02 de marzo del 2023

PGR-OJ-021-2023

 

Licenciada          

Nancy Vílchez Obando

Comisiones Legislativas V

Asamblea Legislativa

 

Estimada señora:

Con aprobación de la señora Procuradora General Adjunta de la República, me refiero a sus oficios AL-CPECTE-C-0450-2022 del 17 de noviembre de 2022 y AL-CPECTE-C-0536-2023 del 16 de febrero de 2023, mediante los cuales requiere el criterio de este órgano asesor sobre el proyecto de ley denominado “LEY DE PROTECCIÓN DE DATOS PERSONALES”, el cual se tramita bajo el número de expediente 23.097, en la Comisión Permanente Especial de Ciencia, Tecnología y Educación.

Sobre el particular, debemos advertir que el presente pronunciamiento versará sobre el texto del proyecto de ley actualizado y dictaminado en fecha 26 de enero de 2023.  Asimismo, el criterio que a continuación se expone se trata de una simple opinión jurídica sin efectos vinculantes, toda vez que de conformidad con la Ley N.° 6815 del 27 de setiembre de 1982, Ley Orgánica de la Procuraduría General de la República, este órgano asesor sólo puede realizar su función consultiva vinculante rindiendo los criterios legales que le soliciten los jerarcas de los diferentes niveles de la Administración Pública, no así cuando se trata del ejercicio de la función legislativa que realiza la Asamblea.

Asimismo, debemos señalar que el plazo de los ocho días otorgado para dar respuesta, no es aplicable a esta Institución, por no encontrarnos en alguno de los supuestos del artículo 157 del Reglamento de la Asamblea Legislativa (consulta al Tribunal Supremo de Elecciones, la Universidad de Costa Rica, el Poder Judicial o una institución autónoma).

 

I. OBJETO DEL PROYECTO DE LEY

            La presente iniciativa pretende derogar la Ley N.° 8968 del 07 de julio de 2011, Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales, sustituyéndola por una nueva legislación.

 

            En la exposición de motivos se justifica la reforma por varias razones: en primer lugar, se considera que la ley quedó desfasada, al tener como fundamento legislación española que fue derogada; la nueva legislación debe ajustarse a lo dispuesto en el Convenio 108, el único tratado internacional de alcance global existente hoy en materia de protección de datos personales y al cual Costa Rica tiene intención de adherirse; el proceso de ingreso de Costa Rica a la OCDE requiere ajustar la legislación a las directrices específicas sobre protección de datos, enfocados sobre todo en la transferencia internacional de datos personales, tan necesaria para la economía digital; la legislación actual ha tenido una modesta incidencia en la forma en cómo se tratan los datos personales en Costa Rica en el sector privado, pero en el sector público, la incidencia ha sido prácticamente nula.

 

            Dentro de la problemática encontrada con la legislación vigente, se detalla lo siguiente:

 

1.         Poca difusión de la normativa entre la ciudadanía, esto no contribuyó a desarrollar un cambio de cultura en materia de privacidad;

 

2.         Una normativa confusa, contradictoria e incompleta que no propició la existencia de un marco legal que ofreciera seguridad jurídica a los ciudadanos, pero sobre todo a las instituciones públicas y privadas, con respecto a las obligaciones materiales que deben cumplir en esta materia;

 

3.         Falta de recursos materiales y humanos para la PRODHAB que le permita asumir el rol protagónico requerido para lograr un estándar adecuado de protección de datos personales;

 

4.         La falta de regularización del tratamiento de los datos personales por parte del Estado, sus instituciones y empresas.

 

 

            II. SOBRE LA LEGISLACIÓN ACTUAL EN PROTECCIÓN DE DATOS

 

El artículo 24 de la Constitución Política garantiza el derecho a la intimidad, a la libertad y al secreto de las comunicaciones, de cuyo contenido derivan otros derechos reconocidos en el ámbito constitucional como el derecho a la imagen, la inviolabilidad de los documentos privados y de autodeterminación informativa.

