Story Transcript
Puesta en línea ………………………………………………..
DIAGNÓSTICO SOBRE LA VENTA DE DATOS EN COSTA RICA
A mediados del mes de abril del año en curso diferentes medios de la prensa nacional publicaron una serie de artículos informando sobre la posibilidad de que empresas radicadas en nuestro país estuvieran vendiendo información personal de ciudadanos costarricenses a empresas privadas o instituciones estatales norteamericanas. Ante esta denuncia el Ministerio de la Presidencia solicitó a la Ministra de Justicia y al Ministro de Seguridad Pública, así como al Consejo de Seguridad Integral, iniciar una investigación sobre el particular, a fin de esclarecer las circunstancias de este aparente tráfico de datos personales y revisar las medidas que podrían adoptarse por parte del Estado costarricense en salvaguarda de los derechos constitucionales de sus ciudadanos. Con fundamento en lo anterior se procedió a conformar una Comisión Interinstitucional integrada por representantes del Ministerio de Justicia, Ministerio de Seguridad Pública, Poder Judicial, Ministerio Público, Consejo de Seguridad Integral, Dirección de Inteligencia y Seguridad, y Procuraduría General de la República. Esta Comisión se avocó al abordaje de los siguientes aspectos: a) Identificación de las empresas que se dedican a la venta de datos personales en Costa Rica y tipo de información que ofrecen,1 b) Situación actual del tratamiento de datos personales, c) Información que suministran las Instituciones públicas para tal efecto, d) Análisis de la jurisprudencia constitucional sobre la protección de datos personales y, e) Proyectos de ley que se tramitan en la Asamblea Legislativa para la regulación de este tipo de bases de datos y recursos procesales para la protección de los derechos constitucionales vinculados con el tema.
Como corolario de lo anterior, se presentan las conclusiones del caso y sus respectivas recomendaciones. A.- IDENTIFICACIÓN DE LAS EMPRESAS QUE SE DEDICAN A LA VENTA DE DATOS PERSONALES EN COSTA RICA Y TIPO DE INFORMACIÓN QUE OFRECEN
1
Esta información fue recabada durante los meses de abril y mayo de 2003
1
Puesta en línea ……………………………………………….. De la investigación realizada por la Dirección de Inteligencia y Seguridad del Ministerio de la Presidencia, se logró establecer lo siguiente: “Actualmente existen en nuestro país empresas dedicadas a la obtención y comercialización de información, de las cuales se conocen: ♣ Cero Riesgo S.A.: “Toma de decisiones en tiempo mínimo y con riesgo controlado”. ♣ Datum.net: “Información inteligente”. ♣ InfoCrédito: “ Conéctese a nuestra base de datos electrónica y accese desde su escritorio la información comercial y legal que necesita para tomar sus decisiones”. ♣ Protecsa, Créditos y Valores Protegidos S.A.: “Toda la información y servicios financieros que necesite, con seriedad, rapidez y confianza”. ♣ Protectora de Crédito Comercial S.A.: “Institución decana de la información crediticia en el país”. ♣ Trans Union Costa Rica: “Información crediticia”. De dichas empresas se logró obtener la información que se detalla: Cero Riesgo S.A. Cédula Jurídica:
3-101-324617
Nombre legal:
Cero Riesgo Información Crediticia Digitalizada Sociedad Anónima.
Domicilio Legal:
San Pedro de Montes de Oca, 200 metros Sur de Apartamentos El Retiro
Actividad:
Servicios profesionales en telecomunicaciones En aspectos técnicos y distribución de equipo y Comercio en general
Fecha constitución: 2 de junio de 2002 Presidente:
Edgar Nicolas Gregory Sheperd, cédula N° 9-099-379
Secretaria:
Sonia Araya Rodríguez, cédula N° 2-430-877
Tesorero:
Carlos Villalobos Quirós, cédula N° 1-870-566
Fiscal:
Roberto León Leitón, cédula N° 1-999-056
Datos Técnicos:
La dirección electrónica es www.ceroriesgo.co.cr La dirección ip es 196.40.3.198; como 2
Puesta en línea ……………………………………………….. Proveedor de servicios figura RACSA. El Servidor se encuentra ubicado físicamente del Cementerio Obrero en San José 50 metros al Sur, en Centro Comercial Plaza Aventura, local N° 3. Cero Riesgo S.A. es una compañía especializada en brindar información crediticia de personas físicas y jurídicas e información laboral. Cuenta con una base de datos de más de 1.4 millones de referencias financieras actualizadas al año 2003. Incluye a todo el sector financiero estatal, privado, financieras, mutuales, etc. Dentro de sus bases de datos se puede consultar: ♣ ♣ ♣ ♣ ♣ ♣ ♣ ♣
Rangos salariales Verifica si es miembro de alguna junta directiva y su puesto dentro de la misma Estado civil Si posee referencias positivas y/o negativas Si es deudor o fiador de hipotecas y/o prendas Si posee bienes a su nombre Si tiene procesos judiciales Empresas que han consultado el nombre
Es importante resaltar que es una empresa en expansión y únicamente maneja bases de datos de Costa Rica, sin embargo, pueden existir clientes en todo el mundo que pueden suscribirse a través de red internet y tener acceso al sistema. DATUM.NET Cédula jurídica:
3-101-189003
Nombre legal:
ALUDEL.LTD
Domicilio legal:
Calle 15, Av.12 y 14 casa N° 1243
Actividad:
Venta y mantenimiento de computadoras
Fecha de constitución:
16 de abril de 1996
Gerente:
Rodrigo Emilio Mora Arguedas, cédula N° 1-697-941
Notario:
Elizabeth Mora Arguedas
Datos técnicos:
La dirección electrónica es www.datum.net. La dirección ip es 196.40.26.132. El proveedor de Servicios es RACSA; el servidor se encuentra Ubicado físicamente en el costado norte de la Rotonda de la bandera, oficina N° 4, teléfono 280-2818.
Datos que se pueden consultar: ♣ Fotografías de personas de las bases de datos del Registro Civil 3
Puesta en línea ……………………………………………….. ♣ Fotografías de personas de las bases de datos de licencias del Ministerio de Obras Públicas y Transportes (MOPT) ♣ Direcciones obtenidas de las bases de datos del Instituto Costarricense de Electricidad (ICE), licencias, tarjetas de crédito, Registro Público y Caja Costarricense de Seguro Social (CCSS) ♣ Juicios pendientes ♣ Bienes Muebles e Inmuebles ♣ Historial de Trabajo ♣ Salarios ♣ Datos personales ♣ Empresas que han consultado el nombre ♣ Tarjetas de crédito ♣ Prendas, hipotecas ♣ Personas jurídicas Es importante señalar que Datum.net es una empresa que se ha expandido por todo Centroamérica, maneja bases de datos de Nicaragua, Guatemala, Salvador y Panamá. Los clientes pueden encontrarse alrededor del mundo ya que la suscripción se realiza en línea y los pagos pueden hacerse por medio de tarjetas de crédito o depósitos bancarios. Además, curiosamente si la información que se necesita no está disponible dentro de las bases de datos, Datum.net por un monto extra, la consigue para un día después de solicitada, lo cual hace presumir que mantienen contactos en diferentes instituciones estatales lo que les permite actualizar la información. Por otra parte, es importante recalcar que se han interpuesto varios recursos de amparo contra esta empresa, sin embargo, la mayoría han sido declarados sin lugar. No obstante, es significativo que los recursos números 99-008823-0007-CO y el 99-0088230007-CO fueron declarados con lugar, por lo cual se obligó a la empresa a resarcir los daños causados en la sede civil. En uno de ellos se declara que la información de las bases de datos de la Caja Costarricense de Seguro Social, es considerada privada y la publicación de los mismos y su uso, atenta contra los derechos del recurrente. En el otro recurso igualmente quedó claro que el criterio de la Sala Constitucional es considerar los datos de la C.C.S.S., como privados, por lo tanto se ordenó a la empresa excluirlos de los reportes y solventar económicamente los daños causados. Algunas características según su publicidad en internet son: ♣ Es un servicio privado de información que agiliza el proceso de investigación y recolección de datos acerca de personas y sociedades. Las consultas automáticas al índice de documentos le dan información en minutos. ♣ El servicio de búsquedas inteligentes en línea ayuda a tomar su propia decisión de forma más acertada y rápida, servicio de gran utilidad para prevenir fraudes en instituciones financieras privadas y estatales, instituciones públicas, empresas de seguridad, recursos humanos, seguridad, investigación y legales. Servicios: ♣ Consultas al Registro Nacional ♣ Certificaciones del Registro Civil
4
Puesta en línea ……………………………………………….. ♣ Desde cualquier parte del país y el mundo ahora se puede solicitar certificaciones de nacimiento, estado civil y defunción. ♣ Estudios mercantiles ♣ Artículos y noticias ♣ Miles de artículos y casos publicados en diferentes medios de prensa son incluidos en el índice y pueden ser encontrados ♣ Red de información privada que permite consultar casos reales de cheques sin fondos, créditos morosos, juicios públicos, estafas, fraudes y otros realizados contra casas comerciales o particulares ♣ Correo electrónico ♣ Ofrecen sistema de mensajería gratuito para la comunicación entre los afiliados, de esta forma pueden solicitar o compartir información con otros usuarios Es importante mencionar que el 24 de abril de 2003, en Nicaragua, fue allanado el local donde se ubicaban las oficinas centrales de la sucursal de Datum.net, denominada SILNICA, sin embargo, en la actualidad la empresa está funcionando normalmente. Se solicitaron detalles a través de nuestros homólogos en ese país y estamos esperando respuesta. Telesoft InfoCrédito.com Cédula jurídica:
3-101-130741
Nombre legal:
Teletec S.A.
