c) Domicilio para efectos de notificación.
d) Traducción o resumen en español si la petición se presenta en lengua extranjera"[84].
En ese sentidos es esencial que se tomen las medidas previsoras, para la notificación en donde además, dichas peticiones se presenten en forma directa ante el órgano o entidad correspondiente o podrán presentarlas en forma personal o por medio del correo electrónico, fax, etc. Si bien es cierto, se contempla dentro de proyecto que las peticionantes dispondrán de cinco días naturales para formalizar sus pedidos conforme a lo dispuesto en el proyecto de ley, no se toman las medidas previsoras para que en caso de que sea violatorio al derecho mismo, se tome como urgente y se solvente en forma inmediata a través de un comunicado, o dictamen hasta tanto no se emita la resolución en el límite de tiempo establecido tales efectos.
De toda petición presentada las oficinas correspondientes deberán emitir la nota de recibido con indicación de la fecha, hora, funcionario receptor y día de entrega de la respuesta correspondiente. En todo caso, no podrá calificarse de inadmisible una petición por la falta de uno o varios de los requisitos señalados al momento de la presentación de la misma. En tal situación se concederá hasta tres días hábiles a las o los peticionantes para que completen la información. En todo caso, podrán exigir la confidencialidad de sus datos personales, ello si así lo estipule el accionante, con la finalidad de no violentar su derecho, máxime que se esta ante el planteamiento de un proyecto de ley que lo que busca tutelar es justo parte de sus derechos, siempre que estos sean de interés solamente para el accionante y no sea de interés publico, ello por lo que se indicó anteriormente en lo referente a la publicidad de la información, lo cual deberá ser calificado por el ente contralor y así deberá hacerlo saber al momento de recibir la documentación, con la finalidad de que no se genere conflicto de intereses.
Si bien es cierto, en el numeral 10 del presente proyecto, es deber de responsabilidad de los sujetos obligados, en este caso los Poderes del Estado y demás órganos o entidades señalados en el artículo 2 del proyecto Ley, a las cuales vayan dirigidas las peticiones, estarán obligados a dar respuesta a las cuestiones objeto de la petición, en un plazo no superior a diez días hábiles contados a partir del día siguiente de la recepción de la petición. Siendo que, dentro del mismo plazo deberán informar al interesado o interesada sobre el trámite que corresponda a su petición. De igual forma, si resulta extensa o compleja la solicitud por parte del accionante, se deberá indicar el plazo dentro del cual obtendrá la información o bien indicar a cuál otra autoridad debe dirigirla en razón de competencia por la materia. Igualmente, podrá declarar su inadmisibilidad en forma razonada.
En este sentido, también se considera dentro del presente trabajo de investigación que al existir un ente por parte del estado que se denomina Comisión Nacional Política Informática, la cual esta adscrita al Ministerio de Ciencia y Tecnología, sean en este caso que el recurrente o accionante presente su petición ante el ente, pues se considera que es quien debería llevar un control de todas las bases de datos tanto de los entes públicos como privados. En todo caso se debería brindar audiencia a al accionante. A fin de que los Poderes del Estado y los órganos o entidades del resto de la Administración Pública, a quienes se dirija la petición, podrán convocar a los interesados en audiencia especial, de considerarlo necesario, para responder a su petición, y en caso de empresas privadas, se tomen las medidas respectivas en forma inmediata a fin de que brinden la explicación respectiva sobre la petición de modificación o eliminación de los datos, que el accionante y el ente consideren violenta el derecho de autodeterminación informativa, ello como una forma de prevención y no al momento de que se violente el derecho, que se pretende tutelar en el proyecto en estudio.
Un aspecto importante a recalcar es lo estipulado en el numeral 15 del proyecto de ley, en cuanto al plazo para brindar una respuesta a la petición del accionante, en cuyo caso si no se responde dentro del tiempo establecido o si la respuesta a la requisitoria hubiere sido ambigua o parcial, sin justificación de su inexactitud o parcialidad como del posible plazo para la entrega de la información restante, se considera Silencio, denegatoria, por lo tanto se habilita la vía jurisdiccional de acción de amparo ante la Sala Constitucional según lo señala el artículo 32 de la Ley Orgánica de la Jurisdicción Constitucional [85]
Tal y como se indicó anteriormente, el derecho de acceso a la información de interés público, se mantiene presente el principio de publicidad de los actos resultantes del ejercicio de la función pública, toda persona tiene el derecho a solicitar y recibir información de acceso público en forma completa, veraz, adecuada y oportuna de parte de cualquier entidad u órgano público sujeto a esta Ley, en ese sentido, las sesiones de los órganos y entes de la Administración sujetos a esta Ley son públicas y solo podrán ser declaradas privadas, de modo excepcional, cuando así el órganos contralor así lo disponga, siempre y cuando se tutele el derecho individual y no violente el principio de publicidad, de igual forma se tiene que tomar en cuenta que cuando se vayan a tratar asuntos que versen sobre información de acceso restringido, según lo disponen los artículo 34 y siguientes del proyecto de Ley en estudio. En todo caso, esta resolución debe ser motivada en los términos establecidos por el artículo 37 del proyecto de Ley.
Dentro del marco del proyecto de ley, en su artículo 21 se establece en lo referente a la entrega de información que: "Los órganos y entidades requeridos deberán establecer un mecanismo claro y simple de constancia de la entrega efectiva de la información al solicitante. La información podrá entregarse por medio de correo electrónico cuando el solicitante disponga de tal facilidad y cuando así lo haya indicado, o cuando la solicitud hubiere sido presentada por esa vía. En caso de que la información solicitada por la persona ya se encuentre disponible al público en medios impresos, tales como libros, compendios, archivos públicos de la Administración, así como también en formatos electrónicos disponibles en Internet o en cualquier otro medio, se le hará saber al solicitante la fuente, el lugar y la forma en que puede tener acceso a la información previamente publicada" [86]
Sin embargo, se considera que dentro del marco de aprobación del proyecto se deben de dictar los mecanismos claros por parte del ente encargado de velar de que se brinde la información, no dejando de lado que si se estipula la forma de entrega de la información, se velaría para que la misma se de de forma mucho más expedita, no dejando portillos abiertos para que se realice un trámite burocrático que es muy propio de las instituciones estatales en cuanto al resguardo de la información, de forma tal que al ser el órgano contralor quien velará de antemano que información es considerada de interés público o privado, desde el momento en que el accionante realice la solicitud.
Al realizar el presente análisis del proyecto de ley en su numeral 27 y siguientes se detalla que es el tipo de información, sea esta de carácter público o privado, siendo que se clasifica como información pública, de publicación obligatoria, confidencial y de acceso restringido.
"Se considera información de interés público, y por lo tanto objeto de ser solicitada por cualquier persona al amparo de esta Ley, aquella referente a leyes, decretos, ordenanzas, resoluciones, reglamentaciones, proyectos, contratos, planes operativos institucionales, presupuestos, ejecuciones presupuestarias, balances patrimoniales, cuadros de resultados, actas de reuniones, dictámenes, análisis y datos estadísticos, informes, reportes y cualquier documento o información que se halle registrada, archivada o bajo control del órgano, entidad o sujeto requerido, independientemente de su soporte material, sea escrito, magnético u otro. El órgano requerido no tiene obligación de crear o producir información con la que no cuente al momento de efectuarse el pedido. Igualmente, la documentación producida en el ámbito de la Administración Pública central, en las instituciones descentralizadas y en los Poderes de la República, y que se detalla a continuación, tendrá el carácter de información pública y será de libre acceso para cualquier entidad o persona interesada en conocerla:
a) Las grabaciones y actas de sesiones del Directorio Legislativo
b) Las grabaciones y actas del Plenario legislativo y de las comisiones de la Asamblea Legislativa.
c) Las grabaciones y actas del Consejo de Gobierno.
d) Las grabaciones y actas de las sesiones de Corte Plena.
e) Las grabaciones y actas del Tribunal Supremo de Elecciones.
f) Las grabaciones y actas de las sesiones de los concejos municipales.
g) Las actas de juntas directivas y demás órganos colegiados con capacidad de decisión administrativa pertenecientes a la Administración Pública.
h) Estados de ejecución de los presupuestos de gastos y del cálculo de recursos, hasta el último nivel de desagregación en que se procesen.
