Por Roberto Lemaître Picado

En la actualidad, las nuevas tecnologías se han convertido en una herramienta esencial, y esta situación no ha sido la excepción en Costa Rica, su uso masivo mediante computadoras, celulares inteligentes, y otros dispositivos, todos conectados a Internet, es una realidad palpable, siendo utilizadas diariamente y en todo momento por la mayoría de la sociedad costarricense.

Pero un tema fundamental es ¿qué pasa con todos los datos personales que se relacionan con los diferentes servicios que recibimos tanto a nivel institucional como empresarial? ¿qué sucede con nuestra intimidad?

Cuando hablamos de derecho a la intimidad, lo relacionamos con conceptos como privacidad, secreto, inviolabilidad, anonimato, los cuales son parte del mismo derecho. Podemos definirlo entonces como «un derecho humano fundamental por virtud del cual se tiene la facultad de excluir o negar a las demás personas del conocimiento de ciertos aspectos de la vida de cada persona que solo a ésta le incumben» (De Dienheim Bariguete).

Al respecto, en nuestro marco normativo, la Constitución Política, en el artículo 24, consagra el derecho a la intimidad, la cual busca garantizarle a todo individuo un sector personal, una esfera privada de su vida que sea inaccesible al público, salvo expresa voluntad de la persona, lo que denominamos autodeterminación informativa. Esta garantía protege la libertad de las comunicaciones y prohíbe que cualquier persona, pública o privada, pueda acceder a estos contenidos, de manera irrestricta. El artículo 24 de la Constitución Política de Costa Rica indica que: (Asamblea Legislativa de la República de Costa Rica, s.f.)

ARTÍCULO 24.- Se garantiza el derecho a la intimidad, a la libertad y al secreto de las comunicaciones.

Son inviolables los documentos privados y las comunicaciones escritas, orales o de cualquier otro tipo de los habitantes de la República. Sin embargo, la ley, cuya aprobación y reforma requerirá los votos de dos tercios de los Diputados de la Asamblea Legislativa, fijará en qué casos podrán los Tribunales de Justicia ordenar el secuestro, registro o examen de los documentos privados, cuando sea absolutamente indispensable para esclarecer asuntos sometidos a su conocimiento.

(….).

Al respecto la Sala Constitucional ha sido clara y reiterativa en indicar que se protege el derecho a la intimidad, mediante sentencia número 2008-16336, de las diecisiete horas cincuenta y cinco minutos del treinta de octubre de dos mil ocho (SALA CONSTITUCIONAL DE LA CORTE SUPREMA DE JUSTICIA, 2008), señaló que:

“La Sala Constitucional, en múltiples ocasiones, ha desarrollado los alcances y matices del derecho protegido en el artículo 24 de la Constitución Política. Particularmente ilustrativo es lo resuelto por el Tribunal Constitucional en la sentencia N° 2005- 15063 de las 15:59 hrs. del 1° de noviembre de 2005, en que se dijo: “(…) EL SECRETO DE LAS COMUNICACIONES Y LA INVIOLABILIDAD DE LOS DOCUMENTOS PRIVADOS. El artículo 24 de la Constitución Política y el artículo 11 de la Convención Americana sobre Derechos Humanas consagran el derecho a la intimidad que, entre otras cosas, pretende garantizarle a todo individuo un sector personal, una esfera privada de su vida inaccesible a público salvo expresa voluntad del interesado. Como una de sus manifestaciones expresamente contempladas en la Constitución Política se encuentra la inviolabilidad de los documentos privados. Esta garantía protege la libertad de las comunicaciones y prohíbe que cualquier persona – pública o privada – pueda interceptar o imponerse del contenido, de manera antijurídica, de las comunicaciones ajenas.

