A raíz del escándalo con respecto a la UNIDAD PRESIDENCIAL DE ANÁLISIS DE DATOS y la defensa que realiza la PRODHAB sobre la transferencia de datos personales entre instituciones públicas, es importante aclarar a la opinión pública lo que indica el ordenamiento jurídico costarricense en esta materia.
Adjunto imagen del comunicado de PRODHAB, que la Unidad de divulgación de dicha institución solicitó dejar sin efecto, debido a la derogatoria del decreto violatorio de los datos de los habitantes, aunque cuando lo emitieron mencionaban ya dicha derogatoria -cosas que uno no entiende-).La PRODHAB, entre otras funciones establecidas en la ley, debe velar por el cumplimiento de la normativa en materia de protección de datos, tanto por parte de personas físicas o jurídicas privadas, como por entes y órganos públicos.
Ante el escándalo, en un sorpresivo comunicado por parte de PRODHAB, su directora nacional, la señora Elizabeth Mora manifestó lo siguiente :
«No existe una prohibición legal para que la información pueda ser compartida, siendo que la ley 8968 establece excepciones y una de ellas es la actividad ordinaria de la administración».
En Costa Rica, a través del reglamento de la ley 8968 se definió el concepto de transferencia de datos personales de la siguiente manera:
Artículo 2. Definiciones, siglas y acrónimos.
w) Transferencia de datos personales: Acción mediante la cual se trasladan datos personales del responsable de una base de datos personales a cualquier tercero distinto del propio responsable, de su grupo de interés económico, del encargado, proveedor de servicios o intermediario tecnológico, en estos casos siempre y cuando el receptor no use los datos para distribución, difusión o comercialización.
Quiere decir que si Presidencia le solicita datos personales a cualquier institución de la Administración pública, central o descentralizada, datos personales de los costarricenses, podríamos entender que se está solicitando una transferencia de datos personales, de un responsable a otro. De acuerdo a la ley un responsable de una base de datos es:
ARTÍCULO 3.- Definiciones
Para los efectos de la presente ley se define lo siguiente:
h) Responsable de la base de datos: persona física o jurídica que administre, gerencie o se encargue de la base de datos, ya sea esta una entidad pública o privada, competente, con arreglo a la ley, para decidir cuál es la finalidad de la base de datos, cuáles categorías de datos de carácter personal deberán registrase y qué tipo de tratamiento se les aplicarán.
Quiere decir que para la legislación cada entidad es responsable de sus bases de datos, las cuales deben estar adecuadas a un fin, por lo que no es de recibo que se busque «entender» al gobierno como el responsable como concepto abstracto, ya que no tiene fundamento legal.
No. La ley de protección de la persona frente al tratamiento de sus datos personales, en su artículo 14 y en el reglamento en el numeral 40, deja claro que es necesaria la autorización o consentimiento expreso del titular de los datos para la transferencia.
Ley Nº 8968
ARTÍCULO 14.- Transferencia de datos personales, regla general
Los responsables de las bases de datos, públicas o privadas, solo podrán transferir datos contenidos en ellas cuando el titular del derecho haya autorizado expresa y válidamente tal transferencia y se haga sin vulnerar los principios y derechos reconocidos en esta ley.
Reglamento N° 37554-JP
Artículo 40. Condiciones para la transferencia.
La transferencia requerirá siempre el consentimiento inequívoco del titular. La transferencia implica la cesión de datos personales por parte, única y exclusivamente, del responsable que transfiere al responsable receptor de los datos personales. Dicha transferencia de datos personales requerirá siempre del consentimiento informado del titular, salvo disposición legal en contrario, asimismo que los datos a transferir hayan sido recabados o recolectados de forma lícita y según los criterios que la Ley y el presente Reglamento dispone. No se considera trasferencia el traslado de datos personales del responsable de una base de datos a un encargado, proveedor de servicios o intermediario tecnológico o las empresas del mismo grupo de interés económico.Toda venta de datos del fichero o de la base de datos, parcial o total, deberá reunir los requerimientos establecidos en el párrafo anterior.
Es correcto, sin embargo, el espíritu de la ley está dirigido a evitar a que ciudadanos a través del ejercicio del derecho de autodeterminación informativa, busquen, por ejemplo, borrar su información de archivos de interés público ( Ej. borrar su información de expedientes administrativos, borrar deudas vigentes, etc.)
La ley, como lo hemos indicado desde artículos anteriores, no es la mejor y requiere reformas urgentes, pero es obligación de la directora nacional conocerla, velar por que se cumpla y si fuese necesario requerir que se reforme.
