Puesta en línea ……………………………………………….....

Puesta en línea ………………………………………………..

1

DIAGNÓSTICO SOBRE LA VENTA DE DATOS EN COSTA RICA

A mediados del mes de abril del año en curso diferentes medios de la prensanacional publicaron una serie de artículos informando sobre la posibilidad de que empresasradicadas en nuestro país estuvieran vendiendo información personal de ciudadanoscostarricenses a empresas privadas o instituciones estatales norteamericanas.

Ante esta denuncia el Ministerio de la Presidencia solicitó a la Ministra de Justicia yal Ministro de Seguridad Pública, así como al Consejo de Seguridad Integral, iniciar unainvestigación sobre el particular, a fin de esclarecer las circunstancias de este aparentetráfico de datos personales y revisar las medidas que podrían adoptarse por parte del Estadocostarricense en salvaguarda de los derechos constitucionales de sus ciudadanos.

Con fundamento en lo anterior se procedió a conformar una ComisiónInterinstitucional integrada por representantes del Ministerio de Justicia, Ministerio deSeguridad Pública, Poder Judicial, Ministerio Público, Consejo de Seguridad Integral,Dirección de Inteligencia y Seguridad, y Procuraduría General de la República.

Esta Comisión se avocó al abordaje de los siguientes aspectos:

a) Identificación de las empresas que se dedican a la venta de datos personales enCosta Rica y tipo de información que ofrecen,1

b) Situación actual del tratamiento de datos personales,c) Información que suministran las Instituciones públicas para tal efecto,d) Análisis de la jurisprudencia constitucional sobre la protección de datos personalesy,e) Proyectos de ley que se tramitan en la Asamblea Legislativa para la regulación deeste tipo de bases de datos y recursos procesales para la protección de los derechosconstitucionales vinculados con el tema.

Como corolario de lo anterior, se presentan las conclusiones del caso y susrespectivas recomendaciones.

A.- IDENTIFICACIÓN DE LAS EMPRESAS QUE SE DEDICAN A LA VENTA DEDATOS PERSONALES EN COSTA RICA Y TIPO DE INFORMACIÓN QUEOFRECEN

1 Esta información fue recabada durante los meses de abril y mayo de 2003

Puesta en línea ………………………………………………..

2

De la investigación realizada por la Dirección de Inteligencia y Seguridad delMinisterio de la Presidencia, se logró establecer lo siguiente:

“Actualmente existen en nuestro país empresas dedicadas a la obtención ycomercialización de información, de las cuales se conocen:

♣ Cero Riesgo S.A.: “Toma de decisiones en tiempo mínimo y con riesgocontrolado”.

♣ Datum.net: “Información inteligente”.

♣ InfoCrédito: “ Conéctese a nuestra base de datos electrónica y accese desde suescritorio la información comercial y legal que necesita para tomar sus decisiones”.

♣ Protecsa, Créditos y Valores Protegidos S.A.: “Toda la información y serviciosfinancieros que necesite, con seriedad, rapidez y confianza”.

♣ Protectora de Crédito Comercial S.A.: “Institución decana de la informacióncrediticia en el país”.

♣ Trans Union Costa Rica: “Información crediticia”.

De dichas empresas se logró obtener la información que se detalla:

Cero Riesgo S.A.

Cédula Jurídica: 3-101-324617

Nombre legal: Cero Riesgo Información Crediticia Digitalizada Sociedad Anónima.

Domicilio Legal: San Pedro de Montes de Oca, 200 metros Sur de Apartamentos El Retiro

Actividad: Servicios profesionales en telecomunicaciones En aspectos técnicos y distribución de equipo y Comercio en general

Fecha constitución: 2 de junio de 2002

Presidente: Edgar Nicolas Gregory Sheperd, cédula N° 9-099-379

Secretaria: Sonia Araya Rodríguez, cédula N° 2-430-877

Tesorero: Carlos Villalobos Quirós, cédula N° 1-870-566

Fiscal: Roberto León Leitón, cédula N° 1-999-056

Datos Técnicos: La dirección electrónica es www.ceroriesgo.co.cr La dirección ip es 196.40.3.198; como

Puesta en línea ………………………………………………..

3

Proveedor de servicios figura RACSA. El Servidor se encuentra ubicado físicamente del Cementerio Obrero en San José 50 metros al Sur, en Centro Comercial Plaza Aventura, local N° 3.

Cero Riesgo S.A. es una compañía especializada en brindar información crediticiade personas físicas y jurídicas e información laboral. Cuenta con una base de datos de másde 1.4 millones de referencias financieras actualizadas al año 2003.

Incluye a todo el sector financiero estatal, privado, financieras, mutuales, etc.Dentro de sus bases de datos se puede consultar:

♣ Rangos salariales♣ Verifica si es miembro de alguna junta directiva y su puesto dentro de la misma♣ Estado civil♣ Si posee referencias positivas y/o negativas♣ Si es deudor o fiador de hipotecas y/o prendas♣ Si posee bienes a su nombre♣ Si tiene procesos judiciales♣ Empresas que han consultado el nombre

Es importante resaltar que es una empresa en expansión y únicamente maneja basesde datos de Costa Rica, sin embargo, pueden existir clientes en todo el mundo que puedensuscribirse a través de red internet y tener acceso al sistema.

DATUM.NET

Cédula jurídica: 3-101-189003

Nombre legal: ALUDEL.LTD

Domicilio legal: Calle 15, Av.12 y 14 casa N° 1243

Actividad: Venta y mantenimiento de computadoras

Fecha de constitución: 16 de abril de 1996

Gerente: Rodrigo Emilio Mora Arguedas, cédula N° 1-697-941

Notario: Elizabeth Mora Arguedas

Datos técnicos: La dirección electrónica es www.datum.net. La dirección ip es 196.40.26.132. El proveedor de Servicios es RACSA; el servidor se encuentra Ubicado físicamente en el costado norte de la Rotonda de la bandera, oficina N° 4, teléfono 280-2818.

Datos que se pueden consultar:

♣ Fotografías de personas de las bases de datos del Registro Civil

Puesta en línea ………………………………………………..

4

♣ Fotografías de personas de las bases de datos de licencias del Ministerio de ObrasPúblicas y Transportes (MOPT)

♣ Direcciones obtenidas de las bases de datos del Instituto Costarricense deElectricidad (ICE), licencias, tarjetas de crédito, Registro Público y CajaCostarricense de Seguro Social (CCSS)

♣ Juicios pendientes♣ Bienes Muebles e Inmuebles♣ Historial de Trabajo♣ Salarios♣ Datos personales♣ Empresas que han consultado el nombre

♣ Tarjetas de crédito♣ Prendas, hipotecas♣ Personas jurídicas

Es importante señalar que Datum.net es una empresa que se ha expandido por todoCentroamérica, maneja bases de datos de Nicaragua, Guatemala, Salvador y Panamá. Losclientes pueden encontrarse alrededor del mundo ya que la suscripción se realiza en línea ylos pagos pueden hacerse por medio de tarjetas de crédito o depósitos bancarios.

Además, curiosamente si la información que se necesita no está disponible dentro delas bases de datos, Datum.net por un monto extra, la consigue para un día después desolicitada, lo cual hace presumir que mantienen contactos en diferentes institucionesestatales lo que les permite actualizar la información.

Por otra parte, es importante recalcar que se han interpuesto varios recursos deamparo contra esta empresa, sin embargo, la mayoría han sido declarados sin lugar. Noobstante, es significativo que los recursos números 99-008823-0007-CO y el 99-008823-0007-CO fueron declarados con lugar, por lo cual se obligó a la empresa a resarcir losdaños causados en la sede civil. En uno de ellos se declara que la información de las basesde datos de la Caja Costarricense de Seguro Social, es considerada privada y la publicaciónde los mismos y su uso, atenta contra los derechos del recurrente. En el otro recursoigualmente quedó claro que el criterio de la Sala Constitucional es considerar los datos dela C.C.S.S., como privados, por lo tanto se ordenó a la empresa excluirlos de los reportes ysolventar económicamente los daños causados.

Algunas características según su publicidad en internet son:

♣ Es un servicio privado de información que agiliza el proceso de investigación yrecolección de datos acerca de personas y sociedades. Las consultas automáticas alíndice de documentos le dan información en minutos.

♣ El servicio de búsquedas inteligentes en línea ayuda a tomar su propia decisión deforma más acertada y rápida, servicio de gran utilidad para prevenir fraudes eninstituciones financieras privadas y estatales, instituciones públicas, empresas deseguridad, recursos humanos, seguridad, investigación y legales.

Servicios:♣ Consultas al Registro Nacional♣ Certificaciones del Registro Civil

Puesta en línea ………………………………………………..

5

♣ Desde cualquier parte del país y el mundo ahora se puede solicitar certificaciones denacimiento, estado civil y defunción.

♣ Estudios mercantiles♣ Artículos y noticias♣ Miles de artículos y casos publicados en diferentes medios de prensa son incluidos

en el índice y pueden ser encontrados♣ Red de información privada que permite consultar casos reales de cheques sin

fondos, créditos morosos, juicios públicos, estafas, fraudes y otros realizados contracasas comerciales o particulares

♣ Correo electrónico♣ Ofrecen sistema de mensajería gratuito para la comunicación entre los afiliados, de

esta forma pueden solicitar o compartir información con otros usuarios

Es importante mencionar que el 24 de abril de 2003, en Nicaragua, fue allanado ellocal donde se ubicaban las oficinas centrales de la sucursal de Datum.net, denominadaSILNICA, sin embargo, en la actualidad la empresa está funcionando normalmente. Sesolicitaron detalles a través de nuestros homólogos en ese país y estamos esperandorespuesta.

Telesoft InfoCrédito.com


Nombre legal: Teletec S.A.

Domicilio legal: Sabanilla, 100 metros norte del Parque, frente a La capilla del Asilo de Ancianos Carlos M° Ulloa

Actividad: Servicios Profesionales en telecomunicaciones En aspectos técnicos y distribución de equipo y Comercio en general

Fecha de Constitución: 30 de octubre de 1992

Presidente: Adolfo Oviedo Vargas, cédula N° 1-712-440

Secretario: Fernando Víctor Sánchez, cédula N° 3-264-200

Tesorero: Brenda Segura Campos, cédula N° 1-801-284

Fiscal: Mainor Quesada Alpízar, cédula N° 2-411-445

Notario: Jorge Arturo Quirós García

Datos técnicos: La dirección electrónica es www.teletec.co.cr, www.infocrédito.com. La dirección ip es 163.178.8.2 y

208.133.203.226; el proveedor de servicios es elICE. No se logró ubicar el servidor, sin embargo,

Puesta en línea ………………………………………………..