Además, la Sala Constitucional, también ha señalado, en la sentencia No. 6776-94 de las 14:57 hrs. del 22 de noviembre de 1994, sobre el tema lo siguiente (SALA CONSTITUCIONAL DE LA CORTE SUPREMA DE JUSTICIA, 1994):

“El derecho a la intimidad tiene un contenido positivo que se manifiesta de múltiples formas, como por ejemplo: el derecho a la imagen, al domicilio y a la correspondencia. Para la Sala el derecho a la vida privada se puede definir como la esfera en la cual nadie puede inmiscuirse. La libertad de la vida privada es el reconocimiento de una zona de actividad que es propia de cada uno y el derecho a la intimidad limita la intervención de otras personas o de los poderes públicos en la vida privada de la persona; esta limitación puede manifestarse tanto en la observación y captación de la imagen y documentos en general, como en las escuchas o grabaciones de las conversaciones privadas y en la difusión o divulgación posterior de lo captado u obtenido sin el consentimiento de la persona afectada. Asimismo, el texto constitucional en su artículo 24 se refiere a la inviolabilidad de los documentos privados y las comunicaciones escritas, orales o de cualquier otro tipo de los habitantes de la República”, con lo cual, es evidente, que dicho derecho se refiere a cualquier procedimiento de comunicación privada con independencia de la titularidad del medio a través del cual se realiza la comunicación.”

Este último aspecto, nos delimita jurídicamente, que las comunicaciones no solo deben ser entendidas como la transmisión de datos por algún medio tecnológico, estas van a incluir

la comunicación escrita o digital, y va a tener la característica de ser considerada de índole privada.

Ahora bien, es importante señalar que mediante Ley N° 8968 de 7 de julio del 2011 y publicada en el Diario Oficial La Gaceta No. 170 del 5 de setiembre del 2011, se promulgó la Ley de Protección de la Persona frente al Tratamiento de sus Datos Personales (Asamblea Legislativa, 2011), y su Reglamento el cual fue creado mediante Decreto Ejecutivo No. 37554-JP del 30 de octubre del 2012 y publicado en el Alcance No. 45 del Diario Oficial La Gaceta del 5 de marzo del 2013 y reformado en el 2016 mediante el Decreto Ejecutivo No. 40008-JP del 19 de julio del 2016 y publicado en el Alcance No. 287 del Diario Oficial La Gaceta del 6 de diciembre del 2016 y su última reforma mediante el decreto ejecutivo N° 41582 del 21 de febrero del 2019 en el Alcance No 48 del Diario Oficial La Gaceta del 04 de marzo del 2019

Dicha normativa busca garantizar a cualquier persona, independientemente de su nacionalidad, residencia o domicilio, el respeto a sus derechos fundamentales, concretamente, su derecho a la autodeterminación informativa en relación con su vida o actividad privada y demás derechos de la personalidad, así como la defensa de su libertad e igualdad con respecto al tratamiento automatizado o manual de los datos correspondientes a su persona o bienes, dentro de dicho ámbito de acción es para los datos personales que figuren en bases de datos automatizadas o manuales, de organismos públicos o privados.

Además, se crea la Agencia de Protección de Datos de los Habitantes, donde los ciudadanos, que consideren vulnerados sus derechos en cuanto uso de sus datos personales pueden denunciar dichas situaciones para que la Agencia, siguiendo el debido proceso, actúe para verificar, o no, un mal uso de los datos personales de las personas.

Resulta importante que clarifiquemos algunos conceptos importantes en materia de protección de datos:

Dato de carácter personal: podemos definirlo como Cualquier información concerniente a una persona física identificada o identificable. Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo, concerniente a personas físicas identificadas o identificables. (Glosario Iberoamericano de Protección de Datos, 2013)

Autodeterminación informativa: Toda persona tiene derecho a la autodeterminación informativa, la cual abarca el conjunto de principios y garantías relativas al legítimo tratamiento de sus datos personales. Se reconoce también la autodeterminación informativa como un derecho fundamental, con el objeto de controlar el flujo de informaciones que conciernen a cada persona, derivado del derecho a la privacidad, evitando que se propicien acciones discriminatorias. Sinónimos: Principio de autodeterminación informativa. . (Glosario Iberoamericano de Protección de Datos, 2013)

Derecho a la protección de datos personales: Derecho humano a la autodeterminación informativa, que tiene toda persona de controlar los alcances de su información personal.

