Por: Carlos Cordero Pérez.   4 febrero
Las personas deben conocer cuáles datos se guardan de ellos, su actualización y con cuáles fines se utilizan. (Foto Melissa Fernández / Con fines ilustrativos / Archivo GN)
Las personas deben conocer cuáles datos se guardan de ellos, su actualización y con cuáles fines se utilizan. (Foto Melissa Fernández / Con fines ilustrativos / Archivo GN)

El camino para que Costa Rica definiera las normas de protección de datos no fue sencillo y ahora se debe actualizar la legislación para ponerlo a tono con los estándares de la Organización para la Cooperación y el Desarrollo Económicos (OCDE) y la Unión Europea.

Mientras eso ocurre es mejor que su organización tenga en cuenta los vacíos existentes y las normas básicas en la materia para evitar inconvenientes.

“Hay que derogar la actual ley y hacer una nueva”, advirtió Mauricio París, director para América Latina de Écija, despacho legal especializado en materia tecnológica.

La ley de Protección de la persona frente al tratamiento de sus datos personales (N° 8968) fue promulgada en 2011 y según los especialistas tuvo como base la legislación española.

Esta última quedó derogada para dar paso a reglas acordes con la actualización del Convenio 108 de la Unión Europea, que se realizó en el 2018.

Los principales problemas para cumplir incluso con la reglamentación actual se dan a nivel de las instituciones del Estado, pero desde las empresas locales hasta las que brindan servicios, exportan o importan y tienen clientes en Estados Unidos y en Europa hay retos.

“Las empresas deben adaptarse”, recomendó María del Mar Herrera, experta en derecho de consumo y protección de datos de la firma EY.

Realice un inventario de bases de datos, su ubicación y los responsables. (Imagen archivo GN)
Realice un inventario de bases de datos, su ubicación y los responsables. (Imagen archivo GN)
1. Inventario

¿Qué está haciendo su empresa en materia de protección de la información de sus clientes? ¿Cuál es la situación de las bases de datos? ¿Quién tiene acceso a ellas y quiénes no deberían tenerlo?

Construya un inventario de las bases de datos, su ubicación, los accesos y su protección.

Las empresas requieren tomar decisiones y utilizar la tecnologías para gestionar la seguridad e integridad de la información, así como controlar quién ingresa, por qué y con cuál fin se utilizan los datos.

No espere a enfrentar una fuga de información que se haga pública o a que un cliente presente una denuncia ante la Agencia de Protección de los Datos de los Habitantes (Prodhab).

2. Responsable

La empresas deben contar con un encargado y las entidades con un delegado que tenga la responsabilidad de velar por el cumplimiento de la normativa.

La tarea del responsable es evitar incumplimientos de las normas más elementales.

Por ejemplo, hay que asegurarse que se tenga definido cuál es el objetivo y la protección de la información y que esto se cumpla. Esto aplica hasta para un listado de clientes o de miembros de una asociación.

La protección, seguridad e integridad de la información, ante la eventualidad de un ataque o de robo de datos, debe ser su prioridad. (Imagen archivo GN)
La protección, seguridad e integridad de la información, ante la eventualidad de un ataque o de robo de datos, debe ser su prioridad. (Imagen archivo GN)
3. Consentimiento

Pese a la desactualización de las normas locales, las empresas no pueden dejar de cumplir con la obligación de obtener el consentimiento informado de sus clientes al momento de realizar el registro de sus datos.

La ley explícitamente prohíbe el acopio de datos sin el consentimiento informado de la persona, o bien, adquiridos por medios fraudulentos, desleales o ilícitos.

Cuando se utilicen cuestionarios u otros medios para la recolección de datos personales figurarán la información y las advertencias indicadas por la norma en forma legible.

La misma Prodhab advierte que se considera una falta gravísima que una persona física o jurídica recolecte datos sensibles, los almacene, transmita o emplee de cualquier forma.

La ley establece que los datos sensibles incluyen la información relativa al fuero íntimo de la persona cuyo uso no autorizado podría causar alguna discriminación.