Se debe, de forma urgente, crear una norma que le brinde independencia al Director Nacional de la PRODHAB y que no sea un cargo de confianza, que puede ser removido de su puesto sin mayores explicaciones. Esto solo genera que cuando el Estado infringe la normativa de protección de datos personales, el director pueda preferir hacerse de la vista gorda para conservar su puesto y no velar porque se cumpla la ley.
El escándalo de UPAD le puede permitir al gobierno avanzar en la protección de los datos personales y en la utilización de BIG DATA para la toma de decisiones en la administración pública, siempre y cuando no se ponga en riesgo la privacidad de los habitantes.
Es decisión del gobierno si decide apoyar una reforma que dote de independencia a PRODHAB, darle recursos o fingir que es un órgano fiscalizador y que esto es un simple error.
Hoy surge una noticia que levanta las alarmas de muchos especialistas en derecho informático, prensa y ciudadanía.
El gobierno anunció la creación de «Unidad Presidencial de Análisis de Datos«, a través del decreto Nº 41996-MP-MIDEPLAN (Pocas horas después derogó el decreto) ,que en apariencia cualquier persona estudiosa de las ciencia de los datos le parecerá una excelente noticia, que más bien se había durado mucho en implementar.
Meses atrás en el Colegio de Abogados y Abogadas, expuse sobre Big data y la protección de datos personales en la administración pública, desde una perspectiva positiva, ya que es una excelente herramienta si la ciberseguridad y protección de los datos personales son el eje central de la función. Dentro del contexto de la charla, se encontraba el análisis del Expediente Único de Salud (EDUS) y todos los datos estadísticos que pueden manejarse para mejorar la toma de decisiones en la CCSS. Es un excelente ejemplo dentro de la administración del uso de datos estadísticos para mejorar la toma de decisiones.
Sin embargo, esta unidad presidencial tal como estaba descrita en el dereto derogado, luce como un troyano que buscaba hacerse con la posesión de los datos personales de los costarricenses, ya que en su artículo 7 establecía una obligación de acceso a la obligación por parte de UPAD:
Artículo 7º. -Obligación de acceso a la información.
Para el cumplimiento de las atribuciones constitucionales y legales del Presidente de la República, las instituciones de la Administración Pública Central y Descentralizada deberán permitir el acceso a toda información que sea requerida por parte de la UPAD para el cumplimiento de sus fines y objetivos, salvo aquellos casos particulares donde la información sea considerada como secreto de Estado. Para ello, se le facilitará los accesos a los datos o brindarán los insumos de información de forma oportuna y en formatos que permitan su análisis y procesamiento estadístico, cumpliendo todos los estándares para una adecuada gestión de la información, de forma que se garantice la integridad, confiabilidad y seguridad de los datos.
En cumplimiento de los incisos e) y f) del artículo 8º de la Ley de Protección de la Persona frente al tratamiento de sus datos personales, Ley Nº 8968, también se brindará acceso a la UPAD a información de carácter confidencial con la que cuenten las instituciones públicas cuando así se requiera. Dicha información mantendrá en todo momento su carácter confidencial, independientemente del acceso que se le brinde a la UPAD. En estos casos, la UPAD y las instituciones deberán establecer acuerdos de gobernanza para garantizar un uso responsable y coherente de los datos que beneficie a los ciudadanos y fortalezca la confianza pública
Debo reconocer que cuando escribí los artículos denunciando el debilitamiento de Prodhab y el peligro de un gobierno vigilante, no tenía conocimiento del decreto Nº 41996-MP-MIDEPLAN, porque ya leyéndolo me cuesta creer la casualidad de los hechos.
También me llama la atención que en noviembre del 2018, el gobierno de don Carlos Alvarado, hizo una alianza entre presidencia y PRODHAB, firmaron un convenio para unir esfuerzos en estas dos agendas:
«El Ministro de Comunicación, Juan Carlos Mendoza García, y la Directora de la Agencia de Protección de Datos (Prodhab), Ana Karen Cortés Víquez, firmaron un convenio de cooperación para impulsar, de forma conjunta, las agendas de gobierno abierto y de protección de datos de los habitantes.»
Esta alianza no representaría ningún problema si la PRODHAB hiciera un trabajo proactivo en la protección de los datos personales, pero como lo indiqué en el artículo anterior, con esta administración PRODHAD luce más débil y ante esta crisis salió en defensa del decreto, no de los datos de los habitantes (Una vez derogado el decreto, dejó su comunicado en defensa del gobierno, sin efecto.)