6

El contacto técnico está en Estados Unidos.


♣ Direcciones♣ Juicios pendientes♣ Bienes muebles e inmuebles♣ Historial de trabajo♣ Salarios♣ Datos personales♣ Empresas que han consultado♣ Tarjetas de crédito♣ Prendas, hipotecas♣ Personas jurídicas

Actualmente sus servidores están fuera de servicio, sin embargo, se conoció quemanejan únicamente bases de datos costarricenses. Sus clientes pueden estar en todo elmundo ya que las consultas se realizan a través de la red internet.

Algunas características según su publicidad son:

♣ Ofrecen conocer cuál ha sido el comportamiento crediticio anterior de posiblesclientes

♣ TELETEC S.A. es una empresa con más de diez años de operación en el mercadode protección crediticia

Servicios:

Ofrecen un servicio el cual ha permitido que diversas instituciones bancarias,emisores de tarjetas de crédito, arrendadoras, financieras, empresas

comerciales e industriales, entre otras, reduzcan sus riesgos y costos, conformando carterascrediticias más sanas. Simultáneamente proveen servicios de información especializadosdirigidos al sector de abogados que permite la consulta en línea de información del RegistroPúblico, Registro Civil, Certificaciones y Cálculo de Timbres y Honorarios.

Protecsa Créditos y Valores Protegidos S.A.


Nombre legal: Créditos y Valores Protegidos S.A.

Domicilio legal: Zapote, de la esquina sureste del Colegio deAbogados, 125 metros al oeste

Actividad: Comercio en general y protección de crédito

Fecha constitución: 9 de diciembre de 1997

Presidente: Antonio Robinson Thompson, cédula N° 7-076-745

Puesta en línea ………………………………………………..

7

Vicepresidente: Daniel Campos May, cédula N° 3-327-216

Secretario: Lissette Hernández Brenes, cédula N°1-653-946

Tesorero: Nelson Alfaro Mithy, cédula N°1-920-013

Fiscal: César Rojas Zúñiga, cédula N° 1-841-995

Notario: Lorena Mount Villacura, cédula N° 8-049-080

Datos técnicos: La dirección electrónica es protecsa.co.cr, laDirección ip no se logró rastrear ya que elServidor se mantiene fuera de línea, por lo cualNo se conocen lo datos que se pueden consultar

Protectora de Crédito Comercial


Nombre legal: Protectora de Crédito Comercial S.A.

Presidente: Carlos Axel Knudsen Faerrón, cédula N° 5-190-795Datos que se pueden consultar:

♣ Direcciones♣ Juicios pendientes♣ Bienes muebles♣ Bienes inmuebles♣ Historial de trabajo♣ Salarios

Algunas características según su publicidad en Internet.

♣ Protectora de Crédito Comercial S.A., está respaldada por más de 40 años deservicio en Costa Rica y en el mundo entero desde su fundación en 1957.

A lo largo de su existencia han conformado una base de datos en informacióncrediticia, registrando y actualizando día con día las diferentes transacciones de crédito demás de medio millón de personas y empresas, entre las que figuran instituciones,cooperativas, asociaciones, industrias y cualquier entidad que requiera del crédito comomedio de subsistencia.

Han desarrollado nexos con empresas homólogas en diversas partes del mundo, lascuales a la vez son corresponsales. Este hecho singular permite adquirir un reporteprácticamente de cualquier empresa del orbe. De igual forma, corresponsales a escalamundial constantemente solicitan información de las empresas residentes en el territorionacional.

Trans Union Costa Rica

Puesta en línea ………………………………………………..

8


Nombre legal: Trans Union Costa Rica Tucr S.A.

Domicilio legal: Piso 2, Mezanine del centro Colón, San José

Actividad: Comercio en general y protección de crédito

Fecha de constitución: 23 de febrero de 1994

Presidente: Manrique Robert Odio, cédula N° 1-691-933

Vicepresidente: Ralph Sonrice, pasaporte N° 023112101

Secretario: Claudia Vilim, pasaporte N° 024171352

Tesorero: Robert Owens, pasaporte N° 04308695

Notario: Roberto Francisco León Gómez

Datos técnicos: La dirección electrónica es www.tuca.org; laDirección ip es 196.40.25.69. El proveedorEs RACSA y está ubicada físicamente en el Piso2 del Centro Colón.

Esta empresa en particular es una filial de una gran compañía transnacionaldedicada al comercio de información, especialmente bases de datos de personas ycompañías. La casa matriz está en Chicago, Estados Unidos y tiene filiales en todo elmundo, cuentan con información de unos doscientos millones de personas y evidentementeal encontrarse en la red internet, puede ser accesada por cualquier persona que pague por lainformación.

Por otra parte, en los artículos periodísticos que generaron esta investigación, sehace referencia a una empresa con sede en Guatemala, cabe resaltar que Trans Union tienesu puesto regional principal en Guatemala, por lo cual podría ser esta empresa la querealizó la venta de las bases de datos en Estados Unidos. En Costa Rica existe una filial ypodríamos decir que la información de las bases de datos nacionales también están enmanos de esta gran compañía.


♣ Direcciones♣ Juicios pendientes♣ Bienes inmuebles♣ Bienes muebles♣ Historial de trabajo♣ Salarios♣ Tarjetas de Crédito♣ Personas jurídicas

Puesta en línea ………………………………………………..

9

Algunas características según su publicidad en internet:

Trans Union Costa Rica inició sus operaciones en nuestro país desde 1994, cuentacon el respaldo de Trans Union LLC, la cual tiene sede en Chicago. Esta compañía iniciósus operaciones hace más de 30 años y es líder en este país, además de brindar este servicioen otros como México, Chile, Canadá, etc. El objetivo será el mismo en cualquier lugar delmundo: brindar confianza y seguridad en la toma de decisiones financieras.

Algunas de las características más sobresalientes son:

♣ Más de 500 empresas afiliadas♣ Más de 4,000,000 de personas registradas en la base de datos♣ Más de 400,000 empresas registradas en la base de datos♣ Más de 500,000 datos negativos de utilidad para su empresa

Además cuentan con el apoyo de las siguientes instituciones:

♣ Cámara Automotriz♣ Cámara de Bancos Privados y Financieras de Costa Rica♣ Cámara Costarricense de Empresas de Factoreo♣ Cámara Costarricense de Bienes Raíces♣ Cámara Nacional de Consolidadores de Carga y Afines♣ Veritas Credit Corporation, New Jersey, USA♣ Alexander & Hamilton, Luisiana, USA♣ Trans Union LLC, Chicago, USA

Infor.net


Nombre legal: Infornet INT Sociedad Anónima S.A.

Domicilio legal: Guadalupe Centro, de la iglesia 100 metros Este

Actividad: Comercio en general

Fecha de constitución: 8 de marzo de 2000

Presidente: Thomas Paul Mifsud, Pp1-33144004

Secretario: Víctor Manuel López López, cédula N° 240-80182-1063

Tesorero: Francisco Gamboa Anchía, cédula N° 1-499-435

Fiscal: Juan Luis Guione, cédula N° 8-071-334

Notario: Ricardo Castro Páez, cédula N° 1-509-287

Datos técnicos: La dirección electrónica es www.infor.net, la

Puesta en línea ………………………………………………..

10

Dirección ip es 141.156.98.38. El proveedores soluciones intranet y físicamente se encuentraGuatemala 24 calle 3-47 Zona 1.

Fuentes internacionales de inteligencia señalan que esta empresa era la quemantenía contactos con la compañía estadounidense denominada Choicepoint, mencionadapreliminarmente como la responsable de entregar datos de ciudadanos costarricenses alGobierno de Estados Unidos, no obstante, luego de gestionar una investigación ante el BuróFederal de Investigaciones (FBI), no se logró tener acceso a datos de nacionalescostarricenses en sus bases.

Esta empresa funciona en Guatemala, cuenta con más de dieciocho millones deregistros de personas y empresas en su mayoría centroamericanas, ofrece datos deHonduras, Nicaragua y El Salvador. A pesar de que no mantiene actividad comercial ennuestro territorio conserva una razón jurídica reconocida en el Registro Público, además lapersona que aparece como presidente, es el contacto administrativo que se refleja alchequear el dominio de internet en Guatemala.


♣ Direcciones♣ Juicios pendientes♣ Bienes inmuebles♣ Bienes muebles♣ Historial de trabajo♣ Salarios♣ Tarjetas de crédito♣ Personas jurídicas

Algunas características según su publicidad en internet:

Actualmente cuenta con la base de datos más grande de Centroamérica, cubriendo el90% del mercado guatemalteco y posee importante presencia en el resto de países del área.Más de tres mil usuarios activos de novecientas empresas se conectan en forma remota alservidor, para consultar individualmente los registros de personas y compañías de su interéslas veinticuatro horas del día, los 365 días del año. Toda conexión con infor.net utilizatecnología SSL, la cual encripta la comunicación para que no pueda ser intervenida entránsito. Infor.net trabaja con servidores Sun, sistema operativo Solaris 8 y base de datosOracle 8.”

B. SITUACIÓN ACTUAL DEL TRATAMIENTO DE DATOS PERSONALES

En el caso de los entes públicos, el registro de información se realiza normalmentecon base en la ley que crea el órgano o que la autoriza a solicitar información a losparticulares. Además, tanto el registro como el tratamiento de datos personales está sujeto alo dispuesto en la “Ley de protección al ciudadano del exceso de requisitos y trámitesadministrativos”, Ley No. 8220 del 4 de marzo del 2002, cuyo artículo 2 dispone que paraque las Administraciones Públicas puedan remitirse información de los administrados entresí, es preciso contar con el consentimiento del interesado, por lo que se prohíbe la cesión dela información recopilada, salvo consentimiento del administrado. En consecuencia, latransmisión de los datos personales entre administraciones se rige, salvo norma legal encontrario, por el principio del consentimiento del interesado.

Puesta en línea ………………………………………………..

11

Por el contrario, en ausencia de una ley que regule el derecho fundamental a laautodeterminación informativa, las empresas privadas dedicadas a la recopilación ytratamiento de datos personales de terceros actúan fundándose en la libertad de comercio.Los datos personales son considerados como un objeto de comercio, sin que interesen losderechos del interesado. Lo que se agrava con una ausencia total de mecanismos legalesque hagan efectivo el ejercicio del derecho de autodeterminación informativa.

