02 de setiembre 2021

PGR-C-251-2021

 

Gerson Espinoza Monge

Gerente General a.i

RACSA

 

Estimado señor:

 

Con aprobación del señor Procurador General de la República, me refiero a su oficio GG-1033-2021 del 1 de julio de 2021, mediante el cual solicita que nos refiramos a “la viabilidad jurídica de validar la identidad del ciudadano a través de herramientas biométricas”.

 

En cumplimiento de lo dispuesto en el artículo 4 de la Ley Orgánica de la Procuraduría General de la República, se acompaña la presente consulta del criterio jurídico emitido por la Asesoría Legal de RACSA.

 

I.           ACLARACIÓN SOBRE LOS ALCANCES DE ESTE PRONUNCIAMIENTO

 

De conformidad con los artículos 1, 2 y 3 inciso b) de nuestra Ley Orgánica (No. 6815 de 27 de setiembre de 1982) la Procuraduría General de la República es el órgano superior consultivo, técnico jurídico, de la Administración Pública y, en esa condición, cumple su función rindiendo los criterios legales que le solicite la Administración Pública.

 

Al respecto, en múltiples ocasiones esta Procuraduría ha analizado las limitaciones fijadas en esta misma Ley Orgánica (No. 6815 de 27 de setiembre de 1982) en el desempeño de la función consultiva.

 

En virtud de ese análisis, se han desarrollado tres requisitos mínimos de admisibilidad de las consultas: a) Que las interrogantes sean planteadas con precisión y claridad sobre temas jurídicos en genérico, lo cual implica que no se cuestione un caso concreto que esté pendiente o deba ser resuelto por la Administración, que no se trate de un asunto sobre el cual ya se emitió un acto administrativo o una decisión concreta, que no involucre una materia que es competencia de otro órgano, que no pretenda la revisión de informes o criterios legales, ni que corresponda a un asunto judicial en trámite; b) Que se acompañe el criterio de la asesoría legal de la institución sobre todos los temas cuestionados, y c) Que la consulta sea formulada por el jerarca administrativo de la institución. (Al respecto ver pronunciamientos Nos. C-158-2008 del 12 de mayo de 2008, C-157-2013 del 19 de agosto de 2013, C-121-2014 del 8 de abril de 2014, C-99-2016 de 29 de abril de 2016, OJ-061-2017 de 29 de mayo de 2017, C-365-2019 del 11 de diciembre de 2019 y C-028-2020 del 27 de enero de 2020).

 

Respecto al primer requisito de admisibilidad, por ser de interés para el presente caso, debemos señalar que, la Procuraduría, al ser un órgano asesor, meramente consultivo, únicamente puede atender consultas que versen sobre temas jurídicos en genérico, sin analizar casos concretos ni que se pretenda la revisión de la legalidad u oportunidad de actos administrativos que se hayan adoptado o deben adoptarse, pues pronunciarse al respecto implicaría sustituir a la Administración activa en la toma de decisiones y ejercer una función de control de legalidad que no nos corresponde, desconociendo así nuestra competencia consultiva.

 

Adicionalmente, debe apuntarse que nuestra jurisprudencia administrativa ha anotado que la precisión y claridad en el cuestionamiento de carácter jurídico sobre el cual se requiere nuestro criterio, es un requisito esencial de admisibilidad, pues, la imprecisión en el objeto de la consulta, impide conocer la duda jurídica del consultante y rendir de manera adecuada y precisa nuestro criterio. (Véanse al respecto los pronunciamientos Nos. C-136-2006 de 3 de abril de 2006, C-077-2018 de 19 de abril de 2018, C-247-2018 de 21 de setiembre de 2018, C-146-2019 de 29 de mayo de 2019, C-0089-2020 de 17 de marzo de 2020, entre otros).

