En Costa Rica ¿están las empresas cumpliendo con la Ley de Protección de Datos?

empresas_costa_rica

Por Juan Ignacio Zamora Montes de Oca

Las empresas que cuentan con bases de datos a las que les aplica la ley de la Persona Frente al Tratamiento de sus Datos Personales deberán de adecuarse pronto a la normativa o tendrán que cancelar las multas que la Agencia de Protección de Datos les imponga.

La ley es clara al indicar que sólo las bases de datos públicas o privadas, administradas con fines de distribución, difusión o comercialización deberán inscribirse, y no aquellas que se encuentran en el ámbito interno de la empresa o de su actividad. Eso sí, la Agencia ya ha señalado que cualquier uso de datos personales que de alguna forma se relacione con la comercialización de un bien o servicio, se encuentra dentro de las bases de datos que deben inscribirse, y que de no hacerlo, su dueño se encuentra al margen de la ley y en posibilidad de ser sancionado.

Según un estudio realizado con base en el último informe anual de la Agencia Española de Protección de Datos, dicha institución recaudó en el [ultimo año un total de €19.5 millones de euros por empresas que incumplieron con la legislación de protección de datos.

En Costa Rica, las empresas que vayan a inscribir sus bases de datos deben cumplir con una serie de requisitos obligatorios como por ejemplo el consentimiento informado; la calidad de la información (veracidad, actualidad, exactitud, y adecuación al fin), el acceso a la información del usuario y el derecho de rectificación de sus datos. Asimismo se establecen obligaciones para todo aquel que recopile datos personales, tales como informar los fines que se persiguen, los destinatarios de la información, el tratamiento que se dará a los mismos.

Por otro lado se introducen la figura del superusuario, misma que ha generado algunas disconformidades en sectores de la empresa privada pues el concepto no cuenta con sustento en la ley, por lo que para algunos efectos aún se considera una laguna legal.

Otro concepto interesante que se introduce es el del derecho al olvido, el cual indica que el almacenamiento de cualquier dato que pueda afectar a su titular no podrá ser almacenado durante un plazo mayor de 10 años desde la fecha de ocurrencia de los hechos; en los casos en que la conservación de la información sea necesaria más allá del plazo establecido, deberá desasociarse de los datos personales de su titular.

La información que se conservan en las bases de datos se considera una nueva riqueza para las empresas, y como tal deben de protegerla de ataques de terceros con el fin de poder conservarla y utilizarla según lo permita la ley.

La Protección de Datos en Costa Rica, conociendo el nuevo marco normativo

prodat_costarica

Por Roberto Lemaître Picado

Actualmente Costa Rica vive un cambio de paradigma, que tal vez la mayoría de la población todavía desconoce, desde el 2011 contamos con la ley de protección de la persona frente al tratamiento de sus datos personales y su reglamento N° 37554-JP en el 2012. Este nuevo marco normativo viene a proteger jurídicamente a los ciudadanos del manejo que se realiza de sus datos, tanto impresos como digitales, en dicha ley su artículo 1 señala que:

Artículo 1.- Objetivo y fin

Esta ley es de orden público y tiene como objetivo garantizar a cualquier persona, independientemente de su nacionalidad, residencia o domicilio, el respeto a sus derechos fundamentales, concretamente, su derecho a la autodeterminación informativa en relación con su vida o actividad privada y demás derechos de la personalidad, así como la defensa de su libertad e igualdad con respecto al tratamiento automatizado o manual de los datos correspondientes a su persona o bienes.

Ciertamente, antes de la entrada en vigencia de esta normativa, el manejo de los datos en Costa Rica era realizado con total libertad, en muchos casos violando derechos fundamentales de privacidad e intimidad de las personas, las cuales solo tenían como opción recurrir a la Sala Constitucional, la cual debía solucionar temas individuales del manejo de la información de las personas.

