Protección de Datos PersonalesPrimeras impresiones del proyecto de ley de reforma integral de la ley de protección de datos personales (№ 22.388)

El pasado 28 de enero, en conmemoración del Día internacional de Protección de Datos Personales el diputado Enrique Sánchez del Partido Acción Ciudadana presentó un proyecto de ley que busca realizar una reforma integral a la ley de datos personales vigente, para cuya redacción se apoyó en ex-directores de la Prodhab:

a) Ana Karen Cortés: Dirigió la agencia 1 año (2018-2019).

b) Mauricio Garro:  Dirigió la agencia  2 años y 7 meses en el cargo (2014-2017).

La elección de estas dos personas fortalece una visión en el proyecto con respecto a las necesidades que tiene la agencia, porque la conocen desde adentro, sin embargo, considero que de la misma forma adolece de un enfoque crítico con respecto a su gestión, porque al haberla dirigido  son parte de los errores que han sido señalados desde su creación. El proyecto es un claro reflejo de lo anterior, lo que no está mal, porque como todo proyecto de ley es un punto de arranque para la discusión de un tema tan importante (Entiendo que no es el único que se ha elaborado).

En la exposición de motivos se presentan como las áreas de mejora del proyecto, con respecto a la ley actual lo siguiente:

  • Actualización de conceptos base utilizados en la legislación. Las nociones básicas a las cuales hace referencia la Ley vigente han sido superados en muchos casos. En algunas ocasiones, esto implicaría remozar conceptos ya empleados; en otras, añadir concepciones inexistentes en la legislación. Buenos ejemplos de esto son conceptos como “datos biométricos”, “datos genéticos” o “seudonimización”.
  • Desarrollo de los principios que rigen el tratamiento de datos personales, así como de los derechos que le asisten a las personas titulares. Teniendo como referente el RGPD de la Unión Europea, es evidente que los principios explicitados en la Ley Nº 8968 son limitados y no generan un marco robusto para el tratamiento de datos en el país. Principios como la lealtad, la transparencia, la minimización de datos o la finalidad o conservación limitada son ejemplos de ello. Asimismo, los derechos que le asisten a la persona tienen múltiples áreas de mejora, en casos como el derecho de oposición, limitación del tratamiento, supresión, o la portabilidad.
  • Limitación tajante de las excepciones a la autodeterminación informativa de la persona interesada, y clarificación de las excepciones al consentimiento informado. Una de las áreas más relevantes de mejorar. Las excepciones a la autodeterminación informativa en la Ley vigente son excesivamente amplias y riesgosas para la ciudadanía, pues abren muchísimas posibilidades de disminuir la totalidad de garantías (y no solo el consentimiento informado) establecidas en la Ley, lo cual es urgente de limitar únicamente a casos determinados por Ley o por vía judicial. Por otro lado, las excepciones al consentimiento informado de la persona interesada, deben ser clarificados y establecidos de manera específica, cerrando el lugar a interpretación en la normativa.
  • Fortalecimiento institucional de la Autoridad Nacional, la Prodhab. Este fortalecimiento va en dos sentidos: a) Dotar de independencia de criterio al órgano, mediante su traslado a un ámbito de la administración pública menos sujeta a determinaciones políticas coyunturales y b) Robustecer presupuestariamente a la Prodhab a través de nuevos mecanismos de ingreso y una mayor flexibilidad en el uso de los recursos recaudados por cánones y multas.
  • Fortalecimiento de las garantías para la seguridad y la confidencialidad. Implementar nuevas y mejores medidas preventivas, especialmente para tratamientos de datos de mayor riesgo. Entre los mecanismos que se podrían utilizar están robustecer los protocolos de actuación, los estudios de impacto o el requerimiento de una persona delegada de datos.
  • Fortalecimiento del esquema de sanciones. Actualización del esquema de sanciones de manera que esté acorde con la realidad económica del mercado de datos en la actualidad, bajo la premisa de que no sea más “rentable” para un ente responsable de tratamiento de datos, pagar multas que cumplir la ley.
  • Desarrollo de bases claras para la transferencia transfronteriza de datos. Establecer reglas nuevas bajo las cuales la Autoridad Nacional pueda determinar cuando es posible y válido realizar una transferencia de datos a otra jurisdicción, resguardando la integridad de los datos de las personas titulares de los mismos.

Estas son mis primeras impresiones del proyecto de ley № 22.388

Si debo resumir el proyecto lo haría de la siguiente forma: un buen primer paso para iniciar la discusión, pero está muy largo de una versión final. Por lo anterior, no debe desecharse, debe discutirse y mejorarse. De esto se trata este artículo.