 

Específicamente el derecho a la autodeterminación informativa comprende el derecho del individuo a estar informado sobre el procesamiento de sus datos, sobre el fin que se persigue con su acceso, así como la posibilidad de tener control sobre los datos que contiene un registro y corregirlos o eliminarlos en caso de que le cause algún perjuicio.

 

En relación con este derecho, la Sala Constitucional ha señalado que constituye una ampliación del ámbito protector del derecho a la intimidad, que surge como respuesta a los cambios en la fluidez de la información, evolucionando a nuevas herramientas de comunicación y distribución de la información, por lo que se debe garantizar el derecho fundamental de los ciudadanos a decidir quién, cuándo, dónde y bajo qué circunstancias se puede tener contacto con sus datos (dictamen C-412-2020 del 21 de octubre de 2020 de la PGR y sentencia de la Sala Constitucional 910-2009 de las 13:36 horas de 23 de enero de 2009).

Hasta el año 2011, el contenido del derecho de la autodeterminación informativa, derivado del artículo 24 de la Constitución Política, había sido desarrollado únicamente por jurisprudencia de la Sala Constitucional, señalando de forma reiterada la necesidad de llenar el vacío legal que existía en cuanto al control de archivos que contenían información de los particulares. En ese sentido, a través de la resolución No. 5268-2011 de las 15:13 horas de 27 de abril de 2011, la Sala Constitucional señaló:

“…la normativa se ocupa de llenar un importante vacío normativo relacionado con el derecho a la autodeterminación informativa, que si bien la jurisprudencia de la Sala se ha ocupado de desarrollar su contenido, persiste la necesidad de desarrollar una institución administrativa que vele por un equilibrio en la actividad, y para que se constituya en una primera línea de defensa especializada de este derecho fundamental. Por ello es necesario señalar la máxima jurídica (más conocida en el derecho anglosajón) de que no hay derechos sin un remedio procesal (there is no right without a remedy). En un escenario en el que los recursos tecnológicos permiten un uso masivo de almacenamiento de datos de toda naturaleza, y con múltiples posibilidades de transferencia, es importante que toda aquella información personal que llegue formar parte de las bases de datos tenga normada las conductas lícitas e ilícitas de los operadores para que no lleguen a lesionar derechos fundamentales. Actualmente, tanto las Administraciones Públicas, como las personas físicas y empresas que recopilan datos personales, carecen de regulaciones legales que fiscalicen, controlen e intervengan los archivos que contienen estos datos, lo cual repercute en los métodos que sistematizan estos datos. Es claro, los derechos de los particulares están más expuestos sin normativa que cuando ésta la regula de forma más ordenada y compatible con el Derecho de la Constitución. Lo contrario, evidentemente, prolonga una asimetría entre los ciudadanos y los poderes públicos y privados que manejan dicha información, lo cual se ha venido solventando mediante la jurisprudencia de la Sala, la que desde hace más de una década reconoció la ausencia de legislación y de un organismo administrativo de control. De ahí que la legislación llena un importante vacío del ordenamiento jurídico al procurar un equilibrio entre las instituciones y la sociedad costarricense que permita una tutela eficaz de la libertad a la autodeterminación informativa y una mejor protección administrativa de frente a la acumulación de poderes que ha ocurrido a lo largo de los años en que no ha habido tales controles.” (La negrita no es del original)

 

Posterior a ello, se promulgó la Ley N° 8968 del 5 de setiembre de 2011, Ley de Protección de la Persona frente al Tratamiento de sus Datos Personales, cuya finalidad es garantizar a cualquier persona, sin discriminación alguna, el respeto a su derecho a la autodeterminación informativa en relación con su vida o actividad privada y demás derechos de la personalidad, así como la defensa de su libertad e igualdad, con respecto al tratamiento automatizado o manual de los datos sobre su persona o bienes (artículo 1). Adicionalmente, fue emitido el Decreto Ejecutivo N° 37554 del 30 de octubre de 2012, Reglamento a la Ley de Protección de la Persona frente al Tratamiento de sus Datos Personales.