Los más comunes son datos que revelan origen racial, opiniones políticas, convicciones religiosas o espirituales, condición socioeconómica, información biomédica, genética, vida y orientación sexual.

El incumplimiento por parte de las empresas o entidades puede implicar una sanción económica entre los ¢6 millones y ¢13 millones o la suspensión del funcionamiento del fichero por hasta seis meses.

París indicó que este es uno de los aspectos que se deben actualizar, pues algunas empresas pueden presupuestar ser sancionadas y pagar los montos.

4. Trasiego externo

El flujo transfronterizo es uno de los temas que deberán actualizarse para los casos de información de personas que está almacenada aquí y se sacan del país.

Puede darse cuando un organismo internacional o de otro país pide datos de personas o empresas locales, lo que normalmente se realiza por medios oficiales y diplomáticos.

Para las empresas el cuidado que se debe tener es con información de empleados o terceros cuando tienen sedes en otros países, proveedores o clientes.

Hay casos de sedes que brindan servicios desde Costa Rica para sus centros de operación y para otras sedes en diferentes países.

Utilice herramientas de gestión y monitoreo de uso de la información para tener trazabilidad. (Imagen archivo GN)
Utilice herramientas de gestión y monitoreo de uso de la información para tener trazabilidad. (Imagen archivo GN)
5. Lineamientos

Uno de los principales pecados que se cometen en manejo de datos, especialmente en instituciones públicas, es la falta de políticas y lineamientos sobre los datos y su tratamiento.

Se acusa la falta de uso de herramientas de protección de datos que permitan monitorear quién está teniendo acceso y cuál es la trazabilidad de la información extraída.

En las instituciones públicas existe confusión sobre cuáles datos son de interés público y por lo tanto cuáles se puede publicar o brindar al ciudadano que los solicita.

La falta de claridad en las empresas de produce en casos de comercio electrónico, premios y servicios informáticos.

“El país está en pañales”, recalcó Herrera.

6. Especifique

Entre las tareas pendientes a nivel general, en las instituciones y en las empresas está la necesidad de contar con un marco regulatorio donde se definan roles y perfiles.

“Sí hay una ley y su reglamento”, explicó Isaac Rodríguez, gerente de ciberseguridad y privacidad de la firma PwC. “Pero no hay un marco como en Estados Unidos o Europa”.

En este marco regulatorio se especifica qué debe protegerse, así como los plazos y condiciones.

Rodríguez indicó que tampoco existe un mecanismo para mitigar los problemas y las consecuencias sobre las personas afectadas.

Digitalice mecanismos para que sus clientes puedan actualizar, pedir correcciones o realizar solicitudes sobre los datos disponibles por su empresa. (Imagen archivo GN)
Digitalice mecanismos para que sus clientes puedan actualizar, pedir correcciones o realizar solicitudes sobre los datos disponibles por su empresa. (Imagen archivo GN)
7. Digitalización

Un área que debe resolverse también es la digitalizacion de los mecanismos para que las personas puedan solicitar correcciones por incumplimiento de las normas y presentar denuncias ante los órganos correspondientes.

Desde la solicitud de una corrección a una empresa o institución hasta poder recurrir a las autoridades competentes requiere de procesos presenciales, que inhiben a los ciudadanos a presentar sus casos.

La existencia de un marco regulatorio abre la posibilidad para iniciar procesos sancionatorios efectivos y rápidos, o al menos que no duren tanto como actualmente en Costa Rica.

Cómo recolectar datos
Lo que se establece en la ley:
Cuando se soliciten datos de carácter personal será necesario informar de previo a las personas de la existencia de una base de datos, fines, destinatarios y quién podrá consultarla, tratamiento de los datos, consecuencias de no suministrar los datos, derechos e identidad y dirección del responsable de la base de datos.
El consentimiento debe constar por escrito (documento físico o electrónico), pero no será necesario cuando: exista orden judicial o de comisión legislativa, sean datos de fuentes de acceso público o cuando deban ser entregados por disposición constitucional o legal.
Fuente: Ley N° 8968