 

Sobre la naturaleza de nuestra función consultiva, también hemos señalado en reiteradas ocasiones, que está contemplada como una atribución para “abordar inquietudes acerca de la aplicación o interpretación del ordenamiento jurídico –que luego la Administración puede utilizar como insumo para tomar las decisiones que le competen” (Dictamen no. C-162-2012 de 28 de junio de 2012). Y que ésta “tiende a la resolución de problemas jurídicos en abstracto considerados y, muy en particular, a partir del discernimiento del recto entendimiento de las normas jurídicas. Es decir, la Procuraduría se convierte por tal vía en un intérprete jurídico calificado, que impone al sector público su peculiar lectura del ordenamiento". (Dictámenes C-257-2006 de fecha 19 de junio del 2006 y C-123-2019 de 8 de mayo de 2019).

 

En consecuencia, debemos aclarar que el criterio que emitimos a continuación, no pretende analizar la oportunidad ni la legalidad del proyecto específico que se cita en esta consulta y que desea realizar RACSA con la Superintendencia General de Entidades Financieras, no sólo porque se desconocen los detalles operativos del citado proyecto, sino, además, porque no nos corresponde sustituir a la Administración activa en la toma de decisiones concretas. Por tanto, sólo podemos abordar el tema jurídico que se plantea de manera general, sin que esto prejuzgue sobre las decisiones concretas que deban adoptarse.

De igual forma, debemos señalar que al plantearse la presente consulta por parte del Gerente General de RACSA, no podríamos vincular con el presente criterio, a la SUGEF, quien no figura como ente consultante.

Consecuentemente, dados los alcances de la competencia que tiene la Procuraduría por la vía consultiva, únicamente nos referiremos al tratamiento jurídico de los datos biométricos, para que sea la Administración activa la que valore el caso concreto y pueda adoptar las decisiones que estime pertinentes.

 

II.        SOBRE EL MANEJO DE DATOS BIOMÉTRICOS

 

Esta Procuraduría se ha referido al manejo de los datos biométricos en las opiniones jurídicas OJ-004-2021 del 08 de enero 2021 y OJ-027-2021 del 28 de enero 2021, reconociendo que estos están vinculados con los derechos fundamentales derivados del artículo 24 de la Constitución Política, entre ellos, el derecho a la intimidad, a la imagen, y a la autodeterminación informativa.

 

Al tratarse de materia relacionada con derechos fundamentales, su regulación está sujeta al principio de reserva de ley en orden a sus excepciones, según ha reconocido la Sala Constitucional al señalar que “los derechos fundamentales, no son absolutos, sino que nacen limitados (intrínseca o extrínsecamente), establecidos por el propio constituyente o por el legislador en virtud de la reserva de ley” (Resolución No. 5268-2011 de las 15:13 horas del 27 de abril de 2011).

 

 

En nuestro ordenamiento jurídico es la Ley N° 8968 del 5 de setiembre de 2011, Ley de Protección de la Persona frente al Tratamiento de sus Datos Personales, la que pretende, en principio, garantizar a cualquier persona, su derecho a la autodeterminación informativa, así como regular el tratamiento automatizado o manual de los datos sobre las personas o bienes (artículo 1). Adicionalmente, fue emitido el Decreto Ejecutivo N° 37554 del 30 de octubre de 2012, Reglamento a la Ley de Protección de la Persona frente al Tratamiento de sus Datos Personales.

 

 

La Ley indicada, abarca el manejo de toda la información que figure en bases de datos automatizadas o manuales, de organismos públicos o privados y toda modalidad de uso posterior de estos datos, excluyéndose a las bases de datos mantenidas por personas físicas o jurídicas con fines exclusivamente internos, personales o domésticos, siempre y cuando estas no sean vendidas o de cualquier otra manera comercializadas (artículo 2 de la Ley).

 

Concretamente, sobre el derecho a la autodeterminación informativa, para el adecuado tratamiento de los datos personales, el numeral 4 señala:

 

“ARTÍCULO 4.- Autodeterminación informativa

Toda persona tiene derecho a la autodeterminación informativa, la cual abarca el conjunto de principios y garantías relativas al legítimo tratamiento de sus datos personales reconocidos en esta sección.