i) Órdenes de compra, todo tipo de contratos firmados por autoridad competente, así como las rendiciones de fondos anticipados, incluyendo información relativa a obras públicas, y servicios contratados con el detalle de todas sus características y normativa legal aplicable.
j) Órdenes de pago ingresadas a la Tesorería Nacional y al resto de las tesorerías de la Administración Nacional.
k) Pagos realizados por la Tesorería Nacional.
l) Gasto total de planillas por pago a personal permanente, interino o bajo regímenes especiales, incluido el personal de los proyectos financiados por organismos multilaterales.
m) Viáticos y gastos de representación, costos de viajes y otros rubros similares, otorgados a funcionarios de cualquier nivel como a particulares en el desempeño de funciones públicas.
n) Listado de beneficiarios de jubilaciones, pensiones y retiros; de indemnizaciones y compensaciones cubiertas con fondos públicos; de programas de becas; de cualquier tipo de subsidio estatal; de bonos de vivienda y de ayudas o beneficios sociales.
o) Estado de situación, perfil de vencimientos y costo de la deuda pública del ente u órgano respectivo, así como de los avales y garantías emitidas, y de los compromisos de ejercicios futuros contraídos.
p) Inventarios de bienes inmuebles, muebles y de inversiones financieras.
q) Normas de regulación y control fijados por los entes reguladores.
r) Toda otra información calificada como pública por esta u otras leyes. [87]
En este sentido, se debe de tener algo de cuidado, por parte del ente estatal, pues en muchas de las instituciones, como por ejemplo algunos aspectos a tratar pueden ser que toquen el tema el ámbito privado, por lo tanto si se trata del principio de publicidad, puede darse que al generarse algún documento que por tratarse de asuntos relevantes a discusión de algún caso particular, puede verse violentado el derecho de Autodeterminación informativa. En ese sentido se considera indispensable que el ente contralor verifique que no se violente el interés individual de algún ciudadano, máxime que es lo que se pretende tutelar con el presente proyecto.
Dado lo anterior, y como se analizo en el trabajo a través de las diferentes resoluciones evaluadas en la investigación, se tiene que tanto instituciones estatales como empresas privadas manejan información desactualizada, lo cual ha venido en detrimento o perjuicio de las personas que ven afectado su derecho a la Autodeterminación informativa, el numeral 30 del proyecto tutela que:
"En atención al principio de publicidad, los sujetos, entes y órganos señalados en el artículo 2 del proyecto de Ley deberán tener disponible en forma impresa o en sus respectivos sitios de Internet, información actualizada cada semestre respecto de los temas, documentos y políticas que a continuación se detallan:
a) La normativa jurídica actualizada que rige la entidad u órgano.
b) Las políticas generales de la entidad u órgano, que formen parte de su plan estratégico.
c) Los manuales de procedimientos internos
d) La descripción de la estructura organizativa y de las facultades administrativas de cada unidad que le compone
e) El directorio de servidores públicos, desde el nivel de jefe de departamento o sus equivalentes
f) La descripción de los formularios y reglas de procedimiento para obtener información de la institución y el sitio o medio por el cual pueden ser obtenidos
g) Las memorias o informes que deben por disposición constitucional o legal rendir anualmente
h) Los planes operativos anuales que fundamentan los presupuestos institucionales de la Administración Pública, según la Ley de Administración Financiera de la República y Presupuestos Públicos, Ley Nº 8131.
i) Toda aquella información relativa a los montos y las personas a quienes entreguen, por cualquier motivo, recursos públicos, así como los informes que dichas personas les entreguen sobre el uso y destino de dichos recursos".
En ese sentido, se viene a regular mediante dicha disposición un problema que ha venido afectando a los usuarios, sobre todo en la parte crediticia o en asuntos relacionados con informes de diferentes entes estatales que se verán en la obligación de mantener mucho más actualizadas sus bases de datos a fin de no causar un perjuicio al ciudadano, del cual manejan información. Cuando un documento contenga, en forma parcial, información cuyo acceso esté limitado por contener información de carácter personal, confidencial o restringida, se deberá suministrar el resto que sea disponible, de esta forma no se violenta el principio de publicidad tutelado en nuestro ordenamiento jurídico. Del mismo modo, cuando una sesión se declare privada en razón de los asuntos a tratar, la parte de la sesión destinada a conocer de otros asuntos mantendrá su carácter público.
Se tiene que nuestra Constitución Política en su numeral 24, tutela la información relativa al ámbito de la intimidad de las personas se considera información confidencial y goza de la protección, por lo tanto si bien es cierto se estipula dicha protección no es muy clara en lo que respecta al ámbito de la intimidad, por lo tanto la regulación en este sentido, deberá brindarse tal y como la misma Sala Constitucional a través de sus múltiples resoluciones, por lo tanto se debe de ser mucho más amplio en este sentido, tomando en cuenta que se esta ante una sociedad moderna y que debe de tomarse en cuenta que se esta ante una sociedad informatizada, por lo tanto la variante en este sentido debería ser mucho más explicita en el proyecto de ley.
Dentro del marco legal del proyecto se tiene que en el numeral 2 cuando los particulares suministren a los órganos y entes públicos información que consideren confidencial deberán señalarlo expresamente en su solicitud. Lo anterior, con la finalidad de buscar la protección de la información confidencial.
De igual forma, en el caso de que una solicitud de acceso incluya información confidencial, los sujetos obligados la comunicarán siempre y cuando medie el consentimiento expreso del titular de la información confidencial, en ese sentido, los órganos y entes señalados en el artículo 2 del proyecto de Ley son responsables de mantener la confidencialidad de los datos personales a que accedan en el ejercicio de su función, y en relación con éstos deberán:
a) Adoptar los procedimientos adecuados para recibir y responder las solicitudes de acceso y corrección de datos personales, así como capacitar a sus funcionarios para proteger la confidencialidad de los mismos.
b) Solicitar, almacenar y tratar datos personales sólo cuando éstos resulten adecuados, pertinentes y estrictamente necesarios en relación con los propósitos para los cuales se obtengan.
c) Procurar que los datos personales sean exactos y actualizados.
d) Sustituir, rectificar o completar de oficio los datos personales que fueren inexactos o incompletos, ya sea total o parcialmente, en el momento en que tengan conocimiento de esta situación.
e) Adoptar las medidas necesarias que garanticen la seguridad de los datos personales y eviten su adulteración, pérdida, transmisión y acceso no autorizado. [88]
Si bien toma como base en este enunciado lo referente a la actualización de los datos, el uso y corrección de los mismos, se deja por fuera a las llamadas empresas protectoras de crédito que manejan un volumen de información confidencial que de los ciudadanos y al no tomarse en cuenta sigue sin solucionar el problema de la vulnerabilidad del derecho a tutelar, claro esta que muchas de las informaciones son tomadas de este tipo de bases de datos, con las cuales se lucra, sin embargo no se cuenta con la debida tutela respectiva en ese sentido, por lo que genera una gran interrogante de cómo viene a darse para el sector público y no es tomado para que no se vea afectado en las empresas privadas que se alimentan de este tipo de bases de datos y que de alguna forma obtienen información y que no la actualizan con regularidad tal y como se pretende establecer en las entidades estatales.
Como parte del proyecto dentro de un derecho tutelado en nuestra Constitución se tiene que la Legitimación, es importante para poder accionar, es por ello que, toda persona estará legitimada para promover el recurso de Hábeas Data, con el objeto de garantizar la privacidad de la información de carácter personal en poder del Estado y sus instituciones, así como el acceso a ella cuando la persona interesada lo solicite. Este recurso procederá cuando el funcionario público responsable del manejo y custodia de la información personal no haya protegido su privacidad o se negare a suministrarla, o la suministre de modo insuficiente o inexacto, siendo que de acuerdo a su competencia para su conocimiento y trámite, dicho recurso es competencia de la Sala Constitucional de la Corte Suprema de Justicia y se tramitará mediante procedimiento sumario, sin formalidades, sin necesidad de abogado y en lo que respecta a la sustanciación, impedimentos, notificaciones y demás procedimientos, se aplicarán las normas que para estas materias se regulan en el ejercicio del recurso de Hábeas Corpus establecido en la Ley de la Jurisdicción Constitucional, Ley Nº 7135, de 11 de octubre de 1989, por lo tanto los aspectos procesales para tales efectos deberá siempre ser conocido a través del proceso en caso de que no se obtenga una respuesta favorable por parte del accionante.
