Por: Carlos Cordero Pérez.   11 febrero
La ley actual de protección de datos personales se basó en un reglamento europeo aprobado una década antes de la fundación de Facebook. (Foto Jorge Navarro / Archivo)
La ley actual de protección de datos personales se basó en un reglamento europeo aprobado una década antes de la fundación de Facebook. (Foto Jorge Navarro / Archivo)

La legislación de protección de datos de las personas está tan desfasada en Costa Rica que la Sala Constitucional falló, alegando que no se viola el derecho a la intimidad, en contra de un ciudadano que presentó un recurso para que en la información pública del Registro Civil apareciera su estado civil actual y no todos sus matrimonios y divorcios.

En el país se dispone una categoría particular de datos personales “de acceso irrestricto”, siempre que cumplan la finalidad para la cual estos datos fueron recabados. El estado civil sería necesario para contraer matrimonio, algunas transacciones y el control de los bienes adquiridos en matrimonio. Sólo que hay varios peros.

“Claramente el historial completo de matrimonios y divorcios es excesivo”, advirtió Mauricio París, socio de Ecija Legal Costa Rica.

La información debería estar disponible para usuarios autorizados y con las competencias requeridas para consultarlos, los cuales deben registrarse y utilizar mecanismos de autenticación. No debería estar a la libre y menos en línea. Además, cada persona —partiendo del principio de la autodeterminación informativa— debería elegir quiénes tienen acceso.

“No es pertinente que esta información esté disponible en forma amplia”, dijo León Weinstok Mendelewicz, director de BLP. “Lo correcto sería que hubiese un cambio en las leyes que restrinja el acceso a esta información únicamente a aquellas personas o instituciones que así la requieren y que no pueda ser utilizada para otro fin”.

Hay un proyecto presentado por el diputado del Partido Acción Ciudadana, Enrique Sánchez. Pero la Reforma integral a la Ley de Protección de la Persona al Tratamiento de sus datos personales (expediente No 22.388) requiere a su vez enmiendas.

“Consideramos que con la propuesta que hemos hecho (que, por supuesto, siempre puede ser mejorada), basados en derecho comparado y teniendo como referente en particular al Reglamento General de Protección de Datos de la Unión Europea, nos acercamos mucho a esos estándares globales”, respondió Sánchez.

La Cámara de Tecnologías de Información y Comunicación (Camtic) reconoció el esfuerzo para resolver los vacíos y resaltó los avances, aunque advirtió de sus debilidades.

“Esperamos que con los aportes de todos los sectores involucrados (empresa privada, gobierno y titulares de datos) se puedan afinar algunos conceptos, que permitan un mayor grado de cumplimiento”, dijo Monserrat Guitart, directiva de Camtic y directora regional de propiedad intelectual y tecnología de Dentons Muñoz.

La gestión de datos también es parte de la polémica política, debido a la conformación de la Unidad Presidencial de Análisis de Datos (UPAD) por parte de la administración Alvarado.

Pros y peros

La competitividad de las empresas y la eficiencia de las instituciones públicas dependen de los avances en automatización y digitalización de operaciones, en la comercialización y en el despliegue de los servicios, todo lo cual se basa en el manejo de la información. La llamada Era de los Datos plantea retos a la privacidad.

Un estudio global de Cisco muestra que más de la mitad de las personas tienen preocupaciones sobre la privacidad de las herramientas digitales y sobre lo que hacen las empresas con sus datos. La mayoría también considera que los gobiernos tienen un papel central en la protección de su información.

La legislación actual en Costa Rica se empezó a discutir en 2003 y se aprobó en 2011. Se basó, además, en directivas de la Unión Europea de 1995, cuando Netscape dominaba el incipiente mercado navegadores web y nueve años antes de la creación de Facebook. Entonces, el big data era puro futurismo.

La Ley No 8968 entró debiendo. El Comité de Economía Digital de la Organización para la Cooperación y el Desarrollo Económicos (OCDE) advirtió que sus principales vacíos están en el tratamiento de datos por parte del Estado y en la falta de capacidad operativa de la Agencia de Protección de Datos de los Habitantes (Prodhab).

“El paso del tiempo implica reconsiderar aspectos de la ley, total o parcialmente, para asegurar que constituye un marco de protección suficientemente robusto para la actualidad”, dijo Sánchez.

El diputado indicó que el proyecto presentado se enfoca en actualizar conceptos, principios (se introducen ocho y se fortalecen cuatro, como el de confidencialidad) y derechos (se introducen los de los titulares de los datos, incluyendo el de oposición y limitación de tratamiento) basándose en la legislación europea actual, la más avanzada en la materia.

Hay otras seis áreas que se intentan atender, incluyendo limitar las excepciones a la autodeterminación informativa, que actualmente son difusas y muy amplias. También se plantea precisar las excepciones al consentimiento informado para cerrar portillos a interpretaciones erróneas.

El proyecto también procura establecer las garantías de seguridad y confidencialidad, actualizar sanciones, establecer cuándo es válida y segura la transferencia transfronteriza de datos y el fortalecer a la Prodhab, “dotándola de más independencia de criterio y de nuevas posibilidades de ingresos”, como la venta de servicios y un uso más flexible de los ingresos por cánones y multas.

Los especialistas legales resaltan los avances del proyecto y que se reconocerían los derechos al titular, al introducir figuras como la privacidad desde el diseño, la necesidad de estudios de impacto de la privacidad, el oficial de protección de datos y al obligar a una mayor transparencia en el tratamiento de la información.

París confirmó que el proyecto actualiza e introduce principios y figuras que son necesarias, regula el tratamiento de datos de menores de edad y reconoce la falta de imparcialidad en la designación de la dirección de la Prodhab (actualmente por el Ministerio de Justicia). Los cuidados, sin embargo, son varios.

