Introducción
El uso de las Tecnologías de la Información y de la Comunicación (TIC) ha permitido que en muchas ocasiones los datos personales sean utilizados para fines distintos a los que originalmente fueron recabados, es decir, son transmitidos a otras instancias distintas de las que la persona dueña de los datos confió información, violentando su privacidad, por lo que, bajo el concepto de protección de datos personales, el titular tiene el derecho y la libertad de elegir qué desea comunicar, cuándo y a quién, manteniendo el control sobre su información personal.
Por lo anterior, nace la Ley No. 8968 Protección de la Persona frente al Tratamiento de sus Datos Personales y su Reglamento, con el fin de garantizar a cualquier persona, que los derechos fundamentales deben ser respetados.
En efecto, al hablar de privacidad y protección de datos, se entiende que es un derecho de toda persona sobre el control de aquellos datos que puedan identificarla personalmente. Sobre los datos personales, de acuerdo con el Diccionario de la lengua española (DRAE, 2010), define la ‘privacidad’ como el “Ámbito de la vida privada que se tiene derecho a proteger de cualquier intromisión” (Párrafo 2).
Por su lado, en la Guía Práctica de Protección de Datos para Ayuntamientos (Davara y Davara Asesores Jurídicos, 2006, p.71), en la sección “6.1.1. El consentimiento del titular de los datos”, menciona:
nuestra norma de protección de datos es el llamado «principio del consentimiento» (60) que lo podemos resumir diciendo que el ciudadano es el único que decide cuándo, dónde, cómo y por quién se presentan sus datos al exterior, o se dan a conocer sus datos a terceros; esto es, el afectado tiene que otorgar su consentimiento para que se pueda realizar un tratamiento de sus datos de carácter personal
En consecuencia, este artículo tiene por objetivo que toda persona conozca sobre la legislación costarricense enfocada en un tema importante: la privacidad de los datos personales, entendiendo que el consentimiento para el tratamiento de datos es un principio esencial en la normativa, de manera que cada persona es dueña de sus datos y es la única que tiene derecho a decidir quién, cómo, cuándo y para qué se tratan sus datos, como un derecho que debe ser respetado.
Aspectos generales sobre la privacidad de los datos personales
Frente al constante avance de cambios tanto sociales como tecnológicos, más personas jóvenes desean estudiar Computación e Informática; no obstante, en su mayoría son hombres quienes se inclinaban por este tipo de carreras tal y como lo señaló Teletica el 1 de marzo del 2019 bajo el tema: “Costa Rica retrocede en inclusión de mujeres a trabajos con tecnología, afirma estudio”, indicando que en el año 2000, 3 de cada 10 nuevos profesionales fueron mujeres y que para el año 2016 esa cifra bajó a 2 de cada 10; además, se menciona que, pese a que el número no es positivo, las fundaciones por ejemplo Omar Dengo, buscan disminuir la brecha y conforme pasa el tiempo ellas se van incorporando, dejando atrás el mito de que es una carrera dirigida para hombres. Este cambio provocó que ahora existan grupos mixtos, pero con un mismo objetivo, ser profesionales.
Actualmente, se observa cómo la mayoría de estudiantes en informática se esfuerzan por conocer ciertos lenguajes de programación desarrollando aplicaciones sin medir las consecuencias, sin embargo, existe quienes desconocen la normativa costarricense que podrían estar infringiendo, la cual puede conllevar a consecuencias como las citadas en los artículos del 28 al 31 sobre sanciones, faltas leves, graves, y gravísimas de la Ley No. 8968; al respecto, es bueno recordar que la Constitución Política de Costa Rica indica:
Las leyes son obligatorias y surten efectos desde el día que ellas designen; nadie puede alegar ignorancia de la ley, salvo en los casos que la misma autorice (Art. 129)
Si bien es cierto, la tecnología es muy creativa para el desarrollo de ideas,es importante que se conozca toda la legalidad correspondiente a fin de no caer en omisiones, entonces, ¿qué consecuencias existen si los límites sobrepasan la violación de datos personales?, no podemos decir que no somos conocedores de la Ley y, en razón de esto, es necesario informarse sobre la normativa jurídica.
