c) Domicilio para efectos de
notificación.
d) Traducción o resumen en español si
la petición se presenta en lengua
extranjera"[84].
En ese sentidos es esencial que se tomen las medidas
previsoras, para la notificación en donde además,
dichas peticiones se presenten en forma directa ante el
órgano o entidad correspondiente o podrán
presentarlas en forma personal o por medio del correo
electrónico, fax, etc. Si bien es cierto, se contempla
dentro de proyecto que las peticionantes dispondrán de
cinco días naturales para formalizar sus pedidos conforme
a lo dispuesto en el proyecto de ley, no se toman las medidas
previsoras para que en caso de que sea violatorio al derecho
mismo, se tome como urgente y se solvente en forma inmediata a
través de un comunicado, o dictamen hasta tanto no se
emita la resolución en el límite de tiempo
establecido tales efectos.
De toda petición presentada las oficinas
correspondientes deberán emitir la nota de recibido con
indicación de la fecha, hora, funcionario receptor y
día de entrega de la respuesta correspondiente. En todo
caso, no podrá calificarse de inadmisible una
petición por la falta de uno o varios de los requisitos
señalados al momento de la presentación de la
misma. En tal situación se concederá hasta tres
días hábiles a las o los peticionantes para que
completen la información. En todo caso, podrán
exigir la confidencialidad de sus datos personales, ello si
así lo estipule el accionante, con la finalidad de no
violentar su derecho, máxime que se esta ante el
planteamiento de un proyecto de ley que lo que busca tutelar es
justo parte de sus derechos, siempre que estos sean de
interés solamente para el accionante y no sea de
interés publico, ello por lo que se indicó
anteriormente en lo referente a la publicidad de la
información, lo cual deberá ser calificado por el
ente contralor y así deberá hacerlo saber al
momento de recibir la documentación, con la finalidad de
que no se genere conflicto de intereses.
Si bien es cierto, en el numeral 10 del presente
proyecto, es deber de responsabilidad de los sujetos obligados,
en este caso los Poderes del Estado y demás órganos
o entidades señalados en el artículo 2 del proyecto
Ley, a las cuales vayan dirigidas las peticiones, estarán
obligados a dar respuesta a las cuestiones objeto de la
petición, en un plazo no superior a diez días
hábiles contados a partir del día siguiente de la
recepción de la petición. Siendo que, dentro del
mismo plazo deberán informar al interesado o interesada
sobre el trámite que corresponda a su petición. De
igual forma, si resulta extensa o compleja la solicitud por parte
del accionante, se deberá indicar el plazo dentro del cual
obtendrá la información o bien indicar a
cuál otra autoridad debe dirigirla en razón de
competencia por la materia. Igualmente, podrá declarar su
inadmisibilidad en forma razonada.
En este sentido, también se considera dentro del
presente trabajo de investigación que al existir un ente
por parte del estado que se denomina Comisión Nacional
Política Informática, la cual esta adscrita al
Ministerio de Ciencia y Tecnología, sean en este caso que
el recurrente o accionante presente su petición ante el
ente, pues se considera que es quien debería llevar un
control de todas las bases de datos tanto de los entes
públicos como privados. En todo caso se debería
brindar audiencia a al accionante. A fin de que los Poderes del
Estado y los órganos o entidades del resto de la
Administración Pública, a quienes se dirija la
petición, podrán convocar a los interesados en
audiencia especial, de considerarlo necesario, para responder a
su petición, y en caso de empresas privadas, se tomen las
medidas respectivas en forma inmediata a fin de que brinden la
explicación respectiva sobre la petición de
modificación o eliminación de los datos, que el
accionante y el ente consideren violenta el derecho de
autodeterminación informativa, ello como una forma de
prevención y no al momento de que se violente el derecho,
que se pretende tutelar en el proyecto en estudio.
Un aspecto importante a recalcar es lo estipulado en el
numeral 15 del proyecto de ley, en cuanto al plazo para brindar
una respuesta a la petición del accionante, en cuyo caso
si no se responde dentro del tiempo establecido o si la respuesta
a la requisitoria hubiere sido ambigua o parcial, sin
justificación de su inexactitud o parcialidad como del
posible plazo para la entrega de la información restante,
se considera Silencio, denegatoria, por lo tanto se habilita la
vía jurisdiccional de acción de amparo ante la Sala
Constitucional según lo señala el artículo
32 de la Ley Orgánica de la Jurisdicción
Constitucional [85]
Tal y como se indicó anteriormente, el derecho de
acceso a la información de interés público,
se mantiene presente el principio de publicidad de los actos
resultantes del ejercicio de la función pública,
toda persona tiene el derecho a solicitar y recibir
información de acceso público en forma completa,
veraz, adecuada y oportuna de parte de cualquier entidad u
órgano público sujeto a esta Ley, en ese sentido,
las sesiones de los órganos y entes de la
Administración sujetos a esta Ley son públicas y
solo podrán ser declaradas privadas, de modo excepcional,
cuando así el órganos contralor así lo
disponga, siempre y cuando se tutele el derecho individual y no
violente el principio de publicidad, de igual forma se tiene que
tomar en cuenta que cuando se vayan a tratar asuntos que versen
sobre información de acceso restringido, según lo
disponen los artículo 34 y siguientes del proyecto de Ley
en estudio. En todo caso, esta resolución debe ser
motivada en los términos establecidos por el
artículo 37 del proyecto de Ley.
Dentro del marco del proyecto de ley, en su
artículo 21 se establece en lo referente a la entrega de
información que: "Los órganos y entidades
requeridos deberán establecer un mecanismo claro y simple
de constancia de la entrega efectiva de la información al
solicitante. La información podrá entregarse por
medio de correo electrónico cuando el solicitante disponga
de tal facilidad y cuando así lo haya indicado, o cuando
la solicitud hubiere sido presentada por esa vía. En caso
de que la información solicitada por la persona ya se
encuentre disponible al público en medios impresos, tales
como libros, compendios, archivos públicos de la
Administración, así como también en formatos
electrónicos disponibles en Internet o en cualquier otro
medio, se le hará saber al solicitante la fuente, el lugar
y la forma en que puede tener acceso a la información
previamente publicada" [86]
Sin embargo, se considera que dentro del marco de
aprobación del proyecto se deben de dictar los mecanismos
claros por parte del ente encargado de velar de que se brinde la
información, no dejando de lado que si se estipula la
forma de entrega de la información, se velaría para
que la misma se de de forma mucho más expedita, no dejando
portillos abiertos para que se realice un trámite
burocrático que es muy propio de las instituciones
estatales en cuanto al resguardo de la información, de
forma tal que al ser el órgano contralor quien
velará de antemano que información es considerada
de interés público o privado, desde el momento en
que el accionante realice la solicitud.
Al realizar el presente análisis del proyecto de
ley en su numeral 27 y siguientes se detalla que es el tipo de
información, sea esta de carácter público o
privado, siendo que se clasifica como información
pública, de publicación obligatoria, confidencial y
de acceso restringido.
"Se considera información de interés
público, y por lo tanto objeto de ser solicitada por
cualquier persona al amparo de esta Ley, aquella referente a
leyes, decretos, ordenanzas, resoluciones, reglamentaciones,
proyectos, contratos, planes operativos institucionales,
presupuestos, ejecuciones presupuestarias, balances
patrimoniales, cuadros de resultados, actas de reuniones,
dictámenes, análisis y datos estadísticos,
informes, reportes y cualquier documento o información que
se halle registrada, archivada o bajo control del órgano,
entidad o sujeto requerido, independientemente de su soporte
material, sea escrito, magnético u otro. El órgano
requerido no tiene obligación de crear o producir
información con la que no cuente al momento de efectuarse
el pedido. Igualmente, la documentación producida en el
ámbito de la Administración Pública central,
en las instituciones descentralizadas y en los Poderes de la
República, y que se detalla a continuación,
tendrá el carácter de información
pública y será de libre acceso para cualquier
entidad o persona interesada en conocerla:
a) Las grabaciones y actas de
sesiones del Directorio Legislativo
b) Las grabaciones y actas del
Plenario legislativo y de las comisiones de la Asamblea
Legislativa.
c) Las grabaciones y actas del
Consejo de Gobierno.
d) Las grabaciones y actas de las
sesiones de Corte Plena.
e) Las grabaciones y actas del
Tribunal Supremo de Elecciones.
f) Las grabaciones y actas de las
sesiones de los concejos municipales.
g) Las actas de juntas directivas y
demás órganos colegiados con capacidad de
decisión administrativa pertenecientes a la
Administración Pública.
h) Estados de ejecución de
los presupuestos de gastos y del cálculo de recursos,
hasta el último nivel de desagregación en que se
procesen.
