Conozca los pros y contras del proyecto para proteger los datos personales

Abogado especialista en Delitos Informáticos y Ciberseguridad

José Adalid Medrano

Primeras impresiones del proyecto de ley de reforma integral de la ley de protección de datos personales (№ 22.388)

El pasado 28 de enero, en conmemoración del Día internacional de Protección de Datos Personales el diputado Enrique Sánchez del Partido Acción Ciudadana presentó un proyecto de ley que busca realizar una reforma integral a la ley de datos personales vigente, para cuya redacción se apoyó en ex-directores de la Prodhab:

1. a) Ana Karen Cortés: Dirigió la agencia 1 año (2018-2019).
2. b) Mauricio Garro: Dirigió la agencia 2 años y 7 meses en el cargo (2014-2017).

La elección de estas dos personas fortalece una visión en el proyecto con respecto a las necesidades que tiene la agencia, porque la conocen desde adentro, sin embargo, considero que de la misma forma adolece de un enfoque crítico con respecto a su gestión , porque la han dirigido por lo que son parte de los errores que han sido señalados desde su creación. El proyecto es un claro reflejo de lo anterior, lo que no está mal, porque como todo proyecto de ley es un punto de arranque para la discusión de un tema tan importante (Entiendo que no es el único que se ha elaborado.).

Estas son mis primeras impresiones del proyecto de ley № 22.388

Si debo resumir el proyecto lo haría de la siguiente forma: un buen primer paso para iniciar la discusión, pero está muy largo de una versión final. Por lo anterior, no debe desecharse, debe discutirse y mejorarse. De esto se trata este artículo.

Nos encontramos ante un proyecto que se inspira en ciertos elementos en el Reglamento Europeo de Protección de Datos (RGPD), al mismo tiempo que conserva muchos de los errores de nuestra legislación vigente, parece no entender la realidad económica del país, ni la necesidad de ser más exigente con las instituciones estatales: el proyecto es duro con la empresa y suave con el Estado.

De manera sumaria voy a presentar lo que considero  positivo del proyecto, para finalizar lo que considero que debe cambiarse.

Lo positivo:

4. Bueno para la libertad de expresión. Limita el derecho de supresión cuando nos encontremos ante casos de libertad de prensa. Sin embargo, me parece que esta limitación no puede ser absoluta y no protege al ciudadano en casos de excesos. Por lo que es importante que esta limitación se permita siempre que sea justa, lícita y necesaria para ejercer la libertad de prensa.
5. Fortalece la Prodhab. Le da la independencia necesaria a la Prodhab, al mismo tiempo que exige experiencia en materia de protección de datos personales para  la persona directora y contiene causales para cesarle.
6. Incorpora elementos de RGPD: Incorpora principios que son parte del Reglamento Europeo de Protección de datos (RGPD), que se ha convertido en el estándar en esta materia. Aunque la armonía con este no es plena y de ahí que puedan presentarse importantes diferencias.
7. Delegado de protección de datos: Incorpora el delegado de protección de datos, aunque no para todas las bases de datos, lo cual es bueno. Eso sí, su obligatoriedad requiere una interpretación amplia y eso debe revisarse.
8. Extraterritorialidad: Habilita la posibilidad de la aplicación de la ley nacional a tratamientos desde otras naciones.Aunque esto represente retos para su aplicación, es de recibo debido a las necesidades en esta materia.
9. Protección antes casos como Whatsapp/Facebook. No permite la transferencia de datos personales, sin consentimiento del usuario, entre empresas parte de un mismo Grupo de Interés económico. Esto sin duda traerá un gran debate al respecto.
10. Transferencias internacionales: Regula la transferencia transfronteriza de datos personales exigiendo que se brinde entre países que cuenten con una regulación adecuada de datos personales. Aunque la forma de regularlo requiere cambios para que no se vuelva un trámite burocrático más.
11. Seguridad jurídica con respecto al tratamiento de datos personales de menores. Incorporación de una edad mínima para brindar el consentimiento informado por parte de menores de edad en servicios de sociedad de la información, estableciéndolo en 15 años.
12. El establecimiento de estudios de impacto, para tratamientos de datos personales que pueden afectar podrían entrañar un alto riesgo. Aunque debe mejorarse para evitar que se convierta en un requisito burocrático sin aporte real a la seguridad.

Lo Negativo:

Eliminación de las excepciones al derecho de autodeterminación informativa: las excepciones a la autodeterminación informativa son necesarias para el funcionamiento del Estado (limitados de manera justa, razonable y acorde con el principio de transparencia administrativa) y el peligro se da con las interpretaciones amplias que ha permitido Prodhab, que son el fundamento de UPAD (Ver nota de Prodhab en el año 2018, en ese sentido ) y que permiten la transferencia de datos personales entre instituciones del Estado sin el consentimiento del titular o ley que lo habilite.

Este argumento se ha utilizado para defender al gobierno, que lo de UPAD es un error de la ley por las excepciones a este derecho, para no aceptar que contraviene una norma especial contenida en la ley con respecto a la transferencia de datos personales.