Se reconoce también la autodeterminación informativa como un derecho fundamental, con el objeto de controlar el flujo de informaciones que conciernen a cada persona, derivado del derecho a la privacidad, evitando que se propicien acciones discriminatorias.”

 

Ese reconocimiento legal del derecho a la autodeterminación informativa, derivó de la jurisprudencia previa de la Sala Constitucional que ya lo había reconocido como una ampliación del ámbito protector del derecho a la intimidad y que abarca el derecho fundamental de las personas a decidir quién, cuándo, dónde y bajo qué circunstancias se puede tener contacto con sus datos. Precisamente en la sentencia 910-2009 de las 13:36 horas de 23 de enero de 2009, la Sala dispuso: 

 

“La ampliación del ámbito protector del derecho a la intimidad surge como una respuesta al ambiente global de fluidez informativa actual, ambiente que ha puesto en entredicho las fórmulas tradicionales de protección a los datos personales, para evolucionar en atención a la necesidad de utilizar nuevas herramientas que permitan garantizar el derecho fundamental de los ciudadanos a decidir quién, cuándo, dónde y bajo qué y cuáles circunstancias tiene contacto con sus datos. Es reconocido así el derecho fundamental de toda persona física o jurídica a conocer lo que conste sobre ella, sus bienes o derechos en cualquier registro o archivo, de toda naturaleza, incluso mecánica, electrónica o informatizada, sea pública o privada; así como la finalidad a que esa información se destine y a que sea empleada únicamente para dicho fin, el cual dependerá de la naturaleza del registro en cuestión. Da derecho también a que la información sea rectificada, actualizada, complementada o suprimida, cuando la misma sea incorrecta o inexacta, o esté siendo empleada para fin distinto del que legítimamente puede cumplir. Es la llamada protección a la autodeterminación informativa de las personas, la cual rebasa su simple ámbito de intimidad. Se concede al ciudadano el derecho a estar informado del procesamiento de los datos y de los fines que con él se pretende alcanzar, junto con el derecho de acceso, corrección o eliminación en caso el que se le cause un perjuicio ilegítimo. El derecho de autodeterminación informativa tiene como base los siguientes principios: el de transparencia sobre el tipo, dimensión o fines del procesamiento de los datos guardados; el de correspondencia entre los fines y el uso del almacenamiento y empleo de la información; el de exactitud, veracidad, actualidad y plena identificación de los datos guardados; de prohibición del procesamiento de datos relativos a la esfera íntima del ciudadano (raza, creencias religiosas, afinidad política, preferencias sexuales, entre otras) por parte de entidades no expresamente autorizadas para ello; y de todos modos, el uso que la información se haga debe acorde con lo que con ella se persigue; la destrucción de datos personales una vez que haya sido cumplidos el fin para el que fueron recopilados; entre otros. La esfera privada ya no se reduce al domicilio o a las comunicaciones, sino que es factible preguntarse si es comprensible incluir "la protección de la información" para reconocerle al ciudadano una tutela a la intimidad que implique la posibilidad de controlar la información que lo pueda afectar. …La tutela a la intimidad implica, la posibilidad real y efectiva para el ciudadano de saber cuáles datos suyos están siendo tratados, con qué fines, por cuáles personas, bajo qué circunstancias, para que pueda ejercer el control correspondiente sobre la información que se distribuye y que lo afecta (artículos 24 de la Constitución Política y 13 inciso 1 de la Convención Americana de Derechos Humanos). En resumen se deduce entonces que la autodeterminación informativa es una ampliación del derecho a la intimidad y que su protección surge a partir del desarrollo de mecanismos informáticos y tecnológicos globales que manejan bases de datos que contienen información de las personas. Respecto de la delimitación del contenido del derecho de autodeterminación informativa es importante acotar que para que la información sea almacenada de forma legítima, debe cumplir al menos con los siguientes requisitos: primero no debe versar sobre información de carácter estrictamente privado o de la esfera íntima de las personas; segundo debe ser información exacta y veraz (v. sentencia #2000-1119 de las 18:51 horas del 1° de febrero de 2000) y tercero la persona tiene el derecho de conocer la información y exigir que sea rectificada, actualizada, complementada o suprimida, cuando sea incorrecta o inexacta, o esté siendo empleada para fin distinto del que legítimamente puede cumplir (v. sentencias #2007-6793 de las 11:24 horas del 18 de mayo del 2007 y #2008-10114 de las 19:18 horas del 17 de junio de 2008)”.

