Escuchar“El tratamiento electrónico de datos, como presupuesto del desarrollo de nuestra actual sociedad democrática, debe llevarse a cabo afianzando los derechos y garantías democráticas del ciudadano”, ha sostenido la Sala Constitucional al referirse al derecho de autodeterminación informativa. Este derecho implica que toda persona tiene derecho a conocer lo que conste sobre ella, sus bienes o derechos en cualquier registro o archivo, de toda naturaleza, sea público o privado. Representa una ampliación del derecho a la intimidad consagrado en el artículo 24 constitucional. La esfera privada no se reduce al contenido de las comunicaciones, sino que incorpora la posibilidad de controlar la información personal que pueda afectarle.
Si bien los derechos fundamentales pueden estar sujetos a restricciones, estas solo son legítimas cuando resultan necesarias para garantizar valores democráticos y constitucionales. El tribunal constitucional ha indicado que tales limitaciones son válidas únicamente cuando buscan satisfacer un interés público imperativo.
Además, debe optarse por la medida que cause la menor afectación posible al derecho comprometido. La restricción debe ser proporcional al objetivo perseguido y limitarse estrictamente a lo necesario. No basta la conveniencia o utilidad de la medida: su necesidad debe ser socialmente imperiosa, lo que implica que su aplicación sea excepcional, no la regla. Por tanto, los derechos fundamentales no pueden limitarse por criterios de mera conveniencia administrativa.
El derecho a la autodeterminación informativa ha sido desarrollado por la Ley N.º 8968. Esta reconoce el derecho a la protección de datos personales como manifestación del derecho de autodeterminación informativa. Se entiende por datos personales cualquier dato relativo a una persona física identificada o identificable (por ejemplo, número de identificación, nombre y geolocalización), y por tratamiento, cualquier operación realizada sobre esos datos, sea automatizada o manual.
La base del tratamiento de datos debe ser el consentimiento expreso, preciso e inequívoco del titular. No obstante, el artículo 5 de la Ley N.º 8968 establece que no se requiere consentimiento cuando exista orden judicial, acuerdo de comisión especial de investigación de la Asamblea Legislativa, se trate de datos de acceso irrestricto, o cuando la entrega esté prevista en una norma constitucional o legal. Esta última excepción aplica únicamente cuando el acceso a los datos esté debidamente justificado y sea indispensable para proteger intereses públicos superiores.
Aun así, debe someterse a un análisis de legitimidad y razonabilidad conforme a la jurisprudencia constitucional. En esta línea, la Procuraduría General de la República ha indicado que, bajo el principio de legalidad, ninguna autoridad puede tratar datos personales sin una base normativa clara y específica que lo autorice.
El inciso f) del artículo 8 de la Ley N.º 8968 dispone como excepción al consentimiento “la eficaz actividad ordinaria de la Administración”. La Procuraduría ha interpretado que esta disposición es constitucional siempre que se aplique exclusivamente a autoridades públicas autorizadas legalmente para acceder a datos personales en cumplimiento de funciones públicas delimitadas. Se busca así evitar una interpretación amplia que habilite un acceso irrestricto por cualquier ente público, garantizando al mismo tiempo el interés público de ciertas competencias institucionales que requieren tratamiento de información personal.
Para que una autoridad pueda acceder a datos personales sin consentimiento, deben cumplirse tres requisitos: i) existencia de una norma con rango constitucional o legal que lo habilite expresamente; ii) que la actuación persiga un fin público legítimo; y iii) que el tratamiento cumpla con los principios de necesidad, idoneidad y proporcionalidad. Asimismo, deben respetarse principios adicionales como el de adecuación al fin, que exige que los datos sean tratados con finalidades determinadas, explícitas y legítimas, y prohíbe su uso posterior para fines incompatibles; y el principio de minimización de datos, que obliga a tratar solo los datos necesarios, limitar su conservación y restringir su accesibilidad.
Así las cosas, la solicitud masiva de datos personales realizada por la Dirección de Inteligencia Tributaria a empresas de telecomunicaciones restringe el derecho de autodeterminación informativa de los abonados. La justificación invocada se basa en el artículo 8 inciso f) de la Ley N.º 8968, lo cual exige verificar si se cumplen los requisitos de legalidad, finalidad legítima, necesidad, razonabilidad y proporcionalidad.
La Dirección solicitó datos personales como nombre completo, número de identificación, números de teléfono, dirección, correo electrónico y georeferencia, incluyendo así datos de identificación y de tráfico. El Ministerio de Hacienda fundamentó la solicitud también en el artículo 105 del Código de Normas y Procedimientos Tributarios, que le permite requerir a terceros información previsiblemente pertinente para fines tributarios, derivada de relaciones económicas, financieras y profesionales.
Esta norma exige que el requerimiento esté debida y expresamente justificado en cuanto a su relevancia tributaria. Su aplicación tiene sentido en procesos de fiscalización, donde pueden solicitarse documentos relevantes como información identificativa, contratos o detalle de facturación. Es cierto que los tribunales han reconocido el interés público en fortalecer las potestades de fiscalización tributaria, incluso fuera de un proceso formal. Sin embargo, la solicitud masiva de datos especialmente protegidos como la geolocalización parece ilegítima por no superar el examen de razonabilidad y no respetar el principio de minimización, dada su escasa relevancia tributaria.
---
Natalia Ramírez Benavides es gerenta Legal de Grant Thornton