Domicilio legal:
Sabanilla, 100 metros norte del Parque, frente a La capilla del Asilo de Ancianos Carlos M° Ulloa
Actividad:
Servicios Profesionales en telecomunicaciones En aspectos técnicos y distribución de equipo y Comercio en general
Fecha de Constitución:
30 de octubre de 1992
Presidente:
Adolfo Oviedo Vargas, cédula N° 1-712-440
Secretario:
Fernando Víctor Sánchez, cédula N° 3-264-200
Tesorero:
Brenda Segura Campos, cédula N° 1-801-284
Fiscal:
Mainor Quesada Alpízar, cédula N° 2-411-445
Notario:
Jorge Arturo Quirós García
Datos técnicos:
La dirección electrónica es www.teletec.co.cr, www.infocrédito.com. La dirección ip es 163.178.8.2 y 208.133.203.226; el proveedor de servicios es el ICE. No se logró ubicar el servidor, sin embargo, 5
Puesta en línea ……………………………………………….. El contacto técnico está en Estados Unidos. Datos que se pueden consultar: ♣ ♣ ♣ ♣ ♣ ♣ ♣ ♣ ♣ ♣
Direcciones Juicios pendientes Bienes muebles e inmuebles Historial de trabajo Salarios Datos personales Empresas que han consultado Tarjetas de crédito Prendas, hipotecas Personas jurídicas
Actualmente sus servidores están fuera de servicio, sin embargo, se conoció que manejan únicamente bases de datos costarricenses. Sus clientes pueden estar en todo el mundo ya que las consultas se realizan a través de la red internet. Algunas características según su publicidad son: ♣ Ofrecen conocer cuál ha sido el comportamiento crediticio anterior de posibles clientes ♣ TELETEC S.A. es una empresa con más de diez años de operación en el mercado de protección crediticia Servicios: Ofrecen un servicio el cual ha permitido que diversas instituciones bancarias, emisores de tarjetas de crédito, arrendadoras, financieras, empresas comerciales e industriales, entre otras, reduzcan sus riesgos y costos, conformando carteras crediticias más sanas. Simultáneamente proveen servicios de información especializados dirigidos al sector de abogados que permite la consulta en línea de información del Registro Público, Registro Civil, Certificaciones y Cálculo de Timbres y Honorarios. Protecsa Créditos y Valores Protegidos S.A. Cédula jurídica:
3-101-213222
Nombre legal:
Créditos y Valores Protegidos S.A.
Domicilio legal:
Zapote, de la esquina sureste del Colegio de Abogados, 125 metros al oeste
Actividad:
Comercio en general y protección de crédito
Fecha constitución: 9 de diciembre de 1997 Presidente:
Antonio Robinson Thompson, cédula N° 7-076-745
6
Puesta en línea ……………………………………………….. Vicepresidente:
Daniel Campos May, cédula N° 3-327-216
Secretario:
Lissette Hernández Brenes, cédula N°1-653-946
Tesorero:
Nelson Alfaro Mithy, cédula N°1-920-013
Fiscal:
César Rojas Zúñiga, cédula N° 1-841-995
Notario:
Lorena Mount Villacura, cédula N° 8-049-080
Datos técnicos:
La dirección electrónica es protecsa.co.cr, la Dirección ip no se logró rastrear ya que el Servidor se mantiene fuera de línea, por lo cual No se conocen lo datos que se pueden consultar Protectora de Crédito Comercial
Cédula jurídica:
3-101-006071
Nombre legal:
Protectora de Crédito Comercial S.A.
Presidente: Carlos Axel Knudsen Faerrón, cédula N° 5-190-795 Datos que se pueden consultar: ♣ ♣ ♣ ♣ ♣ ♣
Direcciones Juicios pendientes Bienes muebles Bienes inmuebles Historial de trabajo Salarios
Algunas características según su publicidad en Internet. ♣ Protectora de Crédito Comercial S.A., está respaldada por más de 40 años de servicio en Costa Rica y en el mundo entero desde su fundación en 1957. A lo largo de su existencia han conformado una base de datos en información crediticia, registrando y actualizando día con día las diferentes transacciones de crédito de más de medio millón de personas y empresas, entre las que figuran instituciones, cooperativas, asociaciones, industrias y cualquier entidad que requiera del crédito como medio de subsistencia. Han desarrollado nexos con empresas homólogas en diversas partes del mundo, las cuales a la vez son corresponsales. Este hecho singular permite adquirir un reporte prácticamente de cualquier empresa del orbe. De igual forma, corresponsales a escala mundial constantemente solicitan información de las empresas residentes en el territorio nacional. Trans Union Costa Rica
7
Puesta en línea ……………………………………………….. Cédula jurídica:
3-101-147129
Nombre legal:
Trans Union Costa Rica Tucr S.A.
Domicilio legal:
Piso 2, Mezanine del centro Colón, San José
Actividad:
Comercio en general y protección de crédito
Fecha de constitución: 23 de febrero de 1994
Presidente:
Manrique Robert Odio, cédula N° 1-691-933
Vicepresidente:
Ralph Sonrice, pasaporte N° 023112101
Secretario:
Claudia Vilim, pasaporte N° 024171352
Tesorero:
Robert Owens, pasaporte N° 04308695
Notario:
Roberto Francisco León Gómez
Datos técnicos:
La dirección electrónica es www.tuca.org; la Dirección ip es 196.40.25.69. El proveedor Es RACSA y está ubicada físicamente en el Piso2 del Centro Colón.
Esta empresa en particular es una filial de una gran compañía transnacional dedicada al comercio de información, especialmente bases de datos de personas y compañías. La casa matriz está en Chicago, Estados Unidos y tiene filiales en todo el mundo, cuentan con información de unos doscientos millones de personas y evidentemente al encontrarse en la red internet, puede ser accesada por cualquier persona que pague por la información. Por otra parte, en los artículos periodísticos que generaron esta investigación, se hace referencia a una empresa con sede en Guatemala, cabe resaltar que Trans Union tiene su puesto regional principal en Guatemala, por lo cual podría ser esta empresa la que realizó la venta de las bases de datos en Estados Unidos. En Costa Rica existe una filial y podríamos decir que la información de las bases de datos nacionales también están en manos de esta gran compañía. Datos que se pueden consultar: ♣ ♣ ♣ ♣ ♣ ♣ ♣ ♣
Direcciones Juicios pendientes Bienes inmuebles Bienes muebles Historial de trabajo Salarios Tarjetas de Crédito Personas jurídicas
8
Puesta en línea ……………………………………………….. Algunas características según su publicidad en internet: Trans Union Costa Rica inició sus operaciones en nuestro país desde 1994, cuenta con el respaldo de Trans Union LLC, la cual tiene sede en Chicago. Esta compañía inició sus operaciones hace más de 30 años y es líder en este país, además de brindar este servicio en otros como México, Chile, Canadá, etc. El objetivo será el mismo en cualquier lugar del mundo: brindar confianza y seguridad en la toma de decisiones financieras. Algunas de las características más sobresalientes son: ♣ ♣ ♣ ♣
Más de 500 empresas afiliadas Más de 4,000,000 de personas registradas en la base de datos Más de 400,000 empresas registradas en la base de datos Más de 500,000 datos negativos de utilidad para su empresa
Además cuentan con el apoyo de las siguientes instituciones: ♣ ♣ ♣ ♣ ♣ ♣ ♣ ♣
Cámara Automotriz Cámara de Bancos Privados y Financieras de Costa Rica Cámara Costarricense de Empresas de Factoreo Cámara Costarricense de Bienes Raíces Cámara Nacional de Consolidadores de Carga y Afines Veritas Credit Corporation, New Jersey, USA Alexander & Hamilton, Luisiana, USA Trans Union LLC, Chicago, USA Infor.net
Cédula jurídica:
3-101-264816
Nombre legal:
Infornet INT Sociedad Anónima S.A.
Domicilio legal:
Guadalupe Centro, de la iglesia 100 metros Este
Actividad:
Comercio en general
Fecha de constitución:
8 de marzo de 2000
Presidente:
Thomas Paul Mifsud, Pp1-33144004
Secretario:
Víctor Manuel López López, cédula N° 240-80182-1063
Tesorero:
Francisco Gamboa Anchía, cédula N° 1-499-435
Fiscal:
Juan Luis Guione, cédula N° 8-071-334
Notario:
Ricardo Castro Páez, cédula N° 1-509-287
Datos técnicos:
La dirección electrónica es www.infor.net, la 9
Puesta en línea ……………………………………………….. Dirección ip es 141.156.98.38. El proveedor es soluciones intranet y físicamente se encuentra Guatemala 24 calle 3-47 Zona 1. Fuentes internacionales de inteligencia señalan que esta empresa era la que mantenía contactos con la compañía estadounidense denominada Choicepoint, mencionada preliminarmente como la responsable de entregar datos de ciudadanos costarricenses al Gobierno de Estados Unidos, no obstante, luego de gestionar una investigación ante el Buró Federal de Investigaciones (FBI), no se logró tener acceso a datos de nacionales costarricenses en sus bases. Esta empresa funciona en Guatemala, cuenta con más de dieciocho millones de registros de personas y empresas en su mayoría centroamericanas, ofrece datos de Honduras, Nicaragua y El Salvador. A pesar de que no mantiene actividad comercial en nuestro territorio conserva una razón jurídica reconocida en el Registro Público, además la persona que aparece como presidente, es el contacto administrativo que se refleja al chequear el dominio de internet en Guatemala. Datos que se pueden consultar: ♣ ♣ ♣ ♣ ♣ ♣ ♣ ♣
Direcciones Juicios pendientes Bienes inmuebles Bienes muebles Historial de trabajo Salarios Tarjetas de crédito Personas jurídicas Algunas características según su publicidad en internet:
Actualmente cuenta con la base de datos más grande de Centroamérica, cubriendo el 90% del mercado guatemalteco y posee importante presencia en el resto de países del área. Más de tres mil usuarios activos de novecientas empresas se conectan en forma remota al servidor, para consultar individualmente los registros de personas y compañías de su interés las veinticuatro horas del día, los 365 días del año. Toda conexión con infor.net utiliza tecnología SSL, la cual encripta la comunicación para que no pueda ser intervenida en tránsito. Infor.net trabaja con servidores Sun, sistema operativo Solaris 8 y base de datos Oracle 8.” B. SITUACIÓN ACTUAL DEL TRATAMIENTO DE DATOS PERSONALES En el caso de los entes públicos, el registro de información se realiza normalmente con base en la ley que crea el órgano o que la autoriza a solicitar información a los particulares. Además, tanto el registro como el tratamiento de datos personales está sujeto a lo dispuesto en la “Ley de protección al ciudadano del exceso de requisitos y trámites administrativos”, Ley No. 8220 del 4 de marzo del 2002, cuyo artículo 2 dispone que para que las Administraciones Públicas puedan remitirse información de los administrados entre sí, es preciso contar con el consentimiento del interesado, por lo que se prohíbe la cesión de la información recopilada, salvo consentimiento del administrado. En consecuencia, la transmisión de los datos personales entre administraciones se rige, salvo norma legal en contrario, por el principio del consentimiento del interesado. 10
Puesta en línea ……………………………………………….. Por el contrario, en ausencia de una ley que regule el derecho fundamental a la autodeterminación informativa, las empresas privadas dedicadas a la recopilación y tratamiento de datos personales de terceros actúan fundándose en la libertad de comercio. Los datos personales son considerados como un objeto de comercio, sin que interesen los derechos del interesado. Lo que se agrava con una ausencia total de mecanismos legales que hagan efectivo el ejercicio del derecho de autodeterminación informativa. La ausencia de regulaciones normativas sobre el funcionamiento de los registros de datos personales, públicos o privados, permite que los titulares de dichas bases ejerzan control sobre las actividades personales y vínculos familiares de las personas cuyos datos son registrados, tratados y comercializados, con el agravante de que las personas no tienen posibilidad de conocer que sus datos personales son conocidos, recopilados y cedidos por dichos registros como si se tratase de una mercancía. Por ello, se requiere una ley que regule dicho derecho y establezca la regulación en orden al tratamiento y registro de los datos personales. Al mismo
tiempo, se requiere emprender una labor de divulgación de dicho derecho y de su regulación.