Respecto a su ámbito de aplicación, la citada Ley contempla todos aquellos datos que figuren en bases de datos automatizadas o manuales, de organismos públicos o privados y a toda modalidad de uso posterior de estos datos, excluyéndose a las bases de datos mantenidas por personas físicas o jurídicas con fines exclusivamente internos, personales o domésticos, siempre y cuando estas no sean vendidas o de cualquier otra manera comercializadas (artículo 2 de la Ley).

Concretamente, sobre el derecho a la autodeterminación informativa, para el adecuado tratamiento de los datos personales, el numeral 4 señala:

“ARTÍCULO 4.- Autodeterminación informativa

Toda persona tiene derecho a la autodeterminación informativa, la cual abarca el conjunto de principios y garantías relativas al legítimo tratamiento de sus datos personales reconocidos en esta sección.

Se reconoce también la autodeterminación informativa como un derecho fundamental, con el objeto de controlar el flujo de informaciones que conciernen a cada persona, derivado del derecho a la privacidad, evitando que se propicien acciones discriminatorias.”

Un aspecto importante a resaltar es que, para efectos de determinar el tratamiento o restricción de acceso que se le debe dar a la información de los particulares, la Ley en comentario, así como su reglamento, clasifican los datos en diferentes categorías (artículo 9): los datos sensibles o personales, son aquellos que el individuo no tiene la obligación de revelar por ser información de carácter personal (relacionados con origen étnico, religión, salud, orientación sexual, etc), por lo que se prohíbe su tratamiento por parte de terceros (con las excepciones contenida en el artículo 9.1 de la Ley); los datos personales de acceso restringido, los cuales, aún y cuando consten en registros de acceso al público, no pueden ser de acceso irrestricto, de allí que, su tratamiento está permitido sólo para el titular de la Administración Pública interesada, cuando persiga fines públicos, o bien, se cuente con el consentimiento expreso del titular, en ese sentido, aún y cuando se encuentre en poder de la Administración, está protegida por el artículo 24 de la Constitución Política y, por ende, no tendrían acceso indiscriminado y; lo datos personales de acceso irrestricto, los cuales son aquellos que forman parte de las bases de datos públicas de acceso general, por disposición de ley especial y para la finalidad para lo cual fueron recabados.

Adicionalmente, al responsable de la base de datos se le impone un deber de adoptar las medidas de índole técnica y de organización necesarias con el objeto de garantizar la seguridad de los datos personales y evitar su alteración, destrucción accidental o ilícita, pérdida, tratamiento o acceso no autorizado, así como cualquier otra acción contraria a la Ley en mención, contemplando como mínimo dentro de esas medidas, los mecanismos de seguridad física y lógica más adecuados acordes con el desarrollo tecnológico que impere en el momento. Asimismo, sobre dichos responsables y quienes participen en cualquier fase del proceso de tratamiento de datos personales, recae en correspondencia con esa información, un deber de confidencialidad sea por su condición profesional o funcional (artículo 11).

En la legislación actual, se establecen también excepciones a la autodeterminación informativa (artículo 8), entendiendo que este derecho puede ser limitado de una manera justa, razonable y acorde con el principio de transparencia administrativa, cuando se persigan ciertos fines, como lo son: la seguridad del Estado, la seguridad y el ejercicio de la autoridad pública, la prevención, persecución, investigación, detención y represión de las infracciones penales, o de las infracciones de la deontología en las profesiones, el funcionamiento de bases de datos que se utilicen con fines estadísticos, históricos o de investigación científica, cuando no exista riesgo de que las personas sean identificadas, para una adecuada prestación de servicios públicos, y, para una eficaz actividad ordinaria de la Administración, por parte de las autoridades oficiales.

 En ese sentido, este órgano técnico consultivo ha señalado que, dichas limitaciones deben ser establecidas en consonancia con el principio de transparencia administrativa y deben constituir una limitación justa y razonable. Consecuentemente, deben ser conformes con los principios de razonabilidad y proporcionalidad que rigen la actuación pública y al principio de transparencia (no puede ser arbitraria ni desproporcionada respecto de los fines que persigue), lo cual implica que, aún y cuando se restrinja el derecho a la autodeterminación informativa, los titulares de los datos o sus representantes puedan conocer sobre la existencia del archivo, los datos que constan allí y el tratamiento que recibirán (dictamen C-090-2013 del 28 de mayo de 2013).

