los datos”.
En este caso, el único derecho es el de cancelar y suprimir los datos
personales del fallecido si hay razones que lo justifique.