Los ataques informáticos más frecuentes, a nivel mundial, están vinculados de forma directa o indirecta con el «robo» de datos personales, lo que expone al ciudadano a ser víctima de actos discriminatorios o delitos de toda clase.
Por lo anterior, es importante avanzar en el fortalecimiento de regulación que proteja el derecho de autodeterminación informativa de las personas.
¿Qué es el derecho de autodeterminación informativa?
Es un derecho de control, derivado del derecho a la privacidad, que tiene toda persona sobre el flujo de informaciones que conciernen a su persona, de acuerdo a las garantías y excepciones que contiene el ordenamiento jurídico, con el fin de evitar que se propicien acciones discriminatorias.
En Costa Rica, los ciudadanos tenemos dos vías para podernos proteger cuando se comparten nuestros datos personales de forma ilegal:
1- Agencia de Protección de los Datos de los Habitantes (PRODHAB): en sede administrativa se puede denunciar cualquier violación de datos personales, por tratamiento ilegal de los datos del titular, sin consentimiento expreso o autorización expresa de la ley, de acuerdo a lo establecido en la ley № 8968. La PRODHAB, puede imponer multas de acuerdo a lo establecido en la ley para las faltas leves, graves o gravísimas.
2- Ministerio Público / Organismo de investigación Judicial: en sede penal se puede denunciar la violación de datos personales contenida en el artículo 196 bis del Código Penal, donde la acción violatoria del dato se diferencia de la violación administrativa, debido a que se realiza en beneficio propio o de un tercero.
El Delito Informático de Violación de Datos Personales.
"Artículo 196 bis.-
Violación de datos personales. Será sancionado con pena de prisión de uno a tres años quien en beneficio propio o de un tercero, con peligro o daño para la intimidad o privacidad y sin la autorización del titular de los datos, se apodere, modifique, interfiera, acceda, copie, transmita, publique, difunda, recopile, inutilice, intercepte, retenga, venda, compre, desvíe para un fin distinto para el que fueron recolectados o dé un tratamiento no autorizado a las imágenes o datos de una persona física o jurídica almacenados en sistemas o redes informáticas o telemáticas, o en contenedores electrónicos, ópticos o magnéticos…»
En la reformas al código penal №9048 y № 9135 se incorporó una protección penal al bien jurídico de autodeterminación informativa, con el fin de proteger al ciudadano del comercio ilegal de sus datos personales.
El beneficio propio o de un tercero.
La violación de datos debe realizarse, sin la autorización del titular, con peligro o daño a la intimidad o privacidad de un tercero, y el beneficio debe ser ilícito, económico o de otra índole, siempre que pueda debidamente ser demostrado en el proceso penal, a través de los medios de prueba permitidos en nuestro ordenamiento jurídico.
No todo tratamiento ilegal de datos personales que no cuenta con la autorización del titular puede perseguirse penalmente, ya que es esencial la existencia de un beneficio para el actor o un tercero, para que la acción encuadre en el tipo penal, ya que si carece de este elemento nos encontramos ante una posible infracción de la ley № 8968, la que puede ser investigada de oficio por la Agencia de Protección de los Datos de los Habitantes (PRODHAB). Esto es así por disposición del legislador, ya que la acción penal debe ser la última ratio y el espíritu de la ley es luchar contra el tráfico ilegal de datos personales, más no combatir por la vía penal todo tratamiento ilegal de datos personales.
El sujeto pasivo.
A diferencia de la ley № 8968, en el tipo penal, no solo se protegen los datos de las personas físicas, sino que también el de las personas jurídicas, por los que los datos de estas tampoco podrán ser tratados ilegalmente si esto le puede generar un daño a su intimidad o privacidad.
A nivel de ejemplo, si una persona vende los estados de cuenta de una persona jurídica nos encontraríamos ante el delito de violación de datos personales.
Los datos personales y la estafa informática
La violación de datos personales suele encontrarse en el camino hacia la comisión del delito de estafa informática, ya que los delincuentes utilizan la información personal para engañar al titular de los datos y darle peso a la ejecución del delito de suplantación de identidad, como en los casos del falso funcionario bancario.
Muchas personas reportan que los delincuentes tienen mucha información sobre ellos, lo que únicamente se pudiera dar si tuvieran posesión de los datos obtenidos de forma ilegal.
CASO UPAD
En este caso que ha sido tan reportado en los últimos días en los medios de comunicación, debe analizarse de forma exhaustiva si existe prueba o indicios que permitan determinar si algún funcionario pudo obtener un beneficio ilícito para sí o para un tercero con los datos personales obtenidospor motivo de su cargo.
En el caso de que un funcionario pueda haber extraído los datos personales, para ser utilizados en cualquier análisis de datos ajenos a la función en UPAD, que pueda haberle generado un beneficio económico o electoral para sí o para un tercero, podríamos encontrarnos ante la comisión del artículo contenido en el numeral 196 bis del Código Penal.
El caso con Proyecto de ley 21187
De acuerdo con la reforma al 196 bis propuesta, en un párrafo adicional, se podría sancionar penalmente, cuando una persona aún sin beneficio para sí o para un tercero copia la base de datos:
«Será sancionado con pena de prisión de tres a cinco años a quien copie o se apodere de una base de datos electrónica de datos personales, sin la autorización de los titulares de los datos personales contenidos en ésta odel responsable de la base de datos»
La principal diferencia es que permite proteger las bases de datos electrónicas de datos personales y no solo el dato personal de forma individual, en los casos donde no existe un beneficio.
La semana pasada la Fiscalía General realizó un allanamiento sin precedentes en Casa Presidencial, por la investigación de varios delitos, entre ellos el de Violación de Datos Personales.