La ausencia de regulaciones normativas sobre el funcionamiento de los registros dedatos personales, públicos o privados, permite que los titulares de dichas bases ejerzancontrol sobre las actividades personales y vínculos familiares de las personas cuyos datosson registrados, tratados y comercializados, con el agravante de que las personas no tienenposibilidad de conocer que sus datos personales son conocidos, recopilados y cedidos pordichos registros como si se tratase de una mercancía.

Por ello, se requiere una ley que regule dicho derecho y establezca la regulación enorden al tratamiento y registro de los datos personales. Al mismo

tiempo, se requiere emprender una labor de divulgación de dicho derecho y de suregulación.

C) INFORMACIÓN QUE SUMINISTRAN LAS INSTITUCIONES PÚBLICAS ALAS EMPRESAS PRIVADAS DEDICADAS A LA VENTA DE DATOS

De acuerdo con una averiguación preliminar realizada de manera selectiva, se logróestablecer que algunas dependencias gubernamentales e instituciones autónomas hansuministrado información para uso de empresas privadas que se dedican a la venta de datos.

A manera de ejemplo, en el caso del Registro Nacional -según informe rendido porsu Director General-, la información contenida en la base de datos de esa institución se havenido vendiendo aproximadamente desde la década de los ochenta, la cual se generaba yentregaba a algunas empresas que así lo solicitaban directamente al Departamento deInformática. La venta de esta información se ha fundamentado básicamente en la Ley deCreación del Registro Nacional N° 5695 de 28 de mayo de 1975, reformada por leyes N°5950 de 27 de octubre de 1976 y N° 6934 de 28 de noviembre de 1983, que en su artículo12 señala: “Se autoriza a la Junta para vender directamente y sin el trámite de licitaciónpública, los materiales, extractos o duplicados y los servicios extraordinarios que ellos sederiven, originados en el proceso de sus datos, que con motivo de la modernización ymecanización de los diferentes registros, están a su disposición, todo sin perjuicio de losrespectivos aranceles.” En el mes de mayo del 2003 la Junta Administrativa del RegistroNacional, en sesión ordinaria N° 19-2003, acordó suspender temporalmente la venta de laBase de Datos, a personas privadas, hasta tanto no se tuviera un estudio al respecto. A suvez, dispuso solicitar a la Asesoría Legal un criterio acerca de la viabilidad legal de vendero no esta información, así como al Departamento Financiero un informe sobre el costo realy al Departamento de Informática un estudio sobre la viabilidad técnica. En lo quecorresponde a los Entes Públicos, se dispuso entregar la Base de Datos, previa suscripciónde un Convenio en el cual se manifieste la responsabilidad y el compromiso del órgano deno distribuir la misma a terceros.

Puesta en línea ………………………………………………..

12

En cuanto al Registro Civil, se presupone que dicha entidad suministra informacióna estas empresas, ya que datos tales como estado civil, nombre y edades del cónyuge ehijos, dirección de habitación (anterior y actual), fotografía, entre otros, aparecen dentro dela información comercializada por internet.

Por otro lado, resulta necesario advertir que el tipo de información que las empresasofrecen a sus asociados hace dudar de su legítima procedencia. Lo anterior, por cuanto en laaveriguación preliminar se ha comprobado que la venta de información a terceros no sereduce única y exclusivamente a la suministrada

por los registros públicos del país. Verbigracia, pese a que las bases de datos de la CajaCostarricense del Seguro Social son de carácter privado y confidencial, se presume quefueron y continúan siendo adquiridas ilegalmente por algunas de estas empresas. Pruebade ello es que las empresas en cuestión mantienen actualizada la información que vendenrelacionada con: patrono para el que labora (anteriores y actual), salarios y fechas de loscambios de los mismos, entre otros.

Situación similar se ha presentado con los números de teléfonos de habitación ycelulares privados, los cuales se incluyen dentro de la información que comercializan lasempresas que se dedican a dicha actividad, pese a que el abonado paga al ICE un montoadicional para que sus números telefónicos no se publiquen en la guía telefónica niaparezcan en los identificadores de llamadas. Por consiguiente, se cuestiona el mecanismoilegal que se presume ha sido utilizado por tales empresas para obtener este tipo deinformación, ya que el ICE aparentemente no vende las bases de datos que contienen losnúmeros telefónicos privados de sus abonados.

De igual forma, ameritan atención las bases de datos del M.O.P.T que contienen lasfotografías de las licencias de conducir, ya que supuestamente han sido adquiridas por lasempresas en cuestión.

En virtud de lo expuesto, y luego de las indagaciones realizadas por la Dirección deInteligencia y Seguridad, resulta evidente que las empresas que se dedican a este negociomanejan en sus bases de datos otro tipo de informaciones, sin que quede claro elprocedimiento que utilizan para obtenerla. Para aclarar este aspecto, necesariamente serequiere de una investigación más minuciosa que deberá disponerse oportunamente porparte de las diferentes dependencias gubernamentales mencionadas en este informe.

D.- ANÁLISIS DE LA JURISPRUDENCIA CONSTITUCIONAL SOBRE LAPROTECCIÓN DE DATOS PERSONALES.

La Sala Constitucional ha analizado el tema de la autodeterminación informativa yel Hábeas Data en las siguientes resoluciones, entre otras: 1990-1261, 1991-2609, 1994-1024, 1994-2680, 1997-4154, 1997-7175, 1998-1345, 1999-2563, 1999-4749, 1999-4847,1999-5802, 2000-1119, 2000-3820, 2000-4147, 2001-7201, 2002-0754, 2002-2885, 2002-3074, 2002-4398, 2002-8849, 2002-8996.

Puesta en línea ………………………………………………..

13

Es importante rescatar de la jurisprudencia citada, que en un primer momento laSala Constitucional legitima a las empresas que se dedican a la venta de datos, al considerarque:

1. Resulta legítima la existencia de bases de datos elaboradas por empresas quese dedican a recopilar y sistematizar información diversa que consta enregistros públicos (Registro de la Propiedad, Registro Civil, Tribunales de laRepública), con el objeto de que terceros, a cambio de un pago, puedanacceder esa información para determinar si una persona es sujeto de crédito.En estos casos no hay violación del derecho a la intimidad. (Sentencias1999–2563 y 1999–4847).

2. Corresponde al interesado solicitar la rectificación y actualización de lainformación que las empresas comercializan de su persona.

• “(…) Si el afectado solicita por escrito la exclusión de los datos quea su nombre aparezcan y que sean inexactos por indeterminación dela cédula del deudor, la empresa protectora de crédito debe procedera verificar la exactitud de las informaciones, en los términos antesdichos, o bien a eliminarlos de su base de datos. Como en la especielas informaciones referentes a los procesos judiciales que aparecen anombre del amparado no han sido transmitidos ni tampoco seconstata que el recurrente haya solicitado a la empresaaccionada su corrección o eliminación, procede desestimar lapresente acción, como en efecto se hace." El resaltado no es deloriginal. (Voto Nº1119-2000)

3. La obtención, utilización y venta de la foto de identidad sin el consentimientodel retratado, no viola ningún derecho fundamental.

• “(…) La información brindada sólo abarca la que se encuentra enregistros públicos –no privados- y si ésta resulta insuficiente oerrónea, bien puede la interesada solicitar su rectificación, lo queno se ha hecho. No estima esta Sala que la recurrente haya sidoobjeto de una invasión ilegítima a su intimidad, ni que se le hayadiscriminado o violado algún otro derecho fundamental, como elde la imagen por tenerse una foto suya, pues ello es para sucorrecta identificación. La empresa accionada se limita asistematizar la información que sobre una determinada personaexiste en diversas fuentes públicas, sin crearla ni incursionar encomunicaciones o registros privados o confidenciales, a fin debrindar información de interés para terceras personas sobre lasolvencia económica o crédito de un solicitante. (…) Enconsecuencia, el recurso resulta improcedente y así debedeclararse.” Voto Nº 2563-99

Puesta en línea ………………………………………………..

14

Más adelante, la Sala Constitucional cambia radicalmente su criterio al establecerque las empresas en cuestión se encuentran obligadas a actualizar sus bases de datos, sinque sea necesario para ello la presentación de la solicitud de rectificación a la empresa,quien deberá asumir el costo respectivo. Al respecto, este órgano constitucional ha dichoclaramente:

• “(…) Posteriormente, la Sala en la sentencia número 754-2002 de las 13:00horas del 25 de enero del 2002 dio un paso adelante en la tutela del derecho a laautodeterminación informativa, variando su criterio en cuanto al conceptoresaltado en la cita anterior, que sujetaba la procedencia de la acción de amparoa que el afectado hubiera formulado sin éxito una expresa solicitud a la empresaque almacena sus datos para que corrigiera o precisara los datos en cuestión.Este Tribunal señaló en la sentencia 754-2002, que es la empresausufructuaria de tal información es la que está obligada a mantener en susregistros únicamente datos verdaderos y exactos, por lo que el sólo hechode que permanezcan en la base de datos informaciones inexactas constituyeuna lesión al derecho a la autodeterminación informativa del amparado.(…) El principio constitucional de proporcionalidad impone que el titular de lainformación pueda conocer qué datos existen relativos a su persona y exigir quesean veraces, exactos y actualizados, de manera que no se le cause una lesióninnecesaria y excesiva. Lesiona el principio constitucional de proporcionalidadque el titular de los datos que han sido objeto de tratamiento en desacato de losprincipios de protección de datos de carácter personal, deba, además de sufriresa lesión de su derecho fundamental a la intimidad y en concreto laautodeterminación informativa, asumir el costo que implique actualizar lainformación. (…)” El resaltado no es del original. (Voto Nº 8996-2002).

En cuanto a la utilización y venta de la foto de identidad, que se presume sonobtenidas de las bases de datos del Registro Civil y del Departamento de Licencias delMOPT, la Sala Constitucional había determinado mediante el Voto Nº2563-99 que talactividad no lesionaba la intimidad ni la imagen del sujeto; y con base en esto, las citadasempresas han justificado o legitimado la venta por internet de las fotos que supuestamenteobtienen de dicho registro; tal es el caso de la página Datum.net, en la cual se citaexpresamente el voto supra indicado. Sin embargo, la Sala Constitucional varíanuevamente su criterio al definir que la fotografía no es de uso generalizado, y que unempleo diferente al que debiera dársele lesionaría el derecho a la imagen del interesado.Veamos:

“(…) De conformidad con el artículo 25 de la Ley General de Migración yExtranjería, el pasaporte es el documento expedido por la Dirección General deMigración y Extranjería y que identifica a los costarricense para efectos de salirdel países y desplazarse por el extranjero. Dicho documento contienediversos datos de naturaleza pública, tales como el nombre de su usuario,su número de identificación, etc. Sin embargo, otras informaciones allícontenidas, como por ejemplo la fotografía del titular del documento, nopueden ser consideradas de uso generalizado, pues su empleo se restringeal propio de este tipo de documentos. Lo contrario podría implicar unalesión al derecho a la imagen del interesado, tal y como fuera dicho líneasatrás. (…)” El resaltado y subrayado no son del original. Voto Nº8849-2002.