i) Órdenes de compra, todo
tipo de contratos firmados por autoridad competente, así
como las rendiciones de fondos anticipados, incluyendo
información relativa a obras públicas, y servicios
contratados con el detalle de todas sus características y
normativa legal aplicable.
j) Órdenes de pago ingresadas
a la Tesorería Nacional y al resto de las
tesorerías de la Administración
Nacional.
k) Pagos realizados por la
Tesorería Nacional.
l) Gasto total de planillas por pago
a personal permanente, interino o bajo regímenes
especiales, incluido el personal de los proyectos financiados por
organismos multilaterales.
m) Viáticos y gastos de
representación, costos de viajes y otros rubros similares,
otorgados a funcionarios de cualquier nivel como a particulares
en el desempeño de funciones
públicas.
n) Listado de beneficiarios de
jubilaciones, pensiones y retiros; de indemnizaciones y
compensaciones cubiertas con fondos públicos; de programas
de becas; de cualquier tipo de subsidio estatal; de bonos de
vivienda y de ayudas o beneficios sociales.
o) Estado de situación,
perfil de vencimientos y costo de la deuda pública del
ente u órgano respectivo, así como de los avales y
garantías emitidas, y de los compromisos de ejercicios
futuros contraídos.
p) Inventarios de bienes inmuebles,
muebles y de inversiones financieras.
q) Normas de regulación y
control fijados por los entes reguladores.
r) Toda otra información
calificada como pública por esta u otras leyes.
[87]
En este sentido, se debe de tener algo de cuidado, por
parte del ente estatal, pues en muchas de las instituciones, como
por ejemplo algunos aspectos a tratar pueden ser que toquen el
tema el ámbito privado, por lo tanto si se trata del
principio de publicidad, puede darse que al generarse
algún documento que por tratarse de asuntos relevantes a
discusión de algún caso particular, puede verse
violentado el derecho de Autodeterminación informativa. En
ese sentido se considera indispensable que el ente contralor
verifique que no se violente el interés individual de
algún ciudadano, máxime que es lo que se pretende
tutelar con el presente proyecto.
Dado lo anterior, y como se analizo en el trabajo a
través de las diferentes resoluciones evaluadas en la
investigación, se tiene que tanto instituciones estatales
como empresas privadas manejan información desactualizada,
lo cual ha venido en detrimento o perjuicio de las personas que
ven afectado su derecho a la Autodeterminación
informativa, el numeral 30 del proyecto tutela que:
"En atención al principio de publicidad, los
sujetos, entes y órganos señalados en el
artículo 2 del proyecto de Ley deberán tener
disponible en forma impresa o en sus respectivos sitios de
Internet, información actualizada cada semestre respecto
de los temas, documentos y políticas que a
continuación se detallan:
a) La normativa jurídica
actualizada que rige la entidad u órgano.
b) Las políticas generales de
la entidad u órgano, que formen parte de su plan
estratégico.
c) Los manuales de procedimientos
internos
d) La descripción de la
estructura organizativa y de las facultades administrativas de
cada unidad que le compone
e) El directorio de servidores
públicos, desde el nivel de jefe de departamento o sus
equivalentes
f) La descripción de los
formularios y reglas de procedimiento para obtener
información de la institución y el sitio o medio
por el cual pueden ser obtenidos
g) Las memorias o informes que deben
por disposición constitucional o legal rendir
anualmente
h) Los planes operativos anuales que
fundamentan los presupuestos institucionales de la
Administración Pública, según la Ley de
Administración Financiera de la República y
Presupuestos Públicos, Ley Nº 8131.
i) Toda aquella información
relativa a los montos y las personas a quienes entreguen, por
cualquier motivo, recursos públicos, así como los
informes que dichas personas les entreguen sobre el uso y destino
de dichos recursos".
En ese sentido, se viene a regular mediante dicha
disposición un problema que ha venido afectando a los
usuarios, sobre todo en la parte crediticia o en asuntos
relacionados con informes de diferentes entes estatales que se
verán en la obligación de mantener mucho más
actualizadas sus bases de datos a fin de no causar un perjuicio
al ciudadano, del cual manejan información. Cuando un
documento contenga, en forma parcial, información cuyo
acceso esté limitado por contener información de
carácter personal, confidencial o restringida, se
deberá suministrar el resto que sea disponible, de esta
forma no se violenta el principio de publicidad tutelado en
nuestro ordenamiento jurídico. Del mismo modo, cuando una
sesión se declare privada en razón de los asuntos a
tratar, la parte de la sesión destinada a conocer de otros
asuntos mantendrá su carácter
público.
Se tiene que nuestra Constitución Política
en su numeral 24, tutela la información relativa al
ámbito de la intimidad de las personas se considera
información confidencial y goza de la protección,
por lo tanto si bien es cierto se estipula dicha
protección no es muy clara en lo que respecta al
ámbito de la intimidad, por lo tanto la regulación
en este sentido, deberá brindarse tal y como la misma Sala
Constitucional a través de sus múltiples
resoluciones, por lo tanto se debe de ser mucho más amplio
en este sentido, tomando en cuenta que se esta ante una sociedad
moderna y que debe de tomarse en cuenta que se esta ante una
sociedad informatizada, por lo tanto la variante en este sentido
debería ser mucho más explicita en el proyecto de
ley.
Dentro del marco legal del proyecto se tiene que en el
numeral 2 cuando los particulares suministren a los
órganos y entes públicos información que
consideren confidencial deberán señalarlo
expresamente en su solicitud. Lo anterior, con la finalidad de
buscar la protección de la información
confidencial.
De igual forma, en el caso de que una solicitud de
acceso incluya información confidencial, los sujetos
obligados la comunicarán siempre y cuando medie el
consentimiento expreso del titular de la información
confidencial, en ese sentido, los órganos y entes
señalados en el artículo 2 del proyecto de Ley son
responsables de mantener la confidencialidad de los datos
personales a que accedan en el ejercicio de su función, y
en relación con éstos deberán:
a) Adoptar los procedimientos
adecuados para recibir y responder las solicitudes de acceso y
corrección de datos personales, así como capacitar
a sus funcionarios para proteger la confidencialidad de los
mismos.
b) Solicitar, almacenar y tratar
datos personales sólo cuando éstos resulten
adecuados, pertinentes y estrictamente necesarios en
relación con los propósitos para los cuales se
obtengan.
c) Procurar que los datos personales
sean exactos y actualizados.
d) Sustituir, rectificar o completar
de oficio los datos personales que fueren inexactos o
incompletos, ya sea total o parcialmente, en el momento en que
tengan conocimiento de esta situación.
e) Adoptar las medidas necesarias
que garanticen la seguridad de los datos personales y eviten su
adulteración, pérdida, transmisión y acceso
no autorizado. [88]
Si bien toma como base en este enunciado lo referente a
la actualización de los datos, el uso y corrección
de los mismos, se deja por fuera a las llamadas empresas
protectoras de crédito que manejan un volumen de
información confidencial que de los ciudadanos y al no
tomarse en cuenta sigue sin solucionar el problema de la
vulnerabilidad del derecho a tutelar, claro esta que muchas de
las informaciones son tomadas de este tipo de bases de datos, con
las cuales se lucra, sin embargo no se cuenta con la debida
tutela respectiva en ese sentido, por lo que genera una gran
interrogante de cómo viene a darse para el sector
público y no es tomado para que no se vea afectado en las
empresas privadas que se alimentan de este tipo de bases de datos
y que de alguna forma obtienen información y que no la
actualizan con regularidad tal y como se pretende establecer en
las entidades estatales.
Como parte del proyecto dentro de un derecho tutelado en
nuestra Constitución se tiene que la Legitimación,
es importante para poder accionar, es por ello que, toda persona
estará legitimada para promover el recurso de
Hábeas Data, con el objeto de garantizar la privacidad de
la información de carácter personal en poder del
Estado y sus instituciones, así como el acceso a ella
cuando la persona interesada lo solicite. Este recurso
procederá cuando el funcionario público responsable
del manejo y custodia de la información personal no haya
protegido su privacidad o se negare a suministrarla, o la
suministre de modo insuficiente o inexacto, siendo que de acuerdo
a su competencia para su conocimiento y trámite, dicho
recurso es competencia de la Sala Constitucional de la Corte
Suprema de Justicia y se tramitará mediante procedimiento
sumario, sin formalidades, sin necesidad de abogado y en lo que
respecta a la sustanciación, impedimentos, notificaciones
y demás procedimientos, se aplicarán las normas que
para estas materias se regulan en el ejercicio del recurso de
Hábeas Corpus establecido en la Ley de la
Jurisdicción Constitucional, Ley Nº 7135, de 11 de
octubre de 1989, por lo tanto los aspectos procesales para tales
efectos deberá siempre ser conocido a través del
proceso en caso de que no se obtenga una respuesta favorable por
parte del accionante.
