Los datos personales son cualquier dato relativo a una persona física identificada o identificable <fn>Artículo  3, ley Nº8968 de protección de la persona frente al tratamiento de sus datos personales</fn>  y cada vez tienen mayor demanda en el mercado negro, lo que es estimulado debido a las bajas medidas de seguridad que resguardan muchos sistemas informáticos.

Por lo anterior, y ante la agresiva  violación de datos personales a nivel global, es que en nuestro país en el año 2011 se promulgó la ley de protección de datos personales<fn>Ley de protección de la persona frente al tratamiento de sus datos personales, Nº 8968 </fn>, y en el 2012, en la reforma al código penal Nº 9048<fn> Y la reforma posterior Nº9135, sobre delitos informáticos</fn>  se incluye en el numeral 196 bis, el tipo penal “Violación de datos personales” con el cual por primera vez se protegen los datos personales en nuestro código penal

Datos personalesViolación de datos personales en la CCSS

El día de hoy la CCSS denuncia que dos empleados de una entidad bancaria vulneraron las medidas de seguridad informática que protegían los datos personales de cientos de miles de costarricenses mediante el uso de bots informáticos que tenían la tarea de realizar la violación de datos personales. 

“Aunque los hechos se empezaron a detectar en marzo, la Caja Costarricense de Seguro Social (CCSS) presentó la denuncia ante el Ministerio Público, el 14 de agosto y ante la Agencia de Protección de Datos, el 21 de agosto. Esta información trascendió la noche de este lunes, mediante un comunicado de prensa de la Caja, que no amplió en detalles.Aparentemente, los involucrados en este delito utilizaron un robot  software para violentar las barreras de seguridad informática, agrega el boletín.” vía ‘Hackers’ violan datos de planillas en sistema de CCSS.

Los empleados de la entidad bancaria se exponen a penas de prisión de 1  a tres años, por el delito de violación de datos personales, debido a que en beneficio de un tercero, con daño para la intimidad y sin la autorización del titular de los datos, recopilaron datos personales de ciudadanos costarricenses, almacenados en un sistema informático.<fn>Artículo 196 bis.Será sancionado con pena de prisión de uno a tres años quien en beneficio propio o de un tercero, con peligro o daño para la intimidad o privacidad y sin la autorización del titular de los datos, se apodere, modifique, interfiera, acceda, copie, transmita, publique, difunda, recopile, inutilice, intercepte, retenga, venda, compre, desvíe para un fin distinto para el que fueron recolectados o dé un tratamiento no autorizado a las imágenes o datos de una persona física o jurídica almacenados en sistemas o redes informáticas o telemáticas, o en contenedores electrónicos, ópticos o magnéticos……..</fn>.

Por otro lado, la entidad bancaria por la violación de datos personales administrativa, al recolectar dichos datos sin el consentimiento informado y expreso del titular de los datos, lo que constituye una falta grave -de acuerdo a la ley de protección de datos personales- se expone a una una multa de cinco a veinte salarios base del cargo de auxiliar judicial I,<fn>Artículo 28, inciso b, de Ley de protección de la persona frente al tratamiento de sus datos personales, Nº 8968</fn>.

seguridad informáticaLlamada de atención.

Esta vulneración de las medidas de seguridad informática de la CCSS es una llamada de atención a todas las instituciones estatales del país que deben resguardar los datos personales de los costarricenses, porque es claro que existen delincuentes y hasta empresas interesadas en nuestros datos personales.

Con el fin de hacer conciencia sobre este tema, desde la Comisión de Derecho Informático estamos realizando un evento sobre delitos informáticos el día de mañana, Conferencias: “Los Delitos Informáticos y el Convenio de Europa sobre Ciberdelincuencia: Un enfoque técnico y jurídico”. Cordialmente invitados.

Lic. Adalid Medrano

Abogado especialista en Derecho Informático. Co-redactor de las recientes reformas al Código Penal costarricense sobre delitos informáticos (9048 y 9035)