Dentro del marco del texto del proyecto de Ley, según el numeral 46 y siguientes, se plantea la creación del Centro Nacional de Información Pública, también denominado "CENIP", como órgano de desconcentración máxima perteneciente a la Defensoría de los Habitantes de la República, cuyas funciones, atribuciones y objetivo competencial establece que deberá:
"a) Constituirse en receptor, compilador, actualizador y reproductor de toda la información pública que le sea suministrada en los términos que establece la presente Ley.
b) Conformarse en canal de acceso efectivo para los solicitantes, sean personas físicas, jurídicas o entidades, a la información pública.
El Centro Nacional de Información Pública tendrá las siguientes funciones:
a) Recopilar la información pública y de publicación obligatoria, conforme a los términos de esta Ley.
b) Publicar o reproducir por cualquier medio la información pública, para garantizar a los ciudadanos el libre acceso a dicha información.
c) Mantener actualizadas las bases de datos sobre información pública.
d) Establecer y alimentar un sistema de información administrativa al ciudadano, sobre los servicios públicos y trámites de toda la Administración Pública.
e) Otras que determine esta Ley."
Si bien es cierto se pretende crear un órgano que se encargue de velar por lo establecido en el proyecto de Ley, se considera que si de antemano y en relación al avance tecnológico, el estado costarricense ha mostrado interés por dar respuesta a los diversos retos que plantea la llamada sociedad de la tecnología, se da la creación de la Comisión Nacional Política Informática, la cual se encuentra en las instalaciones del Ministerio de Ciencia y Tecnología, por lo antes expuestos, se debe de tener en cuenta que al existir dicha Comisión, ya se cuenta con una estructura, por lo que la función a la hora de entrada en vigencia del proyecto en estudio, sería competencia de dicho Centro y no generar la creación de otro ente. Además de los informes descritos, los Poderes del Estado, la Contraloría General de la República y la Defensoría de los Habitantes de la República.
En el numeral 58 del proyecto se menciona sobre el aspecto de la Reiteración del desacato, en donde quien diere lugar a que se acoja un nuevo recurso de amparo o de hábeas corpus, por repetirse en daño de las mismas personas las acciones, omisiones o amenazas que fueron base de un amparo anterior declarado procedentemente, será sancionado, según lo dispuesto en el artículo 71 de la Ley Orgánica de la Jurisdicción Constitucional, Ley Nº 7135, de 11 de octubre de 1999, siempre que el delito no esté sancionado con pena más grave. Siendo que no existe una lista taxativa de que se considera como pena grave, por lo tanto, debería de indicarse de forma tal que se respete el derecho del individuo dentro de una sociedad democrática y estado de derecho. De igual forma en lo referente al funcionario o funcionaria que obstaculice el acceso a la información, destruya o altere un documento o registro, sin perjuicio de las responsabilidades administrativas y civiles derivadas del hecho, será sancionado con pena de prisión de seis meses a tres años.
Pero es otro aspecto en donde no se menciona a las empresas privadas que manejan información muy detallada y que violenta el derecho a la Autodeterminación informativa, tal y como se ha demostrado en la presente investigación a través de las múltiples sentencias dictadas por la Sala Constitucional. Pareciera que la función del presente proyecto toma como base la información de las diferentes entidades estatales y no entra en una discusión amplia sobre las empresas privadas que lucran con datos personales de los ciudadanos y que en la mayoría de los casos no mantienen la información actualizada, además que venden la información sin control alguno al mejor postor, sin importar el uso que a la misma se le de, por lo que no se solventa mucho la situación tan desfavorable que se ha venido presentando, quedando en ese sentido algo desprotegido el ciudadano ante tal situación.
Un aspecto importante es que se pretende dentro del proyecto es que se brinda un plazo no mayor a un año, a fin de que el Centro ofrezca libre acceso a la misma por medio de las respectivas plataformas informáticas de la página oficial de la Defensoría de los Habitantes de la República. Este aspecto es importante para la ciudadanía, sin embargo llegamos al mismo tema como se controla que sea el usuario o persona que acceda el sistema de información el titular y legitimado para revisar sus datos en el sistema.
Dado lo anterior, deberá tomarse en cuenta dicho aspecto, porque más que proteger y reconocer el derecho en discusión, se dará hincapié a que cualquier persona pueda acceder la información de una forma mucho más sencilla, sin recurrir a las bases de datos de las empresas privadas, debido a la gratuidad que se le brinda para el libre acceso.
5.2 Análisis Ley de Protección de la Persona frente al tratamiento de sus datos personales. Expediente N. º 16.679
Como se ha venido mencionando a través del presente estudio, en la actualidad, la protección de datos de las personas se constituye en uno de los grandes temas jurídicos que deben ser abordados en la sociedad del siglo XXI; que las tecnologías de la información se constituyen en medios de manejo y difusión rápida de los datos, sin mayor consideración ni control y en que la realidad costarricense no es ajena a toda una diversa gama de situaciones que se presentan con la información que viaja a través de la red de Internet o que la encontramos ubicada en bases de datos públicas y privadas. Frente a esta situación, se debe tomar en consideración todo lo relativo a la protección de derechos fundamentales de las personas, entre ellos, los derechos de la personalidad y el derecho a la intimidad incluyendo el de Autodeterminación informativa, debe de ser tutelados a través de leyes expresas que vengan a dictar los parámetros de uso y difusión de los datos, dándoles un sentido de información privada y publica, de acuerdo a los intereses de una sociedad
El proyecto analizado anteriormente viene a brindar algunos parámetros para la protección de datos en el ámbito de las bases de datos del sector público, siendo que el proyecto sobre Ley de Protección de la Persona frente al tratamiento de sus datos personales. Expediente N. º 16.679, viene a retomar un aspecto más amplio relacionado al Derecho de Autodeterminación Informativa y le brinda una mayor aplicabilidad, se realiza un análisis en el presente estudio a fin de poder definir si el ámbito de aplicación es favorable al ciudadano costarricense.
Dicho proyecto de Ley tiene como objetivo garantizar a cualquier persona física o jurídica, sean cuales fueren su nacionalidad, residencia o domicilio, el respeto a sus derechos fundamentales, concretamente, su derecho a la autodeterminación informativa en relación con su vida o actividad privada y demás derechos de la personalidad; asimismo, la defensa de su libertad e igualdad con respecto al tratamiento automatizado o manual de los datos correspondientes a su persona o bienes.
En ningún caso se podrá afectar el secreto de las fuentes de información periodística y el secreto profesional que determinen las leyes correspondientes.
Si bien es cierto, con el proyecto se pretende o se busca garantizar a las personas su derecho fundamental a la libre autodeterminación informativa, de forma tal que no se violente dicho derecho dentro de un estado moderno, buscando de esta forma proteger el ámbito privado de cada individuo, tal y como se menciono en el análisis del texto del proyecto de Ley sobre el Hábeas Data, es decir que cada persona pueda decidir cuales datos personales desea que terceros tengan acceso al mismo. Y solo con su permiso puedan hacer uso de los mismos, dependiendo del fin para el cual se requieran.
El capítulo I, es denominado "Disposiciones generales" y se refiere al objeto y fin de la iniciativa, así como a una lista de definiciones de algunos de los conceptos contenidos en su articulado, procurando siempre emplear únicamente los más aceptados por la doctrina de vanguardia, mismos que se analizarán mas adelante.
De igual forma en el proyecto dentro del capítulo II, denominado "Principios básicos para la protección de los datos", en el mismo se trata de regular con detalle los diversos aspectos relacionados al derecho de las personas respecto al manejo de sus datos, reconociendo en su articulado los deberes de obtención del consentimiento del afectado, calidad, seguridad y cesión de los datos, categorías de datos que requieren de una protección mayor a la regla general (datos sensibles), garantías efectivas de acceso a la información personal, corrección, supresión y actualización de la misma, de igual forma, se prevé la posibilidad de que las entidades públicas y privadas diseñen sus propios protocolos de actuación en materia de protección de datos.