La legislación actual, además, creó la Agencia de Protección de Datos de los habitantes (PRODHAB), cuya finalidad es garantizar a cualquier persona, independientemente de su nacionalidad, residencia o domicilio, el respeto a su derecho a la autodeterminación informativa en relación con su vida o actividad privada y demás derechos de la personalidad, así como la defensa de su libertad e igualdad con respecto al tratamiento automatizado o manual de los datos correspondientes a su persona o bienes. En cumplimiento de lo anterior, las personas físicas o jurídicas propietarias de bases de datos deberán inscribir ante la Agencia estos registros (artículo 44 del Reglamento a la Ley 8968), especificando, entre otras cosas, las finalidades y los usos previstos.

A pesar del marco normativo descrito que se encuentra vigente en la actualidad, han existido varias iniciativas legislativas que evidencian la necesidad de fortalecer la legislación, pues los promoventes la consideran insuficiente y desfasada, lo cual, en términos generales es una potestad del legislador y que, en consecuencia, se encuentra dentro de su ámbito de discrecionalidad.

En algunas oportunidades se han planteado iniciativas de reformas parciales a la ley actual[1] y, en otras, como en la presente, se ha escogido por plantear una reforma integral a la legislación[2]. Escoger una vía u otra, debe ser determinado por las señoras y señores diputados y, por tanto, la aprobación o no del presente proyecto de ley es una potestad de la Asamblea Legislativa.

Adicionalmente, debemos destacar que la presente iniciativa busca ajustar la legislación costarricense a los estándares internacionales en esta materia, específicamente a partir de lo dispuesto en el Reglamento de la Unión Europea  2060/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 (RGPD), el Convenio para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal, de Estrasburgo del 28 de enero de 1981 y sus Protocolos (Convenio 108), los Estándares de Protección de Datos Personales para los Estados Iberoamericanos, promulgados por la Red Iberoamericana de Protección de Datos Personales en el año 2017 y las Directrices sobre protección de la privacidad y flujos transfronterizos de datos personales (1980).

Dichas normas internacionales regulan temas que no son encontrados en nuestra legislación actual, tal como la transferencia internacional de datos y la utilización de datos biométricos, con lo cual es una potestad del legislador aprobar el presente proyecto de ley y ajustarlo a esos estándares.

III. ANÁLISIS DEL ARTICULADO PROPUESTO

Sin perjuicio de lo indicado en el apartado anterior, procederemos a analizar el articulado planteado y haremos observaciones únicamente en aquellos artículos que ameriten alguna discusión de tipo jurídico o de técnica legislativa.

 

Artículo 2: definiciones

En el apartado de definiciones, debemos referirnos a dos frases encontradas tanto en el inciso a) como en el g). Señalan dichos incisos:

 

“a) Anonimización: la aplicación de medidas de cualquier naturaleza dirigidas a impedir la identificación o reidentificación de una persona física sin esfuerzos o plazos desproporcionados, teniendo en cuenta factores como los costos y el tiempo necesario para la identificación o reidentificación de la persona a la luz de la tecnología disponible en el momento del tratamiento.”

“g) Datos personales: cualquier información concerniente a una persona física identificada o identificable, expresada en forma numérica, alfabética, gráfica, fotográfica, alfanumérica, acústica o de cualquier otro tipo. Se considera que una persona es identificable cuando su identidad pueda determinarse directa o indirectamente, siempre y cuando esto no requiera plazos o actividades desproporcionadas.”

      No queda claro, en nuestro criterio, a qué se refieren las frases “sin esfuerzos o plazos desproporcionados” o “plazos o actividades desproporcionadas”, lo cual podría generar en la práctica problemas de interpretación o de aplicación de la ley, dada la amplitud de esos conceptos y la discrecionalidad que genera su interpretación, lo cual es especialmente sensible tratándose de la definición de datos personales.

Adicionalmente, en este artículo de definiciones, recomendamos valorar la pertinencia de realizar una lista taxativa de las “fuentes de acceso público”, tal como se establece en el inciso l), pues podría excluir a otras ya existentes o que se creen en el futuro.