Nos encontramos ante un proyecto que se inspira en ciertos elementos en el Reglamento Europeo de Protección de Datos (RGPD), al mismo tiempo que conserva muchos de los errores de nuestra legislación vigente, parece no entender la realidad económica del país, ni la necesidad de ser más exigente con las instituciones estatales: el proyecto es duro con la empresa y suave con el Estado.

De manera sumaria voy a presentar lo que considero  positivo del proyecto, para finalizar lo que considero que debe cambiarse.

Lo positivo:

 1. Bueno para la libertad de expresión. Limita el derecho de supresión cuando nos encontremos ante casos de libertad de prensa. Sin embargo, me parece que esta limitación no puede ser absoluta y no protege al ciudadano en casos de excesos. Por lo que es importante que esta limitación se permita siempre que sea justa, lícita y necesaria para ejercer la libertad de prensa. 

2. Fortalece la Prodhab. Le da la independencia necesaria a la Prodhab, al mismo tiempo que exige  experiencia en materia de protección de datos personales  para  la persona directora y contiene causales para cesarle.

3. Incorpora elementos de RGPD: Incorpora principios que son parte del Reglamento Europeo de Protección de datos (RGPD), que se ha convertido en el estándar en esta materia.  Aunque la armonía con este no es plena y de ahí que puedan presentarse importantes diferencias.

4. Delegado de protección de datos: Incorpora el delegado de protección de datos, aunque no para todas las bases de datos, lo cual es bueno. Eso sí, su obligatoriedad requiere una interpretación amplia y eso debe revisarse.

5. Extraterritorialidad:  Habilita la posibilidad de la aplicación de la ley nacional a tratamientos desde otras naciones.Aunque esto represente retos para su aplicación, es de recibo debido a las necesidades en esta materia.

6. Protección antes casos como Whatsapp/Facebook. No permite la transferencia de datos personales, sin consentimiento del usuario, entre empresas parte de un mismo Grupo de Interés económico. Esto sin duda traerá un gran debate al respecto. 

7. Transferencias internacionales: Regula la transferencia transfronteriza de datos personales exigiendo que se brinde entre países que cuenten con una regulación adecuada de datos personales. Aunque la forma de regularlo requiere cambios para que no se vuelva un trámite burocrático más.  

8. Seguridad jurídica con respecto al tratamiento de datos personales de menores. Incorporación de una edad mínima para brindar el consentimiento informado por parte de menores de edad en servicios de sociedad de la información, estableciéndolo en 15 años.

9. El establecimiento de estudios de impacto, para tratamientos de datos personales que pueden afectar podrían entrañar un alto riesgo. Aunque debe mejorarse para evitar que se convierta en un requisito burocrático sin aporte real a la seguridad.

Lo Negativo:
  1. Eliminación de las excepciones al derecho de autodeterminación informativa: las excepciones a la autodeterminación informativa son necesarias para el funcionamiento del Estado (limitados de manera justa, razonable y acorde con el principio de transparencia administrativa) y el peligro se da con las interpretaciones amplias que ha permitido Prodhab, que son el fundamento de UPAD (Ver nota de Prodhab en el año 2018, sobre las transferencias de datos personales entre instituciones ) y que permiten la transferencia de datos personales entre instituciones del Estado sin el consentimiento del titular o ley que lo habilite.Este argumento se ha utilizado para defender al gobierno, que lo de UPAD es un error de la ley por las excepciones a este derecho, para no aceptar que contraviene una norma especial contenida en la ley con respecto a la transferencia de datos personales.¿Con este proyecto se pretende que alguien pueda ir a una Institución estatal a que se borren expedientes que contienen sus deudas  o a pedir que se eliminen archivos de antecedentes judiciales (que ahora considerarían sensibles de forma expresa)?

     

  2. Se establecen excepciones al consentimiento informado que abren portillos:  En estas excepciones, el cual incluye todas las que fueron  eliminadas de las excepciones vigentes al derecho de autodeterminación informativa y una más que podrían darle licitud a una futura unidad como UPAD:


    “a) Cuando el tratamiento es necesario para el cumplimiento de una finalidad realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento” (inspirada en Reglamento Europeo de Protección de datos personales en el artículo 6.1 e)  sobre la licitud)

    Lo anterior, quiere decir, que de mano de una agencia complaciente con el gobierno de turno este tipo de normas podría permitir el funcionamiento de Unidades como UPAD, a pesar de que igual forma requerirían una norma que les habilite para dicho tratamiento. Desde donde lo veo, esta estructura presentada parece más una defensa de UPAD, que una con carácter técnico.