C) INFORMACIÓN QUE SUMINISTRAN LAS INSTITUCIONES PÚBLICAS A LAS EMPRESAS PRIVADAS DEDICADAS A LA VENTA DE DATOS De acuerdo con una averiguación preliminar realizada de manera selectiva, se logró establecer que algunas dependencias gubernamentales e instituciones autónomas han suministrado información para uso de empresas privadas que se dedican a la venta de datos. A manera de ejemplo, en el caso del Registro Nacional -según informe rendido por su Director General-, la información contenida en la base de datos de esa institución se ha venido vendiendo aproximadamente desde la década de los ochenta, la cual se generaba y entregaba a algunas empresas que así lo solicitaban directamente al Departamento de Informática. La venta de esta información se ha fundamentado básicamente en la Ley de Creación del Registro Nacional N° 5695 de 28 de mayo de 1975, reformada por leyes N° 5950 de 27 de octubre de 1976 y N° 6934 de 28 de noviembre de 1983, que en su artículo 12 señala: “Se autoriza a la Junta para vender directamente y sin el trámite de licitación pública, los materiales, extractos o duplicados y los servicios extraordinarios que ellos se deriven, originados en el proceso de sus datos, que con motivo de la modernización y mecanización de los diferentes registros, están a su disposición, todo sin perjuicio de los respectivos aranceles.” En el mes de mayo del 2003 la Junta Administrativa del Registro Nacional, en sesión ordinaria N° 19-2003, acordó suspender temporalmente la venta de la Base de Datos, a personas privadas, hasta tanto no se tuviera un estudio al respecto. A su vez, dispuso solicitar a la Asesoría Legal un criterio acerca de la viabilidad legal de vender o no esta información, así como al Departamento Financiero un informe sobre el costo real y al Departamento de Informática un estudio sobre la viabilidad técnica. En lo que corresponde a los Entes Públicos, se dispuso entregar la Base de Datos, previa suscripción de un Convenio en el cual se manifieste la responsabilidad y el compromiso del órgano de no distribuir la misma a terceros.
11
Puesta en línea ………………………………………………..
En cuanto al Registro Civil, se presupone que dicha entidad suministra información a estas empresas, ya que datos tales como estado civil, nombre y edades del cónyuge e hijos, dirección de habitación (anterior y actual), fotografía, entre otros, aparecen dentro de la información comercializada por internet. Por otro lado, resulta necesario advertir que el tipo de información que las empresas ofrecen a sus asociados hace dudar de su legítima procedencia. Lo anterior, por cuanto en la averiguación preliminar se ha comprobado que la venta de información a terceros no se reduce única y exclusivamente a la suministrada por los registros públicos del país. Verbigracia, pese a que las bases de datos de la Caja Costarricense del Seguro Social son de carácter privado y confidencial, se presume que fueron y continúan siendo adquiridas ilegalmente por algunas de estas empresas. Prueba de ello es que las empresas en cuestión mantienen actualizada la información que venden relacionada con: patrono para el que labora (anteriores y actual), salarios y fechas de los cambios de los mismos, entre otros. Situación similar se ha presentado con los números de teléfonos de habitación y celulares privados, los cuales se incluyen dentro de la información que comercializan las empresas que se dedican a dicha actividad, pese a que el abonado paga al ICE un monto adicional para que sus números telefónicos no se publiquen en la guía telefónica ni aparezcan en los identificadores de llamadas. Por consiguiente, se cuestiona el mecanismo ilegal que se presume ha sido utilizado por tales empresas para obtener este tipo de información, ya que el ICE aparentemente no vende las bases de datos que contienen los números telefónicos privados de sus abonados. De igual forma, ameritan atención las bases de datos del M.O.P.T que contienen las fotografías de las licencias de conducir, ya que supuestamente han sido adquiridas por las empresas en cuestión. En virtud de lo expuesto, y luego de las indagaciones realizadas por la Dirección de Inteligencia y Seguridad, resulta evidente que las empresas que se dedican a este negocio manejan en sus bases de datos otro tipo de informaciones, sin que quede claro el procedimiento que utilizan para obtenerla. Para aclarar este aspecto, necesariamente se requiere de una investigación más minuciosa que deberá disponerse oportunamente por parte de las diferentes dependencias gubernamentales mencionadas en este informe.
D.- ANÁLISIS DE LA JURISPRUDENCIA CONSTITUCIONAL SOBRE LA PROTECCIÓN DE DATOS PERSONALES. La Sala Constitucional ha analizado el tema de la autodeterminación informativa y el Hábeas Data en las siguientes resoluciones, entre otras: 1990-1261, 1991-2609, 19941024, 1994-2680, 1997-4154, 1997-7175, 1998-1345, 1999-2563, 1999-4749, 1999-4847, 1999-5802, 2000-1119, 2000-3820, 2000-4147, 2001-7201, 2002-0754, 2002-2885, 20023074, 2002-4398, 2002-8849, 2002-8996. 12
Puesta en línea ……………………………………………….. Es importante rescatar de la jurisprudencia citada, que en un primer momento la Sala Constitucional legitima a las empresas que se dedican a la venta de datos, al considerar que: 1.
Resulta legítima la existencia de bases de datos elaboradas por empresas que se dedican a recopilar y sistematizar información diversa que consta en registros públicos (Registro de la Propiedad, Registro Civil, Tribunales de la República), con el objeto de que terceros, a cambio de un pago, puedan acceder esa información para determinar si una persona es sujeto de crédito. En estos casos no hay violación del derecho a la intimidad. (Sentencias 1999–2563 y 1999–4847).
2.
Corresponde al interesado solicitar la rectificación y actualización de la información que las empresas comercializan de su persona. •
3.
“(…) Si el afectado solicita por escrito la exclusión de los datos que a su nombre aparezcan y que sean inexactos por indeterminación de la cédula del deudor, la empresa protectora de crédito debe proceder a verificar la exactitud de las informaciones, en los términos antes dichos, o bien a eliminarlos de su base de datos. Como en la especie las informaciones referentes a los procesos judiciales que aparecen a nombre del amparado no han sido transmitidos ni tampoco se constata que el recurrente haya solicitado a la empresa accionada su corrección o eliminación, procede desestimar la presente acción, como en efecto se hace." El resaltado no es del original. (Voto Nº1119-2000)
La obtención, utilización y venta de la foto de identidad sin el consentimiento del retratado, no viola ningún derecho fundamental. •
“(…) La información brindada sólo abarca la que se encuentra en registros públicos –no privados- y si ésta resulta insuficiente o errónea, bien puede la interesada solicitar su rectificación, lo que no se ha hecho. No estima esta Sala que la recurrente haya sido objeto de una invasión ilegítima a su intimidad, ni que se le haya discriminado o violado algún otro derecho fundamental, como el de la imagen por tenerse una foto suya, pues ello es para su correcta identificación. La empresa accionada se limita a sistematizar la información que sobre una determinada persona existe en diversas fuentes públicas, sin crearla ni incursionar en comunicaciones o registros privados o confidenciales, a fin de brindar información de interés para terceras personas sobre la solvencia económica o crédito de un solicitante. (…) En consecuencia, el recurso resulta improcedente y así debe declararse.” Voto Nº 2563-99
13
Puesta en línea ……………………………………………….. Más adelante, la Sala Constitucional cambia radicalmente su criterio al establecer que las empresas en cuestión se encuentran obligadas a actualizar sus bases de datos, sin que sea necesario para ello la presentación de la solicitud de rectificación a la empresa, quien deberá asumir el costo respectivo. Al respecto, este órgano constitucional ha dicho claramente: •
“(…) Posteriormente, la Sala en la sentencia número 754-2002 de las 13:00 horas del 25 de enero del 2002 dio un paso adelante en la tutela del derecho a la autodeterminación informativa, variando su criterio en cuanto al concepto resaltado en la cita anterior, que sujetaba la procedencia de la acción de amparo a que el afectado hubiera formulado sin éxito una expresa solicitud a la empresa que almacena sus datos para que corrigiera o precisara los datos en cuestión. Este Tribunal señaló en la sentencia 754-2002, que es la empresa usufructuaria de tal información es la que está obligada a mantener en sus registros únicamente datos verdaderos y exactos, por lo que el sólo hecho de que permanezcan en la base de datos informaciones inexactas constituye una lesión al derecho a la autodeterminación informativa del amparado. (…) El principio constitucional de proporcionalidad impone que el titular de la información pueda conocer qué datos existen relativos a su persona y exigir que sean veraces, exactos y actualizados, de manera que no se le cause una lesión innecesaria y excesiva. Lesiona el principio constitucional de proporcionalidad que el titular de los datos que han sido objeto de tratamiento en desacato de los principios de protección de datos de carácter personal, deba, además de sufrir esa lesión de su derecho fundamental a la intimidad y en concreto la autodeterminación informativa, asumir el costo que implique actualizar la información. (…)” El resaltado no es del original. (Voto Nº 8996-2002).