En efecto, dicho inciso señala que son fuentes de acceso público únicamente las bases de datos de personas jurídicas, bienes inmuebles, bienes muebles, catastro y propiedad industrial del Registro Nacional; los registros de nacimientos, matrimonios y defunciones del Registro Civil; las bases de datos que acrediten la condición de colegiado a un colegio profesional o la habilitación o deshabilitación de personas físicas para el ejercicio de determinados oficios, como el notariado, la condición de perito, curador o similares; el diario oficial La Gaceta y el Boletín Judicial, independientemente del soporte físico o digital en el que se publiquen; las publicaciones realizadas en medios masivos de comunicación, entendiendo por tales los provenientes de la prensa, cualquiera sea el soporte en el que figuren o el canal a través del cual se practique la comunicación; las guías, publicaciones, anuarios, directorios y similares que tengan la finalidad comunicar públicamente la pertenencia de determinadas personas a organizaciones gremiales, asociaciones, colegios profesionales u otras organizaciones de la sociedad civil, en el tanto cuenten con el consentimiento del Titular y se cumpla la finalidad para la que dicho consentimiento fue otorgado por el Titular.

      Finalmente, se recomienda valorar la inclusión de la definición de “oficial de protección de datos”, pues es una figura novedosa que se introduce con el presente proyecto de ley y que debería estar definida en este apartado.

            Por lo indicado, se recomienda de manera respetuosa valorar los aspectos indicados en los citados incisos.

Artículo 7: Excepciones generales al derecho a la protección de datos personales

 

            El artículo 7 del proyecto de ley establece lo siguiente:

 

1.      No se podrá limitar el derecho a la protección de datos personales mediante ley, salvo de manera excepcional, cuando existan razones que justifiquen su necesidad, sean adecuadas y proporcionales en una sociedad democrática, y respeten los derechos y las libertades fundamentales de los Titulares.

 

La redacción del inciso anterior es confusa, pues parece justificar que, bajo ciertos supuestos, el derecho no sea protegido. Sin embargo, la ley no señala cuáles son esos supuestos que se consideran necesarios y proporcionales, dejando un amplio ámbito de discrecionalidad.

Además, parece que el legislador actual, pretende impedir al legislador futuro, emitir leyes en esta materia como regla general, lo cual, no tiene ningún efecto práctico ni puede ser oponible en el futuro.

Lo mismo debe decirse en cuanto al inciso 3), pues se establece una serie de requisitos al legislador futuro sobre cómo deben ser las leyes que se emitan en esta materia.

Debe recordarse, además, que para la limitación de cualquier derecho fundamental opera el principio de reserva legal, por lo que más bien es la ley el mecanismo idóneo para regular esta materia y los límites al legislador sólo pueden ser de rango constitucional por un tema de jerarquía normativa.

Artículo 23 sobre el Principio de responsabilidad proactiva

            En este artículo se establecen una serie de medidas que el responsable de una base de datos podrá adoptar para cumplir con el principio de responsabilidad proactiva. Entre ellos, destinar recursos para la instrumentación de programas y políticas de protección de datos personales; implementar medidas para el análisis de los riesgos asociados al tratamiento de datos personales, y en caso de que corresponda, evaluaciones de impacto de datos personales; elaborar políticas y programas de protección de datos personales obligatorios y exigibles al interior de la organización del Responsable; poner en práctica un programa de capacitación y actualización del personal sobre las obligaciones en materia de protección de datos personales; revisar periódicamente las políticas y programas de seguridad de datos personales para determinar las modificaciones que se requieran; establecer un sistema de supervisión y vigilancia interna y/o externa, incluyendo auditorías, para comprobar el cumplimiento de las políticas de protección de datos personales; establecer procedimientos para recibir y responder dudas y quejas de los titulares en los plazos establecidos en esta Ley; llevar el registro de tratamiento de datos personales, cuando corresponda conforme lo establecido en esta Ley y designar un oficial de protección de datos personales.

No obstante lo anterior, dichas medidas no se establecen como obligatorias, a pesar que en el mismo artículo se establece como obligatorio que el responsable revise y evalúe permanentemente esos mecanismos.

