Protección de Datos PersonalesPRODHAB: una agencia invisible que debe fortalecerse. Adalid Medrano - Abogado especialista en derecho informático - Costa Rica.

La transformación digital de la sociedad costarricense es un proceso imparable que promete grandes beneficios y conlleva profundos cambios, tanto para ciudadanos, como para gobiernos, organizaciones, empresas y  delincuencia. 

En este mundo digital la información es poder y el dato personal se encuentra en la cúspide jerárquica de los datos que pueden ser recopilados con fines estratégicos comerciales / organizacionales/ criminales.  

Protección del dato frente a tratamientos ilegales.

El dato personal puede ser obtenido por vías legales o ilegales, quien lo facilite puede ser el titular del dato o el responsable de la base de datos, por lo que es imperativo que las personas sigan las buenas prácticas de protección de información personal y cumplan a cabalidad la normativa vigente. La negligencia en la protección del dato y/o el incumplimiento legal pueden tener severas consecuencias para el titular del dato y terceros relacionados con este. 

De acuerdo a un estudio de ESET, Costa Rica es el país latinoamericano más vulnerable a los ataques de ingeniería social , lo que si contrastamos con el alto número de estafas informáticas que se están dando en el país, donde utilizan el engaño para obtener información personal de los clientes del sector financiero para cometer acciones delictivas, es claro que nuestro país requiere mayor educación y fiscalización del tratamiento de los datos personales de los habitantes, ya sea por sus titulares como por PRODHAB y/o la Fiscalía, en cumplimiento de las facultades establecidas por ley. 

Si las personas tomaran mejores decisiones vinculadas con la privacidad y un buen ejercicio del derecho de autodeterminación informativa podríamos ver una reducción en los delitos informáticos.


¿Qué es la PRODHAB?

 Es una institución de desconcentración máxima adscrita al Ministerio de Justicia y Paz, con independencia de criterio… Su principal objetivo es garantizar a cualquier persona, independientemente de su nacionalidad, residencia o domicilio, el respeto a su derecho a la autodeterminación informativa..”  Fuente [ Prodhab: Quiénes Somos ]. 

¿Qué es el derecho de autodeterminación informativa?

Es un derecho de control, derivado del derecho a la privacidad, que tiene toda persona sobre el flujo de informaciones que conciernen a su persona,  de acuerdo a las garantías y excepciones que contiene el ordenamiento jurídico, con el fin de evitar que se propicien acciones discriminatorias.

¿Por qué debe fortalecerse la PRODHAB?

La construcción del futuro de la democracia depende de las buenas decisiones que la sociedad vaya tomando con respecto a la protección de los datos personales.

La labor de la agencia es demasiado importante para la protección del pasado, presente y futuro del país como para dejar que la institución se dirija con un rumbo poco claro. 

El cargo de director requiere excelencia.

Si la PRODHAB no hace su labor de forma adecuada, peligran los datos personales de los costarricenses, que pueden ser robados o darse tratamientos ilegales que pueden afectar al ciudadano en el presente o en el futuro.

La inestabilidad en el puesto de director, desde mi perspectiva, atenta contra la independencia de la agencia, tomando en cuenta que esta debe fiscalizar la labor de ministerios y/o instituciones estatales, -incluyendo al Ministerio de la Presidencia- en el tratamiento de los datos personales. 

Quien ostente la dirección debe hacerlo con amplio conocimiento, independencia, valentía y sin miramiento alguno con sectores o instituciones que se pueden sentir afectados con los objetivos que la ley le otorga como mandato a la agencia.

Con el fin de enfrentar los retos que conlleva aplicar la normativa vigente, que entendemos no es la mejor, requiere un(a) director(a) nacional competente, valiente y con gran conocimiento sobre la materia.

Cómo es el desempeño de la PRODHAB en la actualidad

Es importante recalcar que existen limitaciones presupuestarias y regulatorias que le impiden a la agencia desempeñar su labor a la altura de los tiempos. 

A nivel de capital humano, en su mayoría la agencia se ha distinguido por tener personas muy colaboradoras y con alto compromiso con la causa, a pesar de las limitaciones.