En cuanto a la utilización y venta de la foto de identidad, que se presume son obtenidas de las bases de datos del Registro Civil y del Departamento de Licencias del MOPT, la Sala Constitucional había determinado mediante el Voto Nº2563-99 que tal actividad no lesionaba la intimidad ni la imagen del sujeto; y con base en esto, las citadas empresas han justificado o legitimado la venta por internet de las fotos que supuestamente obtienen de dicho registro; tal es el caso de la página Datum.net, en la cual se cita expresamente el voto supra indicado. Sin embargo, la Sala Constitucional varía nuevamente su criterio al definir que la fotografía no es de uso generalizado, y que un empleo diferente al que debiera dársele lesionaría el derecho a la imagen del interesado. Veamos: “(…) De conformidad con el artículo 25 de la Ley General de Migración y Extranjería, el pasaporte es el documento expedido por la Dirección General de Migración y Extranjería y que identifica a los costarricense para efectos de salir del países y desplazarse por el extranjero. Dicho documento contiene diversos datos de naturaleza pública, tales como el nombre de su usuario, su número de identificación, etc. Sin embargo, otras informaciones allí contenidas, como por ejemplo la fotografía del titular del documento, no pueden ser consideradas de uso generalizado, pues su empleo se restringe al propio de este tipo de documentos. Lo contrario podría implicar una lesión al derecho a la imagen del interesado, tal y como fuera dicho líneas atrás. (…)” El resaltado y subrayado no son del original. Voto Nº8849-2002. Como corolario de lo expuesto, podría afirmarse que la comercialización de las fotografías que se obtienen de las cédulas de identidad y licencias de conducir, tampoco pueden ser consideradas de uso generalizado, por cuanto su utilización lo es únicamente para efectos de identificación electoral, judicial, administrativa, o cuando el interesado 14
Puesta en línea ……………………………………………….. consienta su utilización para otros fines (sean trámites administrativos, préstamos bibliotecarios, etc). Consecuentemente, las empresas en cuestión estarían lesionando el derecho a la imagen de las personas cuyas fotografías son objeto de esta actividad comercial. Obsérvese que la Sala Constitucional ha vertido un criterio medular en el voto de referencia, al establecer que aunque un documento contenga diversos datos de naturaleza pública (pensemos en un pasaporte, cédula de identidad, licencia de conducir, entre otros), ello no implica que toda la información contenida en éstos sea de uso generalizado. Lo anterior significa que un documento público podría contener información tanto de carácter público como privado, por cuanto la naturaleza pública de un documento, no se extiende necesariamente a los datos que se incluyan en el mismo. En ese sentido, recientemente el Tribunal Constitucional dictaminó que la información de carácter familiar tampoco es de uso generalizado, es decir, que la misma podrá ser utilizada o comercializada solo cuando se compruebe el interés legítimo del interesado, por cuanto son datos peligrosamente superfluos. En lo conducente, determinó: “(…) V.- Información comercial e información personal. No obstante lo anterior, es necesario recordar que las empresas de bases de datos, en sus actividades, se encuentran limitadas en dos frentes: por un lado, siendo la exactitud uno de los requisitos de la información que las bases de datos pueden guardar de las personas, y dado que la falta de elementos suficientes para identificar unívocamente a la persona investigada puede ocasionarle graves perjuicios, estas empresas deben esmerarse por garantizar que los datos del sujeto objeto de investigación sean verídicos y que él ha sido identificado adecuadamente. En tal sentido, la Ley costarricense ha entendido que la cédula de identidad es el mecanismo propio de identificación de los ciudadanos, ya que el artículo 93 de la Ley Orgánica del Tribunal Supremo de Elecciones y del Registro Civil, número 3504, de diez de mayo de mil novecientos setenta y cinco y sus reformas, confiere a la cédula de identidad ese carácter. Por esa razón, aprovecha este Tribunal la ocasión presente para advertir que las empresas administradoras de datos personales deben procurar que las informaciones almacenadas a nombre de una persona hayan sido obtenidas de forma tal que no quepa duda acerca de la titularidad del afectado. Tales entidades siempre deberán poner a disposición de los interesados las informaciones que sobre ellos consten en sus bases de datos, en caso de que ellos así lo soliciten, a fin de que puedan efectivamente acusar su eventual falsedad o inexactitud. Por el otro lado, debe insistirse que la información que suministren empresas como la recurrida debe tener una relación de identidad e idoneidad con el fin que persiguen: la protección del crédito. Ahora bien, en el caso sub exámine, se encuentra que TELETEC S.A. ha incluido en la información que le brinda a sus asociados una reseña de los parientes –ciertos o presuntos– del recurrido. A este respecto, cabe preguntarse ¿cuál es la finalidad que se persigue con ello? Si el objetivo de la inclusión de esta información es la identificación del investigado, la medida peca de irrazonable por desproporcionada, puesto que a esta persona ya se la puede identificar debidamente por medio de su cédula de identidad; si el objeto de la su inclusión es otro, la medida peca de irrazonable porque no se ve en qué puede protegerse una inversión por la disponibilidad de dicha información. En efecto la filiación y demás información familiar del sujeto no guarda relación alguna con su solvencia crediticia y estos datos, en el fondo, son peligrosamente superfluos. Piénsese por ejemplo en el caso 15
Puesta en línea ……………………………………………….. hipotético de una persona que, sin haber cometido delito alguno, es hermano o hijo de un reconocido delincuente. La inclusión gratuita de la información familiar antes dicha podría acarrearle grandes dificultades para obtener un crédito, por una cuestión de culpa por asociación, y sin que el afectado tenga verdaderamente antecedentes que hagan dudar de su solvencia o su honestidad. (…) Por consiguiente, el presente recurso debe estimarse en cuanto a este extremo, como en efecto se dispone.” El resaltado y subrayado no son del original. Voto Nº2885-2002 Ahora bien, resultan importantes los parámetros que la Sala Constitucional ha establecido en relación a la información que brindan los registros públicos, a los datos que contienen los documentos públicos, y a la naturaleza de los datos que ameritan protección mediante el Hábeas Data, el cual ha sido considerado por la doctrina como un recurso procedimental de la protección a la esfera de la intimidad. Respecto al Hábeas Data, se recomienda ver el Voto Nº4398-2002 de la Sala Constitucional. Tales lineamientos han sido claramente fijados por el órgano constitucional en el Voto Nº8996-2002, el cual consideramos como una jurisprudencia clave, pues en ella el Tribunal establece los límites al derecho de autodeterminación informativa, y además podría asentar algunos principios para su futura regulación normativa. Aunque se recomienda la lectura íntegra del Voto supra indicado, a continuación se extrae un punto que consideramos fundamental para el análisis del tema: •
III.- El objeto de protección del hábeas data y los principios básicos para la protección de datos. Objeto de protección del hábeas data son los "datos de carácter personal", es decir, cualquier información relativa a una persona física o jurídica identificada o identificable. El grado de protección de los datos dependerá de la naturaleza de los mismos, así, debe el Estado procurar que los datos íntimos (también llamados "sensibles") de las personas no sean siquiera accedidos sin su expreso consentimiento. Se trata de informaciones que no conciernen más que a su titular y a quienes éste quiera participar de ellos, tales como su orientación ideológica, fe religiosa y origen racial, es decir, aquellos aspectos propios de su personalidad, y que como tales escapan del dominio público, integrando parte de su intimidad del mismo modo que su domicilio y sus comunicaciones escritas, electrónicas, etc. En un segundo nivel de restricción se encuentran las informaciones que, aun formando parte de registros públicos o privados, no ostentan el carácter de "públicas", ya que –salvo unas pocas excepciones- interesan solo a su titular, pero no a la generalidad de los usuarios del registro. Ejemplo de este último tipo son los archivos médicos de los individuos, así como los datos estrictamente personales que deban ser aportados a los diversos tipos de expedientes administrativos. En estos casos, si bien el acceso a los datos no está prohibido, sí se encuentra restringido a la Administración y a quienes ostenten un interés directo en dicha información. En un grado menos restrictivo de protección se encuentran los datos que, aun siendo privados, no forman parte del fuero íntimo de la persona, sino que revelan datos de eventual interés para determinados sectores, en especial el comercio. Tal es el caso de los hábitos de consumo de las personas (al menos de aquellos que no quepan dentro del concepto de "datos sensibles").