Además de la contradicción aparente apuntada, esta norma podría ocasionar en la práctica que las medidas sugeridas nunca sean adoptadas, con lo cual podría desprotegerse el derecho que se pretende tutelar. Por ello, se sugiere al legislador revisar este punto, según sea la intención del proyecto de ley.

 

ARTÍCULO 25.- Notificación de violación a la seguridad de los datos personales

 

            El artículo 25 del proyecto de ley exige a los responsables notificar a los titulares de los datos en caso de una violación de seguridad ocurrida en cualquier fase del tratamiento. No obstante lo anterior, este artículo no aclara si dicha notificación debe ser personal o no, o si existen otros medios de notificación que podrían utilizarse, especialmente cuando se trata de bases de datos masivos.

 

            Este aspecto debe ser aclarado para evitar problemas futuros de interpretación y aplicación de la ley.

Asimismo, esta norma establece:

“6. El reglamento que se dicte a la presente Ley establecerá los efectos de las notificaciones de violaciones de seguridad que realice el Responsable a la autoridad de control, en lo que se refiere a los procedimientos, forma y condiciones de su intervención, con el propósito del salvaguardar los intereses, derechos y libertades de los Titulares afectados.” (La negrita no es del original)

La redacción de dicho inciso no es clara, por lo que queda la duda de si se está delegando en la norma reglamentaria la regulación de algún tipo de procedimiento sancionatorio en los supuestos de violaciones de seguridad, lo cual sería improcedente pues en materia sancionatoria aplica un principio de reserva legal.

Así las cosas, esta norma debe aclararse y en caso de referirse a un tema procedimental sancionatorio, debe regularse en la ley.

Artículo 28

            El artículo 28 del proyecto de ley se refiere al ejercicio de los derechos y señala en el inciso 5 que “los Titulares de la patria potestad podrán ejercitar en nombre y representación de los menores de quince años los derechos de acceso, rectificación, cancelación, oposición o cualesquiera otros que pudieran corresponderles en el contexto de la presente Ley.”

            No obstante lo anterior, este inciso no aclara si, en el caso de los menores de edad mayores de quince años y menores de dieciocho, los derechos sólo pueden ser ejercidos por estos o si los padres podrán asumir también su representación en ejercicio de la patria potestad.

Artículo 39

El artículo 39 del proyecto de ley se refiere a la cesión de datos, exigiendo en el inciso 1) que dicha cesión sea informada al titular. No obstante lo anterior, el artículo propuesto no aclara si es posible la oposición del titular de los datos y qué pasaría bajo esos supuestos, lo cual se recomienda aclarar para evitar dudas al momento de interpretar la ley.

Artículo 57

El proyecto de ley establece un artículo denominado “utilización de medios tecnológicos y datos personales en las actividades electorales”, el cual establece que:

“El envío de propaganda electoral por medios electrónicos o sistemas de mensajería y la contratación de propaganda electoral en redes sociales o medios equivalentes no tendrán la consideración de actividad o comunicación comercial.”

            No existe claridad en la intención de excluir la propaganda electoral como comunicación comercial, por lo que se recomienda a las señoras y señores diputados valorar la pertinencia de esta disposición, especialmente, tomando en consideración que existe la posibilidad de pagar publicidad y propaganda en redes sociales y medios electrónicos, lo cual, hace que su naturaleza sea comercial.

 

            Asimismo, este artículo establece que “Se facilitará al destinatario un modo sencillo y gratuito de ejercicio del derecho de oposición.”, pero no se explica cuál es el mecanismo ni quién lo va a establecer, con lo cual podría someterse a las personas a la obligación de soportar envíos masivos de propaganda de tipo electoral por parte de los partidos políticos sin posibilidad de rechazo.

 

 

Artículos 61 y 62

 

Este artículo se refiere a la Agencia de Protección de Datos Personales, la cual, en adelante será un órgano con desconcentración del MICITT con idoneidad especial y técnica e independencia operativa, técnica, administrativa y potestad reglamentaria.