Como corolario de lo expuesto, podría afirmarse que la comercialización de lasfotografías que se obtienen de las cédulas de identidad y licencias de conducir, tampocopueden ser consideradas de uso generalizado, por cuanto su utilización lo es únicamentepara efectos de identificación electoral, judicial, administrativa, o cuando el interesado

Puesta en línea ………………………………………………..

15

consienta su utilización para otros fines (sean trámites administrativos, préstamosbibliotecarios, etc). Consecuentemente, las empresas en cuestión estarían lesionando elderecho a la imagen de las personas cuyas fotografías son objeto de esta actividadcomercial.

Obsérvese que la Sala Constitucional ha vertido un criterio medular en el voto dereferencia, al establecer que aunque un documento contenga diversos datos de naturalezapública (pensemos en un pasaporte, cédula de identidad, licencia de conducir, entre otros),ello no implica que toda la información contenida en éstos sea de uso generalizado. Loanterior significa que un documento público podría contener información tanto de carácterpúblico como privado, por cuanto la naturaleza pública de un documento, no se extiendenecesariamente a los datos que se incluyan en el mismo.

En ese sentido, recientemente el Tribunal Constitucional dictaminó que lainformación de carácter familiar tampoco es de uso generalizado, es decir, que la mismapodrá ser utilizada o comercializada solo cuando se compruebe el interés legítimo delinteresado, por cuanto son datos peligrosamente superfluos. En lo conducente, determinó:

“(…) V.- Información comercial e información personal. No obstante loanterior, es necesario recordar que las empresas de bases de datos, en susactividades, se encuentran limitadas en dos frentes: por un lado, siendo laexactitud uno de los requisitos de la información que las bases de datos puedenguardar de las personas, y dado que la falta de elementos suficientes paraidentificar unívocamente a la persona investigada puede ocasionarle gravesperjuicios, estas empresas deben esmerarse por garantizar que los datos delsujeto objeto de investigación sean verídicos y que él ha sido identificadoadecuadamente. En tal sentido, la Ley costarricense ha entendido que la cédulade identidad es el mecanismo propio de identificación de los ciudadanos, ya queel artículo 93 de la Ley Orgánica del Tribunal Supremo de Elecciones y delRegistro Civil, número 3504, de diez de mayo de mil novecientos setenta ycinco y sus reformas, confiere a la cédula de identidad ese carácter. Por esarazón, aprovecha este Tribunal la ocasión presente para advertir que lasempresas administradoras de datos personales deben procurar que lasinformaciones almacenadas a nombre de una persona hayan sido obtenidas deforma tal que no quepa duda acerca de la titularidad del afectado. Talesentidades siempre deberán poner a disposición de los interesados lasinformaciones que sobre ellos consten en sus bases de datos, en caso de queellos así lo soliciten, a fin de que puedan efectivamente acusar su eventualfalsedad o inexactitud. Por el otro lado, debe insistirse que la información quesuministren empresas como la recurrida debe tener una relación de identidad eidoneidad con el fin que persiguen: la protección del crédito. Ahora bien, en elcaso sub exámine, se encuentra que TELETEC S.A. ha incluido en lainformación que le brinda a sus asociados una reseña de los parientes–ciertos o presuntos– del recurrido. A este respecto, cabe preguntarse¿cuál es la finalidad que se persigue con ello? Si el objetivo de la inclusiónde esta información es la identificación del investigado, la medida peca deirrazonable por desproporcionada, puesto que a esta persona ya se lapuede identificar debidamente por medio de su cédula de identidad; si elobjeto de la su inclusión es otro, la medida peca de irrazonable porque nose ve en qué puede protegerse una inversión por la disponibilidad de dichainformación. En efecto la filiación y demás información familiar del sujetono guarda relación alguna con su solvencia crediticia y estos datos, en elfondo, son peligrosamente superfluos. Piénsese por ejemplo en el caso

Puesta en línea ………………………………………………..

16

hipotético de una persona que, sin haber cometido delito alguno, eshermano o hijo de un reconocido delincuente.

La inclusión gratuita de la información familiar antes dicha podríaacarrearle grandes dificultades para obtener un crédito, por una cuestiónde culpa por asociación, y sin que el afectado tenga verdaderamenteantecedentes que hagan dudar de su solvencia o su honestidad. (…) Porconsiguiente, el presente recurso debe estimarse en cuanto a este extremo, comoen efecto se dispone.” El resaltado y subrayado no son del original. VotoNº2885-2002

Ahora bien, resultan importantes los parámetros que la Sala Constitucional haestablecido en relación a la información que brindan los registros públicos, a los datos quecontienen los documentos públicos, y a la naturaleza de los datos que ameritan protecciónmediante el Hábeas Data, el cual ha sido considerado por la doctrina como un recursoprocedimental de la protección a la esfera de la intimidad. Respecto al Hábeas Data, serecomienda ver el Voto Nº4398-2002 de la Sala Constitucional.

Tales lineamientos han sido claramente fijados por el órgano constitucional en elVoto Nº8996-2002, el cual consideramos como una jurisprudencia clave, pues en ella elTribunal establece los límites al derecho de autodeterminación informativa, y ademáspodría asentar algunos principios para su futura regulación normativa. Aunque serecomienda la lectura íntegra del Voto supra indicado, a continuación se extrae un puntoque consideramos fundamental para el análisis del tema:

• III.- El objeto de protección del hábeas data y los principios básicos parala protección de datos. Objeto de protección del hábeas data son los "datosde carácter personal", es decir, cualquier información relativa a una personafísica o jurídica identificada o identificable. El grado de protección de losdatos dependerá de la naturaleza de los mismos, así, debe el Estado procurarque los datos íntimos (también llamados "sensibles") de las personas nosean siquiera accedidos sin su expreso consentimiento. Se trata deinformaciones que no conciernen más que a su titular y a quienes éste quieraparticipar de ellos, tales como su orientación ideológica, fe religiosa y origenracial, es decir, aquellos aspectos propios de su personalidad, y que como talesescapan del dominio público, integrando parte de su intimidad del mismomodo que su domicilio y sus comunicaciones escritas, electrónicas, etc. En unsegundo nivel de restricción se encuentran las informaciones que, aunformando parte de registros públicos o privados, no ostentan el carácterde "públicas", ya que –salvo unas pocas excepciones- interesan solo a sutitular, pero no a la generalidad de los usuarios del registro.

Ejemplo de este último tipo son los archivos médicos de los individuos, asícomo los datos estrictamente personales que deban ser aportados a losdiversos tipos de expedientes administrativos. En estos casos, si bien el accesoa los datos no está prohibido, sí se encuentra restringido a la Administración ya quienes ostenten un interés directo en dicha información. En un gradomenos restrictivo de protección se encuentran los datos que, aun siendoprivados, no forman parte del fuero íntimo de la persona, sino querevelan datos de eventual interés para determinados sectores, en especialel comercio. Tal es el caso de los hábitos de consumo de las personas (almenos de aquellos que no quepan dentro del concepto de "datos sensibles").

Puesta en línea ………………………………………………..

17

En estos supuestos, el simple acceso a tales datos no necesariamente requierela aprobación del titular de los mismos ni constituye una violación a suintimidad, como tampoco su almacenamiento y difusión. No obstante, laforma cómo tales informaciones sean empleadas sí reviste interés para elDerecho, pues la misma deberá ser realizada de forma tal que se garantice laintegridad, veracidad, exactitud y empleo adecuado de los datos. Integridad,porque las informaciones parciales pueden inducir a errores en lainterpretación de los datos, poniendo en eventual riesgo el honor y otrosintereses del titular de la información. Veracidad por el mero respeto alprincipio constitucional de buena fe, y porque el almacenamiento y uso dedatos incorrectos puede llevar a graves consecuencias respecto del perfil queel consultante puede hacerse respecto de la persona. Exactitud, porque losdatos contenidos en dichos archivos deben estar identificados de manera talque resulte indubitable la titularidad de los mismos, así como el carácter ysignificado de las informaciones. Además, el empleo de tales datos debecorresponder a la finalidad (obviamente lícita) para la que fueronrecolectados, y no para otra distinta. En el caso de todas las reglas antesmencionadas, es claro que el deber de cumplimiento de tales exigencias loostenta quien acopie y manipule los datos, siendo deber suyo –y no de lapersona dueña de los datosla estricta y oficiosa observancia de las mismas.Finalmente, se encuentran los datos que, aun siendo personales, revisten unmarcado interés público, tales como los que se refieren alcomportamiento crediticio de las personas; no son de dominio público losmontos y fuentes del endeudamiento de cada individuo, pero sí lo son susacciones como deudor, la probidad con que haya honrado sus obligaciones yla existencia de antecedentes de incumplimiento crediticio, datos de granrelevancia para asegurar la normalidad del mercado de capitales y evitar elaumento desmedido en los intereses por riesgo. Con respecto a estos datos,también caben las mismas reglas de recolección, almacenamiento y empleoreferidos a los anteriores, es decir, la veracidad, integridad, exactitud y usoconforme. El respeto de las anteriores reglas limita, pero no impide a lasagencias –públicas y privadas- de recolección y almacenamiento de datos,cumplir con sus funciones, pero sí asegura que el individuo, sujeto másvulnerable del proceso informático, no sea desprotegido ante el poder inmensoque los medios de comunicación e información adquieren día con día. En unacategoría aparte se encuentran aquellos datos de interés general y accesoirrestricto contenidos en archivos públicos, para los cuales la regla aemplear es la del artículo 30 y no la dispuesta en el numeral 24 constitucional.Es decir, que en relación con tales informaciones existe una autorizaciónabsoluta de acceso y un deber inexcusable de la Administración de ponerlos alalcance de quienes quieran consultarlos, como un mecanismo de controlciudadano respecto de las actuaciones estatales, derivación necesaria delprincipio democrático que informa todas las actuaciones públicas y moldea lasrelaciones entre el Estado y la sociedad civil.(…)” El resaltado y subrayadono son del original. Voto Nº8996-2002

En igual sentido, se transcribe:

♣ El derecho a la información “(…) no se trata de un derecho irrestricto, sinoque, por el contrario, está sujeto a límites y entre ellos, el derecho a laintimidad se constituye en un límite para el derecho a la información porcuanto, en la medida en que la información verse sobre asuntos que no sean derelevancia pública, se impone el respeto a la intimidad y opera como límite o

Puesta en línea ………………………………………………..