Actualmente, las personas son expuestas con sus datos personales, por acciones inocentes, como llenar encuestas de satisfacción, supuestas rifas, las inscripciones en eventos, es decir, formas de apropiarse de datos personales sin consentimiento informado, o bien, con consentimiento informado, pero con letra muy menuda; asimismo, existen otro tipo de acciones, como compartir fotos, etiquetar personas en redes sociales sin consentimiento transmitiendo datos personales, que desembocan en problemas como espionaje informático, uso fraudulento o usurpación de identidad, en ese sentido, el Código Penal, en la Sección VIII sobre delitos informáticos y conexos, artículos 230 y 231 menciona:
“Artículo 230.- Suplantación de identidad. Será sancionado con pena de prisión de uno a tres años quien suplante la identidad de una persona física, jurídica o de una marca comercial en cualquiera red social, sitio de Internet, medio electrónico o tecnológico de información.
Artículo 231.- Espionaje informático
Se impondrá prisión de tres a seis años al que, sin autorización del titular o responsable, valiéndose de cualquier manipulación informática o tecnológica, se apodere, transmita, copie, modifique, destruya, utilice, bloquee o recicle información de valor para el tráfico económico de la industria y el comercio.” (p.1)
Ahora bien, cuando se habla propiamente de protección de datos, se hace referencia a la capacidad que tiene una empresa o persona física en determinar qué datos pueden ser compartidos por terceros. En Costa Rica existe la Agencia de Protección de Datos de los Habitantes (PRODHAB), una institución de desconcentración máxima adscrita al Ministerio de Justicia y Paz encargada de fiscalizar y regular las bases de datos de nuestro país, pudiéndose acudir a ella en caso de anomalías relacionadas con datos personales, quién actuará de oficio o a petición del interesado; en caso de que exista alguna violación al derecho de Autodeterminación Informativa, el cual está relacionado con la privacidad y con el derecho a la información, podrá imponer sanciones administrativas y/o de carácter económico. La Ley No. 8968, en el artículo 4 sobre la Autodeterminación informativa establece:
Toda persona tiene derecho a la autodeterminación informativa, la cual abarca el conjunto de principios y garantías relativas al legítimo tratamiento de sus datos personales reconocidos en esta sección. Se reconoce también la autodeterminación informativa como un derecho fundamental, con el objeto de controlar el flujo de informaciones que conciernen a cada persona, derivado del derecho a la privacidad, evitando que se propicien acciones discriminatorias.
Con lo expuesto, es relevante que la ciudadanía distinga y comprenda la diferencia entre los datos personales y los datos sensibles, en cuanto a los datos personales, por ejemplo: nombre, apellido, número de cédula, teléfono, por mencionar los más importantes, mientras que los datos sensibles son aquellos cuyo tratamiento puede provocar alguna discriminación hacia su titular, se pueden citar: datos médicos, orientación sexual y convicciones religiosas.
Metodología
Tipo de Investigación
El fin de esta investigación es analizar y reflexionar sobre la privacidad de los datos personales en Costa Rica, cuyos resultados permitan ser la base para la formulación del artículo.
Para este estudio se recurrirá a la utilización de los métodos de investigación cualitativos, y las técnicas descriptivas y explorativas, porque permiten la descripción y la evaluación de una manifestación de situaciones de la información obtenida.
La investigación descriptiva refiere e interpreta lo que es, y está relacionada con las condiciones existentes, prácticas que prevalecen, opiniones, actitudes o puntos de vista que persisten, que se sienten o tendencias que se desarrollan.
La investigación explorativa se utilizará para obtener información acerca de la posibilidad de realizar una investigación más completa sobre un contexto particular de la vida real, tal como el tema propuesto.
3.2 Unidad de análisis
La unidad de análisis con la que se trabajará serán las layes y la jurisprudencia de la Sala Constitucional debidamente relacionada para este fin.
La técnica es indispensable en el proceso de la investigación, ya que integra la estructura por medio de la cual se organiza la investigación, por lo que se recurrirá a la técnica documental porque se enfoca en elaborar un Marco Teórico-conceptual para formar un cuerpo de ideas sobre el objeto de estudio.
Ley y sentencias relacionadas con la privacidad de los datos personales
Con el fin de que la ciudadanía conozca los pronunciamientos que ha tenido la Sala Constitucional referente al tema de privacidad de datos personales, se extrajeron las sentencias más importantes y consideradas para abarcar los conceptos: privacidad y protección de datos. A continuación, se muestran algunos casos debidamente relacionados con el tema en cuestión.