Tanta lealtad hacia el presidente es preocupante, más cuando es en esta administración donde se decide aplicar el derecho al olvido para borrar noticias de prensa, lo que también es preocupante, pecando la PRODHAB ya no por inacción, sino con violación de derechos fundamentales con resoluciones mal fundamentadas.
Si le sumamos los proyectos que cada vez tratan más datos personales, es preocupante que este gobierno buscara concentrar en una UNIDAD todos los datos personales, confidenciales o no de los costarricenses.
El gobierno busca justificar su accionar en el artículo 8 de la ley, que regula las excepciones al derecho de autodeterminación informativa de los costarricenses.
ARTÍCULO 8.- Excepciones a la autodeterminación informativa del ciudadano.
Los principios, los derechos y las garantías aquí establecidos podrán ser limitados de manera justa, razonable y acorde con el principio de transparencia administrativa, cuando se persigan los siguientes fines:
a) La seguridad del Estado.b) La seguridad y el ejercicio de la autoridad pública.
c) La prevención, persecución, investigación, detención y represión de las infracciones penales, o de las infracciones de la deontología en las profesiones.
d) El funcionamiento de bases de datos que se utilicen con fines estadísticos, históricos o de investigación científica, cuando no exista riesgo de que las personas sean identificadas.
e) La adecuada prestación de servicios públicos.f) La eficaz actividad ordinaria de la Administración, por parte de las autoridades oficiales.
Sin embargo, es claro que un requerimiento de datos confidenciales, no parece justo, ni razonable, ni adecuada al fin para el que fueron recolectados. Al mismo tiempo, de acuerdo al artículo 9, de la ley № 8968 tampoco podrían requerir datos sensibles, ni por supuesto hacer una transferencia de datos sin el consentimiento informado.
La ley deja claro que la transferencia de datos que solicitaba Presidencia solo se puede hacer con el consentimiento de los ciudadanos y en respeto de los principios de la ley.
ARTÍCULO 14.- Transferencia de datos personales, regla general
Los responsables de las bases de datos, públicas o privadas, solo podrán transferir datos contenidos en ellas cuando el titular del derecho haya autorizado expresa y válidamente tal transferencia y se haga sin vulnerar los principios y derechos reconocidos en esta ley.
En otras palabras, para transferir los datos personales de una institución estatal a otra, solo se puede realizar con el consentimiento del titular o por una disposición legal que lo habilites. Además, los datos solo pueden ser recopilados con fines determinados, explícitos y legítimos, y no serán tratados posteriormente de manera incompatible con dichos fines.
Presidencia, sin embargo, sí podría requerir que las instituciones públicas anonimicen los datos, los conviertan en datos estadísticos y así ellos podrían tratarlos sin posibilidad de violentar los derechos fundamentales de los costarricenses.
Resulta muy diferente, a tener una unidad que recopila datos personales, los convierte en datos estadísticos y le brinda acceso del dato personal, confidencial o no, a Casa Presidencial.
Resulta preocupante que en un Ministerio de Presidencia pudiese utilizar estos datos para atacar a adversarios políticos, disidentes o cualquiera otra persona con fines políticos.
No nos olvidemos que se quiere levantar el secreto bancario, se está utilizando el reconocimiento facial en vez de la cédula en ciertas instituciones, se instalarán cámaras que podrán dar seguimiento a la ruta de un vehículo y los proyectos de video-vigilancia con reconocimiento facial y de placas en municipalidades.
¿Qué se puede hacer con toda esa información con fines políticos?
Desde doxing (publicación de datos personales confidenciales en redes sociales en venganza) hasta manipulación de los adversarios con medidas extorsivas.
Y uno nada más esperaría que la CCSS se oponga a colaborar con datos sensibles del expediente digital.
¿Y la PRODHAB protestará o se mantendrá un silencio?
**Actualizado a las 8:21 PM
José Adalid Medrano Melara.
Abogado especialista en delitos informáticos y ciberseguridad, con más de una década de estudio del fenómeno de la ciberdelincuencia, co-redactor de las recientes reformas al Código Penal costarricense sobre delitos informáticos ( Leyes № 9048 y № 9035)
Como parte de la transformación digital que estamos viviendo, es normal que cada vez el Estado costarricense esté proyectando una mayor recopilación y tratamiento de datos personales de los habitantes.
El tratamiento de datos personales a nivel gubernamental no debe satanizarse, sin embargo, sí tenemos que ser vigilantes que se haga de forma lícita, segura, leal, transparente y adecuadas a un fin específico.