El derecho a la protección de datos personales se traduce como la facultad de una persona de controlar y administrar a su voluntad, la información personal que otros tienen de él o de los menores a su cargo. Las leyes en protección de datos atribuyen a los ciudadanos la titularidad, el control, el poder de disposición y autodeterminación sobre sus datos personales supeditando el tratamiento de los mismos al consentimiento e información previa. (Glosario Iberoamericano de Protección de Datos, 2013)

Transferencia de datos: Toda comunicación de datos realizada a persona distinta del responsable o encargado del tratamiento. El transporte de los datos entre sistemas informáticos por cualquier medio de transmisión, así como el transporte de soportes de datos por correo o por cualquier otro medio convencional. (Glosario Iberoamericano de Protección de Datos, 2013)

Responsable: Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, titular de bases de datos, que decide sobre el tratamiento de datos personales. (Glosario Iberoamericano de Protección de Datos, 2013)

Encargado del tratamiento: La persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio (Glosario Iberoamericano de Protección de Datos, 2013)

Teniendo claro el contexto de intimidad y el contexto conceptual, podemos comenzar a clarificar ¿qué pasa con la autodeterminación informativa y las excepciones que presentan nuestra normativa?

El artículo 8 de la Ley de Protección de la Persona frente al tratamiento de sus datos personales, señala que:

ARTÍCULO 8.- Excepciones a la autodeterminación informativa del ciudadano

Los principios, los derechos y las garantías aquí establecidos podrán ser limitados de manera justa, razonable y acorde con el principio de transparencia administrativa, cuando se persigan los siguientes fines:

a) La seguridad del Estado.
b) La seguridad y el ejercicio de la autoridad pública.

c) La prevención, persecución, investigación, detención y represión de las infracciones penales, o de las infracciones de la deontología en las profesiones.

d) El funcionamiento de bases de datos que se utilicen con fines estadísticos, históricos o de investigación científica, cuando no exista riesgo de que las personas sean identificadas.

e) La adecuada prestación de servicios públicos.

f) La eficaz actividad ordinaria de la Administración, por parte de las autoridades oficiales.

Muchas de estas excepciones aplican a la administración pública. A nivel internacional el Director de la AEPD el 23 de enero de 2013 señala sobre este tema que “las garantías que establece la normativa de protección de datos tiene una indudable relevancia en el ámbito de las administraciones públicas, habida cuenta del gran volumen de información personal que las administraciones poseen sobre los ciudadanos, información de muy diversa naturaleza, incluidos datos sensibles como los relativos a ideología, creencias o salud, que en muchos casos es recabada y tratada sin el consentimiento de los afectados por ser necesaria para el cumplimiento de las funciones de las administraciones” (Álvarez Hernando, 2018)

Al respecto se ha señalado internacionalmente que el Estado, está facultado para utilizar la información de las personas para el ejercicio de sus atribuciones y por tanto, en la mayoría de los supuestos no se requiere el consentimiento del titular para ello pero que otros principios tales como el de información y proporcionalidad toman una importancia mayor para legitimar el tratamiento frente a los titulares.

En ese sentido señala Emilio Guichot

“En efecto, frente a las Administraciones Públicas, el derecho a la protección de datos es un derecho muy recortado, respecto a su contenido constitucional, trazado por el Tribunal Constitucional, puesto que la Administración Pública está encargada de perseguir bienes colectivos que también gozan de protección constitucional y cuya satisfacción exige que sean sacrificados algunos de los principios (notablemente el de consentimiento) y de las facultades (cuando haya riesgos para dichos bienes que integran el contenido del derecho). De este modo, en buena medida podría llegar a afirmarse que frente a los tratamientos administrativos cuando hay bienes constitucionales en juego, el derecho a la protección de datos, en su configuración legal, sólo garantiza a los ciudadanos un derecho a la información general sobre los ficheros y tratamientos existentes, y un principio de veracidad y proporcionalidad respecto de los datos obrantes en poder de las mismas” (COMISIONES UNIDAS DE GOBERNACIÓN; DE ESTUDIOS LEGISLATIVOS; Y DE ESTUDIOS, 2010).