 

Como se observa, este derecho comprende la potestad de estar informado sobre el procesamiento de los datos personales, sobre el fin que se persigue con su acceso, así como la posibilidad de tener control de los datos que contiene un registro y corregirlos o eliminarlos en caso de que le cause algún perjuicio.

La Ley N° 8968, sin embargo, no presenta una regulación explícita sobre los datos biométricos y su tratamiento. No se ha contemplado a la fecha una definición, ni tampoco una regulación especial para ellos en la ley.

La biometría es un término que proviene del griego bio (vida) y metron (medida), por lo que se dedica a desarrollar técnicas que permitan medir y analizar una serie de parámetros físicos que son únicos en cada persona para poder comprobar su identidad.(https://www.elmundo.es/espana/2013/12/05/52a0749d63fd3d8c498b456b.html). Dentro de los datos biométricos más utilizados están la huella dactilar, el reconocimiento facial, iris de la retina, ADN, geometría de la mano o dedos, reconocimiento de voz, entre otros.

 

Por tanto, la información biométrica no queda limitada a la huella dactilar o a la imagen de una persona, sino que abarca todos aquellos datos recopilados a través de procesos tecnológicos y que llevan relación con características físicas, fisiológicas y conductuales de una persona, las cuales, permiten identificarla inequívocamente.

 

Ahora bien, aun cuando la Ley N° 8968, no presenta una regulación explícita sobre los datos biométricos y su tratamiento, no podemos negar que, dentro de las categorías reguladas en dicha ley, estos datos deben catalogarse como sensibles, pues, como indicamos, a través de ellos se permite la identificación inequívoca de las características físicas, fisiológicas y conductuales de una persona. Ergo, no hay duda que estos datos están relacionados con el ejercicio de los derechos a la intimidad, imagen y autodeterminación informativa, quedando resguardados, en consecuencia, por lo dispuesto en el artículo 24 de la Constitución Política.

 

 Esa conclusión encuentra respaldo en el derecho comparado y en las buenas prácticas internacionales. Así, por ejemplo, el Reglamento de la Unión Europea 2016/679, relativo a la protección de las personas físicas, define los datos biométricos como aquellos “…obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos”.

 

Asimismo, el Reglamento citado (artículo 9.1) considera estos datos como una categoría especial de datos personales, en cuyo caso, como regla general, está prohibido su tratamiento. Señala este numeral:

 

“Tratamiento de categorías especiales de datos personales

 

1. Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientaciones sexuales de una persona física.” (El subrayado no pertenece al original)

 

Si equiparamos los datos biométricos a la categoría de datos sensibles, su acceso está en principio prohibido, salvo consentimiento del titular o las excepciones calificadas que deberán regularse por ley. Sobre el manejo de los datos sensibles, en general, sí existe referencia en la Ley 8968, al señalar:

“ARTÍCULO 9.- Categorías particulares de los datos

(…)

1.-        Datos sensibles

Ninguna persona estará obligada a suministrar datos sensibles. Se prohíbe el tratamiento de datos de carácter personal que revelen el origen racial o étnico, opiniones políticas, convicciones religiosas, espirituales o filosóficas, así como los relativos a la salud, la vida y la orientación sexual, entre otros.

