A raíz del escándalo con respecto a la UNIDAD PRESIDENCIAL DE ANÁLISIS DE DATOS y la defensa que realiza la PRODHAB sobre la transferencia de datos personales entre instituciones públicas, es importante aclarar a la opinión pública lo que indica el ordenamiento jurídico costarricense en esta materia.
La Agencia de Protección de los Datos de los Habitantes defendió al gobierno, no a los habitantes.
Adjunto imagen del comunicado de PRODHAB, que la Unidad de divulgación de dicha institución solicitó dejar sin efecto, debido a la derogatoria del decreto violatorio de los datos de los habitantes, aunque cuando lo emitieron mencionaban ya dicha derogatoria -cosas que uno no entiende-).La PRODHAB, entre otras funciones establecidas en la ley, debe velar por el cumplimiento de la normativa en materia de protección de datos, tanto por parte de personas físicas o jurídicas privadas, como por entes y órganos públicos.
Ante el escándalo, en un sorpresivo comunicado por parte de PRODHAB, su directora nacional, la señora Elizabeth Mora manifestó lo siguiente :
«No existe una prohibición legal para que la información pueda ser compartida, siendo que la ley 8968 establece excepciones y una de ellas es la actividad ordinaria de la administración».
¿Pero qué dice la ley?
En Costa Rica, a través del reglamento de la ley 8968 se definió el concepto de transferencia de datos personales de la siguiente manera:
Artículo 2. Definiciones, siglas y acrónimos.
w) Transferencia de datos personales: Acción mediante la cual se trasladan datos personales del responsable de una base de datos personales a cualquier tercero distinto del propio responsable, de su grupo de interés económico, del encargado, proveedor de servicios o intermediario tecnológico, en estos casos siempre y cuando el receptor no use los datos para distribución, difusión o comercialización.
Quiere decir que si Presidencia le solicita datos personales a cualquier institución de la Administración pública, central o descentralizada, datos personales de los costarricenses, podríamos entender que se está solicitando una transferencia de datos personales, de un responsable a otro. De acuerdo a la ley un responsable de una base de datos es:
ARTÍCULO 3.- Definiciones
Para los efectos de la presente ley se define lo siguiente:
h) Responsable de la base de datos: persona física o jurídica que administre, gerencie o se encargue de la base de datos, ya sea esta una entidad pública o privada, competente, con arreglo a la ley, para decidir cuál es la finalidad de la base de datos, cuáles categorías de datos de carácter personal deberán registrase y qué tipo de tratamiento se les aplicarán.
Quiere decir que para la legislación cada entidad es responsable de sus bases de datos, las cuales deben estar adecuadas a un fin, por lo que no es de recibo que se busque «entender» al gobierno como el responsable como concepto abstracto, ya que no tiene fundamento legal.
¿Se pueden transferir datos personales libremente entre instituciones públicas?
No. La ley de protección de la persona frente al tratamiento de sus datos personales, en su artículo 14 y en el reglamento en el numeral 40, deja claro que es necesaria la autorización o consentimiento expreso del titular de los datos para la transferencia.
Ley Nº 8968
ARTÍCULO 14.- Transferencia de datos personales, regla general
Los responsables de las bases de datos, públicas o privadas, solo podrán transferir datos contenidos en ellas cuando el titular del derecho haya autorizado expresa y válidamente tal transferencia y se haga sin vulnerar los principios y derechos reconocidos en esta ley.
Reglamento N° 37554-JP
Artículo 40. Condiciones para la transferencia.
La transferencia requerirá siempre el consentimiento inequívoco del titular. La transferencia implica la cesión de datos personales por parte, única y exclusivamente, del responsable que transfiere al responsable receptor de los datos personales. Dicha transferencia de datos personales requerirá siempre del consentimiento informado del titular, salvo disposición legal en contrario, asimismo que los datos a transferir hayan sido recabados o recolectados de forma lícita y según los criterios que la Ley y el presente Reglamento dispone. No se considera trasferencia el traslado de datos personales del responsable de una base de datos a un encargado, proveedor de servicios o intermediario tecnológico o las empresas del mismo grupo de interés económico.Toda venta de datos del fichero o de la base de datos, parcial o total, deberá reunir los requerimientos establecidos en el párrafo anterior.
¿Es cierto que la ley tiene excepciones que limitan el ejercicio de la autodeterminación informativa ante la actividad ordinaria de la administración pública?
Es correcto, sin embargo, el espíritu de la ley está dirigido a evitar a que ciudadanos a través del ejercicio del derecho de autodeterminación informativa, busquen, por ejemplo, borrar su información de archivos de interés público ( Ej. borrar su información de expedientes administrativos, borrar deudas vigentes, etc.)
La ley, como lo hemos indicado desde artículos anteriores, no es la mejor y requiere reformas urgentes, pero es obligación de la directora nacional conocerla, velar por que se cumpla y si fuese necesario requerir que se reforme.
Se debe, de forma urgente, crear una norma que le brinde independencia al Director Nacional de la PRODHAB y que no sea un cargo de confianza, que puede ser removido de su puesto sin mayores explicaciones. Esto solo genera que cuando el Estado infringe la normativa de protección de datos personales, el director pueda preferir hacerse de la vista gorda para conservar su puesto y no velar porque se cumpla la ley.
El escándalo de UPAD le puede permitir al gobierno avanzar en la protección de los datos personales y en la utilización de BIG DATA para la toma de decisiones en la administración pública, siempre y cuando no se ponga en riesgo la privacidad de los habitantes.
Es decisión del gobierno si decide apoyar una reforma que dote de independencia a PRODHAB, darle recursos o fingir que es un órgano fiscalizador y que esto es un simple error.
