En 2011, la Asamblea Legislativa aprobó la Ley para la Protección de la Persona frente al tratamiento de sus datos personales, y su reglamento. Este último fue objeto de una reforma en 2016 para precisar el ámbito de aplicación de la norma en aspectos que inicialmente generaron duda.
Ahora la Ley 8968 se queda corta, debido a los cambios que se han presenciado desde su aprobación, y las actuales iniciativas de ley en el mundo toman de referencia instrumentos como el Reglamento General de Protección de Datos de la Unión Europea (RGPD).
Además, en el país la discusión alrededor de la protección de datos personales ha cobrado relevancia. Lo anterior por la cuestionada Unidad Presidencial de Análisis de Datos (UPAD), cuya función era emplear inteligencia de datos para política pública, incluso mediante acceso a información confidencial. El decreto fue derogado tras la ola de críticas y la investigación se encuentra en curso.
En 2021, diputados del partido oficialista presentaron la iniciativa legislativa Reforma Integral a la Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales. ¿Qué propone esta reforma?
Novedades del proyecto de ley
1. La Agencia de Protección de Datos (Prodhab) se encarga de velar por el cumplimiento de la normativa sobre protección de datos, imponer sanciones, llevar el registro de las bases reguladas por ley. La iniciativa mantiene dichas atribuciones pero habilita la venta de servicios a entidades públicas y privadas, ingresos que llegarían a complementar su presupuesto.
2. El ámbito de aplicación es extraterritorial, es decir, cuando los datos personales se hayan recopilado en Costa Rica aunque su tratamiento tenga lugar en el exterior. También aplica para el tratamiento de datos (de residentes en Costa Rica) por parte de responsables no establecidos en el país.
3. Se incorpora una sección sobre transferencias transfronterizas de datos. Mediante un proceso de adecuación la Prodhab deberá evaluar si el país o la organización internacional receptora puede garantizar un nivel adecuado de protección. Sin autorización de la Prodhab, el responsable del tratamiento de datos podrá realizar la transferencia si hubiera ofrecido las garantías a los usuarios, a través de instrumentos jurídicamente vinculantes o convenios empresariales que expresen los derechos y obligaciones de la ley.
4. La iniciativa elimina ciertas excepciones a la autodeterminación informativa establecidas en la ley vigente, pero las traslada a las excepciones al consentimiento informado. Figuran conceptos difusos como “interés público” o excepción al consentimiento para bases de datos con fines estadísticos, históricos o de investigación científica, los cuales podrían definirse con mayor precisión para evitar amplias interpretaciones.
5. La propuesta establece como edad mínima 15 años para brindar consentimiento informado sobre el tratamiento de datos en servicios digitales. En menores de 15 años solo se considera lícito el tratamiento si el consentimiento lo autorizó el responsable legal.
6. El proyecto amplía las excepciones a la prohibición del tratamiento de datos sensibles (ejemplo, datos biométricos). Por tanto, deja fuera de regulación tratamientos específicos del ámbito de la salud, asistencia social, entre otros que emplean datos sensibles.
7. Mantiene la inscripción de bases de datos ante la Prodhab sujeta a un canon anual cuyo monto es de $300 ($200 actualmente). Pese a que la práctica de inscribir bases de datos sí está extendida en países de la región, el pago de un canon no. Adicionalmente, se incrementan las multas y se incorporan criterios para determinar el tipo y su cuantía.
Conclusiones
Finalmente, la iniciativa de ley toma en consideración recomendaciones de organizaciones de sociedad civil para la creación de un marco para la protección de datos. La exposición de motivos explica la necesidad de actualizar el marco normativo de acuerdo con los estándares internacionales, por tanto, el proyecto se perfila como un primer paso que podría admitir mejoras para una mayor seguridad jurídica.