Esta prohibición no se aplicará cuando:

a) El tratamiento de los datos sea necesario para salvaguardar el interés vital del interesado o de otra persona, en el supuesto de que la persona interesada esté física o jurídicamente incapacitada para dar su consentimiento.

b) El tratamiento de los datos sea efectuado en el curso de sus actividades legítimas y con las debidas garantías por una fundación, una asociación o cualquier otro organismo, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que se refiera exclusivamente a sus miembros o a las personas que mantengan contactos regulares con la fundación, la asociación o el organismo, por razón de su finalidad y con tal de que los datos no se comuniquen a terceros sin el consentimiento de las personas interesadas.

c) El tratamiento se refiera a datos que la persona interesada haya hecho públicos voluntariamente o sean necesarios para el reconocimiento, el ejercicio o la defensa de un derecho en un procedimiento judicial.

d) El tratamiento de los datos resulte necesario para la prevención o para el diagnóstico médico, la prestación de asistencia sanitaria o tratamientos médicos, o la gestión de servicios sanitarios, siempre que dicho tratamiento de datos sea realizado por un funcionario o funcionaria del área de la salud, sujeto al secreto profesional o propio de su función, o por otra persona sujeta, asimismo, a una obligación equivalente de secreto.

(…)”

Así entonces, se considera que los datos sensibles son aquellos que el individuo no tiene la obligación de relevar por ser información de carácter personal por lo que, se prohíbe su tratamiento por parte de terceros salvo que exista consentimiento expreso del titular o se cumpla con las excepciones dispuestas en la ley.

 

Por otra parte, consideramos importante reseñar que, al responsable de la base de cualquier base de datos se le impone un deber de adoptar las medidas de índole técnica y de organización necesarias con el objeto de garantizar la seguridad de los datos personales y evitar su alteración, destrucción accidental o ilícita, pérdida, tratamiento o acceso no autorizado, así como cualquier otra acción contraria a la Ley en mención, contemplando como mínimo dentro de esas medidas, los mecanismos de seguridad física y lógica más adecuados acordes con el desarrollo tecnológico que impere en el momento. Asimismo, las personas físicas o jurídicas propietarias de bases de datos deberán inscribir ante la Agencia de Protección de Datos de los Habitantes (PRODHAB) estos registros (artículo 44 del Reglamento a la Ley 8968), especificando, entre otras cosas, las finalidades y los usos previstos.

 

Sobre dichos responsables y quienes participen en cualquier fase del proceso de tratamiento de datos personales, recae en correspondencia con esa información, un deber de confidencialidad sea por su condición profesional o funcional.

 

Al respecto señala el numeral 11 de la Ley en comentario:

 

“ARTÍCULO 11.- Deber de confidencialidad

La persona responsable y quienes intervengan en cualquier fase del tratamiento de datos personales están obligadas al secreto profesional o funcional, aun después de finalizada su relación con la base de datos. La persona obligada podrá ser relevado del deber de secreto por decisión judicial en lo estrictamente necesario y dentro de la causa que conoce.

 

En este punto, conviene resaltar que esta misma Ley dispone expresamente las excepciones al derecho de autodeterminación informativa del ciudadano, al respecto, el artículo 8 acota:

 

“ARTÍCULO 8.- Excepciones a la autodeterminación informativa del ciudadano.

 

Los principios, los derechos y las garantías aquí establecidos podrán ser limitados de manera justa, razonable y acorde con el principio de transparencia administrativa, cuando se persigan los siguientes fines:

 

a) La seguridad del Estado.

b) La seguridad y el ejercicio de la autoridad pública.

c) La prevención, persecución, investigación, detención y represión de las infracciones penales, o de las infracciones de la deontología en las profesiones.

d) El funcionamiento de bases de datos que se utilicen con fines estadísticos, históricos o de investigación científica, cuando no exista riesgo de que las personas sean identificadas.

e) La adecuada prestación de servicios públicos.

f) La eficaz actividad ordinaria de la Administración, por parte de las autoridades oficiales.” 

