(CRHoy.com) -Expertos en ciberseguridad, derecho y protección de datos encienden las alarmas en torno a un cuestionado proyecto de ley que impulsa el diputado Enrique Sánchez, del oficialista Partido Acción Ciudadana (PAC), sobre datos biométricos de las personas.

Adalid Medrano, abogado especialista en delitos informáticos y ciberseguridad, y Mauricio París, abogado experto en arbitraje, tecnología, protección de datos y contratos internacionales, coincidieron en que la iniciativa despierta inquietudes porque contiene riesgos y debilidades.

Sánchez, jefe la fracción parlamentaria del PAC, presentó la iniciativa bajo el expediente 22.388 para reformar la Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales.

Según el legislador, la propuesta -presentada en medio de cuestionamientos al Gobierno por la creación de la Unidad Presidencial de Análisis de Datos (UPAD)- tiene como objetivo garantizar a cualquier persona el respeto a su derecho a la autodeterminación informativa en relación con su vida o actividad privada y demás derechos de la personalidad, así como la defensa de su autonomía personal con respecto al tratamiento automatizado o manual de sus datos.

De aprobarse, la ley se aplicaría al tratamiento de los datos personales, incluyendo la recopilación, el uso, la retención y análisis por organismos públicos o privados.

Señala que los datos deberán ser recopilados y procesados solo para fines determinados, explícitos y legítimos. "No deberán ser procesados de una manera que sea incompatible con dicho propósito".

El texto reconoce el derecho de las personas a la autodeterminación informativa que abarca un conjunto de principios y garantías relativas al tratamiento de sus datos personales.

Además, establece el consentimiento informado cuando se soliciten datos de carácter personal. Sin embargo, incluye 7 excepciones, según las cuales no se necesitará el consentimiento informado de las personas para la recolección de sus datos. Estas son las siguientes:

• Cuando lo disponga o habilite una norma de rango constitucional o legal que salvaguarde la integridad de los datos y restrinja su uso a los fines que persiga esa norma.
• Cuando exista una orden fundamentada dictada por una autoridad judicial competente.
• Para la prevención, investigación, persecución, detención y represión de las infracciones penales.
• Para el funcionamiento de bases de datos que se utilicen con fines estadísticos, históricos o de investigación científica o para la adecuada prestación de servicios públicos, siempre que los datos se hayan anonimizado previamente y no exista riesgo de que las personas sean identificadas.
• Cuando el tratamiento sea necesario para para la ejecución de un contrato solicitado por la persona titular o para la aplicación de un contrato en el que el interesado es parte.
• Cuando es necesario el tratamiento para proteger intereses vitales de la persona interesada o de otra persona física, si la persona interesada no está capacitada física o jurídicamente para dar su consentimiento.
• Cuando el tratamiento es necesario para el cumplimiento de una finalidad realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.

El proyecto de ley también establece que la Agencia de Protección de Datos de los Habitantes (Prodhab) se convierta en un órgano adscrito a la Asamblea Legislativa.

Ordena que toda base de datos, pública o privada, deberá inscribirse en el registro que habilite la Prodhad, con excepción de aquellas sin fines comerciales administradas por personas físicas.

Además, crea un capítulo que incluye sanciones por incumplimientos a la normativa, que incluye faltas leves, graves y gravísimas con las correspondientes multas.

Agencias tipo UPAD

Medrano sostuvo que el proyecto de ley no cambia la redacción del artículo de transferencia de datos personales. Se sigue manteniendo que se requiere la autorización del titular para la transferencia de datos personales y lo incorpora como un derecho parte de la autodeterminación informativa que permite que se limite de dos maneras:

• A través de la norma que limita el ejercicio al derecho de autodeterminación informativa, que en este proyecto se reducen a dos: si se establece en una ley o en una orden emanada de autoridad judicial.
• Excepciones a la aplicación del consentimiento informado: incluye todas las que fueron eliminadas de las excepciones vigentes al derecho de autodeterminación informativa "y una más que podría darle licitud a una futura unidad como UPAD".

El especialista se refiere a la norma del proyecto que establece como excepción a la aplicación del consentimiento informado "cuando el tratamiento es necesario para el cumplimiento de una finalidad realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento".

"Quiere decir que de mano de una agencia complaciente con el gobierno de turno este tipo de normas podría permitir el funcionamiento de unidades como UPAD, a pesar de que de igual forma requerirían una norma que les habilite para dicho tratamiento", amplió.

Aunque reconoció que todo proyecto de ley debe entenderse como un borrador, manifestó que "con los precedentes tan recientes esta parte del proyecto es peligrosa".

En este escenario, recordó que la Casa Presidencial, con la creación de la UPAD, infringió la norma que requería el consentimiento de las personas para la realización de transferencias de datos porque actuó bajo decreto y sin una ley que lo facultara para ese propósito.

