El próximo 3 de abril se realizará la segunda vuelta presidencial en Costa Rica. El electorado elegirá al nuevo presidente entre José María Figueres, candidato del histórico Partido Liberación Nacional y ex presidente de la nación, y el oficialista Rodrigo Chaves, ex ministro de Hacienda e integrante del Partido Progreso Social Democrático. En un escenario convulsionado por las elecciones, uno de los temas más polémicos es la protección de datos personales. Varias organizaciones sociales se han reunido con los candidatos para conocer sus iniciativas en la materia.

Costa Rica fue uno de los primeros países de la región en aprobar una legislación en materia de datos personales, la Ley de Protección de la Persona frente al Tratamiento de sus Datos Personales, promulgada en 2011. Sin embargo, durante la última década la normativa se ha mantenido inalterada, pese a diferentes iniciativas de reforma que no prosperaron.

No solo eso. Los dos últimos años han estado marcados por varios casos de muy alto perfil relacionados con la violación de la intimidad y de la privacidad de las y los costarricenses, que involucran al actual presidente, Carlos Alvarado.   

La UPAD (Unidad Presidencial de Análisis de Datos) fue una iniciativa creada por el presidente Alvarado con el objetivo de ayudar a la toma de decisiones en materias tales como el diseño de políticas públicas y los presupuestos institucionales. Funcionó durante un año y medio en la Casa Presidencial, sin contar con aval del Ministerio de Planificación y sin que trascendiera públicamente su existencia.

Durante su funcionamiento, la UPAD tuvo acceso a información sensible de diversas entidades públicas como la Dirección General de Migración y Extranjeria Ministerio de Educación o Instituto Nacional de Estadísticas y Censo. Sin embargo, su trayectoria fue breve. El repudio general que produjo la noticia de que la Unidad manejaba datos confidenciales de los y las costarricenses tuvo como resultado la derogación del artículo que habilitó la creación de UPAD y su posterior desmantelación, en febrero de 2020.

El acceso discrecional de la presidencia a datos confidenciales llegó a ser calificada como “terrorismo de estado” por el Secretario General de la Asociación Nacional de Empleados Públicos y Privados, Albino Vargas, y los diputados opositores a Alvarado manifestaron que UPAD es una iniciativa “ilegal, inconstitucional y un abuso de poder”. Las irregularidades en su creación, la falta de transparencia en el manejo de datos y diferentes denuncias recibidas llevaron al inicio de investigaciones por parte de la Fiscalía, la Defensoría de los Habitantes y la Cámara de Diputados.

Debido a la gravedad de los hechos, la Fiscalía de Costa Rica ordenó allanar la casa presidencial y levantó acusaciones por los presuntos delitos de prevaricato (dictar resoluciones contrarias a la ley), fraude y abuso de autoridad contra Alvarado y otros siete funcionarios del Gobierno.  Concretamente, la Fiscalía considera que bajo el mando de Alvarado, la UPAD violó el artículo 14 de la Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales, que prohíbe la transferencia de datos personales sin mediar el consentimiento, así como el artículo 40 del Reglamento de esa ley; y la Ley de Registro, Examen y Secuestro de Documentos Privados e Intervención de Comunicaciones.

En su comparecencia frente a una Comisión Especial de la Asamblea Legislativa, en febrero de 2021, Alvarado declaró: “Finalizo esta jornada con la paz y tranquilidad de que hoy le rendí cuentas a las y los costarricenses y que lo dicho es la verdad: nadie espió a nadie, nadie se robó plata, nadie vendió información”.  Los delitos de los que se acusan al presidente y sus asesores se contemplan en el Código Penal, con penas que oscilan entre los tres meses y seis años de cárcel.

En medio de este escándalo, lo que suceda este año será crucial para el futuro de la protección de datos en Costa Rica. UPAD no es el único proyecto relevante en la materia. Actualmente existen diversas iniciativas en discusión.

El Proyecto de Repositorio de Datos Biométricos propone centralizar en el Tribunal Supremo de Elecciones (TSE) la recolección y tratamiento de datos biométricos de toda la población. De esta manera, la Policía, el Ministerio Público, el Organismo de Investigación Judicial y la Dirección General de Migración podrían acceder a estos datos sin orden ni intervención judicial. Este proyecto prevé que se  comercialice un módulo de consulta de datos biométricos, lo que convertiría a Costa Rica en el primer país del mundo en comercializar libremente datos biométricos de su población, incluyendo a menores de edad y turistas. La iniciativa fue dictaminada de manera unánime por la Comisión de Gobierno y Administración en octubre de 2021.

Además, la Dirección de Migración lanzará en el primer trimestre de 2022 un nuevo pasaporte que incorpora un sistema inteligente de datos biométricos. El pasaporte incluirá un chip con la biometría del rostro y las huellas dactilares de todas las personas con documento costarricense. Frente a esta iniciativa, la Fundación Privacidad y Datos presentó un recurso de amparo, pues considera que Migración y Extranjería no resolvió adecuadamente una serie de consultas que fueran realizadas sobre respecto al nuevo pasaporte. Además, sostienen que el proyecto no respeta el marco jurídico, ya que el tratamiento de datos biométricos solo puede darse mediante una ley habilitante, y esta ley no existe.

Asimismo, la Dirección de Migración no ha explicado las medidas de seguridad que dispondrá para que los datos se encuentren seguros en sus servidores. Como si fuera poco, dicho organismo indicó que no descarta compartir esos datos con fuerzas policiales, e incluso con otros países, sin que exista ninguna norma que regule su utilización.

Por último, una propuesta de reforma a la Ley de Protección de Datos Personales.  Actualmente existe un proyecto impulsado por el Partido Acción Ciudadana, cuyo objetivo es reformar el marco regulador de la protección de datos en el país, incluyendo el funcionamiento de la Agencia de Protección de Datos Personales. Sin embargo,  organizaciones sociales plantean que no se trata de una reforma integral, sino que de la misma ley actual con algunos agregados y conceptos actualizados. Sin embargo, manifiestan que el proyecto se perfila como un primer paso que podría admitir mejoras para una mayor seguridad jurídica.

Los principales problemas del proyecto son que no prevé sanciones relevantes cuando es el propio Estado quien incumple la legislación. También plantea la posibilidad de que los organismos públicos intercambien datos personales de la población teniendo como único requisito la firma de convenios institucionales.

Con motivo de la celebración del Día Internacional de la Protección de datos, Daniel Rodríguez, director ejecutivo de la Fundación Privacidad y Datos manifestó que en “Costa Rica, el reto más importante que enfrentamos es actualizar nuestra legislación en la materia. Tenemos, cuando menos, diez años de retraso en este tema y el precio que pagamos por cada día que pasa sin una nueva ley, es muy alto”.