En su momento, he tenido la oportunidad de interactuar con diferentes directores nacionales, darle seguimiento a sus acciones y puedo indicar que  me parece que en su mayoría han sido personas probas, de buena fe y aunque no todos se han destacado por una trayectoria anterior vinculada con la materia, es notorio que su conocimiento ha ido en crecimiento conforme más tiempo han durado en el cargo.  Lamentablemente, el tiempo que cada uno de ellos ha permanecido en su cargo ha sido efímero, por lo que dicha inestabilidad le cobra factura al país, ya que cada vez, en cierto modo, iniciamos de cero. 

La directora nacional actual  Elizabeth Mora, sí que tiene una trayectoria a nivel de protección de datos personales, ya que ha fue asesora legal de la agencia, antes de ser designada como directora nacional. Por lo que en buen principio,  cuando inicia su gestión en junio del año 2019, no debería sentirse como un inicio. A pesar de lo anterior, esta dirección no refleja dicha experiencia y su trayectoria en la PRODHAB me parece que le ha restado a la agencia más de lo que le ha aportado.  

He tenido acceso a algunas resoluciones que doña Elizabeth ha elaborado para la agencia como asesora legal (2018) y también las que ha firmado como directora nacional y las mismas cuentan con poco fundamento jurídico, son escuetas y en algunos casos violatorias de derechos fundamentales como el de libertad de prensa. Como abogados es normal que podamos diferir con el criterio emanado de una resolución, pero si somos justos podemos apreciar que la misma se encuentra fundamentada, sin embargo, este no ha sido el caso. 

Es mejor ayudar a construir que la crítica vacía. 

En el caso de una agencia que enfrenta una situación de bajo presupuesto, bajo acceso a capacitación, poco personal y una regulación deficiente, lo correcto es ayudarles a construir. En la Comisión de Derecho Informático del Colegio de Abogados y Abogados, de la que soy parte, siempre hemos mantenido una política de colaboración con la agencia y se debe reconocer la buena disposición de la jerarca anterior. 

Una agencia invisible

La comunicación  sobre la labor de la agencia, hace que los ciudadanos entendamos mejor sobre su trabajo y cómo impacta la vida del costarricense, lo que no solo tiene que ver con los eventos que realicen, capacitaciones y asistencia a foros técnicos, sino también el conocimiento de sus resoluciones. Por lo que es lamentable, que desde el año 2018 la agencia no divulgue sus resoluciones en su sitio web, lo que genera inseguridad jurídica y es un síntoma de poca transparencia.

Este año, con la actual directora, en la celebración del día mundial de protección de datos personales, la PRODHAB no envío representante a un evento organizado por el Colegio de Abogados y Abogadas, que buscaba construir, a partir de dos mesas redondas, en dos importantes temas para la sociedad costarricense: 

1- Salarios de funcionarios públicos: ¿Privados o de libre divulgación? (Ver video)

2. Mesa redonda: Derecho al olvido y prensa.  (Ver video)

La ausencia de la directora de la agencia y/o de otro representante, deja enormes dudas sobre su trabajo, en dos temas de interés público, que merecían discutirse, con el fin de profundizar y analizar posibles soluciones, debido al alto nivel de complejidad y las flojas resoluciones de la PRODHAB y/o Sala Constitucional.  

Por otro lado, no es el único caso donde la agencia brilla por su ausencia, prestemos atención a los siguientes casos:

2 de diciembre, 2019

Centro de datos de Hacienda es vulnerable: De acuerdo al informe de la Contraloría el servidor tenía 1.286 cuentas que no corresponden a usuarios identificables y podríamos inferir que se pueden hacer ataques masivos para averiguar las contraseñas de los contribuyentes al no haber bloqueos por intentos fallidos o alertas en este sentido.

En los servidores de Hacienda podemos encontrar datos personales socioeconómicos, por ende sensibles, pero también datos personales de salud, contenidos en facturas de servicios de salud y toda clase de hábitos de compra de todos los ciudadanos del país. 

Consultas abiertas para la Agencia.

-¿Ya realizó alguna investigación de oficio al responsable de la base de datos (Hacienda)?

¿Ha manifestado alguna posición oficial sobre la gravedad de este tipo de vulnerabilidad en servidores que por la sensibilidad de la información que manejen requieren mayor protección? 

 

14 de enero, 2020

Caso de filtración de salarios de futbolistas: Los salarios de las personas son datos personales sensibles, debido a su carácter socioeconómico y no pueden ser tratados sin el consentimiento de las personas.