Dentro del marco del texto del proyecto de Ley,
según el numeral 46 y siguientes, se plantea la
creación del Centro Nacional de Información
Pública, también denominado "CENIP", como
órgano de desconcentración máxima
perteneciente a la Defensoría de los Habitantes de la
República, cuyas funciones, atribuciones y objetivo
competencial establece que deberá:
"a) Constituirse en receptor, compilador,
actualizador y reproductor de toda la información
pública que le sea suministrada en los términos que
establece la presente Ley.
b) Conformarse en canal de acceso efectivo para los
solicitantes, sean personas físicas, jurídicas o
entidades, a la información
pública.
El Centro Nacional de Información
Pública tendrá las siguientes
funciones:
a) Recopilar la información
pública y de publicación obligatoria, conforme a
los términos de esta Ley.
b) Publicar o reproducir por
cualquier medio la información pública, para
garantizar a los ciudadanos el libre acceso a dicha
información.
c) Mantener actualizadas las bases
de datos sobre información pública.
d) Establecer y alimentar un sistema
de información administrativa al ciudadano, sobre los
servicios públicos y trámites de toda la
Administración Pública.
e) Otras que determine esta
Ley."
Si bien es cierto se pretende crear un órgano que
se encargue de velar por lo establecido en el proyecto de Ley, se
considera que si de antemano y en relación al avance
tecnológico, el estado costarricense ha mostrado
interés por dar respuesta a los diversos retos que plantea
la llamada sociedad de la tecnología, se da la
creación de la Comisión Nacional Política
Informática, la cual se encuentra en las instalaciones del
Ministerio de Ciencia y Tecnología, por lo antes
expuestos, se debe de tener en cuenta que al existir dicha
Comisión, ya se cuenta con una estructura, por lo que la
función a la hora de entrada en vigencia del proyecto en
estudio, sería competencia de dicho Centro y no generar la
creación de otro ente. Además de los informes
descritos, los Poderes del Estado, la Contraloría General
de la República y la Defensoría de los Habitantes
de la República.
En el numeral 58 del proyecto se menciona sobre el
aspecto de la Reiteración del desacato, en donde quien
diere lugar a que se acoja un nuevo recurso de amparo o de
hábeas corpus, por repetirse en daño de las mismas
personas las acciones, omisiones o amenazas que fueron base de un
amparo anterior declarado procedentemente, será
sancionado, según lo dispuesto en el artículo 71 de
la Ley Orgánica de la Jurisdicción Constitucional,
Ley Nº 7135, de 11 de octubre de 1999, siempre que el delito
no esté sancionado con pena más grave. Siendo que
no existe una lista taxativa de que se considera como pena grave,
por lo tanto, debería de indicarse de forma tal que se
respete el derecho del individuo dentro de una sociedad
democrática y estado de derecho. De igual forma en lo
referente al funcionario o funcionaria que obstaculice el acceso
a la información, destruya o altere un documento o
registro, sin perjuicio de las responsabilidades administrativas
y civiles derivadas del hecho, será sancionado con pena de
prisión de seis meses a tres años.
Pero es otro aspecto en donde no se menciona a las
empresas privadas que manejan información muy detallada y
que violenta el derecho a la Autodeterminación
informativa, tal y como se ha demostrado en la presente
investigación a través de las múltiples
sentencias dictadas por la Sala Constitucional. Pareciera que la
función del presente proyecto toma como base la
información de las diferentes entidades estatales y no
entra en una discusión amplia sobre las empresas privadas
que lucran con datos personales de los ciudadanos y que en la
mayoría de los casos no mantienen la información
actualizada, además que venden la información sin
control alguno al mejor postor, sin importar el uso que a la
misma se le de, por lo que no se solventa mucho la
situación tan desfavorable que se ha venido presentando,
quedando en ese sentido algo desprotegido el ciudadano ante tal
situación.
Un aspecto importante es que se pretende dentro del
proyecto es que se brinda un plazo no mayor a un año, a
fin de que el Centro ofrezca libre acceso a la misma por medio de
las respectivas plataformas informáticas de la
página oficial de la Defensoría de los Habitantes
de la República. Este aspecto es importante para la
ciudadanía, sin embargo llegamos al mismo tema como se
controla que sea el usuario o persona que acceda el sistema de
información el titular y legitimado para revisar sus datos
en el sistema.
Dado lo anterior, deberá tomarse en cuenta dicho
aspecto, porque más que proteger y reconocer el derecho en
discusión, se dará hincapié a que cualquier
persona pueda acceder la información de una forma mucho
más sencilla, sin recurrir a las bases de datos de las
empresas privadas, debido a la gratuidad que se le brinda para el
libre acceso.
5.2 Análisis Ley de Protección de la
Persona frente al tratamiento de sus datos personales. Expediente
N. º 16.679
Como se ha venido mencionando a través del
presente estudio, en la actualidad, la protección de datos
de las personas se constituye en uno de los grandes temas
jurídicos que deben ser abordados en la sociedad del siglo
XXI; que las tecnologías de la información se
constituyen en medios de manejo y difusión rápida
de los datos, sin mayor consideración ni control y en que
la realidad costarricense no es ajena a toda una diversa gama de
situaciones que se presentan con la información que viaja
a través de la red de Internet o que la encontramos
ubicada en bases de datos públicas y privadas. Frente a
esta situación, se debe tomar en consideración todo
lo relativo a la protección de derechos fundamentales de
las personas, entre ellos, los derechos de la personalidad y el
derecho a la intimidad incluyendo el de Autodeterminación
informativa, debe de ser tutelados a través de leyes
expresas que vengan a dictar los parámetros de uso y
difusión de los datos, dándoles un sentido de
información privada y publica, de acuerdo a los intereses
de una sociedad
El proyecto analizado anteriormente viene a brindar
algunos parámetros para la protección de datos en
el ámbito de las bases de datos del sector público,
siendo que el proyecto sobre Ley de Protección de la
Persona frente al tratamiento de sus datos personales. Expediente
N. º 16.679, viene a retomar un aspecto más amplio
relacionado al Derecho de Autodeterminación Informativa y
le brinda una mayor aplicabilidad, se realiza un análisis
en el presente estudio a fin de poder definir si el ámbito
de aplicación es favorable al ciudadano
costarricense.
Dicho proyecto de Ley tiene como objetivo garantizar a
cualquier persona física o jurídica, sean cuales
fueren su nacionalidad, residencia o domicilio, el respeto a sus
derechos fundamentales, concretamente, su derecho a la
autodeterminación informativa en relación con su
vida o actividad privada y demás derechos de la
personalidad; asimismo, la defensa de su libertad e igualdad con
respecto al tratamiento automatizado o manual de los datos
correspondientes a su persona o bienes.
En ningún caso se podrá afectar el secreto
de las fuentes de información periodística y el
secreto profesional que determinen las leyes
correspondientes.
Si bien es cierto, con el proyecto se pretende o se
busca garantizar a las personas su derecho fundamental a la libre
autodeterminación informativa, de forma tal que no se
violente dicho derecho dentro de un estado moderno, buscando de
esta forma proteger el ámbito privado de cada individuo,
tal y como se menciono en el análisis del texto del
proyecto de Ley sobre el Hábeas Data, es decir que cada
persona pueda decidir cuales datos personales desea que terceros
tengan acceso al mismo. Y solo con su permiso puedan hacer uso de
los mismos, dependiendo del fin para el cual se
requieran.
El capítulo I, es denominado "Disposiciones
generales" y se refiere al objeto y fin de la iniciativa,
así como a una lista de definiciones de algunos de los
conceptos contenidos en su articulado, procurando siempre emplear
únicamente los más aceptados por la doctrina de
vanguardia, mismos que se analizarán mas
adelante.
De igual forma en el proyecto dentro del capítulo
II, denominado "Principios básicos para la
protección de los datos", en el mismo se trata de
regular con detalle los diversos aspectos relacionados al derecho
de las personas respecto al manejo de sus datos, reconociendo en
su articulado los deberes de obtención del consentimiento
del afectado, calidad, seguridad y cesión de los datos,
categorías de datos que requieren de una protección
mayor a la regla general (datos sensibles), garantías
efectivas de acceso a la información personal,
corrección, supresión y actualización de la
misma, de igual forma, se prevé la posibilidad de que las
entidades públicas y privadas diseñen sus propios
protocolos de actuación en materia de protección de
datos.
Por otro lado en el capítulo III denominado:
"Transferencia de datos personales", se establece como
regla general la imposibilidad de que los administradores de
archivos públicos o privados, transfieran a terceras
personas en el extranjero, informaciones pertenecientes a otros,
incorporando algunas excepciones.