Por otro lado en el capítulo III denominado: "Transferencia de datos personales", se establece como regla general la imposibilidad de que los administradores de archivos públicos o privados, transfieran a terceras personas en el extranjero, informaciones pertenecientes a otros, incorporando algunas excepciones.
El capítulo IV, denominado "De la Agencia para la Protección de Datos Personales (Prodat)", crea un órgano de desconcentración máxima adscrito a la Defensoría de los Habitantes, denominado Agencia para la Protección de Datos Personales, la cual gozará de independencia funcional y de criterio en el desempeño de sus funciones. Este órgano regulador del tratamiento de datos personales, dotado de suficiente independencia y de las herramientas técnicas y material humano necesarios para llevar a cabo su trabajo en forma efectiva y objetiva. No se pretende crear una abultada y tradicional estructura administrativa, sino una unidad de dimensiones moderadas, pero integrada por profesionales calificados con acceso a las últimas tecnologías en materia de informática y apenas el personal de apoyo indispensable, a fin de que su creación no implique una significativa carga en el presupuesto de la República y a la vez pueda cumplir con su objetivo. Sus funciones se caracterizan por ser: preventivas (inscripción y autorización de las bases de datos y protocolos de actuación, inspecciones oficiosas, entre otras); y reactiva (atención de denuncias, imposición de órdenes y sanciones administrativas, etc.). A la cabeza del órgano se propone elegir a una persona con experiencia, capacidad y solvencia moral suficientes para afrontar el reto de defender a las personas ante las diversas entidades, públicas y privadas, sin importar su investidura o poder. La Agencia estará compuesta por cinco departamentos: la dirección, la subdirección, el Registro de archivos y bases de datos, el Departamento de Inspección y el Departamento de divulgación, este último encargado de crear conciencia entre los habitantes y el mercado acerca de la necesidad de velar por el buen uso de sus datos.
El mismo proyecto presenta un V capítulo denominado: "Procedimientos", desarrolla la intervención en archivos y bases de datos, así como un régimen sancionatorio aplicable a los administradores de ficheros y los procedimientos internos para ejercer la competencia disciplinaria contra los funcionarios de la Agencia y el procedimiento correspondiente que se podría implementar contra el Director (a) o Subdirector (a) de la Agencia, en caso de que incurra en una causal de sanción.
Como parte del ámbito de aplicación del proyecto de Ley, se toma como de importancia datos sensibles que figuren en bases de datos automatizadas o manuales de entes públicos o privados y a toda modalidad de uso posterior, de datos de carácter personal, siendo que, el régimen de protección de los datos de carácter personal que se establece en el proyecto de ley no sería de aplicación en los siguientes casos:
"a) A los ficheros automatizados de titularidad pública cuyo objeto, legalmente establecido, sea el almacenamiento de datos para su publicidad con carácter general.
b) A los ficheros mantenidos por personas físicas con fines exclusivamente personales o domésticos.
c) A los ficheros de información tecnológica o comercial que reproduzcan datos ya publicados en boletines, diarios o repertorios oficiales.
d) A los ficheros de informática jurídica accesibles al público en la medida en que se limiten a reproducir disposiciones o resoluciones judiciales publicadas en periódicos o repertorios oficiales.
e) A los ficheros mantenidos por los partidos políticos, sindicatos e iglesias, confesiones y comunidades religiosas en cuanto los datos se refieran a sus asociados o miembros y ex miembros, sin perjuicio de la cesión de los datos que queda sometida lo dispuesto en el artículo 10 de esta Ley, salvo que resultara de aplicación el artículo 7 por tratarse de los datos personales en él contenidos.
Se regirán por otras disposiciones específicas:
a) Los ficheros regulados por la legislación del régimen electoral.
b) Los derivados del Registro Civil" .[89]
En el artículo 3 del proyecto de ley, se brindan las definiciones o clasificación de los datos de forma tal que se brinda en ese sentido y que serán para tales efectos y que a continuación se transcriben:
"a) Datos de carácter personal: cualquier información relativa a una persona física identificada o identificable.
b) Datos de una persona jurídica: aquellos datos que el ordenamiento no les ha dado el carácter de público.
c) Datos sensibles: datos personales que revelen origen racial, opiniones políticas, convicciones religiosas o espirituales, condición socioeconómica, información biomédica o genética, vida sexual y antecedentes delictivos, operaciones bancarias, registros tributarios, aduaneros o relativos a actividades económicas.
d) Archivo, registro, fichero o base de datos. Conjunto organizado de datos personales que sean objeto de tratamiento o procesamiento, automatizado o no, cualquiera que fuere la modalidad de su formación, almacenamiento, organización o acceso.
e) Tratamiento automatizado: operaciones que a continuación se indican: producción de registros de datos, aplicación a esos datos de operaciones lógico aritméticas, su modificación, borrado, extracción o difusión.
f) Autoridad encargada del fichero: significa la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo público o privado, que sea competente con arreglo a la ley para decidir cuál será la finalidad del fichero automatizado, cuáles categorías de datos de carácter personal deberán registrase y cuáles operaciones se les aplicarán.
g) Interesado: persona física o jurídica, titular de los datos que sean objeto del tratamiento automatizado o manual.
h) Disociación de datos es: tratamiento de datos personales de manera que la información obtenida no pueda asociarse a persona determinada o determinable " [90]
En lo relativo a los principios básicos para la protección de los datos, se brinda el derecho de información en la recolección de los mismos, por lo tanto, las personas físicas a quienes se soliciten datos de carácter personal y a las personas jurídicas cuyos datos no se les ha dado el carácter de público; deberán ser previamente informados de modo expreso, preciso e inequívoco directamente o por apoderado con poder o cláusula especial; las personas jurídicas por medio de su representante legal o apoderado con poder o cláusula especial según se dispone en el proyecto:
a) De la existencia de un fichero automatizado o manual de datos de carácter personal, de la finalidad de la recogida de estos y de los destinatarios de la información.
b) Del carácter obligatorio o facultativo de sus respuestas a las preguntas que se les formulen.
c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
d) De la posibilidad de ejercer los derechos de acceso, rectificación, actualización, cancelación y confidencialidad.
e) De la identidad y dirección del responsable de las bases de datos.
De igual forma, cuando se utilicen cuestionarios u otros impresos para la recolección, figurarán en los mismos en forma claramente legible, las advertencias a que se refiere el apartado anterior. En ese sentido, no será necesaria la información a que se refiere el apartado a), si el contenido de ella se deduce claramente de la naturaleza de los datos personales que se solicitan o de la circunstancia en que se recaban o de la información derivada de la actividad ordinaria de la institución o de su giro normal; o de la empresa solicitante.
En ese sentido, se estipula en el enunciado 5 del proyecto, que se deberá contar con el consentimiento del interesado en el suministro de los datos. Por lo tanto, será el titular de los datos deberá dar por sí o por su representante legal o apoderado el consentimiento para la entrega de los datos, salvo que la ley disponga otra cosa dentro de los límites razonable, es así como se tiene que en ese caso La razón habilidad deberá ser considerada por el Director o Directora de la Agencia de Protección de Datos Personales si se le planteare en caso de controversia. Lo anterior vale tanto para los ficheros de titularidad pública o privada.
Para tales efectos, se requerirá del consentimiento del titular de la información la cual deberá constar por medio de autorización por escrito o por otro medio idóneo, físico o electrónico. Pero no será necesario el consentimiento cuando siempre y cuando exista orden motivada, dictada por autoridad judicial competente o bien los datos se obtengan de fuentes de acceso público irrestricto y se trate de listados cuyos datos se limiten a nombre, documento nacional de identidad, y fecha de nacimiento, u otros datos que por ley especial tengan la misma condición.