18

barrera frente al derecho a la información. Por el contrario, cuando lainformación es de relevancia pública, el acceso a la misma y su difusión, seimponen como regla y por ello, cuando se trate de la trascendencia pública delobjeto comunicable, se justificaría la intromisión amparándose en el derechodel público a la recepción de noticias y en el derecho del informador atransmitirla, salvo, claro está, cuando se trata de una información que hayasido declarada previamente como secreto de Estado o sea falsa en cuyo caso eltratamiento de la misma, será diferente. (…)” (Voto Nº3074-2002).

Pese a los cambios de criterios que ha tenido la Sala Constitucional, bien podríaafirmarse que ha limitado el campo de acción de las empresas en cuestión, al indicar queaunque el acceso a los registros públicos no está prohibido, ello no implica que se puedalucrar con la información obtenida en éstos, por cuanto las informaciones que, aunformando parte de registros públicos o privados, no ostentan el carácter de "públicas".

En virtud de lo expuesto, es indudable que la labor jurisprudencial de nuestroTribunal Constitucional ha contribuido a delimitar y desarrollar un tema que carece deregulación normativa. Sin embargo, la tarea apenas empieza, resulta necesario y urgenteque las autoridades competentes analicen cuándo hay interés público, cómo determinar lafinalidad lícita del empleo de los datos, qué entidades privadas pueden dar tratamiento aestos datos, entre otros.

E.- PROYECTOS DE LEY QUE SOBRE EL TEMA SE TRAMITAN EN LAASAMBLEA LEGISLATIVA

Actualmente en la Asamblea Legislativa se tramitan una serie de proyectos de leyrelacionados con este tema, a saber:

1.- Expediente N° 14.785. “Adición de un nuevo capítulo IV, denominado del Recursode Hábeas Data, al Título III de la Ley de la Jurisdicción Constitucional, Ley N° 7135de 11 de octubre de 1989”.

Esta iniciativa de ley corresponde al diputado Rolado Lacle Castro y se encuentra enestudio en la Comisión Permanente de Asuntos Jurídicos. Mediante esta iniciativa sepretende retomar y proponer como base de discusión el dictamen de la citada Comisiónsobre el proyecto planteado por el ex diputado Dr. Constantino Urcuyo Fournier, durante elperíodo 1994-1998, tendiente a adicionar el denominado “Recurso de Hábeas Data” a laLey de la Jurisdicción Constitucional y de esta forma proteger de manera procedimental elderecho de la persona a su intimidad, imagen, honor, autodeterminación informativa ylibertad informática en el tratamiento de sus datos personales. (Ver anexo N° 1)

2.- Expediente N° 14.778. “Adición de un capítulo IV a la Ley de la JurisdicciónConstitucional (Recurso de Hábeas Data)”

Esta iniciativa de ley corresponde a los diputados Carlos Avendaño Calvo, LauraChinchilla Miranda, Rocío Ulloa Solano, entre otros y se encuentra en estudio de laComisión Permanente de Asuntos Jurídicos. El texto de este proyecto es idéntico al que setramita bajo el expediente N° 14.785 y que retoma la iniciativa del diputado ConstantinoUrcuyo. (Ver anexo N° 2)

Puesta en línea ………………………………………………..

19

3.- Expediente N° 15.079. “Ley de Acceso a la Información para la Transparencia enla Gestión Pública”.

Esta iniciativa corresponde al diputado Humberto Arce Salas y se encuentra enestudio de la Comisión Especial sobre Prensa. El proyecto pretende la formulación de unaley marco para regular los derechos de acceso a la información de interés público y depetición garantizados en la Constitución Política. Además, busca garantizar el ejerciciolegítimo de los citados derechos frente a la gestión de los entes privados que realicenfunciones públicas, administren fondos o gestionen servicios u obras públicas o ejerzanfunciones de igual carácter, todo con miras a lograr la transparencia en la gestión pública.

De importancia para el tema que nos ocupa, este proyecto contiene algunasdisposiciones sobre la información de carácter confidencial y su protección, el derecho alacceso a la información de carácter personal, y el recurso de Hábeas Data. (Ver anexo N°3)

4.- Expediente N° 15.178. “Ley de Protección de la Persona frente al Tratamiento desus Datos Personales”.

Esta iniciativa de ley corresponde a los diputados Margarita Penón Góngora, CarlosAvendaño, Luis Gerardo Villanueva Monge, Laura Chinchilla Miranda, Rolando LacléCastro, Ruth Montoya Rojas, Ricardo Toledo Carranza, Rodrigo Carazo Zeledón , JoséMiguel Corrales Bolaños, entre otros.

En este proyecto se parte de la premisa de que la vía del Hábeas Data ya ha sidoadecuadamente aplicada por la Sala Constitucional, y que se ha ampliado su uso, inclusopara establecer ciertos parámetros de calidad en el tratamiento de datos, razón por la cual seplantea incluir en la legislación una consideración amplia de las etapas del tratamiento de lainformación que forman parte normal de todos los procesos informativos en el ámbitopúblico y privado, incluyendo el flujo transfrontera de datos.

El proyecto regula con detalle los diversos aspectos relacionados con el derecho delas personas respecto del manejo de sus datos, reconociendo los deberes de obtención delconsentimiento del afectado, calidad, seguridad y cesión de los datos, categorías de datosque requieren de una protección mayor a la regla general (datos sensibles), garantíasefectivas de acceso a la información personal, corrección, supresión y actualización de lamisma. Se prevé la posibilidad de que las entidades públicas y privadas diseñen suspropios protocolos de actuación en materia de protección de datos para que, una vezaprobados por la Agencia para el Control de Datos Personales (PRODAT), permitan adichas entidades una actuación ágil y sencilla, en tanto se sometan a los términos de suspropios protocolos.

Se regula además el movimiento internacional de datos, estableciendo como reglageneral la imposibilidad de que los administradores de archivos públicos o privados,transfieran a terceras personas en el extranjero, informaciones pertenecientes a otros. Seexceptúan de la regla anterior, los casos en que el titular de los datos haya dadoválidamente su consentimiento o bien el PRODAT haya autorizado la cesión y la empresareceptora esté domiciliada y actúe en un país que ofrezca un nivel adecuado de protecciónde datos personales.

Se establece la creación de una Agencia para la Protección de Datos Personales(PRODAT), con lo cual se procura dotar al país de un órgano regulador del tratamiento de

Puesta en línea ………………………………………………..

20

datos personales, dotado de suficiente independencia y de las herramientas técnicas ymaterial humano necesarios para llevar a cabo su trabajo de forma efectiva y objetiva.

Por último, se regulan los procedimientos de intervención en archivos y bases dedatos, el régimen sancionatorio aplicable a los administradores de ficheros y losprocedimientos internos para ejercer la competencia disciplinaria contra los funcionarios dela Agencia. (Ver anexo N° 4)

5.- Expediente N° 11.871. “Proyecto de reforma al Código Penal”.

En este proyecto se establece un capítulo de Delitos contra el Ámbito de Intimidad yla Autodeterminación Informativa, donde se sanciona el tratamiento ilícito de datospersonales y comunicaciones, la propalación, el uso ilícito de registros informáticos, ladivulgación de secretos, la utilización de la imagen o nombre de otra persona sin suconsentimiento; a la vez, que se establecen circunstancias de agravación y de inhabilitación.(Ver anexo N° 5)

CONCLUSIONES

1.- En Costa Rica existen una serie de empresas privadas que se dedican a la venta de datosde tipo personal y empresarial, de tal manera que cualquier interesado que pague por susservicios puede obtener (a través de Internet) información sobre: datos personales deciudadanos costarricenses (estado civil, nombre del cónyuge y de sus hijos, entre otros),direcciones, juicios pendientes, bienes muebles e inmuebles, historial de trabajo, salarios,tarjetas de crédito, prendas o hipotecas, personas jurídicas, e incluso fotografías de personasfísicas.2

2.- La Sala Constitucional de la Corte Suprema de Justicia ha establecido la naturaleza delos datos así: a) Datos íntimos también llamados “sensibles”. b)Informaciones que, aunformando parte de registros públicos o privados, no ostentan el carácter de "públicas". c)Datos que, aun siendo privados, no forman parte del fuero íntimo de la persona, sino querevelan datos de eventual interés para determinados sectores, en especial el comercio. d)Datos que, aun siendo personales, revisten un marcado interés público, tales como los quese refieren al comportamiento crediticio de las personas. e) Datos de interés general yacceso irrestricto contenidos en archivos públicos.

3.- En el caso del Registro Público Nacional se estableció un procedimiento para elsuministro de información; no obstante, resulta evidente que las empresas que se dedican aeste negocio manejan en sus bases de datos otro tipo de informaciones, sin que quede claroel procedimiento que utilizan para obtenerla. Incluso, en algunos casos aparentementepodría estarse dando la venta ilegal de la información que conservan las institucionespúblicas.

4.- La Dirección de Inteligencia y Seguridad gestionó una investigación ante el Buró deInvestigaciones Federales (FBI) del Gobierno de los Estados Unidos, estableciéndose queactualmente no resulta posible acceder a información de ciudadanos costarricenses en las

2 La mayoría de las empresas suministran información muy similar, aunque en algunos casos se ofrecenmayores opciones, como por ejemplo las fotografías de personas físicas.

Puesta en línea ………………………………………………..

21

bases de datos de la empresa Choicepoint. Sin embargo, todas las empresas que se dedicana la venta de información en nuestro país ofrecen sus servicios vía Internet, por lo que todapersona que pague el respectivo servicio puede tener acceso a los datos sobrecostarricenses.

5.- El registro de los datos personales en bases privadas y el tratamiento posterior de estos,debe someterse a las prescripciones de la ley, de manera tal que el particular conozca lafinalidad para la cual se registran y pueda ejercer sus derechos respecto de esos datos. Nopuede considerarse simplemente que existe el derecho de extraer los datos de las basespúblicas para formar un archivo de carácter privado, predispuesto a la explotacióncomercial de los datos referentes a cualquier individuo.

6.- Es de advertir que en la medida en que la Sala Constitucional ha admitido el Recurso deAmparo como protección de los datos personales, la inclusión del Hábeas Data no sepresenta como indispensable, pero sí deseable y oportuno.

Lo absolutamente necesario es buscar mecanismos que permitan una tutela más positiva delderecho a la autodeterminación informativa.