 

Conforme lo anterior, la autodeterminación informativa puede ser limitada, de una manera justa, razonable y acorde con el principio de transparencia administrativa, cuando se persigan ciertos fines, como lo son: la seguridad del Estado, la seguridad y el ejercicio de la autoridad pública, la prevención, persecución, investigación, detención y represión de las infracciones penales, o de las infracciones de la deontología en las profesiones, el funcionamiento de bases de datos que se utilicen con fines estadísticos, históricos o de investigación científica, cuando no exista riesgo de que las personas sean identificadas, para una adecuada prestación de servicios públicos y, para una eficaz actividad ordinaria de la Administración, por parte de las autoridades oficiales.

 

 En ese sentido, este órgano técnico consultivo ha señalado que, dichas limitaciones deben ser establecidas en consonancia con el principio de transparencia administrativa y deben constituir una limitación justa y razonable. Ergo, deben ser conformes con los principios de razonabilidad y proporcionalidad que rigen la actuación pública y al principio de transparencia (no puede ser arbitraria ni desproporcionada respecto de los fines que persigue), lo cual implica que, aún y cuando se restrinja el derecho a la autodeterminación informativa, los titulares de los datos o sus representantes puedan conocer sobre la existencia del archivo, los datos que constan allí y el tratamiento que recibirán (dictamen C-090-2013 del 28 de mayo de 2013).

 

En esa misma línea, el Código Civil contiene excepciones a la regla de contar con el consentimiento del titular en cuanto a poder captar su imagen, en los supuestos donde se evidencia una notoriedad de la persona, por la función pública que desempeñe (resolución No. 2014-11715 de la Sala Constitucional), las necesidades de justicia o de policía a propósito de una investigación y cuando la grabación se relacione con hechos, acontecimientos o ceremonias de interés público o que tengan lugar en público. Establece su artículo 47:

 

“ARTÍCULO 47.- La fotografía o la imagen de una persona no puede ser publicada, reproducida, expuesta ni vendida en forma alguna si no es con su consentimiento, a menos que la reproducción esté justificada por la notoriedad de aquélla, la función pública que desempeñe, las necesidades de justicia o de policía, o cuando tal reproducción se relacione con hechos, acontecimientos o ceremonias de interés público o que tengan lugar en público. Las imágenes y fotografías con roles estereotipados que refuercen actitudes discriminantes hacia sectores sociales no pueden ser publicadas, reproducidas, expuestas ni vendidas en forma alguna.”

 

 

Consecuentemente, debe reconocerse también que, a partir del derecho a la imagen, se: “faculta a las personas a reproducir su propia imagen o por el contrario a impedir que un tercero pueda captar, reproducir o publicar una imagen sin autorización” (resolución 2001-09250 de las 10:22 horas del 14 de setiembre de 2001 Sala Constitucional). 

 

Al respecto, en la sentencia  2533-93 de las 10:03 horas del 4 de junio de 1993, la Sala Constitucional señaló: “… El derecho a la imagen es uno de los derechos de la personalidad y tiene independencia funcional y se manifiesta en forma negativa cuando la persona se niega a que se le tome una fotografía y en forma positiva cuando el sujeto solicita o autoriza tal conducta; además, el retrato fotográfico de la persona no puede ser puesto en el comercio, sin el debido consentimiento…” (en similar sentido ver las resoluciones Nos. 2533-93, de las 10:03 del 4 de junio de 1993, 1441-96 de las 16:15 horas del 27 de marzo de 1996 y 2014-11715 de las 9:05 horas del 18 de julio de 2014, de la Sala Constitucional).

