El presidente Carlos Alvarado insiste en un proyecto de ley sobre datos personales cuestionado por expertos en ciberseguridad. (Archivo/CRH).

(CRHoy.com) -El gobierno de Carlos Alvarado insiste en impulsar un cuestionado proyecto de ley sobre datos personales, a pesar de las alertas que han hecho expertos en ciberseguridad.

La iniciativa, presentada por el diputado Enrique Sánchez, del oficialista Partido Acción Ciudadana (PAC), fue convocada por la Casa Presidencial en las sesiones extraordinarias de la Asamblea Legislativa para que avance en su trámite.

Adalid Medrano, abogado especialista en delitos informáticos y ciberseguridad, y Mauricio París, abogado experto en arbitraje, tecnología, protección de datos y contratos internacionales, han planteado cuestionamientos por los riesgos y debilidades que todavía mantiene el proyecto.

El diputado Enrique Sánchez, del PAC, propuso la iniciativa de ley. (Archivo/CRH).

Según Medrano, aunque en el texto sustitutivo se introdujeron mejoras, también se incorporaron contenidos que considera peligrosos.

Por ejemplo, mencionó el artículo 14 de la propuesta que establece que las cesiones de datos personales realizadas entre entes públicos, así como todo procesamiento efectuado con los datos cedidos, serán lícitas en la medida en que se cumplan las siguientes condiciones:

• Que el la entidad que cede haya obtenido los datos en ejercicio de sus funciones.
• Que el ente cesionario utilice los datos pretendidos para una finalidad que se encuentre dentro del marco de una competencia legal vigente.
• Que los datos involucrados sean adecuados y el tratamiento no exceda el límite de lo necesario en relación con su finalidad.

De acuerdo con la propuesta, las cesiones deberán llevarse a cabo en el marco de un convenio interinstitucional.

Los convenios tendrían que ser comunicados a la Agencia de Protección de Datos de los Habitantes (Prodhab).

Riesgos

El experto en ciberseguridad Adalid Medrano dijo que la propuesta contiene elementos peligrosos. (Archivo/CRH).

Para Medrano, el planteamiento del artículo 14 incorporaría un "marco normativo laxo" que podría permitir la operación legal de entidades como la cuestionada Unidad Presidencial de Análisis de Datos (UPAD).

"El texto sustitutivo trae importantes mejoras con respecto al proyecto original, pero también viene a erosionar la privacidad de los habitantes en algunos puntos", sostuvo el experto.

Aseguró que "con respecto a la cesión de los datos, propone un marco normativo laxo y permisivo, lo que parece no aprovechar las enseñanzas del caso UPAD, en donde se evidencia el riesgo de la centralización de las bases de datos y la falta de medidas de seguridad para proteger los datos de los habitantes. (…) Si pasa este proyecto, como está redactado, los riesgos que se dieron en el caso UPAD serían una práctica legalizada."

También advirtió de las siguientes debilidades:

• Su redacción laxa con respecto a los datos de acceso irrestricto permite que las instituciones públicas sigan decidiendo cuáles datos incorporan en registros públicos. Esto reduciría la privacidad de los habitantes de forma sistemática.
• Le permitiría a la Prodhab asesorar cuando su labor debe ser fiscalizar o dictar directrices, pero no ser el "amigo asesor del Gobierno", como parece hasta la fecha.

"Proyecto mediocre"

Mauricio París, también experto en protección de datos, calificó la nueva versión del proyecto como mediocre. (Archivo/CRH).

Mauricio París, por su parte, calificó el texto sustitutivo como "mediocre" y dijo que "es un conjunto de parches que le han puesto producto de las críticas generalizadas que recibió el primer proyecto".

"Es un proyecto que no fue realizado por expertos en protección de datos personales y esto salta a la vista", afirmó.

París destacó que la iniciativa contiene varias propuestas que le preocupan:

• La insistencia de trasladar la Prodhab a la Asamblea Legislativa. "Esto es inconstitucional. La Sala Constitucional desde los 90 ha sido clara al indicar que las atribuciones de iniciar procedimientos administrativos e imponer sanciones administrativas son atribuciones que, de acuerdo con nuestra Constitución Política, únicamente tiene el Poder Ejecutivo."
• Mantiene la posibilidad de que las instituciones públicas se trasladen los datos de los costarricenses "como les venga en gana", con el único requisito de que le informen, ni siquiera que soliciten autorización, a la Prodhab de dicho traslado.  "Esto es absolutamente contrario a los principios de la protección de datos personales (…) Se está dejando un portillo gigante para que el Estado siga haciendo fiesta con los datos de los costarricenses aduciendo cualquier tipo de excusa (…) Esto se tiene que cerrar y se tiene que limitar a que las transferencias de datos entre instituciones tienen que estar justificadas o validadas en una ley especial."
• Se pretende darle la posibilidad a la Prodhab de imponer multas hasta del 6% del volumen de ventas global a las empresas por faltas en materia de protección de datos personales. Según París, esto podría ahuyentar a cualquier tipo de empresa interesada en hacer negocios en Costa Rica, que pasaría a ser el país con las multas más altas a nivel internacional en materia de protección de datos personales, incluso más que en la Unión Europea.
• Se procura legitimar el tratamiento de datos personales que se realice de opiniones políticas. Explicó que actualmente las opiniones políticas están protegidas por la ley como dato sensible. Pero con el proyecto se les quitaría esa protección a las opiniones políticas.

"Es un proyecto que procura legitimar los tratamientos de datos personales ilegales que ha hecho el Partido Acción Ciudadana en el poder en los últimos cuatro años", concluyó París.