4 razones para reformar la Ley de Protección de Datos Personales

(CRHoy.com) -Cuatro motivos bastan para reformar la Ley de Protección de la Persona frente al Tratamiento de sus Datos Personales, vigente en Costa Rica desde el 7 de julio de 2011.

Así lo explica el diputado Eliécer Feinzaig, jefe de la bancada legislativa del Partido Liberal Progresista (PLP), en un proyecto de ley con ese propósito que presentó y que avanza en el Congreso bajo el expediente 23.097.

Según el legislador, la incidencia de la normativa para resguardar los datos personales de los costarricenses ha sido limitada y ello se debe a las siguientes razones:

1. Poca difusión de la normativa vigente entre la ciudadanía. Esto no ha contribuido a desarrollar un cambio de cultura en materia de privacidad.

2. Normativa confusa, contradictoria e incompleta que no ha propiciado la existencia de un marco legal que ofrezca seguridad jurídica a los ciudadanos, pero, sobre todo, a las instituciones públicas y privadas, con respecto a las obligaciones materiales que deben cumplir.

3. Falta de recursos materiales y humanos para la Agencia de Protección de Datos de los Habitantes (Prodhab) que le permita asumir el rol protagónico requerido para lograr un estándar adecuado de protección de datos personales.

4. Falta de regularización del tratamiento de los datos personales por parte del Estado, sus instituciones y empresas.

"Estas circunstancias evidencian la necesidad de poner límites y exigencias claras al uso y transferencia de datos en el sector público, especialmente cuando se invoca la necesidad de utilizar los datos para el ejercicio de potestades públicas o la prestación de servicios públicos", escribió el legislador en el texto.

Tratamiento irresponsable

En el texto, Feinzaig sostiene que el tratamiento de los datos personales en el sector público ha sido inadecuado e irresponsable, según lo demuestran recientes casos.

a) El conocido caso "UPAD", en el cual la Presidencia de la República, en la administración de Carlos Alvarado, tuvo acceso a datos sensibles de los costarricenses, sin ley que la autorizara y sin consentimiento de la ciudadanía. Reveló la ausencia de reglas claras en cuanto a la transferencia de datos entre instituciones públicas, movimientos de los cuales los propios titulares desconocían y que se efectuaron sin ningún tipo de control y valiéndose de los vacíos de la legislación actual.

b) El caso conocido como "FARO", en el cual el Ministerio de Educación Pública (MEP) recolectó datos personales sensibles relativos a la condición socioeconómica de menores de edad, sin el consentimiento de sus padres y violentando la privacidad de ellos y sus familias.

c) Los ataques cibernéticos sufridos por los sistemas informáticos del Ministerio de Hacienda y otras entidades públicas por parte de cibercriminales. Se trata de la crisis de ciberseguridad más importante en la historia del país. Se expusieron datos personales de la ciudadanía con las nefastas consecuencias de dicha filtración para la privacidad, patrimonio e integridad de los costarricenses.

A estos casos hay que sumar la alarma entre entidades y ciudadanos que despertó el Banco Central de Costa Rica (BCCR) en las últimas semanas, luego de que se supo que el 23 de noviembre de 2022 solicitó a la Superintendencia General de Entidades Financieras (SUGEF) tener acceso a datos integrales de todas las operaciones de crédito, incluyendo el número de identificación personal de cada deudor, que las entidades financieras reguladas le remiten a la Superintendencia para sus labores de supervisión.

Replanteamiento

El congresista considera que las debilidades en la protección de datos personales también demuestran la necesidad de replantear a la autoridad reguladora de la materia: la Prodhab.

Se deben modificar sustancialmente las funciones, potestades y, sobre todo, el perfil institucional del regulador. Las dificultades que ha experimentado la institución desde su creación son las siguientes:

1. Una alta rotación de sus directores, quienes además han carecido de formación en la materia y una vez adquirido un conocimiento básico sobre la misma, han abandonado el cargo por diversas circunstancias.

2. Recursos humanos, económicos y tecnológicos muy limitados. La Prodhab cuenta con un modesto número de funcionarios, encargados del cumplimiento de una larga lista de potestades conferidas por ley. De todos estos funcionarios, pocos de ellos cuentan con un perfil enfocado en tecnología, por lo que, en la actualidad, la institución es materialmente incapaz de conducir, por ejemplo, una auditoría informática en los sistemas de un responsable del tratamiento.

3. La Agencia no ha contado con independencia de criterio porque durante muchos años sus resoluciones eran remitidas en apelación al Despacho del Ministro de Justicia, quien, a la hora de resolver, empleaba criterios no necesariamente técnicos. Esto llevó a que algunas sanciones impuestas resultaran siendo revocadas en dicha instancia. Esta ausencia de independencia se vio reflejada en los casos "UPAD" y "FARO".

4. La dependencia de la Prodhab al Ministerio de Justicia y Paz no tiene una justificación técnica porque se trata de un ministerio que no tiene visibilidad sobre los temas vinculados con la tecnología. Lo más razonable es que la Agencia esté adscrita al Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt), como órgano especializado y rector del Poder Ejecutivo en todo lo relacionado con este tema.

5. A la ausencia de recursos humanos se suma la imposibilidad jurídica de la entidad de imponer multas a los infractores de las disposiciones de la ley, debido a la inexistencia de un procedimiento administrativo aplicable, lo cual implica adoptar una reforma al reglamento respectivo.

Feinzaig asegura que a pesar de que la legislación vigente tampoco ha sido letra muerta, no ha propiciado un desarrollo suficiente del derecho a la privacidad del habitante.