El capítulo IV, denominado "De la Agencia
para la Protección de Datos Personales (Prodat)",
crea un órgano de desconcentración máxima
adscrito a la Defensoría de los Habitantes, denominado
Agencia para la Protección de Datos Personales, la cual
gozará de independencia funcional y de criterio en el
desempeño de sus funciones. Este órgano regulador
del tratamiento de datos personales, dotado de suficiente
independencia y de las herramientas técnicas y material
humano necesarios para llevar a cabo su trabajo en forma efectiva
y objetiva. No se pretende crear una abultada y tradicional
estructura administrativa, sino una unidad de dimensiones
moderadas, pero integrada por profesionales calificados con
acceso a las últimas tecnologías en materia de
informática y apenas el personal de apoyo indispensable, a
fin de que su creación no implique una significativa carga
en el presupuesto de la República y a la vez pueda cumplir
con su objetivo. Sus funciones se caracterizan por ser:
preventivas (inscripción y autorización de las
bases de datos y protocolos de actuación, inspecciones
oficiosas, entre otras); y reactiva (atención de
denuncias, imposición de órdenes y sanciones
administrativas, etc.). A la cabeza del órgano se propone
elegir a una persona con experiencia, capacidad y solvencia moral
suficientes para afrontar el reto de defender a las personas ante
las diversas entidades, públicas y privadas, sin importar
su investidura o poder. La Agencia estará compuesta por
cinco departamentos: la dirección, la subdirección,
el Registro de archivos y bases de datos, el Departamento de
Inspección y el Departamento de divulgación, este
último encargado de crear conciencia entre los habitantes
y el mercado acerca de la necesidad de velar por el buen uso de
sus datos.
El mismo proyecto presenta un V capítulo
denominado: "Procedimientos", desarrolla la
intervención en archivos y bases de datos, así como
un régimen sancionatorio aplicable a los administradores
de ficheros y los procedimientos internos para ejercer la
competencia disciplinaria contra los funcionarios de la Agencia y
el procedimiento correspondiente que se podría implementar
contra el Director (a) o Subdirector (a) de la Agencia, en caso
de que incurra en una causal de sanción.
Como parte del ámbito de aplicación del
proyecto de Ley, se toma como de importancia datos sensibles que
figuren en bases de datos automatizadas o manuales de entes
públicos o privados y a toda modalidad de uso posterior,
de datos de carácter personal, siendo que, el
régimen de protección de los datos de
carácter personal que se establece en el proyecto de ley
no sería de aplicación en los siguientes
casos:
"a) A los ficheros automatizados de
titularidad pública cuyo objeto, legalmente establecido,
sea el almacenamiento de datos para su publicidad con
carácter general.
b) A los ficheros mantenidos por
personas físicas con fines exclusivamente personales o
domésticos.
c) A los ficheros de
información tecnológica o comercial que reproduzcan
datos ya publicados en boletines, diarios o repertorios
oficiales.
d) A los ficheros de
informática jurídica accesibles al público
en la medida en que se limiten a reproducir disposiciones o
resoluciones judiciales publicadas en periódicos o
repertorios oficiales.
e) A los ficheros mantenidos por los
partidos políticos, sindicatos e iglesias, confesiones y
comunidades religiosas en cuanto los datos se refieran a sus
asociados o miembros y ex miembros, sin perjuicio de la
cesión de los datos que queda sometida lo dispuesto en el
artículo 10 de esta Ley, salvo que resultara de
aplicación el artículo 7 por tratarse de los datos
personales en él contenidos.
Se regirán por otras disposiciones
específicas:
a) Los ficheros regulados por la
legislación del régimen electoral.
b) Los derivados del Registro Civil"
.[89]
En el artículo 3 del proyecto de
ley, se brindan las definiciones o clasificación de los
datos de forma tal que se brinda en ese sentido y que
serán para tales efectos y que a continuación se
transcriben:
"a) Datos de carácter personal: cualquier
información relativa a una persona física
identificada o identificable.
b) Datos de una persona
jurídica: aquellos datos que el ordenamiento no les ha
dado el carácter de público.
c) Datos sensibles: datos personales que revelen
origen racial, opiniones políticas, convicciones
religiosas o espirituales, condición
socioeconómica, información biomédica o
genética, vida sexual y antecedentes delictivos,
operaciones bancarias, registros tributarios, aduaneros o
relativos a actividades económicas.
d) Archivo, registro, fichero o base de datos.
Conjunto organizado de datos personales que sean objeto de
tratamiento o procesamiento, automatizado o no, cualquiera que
fuere la modalidad de su formación, almacenamiento,
organización o acceso.
e) Tratamiento automatizado:
operaciones que a continuación se indican:
producción de registros de datos, aplicación a esos
datos de operaciones lógico aritméticas, su
modificación, borrado, extracción o
difusión.
f) Autoridad encargada del fichero: significa la
persona física o jurídica, autoridad
pública, servicio o cualquier otro organismo
público o privado, que sea competente con arreglo a la ley
para decidir cuál será la finalidad del fichero
automatizado, cuáles categorías de datos de
carácter personal deberán registrase y
cuáles operaciones se les
aplicarán.
g) Interesado: persona física o
jurídica, titular de los datos que sean objeto del
tratamiento automatizado o manual.
h) Disociación de datos es:
tratamiento de datos personales de manera que la
información obtenida no pueda asociarse a persona
determinada o determinable " [90]
En lo relativo a los principios
básicos para la protección de los datos, se brinda
el derecho de información en la recolección de los
mismos, por lo tanto, las personas físicas a quienes se
soliciten datos de carácter personal y a las personas
jurídicas cuyos datos no se les ha dado el carácter
de público; deberán ser previamente informados de
modo expreso, preciso e inequívoco directamente o por
apoderado con poder o cláusula especial; las personas
jurídicas por medio de su representante legal o apoderado
con poder o cláusula especial según se dispone en
el proyecto:
a) De la existencia de un fichero
automatizado o manual de datos de carácter personal, de la
finalidad de la recogida de estos y de los destinatarios de la
información.
b) Del carácter obligatorio o
facultativo de sus respuestas a las preguntas que se les
formulen.
c) De las consecuencias de la
obtención de los datos o de la negativa a
suministrarlos.
d) De la posibilidad de ejercer los
derechos de acceso, rectificación, actualización,
cancelación y confidencialidad.
e) De la identidad y
dirección del responsable de las bases de
datos.
De igual forma, cuando se utilicen cuestionarios u otros
impresos para la recolección, figurarán en los
mismos en forma claramente legible, las advertencias a que se
refiere el apartado anterior. En ese sentido, no será
necesaria la información a que se refiere el apartado a),
si el contenido de ella se deduce claramente de la naturaleza de
los datos personales que se solicitan o de la circunstancia en
que se recaban o de la información derivada de la
actividad ordinaria de la institución o de su giro normal;
o de la empresa solicitante.
En ese sentido, se estipula en el enunciado
5 del proyecto, que se deberá contar con el consentimiento
del interesado en el suministro de los datos. Por lo tanto,
será el titular de los datos deberá dar por
sí o por su representante legal o apoderado el
consentimiento para la entrega de los datos, salvo que la ley
disponga otra cosa dentro de los límites razonable, es
así como se tiene que en ese caso La razón
habilidad deberá ser considerada por el Director o
Directora de la Agencia de Protección de Datos Personales
si se le planteare en caso de controversia. Lo anterior vale
tanto para los ficheros de titularidad pública o
privada.
Para tales efectos, se requerirá del
consentimiento del titular de la información la cual
deberá constar por medio de autorización por
escrito o por otro medio idóneo, físico o
electrónico. Pero no será necesario el
consentimiento cuando siempre y cuando exista orden motivada,
dictada por autoridad judicial competente o bien los datos se
obtengan de fuentes de acceso público irrestricto y se
trate de listados cuyos datos se limiten a nombre, documento
nacional de identidad, y fecha de nacimiento, u otros datos que
por ley especial tengan la misma condición.