7.- La ausencia de regulación sobre este tema pone en peligro los derechos constitucionalesde los ciudadanos, a la vez que ubica a nuestro país en una situación de desigualdad frente ala tutela que ofrecen otros países que reúnen mayores estándares en este campo. Loanterior, resulta de importancia a la hora de participar en las negociaciones comerciales conimportantes mercados internacionales, como en el caso de la Unión Europea y los EstadosUnidos, cuyas normativas generalmente exigen que los países con los que entablenrelaciones cuenten con regulaciones para la protección de este tipo de datos.

8.- Ya se tramita en la Asamblea Legislativa un proyecto de ley para la debida regulaciónde las empresas que se dedican a este tipo de actividad, así como para garantizarle a loscostarricenses la protección de sus derechos constitucionales en esta materia,particularmente en lo que se refiere al derecho de la autodeterminación informativa.Asimismo, existen dos iniciativas para adicionar un capítulo a la Ley de la JurisdicciónConstitucional, con miras a incorporar el Recurso de Habeas Data, como mecanismoprocesal para proteger la esfera de la intimidad a que tienen derecho los ciudadanos.

RECOMENDACIONES

1.- Emitir una directriz presidencial para que todas las dependencias del gobierno centralque manejan bases de datos con información personal de los ciudadanos procedan a: a)Realizar un análisis jurídico sobre los datos que pueden ser considerados de interés público,de acuerdo con los lineamientos establecidos por la Sala Constitucional de la CorteSuprema de Justicia. b)Implementar las medidas, controles y mecanismos necesarios paraevitar la sustracción indebida de información. c) Regular el procedimiento a seguir para elsuministro de la información arriba mencionada, hasta tanto se aprueben lascorrespondientes reformas legales. A su vez, hacer una atenta instancia a todas lasinstituciones autónomas para que procedan de la misma forma.

2.- Remitir al Ministerio Público el presente informe, con la finalidad de que se valore laprocedencia de realizar la respectiva investigación sobre la aparente venta ilegal de lainformación que consta en las bases de datos de las dependencias públicas a empresasprivadas. Y, que el Poder Ejecutivo brindará toda la colaboración que eventualmenterequiera dicho órgano.

Puesta en línea ………………………………………………..

22

3.- Instar a la Asamblea Legislativa para que se le otorgue prioridad a la discusión de losproyectos de ley que vendrían a regular el funcionamiento de las empresas que se dedican ala venta de información, a garantizar el derecho a la intimidad y a la autoderminacióninformativa e incluir el recurso de Hábeas Data en la Ley de la Jurisdicción Constitucional.Estos proyectos son: a) Expedientes N° 14.785 y N° 14.778 para adicionar un nuevocapítulo IV, denominado del Recurso de Hábeas Data, al Título III de la Ley de laJurisdicción Constitucional, Ley N° 7135. de 11 de octubre de 1989; y, b) ExpedienteN° 15.178. “Ley de Protección de la Persona frente al Tratamiento de sus DatosPersonales”. Asimismo, que el Poder Ejecutivo proceda a convocar estos proyectos asesiones extraordinarias.

4.- La ley debe regular el funcionamiento de las bases de datos privadas, de tal manera quesólo puedan manejar información obtenida de las fuentes de acceso público irrestricto, esdecir cuando los datos sean de carácter público y de uso generalizado, u obtenida con elconsentimiento expreso del interesado. Además resulta importante contemplar la creaciónde un organismo público encargado de fiscalizar el tratamiento automatizado de losdatos personales. Debe tomarse en cuenta que la función que dicho organismo estállamado a desempeñar es de naturaleza administrativa, no se está ante el ejercicio depotestades legislativas o de control político. Debe discutirse, empero, si lo más apropiado escrear un ente autónomo o bien, si lo más conveniente es crear un órgano con grado dedesconcentración máxima, con absoluta independencia funcional y administrativa, delPoder Ejecutivo.

5.- La ley que se emita debe prohibir la posibilidad de que determinados datos personalessean registrados y tratados en bases de datos privados. Tal debe ser el caso de los datosconsiderados sensibles, como por ejemplo aquellos que revelen el origen racial, lasopiniones políticas y las convicciones religiosas de la persona, así como los relativos a susalud, a su vida sexual y a sus antecedentes delictivos.

6.- En caso de que se pretenda permitir que los datos personales constantes en registrospúblicos sean tratados por sujetos privados, se debe cuestionar la razonabilidad de mantenerel artículo 2 de la Ley Nº 8220 de cita. Si se mantiene la prohibición de que lasAdministraciones Públicas se comuniquen los datos personales recogidos o elaborados parael cumplimiento de sus funciones, lo lógico y racional es que igual prohibición se extiendarespecto de los ficheros privados. Empero, nuestra recomendación es que se permita a laAdministración comunicar los referidos datos a otras Administraciones cuando éstas tenganuna competencia material similar y la cesión sea necesaria para el cumplimiento de lasfunciones de la Administración. Asimismo, con ello se garantiza el suministro deinformación para fines históricos o estadísticos. Una ley específica podría, claro está,autorizar la comunicación de datos personales para el cumplimiento de los fines públicos,aún cuando no se trate de la misma competencia material. Por otra parte, si la ley acepta lacesión de datos a favor de ficheros privados, debería reconocerse al interesado no sólo elderecho de conocer esa cesión, sino también el derecho de oposición. Ello porque elprincipio debe ser que la Administración Pública no debe comunicar los datos personales aficheros de titularidad privada sino con el consentimiento del interesado o cuando la ley asíexpresamente lo disponga.

Puesta en línea ………………………………………………..

23

El Proyecto de Ley N. 15.178:LEY DE PROTECCIÓN DE LA PERSONA FRENTE AL

TRATAMIENTO DE SUS DATOS PERSONALES

Uno de los proyectos que plantea la regulación a partir del derechofundamental a la autodeterminación informativa es el Expediente N. 15.178.Respecto de ese proyecto tenemos las siguientes observaciones:

ARTÍCULO 1.- Objetivo y fin

La presente Ley tiene como objetivo garantizar a cualquier persona física ojurídica, sean cuales fueren su nacionalidad, residencia o domicilio, el respeto asus derechos fundamentales, concretamente, su derecho a la autodeterminacióninformativa en relación con su vida privada y demás derechos de la personalidad;asimismo, la defensa de su libertad e igualdad con respecto al tratamientoautomatizado o manual de los datos correspondientes a su persona o bienes.

Puesta en línea ………………………………………………..

24

Observaciones:

La ley tiene como objeto tutelar un derecho fundamental: el deautodeterminación informativa. De allí que este artículo debería ser directoen cuanto a que se garantiza el respeto al derecho de autodeterminacióninformativa. Empero, en la medida en que se afirme que laautodeterminación informativa se garantiza en relación con la vida privada ydemás derechos de la personalidad podría estarse ante una confusión encuanto al objeto del derecho y a su fundamento.

El derecho de autodeterminación es el derecho de conocer, tener acceso ycontrolar las informaciones personales susceptibles de recibir tratamientoautomatizado, lo que implica posibilidad de solicitar la rectificación,cancelación de los datos por medio de los recursos que se establezcan. Porlo que en el mismo derecho va implícita que se trata de la defensa respectoal tratamiento de los datos correspondientes a su persona, incluidos losreferidos a sus bienes.

ARTÍCULO 2.- Definiciones

A los efectos de la presente Ley:

a) Datos de carácter personal: cualquier información relativa a unapersona física o jurídica identificada o identificable;b) Datos sensibles: datos personales que revelen origen racial,opiniones políticas, convicciones religiosas o espirituales, informaciónreferente a la salud, vida sexual y antecedentes delictivos.c) Archivo, registro, fichero o base de datos . Conjunto organizadode datos personales que sean objeto de tratamiento o procesamiento,automatizado o no, cualquiera que fuere la modalidad de su formación,almacenamiento, organización o accesod) Tratamiento automatizado: operaciones que a continuación seindican, efectuadas en su totalidad o en parte con ayuda deprocedimientos automatizados: registros de datos, aplicación a esos datosde operaciones lógico aritméticas, su modificación, borrado, extracción odifusión.e) Autoridad encargada del fichero: significa la persona física ojurídica, autoridad pública, servicio o cualquier otro organismo que seacompetente con arreglo a la ley para decidir cuál será la finalidad delfichero automatizado, cuáles categorías de datos de carácter personaldeberán registrase y cuáles operaciones se les aplicarán.

Puesta en línea ………………………………………………..

25

f) Afectado: persona o jurídica, titular de los datos que sean objeto deltratamiento automatizado o manual.g) Disociación de datos es: tratamiento de datos personales demanera que la información obtenida no pueda asociarse a personadeterminada o determinable.

Observaciones:

En lo que se refiere a tratamiento automatizado, la redacción permiteconsiderar que el tratamiento se realiza a través de las operaciones que seenumeran, lo que implicaría que se está ante un número cerrado. Empero, enel futuro podría estimarse que existen otras operaciones de tratamientoautomatizado. De allí que debe ser redactado en forma más amplia y demanera que también comprenda la recolección de los datos, la organizacióny conservación de estos, cualquier forma de comunicación a terceros (lacesión propiamente dicha, la consulta, la transferencia, la interconexión),bloqueo y eventual destrucción.

ARTÍCULO 3.- Derecho de información en la recolección de los datos

Las personas a quienes se soliciten datos de carácter personal deberán serpreviamente informados de modo expreso, preciso e inequívoco directamente opor apoderado con poder o cláusula especial; las personas jurídicas por medio desu representante legal o apoderado con poder o cláusula especial:

a) De la existencia de un fichero automatizado o manual de datos decarácter personal, de la finalidad de la recogida de éstos y de losdestinatarios de la información.b) Del carácter obligatorio o facultativo de sus respuestas a laspreguntas que se les formulen.c) De las consecuencias de la obtención de los datos o de la negativa asuministrarlos.d) De la posibilidad de ejercer los de rechos de acceso, rectificación,actualización, cancelación y confidencialidad.e) De la identidad y dirección del responsable del fichero.

Cuando se utilicen cuestionarios u otros impresos para la recolección,figurarán en los mismos en forma claramente legible, las advertencias a que serefiere el apartado anterior.

Puesta en línea ………………………………………………..

26

No será necesaria la información a que se refiere el apartado a), si elcontenido de ella se deduce claramente de la naturaleza de los datos personalesque se solicitan o de la circunstancia en que se recaban.

Observaciones:

El enunciado del artículo parte de que a la persona se le solicitan datospersonales. Ciertamente, esto es una posibilidad que se da. Baste pensarque frecuentemente los negocios comerciales solicitan a sus clientes llenarboletas, supuestamente para remitir información. Pero en muchas ocasionesesa información no se solicita sino que el fichero puede ser creado a partirde otros mecanismos de obtención de la información, incluida la obtenciónde los datos de otros registros, entre ellos los públicos. Para estossupuestos debe establecerse también el derecho del afectado de conocer elorigen de la información y la finalidad a que tiende el registro.