Es por esta razón que “solamente se requerirá el consentimiento del particular cuando se trate de datos sensibles; se modifique sustancialmente la finalidad para la cual fueron obtenidos los datos, esto es, cuando el fin sea antagónico o distinto al originario, o bien, cuando por virtud de una solicitud de acceso a la información pretendan difundirse o

divulgarse”. Al respecto nos recuerdan que, algunos datos personales podrían divulgarse por obligación legal, por encontrarse en los supuestos de obligaciones de transparencia pública, o bien, o el caso de que los órganos garantes determinasen la publicidad de uno o más datos personales, siempre que se demuestre el interés público existente (debidamente motivado) y siguiendo el procedimiento que marca las respectivas leyes para tal efecto, en donde siempre el interés público, se debe demostrar para determinar la publicidad de un dato personal como un beneficio público mayor que la afectación en la esfera privada del titular del dato.

Bajo estos supuestos, las excepciones del artículo 8 aplican dentro de este supuesto, pero es importante aclarar que aplica dentro del tratamiento de datos dentro de cada institución de la Administración Pública dentro de sus competencias y no es una excepción de transferencia de datos.

Ahora bien ¿qué sucede en los casos de transferencias de datos dentro de instituciones del sector público?

Nuestra normativa de protección de datos establece en su artículo 14 lo siguiente:

CAPÍTULO III
TRANSFERENCIA DE DATOS PERSONALES
SECCIÓN ÚNICA
ARTÍCULO 14.- Transferencia de datos personales, regla general

Los responsables de las bases de datos, públicas o privadas, solo podrán transferir datos contenidos en ellas cuando el titular del derecho haya autorizado expresa y válidamente tal transferencia y se haga sin vulnerar los principios y derechos reconocidos en esta ley.

De igual forma el reglamento de la ley de rito señala que:

Capítulo V
De la Transferencia de Datos Personales
Artículo 40. Condiciones para la transferencia. La transferencia requerirá siempre el consentimiento inequívoco del titular. La transferencia implica la cesión de datos personales por parte, única y exclusivamente, del responsable que transfiere al responsable receptor de los datos personales. Dicha transferencia de datos personales requerirá siempre del consentimiento informado del titular, salvo disposición legal en contrario, asimismo que los datos a transferir hayan sido recabados o recolectados de forma lícita y según los criterios que la Ley y el presente Reglamento dispone. No se considera trasferencia el traslado de datos personales del responsable de una base de datos a un encargado, proveedor de servicios o intermediario tecnológico o las empresas del mismo grupo de interés económico. Toda venta de datos del fichero o de la base de datos, parcial o total, deberá reunir los requerimientos establecidos en el párrafo anterior.

(Así reformado por el artículo 8° del decreto ejecutivo N° 40008 del 19 de julio de 2016)

Ese primer elemento nos deja claro que a nivel nacional se requiere siempre el consentimiento en materia de transferencia de datos personales entre instituciones; a nivel internacional este aspecto es más claro, por ejemplo el artículo 21 de la LOPD de España que trata sobre la comunicación de datos entre Administraciones Públicas, señala que los datos personales recogidos o elaborados por las Administraciones Públicas para el desempeño de sus atribuciones “no podrán ser comunicados o cedidos a otras Administraciones para el ejercicio de competencias diferentes o de competencias que versen sobre materias distintas, salvo cuando la comunicación tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos” (Álvarez Hernando, 2018, pág. 1056).

Se establece en esa misma línea que caben las cesiones o comunicaciones de datos entre administraciones públicas que tengan competencias idénticas, o que versen sobre las mismas materias, cuando se obtengan o elaboren por una administración con destino a otra, y cuando los datos tengan por objeto el tratamiento con fines históricos, estadísticos o científicos. De igual forma el Reglamento a la LOPD establece que no es necesario el consentimiento del afectado para ceder sus datos al Defensor del Pueblo, el Ministerio Fiscal o Jueces o Tribunales en el ejercicio de sus funciones (artículos 11.2.d de la LOPD y 10.4b del RLOPD) (Álvarez Hernando, 2018, pág. 1057)