En el proyecto que es analiza, en su
numeral 6 especifica la calidad de los datos, siendo que, se
indica que los datos solo podrán ser recolectados,
almacenados y empleados los datos de carácter personal
para su tratamiento automatizado o manual, esto siempre y cuando
tales datos sean adecuados, pertinentes y no excesivos en
relación con el ámbito y finalidades
legítimos para los que se han obtenido, que los mismos
sean de carácter personal objeto de tratamiento
automatizado o manual no podrán utilizarse para
finalidades distintas de aquellas para los cuales los datos
hubieren sido recogidos
Los datos de a los cuales se refiere el párrafo
anterior serán exactos y puestos al día, de forma
que respondan con veracidad a la situación real del
interesado, siendo que si los datos de carácter personal
registrados resultaren ser inexactos en todo o en parte, o
incompletos, serán cancelados y sustituidos de oficio por
el responsable del fichero por los correspondientes datos
rectificados, actualizados o complementados. Igualmente
serán cancelados si no mediare un consentimiento legal y
legítimo o estuviere prohibida su
recolección
Por su parte, dichos datos de carácter personal
serán cancelados por el responsable del fichero cuando
hayan dejado de ser pertinentes o necesarios para la finalidad
para la cual hubieren sido recibidos y registrados, por lo tanto,
no serán conservados si permite la identificación
de la persona en un período que sea superior al necesario
para los fines con base en los cuales hubieren sido recabados o
registrados. Sin embargo, en ningún caso serán
conservados los datos personales que puedan de cualquier modo
afectar a su titular, una vez transcurridos diez años
desde la fecha de ocurrencia de los hechos registrados, salvo
disposición legal en contrario, este es un aspecto a
valorar en el presente proyecto, pues debe existir un periodo
diferente para el tratamiento de los datos y su
disposición, pues existen datos que se recaban solo para
un caso excepcional, muy diferente al uso de las bases de datos
de los entes públicos que se deben de regir por las normas
legales de la Ley de Archivos.
Algo importante del proyecto es que se prohíbe el
acopio de datos por medios fraudulentos, desleales o
ilícitos, además, los archivos de datos no pueden
tener finalidades contrarias a las leyes ni a la moral
pública. En ese sentido, se tiene que muchas de las
empresas privadas que venden dichas bases de datos, las obtienen
de forma ilegal y lucran con datos correspondientes a la
intimidad de las personas, violentando en forma gradual el
derecho a la autodeterminación informativa del
ciudadano.
En los artículos 7 y 8, se protege
la categoría de los datos particulares y la seguridad de
los mismos, siendo que , Los datos de carácter personal de
las personas físicas que revelen su origen racial, sus
opiniones políticas, sus convicciones religiosas o
espirituales, así como los datos de carácter
personal relativos a la salud, a la vida sexual y a sus
antecedentes delictivos, no podrán ser almacenados de
manera automática ni manual en registros o ficheros
privados, y en los registros públicos serán de
acceso restringido. En ese sentido, Los datos sensibles solo
podrán ser recolectados con finalidades
estadísticas o científicas cuando no puedan ser
identificados sus titulares. Caso contrario se debe dar sin
perjuicio de lo establecido en el párrafo anterior, las
asociaciones religiosas, las organizaciones políticas,
sindicales y aquellas que agrupen a los individuos de acuerdo con
sus preferencias sexuales o ideológicas, podrán
llevar un registro de sus miembros, para uso exclusivo de su fin
asociativo.
Por otro lado, se contempla que para la seguridad del
titular de la información Todo archivo, fichero, registro
o base de datos, público o privado destinado a
proporcionar informes debe inscribirse en el Registro de archivos
y bases de acuerdo al establecimiento de la normativa y el
control que deberá llevar el centro de
administración al cual se le pretende dar la
responsabilidad de controlar dichas bases de datos, por lo tanto,
se pretende no registrar datos de carácter personal en
ficheros automatizados que no reúnan las condiciones que
garanticen plenamente su seguridad e integridad y los de los
centros de tratamientos, equipos, sistemas y
programas.
Con respecto a este punto se deben de establecer los
requisitos y las condiciones que deban reunir los ficheros
automatizados y los manuales y las personas que intervengan en el
acopio, almacenamiento y uso de los datos, cuya responsabilidad
debe estar a cargo de dicha administración y control de
las bases de datos, de forma tal que se venga a proteger al
ciudadano en su ámbito de intimidad, respetando con ello
su derecho a la autodeterminación informativa,
además de que los funcionarios de dicho centro
deberán ser personas que tengan confidencialidad, prueba
contraria, se deberán estipular las sanciones respectivas
de acuerdo a las leyes existentes en el país.
Un principio importante es el de "gratuidad en el
acceso a la información", el cual es contemplado en
el artículo 11 del proyecto, en donde se garantiza el
derecho de toda persona con la finalidad de obtener a intervalos
razonables y sin demora a título gratuito, la
confirmación de la existencia de datos suyos en archivos o
bases de datos, así como la comunicación de dichos
datos, dicha información deberá ser suministrada en
forma clara, exenta de codificaciones y en su caso
acompañada de una explicación de los
términos técnicos que se utilicen, debe ser amplia
y versar sobre la totalidad del registro perteneciente al
titular, aun cuando el requerimiento solo comprenda un aspecto de
los datos personales. En ningún caso el informe
podrá revelar datos pertenecientes a terceros, aun cuando
se vinculen con el interesado, siendo que, el titular pueda
solicitar en forma directa la rectificación de dichos
datos y su actualización o la eliminación de los
mismos cuando se hayan tratado con infracción a las
disposiciones que se establecen en el presente
proyecto.
Siendo en este sentido la autoridad o el responsable del
fichero quien debe cumplir con lo pedido gratuitamente y resolver
en el sentido que corresponda en un plazo establecido a partir de
la recepción de la solicitud, siendo que en caso de no
obtener respuesta se pueda optar por parte del accionante a
través de mantener su derecho y hacer efectivo su reclamo
a través de administrativo sencillo y rápido ante
la Agencia o Centro de Protección de Datos, con el fin de
ser amparado contra actos que violen sus derechos fundamentales
reconocidos los cuales se pretenden tutela bajo este proyecto de
ley, siendo que en caso de no cumplir con lo establecido y se vea
violentado su derecho de autodeterminación informativa,
según sea el caso la correspondiente indemnización
por los daños y perjuicios que hubieren sido ocasionados
en su persona o intereses debido al uso de sus datos
personales.
Tal y como se establece en el
artículo 13 del proyecto, todo ciudadano sin
distinción alguna, tiene el derecho de acceso a la
información personal que de él se mantenga en las
bases de datos, a través del principio de la gratuidad,
por lo que puede acceder directamente o conocer las informaciones
y los datos relativos a su persona, cual es la finalidad de los
datos a él referidos y al uso que se haya hecho de los
mismos, solicitar y obtener la rectificación,
actualización, cancelación o eliminación y
el cumplimiento de la garantía de confidencialidad
respecto de sus datos personales.
Tal y como se establece en el numeral 27 y 28 del
proyecto, todo archivo, registro, base o banco de datos
público y privado administrado con fines de
distribución, difusión o comercialización,
que contenga datos sensibles debe inscribirse en el Registro que
al efecto habilite la Agencia o Centro de Protección de
Datos.
Si bien es cierto en el presente proyecto en el numeral
36 y siguientes se toman los temas referentes a sanciones, a
faltas leves, graves y gravísimas no se establece con
claridad, la categoría del salario base al que hace
referencia. Siendo que puede ser de oficinista, profesional,
conserje etc., Tal y como se expresa en el mismo:
"Sanciones: De concluir el director o
la directora nacional que la persona física o
jurídica ha cometido una de las faltas tipificadas en esta
Ley, deberá imponer alguna de las siguientes
sanciones:
a) Para las faltas leves, una multa hasta cinco
salarios base, conforme a la Ley N. º 7337.
b) Para las faltas graves, una multa de cinco a
veinte salarios base, conforme a la Ley N. º
7337.
c) Para las faltas gravísimas, una multa de
15 a 30 salarios base, conforme a la Ley N. º 7337; y la
suspensión para el funcionamiento del fichero de uno a
seis meses.
Faltas leves: Serán consideradas
faltas leves, para los efectos de esta Ley:
a) La recolección de datos personales para su
uso en un archivo o base de datos sin hacer al interesado todas
las advertencias especificadas en el artículo 4 de esta
Ley.
b) Recolectar, almacenar y transmitir datos
personales de terceros por medio de mecanismos inseguros o que de
alguna forma no garanticen la seguridad e inalterabilidad de los
datos.
Faltas graves: Serán
consideradas faltas graves, para los efectos de esta
Ley:
a) Recolectar, almacenar, transmitir o de cualquier
otra forma emplear datos personales sin el consentimiento expreso
del titular de los datos, con arreglo a las disposiciones del
artículo 4 de esta Ley.
b) Transferir datos personales a otras personas o
empresas en Costa Rica en contravención a las reglas
establecidas en el artículo 10 de esta
Ley.
c) Transferir datos personales a otras personas o
empresas radicadas en el extranjero en contravención a las
reglas establecidas en el artículo 16 de esta
Ley.
d) Recolectar, almacenar, transmitir o de cualquier
otro modo emplear datos personales para una finalidad distinta de
la autorizada por el titular de la
información.
e) Negarse injustificadamente a dar acceso a un
interesado sobre los datos que consten en archivos y bases de
datos, a fin de verificar su calidad, recolección,
almacenamiento y uso conforme a esta Ley.
f) Negarse injustificadamente a eliminar o
rectificar los datos de una persona que así lo haya
solicitado por medio claro e inequívoco.
