Los datos personales son considerados un derecho fundamental de tercera generación que busca la protección de la persona en relación con el tratamiento de su información, ya que implica una prerrogativa de disposición y control. Esto también faculta a su titular para decidir cuáles de sus datos proporciona a un tercero, así como quién los recaba, cómo se utilizan y de qué manera se comparten.

El derecho a la protección de datos personales fue reconocido a nivel constitucional, por primera vez, en la reforma del artículo 6 de la Constitución Política de los Estados Unidos Mexicanos, publicada en el Diario Oficial de la Federación del 20 de julio de 2007, a través de la cual se adicionó un segundo párrafo con siete fracciones, reconociendo como derecho fundamental la protección de datos personales, así como los diversos de acceso y rectificación, en las fracciones II y III del mencionado precepto.

De igual forma, el 1 de junio de 2009, se publicó en el Diario Oficial de la Federación el “Decreto por el que se adiciona un segundo párrafo, recorriéndose los subsecuentes en su orden, al artículo 16 de la Constitución Política de los Estados Unidos Mexicanos”, en el cual se estableció que toda persona tiene derecho a la protección de sus datos personales, así como al acceso, rectificación y cancelación. También tiene derecho a manifestar su oposición en los términos que fije la ley.

Una vez dicho lo anterior, para efecto de este análisis, es importante hacer especial énfasis en que el desarrollo del orden jurídico mexicano por parte del Poder Legislativo Federal ha establecido una distinción en la regulación del derecho fundamental a la protección de los datos personales aplicable a los sujetos obligados del sector público, y a los particulares (personas físicas y morales de carácter privado).

En efecto, el 5 de julio de 2010, se publicó en el Diario Oficial de la Federación el “Decreto por el que se expide la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y se reforman los artículos 3, fracciones II y VII, y 33, así como la denominación del Capítulo II, del Título Segundo, de la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental”, la cual, a la fecha, no ha sufrido modificación o reforma alguna. Tiene por objeto la protección de los datos personales en posesión de los particulares, con la finalidad de regular su tratamiento legítimo, controlado e informado, a efecto de garantizar la privacidad y el derecho a la autodeterminación informativa de las personas; mientras que el Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares fue publicado en el Diario Oficial de la Federación el 21 de diciembre de 2011.

Por otra parte, el 26 de enero de 2017, se publicó en el Diario Oficial de la Federación el “Decreto por el que se expide la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados”, con el objeto de establecer las bases, principios y procedimientos para garantizar el derecho que tiene toda persona a la protección de sus datos personales, en posesión de cualquier autoridad, entidad, órgano y organismo de los Poderes Ejecutivo, Legislativo y Judicial, órganos autónomos, partidos políticos, fideicomisos y fondos públicos, en el ámbito federal, estatal y municipal.

En ese orden de ideas, tanto la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados como la Ley Federal de Protección de Datos Personales en Posesión de los Particulares disponen que los datos personales consisten en cualquier información concerniente a una persona física identificada o identificable, es decir, cuando su identidad pueda determinarse directa o indirectamente a través de cualquier información, y que se consideran sensibles aquellos que se refieran a la esfera más íntima de su titular, cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste; aquellos que puedan revelar origen racial o étnico, estado de salud, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas y preferencia sexual.

Del mismo modo, disponen que los responsables son quienes deciden sobre el tratamiento de datos personales, entendido como cualquier operación o conjunto de operaciones relacionadas con la obtención, uso, registro, organización, conservación, elaboración, utilización, comunicación, difusión, almacenamiento, posesión, acceso, manejo, aprovechamiento, divulgación, transferencia o disposición de datos personales; en tanto que el titular es la persona física a quien corresponden los mismos.

En ese orden de ideas, la normatividad aplica tanto al sector público como al privado y reconoce la existencia de los derechos de acceso, rectificación, cancelación y oposición de datos personales (derechos ARCO) en favor de los titulares, para cuyo ejercicio, entre otros requisitos, se encuentra acreditar su identidad y, en su caso, la personalidad con la que actúe su representante.

Sin embargo, el ejercicio de los derechos ARCO, por persona distinta a su titular o a su representante, o bien, respecto de datos personales de personas fallecidas, no se encuentra previsto en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y la normatividad que de ella deriva. Tampoco existe disposición legal alguna que regule el derecho a la protección de datos personales de personas fallecidas con motivo de su tratamiento por parte de los particulares.

Por el contrario, el artículo 49, párrafo segundo, de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados sí contempla que el ejercicio de los derechos ARCO por persona distinta a su titular o a su representante, será posible, excepcionalmente, en aquellos supuestos previstos por disposición legal, o en su caso, por mandato judicial.

Tratándose de datos personales concernientes a personas fallecidas, el artículo 49, último párrafo, de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados indica que la persona que acredite tener un interés jurídico, de conformidad con las leyes aplicables, podrá ejercer los derechos ARCO, siempre que el titular de los derechos hubiere expresado fehacientemente su voluntad en tal sentido o que exista un mandato judicial para dicho efecto.

