El Comité Económico de Política Digital de la Organización para el Desarrollo Económico (OCDE) ha señalado como una debilidad de nuestro país el régimen de protección de datos personales, específicamente en lo que se refiere al tratamiento de datos por parte del Estado y la coordinación entre los distintos organismos involucrados. Estas falencias se pusieron de manifiesto en el caso de la Unidad Presidencial de Análisis de Datos (UPAD) e instalaron en la sociedad la discusión sobre la necesidad de reformar la Ley Nº 8968 de Protección de la persona frente al tratamiento de sus datos personales.
En los últimos dos años se han generado diversos proyectos que en mayor o menor medida se apegan al Reglamento General de Protección de Datos de la Unión Europea (RGPD). Sin embargo, ninguno de ellos menciona uno de los objetivos centrales de esta regulación que es garantizar el libre flujo de datos personales, reconocido en el artículo 1 del RGPD que indica: “La libre circulación de los datos personales en la Unión no podrá ser restringida ni prohibida por motivos relacionados con la protección de las personas físicas en lo que respecta al tratamiento de datos personales”.
La importancia de balancear estos objetivos desde la misma política legislativa radica en la propia economía de nuestro país. Tal como el Ministerio de Comercio Exterior señala: “Los servicios empresariales y los de informática, información y telecomunicaciones han crecido de manera robusta en los últimos años −por encima del crecimiento del sector−, con lo cual su participación dentro de las exportaciones ha variado considerablemente. En el periodo 2012-2019 el peso de estos sectores, en conjunto, pasó de 39% a 49%…”. ¿Qué tienen en común estos sectores que generan casi la mitad de las exportaciones del país? Todos se basan en el libre flujo de datos.
En ese contexto, la Cámara de Tecnologías de la Información y Comunicación (CAMTIC) promueve una cultura de protección de datos que permita el libre flujo de estos y fomenta la responsabilidad de las organizaciones en el tratamiento de datos, para que el mismo sea respetuoso de los principios de tratamiento reconocidos, entre otros, en el Convenio 108+.
Teniendo en cuenta el actual estado de la regulación de protección de datos de Costa Rica, CAMTIC describe cinco componentes claves que cualquier esfuerzo legislativo debería contemplar, si se quieren alcanzar por igual las metas de protección de datos y libre flujo de los mismos:
Inclusión del tratamiento de datos personales por parte del gobierno dentro del régimen general: la legislación sobre protección de datos debe abarcar tanto el sector privado como el sector público, estableciendo mecanismos de control y sanciones similares para ambos. El gobierno debe tener el mismo nivel de obligaciones o aún mayor –dependiendo de la naturaleza y propósito de uso – que el sector privado.
La falta de coordinación en la compra de tecnologías y la inexistencia de protocolos de transferencia de datos entre instituciones ponen en gran peligro la seguridad de los datos y reducen los beneficios que puede obtenerse mediante el análisis de los mismos.
Fomento de la libre circulación de los datos: estableciendo los mecanismos necesarios para que los derechos del titular de los datos se respeten y la transferencia de los datos sea segura, sin que esto obstaculice el flujo de los datos o atente contra la innovación empresarial y la cooperación entre países o con organismos internacionales.
Distinción de obligaciones específicas y distintas según el rol de la organización: el diferente tratamiento en cuanto a las obligaciones, consecuencias y sanciones entre encargado de tratamiento y responsable de tratamiento, es crucial, tal como lo hacen estándares internacionales, incluyendo el GDPR y la norma ISO 27701.
Ampliación de los causales de la base legítima de tratamiento: el consentimiento no puede ser la única base para el tratamiento de datos y deben establecerse otros mecanismos para que puedan utilizarse los datos, incluyendo intereses legítimos –como la ciberseguridad y detección de fraude- la ejecución de un contrato, relaciones laborales o el interés público.
Promoción de una cultura de ciberseguridad y aplicación del principio de responsabilidad: tanto el estado como la empresa privada deben adoptar las medidas necesarias para que la información del usuario esté segura y corresponde a las autoridades brindar las herramientas necesarias y crear el marco regulatorio para que los responsables de tratamiento de datos cumplan sus obligaciones y documenten sus actividades de procesamiento. La función de sanción debe ser secundaria a la función de educación y fomento de la responsabilidad en el tratamiento de datos personales.
Por último y mientras se discuten las normas, CAMTIC considera que las empresas y los organismos estatales que tratan datos personales es garantizar de modo proactivo la seguridad de los datos personales, adoptando, aunque no sea obligatorio, mejores prácticas como la Privacidad desde el diseño y por defecto los Estudios de Impacto sobre la Privacidad y la obligatoriedad de tener un Oficial de Protección de datos, con el objeto de reducir los riesgos asociados con el tratamiento de datos personales y dar transparencia a las operaciones.
Costa Rica tiene el potencial necesario para desarrollar una normativa y un sistema efectivo de protección de datos, basado por igual en el respeto a los derechos humanos y la libre circulación de la información. Sirvan los principios antes mencionados como primer aporte para una discusión sana.
*Máster en leyes. Directora de Propiedad Intelectual y Tecnología en Dentons Muñoz.
Los contenidos publicados expresan la opinión del autor y autora, y no necesariamente la visión de la Fundación Konrad Adenauer.
Síguenos en nuestras
Redes Sociales.
© PolítiKAS en Línea v.2022