En el proyecto que es analiza, en su numeral 6 especifica la calidad de los datos, siendo que, se indica que los datos solo podrán ser recolectados, almacenados y empleados los datos de carácter personal para su tratamiento automatizado o manual, esto siempre y cuando tales datos sean adecuados, pertinentes y no excesivos en relación con el ámbito y finalidades legítimos para los que se han obtenido, que los mismos sean de carácter personal objeto de tratamiento automatizado o manual no podrán utilizarse para finalidades distintas de aquellas para los cuales los datos hubieren sido recogidos
Los datos de a los cuales se refiere el párrafo anterior serán exactos y puestos al día, de forma que respondan con veracidad a la situación real del interesado, siendo que si los datos de carácter personal registrados resultaren ser inexactos en todo o en parte, o incompletos, serán cancelados y sustituidos de oficio por el responsable del fichero por los correspondientes datos rectificados, actualizados o complementados. Igualmente serán cancelados si no mediare un consentimiento legal y legítimo o estuviere prohibida su recolección
Por su parte, dichos datos de carácter personal serán cancelados por el responsable del fichero cuando hayan dejado de ser pertinentes o necesarios para la finalidad para la cual hubieren sido recibidos y registrados, por lo tanto, no serán conservados si permite la identificación de la persona en un período que sea superior al necesario para los fines con base en los cuales hubieren sido recabados o registrados. Sin embargo, en ningún caso serán conservados los datos personales que puedan de cualquier modo afectar a su titular, una vez transcurridos diez años desde la fecha de ocurrencia de los hechos registrados, salvo disposición legal en contrario, este es un aspecto a valorar en el presente proyecto, pues debe existir un periodo diferente para el tratamiento de los datos y su disposición, pues existen datos que se recaban solo para un caso excepcional, muy diferente al uso de las bases de datos de los entes públicos que se deben de regir por las normas legales de la Ley de Archivos.
Algo importante del proyecto es que se prohíbe el acopio de datos por medios fraudulentos, desleales o ilícitos, además, los archivos de datos no pueden tener finalidades contrarias a las leyes ni a la moral pública. En ese sentido, se tiene que muchas de las empresas privadas que venden dichas bases de datos, las obtienen de forma ilegal y lucran con datos correspondientes a la intimidad de las personas, violentando en forma gradual el derecho a la autodeterminación informativa del ciudadano.
En los artículos 7 y 8, se protege la categoría de los datos particulares y la seguridad de los mismos, siendo que , Los datos de carácter personal de las personas físicas que revelen su origen racial, sus opiniones políticas, sus convicciones religiosas o espirituales, así como los datos de carácter personal relativos a la salud, a la vida sexual y a sus antecedentes delictivos, no podrán ser almacenados de manera automática ni manual en registros o ficheros privados, y en los registros públicos serán de acceso restringido. En ese sentido, Los datos sensibles solo podrán ser recolectados con finalidades estadísticas o científicas cuando no puedan ser identificados sus titulares. Caso contrario se debe dar sin perjuicio de lo establecido en el párrafo anterior, las asociaciones religiosas, las organizaciones políticas, sindicales y aquellas que agrupen a los individuos de acuerdo con sus preferencias sexuales o ideológicas, podrán llevar un registro de sus miembros, para uso exclusivo de su fin asociativo.
Por otro lado, se contempla que para la seguridad del titular de la información Todo archivo, fichero, registro o base de datos, público o privado destinado a proporcionar informes debe inscribirse en el Registro de archivos y bases de acuerdo al establecimiento de la normativa y el control que deberá llevar el centro de administración al cual se le pretende dar la responsabilidad de controlar dichas bases de datos, por lo tanto, se pretende no registrar datos de carácter personal en ficheros automatizados que no reúnan las condiciones que garanticen plenamente su seguridad e integridad y los de los centros de tratamientos, equipos, sistemas y programas.
Con respecto a este punto se deben de establecer los requisitos y las condiciones que deban reunir los ficheros automatizados y los manuales y las personas que intervengan en el acopio, almacenamiento y uso de los datos, cuya responsabilidad debe estar a cargo de dicha administración y control de las bases de datos, de forma tal que se venga a proteger al ciudadano en su ámbito de intimidad, respetando con ello su derecho a la autodeterminación informativa, además de que los funcionarios de dicho centro deberán ser personas que tengan confidencialidad, prueba contraria, se deberán estipular las sanciones respectivas de acuerdo a las leyes existentes en el país.
Un principio importante es el de "gratuidad en el acceso a la información", el cual es contemplado en el artículo 11 del proyecto, en donde se garantiza el derecho de toda persona con la finalidad de obtener a intervalos razonables y sin demora a título gratuito, la confirmación de la existencia de datos suyos en archivos o bases de datos, así como la comunicación de dichos datos, dicha información deberá ser suministrada en forma clara, exenta de codificaciones y en su caso acompañada de una explicación de los términos técnicos que se utilicen, debe ser amplia y versar sobre la totalidad del registro perteneciente al titular, aun cuando el requerimiento solo comprenda un aspecto de los datos personales. En ningún caso el informe podrá revelar datos pertenecientes a terceros, aun cuando se vinculen con el interesado, siendo que, el titular pueda solicitar en forma directa la rectificación de dichos datos y su actualización o la eliminación de los mismos cuando se hayan tratado con infracción a las disposiciones que se establecen en el presente proyecto.
Siendo en este sentido la autoridad o el responsable del fichero quien debe cumplir con lo pedido gratuitamente y resolver en el sentido que corresponda en un plazo establecido a partir de la recepción de la solicitud, siendo que en caso de no obtener respuesta se pueda optar por parte del accionante a través de mantener su derecho y hacer efectivo su reclamo a través de administrativo sencillo y rápido ante la Agencia o Centro de Protección de Datos, con el fin de ser amparado contra actos que violen sus derechos fundamentales reconocidos los cuales se pretenden tutela bajo este proyecto de ley, siendo que en caso de no cumplir con lo establecido y se vea violentado su derecho de autodeterminación informativa, según sea el caso la correspondiente indemnización por los daños y perjuicios que hubieren sido ocasionados en su persona o intereses debido al uso de sus datos personales.
Tal y como se establece en el artículo 13 del proyecto, todo ciudadano sin distinción alguna, tiene el derecho de acceso a la información personal que de él se mantenga en las bases de datos, a través del principio de la gratuidad, por lo que puede acceder directamente o conocer las informaciones y los datos relativos a su persona, cual es la finalidad de los datos a él referidos y al uso que se haya hecho de los mismos, solicitar y obtener la rectificación, actualización, cancelación o eliminación y el cumplimiento de la garantía de confidencialidad respecto de sus datos personales.
Tal y como se establece en el numeral 27 y 28 del proyecto, todo archivo, registro, base o banco de datos público y privado administrado con fines de distribución, difusión o comercialización, que contenga datos sensibles debe inscribirse en el Registro que al efecto habilite la Agencia o Centro de Protección de Datos.
Si bien es cierto en el presente proyecto en el numeral 36 y siguientes se toman los temas referentes a sanciones, a faltas leves, graves y gravísimas no se establece con claridad, la categoría del salario base al que hace referencia. Siendo que puede ser de oficinista, profesional, conserje etc., Tal y como se expresa en el mismo:
"Sanciones: De concluir el director o la directora nacional que la persona física o jurídica ha cometido una de las faltas tipificadas en esta Ley, deberá imponer alguna de las siguientes sanciones:
a) Para las faltas leves, una multa hasta cinco salarios base, conforme a la Ley N. º 7337.
b) Para las faltas graves, una multa de cinco a veinte salarios base, conforme a la Ley N. º 7337.
c) Para las faltas gravísimas, una multa de 15 a 30 salarios base, conforme a la Ley N. º 7337; y la suspensión para el funcionamiento del fichero de uno a seis meses.
Faltas leves: Serán consideradas faltas leves, para los efectos de esta Ley:
a) La recolección de datos personales para su uso en un archivo o base de datos sin hacer al interesado todas las advertencias especificadas en el artículo 4 de esta Ley.
b) Recolectar, almacenar y transmitir datos personales de terceros por medio de mecanismos inseguros o que de alguna forma no garanticen la seguridad e inalterabilidad de los datos.
Faltas graves: Serán consideradas faltas graves, para los efectos de esta Ley:
a) Recolectar, almacenar, transmitir o de cualquier otra forma emplear datos personales sin el consentimiento expreso del titular de los datos, con arreglo a las disposiciones del artículo 4 de esta Ley.
b) Transferir datos personales a otras personas o empresas en Costa Rica en contravención a las reglas establecidas en el artículo 10 de esta Ley.
c) Transferir datos personales a otras personas o empresas radicadas en el extranjero en contravención a las reglas establecidas en el artículo 16 de esta Ley.
d) Recolectar, almacenar, transmitir o de cualquier otro modo emplear datos personales para una finalidad distinta de la autorizada por el titular de la información.
e) Negarse injustificadamente a dar acceso a un interesado sobre los datos que consten en archivos y bases de datos, a fin de verificar su calidad, recolección, almacenamiento y uso conforme a esta Ley.
f) Negarse injustificadamente a eliminar o rectificar los datos de una persona que así lo haya solicitado por medio claro e inequívoco.