Acelerar en la adopción de sistemas de reconocimiento facial o aumentar el tratamiento de datos personales sin hacer una adecuada discusión a nivel nacional puede resultar contraproducente para el futuro de la sociedad. Podríamos convertir, sin querer, a Costa Rica en una mina de datos que le pueden permitir a cualquier país extranjero convertirlo en un espacio para el espionaje mundial -dirigido a nacionales o extranjeros- o inclusive facilitar la represión de opositores, a través de la vigilancia permanente, para un futuro gobierno autoritario.
Estados Unidos es un país donde se usa este tipo de tecnologías por las fuerzas públicas con el fin de ayudar en la lucha contra el crimen, sin embargo, se ha presentado oposición ciudadana, tanto por los sesgos raciales y de género, como también por la creación de una infraestructura de vigilancia donde no hay suficiente transparencia sobre el uso que se le puede dar a este tipo de tecnologías.
Los senadores estadounidenses han presentado un proyecto de ley donde se propone se posponga la utilización de tecnologías de reconocimiento facial hasta que no exista una ley federal que regule su uso, ya que en la actualidad ni siquiera hay consenso sobre las buenas prácticas que deben seguirse en el uso de estas tecnologías. Sin embargo, la prohibición podrá levantarse, si se requiere por parte de la policía, bajo autorización judicial.
En Europa, se está discutiendo también sobre un veto de cinco años para el uso de sistemas de reconocimiento facial, el cual se presentará el próximo 19 de febrero. En un borrador filtrado a Reuters, se entiende que la Unión Europea no llegue a vetar los sistemas de reconocimiento facial, pero sí establecer límites a dicha tecnología. Sobre este tema, Margrethe Vestager, vicepresidenta de la Comisión Europea y comisaria de Competencia, indicó lo siguiente:
«los sistemas de inteligencia artificial pueden ser una “caja negra”, de forma que no se pueda comprobar si utilizan datos sesgados y poder hacer frente a las respuestas que producen. Por ello, “siempre deben ser las personas, no los ordenadores, las que estén, en última instancia, a cargo de las decisiones que afectan a nuestras oportunidades y a nuestra libertad”. Fuente: Computer World.
En China, ya cuentan con con más de 170 millones de cámaras con sistemas de reconocimiento facial (se estima que se instalarán 400 millones más en los próximos tres años), y el gobierno tiene la capacidad de identificar a un ciudadano en un tiempo menor a los 7 minutos, en China continental. Lo más grave es el sistema de crédito social, donde las personas pueden tener consecuencias en su vida diaria, como no poder usar el transporte público, si se detecta que no tienen una buena calificación.
En nuestro país hay muchas iniciativas que «sin querer» podrían estar dando pasos agigantados hacia la construcción de una infraestructura de vigilancia ciudadana que mal utilizadas, en un futuro, podrían darle mucho poder a un gobierno autoritario.
Todo aumento en el tratamiento de datos personales por parte del Estado debería acompañarse de esfuerzos para el fortalecimiento de las instituciones del Estado que ayudan a fortalecer la ciberseguridad:
1. CSIRT-CR: el Centro de Respuesta de Incidentes de Seguridad Informática, que fue creado a finales del 2012, en todos estos años, con ojos externos no percibimos síntomas de fortalecimiento y ni siquiera muestra capacidades de retención de talentos cuya formación le ha costado al país. Me consta que históricamente los funcionarios a cargo han mostrado muy buena voluntad, pero desde mi lente no veo real voluntad política para darles armas para que hagan su trabajo.
2. PRODHAB: a pesar de que debería fiscalizar las bases de datos personales del Estado, promover las buenas prácticas en la protección de los datos y el cumplimiento de la ley, como lo indicaba en el artículo anterior, no pareciera tampoco que hasta la fecha se hayan hecho esfuerzos por fortalecerla. Por ejemplo, resulta increíble cómo la agencia «temporalmente» lleva meses usando un correo de gmail para comunicaciones oficiales y su sitio web no cuenta con un certificado digital (SSL), lo que en ambos casos representa riesgo de suplantación de identidad.
Con el fin de cumplir requisitos e ingresar a OCDE, a través de la PRODHAB, el presente gobierno está creando una Estrategia de Privacidad, donde entiendo que paralelamente se presentará un proyecto de ley sobre protección de datos personales, cuya discusión no debería tomarse a la ligera, debido a los grandes avances en más recopilación de datos por parte del gobierno que deberían tener mayores controles.
