Un proyecto de ley, presentado este jueves en la Asamblea Legislativa, ofrecería una mayor protección de los datos biométricos de las personas, ante el eventual manejo irregular de la información de los ciudadanos.

Se trata de una reforma integral de la Ley de protección de las personas frente al tratamiento de sus datos personales, propuesta por el jefe de la fracción del Partido Acción Ciudadana (PAC), Enrique Sánchez.

La propuesta aumentaría la protección de los datos personales relacionados con las características físicas, fisiológicas o conductuales de una persona física, que faciliten su identificación con imágenes de su rostro o sus huellas dactilares.

La reforma también introduciría los conceptos de datos genéticos y relativos a la salud, con el fin de aclarar lo más posible que se trata de información también protegida.

Sánchez explicó que, con la ley vigente, no se entiende totalmente que los datos biométricos estén ya protegidos, tal como lo advirtió la Procuraduría General de la República, al explicar que ninguna norma les permite a las municipalidades manejar registros faciales de personas.

“Acogimos ese criterio y los categorizamos como datos sensibles, datos que podrían permitir la vulneración de las personas”, enfatizó Sánchez.

El diputado sí explicó que ya hoy está prohibido que los sistemas conviertan los datos biométricos en formas de identificar a las personas.

Más derechos y castigos

La propuesta de Sánchez pretende ampliar el marco de derechos de las personas sobre sus datos y garantizar que nunca se pierda la titularidad sobre esos datos, aunque se autorice su uso en redes sociales, por ejemplo.

La persona tendrá derecho a explicaciones sobre qué va a pasar con sus datos y para qué se utilizarán, específicamente de qué sistema los va a usar.

También, se fortalecería el derecho de acceso a esos datos por el titular y que este pueda exigir que se supriman del todo.

Eso implicaría, según el jefe oficialista, que la persona pueda exigir que una red social elimine totalmente los datos a los que le dio acceso originalmente.

La modernización de la ley que creó la Agencia de Protección de Datos de los Habitantes (Prodhab) es fundamental, a nueve años de su aprobación en el país, cuando los escándalos por el manejo irregular de bases de datos han resonado por todo el mundo.

Así sucedió con el escándalo de la empresa Cambridge Analytica, que vendió datos de 80 millones de usuarios de Facebook que permitieron influir en decisiones de votantes en el Reino Unido sobre el abandono de la Unión Europea y en las elecciones en que Donald Trump ganó la presidencia de Estados Unidos.

Por otra parte, la nueva ley busca fortalecer y ampliar el concepto de autodeterminación informativa de la persona, al eliminar una cantidad de excepciones a ese derecho que hoy podrían permitir la vulneración de esa información personal.

Se autoriza el límite de los derechos y garantías legales cuando lo disponga una norma constitucional o legal, en salvaguarda a la integridad de los datos o cuando haya una orden judicial.

A la vez, se aumentan las excepciones del consentimiento informado a la recopilación de los datos en varios supuestos, por ejemplo cuando sea necesario recopilar datos para cuestiones penales o infracciones a los deberes éticos de los profesionales.

Tampoco es obligatorio el consentimiento informado de las personas cuando los datos se usen con fines estadísticos, históricos y de investigación científica, o para prestación de servicios públicos, siempre que se trate de datos anonimizados.

Igual será innecesario el consentimiento de la persona cuando se usen sus datos para ejecutar un contrato solicitado por esa persona o se requieran para proteger intereses vitales de esa persona u otra persona física.

En general, se prohíbe en la nueva legislación que se reúnan datos sin el consentimiento informado, mucho menos cuando se haga por medios fraudulentos, desleales o ilícitos.

En cuanto a las multas, Enrique Sánchez asegura que es necesario aumentarlas porque, con la legislación vigente, hay personas jurídicas que prefieren pagar la multa que dejar de manipular irregularmente los datos personales de los habitantes.

Actualmente, las faltas leves se castigan con multas de hasta ¢2,3 millones (cinco salarios base), las graves implican sanciones entre ¢2,3 millones y ¢9,2 millones y las gravísimas, entre ¢6,9 millones y ¢13,8 millones.

El nuevo esquema implica, para las personas responsables, multas para faltas leves hasta por ¢4,6 millones; para las graves, entre ¢4,6 millones y ¢9,2 millones; mientras que las faltas gravísimas se pagarán con multas entre ¢13,8 y ¢27,7 millones.

Para las empresas, la sanción será diferente. La multa por manejo irregular de datos personales será igual al 2% del volumen de negocio total anual global del ejercicio financiero anterior, en caso de faltas leves.

Si las faltas son graves, la multa será del 4% del volumen de negocio total anual global y del 6%, en caso de que sean faltas gravísimas.

El proyecto define, como faltas leves recolectar datos sin dar suficiente y amplia información a la persona, o hacerlo por medio de mecanismos inseguros.

Las faltas graves que define la ley son el manejo de datos personales sin el consentimiento informado y expreso del titular de los datos, como lo ordena la ley.

También será grave que se transfieran datos a otras personas o empresas, o que se use la información para una finalidad distinta a la autorizada por el titular, así como negarse a dar acceso de un interesado a sus datos, o bien negarse a eliminar o rectificar los datos cuando una persona lo solicite.

Entre las faltas gravísimas están que personas físicas o jurídicas manejen datos sensibles de las personas, o que se obtengan datos personales por medio de engaño, violencia o amenaza del titular.

También será gravísimo revelar información registrada en una base de datos personales, cuando el responsable esté obligado al secreto por ley, o bien dar a un tercero información falsa o distinta a la que contiene un archivo de datos.

Las personas que manejen datos personales sin inscribirse ante la Prodhab también cometen faltas gravísimas, así como los que transfieran a bases de datos extranjeras información personal de costarricenses o extranjeros radicados en Costa Rica, sin el consentimiento de los titulares.

El proyecto entró a la Asamblea Legislativa este jueves, bajo el número de expediente 22.388.