Al respecto, se recomienda aclarar de manera expresa en el primer párrafo de este artículo si el grado de desconcentración que se pretende es máximo y si se le está dotando o no de personalidad jurídica instrumental. Esto con la intención de evitar problemas futuros de aplicación de la ley y tener clara la naturaleza jurídica del órgano.

Debe tomarse en cuenta que la Agencia agota vía administrativa y cuenta con un presupuesto propio establecido en el numeral 62 del proyecto de ley. Sin embargo, este artículo 62 también señala que el Ministro de Ciencia, Innovación, Tecnología y Telecomunicaciones “tendrá injerencia en la asignación del presupuesto” de la Agencia, sin que quede clara cuál será dicha injerencia.

Además, el artículo 63 de la propuesta establece la competencia de la Agencia para “Gestionar y administrar sus recursos y presupuesto, para lo que podrá aprobar los contratos de obras y servicios, de acuerdo con el ordenamiento jurídico vigente”, para lo cual no necesariamente necesita personalidad instrumental.  

Con ello, deben aclararse los alcances de la desconcentración que se reconoce a la Agencia y valorar si cuenta o no con personalidad jurídica instrumental para manejar su propio presupuesto, aclarando cuál será la injerencia que se autoriza al Ministro de cartera.

 

 

Artículo 63

 

Este artículo en su inciso c) establece dentro de las funciones de la Agencia de Protección de Datos “emitir criterio a la Asamblea Legislativa, al Poder Ejecutivo y otras instituciones y organismos sobre las medidas legislativas y administrativas relativas a la protección de los derechos y las libertades de las personas físicas con respecto al tratamiento.”

No obstante lo anterior, no se aclara en la norma cuáles son los efectos de dicho criterio ni bajo qué supuestos procedería, sea si se trata de pronunciamientos oficiosos o a requerimiento de dichas autoridades.

Si bien, el inciso l) del artículo 63 se refiere a la potestad de la Agencia de emitir dictámenes no vinculantes, este inciso se encuentra separado del inciso c), por lo que no queda claro si se trata de la misma competencia o de una distinta, con efectos diferentes, lo cual debe aclarase.

 

 

Artículo 64

 

            El proyecto de ley establece como potestad de la Agencia: “Dictar las disposiciones que fijen los criterios a que responderá la actuación de la Agencia en la aplicación de la presente Ley, que se denominarán circulares. Para su elaboración se deberán contar con los informes técnicos y jurídicos necesarios, y conceder audiencia a los interesados. Las circulares serán obligatorias una vez publicadas en el Diario Oficial La Gaceta.”

 

            Al respecto, debemos señalar que las circulares administrativas corresponden a actos administrativos internos o interorgánicos de alcance general (artículo 120.1 Ley General de la Administración Pública), que a su vez son resultado del ejercicio de la potestad de jerarquía, específicamente del poder de instrucción en manos del superior jerárquico (artículo 102.a LGAP). A través de ellas, el superior jerárquico puede determinar de manera general la forma en la que se ejercen las funciones por parte del inferior, tanto en aspectos de oportunidad y conveniencia, como de legalidad, salvo las restricciones que establecen otras fuentes superiores del ordenamiento administrativo (artículos 6 y 105.1 LGAP). En muchos casos, las circulares pueden ser interpretativas y, como tales, parte del derecho blando, pero no obligatorias.

 

            Dado ello, pareciera que este artículo establece un concepto erróneo de las circulares, pues pretende que la Agencia las emita frente a terceros.

           

De igual forma, la obligatoriedad establecida para las circulares en este artículo, no respeta la autonomía de ciertos entes públicos que no podrían ser sometidos a órdenes concretas de un órgano del Poder Ejecutivo, como sería la Agencia de Protección de Datos, aunque sí a lineamientos generales. De ahí que deba especificarse el alcance de este artículo.

 

 

            Artículo 65

 

            Este artículo se refiere a la Dirección de la Agencia de Protección de Datos, sin embargo, no aclara si se trata de un órgano unipersonal o colegiado, lo cual debe especificarse para evitar problemas de interpretación de la ley.