El artículo concierne tanto los ficheros públicos como privados. En principiono debería existir la obligación de la persona de suministrar información asujetos privados y por ende, contestar las preguntas que se le formulen. Porconsiguiente, por regla de principio, la negativa de suministrar información aprivados no debería tener consecuencias. Ese deber sólo debería existirdentro de una relación comercial concreta o cuando el legislador lo impongapor la índole de la actividad del ente privado.

ARTÍCULO 4.- Consentimiento del afectado

1.- El titular de los datos deberá dar por sí o por su representante legal oapoderado el consentimiento para la entrega de los datos, salvo que la leydisponga otra cosa dentro de los límites razonables.

La razonabilidad deberá ser considerada por la Agencia deProtección de Datos Personales si se le planteare en caso decontroversia. Lo anterior vale tanto para los ficheros de titularidad públicao privada.

El consentimiento deberá constar a través de autorización por escritoo por otro medio idóneo, físico o electrónico. Dicho consentimiento podráser revocado sin efecto retroactivo, por cualquiera de los mediospermitidos para acreditar la aquiescencia.

No será necesario el consentimiento cuando:

a) Exista orden motivada, dictada por autoridad judicialcompetente.

Puesta en línea ………………………………………………..

27

b) Los datos se ob tengan de fuentes de acceso público irrestrictoy se trate de listados cuyos datos se limiten a nombre, documentonacional de identidad, y fecha de nacimiento.

Observaciones:

Se pretende establecer que el consentimiento es necesario “salvo que la leydisponga otra cosa dentro de los límites razonables”. En realidad podría sersuficiente que una norma especifica señale que el consentimiento no esnecesario. Esta ley no podría imponer a otra ley el respeto al principio derazonabilidad en el establecimiento de excepciones al principio delconsentimiento. Lo importante es que quede claro que los casos deexcepción al principio de consentimiento deben ser expresamenteestablecidos por la ley. Por consiguiente, no pueden dejarse a ladeterminación de la Agencia. Esta lo que puede hacer es establecer si en elcaso concreto se dan los supuestos que de acuerdo con la ley determinanesa excepción.

Debe determinarse cuál es la consecuencia de una revocación delconsentimiento.

En la medida en que expresamente se indica que el consentimiento no esnecesario respecto de fuentes de acceso público irrestricto y se trate delistados cuyos datos se limiten a nombre, documento nacional de identidady fecha de nacimiento, podría concluirse que cualquiera puede crear supropio fichero con base en los datos de acceso público. Sea estos datospersonales no serían objeto de protección. El problema es que no se definequé se entiende por “fuentes de acceso público irrestricto” y tampoco seaclara si más allá de los datos referidos al nombre, número de identidad (conlas objeciones indicadas) y fecha de nacimiento, existen otros datos deacceso público igualmente excluidos de protección. Pareciera, en todo caso,que la persona no puede reclamar protección respecto de su nombre, cédulade identidad y fecha de nacimiento. Datos que permiten su plenaidentificación.

Va de suyo, por demás, que la ley puede establecer que elconsentimiento no es necesario cuando el registro y tratamiento tienden asatisfacer un interés público claramente definido. En ese sentido podríanprecisarse supuestos como los que contempla la propuesta de ley N. 14785,para el artículo 73 de la Ley de la Jurisdicción Constitucional, sea que losdatos se reúnan para fines de la Administración Pública en el marco de suscompetencias legales o cuando se refieran a personas vinculadas por unarelación de negocios, laboral o administrativa o un contrato y en la medidaen que dichos datos sean necesarios para efectos de la ejecución delcontrato o del correcto desenvolvimiento de esas relaciones.

Puesta en línea ………………………………………………..

28

ARTÍCULO 5.- Calidad de los datos

1.- Sólo podrán ser recolectados, almacenados y empleados datos decarácter personal para su tratamiento automatizado o manual, cuandotales datos sean adecuados, pertinentes y no excesivos en relación con elámbito y finalidades legítimos para los que se han obtenido.2.- Los datos de carácter personal objeto de tratamiento automatizado omanual no podrán utilizarse para finalidades distintas de aquellas para loscuales los datos hubieren sido recogidos.3.- Dichos datos serán exactos y puestos al día, de forma querespondan con veracidad a la situación real del afectado.4.- Si los datos de carácter personal registrados resultaren ser inexactosen todo o en parte, o incompletos, serán cancelados y sustituidos de oficiopor los correspondientes datos rectificados, actualizados ocomplementados. Igualmente serán cancelados si no mediare unconsentimiento legal y legítimo o estuviere prohibida su recolección.5.- Los datos de carácter personal serán cancelados cuando hayandejado de ser pertinentes o necesarios para la finalidad para la cualhubieren sido recibidos y registrados.

No serán conservados en forma que permita la identificación delinteresado en un período que sea superior al necesario para los fines conbase en los cuales hubieren sido recabados o registrados. Sin embargo,en ningún caso serán conservados los datos personales que puedan decualquier modo afectar a su titular, una vez transcurridos diez años desdela fecha de ocurrencia de los hechos registrados.

6.- Serán almacenados de forma tal que se garantice plenamente elderecho de acceso por el afectado.7.- Se prohíbe el acopio de datos por medios fraudulentos, desleales oilícitos.8.- Se prohíbe registrar o archivar juicios de valor.

Observaciones:

El inciso 5 de este artículo, segundo párrafo, permitiría la conservación delos datos personales del afectado aún cuando ya no sean necesarios para elcumplimiento de la finalidad que justifica el registro y tratamiento.Posibilidad que estaría condicionada a que el interesado no sea identificado.Lo que plantea el caso de los datos referidos a nombre, número deidentificación y fecha de nacimiento. Estimamos que cumplida la finalidad, laconservación de los datos sólo puede tener sentido para fines estadísticos ode investigación científica o histórica. Supuestos en los cuales puede no sernecesario que la conservación de los datos permita la identificación de lapersona. Por consiguiente, el principio debe ser la cancelación de los datoscuando ya no son necesarios ni pertinentes para la finalidad para la cualfueron recabados, tal como por ejemplo se indica tanto en el proyecto N.

Puesta en línea ………………………………………………..

29

14778 como en el 14.785, ambos en cuanto proponen una reforma al artículo73, inciso d) de la Ley de la Jurisdicción Constitucional.

ARTÍCULO 6.- Categorías particulares de datos

Los datos de carácter personal de las personas físicas que revelen suorigen racial, sus opiniones políticas, sus convicciones religiosas o espirituales, asícomo los datos de carácter personal relativos a la salud, a la vida sexual y a susantecedentes delictivos, no podrán ser almacenados de manera automática nimanual en registros o ficheros privados, y en los registros públicos serán deacceso restringido.

Ninguna persona estará obligada a suministrar datos sensibles. Los datossensibles sólo podrán ser recolectados con finalidades estadísticas o científicascuando no puedan ser identificados sus titulares.

Sin perjuicio de lo establecido en el párrafo anterior, las asociacionesreligiosas, las organizaciones políticas, sindicales y aquellas que agrupen a losindividuos de acuerdo con sus preferencias sexuales o ideológicas, podrán llevarun registro de sus miembros, para uso exclusivo de su fin asociativo.

Observaciones:

El artículo tiende a proteger los datos considerados como “sensibles”. Deacuerdo con dicho artículo, podrían existir registros públicos en que seregistre a la persona por su origen racial, sus opiniones políticas, vidasexual, convicciones religiosas o espirituales. Lo cual obligaría a plantearsecuál es la necesidad de tales registros. Particularmente si la persona no estáobligada a suministrar datos sensibles , cómo se constituiría el registropúblico? Por otra parte, debe mantenerse el criterio de la confidencialidad dela información, de manera tal que no pueda ser suministrada a terceros,salvo que la transmisión sea necesaria para salvar la vida de la persona uotro derecho fundamental como la libertad personal. El término “accesorestringido” podría ser interpretado como autorizando que terceros puedantener acceso a la información sensible registrada.

ARTÍCULO 8.- Cesión de datos

Los datos de carácter personal conservados en archivos o bases de datospúblicos o privados, sólo podrán ser cedidos a terceros para fines directamente

Puesta en línea ………………………………………………..

30

relacionados con las funciones legítimas del cedente y del cesionario, con elprevio consentimiento del afectado, en los términos del artículo 4 de esta Ley.

El consentimiento para la cesión podrá ser revocado pero la revocatoria notendrá efectos retroactivos.

Lo anterior es aplicable a cualquier fichero independientemente de sutitularidad pública o privada.

El consentimiento no será exigido cuando:

a) Así lo disponga una ley.b) Se trate de la cesión de datos perso nales al Estado o una instituciónpública de salud o de investigación científica en el área de la salud,relativos a la salud, y sea necesario por razones de salud pública, deemergencia o para la realización de estudios epidemiológicos, en tanto sepreserve la identidad de los titulares de los datos mediante mecanismosde disociación adecuados.

El cesionario quedará sujeto a las mismas obligaciones legales yreglamentarias del cedente y este responderá solidariamente y conjuntamente porla observancia de los mismos ante la Agencia de Protección de Datos y el titularde los datos.

Observaciones:

En materia de cesión de datos, el principio es el consentimiento. Consideroque debe modificarse la redacción del primer párrafo de manera que reflejeesa importancia. Una redacción como El consentimiento del afectado,expresado en los términos del artículo 4 de esta ley, es necesario para lacesión a terceros de los datos de carácter personal conservados en archivoso bases de datos públicos o privadas.

ARTÍCULO 12. - Excepciones y restricciones al derecho a laautodeterminación informativa del ciudadano

Sólo por ley se podrán establecer excepciones y restricciones en losprincipios, derechos y garantías aquí enunciados, siempre que aquellas seanjustas, razonables y acordes con el principio democrático. Las mencionadasexcepciones y restricciones solo podrán plantearse para alcanzar fines legales enalguno de los siguientes campos:

Puesta en línea ………………………………………………..

31

a) La protección de la seguridad del Estado, de la seguridad pública, dela seguridad económica del Estado o para la represión de las infraccionespenales.b) La protección de las propias personas concernidas, así como losderechos y las libertades de otras personas.c) El funcionamiento de ficheros de carácter personal que se utilicencon fines estadísticos o de investigación científica, cuando no existe riesgode que las personas sean identificadas.

Siempre existirá recurso para que la autoridad judicial decida si en uncaso concreto estamos ante una excepción o restricción razonable.