  3. Aumento de costos para PYMES al requerir registro de la mayoría de bases de datos: Requiere el registro de todas las bases de datos personales en el país, lo que es un aumento innecesario de burocracia y costos.  Se incluye una limitación  a las mantenidas por personas físicas con fines personales o domésticos.El costo anual de la inscripción es de $300 anuales. El no registrarse es una falta gravísima con multas de hasta  el 6% “de sus del volumen de negocio total anual global del ejercicio financiero anterior como máximo, optándose por la multa de mayor cuantía.”
  4. Mantiene las  sanciones por alojar datos personales de costarricenses en servidores en el extranjero, pero con un ámbito de aplicación de la ley más amplio: Uno de los errores más graves de nuestra ley actual, al visualizar las bases de datos costarricenses como más seguras a nivel informático que otras en otros países. La ampliación de la aplicación de esta norma podría generar un caos con respecto a empresas que cuentan con el consentimiento de usuarios para tratar sus datos en bases de datos internas (actualmente no les aplica la ley),  pero que no requirieron de forma expresa el permiso para alojar los datos en el extranjero (Cuando menos se hubiese establecido un transitorio).La sanción por incumplir esto “una multa equivalente al 6% del volumen de negocio total anual global del ejercicio financiero anterior como máximo, optándose por la multa de mayor cuantía.”
  5. Muy suave con las instituciones del Estado. Cuando una institución estatal que administre una base de datos pública cometa una falta, en vez de pagar una multa se le indicará cómo puede corregir su error, teniendo un régimen sancionatorio  distinto al resto de las personas jurídicas costarricenses quienes deben enfrentar multas desde el 2% hasta el 6% “de sus del volumen de negocio total anual global del ejercicio financiero anterior como máximo, optándose por la multa de mayor cuantía.”
  6. No se incorpora la figura del intermediario tecnológico o proveedor de servicios. Debe ser una omisión, porque sería grave que se pretenda que se considere como una transferencia de datos personales, sin permitir al menos un transitorio para que las empresas tengan espacio para incorporarlo en sus políticas de privacidad para todos sus usuarios.
  7. Aumenta las exigencias de seguridad de la información, pero no toma en cuenta la sensibilidad de la información, ni el tamaño de la empresa u organización. Esto le puede generar gastos altos para pequeñas empresas, aunque no traten datos que puedan generarle un perjuicio grave al ciudadano.  Personalmente, considero que los expedientes médicos requieren mayor seguridad y sus bases de datos registradas, aunque sean de un médico independiente, por los riesgos para los usuarios. Y siempre la capacidad económica del responsable debe tomarse en cuenta.
  8. Regulación de datos sensibles confusa y poca práctica en la protección de los intereses del ciudadano: al prohibir su tratamiento en vez de dar un marco de protección especial de acuerdo a las necesidades de las sociedad costarricense y contemplando todos los riesgos.
  9. No regula de forma expresa los burós de crédito y mantiene los cobros por consultas de datos personales. A pesar de que en la práctica se sabe que, en muchos casos, no cuentan con la autorización del titular para dicho tratamiento.  Es una de las mayores quejas de los usuarios con respecto a sus datos, pero donde se puede beneficiar en los fondos la agencia.¿Doble discurso?
  10. No incorporar una sanción por no reportar un incidente de vulneración de datos personales y solo tomarlo en cuenta como un elemento para incorporar la sanción. Si una acción no tiene sanción es posible que se prefiera ocultar, aunque luego le ayude a reducir el monto de la pena.
  11. No incorporar regulación expresa y específica para la seguridad de los servicios bancarios. En nuestro país no contamos con una ley de Servicios de la sociedad de la información y mucho menos uno que regule de forma expresa al sector bancario y siendo estas unas de las necesidades más grandes del costarricense no se puede omitir, a pesar de que no sea algo que esté incluido en legislaciones de otros países.
  12. Define los datos biométricos pero no brinda una regulación robusta sobre datos biométricos que esté a la altura de los tiempos. El país requiere una regulación clara, que brinde seguridad jurídica en este campo, pero el proyecto genera lagunas que simplemente permiten su tratamiento en distintos campos. ES TODO.

Este artículo está en desarrollo.


Descargar proyecto de ley. № 22.388)

José Adalid Medrano Melara

Abogado especialista en derecho informático, conferencista internacional, consultor y capacitador sobre ciberdelincuencia, ciberseguridad y protección de datos personales. Co-redactor de las reformas al Código Penal costarricense sobre delitos informáticos ( Leyes № 9048 y № 9035) y del más reciente proyecto de ley de lucha contra la Ciberdelincuencia (Proyecto № 21187).

One comment

  • Angie

    febrero 1, 2021 at 8:45 am

    Muy valioso el análisis rápido; nos permite ver más claro. Lo agradezco mucho. Para periodistas es muy necesario entenderlo.

Comments are closed.

Enviar mensaje
¿Necesitas ayuda?
¡Hola!

Si tienes una una consulta, puedes coordinar una cita con el abogado.