Pero, desde la entrada en vigencia del marco normativo de protección de datos y sobre todo el establecimiento práctico de la instancia encargada de ejecutar dicha protección, la Agencia de Protección de Datos de los Habitantes (PRODHAB), la misma Sala ha señalado y modificado su criterio de admisión de recursos  de amparado relacionados con el tema de protección de datos al indicar que:

15183-13. INTIMIDAD. EN CASOS DE AUTODETERMINACIÓN INFORMATIVA (PROTECCIÓN DE DATOS) SE DEBE ACUDIR PRIMERO A LA PROHAB. El recurrente alega que canceló una deuda que tenía con el Banco por el uso de una tarjeta de crédito y en ese momento, solicitó a esa entidad bancaria que actualizara su estado crediticio ante la SUGEF. Manifiesta que se gestionó el trámite pero que la SUGEF no cambió su estado crediticio, por lo que aparece “manchado”, situación que le impide ser sujeto de crédito. Desde su creación, la Sala Constitucional ha utilizado amplios criterios de admisibilidad ante la ausencia de remedios procesales céleres y expeditos para tutelar situaciones jurídicas sustanciales, como es el caso de la protección del derecho a la autodeterminación informativa. Así, en múltiples oportunidades, este Tribunal Constitucional admitió y acogió recursos de amparo en los que se constató una afectación a ese derecho con motivo de los datos personales recogidos en bases de datos automatizadas de organismos públicos o privados y el uso dado a esa información. No obstante, ante la promulgación de la Ley Nº 8968 de 7 de julio de 2011, Protección de la Persona frente al tratamiento de sus datos personales, publicada en La Gaceta No. 170 de 05 de setiembre de 2011 y su reglamento, Decreto Ejecutivo No. 37554 de 30 de octubre de 2012, publicado en La Gaceta No. 45 de 05 de marzo de 2013, se creó un órgano especializado, adscrito al Ministerio de Justicia y Paz, denominado Agencia de Protección de Datos de los Habitantes encargado de resolver, ordenar y sancionar lo relacionado con la circulación de las informaciones contenidas en los archivos y las bases de datos, cuando estas contravengan las normas sobre protección de los datos personales. Bajo este nuevo contexto y ante el nombramiento de la Directora de la Agencia de Protección de Datos de los Habitantes en fecha 17 de setiembre de 2013 y la consecuente entrada en funcionamiento de ese órgano, esta Sala, bajo una mejor ponderación estima que ahora los habitantes cuentan con un mecanismo célere, oportuno y especializado para garantizar su derecho a la autodeterminación informativa en relación con su vida o actividades privadas y demás derechos de la personalidad, así como la defensa de su libertad e igualdad con respecto al tratamiento automatizado o manual de los datos correspondientes a su persona o bienes. Así las cosas, en tesis de principio, esta Sala remite a esa instancia administrativa los asuntos en donde se alegue la violación del derecho de comentario, reservándose el conocimiento, únicamente, de aquellos asuntos en los que habiendo acudido ante la Agencia de Protección de Datos de los Habitantes, no se haya encontrado amparo a ese derecho. Consecuentemente, se impone desestimar el presente recurso e indicarle al tutelado que, si a bien lo tiene, puede acudir a esa instancia administrativa especializada en resguardo de sus derechos. Se declara sin lugar el recurso. (cambio de criterio) SL

Sin duda alguna, la Sala Constitucional con esta resolución empodera a la Agencia de Protección de Datos, para que sea esta en la que los ciudadanos busquen, en primera instancia, la protección de su información.

Hoy, muchas empresas desconocen que deben cumplir varios requisitos para cumplir la ley de protección de datos y mucho menos los ciudadanos conocen los derechos que ahora les cubre; nos encontramos en un proceso de adaptación donde a la PRODHAB le espera una enorme labor de concientización, tanto a las instituciones y empresas, como a la ciudadanía,  de este nuevo escenario.

Desde empresas de las cuales, desconocemos cómo consiguieron nuestros datos, hasta ciudadanos  que ingresan sus datos a formularios impresos o digitales sin detenerse a pensar ¿para qué quieren estos datos y qué harán con ellos?, son temas que se deben comenzar a trabajar para transformar esa indiferencia de pensar que nuestros datos no son importantes. El poder discriminar con la información recolectada de los ciudadanos, el poder realizar perfiles económicos de las personas (y perfiles para secuestros), la venta de bases de datos, la venta de información sensible de las personas, no son temas futuristas, son realidades que otros países  conocen, pero que nuestra cibersociedad costarricense todavía no lo contempla.