Faltas gravísimas: Serán consideradas faltas gravísimas, para los efectos de esta Ley:
a) Recolectar, almacenar, transmitir o de cualquier otra forma emplear, por parte de personas físicas o jurídicas privadas, datos sensibles, según la definición prevista en el artículo 7 de esta Ley.
b) Obtener de los titulares o de terceros, datos personales de una persona por medio de engaño, violencia o amenaza.
c) Revelar información registrada en una base de datos personales cuyo secreto estuviere obligado a guardar conforme la ley.
d) Proporcionar a un tercero información falsa a la contenida en un archivo de datos, con conocimiento de ello."[91]
5.3 Comisión Nacional de Política Informática y su función en el País
Desde 1974, se fundó por decreto ley el Sistema Nacional de Información, sin embargo, este se ha consolidado a partir de esfuerzos sectoriales en los que se destacan los del área de ciencia y tecnología. La política nacional en informática se recoge en el Programa Nacional de Ciencia y Tecnología. Costa Rica también se ha preocupado por la propiedad industrial y se ha sumado a la Convención Universal sobre Derechos de Autor, asimismo, su política nacional, se ha manifestado para incluir la telemática educativa, además ha tomado medidas en el campo de las bibliotecas.
De igual forma dedica recursos a la educación y a los recursos de información. El CONACYT lleva adelante la Ley de promoción del Desarrollo Científico-Tecnológico con el objetivo de fomentar, entre otras, las actividades de documentación e información en ciencia y tecnología en actividades estratégicas definidas.
En 1992, se habían integrado 7 subsistemas de información con centros coordinadores en cada sector. Sus dificultades esenciales estriban en la formación de los recursos humanos, la normalización de los procedimientos, el poco conocimiento de los usuarios, la escasa industria editorial, el establecimiento de políticas coordinadas de adquisición, el cobro de los servicios, etcétera.
Sus oportunidades se concentran en la demanda creciente de información, la infraestructura de comunicaciones, las bases de datos automatizadas y la información existente.
Desde 1972, el Consejo Nacional de Investigaciones Científicas y Tecnológicas (CONACYT) es el órgano que cumple funciones de coordinación para estos asuntos.
Existen otros organismos relevantes relacionados como el Ministerio de Ciencia y Tecnología, el Consejo Nacional de Rectores, La Empresa Radiográfica Costarricense y la Comisión de Política Informática.
En el período 1981-82, se crearon varios centros de información mediante decretos específicos. La política nacional en informática se recoge en el Programa Nacional de Ciencia y Tecnología. Se desarrollan una serie de actividades de apoyo a los servicios de información científica y tecnológica.
Entre los lineamientos establecidos, cada centro coordinador sectorial, debe disponer de un profesional de la especialidad, un bibliotecario y un analista de sistema.
Entre otros proyectos relevantes, se encuentra la creación del Centro Nacional de Referencia en Ciencia y Tecnología. El nuevo Plan Nacional de Desarrollo y el Programa Nacional de Ciencia y Tecnología incorporan lineamientos establecidos en el Seminario de Políticas de Información.
CAPÍTULO 6
Recomendaciones
6.1 Recomendaciones generales sobre la protección de datos
Las Universidades deberían divulgar la forma en que los ciudadanos pueden hacer efectivos sus derechos a la autodeterminación informativa, para cumplir este propósito se deben crear espacios de discusión académicos y políticos, programando actividades que traten el tema de protección de datos, con el fin de concientizar y crear una cultura de protección de datos sensibles en nuestro país.
La Recopilación de la Información debe estar acorde a los objetivos de la Institución a la cual pertenece las bases de datos y materia correspondiente, y estar en concordancia con la normativa costarricense.
Establecer un tratamiento especializado de la información, regulando a los encargados de su utilización y restricción indicando los soportes de los documentos, especificando detalles de los programas automatizados y los documentos incluidos en estas bases de datos.
Estipular los plazos de verificación o actualización y almacenamiento de la información.
Establecer los procedimientos en que una persona puede acceder la información que sobre ella contengan los diferentes bases de datos, quienes tienen injerencia a esta información, que tipo de información y con que finalidad.
Asegurar el proceso de investigación y sanción para aquellos que incurran en el mal uso de la información.
Informar a la oficina contralora acerca de los mecanismos manuales y automatizados que permitan detectar con facilidad el acceso indebido a un registro de datos.
Respetar el derecho de información sea público o privado en la aplicación de las medidas de seguridad necesarias así como el derecho al principio de publicidad.
Cuando no rija el principio de publicidad se facilitará el acceso individual del ciudadano, ya sea por área restringida, firma electrónica avanzada u otros medios.
Sólo se publicarán aquellos datos personales que sean imprescindibles para la finalidad pretendida.
Se recomienda la no se publicación de datos relativos a temas como: salud, vida sexual, fines policiales, menores de edad, comisión de infracciones, personalidad del afectado y relacionados con el ejercicio tributario a no ser que haya una norma con rango de Ley o normativa comunitaria que haga habilitación expresa a la publicación de los mismos.
Cuando la finalidad de la publicación sea meramente estadística o histórica se deberá disociar la información de carácter personal.
La cancelación de datos sólo procederá cuando éstos hayan dejado de ser necesarios o pertinentes para la finalidad para la cual fueron recabados.
El bloqueo de datos deberá mantenerse mientras persista algún tipo de responsabilidad derivada.
Los motores de búsqueda no deberán sobrepasar un periodo de 6 meses de conservación de los datos personales de los usuarios, ya sea por indexación automática como por obtención de búsqueda por datos personales.
Se deberá permitir el ejercicio de derechos acceso, rectificación, cancelación y oposición de los afectados.
Brindar el acceso de acuerdo al principio de gratuidad al titular de la Información que se encuentre en las bases de datos.
Se recomienda la no creación de un Ente nuevo, si no más bien la transferencia de dichas obligaciones del proyecto de ley propuesto a la Comisión Nacional de Política Informática. Por cuanto ya cuentan con la plataforma para brindar los servicios necesarios.
Se invita a las empresas privadas a contribuir económicamente con la Comisión Nacional de Política Informática como un apoyo necesario a beneficio social.
6.2 Propuesta de un Nuevo Proyecto de Ley para la Protección del la Información Personal privada y Pública.
Proyecto de Ley de Hábeas Data y Protección a la persona Frente al Tratamiento de sus Datos Personales Públicos y Privados.
Existe una clara necesidad de una legislación de tutela frente al tratamiento de datos personales. Las tecnologías de la información y la comunicación han hecho que no sea posible mantener en el ámbito privado ciertos aspectos de nuestra personalidad, como los deseos, las apetencias, las inclinaciones comerciales, religiosas, políticas o hasta intelectuales. Basta con dar seguimiento a las pautas de consumo o de visita de un ciudadano, lo que es hoy muy sencillo gracias a los servicios de compra electrónicos, para conocer cuál es el perfil individual de un ciudadano o incluso los perfiles de un grupo de ciudadanos, lo que lo reduce en su dignidad y lo convierte en un verdadero objeto de los procesos de información.
Si un ciudadano no tiene una capacidad de interactuar en esta sociedad tecnológica con aquellos que pretenden controlarle y perfilarle, se le estaría quitando la última posibilidad para ratificar su estatus de individualidad. Si el ciudadano no tiene posibilidad de controlar quién tiene acceso a sus datos, con qué objetivos y bajo qué presupuestos, pronto tendrá que desistir del ejercicio de sus derechos fundamentales, ya que muchas libertades públicas (como la libertad de asociación y de reunión, así como las libertades de expresión y de autodeterminación) se convertirían en formas sin contenido, ya que aumentarían al mismo tiempo las posibilidades para la manipulación a fin de impedir o al menos amedrentar a quienes deseen ejercer tales libertades, no con prohibiciones directas, sino con la aplicación de consecuencias indirectas al ejercicio de un derecho. Por lo tanto, si el ciudadano tiene acceso a sus datos, podría controlar y dirigir el sentido social de los mismos, a fin de evitar consecuencias a su esfera íntima de manera directa, sino a su posibilidad de participación social.
