Logo La República

Jueves, 12 de diciembre de 2024



COLUMNISTAS


Protección de datos personales: no perdamos la siguiente década

Mauricio París mparis@ecija.com | Jueves 08 julio, 2021


Este 7 de julio se cumple una década desde que se aprobó la Ley 8968 de Protección de la Persona frente al Tratamiento de sus Datos Personales, en 2011. Costa Rica fue el primer país de Centroamérica y uno de los primeros de América Latina en establecer una regulación sobre la materia.

Luego de que a inicios de Siglo se discutía en el país la conveniencia de adoptar la figura del habeas data -una especie de amparo para permitir el derecho de acceso a los datos contenidos en bases de datos públicas o privadas-, e incluso se presentó un Proyecto de Ley para reformar la Ley de Jurisdicción Constitucional en ese sentido -que nunca llegó a aprobarse-, Costa Rica optó más bien por una adaptación del modelo europeo de regulación, creando una autoridad administrativa, la Agencia de Protección de Datos de los Habitantes (PRODHAB), encargada de salvaguardar los denominados derechos ARCO (acceso, rectificación, cancelación y oposición).

Este modelo regulatorio europeo que siguió Costa Rica y que a la postre ha influenciado a múltiples países de América Latina y el mundo, tiene su origen en 1970 en Alemania. El concepto alemán de protección de datos procuraba principalmente regular el uso de los datos personales de los ciudadanos en poder del Estado, en registros públicos, oficiales o no. El pueblo alemán ha tenido una mala experiencia con el uso de los datos personales por parte del Estado. El holocausto fue posible en buena medida por la existencia de bases de datos en manos del régimen nazi que permitían determinar la pertenencia de las personas a determinados grupos religiosos, raciales o demográficos. Pero adicionalmente al holocausto, en la República Democrática Alemana, el temible Ministerio para la Seguridad del Estado -más conocido como Stasi- había aprendido de su hermana mayor, la KGB soviética, todo tipo de técnicas de espionaje que mantenían un estricto control del día a día de un tercio de la población alemana del este.

La relevancia de la materia fue tal que, ya para 1981, el Consejo de Europa dictaba el Convenio 108, para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal, que fue el primer tratado internacional en esta materia, y sigue siendo el único con alcance global, ya que aun y cuando es un instrumento europeo, está abierto a ratificación por parte de estados extracomunitarios. Pero el Convenio 108, además de procurar la protección de los ciudadanos europeos frente al tratamiento de sus datos por parte de los Estados miembros, tenía una finalidad económica importante: permitir el flujo de datos personales en el espacio económico europeo bajo unos estándares básicos de protección. En ese mismo sentido, la OCDE había promulgado sus primeras directrices sobre protección de la privacidad y flujos transfronterizos de datos un año antes, en 1980.

Estas primeras regulaciones sobre protección de datos fueron visionarias, ya que se promulgaron en un mundo predominantemente analógico, sin poder prever que décadas más tarde los datos personales se convertirían en el activo principal de un modelo económico global en donde las empresas más grandes del mundo se dedican a la extracción del denominado excedente conductual, es decir, ese rastro inmenso de datos que día a día los usuarios vamos dejando producto del uso de estas tecnologías, que es utilizado luego para perfilarnos y ofrecernos todo tipo de bienes o servicios. Fue Google quien primero encontró la fórmula de monetizar ese rastro conductual, y múltiples empresas, incluyendo desde luego a Facebook, han emulado este modelo de extracción con resultados inimaginables tres décadas atrás.

Para responder a estos retos de la economía de los datos, la Unión Europea adoptó en 2018 el Reglamento General de Protección de Datos Personales, que es sin duda la norma más avanzada en la materia a nivel mundial, y cuyos pasos han sido seguidos por los países que gozan de normativas más modernas, también llamadas de segunda generación, como Brasil, Panamá o Ecuador.

Volviendo a Costa Rica, aun y cuando la adopción temprana de la Ley 8968 pudo ser visionaria, lo cierto es que la norma pasó inadvertida durante su primera década de existencia, principalmente por el propio Estado, hasta el año 2020 en el caso UPAD y otros acontecimientos, hicieron que un porcentaje importante de la población se interesara, por primera vez, respecto del uso disfuncional que se hace de sus datos personales en el país.

Nuestra Ley de Protección de Datos ha quedado desfasada para la realidad tecnológica, social y política de Costa Rica. Las consecuencias de una mala ley y de un regulador ineficaz han quedado a la vista. Requerimos un marco regulatorio actualizado, sofisticado y exigente que permita el equilibrio adecuado entre la protección de los derechos de los ciudadanos, el desarrollo económico y la eficiente actividad del Estado.

En ese sentido, cuatro acciones resultan deseables en el corto plazo para lograr ese cometido: 1) Incorporar la protección de datos personales como derecho autónomo en la Constitución Política, junto con el derecho a la intimidad, que permita un control más efectivo por parte de la Sala Constitucional sobre el ordenamiento jurídico (leyes, reglamentos, directrices); 2) La adhesión del país al Convenio 108 del Consejo de Europa, lo que nos permitiría como país optar por una decisión de adecuación de la Unión Europea, lo que implica que el país sea considerado una jurisdicción que protege adecuadamente los datos personales, lo que nos convertiría en una sede muy sexy para que empresas europeas puedan establecer en el país centros de procesamientos de datos personales de sus ciudadanos; 3) Una reforma integral, no un mero reciclaje con parches, de la Ley 8968, siguiendo el estándar internacional en la materia, con reglas claras para el sector público y privado, y; 4) El compromiso político del Estado de adecuarse a la normativa de protección de datos personales, inexistente durante la década anterior, y una Agencia de Protección de Datos despolitizada, con recursos y personal capacitado que, ante esa falta de compromiso, tome medidas contundentes para que la norma se haga cumplir.

NOTAS ANTERIORES


La palabra valor

Viernes 06 diciembre, 2024

Por muchos años, en las empresas, se le ha dado prioridad al valor económico que se genera y que es exigido por sus accionistas







© 2024 Republica Media Group todos los derechos reservados.