Otro tema que provoca dudas es ¿qué sucede con transferencias internacionales de datos personales?; resulta importante recordar que en el artículo 16 del Proyecto de Ley de la actual ley de protección de datos de Costa Rica, expediente N° 16679, en el capítulo III denominado Transferencia de datos personales, establecía como regla general la imposibilidad de que los administradores de archivos públicos o privados, transfieran a terceras personas en el extranjero, informaciones pertenecientes a otros, incorporando algunas excepciones. En este escenario en principio plantearon que la transferencia de datos internacional debería darse con consentimiento del afectado y previa autorización de la Agencia de Protección Datos, lo cual implicaba un imposible técnico para la Agencia de lograr determinar cuándo y por cuál vía ha ocurrido una transferencia de datos, como lo advirtió el Departamento de Servicios Técnicos de la Asamblea Legislativa en el informe jurídico de dicho proyecto de ley oficio No S.T. 199-2007, como también las problemáticas de realidad práctica de los servicios existentes de transferencia de datos en la nube, por lo que en la versión final de la ley actual este tema se eliminó, permitiendo las transferencias internacionales pero siempre regidos dentro del marco de la normativa de protección de datos. Veamos un comparativo de ambos artículos:

Proyecto de ley Ley de protección de la persona frente al tratamiento de sus datos personales Expediente n.o 16.679 Asamblea Legislativa Ley Protección de la Persona frente al tratamiento de sus datos personales N.o 8968
CAPÍTULO III TRANSFERENCIA DE DATOS PERSONALES SECCIÓN ÚNICA ARTÍCULO 16.- Transferencia de datos personales. Regla general Las personas públicas y privadas encargadas del manejo de bases de datos y los archivos físicos, estarán imposibilitadas para transferir datos que hayan recibido directamente de los titulares de la información o de terceros. Se exceptúan de la prohibición contenida en el párrafo anterior las transferencias ocurridas con absoluto arreglo a alguna de las siguientes reglas: a) Que la Agencia para la Protección de Datos Personales autorice la transferencia a la persona o institución receptora, pública o privada, por corroborar que con dicho traslado no están siendo vulnerados los principios rectores del manejo de datos personales, descritos en esta Ley. b) Que el titular de la información haya autorizado expresa y válidamente tal transferencia y que no haya sido notificada la revocatoria a la Autoridad encargada del fichero. c) Si se trata de una persona o institución pública o privada domiciliada en el extranjero, dicha transferencia solo podrá ser llevada a cabo si, además de las condiciones antes mencionadas, dicho receptor está domiciliado o tiene como base un país que ofrezca un nivel de protección de los datos personales, igual o superior al establecido en Costa Rica, salvo que el titular de los datos personales autorice expresamente su transferencia, la cual se hará sin más trámite. CAPÍTULO III TRANSFERENCIA DE DATOS PERSONALES SECCIÓN ÚNICA ARTÍCULO 14.- Transferencia de datos personales, regla general Los responsables de las bases de datos, públicas o privadas, solo podrán transferir datos contenidos en ellas cuando el titular del derecho haya autorizado expresa y válidamente tal transferencia y se haga sin vulnerar los principios y derechos reconocidos en esta ley.

Es claro que se sigue requiriendo el consentimiento informado para cualquier transferencia, inclusive las internacionales.

Al respecto, el reglamento de nuestra ley de protección de datos, nos brinda cierta claridad sobre el tema de transferencia de datos personales, en el cual la transferencia de datos personales no implica su comercialización y no distingue si es dentro o fuera del país,

ejemplo de esto lo tenemos en las transferencias de bases de datos domésticas a terceros dentro de un mismo grupo de interés económico no estima que se dé la comercialización, siempre y cuando no se usen con fines de distribución, difusión o comercialización.

Además, cuando una base de datos es transferida a un intermediario o proveedor tecnológico y el encargado de la misma quiere beneficiarse del cómputo en la nube, tampoco esto se considera comercialización, siempre y cuando no se usen los datos con fines de distribución, difusión o comercialización.

También, el traslado de datos personales del responsable de una base a un encargado, proveedor de servicios o intermediario tecnológico o a las empresas del mismo grupo de interés económico, no requiere consentimiento cuando se contrata a un proveedor de servicios tecnológicos, siempre teniendo en cuenta que hay que asegurarse que el proveedor o intermediario tecnológico no los use para otros fines que no sean el de brindar el servicio tecnológico, y que además tenga los niveles de seguridad adecuados dependiendo del contexto del tipo de datos y análisis de riesgo realizado.