Guitart advirtió que el proyecto no reconoce la importancia del libre flujo de datos (para comercio electrónico, cooperación de Estados ante desastres o pandemias, la comunicación entre filiales de una empresa y para transacciones bancarias) y la relación con el derecho de la autodeterminación informativa.

A Weinstock le preocupa, entre otros temas, la reubicación de la Prodhab en la Asamblea Legislativa, ya que le quitaría independencia y “la naturaleza de ambas es distinta”.

Los ajustes podrían no ser puntuales.

“Prácticamente todos los artículos requieren una labor importante de reformulación, depuración y corrección”, acusó París. “Sobre todo por las inconsistencias terminológicas y conceptuales que se arrastran de la ley actual, porque este proyecto no es uno nuevo, es la ley actual con unas mejoras y ajustes”.

Ajustes

Resumen de algunas revisiones que habrá que hacer al proyecto de Ley 22.388 según especialistas y de la respuesta de Enrique Sánchez.

Especialistas Diputado
Reubicación de Prodhab en Asamblea Legislativa le restaría independencia y sería inconstitucional, pues son instituciones de naturaleza distinta (la potestad de dictar órdenes y sancionar es del Ejecutivo). La posibilidad de generar ingresos mediante consultorías y servicios generaría conflictos de interés, lo que podría afectar su función de control y sanción. La Sala Constitucional reconoce las potestades de órganos auxiliares de la Asamblea Legislativa como la Contraloría General de la República. Prodhab sería órgano adscrito con independencia técnica, administrativa, presupuestaria y de criterio, con potestad para sanciones en toda la Administración Pública. Se consultará a la Procuraduría General de la República.
Mantiene el modelo de ley actual (que dejó de usarse en Europa hace tres años) y establece un canon de registro de bases de datos desproporcionado ($300). Se deben establecer lineamientos a cumplir únicamente y que Prodhab audite. La tendencia actual se enfoca en la responsabilidad y documentación por parte del responsable de datos, abandonando la idea del registro con la autoridad. Además, sólo después del registro se obliga a realizar estudios y nombrar el oficial de protección de datos, lo que afecta la previsibilidad en especial para inversión externa en el país. Proyecto amplía la cantidad de bases de datos que se rigen por ley y no en todos los casos pagan el canon (exime las que tienen fines administrativos y no de comercialización, así como en organizaciones sin fines de lucro: sindicatos, asociaciones y organizaciones religiosas, entre otras). La exención del pago no las excluye del cumplimiento de la ley. Se revisó legislación internacional y se mantiene la inscripción con fines preventivos y para que Prodhab verifique el cumpliento de requisitos y parámetros de seguridad.
Multas desproporcionadas (hasta ¢27,7 millones o 6% de ingresos), superior al establecido en el mundo (Europa es 4%) y no corresponden a las infracciones más graves o de más riesgo para el ciudadano, mientras a entes y funcionarios públicos que incumplan no hay sanción real ni suficientemente disuasoria. No se regula prescripción de sanciones ni cómo las ejecutaría Prodhab. Monto se puede discutir. Las experiencias en otras latitudes demuestran que el mercado de datos genera tantos ingresos que las multas deben ser altas para ser disuasorias y deben ser proporcionales al ejercicio económico. En relación con las instituciones públicas el objetivo es aplicar el mismo catálogo de sanciones en lo que resulte posible. Si el texto del proyecto no es consistente con esa visión, se pueden hacer modificaciones.
En lugar de establecer parámetros claros para definir cuando es necesario nombrar un Oficial de Protección de Datos, no se regula esta figura (no se establecen obligaciones, consecuencias y sanciones) y se le establece a la Agencia la potestad de definir cuándo esta figura es requerida, lo que puede extender innecesariamente su creación. No se contemplan casos en que hay más de un oficial o encargado. Se podrían establecer parámetros generales, aunque es importante dejar a la Prodhab la suficiente flexibilidad vía reglamentaria para que establezca las reglas específicas. Eso no querría decir que el oficial no exista desde el inicio del tratamiento, sino que la Prodhab tendrá la capacidad de ajustar los lineamientos técnicos y adaptarse a las diferentes situaciones que se enfrenten conforme pasa el tiempo.
Más allá de prohibir el tratamiento de datos sensibles (requeridos para un importante número de actividades lícitas) se debería establecer una serie de lineamientos claros para su tratamiento y así evitar su uso inadecuado (sin limitar la importancia de estos datos en muchas áreas). Cinco artículos establecen obligaciones y responsabilidades del encargado del tratamiento de los datos.
Más observaciones de los especialistas

—Si bien establece que sólo se puede determinar un límite a las excepciones a los derechos de autodeterminación informativa (mediante norma constitucional, legal u orden judicial), no incluye pautas para que tribunales y Sala Constitucional lo determinen.

—Permite el tratamiento de datos mediante el consentimiento, pero considera otras vías (como el contrato u obligación legal) como excepciones. Debe incluirlas en forma igualitaria. También debe incluir el interés legítimo del responsable (clave para ciberseguridad, detección de fraudes e identificar lavado de dinero)

—Vacíos normativos e imprecisiones conceptuales: datos de acceso irrestricto o restringido; no asigna presupuesto para Prodhab; no se regulan sistemas de información crediticia o burós de crédito (y mantiene distorsión de cobro de canon por dato); no se regula tratamiento de datos específicos (salud, videovigilancia, electorales), alcance territorial muy amplio; requerimiento de conocer aplicación para procesamiento de datos podría ser ilegal pues algoritmo suele constituir secreto industrial o comercial.