Los proyectos que más me levantan las alarmas a nivel de privacidad ciudadana, a pesar de que estoy seguro que sus objetivos son nobles, son los siguientes:
1. Sistema de identificación digital: un proyecto con indudables beneficios para la ciudadanía, pero que también abre las puertas para un riesgo para la privacidad de los ciudadanos. La existencia de una base de datos electrónica a través de la cual una persona, legal o ilegalmente, podría consultar cuál ha sido el paso de ciertos ciudadanos en instituciones públicas, genera serias dudas que deberían haberse discutido a nivel nacional antes de su implementación. Ya lo están usando para identificar visitantes en el Ministerio de Hacienda, Poder Judicial e inicia su uso en la CCSS.
Preguntas abiertas:
a- ¿Cuál es el fundamento legal para esa recopilación sin consentimiento informado a través de sistemas de reconocimiento facial? ¿Se pueden tratar datos personales sensibles por el gobierno? (Ver artículos 5, 8 y 9 de la ley № 8968 )
b- ¿Cuál es la posición de la PRODHAB con respecto a este tema? ¿Ha fiscalizado que se cumpla el marco jurídico sobre protección de datos personales?
2. Levantamiento administrativo del secreto bancario: el Ministerio de Hacienda requiere se hagan reformas legales «de manera que la autoridad tributaria pueda conseguir información sobre los activos y los ingresos que manejan las empresas, así como su patrón de gasto». Más allá de si es excesivo o correcto, se debe analizar qué datos son estrictamente necesarios para que Hacienda pueda cumplir el fin de reducir la evasión fiscal.
Preguntas abiertas:
a- ¿Merece la misma protección a la privacidad una persona física a una jurídica?
b- ¿Es necesario levantar el secreto bancario o se puede crear un sistema de alertas ante comportamientos sospechosos de acuerdo a lo que se establezca en el momento en la ley? ¿O se piensa que un burócrata debería tener acceso a todos los datos personales sensibles contenidos en un estado de cuenta bancario?
3. Sistema de tránsito con cámaras de videovigilancia: este sistema tendrá como fin el cumplimiento de la ley de tránsito, lo que parece que no debería tener mayores repercusiones para la privacidad de los usuarios. Sin embargo, el sistema tendrá un algoritmo que identifica placas, las recopila, las categoriza y lo más preocupante es lo que adelanta la funcionaria que dio declaraciones al diario La Nación:
“Significa que yo le puedo dar seguimiento a una placa en particular y puedo tener el recorrido de esa placa mientras pase por donde tengo la tecnología instalada. La idea es que en siguientes fases este proyecto sea de utilidad para otras instituciones como el Organismo de Investigación Judicial”
Preguntas abiertas:
a- ¿Cuáles son las salvaguardas para que esta información, en tiempo real, no sea utilizada con fines espurios o sea interceptada en tiempo real por una potencia extranjera?
b- ¿Tendrá el sistema una bitácora de accesos a la información que se recopile? ¿Se tiene previsto un sistema de auditoría proactivo para controlar el acceso a esta información?
c- ¿Qué es más peligroso, una intervención telefónica activa -en tiempos donde la mayoría de personas usan sistemas que encriptan comunicaciones de punto a punto- o un monitoreo en tiempo real de los movimientos de un ciudadano?
d- ¿Si se analiza esta información en conjunto con otra información que recopila el gobierno, como lo es las facturas de compras de un individuo, cuánta información estamos dispuestos a que controle el gobierno sin control?
4. Videovigilancia con sistemas inteligentes en Municipalidades: la vigilancia a través de cámaras es una acción importante para incrementar la seguridad y debe aumentarse. Sin embargo, cuando se tienen planes de reconocimiento facial o de placas de vehículos, surgen dudas sobre el tratamiento de los datos personales y cómo podrían utilizarse en contra del ciudadano, más cuando no hay transparencia sobre los sistemas utilizados.
Tuve la oportunidad de ver una exposición de un alcalde, donde anuncia que estaban analizando la posibilidad de usar el reconocimiento de las placas de los vehículos que circulan por el cantón y también un sistema de reconocimiento facial para identificar delincuentes. En este caso, no solo me preocupa sobre la legalidad de la iniciativa, sino que también sobre el uso de sistemas de «caja negra» que no nos permiten saber si permiten tratamientos ilegales o vigilantes en contra de la población.
