El 6 de diciembre 2016, se publicó el decreto N 40008-JP que modifica el decreto 37554-JP (Reglamento a la Ley de Protección de la Persona frente al tratamiento de sus Datos Personales).
Esta reforma adopta buenas prácticas de la Organización para la Cooperación y el Desarrollo Económicos (OCDE) sobre datos personales, aclara dudas y da certeza sobre el uso de la tecnología y la contratación de proveedores de computación en la nube.
De acuerdo con el World Economic Forum, el mundo está iniciando una cuarta revolución industrial, caracterizada por una fusión de las tecnologías digitales y el mundo físico y biológico, en el centro está la computación en la nube, cuyo uso permite el acceso a las nuevas tecnologías de manera económica.
En esta nueva economía, se requieren leyes y reglamentos que promuevan la libre circulación de datos a través de fronteras para permitir la innovación de las empresas locales, lo cual redundará en mayor eficiencia, reducción de costos y fomento de la industria tecnológica.
Desde el punto de vista de política pública, el reto es aprovechar el poder de la Internet para mejorar la vida de las personas y encontrar equilibrio entre la seguridad pública, el derecho a la intimidad y la soberanía nacional, sin restringir el flujo eficiente de información.
El proceso de adhesión de Costa Rica a la OCDE es una oportunidad para que el país progrese, adaptando su legislación a las mejores prácticas mundiales.
Los países miembros de la OCDE deben asegurar que se permita un flujo transfronterizo de datos personales ininterrumpido y seguro y, en general, abstenerse de elaborar leyes, políticas y prácticas que pudieran crear obstáculos excediendo los requisitos para la protección de estos.
Reglas claras
Considero que la reforma realizada ha aclarado conceptos y se han adoptado las mejores prácticas de la OCDE sobre transferencia de datos. En cuanto a tecnología y flujo de datos, lo más importante fue esclarecer que pueden ser trasladados fuera de las fronteras siempre que se contrate a un proveedor de tecnología responsable y seguro, que los proteja adecuadamente. En detalle:
1. La reforma reconoce una nueva definición e incluye a los proveedores de computación en la nube bajo la definición de intermediarios tecnológicos o proveedores de servicios. El reglamento deja claro que la contratación de servicios de computación en la nube no implica una transferencia o venta de datos, por lo que no se requiere el consentimiento al trasladarlos a un proveedor de servicios, independientemente de donde residen los datos.
2. El artículo 40 aclara que no se considera transferencia y, por lo tanto, no es necesario el consentimiento inequívoco cuando se contrata a un proveedor de servicios tecnológicos. Al pactar este servicio, usted sigue siendo el titular y el responsable de los datos, no los vende ni los cede al prestador de un servicio. Al mismo tiempo, usted debe asegurarse de que el proveedor no los usa para otros fines que no sea brindar un servicio tecnológico. Esto ejemplifica la adopción del principio de la OCDE de permitir el libre flujo de datos entre fronteras sin restricciones innecesarias, pero con un requisito fundamental, el principio de responsabilidad.
3. Principio de responsabilidad. El Artículo 29 del reglamento exige que al contratar un servicio de computación en la nube, usted debe verificar que el proveedor cumple con las medidas de seguridad mínimas que garanticen la integridad y seguridad de los datos personales. Aquí se consagra el principio de responsabilidad de la OCDE. El proveedor que usted contrate, debe ser seguro y confiable independientemente de donde está ubicado geográficamente.
4. En los casos que sigue siendo necesario el permiso del titular de los datos, la reforma reconoce que con el advenimiento de las nuevas tecnologías es también más práctico permitir otras formas de consentimiento que sean tecnológicamente neutrales. También en este punto la reforma es positiva.
Costa Rica ha encontrado en las buenas prácticas de la OCDE la forma de permitir el libre flujo de datos siempre que estos se protejan adecuadamente, independientemente del país donde estos residen. Esta solución es un ejemplo de políticas públicas sustentables y de como el proceso de adhesión a la OCDE redunda en la adopción de mejores prácticas que nos benefician a todos.
El autor es Gerente de Microsoft Costa Rica.