Faltas gravísimas: Serán
consideradas faltas gravísimas, para los efectos de esta
Ley:
a) Recolectar, almacenar, transmitir o de cualquier
otra forma emplear, por parte de personas físicas o
jurídicas privadas, datos sensibles, según la
definición prevista en el artículo 7 de esta
Ley.
b) Obtener de los titulares o de terceros, datos
personales de una persona por medio de engaño, violencia o
amenaza.
c) Revelar información registrada en una base
de datos personales cuyo secreto estuviere obligado a guardar
conforme la ley.
d) Proporcionar a un tercero información
falsa a la contenida en un archivo de datos, con conocimiento de
ello."[91]
5.3 Comisión Nacional de Política
Informática y su función en el
País
Desde 1974, se fundó por decreto ley el Sistema
Nacional de Información, sin embargo, este se ha
consolidado a partir de esfuerzos sectoriales en los que se
destacan los del área de ciencia y tecnología. La
política nacional en informática se recoge en el
Programa Nacional de Ciencia y Tecnología. Costa Rica
también se ha preocupado por la propiedad industrial y se
ha sumado a la Convención Universal sobre Derechos de
Autor, asimismo, su política nacional, se ha manifestado
para incluir la telemática educativa, además ha
tomado medidas en el campo de las bibliotecas.
De igual forma dedica recursos a la educación y a
los recursos de información. El CONACYT lleva adelante la
Ley de promoción del Desarrollo
Científico-Tecnológico con el objetivo de fomentar,
entre otras, las actividades de documentación e
información en ciencia y tecnología en actividades
estratégicas definidas.
En 1992, se habían integrado 7 subsistemas de
información con centros coordinadores en cada sector. Sus
dificultades esenciales estriban en la formación de los
recursos humanos, la normalización de los procedimientos,
el poco conocimiento de los usuarios, la escasa industria
editorial, el establecimiento de políticas coordinadas de
adquisición, el cobro de los servicios,
etcétera.
Sus oportunidades se concentran en la demanda creciente
de información, la infraestructura de comunicaciones, las
bases de datos automatizadas y la información
existente.
Desde 1972, el Consejo Nacional de Investigaciones
Científicas y Tecnológicas (CONACYT) es el
órgano que cumple funciones de coordinación para
estos asuntos.
Existen otros organismos relevantes relacionados como el
Ministerio de Ciencia y Tecnología, el Consejo Nacional de
Rectores, La Empresa Radiográfica Costarricense y la
Comisión de Política Informática.
En el período 1981-82, se crearon varios centros
de información mediante decretos específicos. La
política nacional en informática se recoge en el
Programa Nacional de Ciencia y Tecnología. Se desarrollan
una serie de actividades de apoyo a los servicios de
información científica y
tecnológica.
Entre los lineamientos establecidos, cada centro
coordinador sectorial, debe disponer de un profesional de la
especialidad, un bibliotecario y un analista de
sistema.
Entre otros proyectos relevantes, se encuentra la
creación del Centro Nacional de Referencia en Ciencia y
Tecnología. El nuevo Plan Nacional de Desarrollo y el
Programa Nacional de Ciencia y Tecnología incorporan
lineamientos establecidos en el Seminario de Políticas de
Información.
CAPÍTULO 6
Recomendaciones
6.1 Recomendaciones generales sobre la
protección de datos
Las Universidades deberían divulgar la forma
en que los ciudadanos pueden hacer efectivos sus derechos a
la autodeterminación informativa, para cumplir este
propósito se deben crear espacios de discusión
académicos y políticos, programando actividades
que traten el tema de protección de datos, con el fin
de concientizar y crear una cultura de protección de
datos sensibles en nuestro país.La Recopilación de la Información debe
estar acorde a los objetivos de la Institución a la
cual pertenece las bases de datos y materia correspondiente,
y estar en concordancia con la normativa
costarricense.Establecer un tratamiento especializado de la
información, regulando a los encargados de su
utilización y restricción indicando los
soportes de los documentos, especificando detalles de los
programas automatizados y los documentos incluidos en estas
bases de datos.Estipular los plazos de verificación o
actualización y almacenamiento de la
información.Establecer los procedimientos en que una persona
puede acceder la información que sobre ella contengan
los diferentes bases de datos, quienes tienen injerencia a
esta información, que tipo de información y con
que finalidad.Asegurar el proceso de investigación y
sanción para aquellos que incurran en el mal uso de la
información.Informar a la oficina contralora acerca de los
mecanismos manuales y automatizados que permitan detectar con
facilidad el acceso indebido a un registro de
datos.Respetar el derecho de información sea
público o privado en la aplicación de las
medidas de seguridad necesarias así como el derecho al
principio de publicidad.Cuando no rija el principio de publicidad se
facilitará el acceso individual del ciudadano, ya sea
por área restringida, firma electrónica
avanzada u otros medios.Sólo se publicarán aquellos datos
personales que sean imprescindibles para la finalidad
pretendida.Se recomienda la no se publicación de datos
relativos a temas como: salud, vida sexual, fines policiales,
menores de edad, comisión de infracciones,
personalidad del afectado y relacionados con el ejercicio
tributario a no ser que haya una norma con rango de Ley o
normativa comunitaria que haga habilitación expresa a
la publicación de los mismos.Cuando la finalidad de la publicación sea
meramente estadística o histórica se
deberá disociar la información de
carácter personal.La cancelación de datos sólo
procederá cuando éstos hayan dejado de ser
necesarios o pertinentes para la finalidad para la cual
fueron recabados.El bloqueo de datos deberá mantenerse
mientras persista algún tipo de responsabilidad
derivada.Los motores de búsqueda no deberán
sobrepasar un periodo de 6 meses de conservación de
los datos personales de los usuarios, ya sea por
indexación automática como por obtención
de búsqueda por datos personales.Se deberá permitir el ejercicio de derechos
acceso, rectificación, cancelación y
oposición de los afectados.Brindar el acceso de acuerdo al principio de
gratuidad al titular de la Información que se
encuentre en las bases de datos.Se recomienda la no creación de un Ente
nuevo, si no más bien la transferencia de dichas
obligaciones del proyecto de ley propuesto a la
Comisión Nacional de Política
Informática. Por cuanto ya cuentan con la plataforma
para brindar los servicios necesarios.Se invita a las empresas privadas a contribuir
económicamente con la Comisión Nacional de
Política Informática como un apoyo necesario a
beneficio social.
6.2 Propuesta de un Nuevo Proyecto de Ley para la
Protección del la Información Personal privada y
Pública.
Proyecto de Ley de Hábeas Data
y Protección a la persona Frente al Tratamiento de sus
Datos Personales Públicos y Privados.
Existe una clara necesidad de una legislación de
tutela frente al tratamiento de datos personales. Las
tecnologías de la información y la
comunicación han hecho que no sea posible mantener en el
ámbito privado ciertos aspectos de nuestra personalidad,
como los deseos, las apetencias, las inclinaciones comerciales,
religiosas, políticas o hasta intelectuales. Basta con dar
seguimiento a las pautas de consumo o de visita de un ciudadano,
lo que es hoy muy sencillo gracias a los servicios de compra
electrónicos, para conocer cuál es el perfil
individual de un ciudadano o incluso los perfiles de un grupo de
ciudadanos, lo que lo reduce en su dignidad y lo convierte en un
verdadero objeto de los procesos de
información.
Si un ciudadano no tiene una capacidad de interactuar en
esta sociedad tecnológica con aquellos que pretenden
controlarle y perfilarle, se le estaría quitando la
última posibilidad para ratificar su estatus de
individualidad. Si el ciudadano no tiene posibilidad de controlar
quién tiene acceso a sus datos, con qué objetivos y
bajo qué presupuestos, pronto tendrá que desistir
del ejercicio de sus derechos fundamentales, ya que muchas
libertades públicas (como la libertad de asociación
y de reunión, así como las libertades de
expresión y de autodeterminación) se
convertirían en formas sin contenido, ya que
aumentarían al mismo tiempo las posibilidades para la
manipulación a fin de impedir o al menos amedrentar a
quienes deseen ejercer tales libertades, no con prohibiciones
directas, sino con la aplicación de consecuencias
indirectas al ejercicio de un derecho. Por lo tanto, si el
ciudadano tiene acceso a sus datos, podría controlar y
dirigir el sentido social de los mismos, a fin de evitar
consecuencias a su esfera íntima de manera directa, sino a
su posibilidad de participación social.