¿Con este proyecto se pretende que alguien pueda ir a una Institución estatal a que se borren expedientes que contienen sus deudas  o a pedir que se eliminen archivos de antecedentes judiciales (que ahora considerarían sensibles de forma expresa)?

Se establecen excepciones al consentimiento informado que abren portillos:  En estas excepciones, el cual incluye todas las que fueron  eliminadas de las excepciones vigentes al derecho de autodeterminación informativa y una más que podrían darle licitud a una futura unidad como UPAD:

“a) Cuando el tratamiento es necesario para el cumplimiento de una finalidad realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento” (inspirada en Reglamento Europeo de Protección de datos personales en el artículo 6.1 e)  sobre la licitud)

Lo anterior, quiere decir, que de mano de una agencia complaciente con el gobierno de turno este tipo de normas podría permitir el funcionamiento de Unidades como UPAD, a pesar de que igual forma requerirían una norma que les habilite para dicho tratamiento. Desde donde lo veo, esta estructura presentada parece más una defensa de UPAD, que una con carácter técnico.

Aumento de costos para PYMES al requerir registro de la mayoría de bases de datos: Requiere el registro de todas las bases de datos personales en el país, lo que es un aumento innecesario de burocracia y costos.  Se incluye una limitación  a las mantenidas por personas físicas con fines personales o domésticos.El costo anual de la inscripción es de $300 anuales. El no registrarse es una falta gravísima con multas de hasta  el 6% “de sus del volumen de negocio total anual global del ejercicio financiero anterior como máximo, optándose por la multa de mayor cuantía.”

Mantiene las  sanciones por alojar datos personales de costarricenses en servidores en el extranjero, pero con un ámbito de aplicación de la ley más amplio: Uno de los errores más graves de nuestra ley actual, al visualizar las bases de datos costarricenses como más seguras a nivel informático que otras en otros países. La ampliación de la aplicación de esta norma podría generar un caos con respecto a empresas que cuentan con el consentimiento de usuarios para tratar sus datos en bases de datos internas (actualmente no les aplica la ley) de la  pero que no requirieron de forma expresa el permiso para alojar los datos en el extranjero (Cuando menos se hubiese establecido un transitorio).La sanción por incumplir esto “una multa equivalente al 6% del volumen de negocio total anual global del ejercicio financiero anterior como máximo, optándose por la multa de mayor cuantía.”

Muy suave con las instituciones del Estado. Cuando una institución estatal que administre una base de datos pública cometa una falta, en vez de pagar una multa se le indicará cómo puede corregir su error, teniendo un régimen sancionatorio  distinto al resto de las personas jurídicas costarricenses quienes deben enfrentar multas desde el 2% hasta el 6% “de sus del volumen de negocio total anual global del ejercicio financiero anterior como máximo, optándose por la multa de mayor cuantía.”

No se incorpora la figura del intermediario tecnológico o proveedor de servicios. Debe ser una omisión, porque sería grave que se pretenda que se considere como una transferencia de datos personales, sin permitir al menos un transitorio para que las empresas tengan espacio para incorporarlo en sus políticas de privacidad para todos sus usuarios.

Aumenta las exigencias de seguridad de la información, pero no toma en cuenta la sensibilidad de la información, ni el tamaño de la empresa u organizacion. Esto le puede generar gastos altos para pequeñas empresas, aunque no traten datos que puedan generarle un perjuicio grave al ciudadanoEn mi caso considero que los expedientes médicos requieren mayor seguridad y sus bases de datos registradas, aunque sean de un médico independiente, por los riesgos para los usuarios. Y siempre la capacidad económica del responsable debe tomarse en cuenta.

Regulación de datos sensibles confusa y poca práctica en la protección de los intereses del ciudadano: al prohibir su tratamiento en vez de dar un marco de protección especial de acuerdo a las necesidades de las sociedad costarricense y contemplando todos los riesgos.

No regula de forma expresa los burós de crédito y mantiene los cobros por consultas de datos personales. A pesar de que en la práctica se sabe que, en muchos casos, no cuentan con la autorización del titular para dicho tratamiento.  Es una de las mayores quejas de los usuarios con respecto a sus datos, pero donde se puede beneficiar en los fondos la agencia. ¿Doble discurso?

No incorporar una sanción por no reportar un incidente de vulneración de datos personales y solo tomarlo en cuenta como un elemento para incorporar la sanción. Si una acción no tiene sanción es posible que se prefiera ocultar, aunque luego le ayude a reducir el monto de la pena.

No incorporar regulación expresa y específica para la seguridad de los servicios bancarios. En nuestro país no contamos con una ley de Servicios de la sociedad de la información y mucho menos uno que regule de forma expresa al sector bancario y siendo estas unas de las necesidades más grandes del costarricense no se puede omitir, a pesar de que no sea algo que esté incluido en legislaciones de otros países.

Define los datos biométricos pero no brinda una regulación robusta sobre datos biométricos que esté a la altura de los tiempos. El país requiere una regulación clara, que brinde seguridad jurídica en este campo, pero el proyecto genera lagunas que simplemente permiten su tratamiento en distintos campos.