Reforma a la Ley de Protección de Datos: propuestas de mejora

Si algo nos han enseñado los últimos meses es que la protección de los datos personales es trascendental, especialmente ante la inevitable digitalización de la sociedad. Asimismo, en diversas ocasiones ha quedado demostrado que la Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales requiere una reforma integral de forma urgente. Es en este sentido que resulta positivo el proyecto presentado en esta línea por parte del diputado Enrique Sánchez y que puede dar base a una discusión seria al respecto.

No obstante, consideramos que el proyecto presentado tiene aspectos por la forma y por el fondo que requieren manejarse con cuidado. Asumimos, por ende, que la presentación del proyecto es sinónimo de apertura a perspectivas constructivas que devengan en una propuesta consensuada, robusta, pero sobre todo eficaz.

En primer lugar, si bien es loable la intención de dotar a la Agencia de Protección de Datos (Prodhab) de mayor independencia, la vía propuesta para ese fin sería inconstitucional. Desde 1991 la Sala Constitucional ha establecido que es contrario a la división de poderes, atribuir mediante ley ordinaria potestades ejecutivas y sancionatorias a un órgano del Poder Legislativo.

Por el contrario, lo viable legalmente y adecuado técnicamente es que la Agencia adopte la forma de ente público descentralizado. Solo de esta manera gozaría de plena autonomía administrativa, funcional y presupuestaria para ejercer sus funciones sin injerencias del Gobierno de turno.

Asimismo, por el fondo hay varios elementos que se deben revisar con detenimiento. En este sentido los siguientes son tan solo algunos de los puntos que llaman a discutir con mayor detenimiento:

• Las principales regulaciones de protección de datos en el mundo han recurrido al principio de responsabilidad activa de los responsables en lugar de buscar el registro obligatorio de las bases de datos y sus protocolos. A pesar de esto, el proyecto incluye la obligatoriedad de inscripción de prácticamente todas las bases de datos con su consecuente pago de un canon anual de US$ 300.00. Asimismo, su no inscripción es considerada una falta gravísima, lo cual es abiertamente irrazonable.
• Resulta prácticamente imposible el día de hoy realizar el tratamiento de datos personales sin tener que acudir a la figura del “encargado de tratamiento” en algún momento del proceso. Es decir, terceros que prestan labores de apoyo al responsable del tratamiento por cuenta de este, sea por ejemplo para el almacenaje de los datos, para cumplir ciertas labores de mercadeo, entre otras. A pesar de esto, el proyecto de ley es omiso en este aspecto y, sin lugar a duda, una regulación en este sentido brindaría mayores garantías.
• Las sanciones que se incluyen resultan desproporcionadas y desequilibradas, con lo cual serían inconstitucionales. En este sentido, se incluyen sanciones de hasta un 6% de los ingresos globales de una empresa (multa incluso más alta que la de los principales ordenamientos de la materia como lo es el Reglamento General de Protección de Datos de la Unión Europea) y, por otro lado, no hay ninguna sanción real ni suficientemente disuasoria hacia las instituciones públicas y/o funcionarios públicos que infrinjan esta Ley.
• En lugar de establecer parámetros claros para definir cuando es necesario nombrar un Oficial de Protección de Datos, se le establece a la Agencia la potestad de definir cuando esta figura es requerida. En este sentido, más allá de permitir un controlado desarrollo del manejo de datos personales, centraliza de forma considerable el poder en la Agencia de Protección de Datos. Una vez más, se prefiere la burocracia en lugar de la responsabilidad activa de los agentes.
• La regulación sobre los datos sensibles resulta ser confusa. Además, se brinda la posibilidad de extender la definición de los mismos vía reglamentaria, lo cual podría transgredir el principio de reserva de ley en materia de derechos fundamentales. En este sentido, más allá de prohibir el tratamiento de estos datos (requeridos para un importante número de actividades lícitas) se debería establecer una serie de lineamientos claros para su tratamiento y así evitar su uso inadecuado pero sin limitar la importancia de estos datos en muchas áreas.
• Algunas de las excepciones al consentimiento informado son peligrosas y sumamente genéricas. Por ejemplo, se mantiene la habilitación actual que faculta a las instituciones públicas a tratar (y por ende a compartir) datos personales sin necesidad de consentimiento ni de justificar el tratamiento. Las únicas dos excepciones al consentimiento informado en el sector público deberían ser la existencia de una ley que exima expresamente ese consentimiento, y la existencia de una orden de un juez de la República. En todo caso, cualquier excepción al consentimiento y a la autodeterminación informativa en el sector público debe estar aparejada de medidas exigentes de salvaguarda, uso proporcional y sanciones de despido para funcionarios renuentes.

Tal y como lo indicamos, a Costa Rica le urge una reforma a su marco legal de protección de datos personales. Esta reforma debe permitirle al país adherirse al Convenio 108 (principal tratado internacional de la materia) y además, buscar ser declarado como un país adecuado para la transferencia internacional de datos personales desde los países de la Unión Europea, lo cual hoy en día supone una ventaja competitiva.

Por último, debería aprovecharse el debate abierto con este proyecto, para ir más allá de solo “tropicalizar” la normativa extranjera. Existen figuras y mecanismos novedosos que bien podrían aprovecharse para colocar a Costa Rica a la vanguardia en cuanto a estándares de protección, como los data trusts (fideicomisos de datos) y otros mecanismos colectivos de protección de datos.

Lo más importante, en cualquier caso, es que la reforma sepa equilibrar la importancia y necesidad de aprovechar hoy en día los datos, con el derecho a la privacidad y a un tratamiento justo de los datos personales. Cualquier intento de hacernos creer que tenemos que renunciar a uno para obtener el otro, debe ser ignorado.

Este artículo representa el criterio de quien lo firma. Los artículos de opinión publicados no reflejan necesariamente la posición editorial de este medio. Delfino.CR es un medio independiente, abierto a la opinión de sus lectores. Si desea publicar en Teclado Abierto, consulte nuestra guía para averiguar cómo hacerlo.