    

 

Por tanto, el acceso a los datos biométricos no es indiscriminado, sino que, necesariamente su acceso, recopilación y archivo debe estar expresamente autorizado por una ley habilitante mediante la cual se defina el fin público que se persigue con ello, además, se establezcan los demás parámetros para su tratamiento, como serían, por ejemplo, quién tendrá acceso a esta información y su propósito, el tratamiento que se dará a los datos, régimen sancionatorio en caso de incumplimiento, medidas de seguridad y respaldo, entre otras. En su defecto, la única forma de utilizar este tipo de datos es con el consentimiento de su titular.

 

En nuestro ordenamiento jurídico, existe legislación especial que autoriza a ciertas instituciones a realizar el almacenamiento de datos biométricos. Así, podemos encontrar el artículo 93 de la Ley Orgánica del Tribunal Supremo de Elecciones y del Registro Civil y los artículos 40 y 41 de la Ley Orgánica del Organismo de Investigación Judicial, legislaciones que confirman la necesidad de que exista una norma especial habilitante, que regule las condiciones específicas en que podrá tenerse acceso a los datos biométricos que, por su naturaleza, están protegidos constitucionalmente.

 

En cuanto se refiere a los datos biométricos almacenados por el Tribunal Supremo de Elecciones y el Registro Civil, que es el supuesto de importancia para la presente consulta, el artículo 93 indicado señala:

“ARTICULO 93.- Cédula de identidad

La cédula de identidad contendrá la información necesaria, a juicio del Tribunal Supremo de Elecciones, para identificar, conforme a derecho, plenamente a su portador.

Para confeccionar y emitir este documento, el Tribunal y el Registro Civil utilizarán las técnicas más avanzadas y seguras para la identificación personal.” (El subrayado no pertenece al original)

     Conforme lo anterior, para confeccionar y emitir el documento de identidad, el Tribunal Supremo de Elecciones y el Registro Civil utilizan las técnicas más avanzadas y seguras para la identificación personal, procedimiento que denominan "Servicio de Verificación de Identidad" (VID). Este permite a su adquirente, previa digitación del número de cédula y la captura de la huella dactilar de su usuario o cliente, el cotejo de esa información con la almacenada en la base de datos de este Tribunal y, en caso de que exista coincidencia, se despliega en la pantalla del dispositivo los datos asociados a esa cédula de identidad y la correspondiente fotografía.

Conforme lo señaló el Tribunal Supremo de Elecciones en la resolución No. 2357-E8-2015 de las 11:35 horas del 25 de mayo de 2015, Interpretación de los artículos 93 y 95 de la Ley Orgánica del Tribunal Supremo de Elecciones y del Registro Civil, “… con este sistema de verificación biométrico se alcanza de manera más eficiente el fin perseguido por las citadas normas jurídicas, cual es la identificación plena y segura de la persona en toda aquella diligencia u operación en la que sea del caso acreditar su identidad personal, eliminando, mediante esta cédula digital, toda posibilidad de suplantación por falsificación del documento en su formato físico…”.

       De igual forma, debe señalarse que si bien el artículo 24 del Código Electoral faculta al Tribunal Supremo de Elecciones a cobrar por el acceso electrónico de la información que consta en sus bases de datos, esta potestad debe ser ejercida racionalmente y en respeto del derecho a la autodeterminación informativa. Señala dicho artículo en lo que interesa:

 

“ARTÍCULO 24.- Cobro por algunos servicios no esenciales del Tribunal Supremo de Elecciones

El TSE podrá cobrar por el acceso electrónico con fines comerciales a la información que conste en sus bases de datos, mediante los mecanismos seguros que considere pertinentes y salvaguardando el derecho a la intimidad. Para ello, podrá contratar, con sujetos de derecho público o de derecho privado, el suministro electrónico de la información contenida en sus bases de datos, previo establecimiento, por parte del mismo Tribunal, del régimen tarifario aplicable a dichas relaciones contractuales. La información que suministre el Tribunal deberá respetar el principio de autodeterminación informativa, por lo que no podrá suministrar información de carácter confidencial…” (La negrita no es del original)

Como se observa, la comercialización de servicios no esenciales a los que se refiere ese artículo, no abarca la posibilidad de vender datos personales, incluyendo los biométricos, pues lo que se comercializa son servicios de acceso electrónico para fines de verificación de identidad, cumpliendo con las disposiciones legales correspondientes, lo cual incluye el apropiado tratamiento de los datos personales.