 

            De igual forma, este artículo establece una función atípica a la Procuraduría General de la República al establecer lo siguiente:

 

“La remoción de la Dirección de la Agencia de Protección de Datos por las causales de los incisos a) y c) anteriores deberá tramitarse ante el Consejo de Gobierno, mediante el procedimiento ordinario establecido en la Ley N.º 6227, Ley General de la Administración Pública, de 2 de mayo de 1978 y sus reglamentos. Una vez tramitado el procedimiento, pero de previo a la adopción de la resolución final que decida sobre la separación, el Consejo de Gobierno enviará a la Procuraduría General de la República el expediente, para que ésta se manifieste, en un plazo razonable, sobre el carácter “grave” de la falta o la incompatibilidad y la procedencia de la separación. El criterio de la Procuraduría no será vinculante pero el Consejo deberá motivar su decisión de separarse de dicho criterio, si fuera el caso.”

 

Al respecto, consideramos que la función que se asigna en este artículo, no es compatible de las competencias reconocidas en la Ley Orgánica de la Procuraduría General de la República, pues se le otorgan a nuestra institución atribuciones de Administración activa en materia sancionatoria respecto de un órgano distinto y, además, lo obliga a constituirse en contralor de una decisión del Consejo de Gobierno, aun cuando su criterio no sea vinculante.

Nótese que el Director de la Agencia de Protección de Datos es un funcionario nombrado por el Consejo de Gobierno, por lo que bajo el principio de paralelismo de las formas, la Procuraduría no debería ser parte del procedimiento sancionatorio que siga dicho órgano para su remoción.

 

Artículos 74, 75, 76 y 77

 

            Estos artículos establecen las conductas que se consideran gravísimas, graves y leves, así como los plazos de prescripción de cada uno de ellas. No obstante, los artículos no señalan a partir de qué momento empezará a correr el plazo de prescripción, por lo que debe aclararse si es a partir de que la Administración tiene conocimiento de los hechos o desde el hecho mismo.

            Si bien el artículo 77 señala que “Interrumpirá la prescripción la iniciación, con conocimiento del interesado, del procedimiento sancionador”, lo cierto es que no se indica a partir de qué momento empieza a correr ese plazo.

 

 Artículo 78

 

            Este artículo establece que 4. “Será objeto de publicación en el Diario Oficial La Gaceta la información que identifique al infractor, la infracción cometida y el importe de la sanción impuesta cuando la sanción resulte de una la constatación de una falta grave o gravísima y el infractor sea una persona jurídica o entidad pública.”

            No obstante lo anterior, no aclara quién asume el costo de dicha publicación, lo cual debe ser establecido en la ley para evitar problemas futuros de interpretación.

 

 

            Artículo 80

 

            A pesar de que el artículo 80 establece el plazo de prescripción de las sanciones, impuestas por aplicación de esta ley, se señala que se interrumpirá “por la notificación al investigado, del procedimiento de investigación,” lo cual parece una contradicción pues el procedimiento en esta etapa ya fue realizado.

            Dado ello, se recomienda revisar la redacción de este artículo.

 

 

Transitorio II

 

Se recomienda incluir en el transitorio II cuales normas procesales se aplicarán a los procedimientos que se encuentren en trámite al momento de vigencia de la ley y mientras la nueva Agencia de Protección de Datos logra asumir sus funciones. Lo anterior, tomando en consideración que la ley, además, entraría a regir doce meses después de su publicación.

 

Observación final

 

            Dado que la presente ley tiene relación con el derecho fundamental protegido en el numeral 24 constitucional, debe ser aprobado por mayoría calificada de la Asamblea Legislativa. Asimismo, se recomienda publicar el texto sustitutivo dado que este cambió sustancialmente el texto originalmente publicado.

 

IV. CONCLUSIÓN

 

            La aprobación del presente proyecto de ley se enmarca dentro del ámbito de discrecionalidad del legislador, sin embargo, se recomienda de manera respetuosa valorar las observaciones hechas en cuanto al articulado propuesto y la votación calificada del proyecto de ley.

 

            Atentamente,

 

 

 

 

Silvia Patiño Cruz

Procuradora

SPC/cpb