La Ley y las Sentencias, el artículo 24, de la Constitución Política, garantiza el derecho a la intimidad, a la libertad y al secreto de las comunicaciones:
Son inviolables los documentos privados y las comunicaciones escritas, orales o de cualquier otro tipo de los habitantes de la República. Sin embargo, la ley, cuya aprobación y reforma requerirá los votos de dos tercios de los Diputados de la Asamblea Legislativa, fijará en qué casos podrán los Tribunales de Justicia ordenar el secuestro, registro o examen de los documentos privados, cuando sea absolutamente indispensable para esclarecer asuntos sometidos a su conocimiento. (p. 1 )
La Sala Constitucional, en la sentencia 5802-99 de las 15:36 hrs. del 27 de julio de 1999, menciona que la recolección de los datos debe darse con base en el consentimiento del sujeto o con la autorización de la ley. La normativa relacionada con la protección del derecho de la privacidad es la Ley Nº 8968 “Protección de la Persona frente al Tratamiento de sus datos Personales”, y la Ley 9048 sobre la Reforma de varios artículos y modificación de la Sección VIII, denominada Delitos Informáticos y Conexos, del Título VII del Código Penal.
La Ley 8968, en el artículo 5 señala sobre el Principio de consentimiento informado, la obligación que existe de informar, cuando son datos de carácter personal es necesario que se informe de previo a las personas titulares o representantes de modo, expreso, y sobre el otorgamiento del consentimiento, mismo que indica que quien recopile datos personales deberá tener el consentimiento expreso del titular de los datos o de su representante.
En el artículo 6 de la citada Ley, sobre el Principio de calidad de la información, hace referencia a los datos de tratamiento automatizado o manual, que son recolectados, almacenados, o empleados de carácter personal, deberán ser actuales, veraces, exactos y adecuados al fin para el que fueron recolectados, por lo que se debe garantizar dicha seguridad.
Por su lado, en el artículo 7 se garantiza el derecho de toda persona sobre los datos personales, la rectificación o supresión de estos, y a consentir si los cede con terceros o no, y el responsable de la base de datos debe cumplir lo solicitado, gratuitamente.
En relación con el artículo 9 de las Categorías particulares de los datos, se establece que:
Ninguna persona está obligada a facilitar datos sensibles.
Datos personales de acceso restringido, aunque formen parte de registros de acceso al público, son de interés solo para su titular o para la Administración Pública.
Datos personales de acceso irrestricto, son los incluidos en bases de datos públicas de acceso general, no se consideran: la dirección exacta de la residencia, excepto si su uso es producto de un mandato, citación o notificación administrativa o judicial, o bien, de una operación bancaria o financiera, la fotografía, los números de teléfono privados y otros.
Datos referentes al comportamiento crediticio, se regulan por el Sistema Financiero Nacional.
En lo que se refiere al artículo 11, sobre el deber de confidencialidad, indica que quienes intervienen en el tratamiento de los datos personales están obligados al secreto profesional.
La Ley 9048, de los delitos informáticos en el artículo 196, sobre la violación de correspondencia o comunicaciones, es clara al decir que:
“Será reprimido con pena de prisión de uno a tres años a quien, con peligro o daño para la intimidad o privacidad de otro, y sin su autorización, se apodere, acceda, modifique, altere, suprima, intervenga, intercepte, abra, entregue, venda, remita o desvíe de su destino documentación o comunicaciones dirigidas a otra persona” (p.1)
Asimismo, en el artículo 196 bis de la violación de datos personales, señala que:
“Será sancionado con pena de prisión de uno a tres años quien en beneficio propio o de un tercero, con peligro o daño para la intimidad o privacidad y sin la autorización del titular de los datos, se apodere, modifique, interfiera, acceda, copie, transmita, publique, difunda, recopile, inutilice, intercepte, retenga, venda, compre, desvíe, para un fin diferente al que fueron recolectados o dé un tratamiento no autorizado a las imágenes o datos de una persona física o jurídica […]” (p.1)
4.1 Sentencias relacionadas con la privacidad de los datos personales
Cuando se habla de ‘sentencias’, el Diccionario de la Real Academia Española (DRAE, 2010), las define como: “Declaración del juicio y resolución del juez” (p. 3), por lo que le corresponderá al juez decidir sobre las obligaciones y los derechos de cada de una de las partes, donde se hace un análisis de manera cronológica sobre el proceso, se estudian las áreas afectadas y las acciones que deberán llevarse a cabo a partir de la declaración de la sentencia; al respecto, la Ley No. N° 7135 menciona:
“Artículo 5. La Sala Constitucional regulará la forma de recibir y tramitar los recursos de hábeas corpus y de amparo […]
Artículo 11. A la Sala en pleno le corresponde dictar las sentencias y los autos con carácter de tales, que deberán ser motivados. […] Artículo 56. La ejecución de las sentencias corresponde a la Sala Constitucional […]” (p.1)
Por consiguiente, es importante que, en casos de vulnerar la intimidad o considerar que se presentan anomalías en el tratamiento de los datos personales, se interponga la respectiva denuncia ante la Agencia de Protección de Datos de los Habitantes (PRODHAB), el organismo fiscalizador y regulador de las bases de datos existentes en Costa Rica; dicha institución realizará las verificaciones ya sea de oficio o a petición de la persona interesada, y de existir violación al derecho de Autodeterminación Informativa podrá imponer sanciones administrativas y de carácter económico.