 

 

Por tanto, es claro que, si RACSA desea utilizar el "Servicio de Verificación de Identidad" (VID) brindado por el Tribunal Supremo de Elecciones, debe cumplir con los requisitos dispuestos en el ordenamiento jurídico vigente, pues cualquier otro supuesto diferente debe ser autorizado por el titular de la información o por una ley habilitante aprobada por mayoría calificada, en los términos dispuestos en el artículo 24 constitucional.

 

Por tanto, ante la interrogante que se plantea sobre “la viabilidad jurídica de validar la identidad del ciudadano a través de herramientas biométricas”, debemos señalar que ello depende del tipo de dato biométrico de que se trate, si existe o no habilitación legal para el acceso o si se cuenta con el consentimiento del titular.

 

 

III.      CONCLUSIONES

 

Partiendo de lo indicado debemos llegar a las siguientes conclusiones:

 

a)   La competencia consultiva de la Procuraduría no nos faculta para analizar la oportunidad ni la legalidad del proyecto específico que se cita en esta consulta y que desea realizar RACSA con la Superintendencia General de Entidades Financieras, lo cual es una valoración que corresponde a la Administración activa;

 

b)  En la legislación costarricense no podemos encontrar a la fecha, una definición de los datos biométricos, así como tampoco una regulación específica para ellos, aunque deben enmarcarse dentro de la categoría de los datos sensibles, pues son aquellos recopilados a través de procesos tecnológicos y que llevan relación con características físicas, fisiológicas y conductuales de una persona, las cuales, permiten identificarlo inequívocamente, a través de su huella dactilar, reconocimiento facial, iris de la retina, ADN, geometría de la mano o dedos, reconocimiento de voz, entre otras; 

 

c)   Consecuentemente, los datos biométricos se encuentran resguardados por el artículo 24 de la Constitución Política, por lo que su acceso, recopilación y archivo debe ser expresamente consentido por el titular o autorizado por una ley especial habilitante, aprobada por mayoría calificada;

 

d)  Para que cualquier entidad pública o privada pueda recopilar, almacenar o tener acceso a los datos biométricos de los habitantes, necesariamente deberá ser autorizada por una norma de rango legal;

 

e)   El artículo 93 de la Ley Orgánica del Tribunal Supremo de Elecciones y del Registro Civil autorizan a dicha autoridad a utilizar las técnicas más avanzadas y seguras para la identificación personal, lo cual incluye el almacenamiento de datos biométricos como la huella dactilar;

 

f)   Si bien el artículo 24 del Código Electoral faculta al Tribunal Supremo de Elecciones a cobrar por el acceso electrónico de la información que consta en sus bases de datos, esta potestad debe ser ejercida racionalmente y en respeto del derecho a la intimidad y a la autodeterminación informativa, por lo que la comercialización de servicios no esenciales a los que se refiere ese artículo, no incluye la posibilidad de vender datos personales, incluyendo los biométricos. Por el contrario, el legislador únicamente autorizó la comercialización del servicio de acceso electrónico para fines de verificación de identidad;

 

g)  Por tanto, la viabilidad jurídica de validar la identidad del ciudadano a través de herramientas biométricas por parte de RACSA, depende del tipo de dato biométrico de que se trate, si existe o no habilitación legal para su acceso o si se cuenta con el consentimiento del titular.

 

                                                         Atentamente,

 

   

 Silvia Patiño Cruz

     Procuradora

 

 

 

 

SPC/cpb