16
Puesta en línea ……………………………………………….. En estos supuestos, el simple acceso a tales datos no necesariamente requiere la aprobación del titular de los mismos ni constituye una violación a su intimidad, como tampoco su almacenamiento y difusión. No obstante, la forma cómo tales informaciones sean empleadas sí reviste interés para el Derecho, pues la misma deberá ser realizada de forma tal que se garantice la integridad, veracidad, exactitud y empleo adecuado de los datos. Integridad, porque las informaciones parciales pueden inducir a errores en la interpretación de los datos, poniendo en eventual riesgo el honor y otros intereses del titular de la información. Veracidad por el mero respeto al principio constitucional de buena fe, y porque el almacenamiento y uso de datos incorrectos puede llevar a graves consecuencias respecto del perfil que el consultante puede hacerse respecto de la persona. Exactitud, porque los datos contenidos en dichos archivos deben estar identificados de manera tal que resulte indubitable la titularidad de los mismos, así como el carácter y significado de las informaciones. Además, el empleo de tales datos debe corresponder a la finalidad (obviamente lícita) para la que fueron recolectados, y no para otra distinta. En el caso de todas las reglas antes mencionadas, es claro que el deber de cumplimiento de tales exigencias lo ostenta quien acopie y manipule los datos, siendo deber suyo –y no de la persona dueña de los datos- la estricta y oficiosa observancia de las mismas. Finalmente, se encuentran los datos que, aun siendo personales, revisten un marcado interés público, tales como los que se refieren al comportamiento crediticio de las personas; no son de dominio público los montos y fuentes del endeudamiento de cada individuo, pero sí lo son sus acciones como deudor, la probidad con que haya honrado sus obligaciones y la existencia de antecedentes de incumplimiento crediticio, datos de gran relevancia para asegurar la normalidad del mercado de capitales y evitar el aumento desmedido en los intereses por riesgo. Con respecto a estos datos, también caben las mismas reglas de recolección, almacenamiento y empleo referidos a los anteriores, es decir, la veracidad, integridad, exactitud y uso conforme. El respeto de las anteriores reglas limita, pero no impide a las agencias –públicas y privadas- de recolección y almacenamiento de datos, cumplir con sus funciones, pero sí asegura que el individuo, sujeto más vulnerable del proceso informático, no sea desprotegido ante el poder inmenso que los medios de comunicación e información adquieren día con día. En una categoría aparte se encuentran aquellos datos de interés general y acceso irrestricto contenidos en archivos públicos, para los cuales la regla a emplear es la del artículo 30 y no la dispuesta en el numeral 24 constitucional. Es decir, que en relación con tales informaciones existe una autorización absoluta de acceso y un deber inexcusable de la Administración de ponerlos al alcance de quienes quieran consultarlos, como un mecanismo de control ciudadano respecto de las actuaciones estatales, derivación necesaria del principio democrático que informa todas las actuaciones públicas y moldea las relaciones entre el Estado y la sociedad civil.(…)” El resaltado y subrayado no son del original. Voto Nº8996-2002 En igual sentido, se transcribe: ♣ El derecho a la información “(…) no se trata de un derecho irrestricto, sino que, por el contrario, está sujeto a límites y entre ellos, el derecho a la intimidad se constituye en un límite para el derecho a la información por cuanto, en la medida en que la información verse sobre asuntos que no sean de relevancia pública, se impone el respeto a la intimidad y opera como límite o 17
Puesta en línea ……………………………………………….. barrera frente al derecho a la información. Por el contrario, cuando la información es de relevancia pública, el acceso a la misma y su difusión, se imponen como regla y por ello, cuando se trate de la trascendencia pública del objeto comunicable, se justificaría la intromisión amparándose en el derecho del público a la recepción de noticias y en el derecho del informador a transmitirla, salvo, claro está, cuando se trata de una información que haya sido declarada previamente como secreto de Estado o sea falsa en cuyo caso el tratamiento de la misma, será diferente. (…)” (Voto Nº3074-2002). Pese a los cambios de criterios que ha tenido la Sala Constitucional, bien podría afirmarse que ha limitado el campo de acción de las empresas en cuestión, al indicar que aunque el acceso a los registros públicos no está prohibido, ello no implica que se pueda lucrar con la información obtenida en éstos, por cuanto las informaciones que, aun formando parte de registros públicos o privados, no ostentan el carácter de "públicas". En virtud de lo expuesto, es indudable que la labor jurisprudencial de nuestro Tribunal Constitucional ha contribuido a delimitar y desarrollar un tema que carece de regulación normativa. Sin embargo, la tarea apenas empieza, resulta necesario y urgente que las autoridades competentes analicen cuándo hay interés público, cómo determinar la finalidad lícita del empleo de los datos, qué entidades privadas pueden dar tratamiento a estos datos, entre otros. E.- PROYECTOS DE LEY QUE SOBRE EL TEMA SE TRAMITAN EN LA ASAMBLEA LEGISLATIVA Actualmente en la Asamblea Legislativa se tramitan una serie de proyectos de ley relacionados con este tema, a saber: 1.- Expediente N° 14.785. “Adición de un nuevo capítulo IV, denominado del Recurso de Hábeas Data, al Título III de la Ley de la Jurisdicción Constitucional, Ley N° 7135 de 11 de octubre de 1989”. Esta iniciativa de ley corresponde al diputado Rolado Lacle Castro y se encuentra en estudio en la Comisión Permanente de Asuntos Jurídicos. Mediante esta iniciativa se pretende retomar y proponer como base de discusión el dictamen de la citada Comisión sobre el proyecto planteado por el ex diputado Dr. Constantino Urcuyo Fournier, durante el período 1994-1998, tendiente a adicionar el denominado “Recurso de Hábeas Data” a la Ley de la Jurisdicción Constitucional y de esta forma proteger de manera procedimental el derecho de la persona a su intimidad, imagen, honor, autodeterminación informativa y libertad informática en el tratamiento de sus datos personales. (Ver anexo N° 1) 2.- Expediente N° 14.778. “Adición de un capítulo IV a la Ley de la Jurisdicción Constitucional (Recurso de Hábeas Data)” Esta iniciativa de ley corresponde a los diputados Carlos Avendaño Calvo, Laura Chinchilla Miranda, Rocío Ulloa Solano, entre otros y se encuentra en estudio de la Comisión Permanente de Asuntos Jurídicos. El texto de este proyecto es idéntico al que se tramita bajo el expediente N° 14.785 y que retoma la iniciativa del diputado Constantino Urcuyo. (Ver anexo N° 2)
18
Puesta en línea ……………………………………………….. 3.- Expediente N° 15.079. “Ley de Acceso a la Información para la Transparencia en la Gestión Pública”. Esta iniciativa corresponde al diputado Humberto Arce Salas y se encuentra en estudio de la Comisión Especial sobre Prensa. El proyecto pretende la formulación de una ley marco para regular los derechos de acceso a la información de interés público y de petición garantizados en la Constitución Política. Además, busca garantizar el ejercicio legítimo de los citados derechos frente a la gestión de los entes privados que realicen funciones públicas, administren fondos o gestionen servicios u obras públicas o ejerzan funciones de igual carácter, todo con miras a lograr la transparencia en la gestión pública. De importancia para el tema que nos ocupa, este proyecto contiene algunas disposiciones sobre la información de carácter confidencial y su protección, el derecho al acceso a la información de carácter personal, y el recurso de Hábeas Data. (Ver anexo N° 3) 4.- Expediente N° 15.178. “Ley de Protección de la Persona frente al Tratamiento de sus Datos Personales”. Esta iniciativa de ley corresponde a los diputados Margarita Penón Góngora, Carlos Avendaño, Luis Gerardo Villanueva Monge, Laura Chinchilla Miranda, Rolando Laclé Castro, Ruth Montoya Rojas, Ricardo Toledo Carranza, Rodrigo Carazo Zeledón , José Miguel Corrales Bolaños, entre otros. En este proyecto se parte de la premisa de que la vía del Hábeas Data ya ha sido adecuadamente aplicada por la Sala Constitucional, y que se ha ampliado su uso, incluso para establecer ciertos parámetros de calidad en el tratamiento de datos, razón por la cual se plantea incluir en la legislación una consideración amplia de las etapas del tratamiento de la información que forman parte normal de todos los procesos informativos en el ámbito público y privado, incluyendo el flujo transfrontera de datos. El proyecto regula con detalle los diversos aspectos relacionados con el derecho de las personas respecto del manejo de sus datos, reconociendo los deberes de obtención del consentimiento del afectado, calidad, seguridad y cesión de los datos, categorías de datos que requieren de una protección mayor a la regla general (datos sensibles), garantías efectivas de acceso a la información personal, corrección, supresión y actualización de la misma. Se prevé la posibilidad de que las entidades públicas y privadas diseñen sus propios protocolos de actuación en materia de protección de datos para que, una vez aprobados por la Agencia para el Control de Datos Personales (PRODAT), permitan a dichas entidades una actuación ágil y sencilla, en tanto se sometan a los términos de sus propios protocolos. Se regula además el movimiento internacional de datos, estableciendo como regla general la imposibilidad de que los administradores de archivos públicos o privados, transfieran a terceras personas en el extranjero, informaciones pertenecientes a otros. Se exceptúan de la regla anterior, los casos en que el titular de los datos haya dado válidamente su consentimiento o bien el PRODAT haya autorizado la cesión y la empresa receptora esté domiciliada y actúe en un país que ofrezca un nivel adecuado de protección de datos personales. Se establece la creación de una Agencia para la Protección de Datos Personales (PRODAT), con lo cual se procura dotar al país de un órgano regulador del tratamiento de 19
Puesta en línea ……………………………………………….. datos personales, dotado de suficiente independencia y de las herramientas técnicas y material humano necesarios para llevar a cabo su trabajo de forma efectiva y objetiva. Por último, se regulan los procedimientos de intervención en archivos y bases de datos, el régimen sancionatorio aplicable a los administradores de ficheros y los procedimientos internos para ejercer la competencia disciplinaria contra los funcionarios de la Agencia. (Ver anexo N° 4) 5.- Expediente N° 11.871. “Proyecto de reforma al Código Penal”. En este proyecto se establece un capítulo de Delitos contra el Ámbito de Intimidad y la Autodeterminación Informativa, donde se sanciona el tratamiento ilícito de datos personales y comunicaciones, la propalación, el uso ilícito de registros informáticos, la divulgación de secretos, la utilización de la imagen o nombre de otra persona sin su consentimiento; a la vez, que se establecen circunstancias de agravación y de inhabilitación. (Ver anexo N° 5)
CONCLUSIONES 1.- En Costa Rica existen una serie de empresas privadas que se dedican a la venta de datos de tipo personal y empresarial, de tal manera que cualquier interesado que pague por sus servicios puede obtener (a través de Internet) información sobre: datos personales de ciudadanos costarricenses (estado civil, nombre del cónyuge y de sus hijos, entre otros), direcciones, juicios pendientes, bienes muebles e inmuebles, historial de trabajo, salarios, tarjetas de crédito, prendas o hipotecas, personas jurídicas, e incluso fotografías de personas físicas.2 2.- La Sala Constitucional de la Corte Suprema de Justicia ha establecido la naturaleza de los datos así: a) Datos íntimos también llamados “sensibles”. b)Informaciones que, aun formando parte de registros públicos o privados, no ostentan el carácter de "públicas". c) Datos que, aun siendo privados, no forman parte del fuero íntimo de la persona, sino que revelan datos de eventual interés para determinados sectores, en especial el comercio. d) Datos que, aun siendo personales, revisten un marcado interés público, tales como los que se refieren al comportamiento crediticio de las personas. e) Datos de interés general y acceso irrestricto contenidos en archivos públicos. 3.- En el caso del Registro Público Nacional se estableció un procedimiento para el suministro de información; no obstante, resulta evidente que las empresas que se dedican a este negocio manejan en sus bases de datos otro tipo de informaciones, sin que quede claro el procedimiento que utilizan para obtenerla. Incluso, en algunos casos aparentemente podría estarse dando la venta ilegal de la información que conservan las instituciones públicas. 4.- La Dirección de Inteligencia y Seguridad gestionó una investigación ante el Buró de Investigaciones Federales (FBI) del Gobierno de los Estados Unidos, estableciéndose que actualmente no resulta posible acceder a información de ciudadanos costarricenses en las 2
La mayoría de las empresas suministran información muy similar, aunque en algunos casos se ofrecen mayores opciones, como por ejemplo las fotografías de personas físicas.
