EscucharLa agencia que debe velar por la protección de la información personal de los ciudadanos opera con apenas 13 funcionarios, pero ninguno de ellos es científico de datos ni cuentan con carreras afines en esta área. La entidad además enfrenta serias limitaciones ligadas a un presupuesto estrecho que le impide invertir en tecnologías de punta.
Se trata de la Agencia de Protección de Datos de los Habitantes (Prodhab), institución con desconcentración máxima adscrita al Ministerio de Justicia y Paz.
El objetivo principal de esta dependencia estatal es garantizarle a cualquier persona el respeto a su derecho a la autodeterminación informativa en relación con su vida o actividad privada, es decir, la capacidad que tiene cada ciudadano de decidir sobre sus propios datos en manos de terceros.
LEA MÁS: ¿Qué tipo de datos existen en Costa Rica y a cuáles puede acceder el Gobierno?
La Prodhab fue creada mediante la Ley de Protección de la Persona frente al Tratamiento de sus Datos Personales (8.968), publicada en el diario oficial La Gaceta, el 5 de setiembre del 2011.
En 2012 se creó su primer reglamento, y en el 2016, se determinó la necesidad de reformar varias disposiciones con el fin de aclarar algunas dudas, facilitar la aplicación de la Ley y coadyuvar con la simplificación de trámites.
Sin embargo, esta legislación todavía es insuficiente para fortalecer la participación de la Prodhab y en palabras de la directora de esta agencia, Elizabeth Mora, “la actualización de la normativa es urgente y necesaria”.
De manos atadas
La creación de esta oficina y su papel en la sociedad es considerada —por especialistas consultados por EF— como una buena iniciativa por parte de Costa Rica para ofrecerle a los ciudadanos una instancia a la cual acudir en caso de irrespeto o violaciones a su información personal.
El problema es que la agencia está adscrita al Ministerio de Justicia y esta relación de dependencia burocrática le resta fuerza a las sanciones y criterios que emite la entidad.
“Esta es una agencia sin poder, a diferencia de una institución europea que fue creada por ley para velar por la protección de datos de toda la Unión Europea. Si una agencia, como Prodhab, no tiene jerarquía, no significa nada”, aseguró Esteban Jiménez, especialista en ciberseguridad de la compañía ATTI CyberLabs.
La falta de autoridad de la Prodhab también se manifiesta en las leves sanciones económicas. La ley establece que las multas que puede imponer van desde los cinco (¢2.251.000) hasta los 30 salarios base (¢13.506.000).
Mientras que la Regulación General de Protección de Datos (GDPR) de la Unión Europea, que es referencia a nivel mundial en cuanto al manejo y privacidad de información, establece sanciones de hasta 10 millones de euros o el 2% del volumen de facturación anual de la empresa (la más alta de las dos) en las faltas menos graves; y sanciones que alcanzan hasta 20 millones de euros o el 4% del volumen de facturación anual para las faltas más severas.
“Lamentablemente la agencia nacional se convirtió en una registradora de bases de datos. Falta mayor trabajo en la calle. En el papel está bien conceptualizada, el reto está en la práctica”, explicó Esteban Alfaro, abogado constitucionalista y especialista en derecho administrativo de la firma Caoba Legal.
La jerarca de la oficina local defendió su labor y destacó que uno de los frutos más relevantes actualmente es el trabajo de información de cara al usuario.
En los primeros dos años de operaciones —entre 2012 y 2013— la agencia no recibió ningún tipo de denuncia. Fue hasta el 2014 cuando se presentaron las primeras nueve, cifra que se mantuvo en crecimiento hasta llegar a las 202 en 2019.
La directora es consciente de las limitaciones que afectan el desempeño de la institución, principalmente en materia presupuestaria. Sin embargo, aseguró que desarrollan una estrategia nacional de privacidad de datos, en la que acogerán recomendaciones de la Organización para la Cooperación y el Desarrollo Económicos (OCDE) orientadas a reforzar y reformar la entidad.
Según Mora, la agencia requiere cambios legales para fortalecer su rectoría con el objetivo de tener herramientas para obligar a las instituciones públicas y algunas privadas a registrar sus bases de datos, lo que le permitirá tener mejor control de esta información.
Independencia, solicitud de personal capacitado y mayores recursos, son parte de las necesidades que se plantearán en el proceso de diálogo de la estrategia. La funcionaria no ofreció más detalles debido a que el documento todavía está en etapa de análisis.
Modernización urgente
En países avanzados en protección de información existen plataformas que le permiten a los ciudadanos consultar todas las bases de datos en las que aparecen con solo digitar su número de identificación.
Cada persona es quien tiene el poder de elegir con quiénes compartirá su información, según sus intereses. Esto no sucede en Costa Rica y, pese a la legislación vigente, el país está lejos de lograrlo.
Actualmente si un habitante desea conocer quién tiene su información personal debe hacerlo por sus propios medios y acudir a cada empresa para consultar cuáles datos tienen y para qué fines los utilizan.
Para esto puede presentarse y hacer la consulta verbal, o bien, debe descargar un formulario de la página de Prodhab, llenarlo, imprimirlo y entregarlo ante cada instancia pública o privada en la que desee obtener detalles sobre sus datos.
Además de ser un trámite engorroso, algunas compañías se aprovechan y cobran a sus clientes o se niegan a compartir la información. Ambas acciones son ilegales.
Todas las personas están en su derecho de obtener esta información gratuita y expedita.
Uno de los objetivos de esta agencia es impulsar el intercambio científico y tecnológico en materia de protección de información personal.
La consecución de esta meta se vislumbra difícil de lograr ya que la entidad carece de herramientas, sistemas y personal especializado en áreas como la ciencia y el análisis de datos, esto se convierte en una barrera para crear un registro de todas las bases de datos que existen en el país.
“No tenemos la forma de saber cuántas bases de datos hay en el país”, aseveró Mora. Únicamente se encuentran registradas las bases de empresas que se dedican a la comercialización de datos, mientras que sectores que manejan información sensible, como, por ejemplo, los servicios médicos privados, no están obligados a registrarse ante esta entidad.
Para que Prodhab cumpla con los requisitos de un mundo digitalizado primero debe modernizarse en todas sus plataformas.
Debería de contar con una aplicación móvil y un sitio web donde las personas puedan tramitar denuncias y hacer consultas. Estos canales simplificarían los trámites.
En la actualidad la agencia recibe las denuncias únicamente en formularios impresos que se presentan de manera personal y complementa sus tareas de acercamiento al público por medio de charlas en su oficina en San Pedro de Montes de Oca, además de contenidos en redes sociales y en su página web.
En un mundo digital óptimo, esta oficina debería tener plataformas ágiles que respondan a las demandas de los ciudadanos de una manera expedita. "Rápido, digital y que me muestre dónde está mi información”, así lo recomendó el especialista Esteban Jiménez.
La agencia también debe aplicar sanciones más fuertes para que los comerciantes comprendan la responsabilidad e importancia que implica el manejo seguro de los datos de sus clientes.
Convertir a la Prodhab en una institución autónoma, con recursos económicos suficientes para modernizar sus tecnologías y con una reestructuración administrativa que le permita traer a sus filas expertos en datos son factores que fortalecerían a la entidad.
El país necesita una agencia fuerte que deje atrás los tintes de repositorio de bases de datos y apueste por convertirse en un verdadero guardián de la materia prima más preciada del mundo en la actualidad: los datos personales.