El derecho a la protección de la persona frente al procesamiento de sus datos personales surge así como una necesidad en el Estado de Derecho, como una necesidad de reflexión sobre los derechos y las libertades públicas en juego, como también de las posibilidades de la persona humana en una sociedad tecnológica.
Por lo antes indicado, pretendemos incluir dentro de nuestras Recomendaciones un Proyecto de Ley que consolide el Derecho Público y Derecho Privado. Lo anterior en virtud de que en la Asamblea Legislativa existen dos números de expedientes a saber: Ley de Acceso a la Información para la transparencia en la Gestión Pública , Expediente Nº 15.079, Análisis Ley de Protección de la Persona frente al tratamiento de sus datos personales. Expediente N. º 16.679. Los cuales tutelan en una en forma independiente la parte pública y la parte privada, siendo que, se debe manejar un proyecto de Hábeas Data de una forma conjunta para garantizar los derechos de los ciudadanos incluidos en la ley.
Dado lo anterior, se ha dado un formato diferente tomando en cuenta ciertas normas indicadas en los anteriores proyectos por su importancia, y a la vez, se brindando un criterio más amplio a la normativa, en dicha propuesta de Ley, se busca atribuir el constituirse en receptor, compilador, actualizador y reproductor de toda la información pública y privada que se le suministra en los términos que establece a la ley a la Comisión Nacional de Política Informativa, lo anterior, se toma como base debido a que ya existe una plataforma tecnológica, situación que es de gran interés al generarse un gran ahorro al estado en lo referente a recursos presupuestarios.
CAPÍTULO I
DISPOSICIONES GENERALES
SECCIÓN ÚNICA
ARTÍCULO 1. Objetivo y finalidad
La presente Ley tiene como objetivo garantizar a cualquier persona física o jurídica, sean cuales fueren su nacionalidad, residencia o domicilio, el respeto a sus derechos fundamentales, concretamente, su derecho a la autodeterminación informativa en relación con su vida o actividad privada o publica y demás derechos de la personalidad; así mismo busca promover la transparencia de los actos del Estado y Empresas Privadas a propiciar la rendición de cuentas con respecto a la Información que se maneja a través de las bases de datos y la defensa de su libertad e igualdad con respecto al tratamiento automatizado o manual de los datos correspondientes a su persona o bienes.
En ningún caso se podrá afectar el secreto de las fuentes de información periodística y el secreto profesional que determinen las leyes correspondientes, consagrados en nuestra Constitución Política e Instrumentos Internacionales.
ARTÍCULO 2. Ámbito de aplicación para las Entidades Publicas y Personas Privadas
1.-La presente Ley será de aplicación a los datos sensibles que figuren en las sistemas de bases automatizadas o manuales de organismos públicos y privados y a toda modalidad de uso posterior, de datos de carácter personal. Igualmente, quedan obligados a proporcionar información de carácter público, al ciudadano que lo solicite, las sociedades con capital mayoritariamente estatal y los entes privados que administren fondos públicos, así como los entes privados que realicen obras públicas, gestionen o suministren servicios públicos o ejerzan funciones administrativas del sector público bajo cualquier modalidad establecida por la ley.
2.-El régimen de protección de los datos de carácter personal que se establece en la presente Ley no será de aplicación, siempre y cuando así lo apruebe el ente regulador.
a) A las bases de datos automatizados de titularidad pública cuyo objeto, legalmente establecido, sea el almacenamiento de datos para su publicidad con carácter general.
b) A las bases de datos mantenidos por personas físicas con fines exclusivamente personales o domésticos.
c) A las bases de datos de información tecnológica o comercial que reproduzcan datos ya publicados en boletines, diarios o repertorios oficiales.
d) A las bases de datos de informática jurídica accesibles al público en la medida en que se limiten a reproducir disposiciones o resoluciones judiciales publicadas en periódicos o repertorios oficiales.
A las bases de datos mantenidos por los partidos políticos, sindicatos e iglesias, confesiones y comunidades religiosas en cuanto los datos se refieran a sus asociados o miembros y ex miembros, sin perjuicio de la cesión de los datos que queda sometida lo dispuesto en el artículo 10 de esta Ley, salvo que resultara de aplicación el artículo 7 por tratarse de los datos personales en él contenidos.
3.-Se regirán por otras disposiciones específicas:
a) Las Bases de Datos serán regulados por la legislación del régimen electoral.
Los derivados del Registro Civil.
ARTÍCULO 3. Definiciones
A los efectos de la presente Ley:
a) Datos de carácter personal: cualquier información relativa a una persona física identificada o identificable.
b)Datos de una persona jurídica: aquellos datos que el ordenamiento no les ha dado el carácter de público.
c) Datos sensibles: datos personales que revelen origen racial, opiniones políticas, convicciones religiosas o espirituales, condición socioeconómica, información biomédica o genética, vida sexual y antecedentes delictivos, operaciones bancarias, registros tributarios, aduaneros o relativos a actividades económicas.
d) Archivo, registro o base de datos. Conjunto organizado de datos personales que sean objeto de tratamiento o procesamiento, automatizado o no, cualquiera que fuere la modalidad de su formación, almacenamiento, organización o acceso.
e) Tratamiento automatizado: operaciones que a continuación se indican: producción de registros de datos, aplicación a esos datos de operaciones lógico aritméticas, su modificación, borrado, extracción o difusión.
f) Autoridad encargada d la base de datos: significa la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo público o privado, que sea competente con arreglo a la ley para decidir cuál será la finalidad de la base de datos automatizada, cuáles categorías de datos de carácter personal deberán registrase y cuáles operaciones se les aplicarán.
g) Interesado: persona física o jurídica, titular de los datos que sean objeto del tratamiento automatizado o manual.
h) Disociación de datos es: tratamiento de datos personales de manera que la información obtenida no pueda asociarse a persona determinada o determinable.
CAPÍTULO II
PRINCIPIOS BÁSICOS PARA LA PROTECCIÓN DE LOS DATOS
ARTÍCULO 4. Derecho de información en la recolección de los datos
Las personas físicas a quienes se soliciten datos de carácter personal y a las personas jurídicas cuyos datos no se les ha dado el carácter de público; deberán ser previamente informados de modo expreso, preciso e inequívoco directamente o por apoderado con poder o cláusula especial; las personas jurídicas por medio de su representante legal o apoderado con poder o cláusula especial:
a) De la existencia de base de datos automatizado o manual de datos de carácter personal, de la finalidad de la recogida de estos y de los destinatarios de la información.
b) Del carácter obligatorio o facultativo de sus respuestas a las preguntas que se les formulen.
c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
d) De la posibilidad de ejercer los derechos de acceso, rectificación, actualización, cancelación y confidencialidad.
e) De la identidad y dirección del responsable de la base de datos.
Cuando se utilicen cuestionarios u otros impresos para la recolección, figurarán en los mismos en forma claramente legible, las advertencias a que se refiere el apartado anterior.
No será necesaria la información a que se refiere el apartado a), si el contenido de ella se deduce claramente de la naturaleza de los datos personales que se solicitan o de la circunstancia en que se recaban o de la información derivada de la actividad ordinaria de la institución o de su giro normal; o de la empresa solicitante.
Igualmente, en la interpretación de esta Ley se deberá favorecer el Principio de Publicidad de la Información en posesión de los sujetos obligados, y será pública según lo disponga esta Ley.
ARTÍCULO 5. Consentimiento del interesado
1. El titular de los datos deberá dar por sí o por su representante legal o apoderado el consentimiento para la entrega de los datos, salvo que la ley disponga otra cosa dentro de los límites razonables.
La razón habilidad deberá ser considerada por el Director o Directora de la Comisión Nacional de Política Informativa si se le planteare en caso de controversia. Lo anterior vale tanto para las bases de datos de titularidad pública o privada. De conformidad con el principio de Publicidad que rige la actividad Publica, los órganos, y entidades Publicas o Privadas sujetos a esta Ley.