20
Puesta en línea ……………………………………………….. bases de datos de la empresa Choicepoint. Sin embargo, todas las empresas que se dedican a la venta de información en nuestro país ofrecen sus servicios vía Internet, por lo que toda persona que pague el respectivo servicio puede tener acceso a los datos sobre costarricenses. 5.- El registro de los datos personales en bases privadas y el tratamiento posterior de estos, debe someterse a las prescripciones de la ley, de manera tal que el particular conozca la finalidad para la cual se registran y pueda ejercer sus derechos respecto de esos datos. No puede considerarse simplemente que existe el derecho de extraer los datos de las bases públicas para formar un archivo de carácter privado, predispuesto a la explotación comercial de los datos referentes a cualquier individuo. 6.- Es de advertir que en la medida en que la Sala Constitucional ha admitido el Recurso de Amparo como protección de los datos personales, la inclusión del Hábeas Data no se presenta como indispensable, pero sí deseable y oportuno. Lo absolutamente necesario es buscar mecanismos que permitan una tutela más positiva del derecho a la autodeterminación informativa. 7.- La ausencia de regulación sobre este tema pone en peligro los derechos constitucionales de los ciudadanos, a la vez que ubica a nuestro país en una situación de desigualdad frente a la tutela que ofrecen otros países que reúnen mayores estándares en este campo. Lo anterior, resulta de importancia a la hora de participar en las negociaciones comerciales con importantes mercados internacionales, como en el caso de la Unión Europea y los Estados Unidos, cuyas normativas generalmente exigen que los países con los que entablen relaciones cuenten con regulaciones para la protección de este tipo de datos. 8.- Ya se tramita en la Asamblea Legislativa un proyecto de ley para la debida regulación de las empresas que se dedican a este tipo de actividad, así como para garantizarle a los costarricenses la protección de sus derechos constitucionales en esta materia, particularmente en lo que se refiere al derecho de la autodeterminación informativa. Asimismo, existen dos iniciativas para adicionar un capítulo a la Ley de la Jurisdicción Constitucional, con miras a incorporar el Recurso de Habeas Data, como mecanismo procesal para proteger la esfera de la intimidad a que tienen derecho los ciudadanos. RECOMENDACIONES 1.- Emitir una directriz presidencial para que todas las dependencias del gobierno central que manejan bases de datos con información personal de los ciudadanos procedan a: a) Realizar un análisis jurídico sobre los datos que pueden ser considerados de interés público, de acuerdo con los lineamientos establecidos por la Sala Constitucional de la Corte Suprema de Justicia. b)Implementar las medidas, controles y mecanismos necesarios para evitar la sustracción indebida de información. c) Regular el procedimiento a seguir para el suministro de la información arriba mencionada, hasta tanto se aprueben las correspondientes reformas legales. A su vez, hacer una atenta instancia a todas las instituciones autónomas para que procedan de la misma forma. 2.- Remitir al Ministerio Público el presente informe, con la finalidad de que se valore la procedencia de realizar la respectiva investigación sobre la aparente venta ilegal de la información que consta en las bases de datos de las dependencias públicas a empresas privadas. Y, que el Poder Ejecutivo brindará toda la colaboración que eventualmente requiera dicho órgano.
21
Puesta en línea ……………………………………………….. 3.- Instar a la Asamblea Legislativa para que se le otorgue prioridad a la discusión de los proyectos de ley que vendrían a regular el funcionamiento de las empresas que se dedican a la venta de información, a garantizar el derecho a la intimidad y a la autoderminación informativa e incluir el recurso de Hábeas Data en la Ley de la Jurisdicción Constitucional. Estos proyectos son: a) Expedientes N° 14.785 y N° 14.778 para adicionar un nuevo capítulo IV, denominado del Recurso de Hábeas Data, al Título III de la Ley de la Jurisdicción Constitucional, Ley N° 7135. de 11 de octubre de 1989; y, b) Expediente N° 15.178. “Ley de Protección de la Persona frente al Tratamiento de sus Datos Personales”. Asimismo, que el Poder Ejecutivo proceda a convocar estos proyectos a sesiones extraordinarias. 4.- La ley debe regular el funcionamiento de las bases de datos privadas, de tal manera que sólo puedan manejar información obtenida de las fuentes de acceso público irrestricto, es decir cuando los datos sean de carácter público y de uso generalizado, u obtenida con el consentimiento expreso del interesado. Además resulta importante contemplar la creación de un organismo público encargado de fiscalizar el tratamiento automatizado de los datos personales. Debe tomarse en cuenta que la función que dicho organismo está llamado a desempeñar es de naturaleza administrativa, no se está ante el ejercicio de potestades legislativas o de control político. Debe discutirse, empero, si lo más apropiado es crear un ente autónomo o bien, si lo más conveniente es crear un órgano con grado de desconcentración máxima, con absoluta independencia funcional y administrativa, del Poder Ejecutivo. 5.- La ley que se emita debe prohibir la posibilidad de que determinados datos personales sean registrados y tratados en bases de datos privados. Tal debe ser el caso de los datos considerados sensibles, como por ejemplo aquellos que revelen el origen racial, las opiniones políticas y las convicciones religiosas de la persona, así como los relativos a su salud, a su vida sexual y a sus antecedentes delictivos. 6.- En caso de que se pretenda permitir que los datos personales constantes en registros públicos sean tratados por sujetos privados, se debe cuestionar la razonabilidad de mantener el artículo 2 de la Ley Nº 8220 de cita. Si se mantiene la prohibición de que las Administraciones Públicas se comuniquen los datos personales recogidos o elaborados para el cumplimiento de sus funciones, lo lógico y racional es que igual prohibición se extienda respecto de los ficheros privados. Empero, nuestra recomendación es que se permita a la Administración comunicar los referidos datos a otras Administraciones cuando éstas tengan una competencia material similar y la cesión sea necesaria para el cumplimiento de las funciones de la Administración. Asimismo, con ello se garantiza el suministro de información para fines históricos o estadísticos. Una ley específica podría, claro está, autorizar la comunicación de datos personales para el cumplimiento de los fines públicos, aún cuando no se trate de la misma competencia material. Por otra parte, si la ley acepta la cesión de datos a favor de ficheros privados, debería reconocerse al interesado no sólo el derecho de conocer esa cesión, sino también el derecho de oposición. Ello porque el principio debe ser que la Administración Pública no debe comunicar los datos personales a ficheros de titularidad privada sino con el consentimiento del interesado o cuando la ley así expresamente lo disponga.
22
Puesta en línea ………………………………………………..
El Proyecto de Ley N. 15.178: LEY DE PROTECCIÓN DE LA PERSONA FRENTE AL TRATAMIENTO DE SUS DATOS PERSONALES
Uno de los proyectos que plantea la regulación a partir del derecho fundamental a la autodeterminación informativa es el Expediente N. 15.178. Respecto de ese proyecto tenemos las siguientes observaciones: ARTÍCULO 1.- Objetivo y fin La presente Ley tiene como objetivo garantizar a cualquier persona física o jurídica, sean cuales fueren su nacionalidad, residencia o domicilio, el respeto a sus derechos fundamentales, concretamente, su derecho a la autodeterminación informativa en relación con su vida privada y demás derechos de la personalidad; asimismo, la defensa de su libertad e igualdad con respecto al tratamiento automatizado o manual de los datos correspondientes a su persona o bienes.
23
Puesta en línea ……………………………………………….. Observaciones: La ley tiene como objeto tutelar un derecho fundamental: el de autodeterminación informativa. De allí que este artículo debería ser directo en cuanto a que se garantiza el respeto al derecho de autodeterminación informativa. Empero, en la medida en que se afirme que la autodeterminación informativa se garantiza en relación con la vida privada y demás derechos de la personalidad podría estarse ante una confusión en cuanto al objeto del derecho y a su fundamento. El derecho de autodeterminación es el derecho de conocer, tener acceso y controlar las informaciones personales susceptibles de recibir tratamiento automatizado, lo que implica posibilidad de solicitar la rectificación, cancelación de los datos por medio de los recursos que se establezcan. Por lo que en el mismo derecho va implícita que se trata de la defensa respecto al tratamiento de los datos correspondientes a su persona, incluidos los referidos a sus bienes.
ARTÍCULO 2.- Definiciones A los efectos de la presente Ley: a) Datos de carácter personal: cualquier información relativa a una persona física o jurídica identificada o identificable; b) Datos sensibles: datos personales que revelen origen racial, opiniones políticas, convicciones religiosas o espirituales, información referente a la salud, vida sexual y antecedentes delictivos. c) Archivo, registro, fichero o base de datos. Conjunto organizado de datos personales que sean objeto de tratamiento o procesamiento, automatizado o no, cualquiera que fuere la modalidad de su formación, almacenamiento, organización o acceso d) Tratamiento automatizado: operaciones que a continuación se indican, efectuadas en su totalidad o en parte con ayuda de procedimientos automatizados: registros de datos, aplicación a esos datos de operaciones lógico aritméticas, su modificación, borrado, extracción o difusión. e) Autoridad encargada del fichero: significa la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que sea competente con arreglo a la ley para decidir cuál será la finalidad del fichero automatizado, cuáles categorías de datos de carácter personal deberán registrase y cuáles operaciones se les aplicarán. 24
Puesta en línea ……………………………………………….. f) Afectado: persona o jurídica, titular de los datos que sean objeto del tratamiento automatizado o manual. g) Disociación de datos es: tratamiento de datos personales de manera que la información obtenida no pueda asociarse a persona determinada o determinable.
Observaciones: En lo que se refiere a tratamiento automatizado, la redacción permite considerar que el tratamiento se realiza a través de las operaciones que se enumeran, lo que implicaría que se está ante un número cerrado. Empero, en el futuro podría estimarse que existen otras operaciones de tratamiento automatizado. De allí que debe ser redactado en forma más amplia y de manera que también comprenda la recolección de los datos, la organización y conservación de estos, cualquier forma de comunicación a terceros (la cesión propiamente dicha, la consulta, la transferencia, la interconexión), bloqueo y eventual destrucción.
ARTÍCULO 3.- Derecho de información en la recolección de los datos Las personas a quienes se soliciten datos de carácter personal deberán ser previamente informados de modo expreso, preciso e inequívoco directamente o por apoderado con poder o cláusula especial; las personas jurídicas por medio de su representante legal o apoderado con poder o cláusula especial: a) De la existencia de un fichero automatizado o manual de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información. b) Del carácter obligatorio o facultativo de sus respuestas a las preguntas que se les formulen. c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos. d) De la posibilidad de ejercer los de rechos de acceso, rectificación, actualización, cancelación y confidencialidad. e) De la identidad y dirección del responsable del fichero. Cuando se utilicen cuestionarios u otros impresos para la recolección, figurarán en los mismos en forma claramente legible, las advertencias a que se refiere el apartado anterior.
