Costa Rica introduce reformas a su Reglamento de Protección de Datos Personales

Por Mauricio París

El pasado 6 de diciembre de 2016 se publicó en el diario oficial La Gaceta (Alcance No. 287), la tan esperada reforma al Reglamento a la Ley de Protección de la Persona frente al tratamiento de sus Datos Personales. Decimos que es una esperada reforma no sólo por el tiempo trascurrido desde que se anunció que el Reglamento sería reformado, sino también por la importancia que dicho instrumento tiene al reglamentar una Ley que arroja más dudas que respuestas.

Las reformas introducidas son puntuales y atinadas; enfocadas en los elementos que esencialmente debían ser modificados. Alguien comentaba que esperaba más, y en mi criterio, no se puede esperar mucho más de un Reglamento que parte de una Ley deficiente que no puede contradecir ni extralimitar.

Las principales modificaciones introducidas, por su orden de importancia, son las siguientes:

  1. Delimitación a su ámbito de aplicación. Sin duda el Art. 2 de la Ley es un quebradero de cabeza en cuanto a su ámbito de aplicación, al excluirse las bases de datos de personas físicas o jurídicas “con fines exclusivamente internos, personales o domésticos”, conceptos estos jurídicamente indeterminados. El Reglamento original no aclaraba estos conceptos, error que se ha querido corregir con la reforma en comentario. Se han separado los conceptos: por un lado, las bases de datos personales o domésticas son aquella propiedad de personas físicas, y las de uso interno, son aquellas de personas jurídicas públicas o privadas, siempre y cuando su contenido no sea comercializado, distribuido o difundido. Se mantiene la definición de comercialización contenida en el Art. 2 inciso e) del Reglamento, y se reforma la de distribución y difusión contenida en el inciso j) de dicho artículo, limitándolo al fin de lucro. Esta es una definición mucho más robusta que la anterior, pese a las deficiencias del Art. 2 de la Ley.
  2. Los bancos y entidades financieras no se escapan a la Protección de Datos. Hemos sido críticos a la exclusión que las entidades bancarias procuraron hacer con la disposición del Art. 9 inciso 4 de la Ley, pero también hemos enfatizado que dicha exclusión no es total, y esta reforma va en ese sentido. Se establece que las bases de datos reguladas por la SUGEF no requieren inscripción ante la PRODHAB, pero que dicho órgano sí tiene plena competencia para regular y fiscalizar la protección de los derechos y garantías cubiertos bajo la Ley. Una reforma valiente y muy positiva para los titulares de datos personales frente a un sector que típicamente realiza tratamiento de datos personales de naturaleza sensible y que por ende debe encontrarse sometido a rigurosos controles en la materia.
  3. Consentimiento inequívoco. Si bien el Art. 5.2 de la Ley establece que el consentimiento informado puede constar en un documento físico o electrónico (lo cual en todo caso ya aplicaría en virtud del Principio de Equivalencia Funcional contenido en la Ley de Certificados y Firmas Digitales), el Reglamento en su Art. 4 d) establecía únicamente que debía ser escrito. La reforma no sólo regula la posibilidad de que sea electrónico, sino que incorpora más bien el criterio de que el mismo debe ser inequívoco, pudiendo otorgarse por cualquier medio, o mediante conductas inequívocas del titular, de forma que pueda demostrarse de manera indubitable su otorgamiento mediante una consulta posterior. Este es una reforma muy adecuada en el tanto incorpora la posibilidad de que el consentimiento se pueda otorgar, por ejemplo, mediante llamadas telefónicas, lo cual es muy frecuente en centros de servicio al cliente. Al final de cuentas, independientemente del medio que lo contenga, lo importante es que el consentimiento sea inequívoco y demostrable, y en ese sentido, la reforma es atinada al enfocarse en el fondo y no en la forma.
  4. Requisitos del consentimiento informado. Una reforma sencilla, pero de gran impacto es la del Art. 5, en el tanto exigía que el consentimiento informado fuera otorgado en un documento independiente de cualquier otro. Este requisito representaba un problema operativo para muchas empresas que manejaban un gran volumen de documentación y que debían emitir un documento adicional para el consentimiento informado. Con esta reforma, el consentimiento podrá incluirse dentro de otro documento, típicamente un contrato marco, con el requisito expreso de que, si así fuera, se regule como una cláusula específica e independiente (Art. 2 f) del Reglamento).
  5. La transferencia de datos no implica comercialización. Otra reforma significativa es la del Art. 40 del Reglamento al haber eliminado la presunción de que toda transferencia implicaba comercialización, lo que en la práctica obligaba que, para poder realizar cualquier transferencia de datos, dicha base debiera estar inscrita en PRODHAB.
  6. Muerte al Superusuario. Se derogó la figura del superusuario y todas las referencias a éste en el Reglamento. Esta figura era un requisito para la inscripción de bases de datos ante PRODHAB, en donde el responsable de la base de datos debía crearle un usuario y contraseña a PRODHAB para que pudiera ingresar a la base de datos. Pese a que el Reglamento hablaba de “Superusuario” (es decir un usuario con todos los permisos para consultar, modificar o suprimir datos), lo cierto del caso es que de la lectura del Art. 45 del Reglamento (hoy derogado) se colegía que en realidad era un usuario de consulta.
  7. El intermediario o proveedor de servicios. Este es uno de los temas en donde la reforma pudo ser mejor. Creemos que existe un error conceptual en diferenciar entre el intermediario o proveedor de servicios y el encargado, ya que en nuestro criterio juegan el mismo rol. El encargado no es la persona o el departamento que a lo interno de la empresa se encarga de los datos personales, como de la reforma del Art. 44 inciso c) parece colegirse. El encargado es un tercero a quien se le encarga el tratamiento de datos en nombre del responsable de la base de datos, sin que pueda modificar el destino de dicha base ni extralimitar su encargo (así se extrae de la definición contenida en el Art. 2 inciso k) del Reglamento y se desarrolla en los artículos 30 y 31). Lo positivo de la reforma en este punto es que se consagra expresamente en el nuevo Art. 40 que en el tanto lo que exista sea un encargo de datos, aun cuando exista tratamiento de datos, no existe transferencia.
  8. Grupos de interés económico. En la reforma del Art. 2 inciso c) se establece una norma muy práctica para las empresas multinacionales al garantizar condición de base de datos internas aquellas que sean “compartidas” entre empresas de un mismo grupo de interés económico, “ya sea local o con presencia internacional” siempre que no medie difusión o distribución a terceros, venta o comercialización de cualquier naturaleza. No obstante, preocupa que en el Art. 40 se indique pura y simplemente que no se considerará transferencia el traslado de datos personales entre empresas del mismo grupo de interés económico, sin limitarlo en los términos del Art. 2 a los casos en que no medie difusión o distribución a terceros, venta o comercialización. Se abre aquí un peligroso portillo.

La reforma al Reglamento de Protección de Datos sin duda es un paso en un camino adecuado, y afianza el buen trabajo desempeñado por la PRODHAB en los últimos tiempos. Debe reconocerse el esfuerzo de su Director, Mauricio Garro Guillén, y del equipo humano que lo acompaña. Esperamos que el siguiente paso sea una propuesta de reforma a la Ley de Protección de Datos Personales para corregir sus deficiencias.