El consentimiento deberá constar por medio de autorización por escrito o por otro medio idóneo, físico o electrónico. Dicho consentimiento podrá ser revocado sin efecto retroactivo, por cualquiera de los medios permitidos para acreditar la aquiescencia. Ningún efecto negativo, ni sanción, ni perjurio podrá derivarse para la persona que ejercite el derecho de Petición.
No será necesario el consentimiento cuando:
a) Exista orden motivada, dictada por autoridad judicial competente.
b) Los datos se obtengan de fuentes de acceso público irrestricto y se trate de listados cuyos datos se limiten a nombre, documento nacional de identidad, y fecha de nacimiento, u otros datos que por ley especial tengan la misma condición.
ARTÍCULO 6. Formalidad de ejercicio
Las peticiones habrán de hacerse por escrito y deberán ir firmadas por el accionante. Tratándose de personas jurídicas, deberán detallarse los datos relativos a su inscripción y los personales de su representante legal.
En cual bastara que se indique las siguientes calidades:
a) Nombre, calidades y domicilio de cada uno de los y las peticionantes
b) Objeto de la petición
c) Domicilio para efectos de notificación
d) Traducción o resumen en español si la petición se presenta en lengua extranjera.
Las peticiones se presentarán directamente ante el órgano o entidad correspondiente o podrán ser enviadas por correo postal. También podrán presentarse peticiones urgentes por cualquier medio. En estos casos, los y las peticionantes dispondrán de Diez días hábiles para formalizar sus pedidos conforme a lo dispuesto en el presente artículo. Caso excepcional será para aquellos en que se consideren urgentes contando con cinco días naturales para formalizar.
En todo caso, no podrá calificarse de inadmisible una petición por la falta de uno o varios de los requisitos señalados al momento de la presentación de la misma. En tal situación se concederá hasta tres días hábiles a las o los peticionantes para que completen la información.
ARTÍCULO 7. Gratuidad
El acceso público a la información es gratuito en tanto no se requiera la reproducción de la misma. Los costos de reproducción correrán a cargo del solicitante.
La información será suministrada en copia simple, o en su reproducción digital, sonora, fotográfica, cinematográfica o videográfica, según se peticione y sea técnicamente factible.
En caso de que la información solicitada sea requerida de manera certificada, el accionante deberá cumplir, para los efectos de las formalidades y de los costos, con las disposiciones legales que rigen la materia.
ARTÍCULO 8. Calidad de los datos
1. Solo podrán ser recolectados, almacenados y empleados datos de carácter personal para su tratamiento automatizado o manual, cuando tales datos sean adecuados, pertinentes y no excesivos en relación con el ámbito y finalidades legítimos para los que se han obtenido.
2. Los datos de carácter personal objeto de tratamiento automatizado o manual no podrán utilizarse para finalidades distintas de aquellas para los cuales los datos hubieren sido recogidos.
3. Dichos datos serán exactos y puestos al día, de forma que respondan con veracidad a la situación real del interesado.
4. Si los datos de carácter personal registrados resultaren ser inexactos en todo o en parte, o incompletos, serán cancelados y sustituidos de oficio por el responsable del fichero por los correspondientes datos rectificados, actualizados o complementados. Igualmente serán cancelados si no mediare un consentimiento legal y legítimo o estuviese prohibida su recolección.
5. Los datos de carácter personal serán cancelados por el responsable de las bases de datos cuando hayan dejado de ser pertinentes o necesarios para la finalidad para la cual hubiese sido recibidos y registrados.
No serán conservados en forma que permita la identificación de la persona en un período que sea superior al necesario para los fines con base en los cuales hubieren sido recabados o registrados. Sin embargo, en ningún caso serán conservados los datos personales que puedan de cualquier modo afectar a su titular, una vez transcurridos diez años desde la fecha de ocurrencia de los hechos registrados, salvo disposición legal en contrario.
6. Serán almacenados de forma tal que se garantice plenamente el derecho de acceso por la persona interesada.
7. Es obligatoria la cancelación de datos por el fallecimiento o deceso confirmado de la persona, y se define un año como plazo para tal efecto.
8. Se prohíbe el acopio de datos por medios fraudulentos, desleales o ilícitos.
9. Los archivos de datos no pueden tener finalidades contrarias a las leyes ni a la moral pública
ARTÍCULO 9. Seguridad de los datos
1. Todo archivo, registro o base de datos, público o privado destinado a proporcionar informes debe inscribirse en el Registro de bases de datos contemplado en la presente Ley.
2. Es deber y responsabilidad de los sujetos obligados en las base de datos adoptar las medidas de índole técnica y organizativa necesarias para garantizar la seguridad de los datos de carácter personal y evitar su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.
3. No se registrarán datos de carácter personal en base de datos automatizados que no reúnan las condiciones que garanticen plenamente su seguridad e integridad y los de los centros de tratamientos, equipos, sistemas y programas.
4. Por vía de reglamento, se establecerán los requisitos y las condiciones que deban reunir las bases de datos automatizadas y los manuales y las personas que intervengan en el acopio, almacenamiento y uso de los datos.
5. El responsable de las bases de datos y quienes intervengan en cualquier fase del proceso de recolección y tratamiento de los datos de carácter personal, están obligados al secreto profesional.
ARTÍCULO 10. Deber de confidencialidad
La información relativa al ámbito de la intimidad de las personas se considera información confidencial y goza de la protección del artículo 24 de la Constitución Política. Se considerará información confidencial:
a) La entregada con tal carácter por los particulares a los sujetos regulados por esta Ley y a sus funcionarios.
b) Los datos personales que requieran el consentimiento de los individuos para su difusión, distribución o comercialización en los términos de esta Ley.
No se considerará confidencial la información que se halle en los registros públicos o en fuentes de acceso público, debido al Principio de Publicidad.
Cuando los particulares suministren a los órganos y entes públicos información que consideren confidencial deberán señalarlo expresamente. En el caso de que exista una solicitud de acceso que incluya información confidencial, los sujetos obligados la comunicarán siempre y cuando medie el consentimiento expreso del particular titular de la información confidencial.
ARTÍCULO 11. Cesión de datos
Los datos de carácter personal conservados en bases de datos públicos o privados, solo podrán ser cedidos a terceros para fines directamente relacionados con las funciones legítimas del cedente y del cesionario, con el previo consentimiento del interesado, en los términos del artículo 5 de esta Ley.
El consentimiento para la cesión podrá ser revocado pero la revocatoria no tendrá efectos retroactivos.
Lo anterior es aplicable a cualquier base de datos independientemente de su titularidad pública o privada.
El consentimiento no será exigido cuando:
a) Sí lo dispone una ley.
b) Se trate de la cesión de datos personales al Estado o una institución pública de salud o de investigación científica en el área de la salud, relativos a la salud, y sea necesario por razones de salud pública, de emergencia o para la realización de estudios epidemiológicos, en tanto se preserve la identidad de los titulares de los datos mediante mecanismos de disociación adecuados.
c) Se trate de la cesión de datos personales al Estado o a una institución pública en materia de seguridad pública, siempre y cuando la cesión resulte necesaria para fines de esta seguridad pública y de la persecución de delitos sin perjuicio de lo establecido en el artículo 24 de la Constitución Política.
d) Se trate de cesión de datos personales referente a estadísticas y censos poblacionales para fines específicos.
El cesionario quedará sujeto a las mismas obligaciones legales y reglamentarias del cedente y este responderá solidariamente y conjuntamente por la observancia de los mismos ante la Agencia de Protección de Datos y el titular de los datos.
ARTÍCULO 12. Derechos y garantías de las personas
Se garantiza el derecho de toda persona a:
a) Obtener a intervalos razonables y sin demora a título gratuito, según los dispuesto en el articulo 7 de la presente Ley, la confirmación de la existencia de datos suyos en bases de datos, así como la comunicación de dichos datos en forma inteligible.
b) La información debe ser suministrada en forma clara, exenta de codificaciones y en su caso acompañada de una explicación de los términos técnicos que se utilicen.
c) La información debe ser amplia y versar sobre la totalidad del registro perteneciente al titular, aun cuando el requerimiento solo comprenda un aspecto de los datos personales. En ningún caso el informe podrá revelar datos pertenecientes a terceros, aun cuando se vinculen con el interesado.
| Página siguiente |