25
Puesta en línea ……………………………………………….. No será necesaria la información a que se refiere el apartado a), si el contenido de ella se deduce claramente de la naturaleza de los datos personales que se solicitan o de la circunstancia en que se recaban. Observaciones: El enunciado del artículo parte de que a la persona se le solicitan datos personales. Ciertamente, esto es una posibilidad que se da. Baste pensar que frecuentemente los negocios comerciales solicitan a sus clientes llenar boletas, supuestamente para remitir información. Pero en muchas ocasiones esa información no se solicita sino que el fichero puede ser creado a partir de otros mecanismos de obtención de la información, incluida la obtención de los datos de otros registros, entre ellos los públicos. Para estos supuestos debe establecerse también el derecho del afectado de conocer el origen de la información y la finalidad a que tiende el registro. El artículo concierne tanto los ficheros públicos como privados. En principio no debería existir la obligación de la persona de suministrar información a sujetos privados y por ende, contestar las preguntas que se le formulen. Por consiguiente, por regla de principio, la negativa de suministrar información a privados no debería tener consecuencias. Ese deber sólo debería existir dentro de una relación comercial concreta o cuando el legislador lo imponga por la índole de la actividad del ente privado.
ARTÍCULO 4.- Consentimiento del afectado 1.- El titular de los datos deberá dar por sí o por su representante legal o apoderado el consentimiento para la entrega de los datos, salvo que la ley disponga otra cosa dentro de los límites razonables. La razonabilidad deberá ser considerada por la Agencia de Protección de Datos Personales si se le planteare en caso de controversia. Lo anterior vale tanto para los ficheros de titularidad pública o privada. El consentimiento deberá constar a través de autorización por escrito o por otro medio idóneo, físico o electrónico. Dicho consentimiento podrá ser revocado sin efecto retroactivo, por cualquiera de los medios permitidos para acreditar la aquiescencia. No será necesario el consentimiento cuando: a) Exista orden motivada, dictada por autoridad judicial competente.
26
Puesta en línea ……………………………………………….. b) Los datos se ob tengan de fuentes de acceso público irrestricto y se trate de listados cuyos datos se limiten a nombre, documento nacional de identidad, y fecha de nacimiento. Observaciones: Se pretende establecer que el consentimiento es necesario “salvo que la ley disponga otra cosa dentro de los límites razonables”. En realidad podría ser suficiente que una norma especifica señale que el consentimiento no es necesario. Esta ley no podría imponer a otra ley el respeto al principio de razonabilidad en el establecimiento de excepciones al principio del consentimiento. Lo importante es que quede claro que los casos de excepción al principio de consentimiento deben ser expresamente establecidos por la ley. Por consiguiente, no pueden dejarse a la determinación de la Agencia. Esta lo que puede hacer es establecer si en el caso concreto se dan los supuestos que de acuerdo con la ley determinan esa excepción. Debe determinarse cuál es la consecuencia de una revocación del consentimiento. En la medida en que expresamente se indica que el consentimiento no es necesario respecto de fuentes de acceso público irrestricto y se trate de listados cuyos datos se limiten a nombre, documento nacional de identidad y fecha de nacimiento, podría concluirse que cualquiera puede crear su propio fichero con base en los datos de acceso público. Sea estos datos personales no serían objeto de protección. El problema es que no se define qué se entiende por “fuentes de acceso público irrestricto” y tampoco se aclara si más allá de los datos referidos al nombre, número de identidad (con las objeciones indicadas) y fecha de nacimiento, existen otros datos de acceso público igualmente excluidos de protección. Pareciera, en todo caso, que la persona no puede reclamar protección respecto de su nombre, cédula de identidad y fecha de nacimiento. Datos que permiten su plena identificación. Va de suyo, por demás, que la ley puede establecer que el consentimiento no es necesario cuando el registro y tratamiento tienden a satisfacer un interés público claramente definido. En ese sentido podrían precisarse supuestos como los que contempla la propuesta de ley N. 14785, para el artículo 73 de la Ley de la Jurisdicción Constitucional, sea que los datos se reúnan para fines de la Administración Pública en el marco de sus competencias legales o cuando se refieran a personas vinculadas por una relación de negocios, laboral o administrativa o un contrato y en la medida en que dichos datos sean necesarios para efectos de la ejecución del contrato o del correcto desenvolvimiento de esas relaciones.
27
Puesta en línea ……………………………………………….. ARTÍCULO 5.- Calidad de los datos 1.- Sólo podrán ser recolectados, almacenados y empleados datos de carácter personal para su tratamiento automatizado o manual, cuando tales datos sean adecuados, pertinentes y no excesivos en relación con el ámbito y finalidades legítimos para los que se han obtenido. 2.- Los datos de carácter personal objeto de tratamiento automatizado o manual no podrán utilizarse para finalidades distintas de aquellas para los cuales los datos hubieren sido recogidos. 3.- Dichos datos serán exactos y puestos al día, de forma que respondan con veracidad a la situación real del afectado. 4.- Si los datos de carácter personal registrados resultaren ser inexactos en todo o en parte, o incompletos, serán cancelados y sustituidos de oficio por los correspondientes datos rectificados, actualizados o complementados. Igualmente serán cancelados si no mediare un consentimiento legal y legítimo o estuviere prohibida su recolección. 5.- Los datos de carácter personal serán cancelados cuando hayan dejado de ser pertinentes o necesarios para la finalidad para la cual hubieren sido recibidos y registrados. No serán conservados en forma que permita la identificación del interesado en un período que sea superior al necesario para los fines con base en los cuales hubieren sido recabados o registrados. Sin embargo, en ningún caso serán conservados los datos personales que puedan de cualquier modo afectar a su titular, una vez transcurridos diez años desde la fecha de ocurrencia de los hechos registrados. 6.- Serán almacenados de forma tal que se garantice plenamente el derecho de acceso por el afectado. 7.- Se prohíbe el acopio de datos por medios fraudulentos, desleales o ilícitos. 8.- Se prohíbe registrar o archivar juicios de valor. Observaciones: El inciso 5 de este artículo, segundo párrafo, permitiría la conservación de los datos personales del afectado aún cuando ya no sean necesarios para el cumplimiento de la finalidad que justifica el registro y tratamiento. Posibilidad que estaría condicionada a que el interesado no sea identificado. Lo que plantea el caso de los datos referidos a nombre, número de identificación y fecha de nacimiento. Estimamos que cumplida la finalidad, la conservación de los datos sólo puede tener sentido para fines estadísticos o de investigación científica o histórica. Supuestos en los cuales puede no ser necesario que la conservación de los datos permita la identificación de la persona. Por consiguiente, el principio debe ser la cancelación de los datos cuando ya no son necesarios ni pertinentes para la finalidad para la cual fueron recabados, tal como por ejemplo se indica tanto en el proyecto N.
28
Puesta en línea ……………………………………………….. 14778 como en el 14.785, ambos en cuanto proponen una reforma al artículo 73, inciso d) de la Ley de la Jurisdicción Constitucional.
ARTÍCULO 6.- Categorías particulares de datos Los datos de carácter personal de las personas físicas que revelen su origen racial, sus opiniones políticas, sus convicciones religiosas o espirituales, así como los datos de carácter personal relativos a la salud, a la vida sexual y a sus antecedentes delictivos, no podrán ser almacenados de manera automática ni manual en registros o ficheros privados, y en los registros públicos serán de acceso restringido. Ninguna persona estará obligada a suministrar datos sensibles. Los datos sensibles sólo podrán ser recolectados con finalidades estadísticas o científicas cuando no puedan ser identificados sus titulares. Sin perjuicio de lo establecido en el párrafo anterior, las asociaciones religiosas, las organizaciones políticas, sindicales y aquellas que agrupen a los individuos de acuerdo con sus preferencias sexuales o ideológicas, podrán llevar un registro de sus miembros, para uso exclusivo de su fin asociativo.
Observaciones: El artículo tiende a proteger los datos considerados como “sensibles”. De acuerdo con dicho artículo, podrían existir registros públicos en que se registre a la persona por su origen racial, sus opiniones políticas, vida sexual, convicciones religiosas o espirituales. Lo cual obligaría a plantearse cuál es la necesidad de tales registros. Particularmente si la persona no está obligada a suministrar datos sensibles , cómo se constituiría el registro público? Por otra parte, debe mantenerse el criterio de la confidencialidad de la información, de manera tal que no pueda ser suministrada a terceros, salvo que la transmisión sea necesaria para salvar la vida de la persona u otro derecho fundamental como la libertad personal. El término “acceso restringido” podría ser interpretado como autorizando que terceros puedan tener acceso a la información sensible registrada.
ARTÍCULO 8.- Cesión de datos Los datos de carácter personal conservados en archivos o bases de datos públicos o privados, sólo podrán ser cedidos a terceros para fines directamente
29
Puesta en línea ……………………………………………….. relacionados con las funciones legítimas del cedente y del cesionario, con el previo consentimiento del afectado, en los términos del artículo 4 de esta Ley. El consentimiento para la cesión podrá ser revocado pero la revocatoria no tendrá efectos retroactivos. Lo anterior es aplicable a cualquier fichero independientemente de su titularidad pública o privada. El consentimiento no será exigido cuando: a) Así lo disponga una ley. b) Se trate de la cesión de datos perso nales al Estado o una institución pública de salud o de investigación científica en el área de la salud, relativos a la salud, y sea necesario por razones de salud pública, de emergencia o para la realización de estudios epidemiológicos, en tanto se preserve la identidad de los titulares de los datos mediante mecanismos de disociación adecuados. El cesionario quedará sujeto a las mismas obligaciones legales y reglamentarias del cedente y este responderá solidariamente y conjuntamente por la observancia de los mismos ante la Agencia de Protección de Datos y el titular de los datos.
Observaciones: En materia de cesión de datos, el principio es el consentimiento. Considero que debe modificarse la redacción del primer párrafo de manera que refleje esa importancia. Una redacción como El consentimiento del afectado, expresado en los términos del artículo 4 de esta ley, es necesario para la cesión a terceros de los datos de carácter personal conservados en archivos o bases de datos públicos o privadas.