Al respecto, los artículos 75, párrafos tercero y cuarto, y 129, párrafos cuarto y quinto, de los Lineamientos Generales de Protección de Datos Personales para el Sector Público precisan que se entenderá por interés jurídico aquel que tiene una persona física que, con motivo del fallecimiento del titular, pretende ejercer los derechos ARCO de éste, para el reconocimiento de derechos sucesorios, atendiendo a la relación de parentesco por consanguinidad o afinidad que haya tenido con el titular, el cual se acreditará en términos de las disposiciones legales aplicables (legislación civil); de tal manera que, pueden alegar interés jurídico, de manera enunciativa, el albacea, los herederos, los legatarios y los familiares en línea recta sin limitación de grado y en línea colateral hasta el cuarto grado, lo que deberá acreditarse con copia simple del documento delegatorio, pasado ante la fe de notario público o suscrito ante dos testigos.

Así las cosas, el artículo 97 de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados también contempla la posibilidad de interponer un recurso de revisión o de inconformidad respecto de datos personales concernientes a personas fallecidas, en favor de quién acredite tener un interés jurídico o legítimo.

El artículo 129, párrafos segundo y tercero, de los Lineamientos Generales de Protección de Datos Personales para el Sector Público explican que se entenderá por interés legítimo aquel interés personal, individual o colectivo, cualificado, actual, real y jurídicamente relevante, que puede traducirse en un beneficio jurídico en favor del peticionario derivado de una afectación a su esfera jurídica en sentido amplio, que puede ser de índole económica, profesional, de salud, o de cualquier otra; motivo por el cual se considera que una persona física tiene interés legítimo cuando, no teniendo un derecho subjetivo, se ve afectada en su esfera jurídica por su situación objetiva y particular y por razones de hecho o de derecho.

Sobre estas bases, y a pesar de la diferencia en la legislación mexicana respecto del derecho a la protección de datos personales, así como el ejercicio de los derechos ARCO, en relación con información concerniente a personas fallecidas, no debe perderse de vista que se trata de derechos fundamentales reconocidos por la Constitución Política de los Estados Unidos Mexicanos en los artículos 6, apartado A, fracciones II, III y VIII, y 16, párrafo segundo.

En ese sentido, si bien existen leyes federales y generales aplicables a los sujetos obligados y a los particulares que tratan datos personales en las cuales se establecen condiciones discrepantes en relación con los datos personales de personas fallecidas, es posible afirmar que en tanto la norma constitucional que consagra el derecho fundamental no distingue ni establece excepciones en este supuesto, sí debiera reconocerse la protección de datos personales y el ejercicio de los derechos ARCO en favor de quiénes tengan interés jurídico y/o legítimo respecto de los titulares finados.

Lo anterior se estima de ese modo, conforme al principio general de derecho que establece que “donde la ley no distingue, no se debe distinguir”, por lo que el hecho de que una ley reglamentaria de un derecho humano previsto constitucionalmente no establezca expresamente el ejercicio de derechos ARCO y la protección de datos personales concernientes a personas fallecidas, no debería impedir la tutela del derecho fundamental reconocido por la Constitución Política de los Estados Unidos Mexicanos sin esta clase de limitantes y, en consecuencia, su aplicación en la práctica por parte de los organismos garantes.

En tal virtud, con motivo de la distinción entre la regulación del derecho a la protección de datos personales de personas fallecidas en los sectores público y privado, podría llegarse a una posible solución atendiendo a una interpretación conforme tanto de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados y, en especial, de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Esta solución funcionaría como herramienta metodológica de carácter dual y como regla interpretativa para determinar el significado de enunciados normativos. También funcionaría como criterio para calificar la validez del significado atribuido en concordancia con las normas constitucionales, tratando de aplicar la norma y haciéndola compatible con la Constitución Política de los Estados Unidos Mexicanos; o incluso alineándola a los términos del principio pro persona (o pro homine), es decir, favoreciendo en todo tiempo a las personas la protección más amplia en materia de derechos humanos.

Sobre el particular, es importante señalar que el 28 de septiembre de 2018 fueron publicados en el Diario Oficial de la Federación el “Decreto Promulgatorio del Convenio para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos de Carácter Personal, hecho en Estrasburgo, Francia, el veintiocho de enero de mil novecientos ochenta y uno”, así como el diverso “Decreto Promulgatorio del Protocolo Adicional al Convenio para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos de Carácter Personal, a las Autoridades de Control y a los Flujos Transfronterizos de Datos, hecho en Estrasburgo, Francia, el ocho de noviembre de dos mil uno”; los cuales entraron en vigor en México a partir del 1 de octubre de 2018.

En ese orden de ideas, el Convenio para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos de Carácter Personal y su Protocolo Adicional no contempla distinción o restricción alguna respecto de los derechos o el tratamiento de los datos personales de las personas fallecidas, por lo que, al tratarse de tratados internacionales vigentes en México, no debiera constituir un impedimento la falta de previsión en las leyes secundarias, para aplicar y reconocer el derecho de quiénes ostenten un interés jurídico o legítimo en relación con los titulares finados.

Sin embargo, sería recomendable que el Poder Legislativo Federal modificara en lo conducente el marco jurídico mexicano aplicable en la materia para disolver la discrepancia y homologar la regulación del ejercicio de los derechos ARCO y la protección de datos personales de personas fallecidas y, de esta manera, brindar seguridad y certeza jurídica tanto a los responsables del tratamiento como a los titulares.