Observaciones:

En la medida en que se está ante un derecho fundamental, se sigue comológica consecuencia que la regulación del derecho está reservada a la ley.Por ende, sólo por ley podrán imponerse restricciones al ejercicio delderecho, incluido los principios que lo rigen y las facultades que conlleva elderecho. Empero, en la medida en que la regulación que se pretende emitires de rango legal, esta no es el mecanismo válido para establecer loscriterios que debe seguir el legislador al restringir el derecho. En vez deestablecer que las excepciones y restricciones sólo pueden ser establecidaspor el legislador en determinados ámbitos, se requiere que el propioproyecto de ley defina si los principios, derechos y garantías que estableceresultan aplicables a la protección de la seguridad del Estado, a la seguridadpública, a la seguridad económica del Estado (qué se entiende por tal) o parala represión de infracciones penales. Es de advertir, por demás, que laredacción del inciso c) es tan amplia que podría permitir vaciar de contenidoy significado el derecho de autodeterminación informativa.

En orden al punto c) quizás lo importante es que se establezca como unprincipio general que está permitida la recolección de datos de terceros parafines estadísticos o de investigación científica, a condición de que eltratamiento no conduzca a una identificación de las personas.

Por otra parte, si se establece que “siempre existirá recurso para que laautoridad judicial decida si en un caso concreto estamos ante una excepcióno restricción razonable”, debería establecerse cuál es ese recurso. Si es laley la que establece la excepción o restricción es claro que el únicomecanismo de control será la Acción de Inconstitucionalidad; distinto es elcaso si de lo que se trata es de establecer que en un caso concreto no sedan los presupuestos legales en orden a la restricción, en cuyo caso podríaabrirse la vía de Amparo o vía la contencioso-administrativa.

Puesta en línea ………………………………………………..

32

En todo caso podría existir una contradicción en establecer que existirá unrecurso judicial para que se determine si la excepción o restricción a losprincipios, derechos y garantías es razonable, si en el artículo 4 se haestablecido que corresponde a la Agencia de Protección de Datospersonales valorar si la excepción legal al principio del consentimiento parala entrega de los datos está “dentro de los límites razonables”.

ARTÍCULO 14.- Transferencia internacional de los datos, regla general.

Las personas públicas y privadas encargadas del manejo de bases de datos ylos archivos físicos, estarán imposibilitadas para transferir datos que hayanrecibido directamente de los titulares de la información o de terceros.

Se exceptúan de la prohibición contenida en el párrafo anterior lastransferencias ocurridas con absoluto arreglo a las siguientes reglas:

a) Que la Agencia para la Protección de Datos Personales autorice latransferencia a la persona o institución receptora, pública o privada, porcorroborar que con dicho traslado no están siendo vulnerados losprincipios rectores del manejo de datos personales, descritos en esta Ley.b) Que el titular de la información haya autorizado expresa yválidamente tal transferencia.c) Si se trata de una persona o institución pública o privada domiciliadaen el extranjero, dicha transferencia solo podrá ser llevada a cabo si,además de las condiciones antes mencionadas, dicho receptor estádomiciliado o tiene como base un país que ofrezca un nivel de protecciónde los datos personales, igual o superior al establecido en Costa Rica.

Observaciones:

El título del artículo da a entender que su objeto es regular la transferenciainternacional de datos. Empero, la lectura del artículo da margen paraconsiderar que el principio y su excepción se refieren también a latransferencia nacional. Lo cual obligaría a diferenciar entre “transferencia” ycesión de datos.

Por otra parte, en orden a las excepciones el principio debe ser que elconsentimiento del interesado permite la transferencia. Consentimiento queno sería necesario en circunstancias especiales, que la ley define y en eltanto se cuente con la autorización de la Agencia para la Protección deDatos Personales .

Puesta en línea ………………………………………………..

33

ARTÍCULO 15.- Agencia para la Protección de Datos Personales

Créase un órgano adscrito al Poder Legislativo denominado Agencia para laProtección de Datos Personales (PRODAT), el cual gozará de independenciafuncional, administrativa y de criterio en el desempeño de las funciones que estaLey le encomienda.

Observaciones:

Se plantea que la Agencia para la Protección de Datos Personales seaun órgano del Poder Legislativo. En la medida en que la Agencia cumplefunciones netamente administrativas, consideramos que la adscripción alPoder Legislativo plantea un problema de constitucionalidad. La naturalezapropia de la Agencia es la de autoridad administrativa absolutamenteindependiente en el ejercicio de sus funciones, por lo que debe serorganizada sea como un órgano del Poder Ejecutivo con absolutaindependencia funcional y administrativa o bien como una entidadautónoma.

Pareciera que se ha considerado que como la Agencia debe ser uninstrumento de defensa de los derechos fundamentales, correspondeubicarla en el Poder Legislativo, tal como sucede con la Defensoría de losHabitantes. Es de advertir, sin embargo, que la función que debedesempeñar la Agencia es absolutamente diferente de la función quecorresponde a la Defensoría de los Habitantes. No puede considerarse que,en estricto derecho, ésta se constituya en una Administración activa.Diferente es el caso de la Agencia, que está llamada a ejercer suscompetencias no sólo sobre los organismos públicos sino también sobre laspersonas privadas, físicas y jurídicas. Como Administración activa, laAgencia tendrá entre unas de sus funciones la de solicitar información tantoa personas públicas como privadas, llevar un registro de los archivos ybases de dato, autorizar la transferencia de datos y, particularmente,resolver los reclamos de los particulares en orden a la protección de losdatos personales. En el ejercicio de esa competencia, la Agencia no selimitaría a emitir recomendaciones como es el caso de la Defensoría. Por elcontrario, le compete dictar órdenes que se imponen al titular del archivo ola base de datos, independientemente de la naturaleza jurídica de ese titular.Además, se ve reconocer un poder sancionador sobre personas físicas ojurídicas, públicas o privadas; así como un poder de dirección sobre losorganismos públicos. Competencias administrativas que exceden el ámbitoconstitucionalmente garantizado al Poder Legislativo.

Puesta en línea ………………………………………………..

34

En razón de las funciones que normalmente se adscribe, no es deextrañar que en Europa se defina un modelo de autoridad de controlespecializado, independiente y de naturaleza pública. En virtud de lasfunciones que debe tener es claro que no se trata de un órgano del PoderLegislativo y que tampoco puede ser asimilado al Defensor de losHabitantes.

Es claro que la naturaleza de la Agencia tendrá incidencia respecto dela forma de nombramiento del Director y de otros funcionarios. Elnombramiento del Director debería corresponder al Consejo de Gobierno,sin perjuicio de que ese nombramiento sea sometido a ratificación de laAsamblea Legislativa.

ARTÍCULO 18.- Requisitos

Para ser nombrado director o directora nacional de Protección de DatosPersonales se requiere ser ciudadano costarricense, mayor de treinta y cincoaños, profesional al menos en grado de licenciatura en una materia afín al objetode su función, de reconocida solvencia profesional y moral.

Observaciones:

Para evitar posibles conflictos de intereses sería conveniente extender lainelegibilidad para los responsables de los archivos o bases de datospúblicos.

Es importante que en la selección de los funcionarios que tengan a su cargola Agencia se acentúe el aspecto de la capacidad y formación, de maneraque se procure atraer las personas más idóneas para proteger los derechosde los habitantes.

ARTÍCULO 24.- Organigrama

La Agencia para la Protección de Datos Personales estará compuesta almenos de los siguientes órganos:

a) El director o directora nacionalb) El subdirector o subdirectora nacional.

Puesta en línea ………………………………………………..

35

c) El registro de archivos y bases de datos.d) El departamento de inspección de archivos y bases de datos.e) El departame nto de divulgación.

Para ocupar la jefatura de cualquier departamento, se requiere poseer untítulo profesional en grado al menos de licenciatura, en una carrera relacionadacon el cargo.

ARTÍCULO 25.- Registro de archivos y bases de datos

Todo archivo, registro, base o banco de datos público y privado destinado aproporcionar informes debe inscribirse en el Registro que al efecto habilite laAgencia de Protección de Datos.

El Registro de archivos y bases de datos es el órgano de la Agencia para laProtección de Datos Personales encargado de inscribir:

a) Los archivos y las bases de datos propiedad del Estado u otrosentes públicos.b) Los archivos y las bases de datos que pertenezcan o seanadministrados por personas de Derecho Privado.c) Los protocolos de actuación a que hace referencia el artículo 13 deesta Ley.d) Cualesquiera otras informaciones que las normas de rango legal oreglamentario le impongan.

El Registro de archivos y bases de datos se encuentra sustraído de lapotestad de avocación por parte de quien ocupe la dirección nacional.

ARTÍCULO 26.- Departamento de inspección de archivos y bases dedatos.

Corresponde al Departamento de inspección de archivos y bases de datosla tramitación de las quejas y solicitudes recibidas por personas respecto del usoque esté siendo dado a sus datos personales. Actuará como órgano director deldebido proceso, pudiendo llevar a cabo las diligencias de investigación necesarias,incluida la posibilidad de exigir de los archivos y las bases de datos el suministrode la información requerida, así como la inspección in situ de tales archivos ybases de datos. Podrá asimismo adoptar las medidas cautelares necesarias parala efectiva garantía del buen uso de los datos personales.

Mediante un sistema de selección aleatoria permanente deberá controlarque los archivos y las bases de datos a que se refiere esta Ley, cumplan con lasnormas para la protección de los datos personales.

Puesta en línea ………………………………………………..

36

ARTÍCULO 27.- Departamento de divulgación

Compete al Departamento de divulgación la elaboración y ejecución de unaestrategia de comunicación dirigida a permitir que los habitantes conozcan losderechos derivados del manejo de sus datos personales, así como losmecanismos que el ordenamiento prevé para la defensa de tales prerrogativas.Deberá coordinar con los gobiernos locales, la realización periódica de lasactividades de divulgación entre los habitantes del cantón.

Le corresponde asimismo promover entre las personas y empresas querecolecten, almacenen o manipulen datos personales, la adopción de prácticas yprotocolos de actuación acordes con la protección de dicha información.

Observaciones:

La estructura interna de la Agencia debe ser objeto de un reglamento deautoorganización, el funcionamiento del organismo podría revelar lanecesidad de un cambio en la organización que se propone o bien realizarcambios en la distribución funcional que se propone. Cambios puedenlograrse más fácilmente por vía reglamentaria. Lo importante es que la leyestablezca las competencias externas de la Agencia como tal.

Puesta en línea ……………………………………………….....

Documents

Transcript of Puesta en línea ……………………………………………….....