Iniciativa busca eliminar abusos con datos personales

(CRHoy.com) -Un proyecto de ley que avanza en el Congreso pretende cerrar los portillos que le permiten a las instituciones públicas incurrir en abusos con el tratamiento de datos confidenciales de los costarricenses.

La iniciativa, que se tramita bajo el expediente 23.097, es impulsada por el diputado Eliécer Feinzaig, del Partido Liberal Progresista (PLP), y consiste en una reforma a la Ley de Protección de la Persona frente al Tratamiento de sus Datos Personales, vigente en Costa Rica desde el 7 de julio de 2011.

La propuesta cobra especial importancia después de los cuestionamientos que ha recibido el Banco Central de Costa Rica (BCCR) en las últimas semanas por solicitar a la Superintendencia General de Entidades Financieras (SUGEF) tener acceso a datos integrales de todas las operaciones de crédito, incluyendo el número de identificación personal de cada deudor, que las entidades financieras reguladas le remiten a la Superintendencia para el desarrollo de sus labores de supervisión.

¿Qué proponen Feinzaig y sus compañeros de la fracción parlamentaria del PLP en el proyecto de ley?

La iniciativa consta de 83 artículos estructurados en 10 capítulos y 4 disposiciones transitorias.

Regulaciones

Entre otras disposiciones generales, se plantea regular el tratamiento de los datos de los fallecidos al garantizarle a las personas vinculadas con ellas o a sus herederos el ejercicio de determinados derechos, como el acceso, rectificación y supresión, en su caso, con sujeción a las instrucciones del fallecido.

Además, establece que cualquier limitación al derecho de protección de datos personales deberá estar no solo fundamentada en una ley especial, sino también los requisitos mínimos para asegurar garantías adecuadas al titular de los datos personales y conciliar el derecho a la protección de los mismos con otros derechos y libertades fundamentales.

El texto incluye reglas para regular la transferencia de datos entre las instituciones públicas, de manera que si no hay una ley expresa que faculte dicha transferencia, pero esta se entiende como implícitamente necesaria para alcanzar una finalidad pública dispuesta por ley, la transferencia deberá ser autorizada previamente por la Agencia de Protección de Datos de los Habitantes (Prodhab) y cumplir con una serie de requisitos legales concretos.

Esas transferencias deberán ser comunicadas a los titulares de los datos involucrados. Además, se prohíben las transferencias masivas e indiscriminadas de bases de datos completas para no incrementar los riesgos de ciberseguridad y para evitar que se violenten los principios de minimización y proporcionalidad.

Otras normas que incluye el proyecto son las siguientes:

• Recoge los principios aplicables a la materia: exactitud, legitimación, lealtad, transparencia, finalidad, minimización, calidad, responsabilidad, seguridad y confidencialidad.
• Regula la figura del consentimiento que ha de proceder de una declaración o de una clara acción afirmativa del afectado, excluyendo la posibilidad de un consentimiento tácito. También regula específicamente el consentimiento por parte de los menores de edad.
• Se exige a los responsables adoptar en todo momento medidas de seguridad informática robustas y proporcionales al riesgo del tratamiento de los datos.

Derechos

La propuesta, además, apunta a los derechos del titular de los datos e incluye el elenco completo de derechos como acceso, rectificación, cancelación y oposición), así como la figura del derecho a la portabilidad de los datos.

Uno de los planteamientos es garantizar el derecho de todo titular a no ser objeto de decisiones individuales automatizadas basadas en sus datos, y a requerir la intervención humana, lo cual resulta esencial en un contexto en donde se implementan cada día, con mayor frecuencia, aplicaciones de inteligencia artificial para la toma de decisiones que tienen un impacto significativo en la vida de las personas.

La reforma plantea regulaciones a las transferencias internacionales de datos personales, a las medidas proactivas en el tratamiento de datos personales y a la evaluación del impacto a la protección de datos.

Replanteamiento y sanciones

La propuesta contiene un replanteamiento completo de la autoridad de protección de datos en Costa Rica (hoy la Prodhab):

• Se establece que tenga relación con el Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt).
• Se le cambia su nombre, se amplían sus potestades y funciones, y se le garantiza independencia.
• Se le dota de mayores recursos humanos y económicos para el desarrollo de sus competencias.

El proyecto de ley regula los procedimientos en caso de posibles vulneraciones a la normativa, incluye un régimen de sanciones o actuaciones correctivas frente a infracciones de distinta gravedad e incrementa las cuantías económicas por violaciones a las disposiciones.

La propuesta ya se encuentra en el orden del día del Plenario Legislativo y está lista para que se inicie la discusión de enmiendas al texto.