El derecho a la protección de la persona frente
al procesamiento de sus datos personales surge así como
una necesidad en el Estado de Derecho, como una necesidad de
reflexión sobre los derechos y las libertades
públicas en juego, como también de las
posibilidades de la persona humana en una sociedad
tecnológica.
Por lo antes indicado, pretendemos incluir dentro de
nuestras Recomendaciones un Proyecto de Ley que consolide el
Derecho Público y Derecho Privado. Lo anterior en virtud
de que en la Asamblea Legislativa existen dos números de
expedientes a saber: Ley de Acceso a la Información para
la transparencia en la Gestión Pública , Expediente
Nº 15.079, Análisis Ley de Protección de la
Persona frente al tratamiento de sus datos personales. Expediente
N. º 16.679. Los cuales tutelan en una en forma
independiente la parte pública y la parte privada, siendo
que, se debe manejar un proyecto de Hábeas Data de una
forma conjunta para garantizar los derechos de los ciudadanos
incluidos en la ley.
Dado lo anterior, se ha dado un formato diferente
tomando en cuenta ciertas normas indicadas en los anteriores
proyectos por su importancia, y a la vez, se brindando un
criterio más amplio a la normativa, en dicha propuesta de
Ley, se busca atribuir el constituirse en receptor, compilador,
actualizador y reproductor de toda la información
pública y privada que se le suministra en los
términos que establece a la ley a la Comisión
Nacional de Política Informativa, lo anterior, se toma
como base debido a que ya existe una plataforma
tecnológica, situación que es de gran
interés al generarse un gran ahorro al estado en lo
referente a recursos presupuestarios.
CAPÍTULO I
DISPOSICIONES GENERALES
SECCIÓN
ÚNICA
ARTÍCULO 1. Objetivo y
finalidad
La presente Ley tiene como objetivo garantizar a
cualquier persona física o jurídica, sean cuales
fueren su nacionalidad, residencia o domicilio, el respeto a sus
derechos fundamentales, concretamente, su derecho a la
autodeterminación informativa en relación con su
vida o actividad privada o publica y demás derechos de la
personalidad; así mismo busca promover la transparencia de
los actos del Estado y Empresas Privadas a propiciar la
rendición de cuentas con respecto a la Información
que se maneja a través de las bases de datos y la defensa
de su libertad e igualdad con respecto al tratamiento
automatizado o manual de los datos correspondientes a su persona
o bienes.
En ningún caso se podrá afectar el secreto
de las fuentes de información periodística y el
secreto profesional que determinen las leyes correspondientes,
consagrados en nuestra Constitución Política e
Instrumentos Internacionales.
ARTÍCULO 2. Ámbito de aplicación
para las Entidades Publicas y Personas Privadas
1.-La presente Ley será de
aplicación a los datos sensibles que figuren en las
sistemas de bases automatizadas o manuales de organismos
públicos y privados y a toda modalidad de uso posterior,
de datos de carácter personal. Igualmente, quedan
obligados a proporcionar información de carácter
público, al ciudadano que lo solicite, las sociedades con
capital mayoritariamente estatal y los entes privados que
administren fondos públicos, así como los entes
privados que realicen obras públicas, gestionen o
suministren servicios públicos o ejerzan funciones
administrativas del sector público bajo cualquier
modalidad establecida por la ley.
2.-El régimen de protección de los
datos de carácter personal que se establece en la presente
Ley no será de aplicación, siempre y cuando
así lo apruebe el ente regulador.
a) A las bases de datos automatizados de
titularidad pública cuyo objeto, legalmente establecido,
sea el almacenamiento de datos para su publicidad con
carácter general.
b) A las bases de datos mantenidos por personas
físicas con fines exclusivamente personales o
domésticos.
c) A las bases de datos de información
tecnológica o comercial que reproduzcan datos ya
publicados en boletines, diarios o repertorios
oficiales.
d) A las bases de datos de informática
jurídica accesibles al público en la medida en que
se limiten a reproducir disposiciones o resoluciones judiciales
publicadas en periódicos o repertorios
oficiales.
A las bases de datos mantenidos por los partidos
políticos, sindicatos e iglesias, confesiones y
comunidades religiosas en cuanto los datos se refieran a sus
asociados o miembros y ex miembros, sin perjuicio de la
cesión de los datos que queda sometida lo dispuesto en el
artículo 10 de esta Ley, salvo que resultara de
aplicación el artículo 7 por tratarse de los datos
personales en él contenidos.
3.-Se regirán por otras disposiciones
específicas:
a) Las Bases de Datos serán regulados por
la legislación del régimen electoral.
Los derivados del Registro Civil.
ARTÍCULO 3. Definiciones
A los efectos de la presente Ley:
a) Datos de carácter personal: cualquier
información relativa a una persona física
identificada o identificable.
b)Datos de una persona jurídica: aquellos
datos que el ordenamiento no les ha dado el carácter de
público.
c) Datos sensibles: datos personales que revelen
origen racial, opiniones políticas, convicciones
religiosas o espirituales, condición
socioeconómica, información biomédica o
genética, vida sexual y antecedentes delictivos,
operaciones bancarias, registros tributarios, aduaneros o
relativos a actividades económicas.
d) Archivo, registro o base de datos. Conjunto
organizado de datos personales que sean objeto de tratamiento o
procesamiento, automatizado o no, cualquiera que fuere la
modalidad de su formación, almacenamiento,
organización o acceso.
e) Tratamiento automatizado: operaciones que a
continuación se indican: producción de registros de
datos, aplicación a esos datos de operaciones
lógico aritméticas, su modificación,
borrado, extracción o difusión.
f) Autoridad encargada d la base de datos:
significa la persona física o jurídica, autoridad
pública, servicio o cualquier otro organismo
público o privado, que sea competente con arreglo a la ley
para decidir cuál será la finalidad de la base de
datos automatizada, cuáles categorías de datos de
carácter personal deberán registrase y
cuáles operaciones se les aplicarán.
g) Interesado: persona física o
jurídica, titular de los datos que sean objeto del
tratamiento automatizado o manual.
h) Disociación de datos es: tratamiento de
datos personales de manera que la información obtenida no
pueda asociarse a persona determinada o determinable.
CAPÍTULO II
PRINCIPIOS BÁSICOS PARA LA
PROTECCIÓN DE LOS DATOS
ARTÍCULO 4. Derecho de
información en la recolección de los
datos
Las personas físicas a quienes se soliciten datos
de carácter personal y a las personas jurídicas
cuyos datos no se les ha dado el carácter de
público; deberán ser previamente informados de modo
expreso, preciso e inequívoco directamente o por apoderado
con poder o cláusula especial; las personas
jurídicas por medio de su representante legal o apoderado
con poder o cláusula especial:
a) De la existencia de base de datos automatizado
o manual de datos de carácter personal, de la finalidad de
la recogida de estos y de los destinatarios de la
información.
b) Del carácter obligatorio o facultativo
de sus respuestas a las preguntas que se les formulen.
c) De las consecuencias de la obtención de
los datos o de la negativa a suministrarlos.
d) De la posibilidad de ejercer los derechos de
acceso, rectificación, actualización,
cancelación y confidencialidad.
e) De la identidad y dirección del
responsable de la base de datos.
Cuando se utilicen cuestionarios u otros impresos para
la recolección, figurarán en los mismos en forma
claramente legible, las advertencias a que se refiere el apartado
anterior.
No será necesaria la información a que se
refiere el apartado a), si el contenido de ella se deduce
claramente de la naturaleza de los datos personales que se
solicitan o de la circunstancia en que se recaban o de la
información derivada de la actividad ordinaria de la
institución o de su giro normal; o de la empresa
solicitante.
Igualmente, en la interpretación de esta Ley se
deberá favorecer el Principio de Publicidad de la
Información en posesión de los sujetos obligados, y
será pública según lo disponga esta
Ley.
ARTÍCULO 5. Consentimiento del
interesado
1. El titular de los datos deberá dar por
sí o por su representante legal o apoderado el
consentimiento para la entrega de los datos, salvo que la ley
disponga otra cosa dentro de los límites
razonables.
La razón habilidad deberá ser considerada
por el Director o Directora de la Comisión Nacional de
Política Informativa si se le planteare en caso de
controversia. Lo anterior vale tanto para las bases de datos de
titularidad pública o privada. De conformidad con el
principio de Publicidad que rige la actividad Publica, los
órganos, y entidades Publicas o Privadas sujetos a esta
Ley.
El consentimiento deberá constar por medio de
autorización por escrito o por otro medio idóneo,
físico o electrónico. Dicho consentimiento
podrá ser revocado sin efecto retroactivo, por cualquiera
de los medios permitidos para acreditar la aquiescencia.
