¿Migración a un sistema de responsabilidad proactiva en materia de protección de datos personales?

Natalia Ramírez Benavides

Senior Legal

Recientemente se presentó un proyecto de ley bajo el expediente 23.097 que pretende cambiar la línea regulatoria en materia de protección de datos personales que el país ha mantenido desde el año 2011.

Dicho proyecto tiene cuatro principales motivaciones: i) se desea adecuar la normativa costarricense al estándar que establece el Reglamento General de Protección de Datos Personales de la Unión Europea, considerada actualmente la normativa más avanzada a nivel mundial en materia de protección de datos personales; ii) Costa Rica ha manifestado su intención de adherirse al Convenio 108, que consiste en un tratado internacional de alcance global en materia de protección de datos personales, para lo cual es importante que la legislación costarricense se adecúe a su contenido; iii) las directrices específicas de la OCDE sobre protección de datos, no son del todo compatibles con las disposiciones de nuestra legislación sobre la materia, y iv) la legislación actual ha tenido poca incidencia debido principalmente a la poca difusión y falta de recursos por parte de la autoridad de control.

Una de las principales novedades en comparación con la normativa vigente y con la reforma integral que se tramita bajo el expediente 22.388, es la migración de un modelo regulatorio ex ante, que implica actualmente la obligación de registro de base de datos, a un modelo regulatorio ex post, basado en accountability o responsabilidad proactiva, que básicamente se refiere a la necesidad de que el responsable del tratamiento no solo aplique las medidas necesarias para garantizar el cumplimiento de sus obligaciones, sino que también pueda demostrar que lo hace acorde a las disposiciones legales aplicables, sin necesidad de registrar las bases de datos ante la autoridad de control. En relación con la responsabilidad proactiva se establecen además figuras como la privacidad por diseño y por defecto, el oficial de protección de datos y las evaluaciones de impacto.

Otro tema de enfoque de este proyecto gira en torno al tratamiento de datos personales en el sector público. Como resultado de los recientes casos que reflejaron el mal manejo de datos personales en el sector público, por ejemplo, el caso UPAD, las pruebas FARO y el ciberataque al Ministerio de Hacienda, este proyecto también pretende regular el tratamiento de datos personales en este sector, estableciendo límites y exigencias claras al uso y transferencia de datos, especialmente cuando se invoca la necesidad de utilizar los datos para el ejercicio de potestades públicas o la prestación de servicios públicos.

Se establecen dentro de la gama de derechos de los titulares, los denominados derechos ARCO, sean el derecho de acceso, el derecho de rectificación, el derecho de cancelación y el derecho de oposición, así como el derecho a la portabilidad de datos personales.

Adicionalmente, se establece temas novedosos para nuestro país como lo son las reglas aplicables al manejo en los flujos transfronterizos de datos personales, para los cual se desea establecer suficientes garantías para asegurar la protección en estos casos, y la inclusión de bases de legitimación diferentes al consentimiento, como por ejemplo el cumplimiento de una obligación legal, la ejecución de un contrato, la protección de intereses vitales y la satisfacción de intereses legítimos.

Asimismo, se plantea la reestructuración de la autoridad de control, con el objetivo de apegarse a los siguientes lineamientos: i) el otorgamiento de plena autonomía en sus funciones; ii) la imparcialidad e independencia en sus potestades; iii) el director debe ser una persona con las competencias subjetivas y objetivas necesarias; iv) debe contar con suficientes poderes de investigación, supervisión, resolución, promoción, y sanción; v) sus resoluciones deberán estar únicamente sujetas al control jurisdiccional; iv) deberá contar con recursos humanos y materiales necesarios e idóneos para el cumplimiento de sus funciones; vi) deberá ser un órgano en grado de desconcentración máxima adscrito al MICITT, dotado de independencia administrativa, financiera y la potestad legalmente otorgada de dictar reglamentaciones específicas en la materia de su especialidad.

Por último, se endurecen considerablemente las sanciones que van desde multas de 10 salarios base hasta 500 salarios base, y, en caso de personas jurídicas, el monto superior entre 500 salarios base y hasta un 4% del volumen de ventas que hubiere reportado durante el periodo fiscal inmediato anterior a la comisión de la infracción. Asimismo, se establece la posibilidad de que el titular que sufra daños y perjuicios derivados de una violación de su derecho a la protección de datos personales pueda reclamar el resarcimiento de los daños y perjuicios.

Si bien Costa Rica fue pionera en la región en cuanto a la regulación del tratamiento de los datos personales, actualmente nuestra normativa necesita ser actualizada para lograr brindar una protección adecuada y suficiente, en una era en la que los datos personales han adquirido gran relevancia, y se requiere más que nunca garantizar a los titulares su derecho a la autodeterminación informativa.