Una comisión de abogados expertos en derecho informático y constitucional del Colegio de Abogados concluyó en un informe sobre el caso de la Unidad Presidencial de Análisis de Datos (UPAD) que la transferencia de datos personales entre instituciones, ya sean datos sensibles o de acceso restringido, requieren de un consentimiento o autorización previa de la persona.
La Comisión de Especialistas del Colegio de Abogados y Abogadas presentó esta mañana su informe a la Defensora Adjunta de los Habitantes, Tatiana Mora. Los abogados no se refirieron a la parte penal ni al delito de violación de datos personales, sino que analizaron el decreto derogado que creaba la UPAD, ante lo que estipula la Ley de Protección de Datos (8968) y la Constitución Política.
La Comisión también afirmó que la Agencia de Protección de Datos de los Habitantes (Prodhab) no cuenta con total independencia para realizar su labor y que podría haber incumplido sus funciones.
El abogado Adalid Medrano, integrante de dicha comisión, señaló que una de las conclusiones fue que “se prohíbe la transferencia de datos entre dos instituciones sin autorización de la persona”.
De acuerdo con la investigación expuesta por el Colegio, “los datos confidenciales o secretos pueden ser de tipo sensible o de acceso restringido”. “Los datos personales”, continúa el documento, “pertenecen a la persona, que es la titular y propietaria de esos datos, no el Estado, ni un Ministerio, oficina, ni ningún organismo o institución pública o privada”. Los datos de acceso restringido o confidencial, también contemplados en esta categoría son, entre otros, la dirección exacta de la residencia, la fotografía, los números de teléfono privados y otros de igual naturaleza, cuyo tratamiento pueda afectar los intereses de la persona titular”.
“En caso de que la UPAD haya obtenido datos personales, los principios de la autodeterminación informativa prohíben la recopilación o transferencia de datos de manera ilícita o fraudulenta, así como el acopio de datos sin el consentimiento informado de la persona”, se lee en el informe.
“Cada entidad es responsable de sus bases de datos, las cuales deben estar adecuadas a un fin y la transferencia de datos personales; entre ellas deben contar con el consentimiento del titular o por una disposición legal que les permita realizar dicha transferencia”, añade.
Cuestionamientos a la Prodhab
Una de las recomendaciones que hace el Colegio de Abogados a la Defensoría es que investigue a la Prodhab porque este órgano podría no contar con la suficiente independencia y podría haber incumplido sus funciones, explicó Medrano.
En materia de recomendaciones de reformas a la Constitución Política y leyes, el informe recomendó “analizar la posibilidad de trasladar la Prodhab fuera del Poder Ejecutivo”. A manera de urgencia recomienda al Colegio “proponer a la Asamblea Legislativa un proyecto de ley que garantice la independencia de la Prodhab para poder fiscalizar las infracciones a normativas de datos personales por parte del gobierno, tal y como en el caso UPAD”.
Al ser consultada al respecto por UNIVERSIDAD, la Defensora Adjunta dijo que una de las conclusiones del informe técnico legal de la Defensoría de los Habitantes sobre la UPAD se refiere al rol que desempeñó la Prodhab, de que no habían actuado en ese mismo marco de competencias legalmente establecidas y que incluso se ha contemplado la posibilidad de establecerle medidas cautelares.
Mora dijo que aún no quería pronunciarse por completo sobre el informe del Colegio de Abogados; pero que sí habían valorado el tema de la independencia y que analizarían el tema de la Prodhab más en detalle.
Plataformas ubicadas en el extranjero
Durante la conferencia de prensa Medrano apuntó como conclusión que al albergar datos personales en plataformas tecnológicas ubicadas en el extranjero podrían estarse usando vías no seguras para subir datos personales y estadísticos, lo cual pone la información de las personas en riesgo.
Los abogados recordaron que el Gobierno creó una cuenta en el sitio privado Tableau Public y donde al menos un servidor que aloja el contenido se encuentra en Massachusets, Estados Unidos. En la política de datos de dicho servicio se lee: “No debe publicar datos confidenciales que no quiera divulgar, como el plan de ventas de una empresa o su información financiera personal. Una vez publicados esos datos ya no serán privados”.
A la Comisión le preocupa “que este sitio web haya sido alimentado con datos personales de los ciudadanos y no solamente con datos estadísticos públicos que no tienen restricción alguna. Sin embargo, de haberse subido los datos personales en un servidor privado que está en el extranjero, sin autorización del titular y por vías que no aseguran su privacidad, se habría cometido una falta gravísima, de acuerdo con el artículo 31, inciso f) y una falta leve de acuerdo al artículo 29, inciso b) de la ley (Ley 8968)”.
Puede leer el informe completo del Colegio de Abogados aquí:
https://pub.flowpaper.com/docs/http://v1.abogados.or.cr/informeUPAD.pdf