5. Resoluciones de la PRODHAB sobre el derecho al olvido: Aunque no es propiamente sobre vigilancia, sí se da sobre el control que puede tener el estado con la normativa de protección de datos. En este caso, la agencia ha obligado a La Nación a borrar noticias que vinculan a personas que cometieron actos delictivos y cuyas noticias superan los diez años. Lo anterior sin hacer análisis sobre el interés público de la noticia. Ver video.
Preguntas abiertas
a- ¿Puede un gobierno utilizar las herramientas de protección de datos personales para «borrar el pasado» de personas que quieran ingresar a la política nuevamente?
b- ¿La propuesta de PRODHAB, a cargo de una empresa consultora, para reformar la ley de protección de datos personales protegerá la libertad de prensa o buscará legalizar estos actos?
En el proceso de transformación digital del Estado costarricense la ciberseguridad y la protección de los datos personales deben ser el eje central, por lo que es incompatible con la democracia avanzar hacia un Estado que recopile información personal sin ninguna clase de control o salvaguardas.
Cuando se trata de la seguridad de los sistemas informáticos de un Estado y la protección de los datos no puede dejarse de lado el posible interés de potencias extranjeras, por lo que no se puede avanzar ni un solo paso sin priorizar la ciberseguridad.
Si el gobierno busca proponer una nueva legislación no debe hacerlo a la carrera y debe discutirlo de forma adecuada (De forma transparente y abierta) , porque los retos regulatorios son grandes y los intereses de diferentes grupos enormes.
La transformación digital de la sociedad costarricense es un proceso imparable que promete grandes beneficios y conlleva profundos cambios, tanto para ciudadanos, como para gobiernos, organizaciones, empresas y delincuencia.
En este mundo digital la información es poder y el dato personal se encuentra en la cúspide jerárquica de los datos que pueden ser recopilados con fines estratégicos comerciales / organizacionales/ criminales.
Protección del dato frente a tratamientos ilegales.
El dato personal puede ser obtenido por vías legales o ilegales, quien lo facilite puede ser el titular del dato o el responsable de la base de datos, por lo que es imperativo que las personas sigan las buenas prácticas de protección de información personal y cumplan a cabalidad la normativa vigente. La negligencia en la protección del dato y/o el incumplimiento legal pueden tener severas consecuencias para el titular del dato y terceros relacionados con este.
De acuerdo a un estudio de ESET, Costa Rica es el país latinoamericano más vulnerable a los ataques de ingeniería social , lo que si contrastamos con el alto número de estafas informáticas que se están dando en el país, donde utilizan el engaño para obtener información personal de los clientes del sector financiero para cometer acciones delictivas, es claro que nuestro país requiere mayor educación y fiscalización del tratamiento de los datos personales de los habitantes, ya sea por sus titulares como por PRODHAB y/o la Fiscalía, en cumplimiento de las facultades establecidas por ley.
Si las personas tomaran mejores decisiones vinculadas con la privacidad y un buen ejercicio del derecho de autodeterminación informativa podríamos ver una reducción en los delitos informáticos.
Es una institución de desconcentración máxima adscrita al Ministerio de Justicia y Paz, con independencia de criterio… Su principal objetivo es garantizar a cualquier persona, independientemente de su nacionalidad, residencia o domicilio, el respeto a su derecho a la autodeterminación informativa..» Fuente [ Prodhab: Quiénes Somos ].
Es un derecho de control, derivado del derecho a la privacidad, que tiene toda persona sobre el flujo de informaciones que conciernen a su persona, de acuerdo a las garantías y excepciones que contiene el ordenamiento jurídico, con el fin de evitar que se propicien acciones discriminatorias.
¿Por qué debe fortalecerse la PRODHAB?
La construcción del futuro de la democracia depende de las buenas decisiones que la sociedad vaya tomando con respecto a la protección de los datos personales.
La labor de la agencia es demasiado importante para la protección del pasado, presente y futuro del país como para dejar que la institución se dirija con un rumbo poco claro.
El cargo de director requiere excelencia.
Si la PRODHAB no hace su labor de forma adecuada, peligran los datos personales de los costarricenses, que pueden ser robados o darse tratamientos ilegales que pueden afectar al ciudadano en el presente o en el futuro.
La inestabilidad en el puesto de director, desde mi perspectiva, atenta contra la independencia de la agencia, tomando en cuenta que esta debe fiscalizar la labor de ministerios y/o instituciones estatales, -incluyendo al Ministerio de la Presidencia- en el tratamiento de los datos personales.