Este escenario nos muestra que la transferencia de datos personales en nuestro país entre instituciones del sector público requiere el consentimiento informado de los ciudadanos, como hemos visto nuestra normativa tanto en la ley como en el reglamento, no clarifica en detalle estos aspectos como si lo hace otras normativas de protección de datos de otros países; lo que si no puede quedar en duda es que la ley de protección de datos costarricense no permite la comunicación indiscriminada de datos personales entre administraciones públicas, dentro de este marco el consentimiento informado se convierte en la base para este tratamiento de datos personales, sin olvidar que si se almacena o administra los datos personales, ya sea una institución, un proveedor o intermediario tecnológico, debe mantener niveles óptimos de seguridad y acorde al tipo de información y que garantice el uso para el cual le fueron trasladados los datos y no los vaya a comercializar, ni divulgar ni difundir.

Bibliografía

Álvarez Hernando, J. (2018). Practicum Protección de Datos 2018. Arazandi.

Asamblea Legislativa. (05 de setiembre de 2011). Sistema Costarricense de Información Jurídica. Obtenido de Protección de la Persona frente al tratamiento de sus datos personales: http://www.pgrweb.go.cr/scij/Busqueda/Normativa/Normas/nrm_texto_completo.aspx? param1=NRTC&nValor1=1&nValor2=70975&nValor3=85989&strTipM=TC

Ministerio de Justicia y Paz. (19 de julio de 2016). Sistema Costarricense de Información Jurídica. Obtenido de Reglamento a la Ley de Protección de la Persona frente al Tratamiento de sus Datos Personales: http://www.pgrweb.go.cr/scij/Busqueda/Normativa/Normas/nrm_texto_completo.aspx? param1=NRTC&nValor1=1&nValor2=74352&nValor3=106487&strTipM=TC

Asamblea Legislativa de la República de Costa Rica. (s.f.). Sistema Costarricense de Información Jurídica. Obtenido de Constitución Política de la República de Costa Rica: http://www.pgrweb.go.cr/scij/Busqueda/Normativa/Normas/nrm_norma.aspx?param1= NRM&nValor1=1&nValor2=871&nValor3=0&strTipM=FN

COMISIONES UNIDAS DE GOBERNACIÓN; DE ESTUDIOS LEGISLATIVOS; Y DE ESTUDIOS. (2010). DE LAS COMISIONES UNIDAS DE GOBERNACIÓN; DE ESTUDIOS LEGISLATIVOS. Obtenido de http://sil.gobernacion.gob.mx/Archivos/Documentos/2010/04/asun_2661363_20100428_ 1272909486.pdf

De Dienheim Bariguete, C. (s.f.). EL DERECHO A LA INTIMIDAD, AL HONOR Y A LA PROPIA IMAGEN. Recuperado el 18 de junio de 2018, de http://www.unla.mx/iusunla3/reflexion/derecho%20a%20la%20intimidad.htm

Dozo, D., & Martínez Quijano, P. (2013). Glosario Iberoamericano de Protección de Datos.

SALA CONSTITUCIONAL DE LA CORTE SUPREMA DE JUSTICIA. (22 de noviembre de 1994).
Obtenido de http://jurisprudencia.poder- judicial.go.cr/SCIJ_PJ/busqueda/jurisprudencia/jur_Documento.aspx?param1=Ficha_Sente ncia&nValor1=1&nValor2=83723&strTipM=T&strDirSel=directo

SALA CONSTITUCIONAL DE LA CORTE SUPREMA DE JUSTICIA. (16 de noviembre de 2007).
Obtenido de http://jurisprudencia.poder- judicial.go.cr/SCIJ_PJ/busqueda/jurisprudencia/jur_Documento.aspx?param1=Ficha_Sente ncia&nValor1=1&nValor2=407562&strTipM=T&strDirSel=directo

SALA CONSTITUCIONAL DE LA CORTE SUPREMA DE JUSTICIA. (30 de octubre de 2008). Sistema Costarricense de Información Jurídica. Obtenido de http://jurisprudencia.poder- judicial.go.cr/SCIJ_PJ/busqueda/jurisprudencia/jur_Documento.aspx?param1=Ficha_Sente ncia&nValor1=1&nValor2=436025&strTipM=T&strDirSel=directo

Categoría
Ideas
Últimas colaboraciones …