La Agencia de Protección de Datos de Costa Rica (PRODHAB) tiene un gran reto, no solo de verificar el cumplimiento de la normativa de protección de datos por parte de las empresas y que las mismas conozcan que el tratamiento de los datos de las personas debe ser distinto, si no de crear una conciencia y una cultura ciudadana de la importancia de nuestros datos y de la importancia de protegerlos; el esfuerzo en esta materia debe ser amplio, es necesario que los costarricenses tengamos una mejor cultura digital, y comprendamos que en esta aldea global en la que es parte nuestra cibersociedad, los datos es uno de los bienes más preciados, es necesario que le demos el valor que corresponde a nuestros datos en esta era digital.

La Ley de Protección de Datos y la Universidad de Costa Rica

ucr

Por Roberto Lemaître Picado

En el campo de la protección a la intimidad y privacidad del mundo digital, Costa Rica dio un gran paso en el año 2011 al aprobar la “Ley de Protección de la Persona Frente al Tratamiento de sus datos Personales”, más conocida como “Ley de Protección de Datos”, esto con el fin de que todos los ciudadanos tengamos el derecho a saber y decidir el manejo de nuestros datos tanto impresos como digitales.

Bajo el panorama de la nueva ley se tornan retos tanto para las empresas como para las instituciones estatales; y para el caso de la Universidad de Costa Rica es mucho mayor, por la cantidad tan variable de información que manejan sus dependencias Administrativas, Institutos, Escuelas, Facultades, etc.  La nueva ley brinda transitorios que a la fecha se han cumplido y solamente se está a la espera de la entrada en vigencia del reglamento a la ley,  para tener claro todas “las reglas del juego”; pero, a pesar de este impase es necesario que la Universidad comience un proceso de revisión de los tipos de datos que se manejan (tanto impresos como digitales), la manera tecnológica con que se trabajan, la planificación requerida para realizar las modificaciones que se requieran; tal proceso exige que se genere un grupo interdisciplinario (abogados, bibliotecólogos, informáticos, etc.) que se le asigne tomar la batuta de tan importante proceso.

Además, se hace necesario sensibilizar a todos los miembros de la Comunidad Universitaria en este tema, de los cuales existen muchas dudas; a finales del año pasado tuve la oportunidad de brindar charlas al respecto al personal del Centro de Informática de la Universidad, el cual ha comenzado a vislumbrar el tema como uno de los aspectos de los cuales se tendrá que trabajar en este 2013.

Siendo la Universidad un ejemplo para la sociedad costarricense, en el cumplimiento de la normativa nacional no puede quedar atrás en realizar un proceso exitoso, de protección de los datos de los ciudadanos en esta cibersociedad costarricense y que sea una guía para las demás universidades e instituciones del Estado.

Costa Rica, la protección de datos personales avanza, aunque a paso lento

costarica_lopd

Por Juan Ignacio Zamora Montes de Oca

Hace más de 120 años que el tema del derecho a la privacidad fue explicado y debatido por Louis Brandeis y Samuel D. Warren, pero no es hasta los últimos 20 años en que, debido al aceleradísimo avance de la tecnología, se ha llegado a modificar todo lo que conocemos como privacidad y protección de datos y su impacto en nuestras vidas.

Por increíble que parezca, y con lo mucho que creemos protegernos en nuestra privacidad del mundo exterior, realmente existe un número reducido de personas que logran tener conciencia, vigilancia o respeto por los datos propios y los de los demás. Casos como el de Edward Snowden en los Estados Unidos ha pro

bado ser una causal para muchas personas de pérdida de interés en el control sobre lo que se comparte en Internet.

Se ha demostrado que muchos de los internautas, luego de conocer sobre las violaciones a la privacidad que se han dado incluso sin el propio consentimiento, llegan a la conclusión de que aún y cuando muestre preocupación por la privacidad, existen organizaciones que se dedican a obtener de manera ilegal toda la información que puedo almacenar en mi computadora o en bases de datos privadas.

Otra causa del desinterés que existe en proteger nuestra privacidad y nuestros datos se puede derivar de la urgencia con que accesamos al mundo tecnológico. Cada día se crean más aplicaciones, nuevos modelos de teléfono, se comparte más en Internet, pero en la medida en que los sujetos se involucran en este avance, omiten ciertos aspectos fundamentales que se derivan de las decisiones principales en la red. Es aquí donde firmamos de manera irresponsable la entrega de todos nuestros datos.