Aunque admitió que el texto incluye ventajas, también puntualizó las siguientes debilidades:

•  Regulación confusa sobre excepciones al consentimiento expreso que abre portillos innecesarios que deben discutirse seriamente.
•  Requiere el registro de todas las bases de datos de personas en el país. Esto significa un aumento innecesario de burocracia. "Dentro de esta limitación, las mantenidas por personas físicas con fines personales o domésticos, pero incluyendo las de prospección comercial, lo que genera que si una PYMES tiene una base de datos de posibles clientes, deba registrarla. El costo anual de la inscripción es de $300 anuales. El no registrarse es una falta gravísima con multas de hasta el 6% del volumen de negocio total anual global del ejercicio financiero anterior como máximo, optándose por la multa de mayor cuantía".
• Mantiene las sanciones por alojar datos personales de costarricenses en servidores en el extranjero, pero con un ámbito de aplicación de la ley más amplio. Esto podría generar un caos con respecto a empresas que cuentan con el consentimiento de usuarios para tratar sus datos en bases internas, pero que no requirieron de forma expresa el permiso para alojar los datos en el extranjero .
• Regulación confusa de datos sensibles y poco práctica en la protección de los intereses de los ciudadanos.
• No regula de forma expresa los burós de crédito y mantiene los cobros por consultas de datos personales, a pesar de que en la práctica se sabe que, en muchos casos, no cuentan con la autorización del titular para dicho tratamiento.
• No incorpora una regulación expresa y específica para la seguridad de los servicios bancarios.
• Define los datos biométricos, pero no brinda una regulación robusta que esté a la altura de los tiempos.

"Se queda corto"

París dijo que la iniciativa es positiva porque contribuye a la discusión de reformar íntegramente la Ley de Protección de Datos Personales y replantear la Agencia de Protección de Datos Personales.

Sin embargo, manifestó que "se queda corta".

"No estamos frente a una versión 2.0 de la norma, sino una 1.1., ya que más que una reforma integral a la Ley de Protección de Datos, el proyecto parece ser más una continuación de esta misma norma, con algunos artículos adicionales que incorporan principios y conceptos más actuales", comentó.

El experto puntualizó las siguientes inquietudes:

• Adscribir la Agencia de Protección de Datos a la Asamblea Legislativa sería inconstitucional. Esto por cuanto por ley ordinaria no podría serle otorgada la potestad de ejercer competencias que son, de conformidad con la Constitución Política, propias del Poder Ejecutivo, incluyendo la competencia de administración activa.
• "No podría el Poder Legislativo imponer, a través de esta agencia órdenes con carácter ejecutivo y ejecutorio, es decir, no podría imponer multas ni cobrarlas. Este fue el principal obstáculo para que la Prodhab se adscribiera a la Defensoría de los Habitantes cuando se aprobó la ley actual".
• Se mantiene el error conceptual de la actual Ley de Protección de Datos Personales de establecer determinados datos como de acceso irrestricto, categoría que no se adecua al estándar internacional en la materia y que tampoco ha sido delimitada en 10 años de existencia de la actual ley, ni se delimita en este proyecto.
• Las excepciones a los derechos de protección de datos que se establecen son genéricas e indeterminadas, y no establecen criterios básicos como determinar las categorías de datos, el alcance de las limitaciones, la determinación del responsable, los plazos de conservación o las garantías para evitar accesos o transferencias ilícitas.
• Se mantiene la visión, hoy superada internacionalmente, de inscripción de bases de datos y protocolos de actuación ante la Agencia de Protección de Datos, que ha fracaso durante una década de vigencia de esta ley con un número paupérrimo de bases de datos registradas, y que únicamente sirve para que la agencia cobre un canon anual, que además, se aumenta. La normativa moderna establece el registro de actividades de tratamiento y el principio de responsabilidad activa como mecanismos más adecuados para la protección de los datos.
• Se incrementan las sanciones, lo que es positivo. Sin embargo, en el caso de las faltas gravísimas, se establece que se sancionarán hasta con el 6% del volumen de negocio global de las empresas, lo que es incluso superior a las multas que se establecen en la Unión Europea. Es decir, seríamos el país del mundo con las sanciones más altas en la materia, pero además se mantienen los errores de formulación de la mayoría de estas, que, además, son contradictorias con las mismas normas que se están incluyendo en el nuevo proyecto.
• No se le asigna un presupuesto determinado a la agencia y se mantiene que este será el que le asigne el Estado.
• No se regulan los sistemas de información crediticia o burós de crédito, que siguen siendo uno de los principales problemas prácticos para los ciudadanos. Se mantiene el cobro de un canon por datos a las empresas que ofrecen estos servicios, que ha demostrado que la Agencia de Protección de Datos se enfoca más en cobrar el canon y no en regular su operación en beneficio de los ciudadanos.
• No se regulan tratamientos específicos muy necesarios, como el de datos de investigación de salud, videovigilancia o para fines electorales.
• No se regula la figura del encargo de datos personales ni las distintas responsabilidades que pueden afrontar los responsables y encargados del tratamiento de datos personales.
• No se regula la prescripción de las sanciones que se establecen ni cómo ejecutaría la Prodhab las sanciones que imponga.