Quien ostente la dirección debe hacerlo con amplio conocimiento, independencia, valentía y sin miramiento alguno con sectores o instituciones que se pueden sentir afectados con los objetivos que la ley le otorga como mandato a la agencia.
Con el fin de enfrentar los retos que conlleva aplicar la normativa vigente, que entendemos no es la mejor, requiere un(a) director(a) nacional competente, valiente y con gran conocimiento sobre la materia.
Es importante recalcar que existen limitaciones presupuestarias y regulatorias que le impiden a la agencia desempeñar su labor a la altura de los tiempos.
A nivel de capital humano, en su mayoría la agencia se ha distinguido por tener personas muy colaboradoras y con alto compromiso con la causa, a pesar de las limitaciones.
En su momento, he tenido la oportunidad de interactuar con diferentes directores nacionales, darle seguimiento a sus acciones y puedo indicar que me parece que en su mayoría han sido personas probas, de buena fe y aunque no todos se han destacado por una trayectoria anterior vinculada con la materia, es notorio que su conocimiento ha ido en crecimiento conforme más tiempo han durado en el cargo. Lamentablemente, el tiempo que cada uno de ellos ha permanecido en su cargo ha sido efímero, por lo que dicha inestabilidad le cobra factura al país, ya que cada vez, en cierto modo, iniciamos de cero.
La directora nacional actual Elizabeth Mora, sí que tiene una trayectoria a nivel de protección de datos personales, ya que ha fue asesora legal de la agencia, antes de ser designada como directora nacional. Por lo que en buen principio, cuando inicia su gestión en junio del año 2019, no debería sentirse como un inicio. A pesar de lo anterior, esta dirección no refleja dicha experiencia y su trayectoria en la PRODHAB me parece que le ha restado a la agencia más de lo que le ha aportado.
He tenido acceso a algunas resoluciones que doña Elizabeth ha elaborado para la agencia como asesora legal (2018) y también las que ha firmado como directora nacional y las mismas cuentan con poco fundamento jurídico, son escuetas y en algunos casos violatorias de derechos fundamentales como el de libertad de prensa. Como abogados es normal que podamos diferir con el criterio emanado de una resolución, pero si somos justos podemos apreciar que la misma se encuentra fundamentada, sin embargo, este no ha sido el caso.
Es mejor ayudar a construir que la crítica vacía.
En el caso de una agencia que enfrenta una situación de bajo presupuesto, bajo acceso a capacitación, poco personal y una regulación deficiente, lo correcto es ayudarles a construir. En la Comisión de Derecho Informático del Colegio de Abogados y Abogados, de la que soy parte, siempre hemos mantenido una política de colaboración con la agencia y se debe reconocer la buena disposición de la jerarca anterior.
Una agencia invisible
La comunicación sobre la labor de la agencia, hace que los ciudadanos entendamos mejor sobre su trabajo y cómo impacta la vida del costarricense, lo que no solo tiene que ver con los eventos que realicen, capacitaciones y asistencia a foros técnicos, sino también el conocimiento de sus resoluciones. Por lo que es lamentable, que desde el año 2018 la agencia no divulgue sus resoluciones en su sitio web, lo que genera inseguridad jurídica y es un síntoma de poca transparencia.
Este año, con la actual directora, en la celebración del día mundial de protección de datos personales, la PRODHAB no envío representante a un evento organizado por el Colegio de Abogados y Abogadas, que buscaba construir, a partir de dos mesas redondas, en dos importantes temas para la sociedad costarricense:
1- Salarios de funcionarios públicos: ¿Privados o de libre divulgación? (Ver video)
2. Mesa redonda: Derecho al olvido y prensa. (Ver video)
La ausencia de la directora de la agencia y/o de otro representante, deja enormes dudas sobre su trabajo, en dos temas de interés público, que merecían discutirse, con el fin de profundizar y analizar posibles soluciones, debido al alto nivel de complejidad y las flojas resoluciones de la PRODHAB y/o Sala Constitucional.
Por otro lado, no es el único caso donde la agencia brilla por su ausencia, prestemos atención a los siguientes casos:
2 de diciembre, 2019
Centro de datos de Hacienda es vulnerable: De acuerdo al informe de la Contraloría el servidor tenía 1.286 cuentas que no corresponden a usuarios identificables y podríamos inferir que se pueden hacer ataques masivos para averiguar las contraseñas de los contribuyentes al no haber bloqueos por intentos fallidos o alertas en este sentido.
En los servidores de Hacienda podemos encontrar datos personales socioeconómicos, por ende sensibles, pero también datos personales de salud, contenidos en facturas de servicios de salud y toda clase de hábitos de compra de todos los ciudadanos del país.