ARTÍCULO 12. Excepciones y restricciones al derecho a la autodeterminación informativa del ciudadano Sólo por ley se podrán establecer excepciones y restricciones en los principios, derechos y garantías aquí enunciados, siempre que aquellas sean justas, razonables y acordes con el principio democrático. Las mencionadas excepciones y restricciones solo podrán plantearse para alcanzar fines legales en alguno de los siguientes campos:
30
Puesta en línea ……………………………………………….. a) La protección de la seguridad del Estado, de la seguridad pública, de la seguridad económica del Estado o para la represión de las infracciones penales. b) La protección de las propias personas concernidas, así como los derechos y las libertades de otras personas. c) El funcionamiento de ficheros de carácter personal que se utilicen con fines estadísticos o de investigación científica, cuando no existe riesgo de que las personas sean identificadas. Siempre existirá recurso para que la autoridad judicial decida si en un caso concreto estamos ante una excepción o restricción razonable. Observaciones: En la medida en que se está ante un derecho fundamental, se sigue como lógica consecuencia que la regulación del derecho está reservada a la ley. Por ende, sólo por ley podrán imponerse restricciones al ejercicio del derecho, incluido los principios que lo rigen y las facultades que conlleva el derecho. Empero, en la medida en que la regulación que se pretende emitir es de rango legal, esta no es el mecanismo válido para establecer los criterios que debe seguir el legislador al restringir el derecho. En vez de establecer que las excepciones y restricciones sólo pueden ser establecidas por el legislador en determinados ámbitos, se requiere que el propio proyecto de ley defina si los principios, derechos y garantías que establece resultan aplicables a la protección de la seguridad del Estado, a la seguridad pública, a la seguridad económica del Estado (qué se entiende por tal) o para la represión de infracciones penales. Es de advertir, por demás, que la redacción del inciso c) es tan amplia que podría permitir vaciar de contenido y significado el derecho de autodeterminación informativa. En orden al punto c) quizás lo importante es que se establezca como un principio general que está permitida la recolección de datos de terceros para fines estadísticos o de investigación científica, a condición de que el tratamiento no conduzca a una identificación de las personas. Por otra parte, si se establece que “siempre existirá recurso para que la autoridad judicial decida si en un caso concreto estamos ante una excepción o restricción razonable”, debería establecerse cuál es ese recurso. Si es la ley la que establece la excepción o restricción es claro que el único mecanismo de control será la Acción de Inconstitucionalidad; distinto es el caso si de lo que se trata es de establecer que en un caso concreto no se dan los presupuestos legales en orden a la restricción, en cuyo caso podría abrirse la vía de Amparo o vía la contencioso-administrativa.
31
Puesta en línea ……………………………………………….. En todo caso podría existir una contradicción en establecer que existirá un recurso judicial para que se determine si la excepción o restricción a los principios, derechos y garantías es razonable, si en el artículo 4 se ha establecido que corresponde a la Agencia de Protección de Datos personales valorar si la excepción legal al principio del consentimiento para la entrega de los datos está “dentro de los límites razonables”.
ARTÍCULO 14.- Transferencia internacional de los datos, regla general. Las personas públicas y privadas encargadas del manejo de bases de datos y los archivos físicos, estarán imposibilitadas para transferir datos que hayan recibido directamente de los titulares de la información o de terceros. Se exceptúan de la prohibición contenida en el párrafo anterior las transferencias ocurridas con absoluto arreglo a las siguientes reglas: a) Que la Agencia para la Protección de Datos Personales autorice la transferencia a la persona o institución receptora, pública o privada, por corroborar que con dicho traslado no están siendo vulnerados los principios rectores del manejo de datos personales, descritos en esta Ley. b) Que el titular de la información haya autorizado expresa y válidamente tal transferencia. c) Si se trata de una persona o institución pública o privada domiciliada en el extranjero, dicha transferencia solo podrá ser llevada a cabo si, además de las condiciones antes mencionadas, dicho receptor está domiciliado o tiene como base un país que ofrezca un nivel de protección de los datos personales, igual o superior al establecido en Costa Rica.
Observaciones: El título del artículo da a entender que su objeto es regular la transferencia internacional de datos. Empero, la lectura del artículo da margen para considerar que el principio y su excepción se refieren también a la transferencia nacional. Lo cual obligaría a diferenciar entre “transferencia” y cesión de datos. Por otra parte, en orden a las excepciones el principio debe ser que el consentimiento del interesado permite la transferencia. Consentimiento que no sería necesario en circunstancias especiales, que la ley define y en el tanto se cuente con la autorización de la Agencia para la Protección de Datos Personales.
32
Puesta en línea ………………………………………………..
ARTÍCULO 15.- Agencia para la Protección de Datos Personales Créase un órgano adscrito al Poder Legislativo denominado Agencia para la Protección de Datos Personales (PRODAT), el cual gozará de independencia funcional, administrativa y de criterio en el desempeño de las funciones que esta Ley le encomienda. Observaciones: Se plantea que la Agencia para la Protección de Datos Personales sea un órgano del Poder Legislativo. En la medida en que la Agencia cumple funciones netamente administrativas, consideramos que la adscripción al Poder Legislativo plantea un problema de constitucionalidad. La naturaleza propia de la Agencia es la de autoridad administrativa absolutamente independiente en el ejercicio de sus funciones, por lo que debe ser organizada sea como un órgano del Poder Ejecutivo con absoluta independencia funcional y administrativa o bien como una entidad autónoma. Pareciera que se ha considerado que como la Agencia debe ser un instrumento de defensa de los derechos fundamentales, corresponde ubicarla en el Poder Legislativo, tal como sucede con la Defensoría de los Habitantes. Es de advertir, sin embargo, que la función que debe desempeñar la Agencia es absolutamente diferente de la función que corresponde a la Defensoría de los Habitantes. No puede considerarse que, en estricto derecho, ésta se constituya en una Administración activa. Diferente es el caso de la Agencia, que está llamada a ejercer sus competencias no sólo sobre los organismos públicos sino también sobre las personas privadas, físicas y jurídicas. Como Administración activa, la Agencia tendrá entre unas de sus funciones la de solicitar información tanto a personas públicas como privadas, llevar un registro de los archivos y bases de dato, autorizar la transferencia de datos y, particularmente, resolver los reclamos de los particulares en orden a la protección de los datos personales. En el ejercicio de esa competencia, la Agencia no se limitaría a emitir recomendaciones como es el caso de la Defensoría. Por el contrario, le compete dictar órdenes que se imponen al titular del archivo o la base de datos, independientemente de la naturaleza jurídica de ese titular. Además, se ve reconocer un poder sancionador sobre personas físicas o jurídicas, públicas o privadas; así como un poder de dirección sobre los organismos públicos. Competencias administrativas que exceden el ámbito constitucionalmente garantizado al Poder Legislativo.
33
Puesta en línea ……………………………………………….. En razón de las funciones que normalmente se adscribe, no es de extrañar que en Europa se defina un modelo de autoridad de control especializado, independiente y de naturaleza pública. En virtud de las funciones que debe tener es claro que no se trata de un órgano del Poder Legislativo y que tampoco puede ser asimilado al Defensor de los Habitantes. Es claro que la naturaleza de la Agencia tendrá incidencia respecto de la forma de nombramiento del Director y de otros funcionarios. El nombramiento del Director debería corresponder al Consejo de Gobierno, sin perjuicio de que ese nombramiento sea sometido a ratificación de la Asamblea Legislativa. ARTÍCULO 18.- Requisitos Para ser nombrado director o directora nacional de Protección de Datos Personales se requiere ser ciudadano costarricense, mayor de treinta y cinco años, profesional al menos en grado de licenciatura en una materia afín al objeto de su función, de reconocida solvencia profesional y moral.
Observaciones: Para evitar posibles conflictos de intereses sería conveniente extender la inelegibilidad para los responsables de los archivos o bases de datos públicos. Es importante que en la selección de los funcionarios que tengan a su cargo la Agencia se acentúe el aspecto de la capacidad y formación, de manera que se procure atraer las personas más idóneas para proteger los derechos de los habitantes.
ARTÍCULO 24.-
Organigrama
La Agencia para la Protección de Datos Personales estará compuesta al menos de los siguientes órganos: a) b)
El director o directora nacional El subdirector o subdirectora nacional.
34
Puesta en línea ……………………………………………….. c) d) e)
El registro de archivos y bases de datos. El departamento de inspección de archivos y bases de datos. El departame nto de divulgación.
Para ocupar la jefatura de cualquier departamento, se requiere poseer un título profesional en grado al menos de licenciatura, en una carrera relacionada con el cargo. ARTÍCULO 25.-
Registro de archivos y bases de datos
Todo archivo, registro, base o banco de datos público y privado destinado a proporcionar informes debe inscribirse en el Registro que al efecto habilite la Agencia de Protección de Datos. El Registro de archivos y bases de datos es el órgano de la Agencia para la Protección de Datos Personales encargado de inscribir: a) Los archivos y las bases de datos propiedad del Estado u otros entes públicos. b) Los archivos y las bases de datos que pertenezcan o sean administrados por personas de Derecho Privado. c) Los protocolos de actuación a que hace referencia el artículo 13 de esta Ley. d) Cualesquiera otras informaciones que las normas de rango legal o reglamentario le impongan. El Registro de archivos y bases de datos se encuentra sustraído de la potestad de avocación por parte de quien ocupe la dirección nacional.
ARTÍCULO 26.datos.
Departamento de inspección de archivos y bases de
Corresponde al Departamento de inspección de archivos y bases de datos la tramitación de las quejas y solicitudes recibidas por personas respecto del uso que esté siendo dado a sus datos personales. Actuará como órgano director del debido proceso, pudiendo llevar a cabo las diligencias de investigación necesarias, incluida la posibilidad de exigir de los archivos y las bases de datos el suministro de la información requerida, así como la inspección in situ de tales archivos y bases de datos. Podrá asimismo adoptar las medidas cautelares necesarias para la efectiva garantía del buen uso de los datos personales. Mediante un sistema de selección aleatoria permanente deberá controlar que los archivos y las bases de datos a que se refiere esta Ley, cumplan con las normas para la protección de los datos personales. 35
Puesta en línea ……………………………………………….. ARTÍCULO 27.-
Departamento de divulgación
Compete al Departamento de divulgación la elaboración y ejecución de una estrategia de comunicación dirigida a permitir que los habitantes conozcan los derechos derivados del manejo de sus datos personales, así como los mecanismos que el ordenamiento prevé para la defensa de tales prerrogativas. Deberá coordinar con los gobiernos locales, la realización periódica de las actividades de divulgación entre los habitantes del cantón. Le corresponde asimismo promover entre las personas y empresas que recolecten, almacenen o manipulen datos personales, la adopción de prácticas y protocolos de actuación acordes con la protección de dicha información. Observaciones: La estructura interna de la Agencia debe ser objeto de un reglamento de autoorganización, el funcionamiento del organismo podría revelar la necesidad de un cambio en la organización que se propone o bien realizar cambios en la distribución funcional que se propone. Cambios pueden lograrse más fácilmente por vía reglamentaria. Lo importante es que la ley establezca las competencias externas de la Agencia como tal.
36