Consultas abiertas para la Agencia.

 

-¿Ya realizó alguna investigación de oficio al responsable de la base de datos (CCSS)?

– ¿Ha manifestado alguna posición oficial sobre la filtración a prensa de los salarios de los jugadores? 

9 de diciembre, 2019

Restauración nacional consiguió información personal del 76% de las personas que estaban empadronadas para votar en esos comicios, según los registros de envío que entregó el partido político al Tribunal Supremo de Elecciones (TSE)   [Fuente:La Nación]

La directora nacional le indicó a La Nación lo siguiente:

” los números de teléfono de celulares son un dato privado y que la única base legal para el tratamiento de datos personales es el consentimiento informado.

Por ley, debe estar inscrita ante la Prodhab “toda base de datos, pública o privada, administrada con fines de distribución, difusión o comercialización”.

Consultas abiertas para la Agencia.


-¿Ya realizó alguna investigación de oficio sobre cómo el responsable de la base de datos obtuvo estos datos?

¿Realmente una base de datos interna donde cada dato no se vende sino se consulta debe registrarse de acuerdo a la ley? Ver Reglamento Ley №8968, Artículo 2. inciso e). 

– ¿Dado que la Prodhab puede actuar de oficio y y considera que dichas bases de datos deben estar inscritas, inició un proceso sancionatorio de acuerdo a los artículos 27, 28, 30 de la ley de protección de la persona frente al tratamiento de sus datos personales? 

-¿Si los datos personales contenidos en esa base de datos fueron comprados, no considera la Prodhab que nos encontramos ante un delito de Violación de datos personales?  

CASO UBER (2016)

En el año 2016 se dio una filtración de datos personales por parte de Uber, por lo que la PRODHAB “elevó el lunes 4 de diciembre la solicitud de información sobre la filtración masiva de Uber Technologies Inc. a su institución homóloga en Holanda, donde presuntamente ocurrió la vulneración. En búsqueda de posibles afectaciones a usuarios de la plataforma en el territorio nacional, la entidad procedió a entablar comunicaciones con la Autoridad de Protección de Datos Personales (DPA, por sus siglas en inglés) de Holanda, donde se habría presentado la fuga de datos según un informe que Uber Costa Rica hizo llegar a la PRODHAB ante una solicitud que se remonta al 22 de noviembre anterior” (Fuente: Amelia Rueda]

Consulta abierta para la Agencia.

¿Cuál ha sido el resultado de este proceso?

-¿Se le ha dado seguimiento por la actual directora?

Estrategia nacional de privacidad.

 

Es una buena noticia que la agencia esté realizando una especie de auditoria con el fin de crear una Estrategia nacional de privacidad y que esta será entregada en los próximos meses, ya que al país le urge tenerla debido a que es un requisito para que el país pueda ingresar a la OCDE.

En mi caso, asistí a uno de los talleres parte de este proceso, pero lamento que en vez de utilizar el espacio para analizar los retos regulatorios, se utilizara para “capacitarnos” sobre temas básicos de protección de datos personales.

Con gran entusiasmo estaré esperando la propuesta de Estrategia Nacional de Privacidad esperando sea más profunda que simplemente señalar que debemos copiar “GDPR” ( 🇪🇺Reglamento General de Protección de Datos)

Conclusión.

Ha llegado el momento de aumentar la exigencia a la Prodhab, porque su labor es tan importante que no podemos simplemente mirar para otro lado.

Los datos personales se tratan ilegalmente todos los días y la agencia debe cumplir con la labor encomendada por la ley, debe buscar reformas que le permitan hacer mejor su trabajo y ser más transparente con la población.

La dirección debe acelerar el paso, porque cada hora perdida tiene un impacto en la seguridad de los datos de los habitantes.

 

José Adalid Medrano Melara

Abogado especialista en derecho informático, conferencista internacional, consultor y capacitador sobre ciberdelincuencia, ciberseguridad y protección de datos personales. Co-redactor de las reformas al Código Penal costarricense sobre delitos informáticos ( Leyes № 9048 y № 9035) y del más reciente proyecto de ley de lucha contra la Ciberdelincuencia (Proyecto № 21187).

Leave a Reply

Your email address will not be published. Required fields are marked *