En Costa Rica, la nueva legislación sobre el tema de privacidad ha venido a ayudar en el tanto de que al ser los datos personales propios de cada uno, se ofrece la posibilidad regulada de que el propietario de dichos datos obligue a quien los posee con o sin autorización a rectificarlos, modificarlos, y hasta eliminarlos, si así lo solicita el propietario de los datos.

Esto no elimina riesgos ni mucho menos pues existen siempre peligros e inseguridades a la hora de enviar, tratar, o almacenar datos; lo que si busca la ley es permitirle a cada quien poder ejercer el derecho de decidir cómo puede ser utilizada su información personal y por quienes.

La celebración del Día de la Protección de Datos no debe ser solamente una fecha de conmemoración de los logros obtenidos en materia de privacidad y protección de datos, debe servir también para crear mayor conciencia sobre lo que decidimos compartir o no de nuestras vidas, y hacer entender a los usuarios de que todo lo que hacemos en Internet puede quedar grabado en lugares que ni siquiera imaginamos que existen.

“Dios perdona y olvida, pero la web, nunca” dijo Viviane Reding hace algunos años, y no dejaba de tener razón, la interconexión de Internet nos ha hecho estar más relacionados con todo el mundo, pero también más expuestos a los peligros que existen en Internet.

Protección de datos personales: derecho y deber del ciudadano

ciudadanos_2

Por Juan Ignacio Zamora Montes de Oca

Nuestra democracia se conforma sobre la base de derechos fundamentales y valores tales como la privacidad y protección de los datos personales, protegidos en tratados internacionales y legislaciones nacionales.

Estos derechos son tan necesarios como también lo es la libertad de expresión y el acceso a información. El día 28 de enero de celebró por sétimo año consecutivo el Día Internacional de la Protección de Datos Personales,  iniciativa que se dio a conocer en nuestro hemisferio por los Estados Unidos y Canadá en el 2008 y que fue creada en el seno del Consejo de Europa y la Comisión Europea para conmemorar la firma de la Convención 108, documento que se conoce como el primer tratado internacional en regular la privacidad y la protección de datos.

Hoy en día la gran mayoría de datos personales se almacena de forma segura, pero siempre existen riesgos y no se ha creado aún el archivo que sea 100%  impenetrable. Hoy en día nuestros datos son muy valiosos y forman parte de la maquinaria que requieren terceros ajenos para realizar actividades de orden, control y lucro. Información básica como nuestro nombre, nuestro e-mail o nuestra fecha de nacimiento, así como datos sensibles (e.g. preferencia sexual, información médica, cuentas bancarias o religión) son materia prima para realizar delitos en internet o fuera de la red.

El acelerado avance de la tecnología hace que todos los días surjan nuevas amenazas en contra de nuestra privacidad, lo que produce que el Derecho no tenga otra opción que adaptarse de forma obligada a estos cambios por medio de ramas como el Derecho de Tecnologías de la Información, Derecho Informático y otros.

Todos nosotros- desde nuestro hogar, hasta las empresas más grandes- debemos de estar al tanto de a quién le confiamos nuestra información personal, para qué se utiliza, donde se archiva, quien la accesa, si se mantiene actualizada, y mantenernos vigilantes siempre de estos asuntos y otros que se desprenden del manejo de la información personal.

Es necesario conocer la legislación vigente, actualizarnos, proponer cambios, estar al día con la tecnología y las regulaciones a nivel nacional e internacional, conocer nuestros derechos y obligaciones y ejercerlos. Debe existir una conciencia por parte de los organismos nacionales e internacionales acerca de la importancia de proteger nuestra información personal y todos los procesos que se relacionan esta actividad.

En nuestro país la ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales se encuentra vigente y a la espera de la aprobación del reglamento y de la creación de la Agencia de Protección de Datos que ayudarán a implementar  la ley y a mejorar nuestro sistema de protección de datos a nivel nacional.

Nuestra información personal y nuestra privacidad son derechos fundamentales tutelados por la mayoría de gobiernos e instituciones, pero protegerlos depende mayoritariamente de nosotros.