Ningún efecto negativo, ni sanción, ni perjurio
podrá derivarse para la persona que ejercite el derecho de
Petición.
No será necesario el consentimiento
cuando:
a) Exista orden motivada, dictada por autoridad
judicial competente.
b) Los datos se obtengan de fuentes de acceso
público irrestricto y se trate de listados cuyos datos se
limiten a nombre, documento nacional de identidad, y fecha de
nacimiento, u otros datos que por ley especial tengan la misma
condición.
ARTÍCULO 6. Formalidad de
ejercicio
Las peticiones habrán de hacerse por escrito y
deberán ir firmadas por el accionante. Tratándose
de personas jurídicas, deberán detallarse los datos
relativos a su inscripción y los personales de su
representante legal.
En cual bastara que se indique las siguientes
calidades:
a) Nombre, calidades y domicilio de cada uno de
los y las peticionantes
b) Objeto de la petición
c) Domicilio para efectos de
notificación
d) Traducción o resumen en español
si la petición se presenta en lengua
extranjera.
Las peticiones se presentarán directamente ante
el órgano o entidad correspondiente o podrán ser
enviadas por correo postal. También podrán
presentarse peticiones urgentes por cualquier medio. En estos
casos, los y las peticionantes dispondrán de Diez
días hábiles para formalizar sus pedidos conforme a
lo dispuesto en el presente artículo. Caso excepcional
será para aquellos en que se consideren urgentes contando
con cinco días naturales para formalizar.
En todo caso, no podrá calificarse de inadmisible
una petición por la falta de uno o varios de los
requisitos señalados al momento de la presentación
de la misma. En tal situación se concederá hasta
tres días hábiles a las o los peticionantes para
que completen la información.
ARTÍCULO 7.
Gratuidad
El acceso público a la información es
gratuito en tanto no se requiera la reproducción de la
misma. Los costos de reproducción correrán a cargo
del solicitante.
La información será suministrada en copia
simple, o en su reproducción digital, sonora,
fotográfica, cinematográfica o videográfica,
según se peticione y sea técnicamente
factible.
En caso de que la información solicitada sea
requerida de manera certificada, el accionante deberá
cumplir, para los efectos de las formalidades y de los costos,
con las disposiciones legales que rigen la materia.
ARTÍCULO 8. Calidad de los
datos
1. Solo podrán ser recolectados,
almacenados y empleados datos de carácter personal para su
tratamiento automatizado o manual, cuando tales datos sean
adecuados, pertinentes y no excesivos en relación con el
ámbito y finalidades legítimos para los que se han
obtenido.
2. Los datos de carácter personal objeto
de tratamiento automatizado o manual no podrán utilizarse
para finalidades distintas de aquellas para los cuales los datos
hubieren sido recogidos.
3. Dichos datos serán exactos y puestos al
día, de forma que respondan con veracidad a la
situación real del interesado.
4. Si los datos de carácter personal
registrados resultaren ser inexactos en todo o en parte, o
incompletos, serán cancelados y sustituidos de oficio por
el responsable del fichero por los correspondientes datos
rectificados, actualizados o complementados. Igualmente
serán cancelados si no mediare un consentimiento legal y
legítimo o estuviese prohibida su
recolección.
5. Los datos de carácter personal
serán cancelados por el responsable de las bases de datos
cuando hayan dejado de ser pertinentes o necesarios para la
finalidad para la cual hubiese sido recibidos y
registrados.
No serán conservados en forma que permita la
identificación de la persona en un período que sea
superior al necesario para los fines con base en los cuales
hubieren sido recabados o registrados. Sin embargo, en
ningún caso serán conservados los datos personales
que puedan de cualquier modo afectar a su titular, una vez
transcurridos diez años desde la fecha de ocurrencia de
los hechos registrados, salvo disposición legal en
contrario.
6. Serán almacenados de forma tal que se
garantice plenamente el derecho de acceso por la persona
interesada.
7. Es obligatoria la cancelación de datos
por el fallecimiento o deceso confirmado de la persona, y se
define un año como plazo para tal efecto.
8. Se prohíbe el acopio de datos por
medios fraudulentos, desleales o ilícitos.
9. Los archivos de datos no pueden tener
finalidades contrarias a las leyes ni a la moral
pública
ARTÍCULO 9. Seguridad de los
datos
1. Todo archivo, registro o base de datos,
público o privado destinado a proporcionar informes debe
inscribirse en el Registro de bases de datos contemplado en la
presente Ley.
2. Es deber y responsabilidad de los sujetos
obligados en las base de datos adoptar las medidas de
índole técnica y organizativa necesarias para
garantizar la seguridad de los datos de carácter personal
y evitar su alteración, pérdida, tratamiento o
acceso no autorizado, habida cuenta del estado de la
tecnología, la naturaleza de los datos almacenados y los
riesgos a que están expuestos, ya provengan de la
acción humana o del medio físico o
natural.
3. No se registrarán datos de
carácter personal en base de datos automatizados que no
reúnan las condiciones que garanticen plenamente su
seguridad e integridad y los de los centros de tratamientos,
equipos, sistemas y programas.
4. Por vía de reglamento, se
establecerán los requisitos y las condiciones que deban
reunir las bases de datos automatizadas y los manuales y las
personas que intervengan en el acopio, almacenamiento y uso de
los datos.
5. El responsable de las bases de datos y quienes
intervengan en cualquier fase del proceso de recolección y
tratamiento de los datos de carácter personal,
están obligados al secreto profesional.
ARTÍCULO 10. Deber de
confidencialidad
La información relativa al ámbito de la
intimidad de las personas se considera información
confidencial y goza de la protección del artículo
24 de la Constitución Política. Se
considerará información confidencial:
a) La entregada con tal carácter por los
particulares a los sujetos regulados por esta Ley y a sus
funcionarios.
b) Los datos personales que requieran el
consentimiento de los individuos para su difusión,
distribución o comercialización en los
términos de esta Ley.
No se considerará confidencial la
información que se halle en los registros públicos
o en fuentes de acceso público, debido al Principio de
Publicidad.
Cuando los particulares suministren a los órganos
y entes públicos información que consideren
confidencial deberán señalarlo expresamente. En el
caso de que exista una solicitud de acceso que incluya
información confidencial, los sujetos obligados la
comunicarán siempre y cuando medie el consentimiento
expreso del particular titular de la información
confidencial.
ARTÍCULO 11. Cesión de
datos
Los datos de carácter personal conservados en
bases de datos públicos o privados, solo podrán ser
cedidos a terceros para fines directamente relacionados con las
funciones legítimas del cedente y del cesionario, con el
previo consentimiento del interesado, en los términos del
artículo 5 de esta Ley.
El consentimiento para la cesión podrá ser
revocado pero la revocatoria no tendrá efectos
retroactivos.
Lo anterior es aplicable a cualquier base de datos
independientemente de su titularidad pública o
privada.
El consentimiento no será exigido
cuando:
a) Sí lo dispone una ley.
b) Se trate de la cesión de datos
personales al Estado o una institución pública de
salud o de investigación científica en el
área de la salud, relativos a la salud, y sea necesario
por razones de salud pública, de emergencia o para la
realización de estudios epidemiológicos, en tanto
se preserve la identidad de los titulares de los datos mediante
mecanismos de disociación adecuados.
c) Se trate de la cesión de datos
personales al Estado o a una institución pública en
materia de seguridad pública, siempre y cuando la
cesión resulte necesaria para fines de esta seguridad
pública y de la persecución de delitos sin
perjuicio de lo establecido en el artículo 24 de la
Constitución Política.
d) Se trate de cesión de datos personales
referente a estadísticas y censos poblacionales para fines
específicos.
El cesionario quedará sujeto a las mismas
obligaciones legales y reglamentarias del cedente y este
responderá solidariamente y conjuntamente por la
observancia de los mismos ante la Agencia de Protección de
Datos y el titular de los datos.
ARTÍCULO 12. Derechos y garantías de
las personas
Se garantiza el derecho de toda persona a:
a) Obtener a intervalos razonables y sin demora a
título gratuito, según los dispuesto en el articulo
7 de la presente Ley, la confirmación de la existencia de
datos suyos en bases de datos, así como la
comunicación de dichos datos en forma
inteligible.
b) La información debe ser suministrada en
forma clara, exenta de codificaciones y en su caso
acompañada de una explicación de los
términos técnicos que se utilicen.
c) La información debe ser amplia y versar
sobre la totalidad del registro perteneciente al titular, aun
cuando el requerimiento solo comprenda un aspecto de los datos
personales. En ningún caso el informe podrá revelar
datos pertenecientes a terceros, aun cuando se vinculen con el
interesado.
 Página anterior | Volver al principio del trabajo | Página siguiente  |