Seguidamente, y a modo de ejemplo, se presentan sentencias declaradas con lugar y sin lugar, y las declaraciones con y sin lugar dictadas por el juez.
Sentencias declaradas con lugar
Sentencia 2018-013791, sobre acoso telefónico, ordenándole a la demandada abstenerse de realizar llamadas y enviar mensajes de texto o voz a la amparada con el interés de realizar el cobro de deudas con las que no tiene relación alguna.
Sentencia 2015-007357, acerca del correo electrónico y de los documentos electrónicos almacenados en la computadora de un funcionario, los cuales son considerados privados.
Sentencia 2015-005320, relacionada con la violación del derecho a la intimidad, se acusó al centro educativo donde la persona labora por abrir un telegrama personal sin el debido consentimiento.
Sentencia 2015-004349, en relación con las llamadas y mensajes de texto sin autorización por el cobro de una deuda que no le pertenece.
4.1.2 Sentencias declaradas sin lugar
Sentencia 2017-004802, sobre violación al derecho de la intimidad por publicar fotografías en Facebook de una persona sin su consentimiento.
Conclusiones
La ciudadanía costarricense tiene el derecho fundamental a la protección de los datos personales, al poder atribuir a cada persona titular de los datos tener el control de su información, disponer y decidir al respecto. De hecho, la protección de dichos datos se encuentra resguardada constitucionalmente, las respectivas normas brindan transparencia al tratamiento de los datos asegurándose, además, de que los datos sean correctos y utilizados de una manera adecuada.
Las normativas citadas tienen por objetivo garantizar la protección de la información que poseen las personas ante organizaciones y entidades que tratan datos sobre las personas, porque buscan una protección efectiva en sus derechos. Es importante, entonces, que las empresas tomen conciencia de este cambio normativo, respeten a las personas usuarias y establezcan, de manera oportuna, los protocolos, las políticas y los controles idóneos para mitigar los riesgos legales asociados con el mal uso, pérdida o posibles filtraciones de la información. Es bueno, también, asumir la responsabilidad de imponer las medidas para reportar, informar y mantener debidamente resguardados los datos, asegurando que se cumpla con los principios que establece la Ley Nº 8968 sobre:“Protección de la persona frente al tratamiento de sus datos personales”.
Si bien es cierto, tenemos leyes que nos respaldan si alguien utiliza incorrectamente nuestros datos, también debemos cuidarnos con la información que compartimos y a quién se la estamos entregando, de manera que es bueno tomar medidas para no verse expuestos:
Toda persona titular de los datos personales podrá abstenerse de suministrar datos sensibles, tales como los relacionados con su origen racial, convicciones religiosas, filiación política, pertenencia a grupos sindicales, preferencias sexuales, estado de salud, entre otros.
No almacene ni trate datos de carácter personal en algún equipo informático que no le pertenece, debido al alto riesgo de pérdida de datos y de accesos no autorizados.
No exponga fotos en redes sociales o lugares públicos que no desea que otras personas vean.
No brinde información por teléfono, si no está seguro que la fuente es fidedigna.
Desconfíe de cualquiera que pida información confidencial o sensible.
No proporcione a desconocidos la dirección de correo, de lo contrario podría verse afectado si empieza a recibir Spam o correo basura.