Consultas abiertas para la Agencia.
-¿Ya realizó alguna investigación de oficio al responsable de la base de datos (Hacienda)?
–¿Ha manifestado alguna posición oficial sobre la gravedad de este tipo de vulnerabilidad en servidores que por la sensibilidad de la información que manejen requieren mayor protección?
14 de enero, 2020
Caso de filtración de salarios de futbolistas: Los salarios de las personas son datos personales sensibles, debido a su carácter socioeconómico y no pueden ser tratados sin el consentimiento de las personas.
Consultas abiertas para la Agencia.
-¿Ya realizó alguna investigación de oficio al responsable de la base de datos (CCSS)?
– ¿Ha manifestado alguna posición oficial sobre la filtración a prensa de los salarios de los jugadores?
9 de diciembre, 2019
Restauración nacional consiguió información personal del 76% de las personas que estaban empadronadas para votar en esos comicios, según los registros de envío que entregó el partido político al Tribunal Supremo de Elecciones (TSE) [Fuente:La Nación]
La directora nacional le indicó a La Nación lo siguiente:
» los números de teléfono de celulares son un dato privado y que la única base legal para el tratamiento de datos personales es el consentimiento informado.
«Por ley, debe estar inscrita ante la Prodhab «toda base de datos, pública o privada, administrada con fines de distribución, difusión o comercialización».
Consultas abiertas para la Agencia.
-¿Ya realizó alguna investigación de oficio sobre cómo el responsable de la base de datos obtuvo estos datos?
–¿Realmente una base de datos interna donde cada dato no se vende sino se consulta debe registrarse de acuerdo a la ley? Ver Reglamento Ley №8968, Artículo 2. inciso e).
– ¿Dado que la Prodhab puede actuar de oficio y y considera que dichas bases de datos deben estar inscritas, inició un proceso sancionatorio de acuerdo a los artículos 27, 28, 30 de la ley de protección de la persona frente al tratamiento de sus datos personales?
-¿Si los datos personales contenidos en esa base de datos fueron comprados, no considera la Prodhab que nos encontramos ante un delito de Violación de datos personales?
CASO UBER (2016)
En el año 2016 se dio una filtración de datos personales por parte de Uber, por lo que la PRODHAB «elevó el lunes 4 de diciembre la solicitud de información sobre la filtración masiva de Uber Technologies Inc. a su institución homóloga en Holanda, donde presuntamente ocurrió la vulneración. En búsqueda de posibles afectaciones a usuarios de la plataforma en el territorio nacional, la entidad procedió a entablar comunicaciones con la Autoridad de Protección de Datos Personales (DPA, por sus siglas en inglés) de Holanda, donde se habría presentado la fuga de datos según un informe que Uber Costa Rica hizo llegar a la PRODHAB ante una solicitud que se remonta al 22 de noviembre anterior» (Fuente: Amelia Rueda]
Consulta abierta para la Agencia.
–¿Cuál ha sido el resultado de este proceso?
-¿Se le ha dado seguimiento por la actual directora?
Es una buena noticia que la agencia esté realizando una especie de auditoria con el fin de crear una Estrategia nacional de privacidad y que esta será entregada en los próximos meses, ya que al país le urge tenerla debido a que es un requisito para que el país pueda ingresar a la OCDE.
En mi caso, asistí a uno de los talleres parte de este proceso, pero lamento que en vez de utilizar el espacio para analizar los retos regulatorios, se utilizara para «capacitarnos» sobre temas básicos de protección de datos personales.
Con gran entusiasmo estaré esperando la propuesta de Estrategia Nacional de Privacidad esperando sea más profunda que simplemente señalar que debemos copiar «GDPR» ( 
Reglamento General de Protección de Datos)
Conclusión.
Ha llegado el momento de aumentar la exigencia a la Prodhab, porque su labor es tan importante que no podemos simplemente mirar para otro lado.
Los datos personales se tratan ilegalmente todos los días y la agencia debe cumplir con la labor encomendada por la ley, debe buscar reformas que le permitan hacer mejor su trabajo y ser más transparente con la población.
La dirección debe acelerar el paso, porque cada hora perdida tiene un impacto en la seguridad de los datos de los habitantes.
Abogado especialista en delitos informáticos y ciberseguridad, con más de una década de estudio del fenómeno de la ciberdelincuencia, co-redactor de las recientes reformas al Código Penal costarricense sobre delitos informáticos ( Leyes № 9048 y № 9035)
