This report by:
Este reporte consiste en un primer acercamiento al marco regulatorio costarricense sobre privacidad y vigilancia de comunicaciones. El mismo es producto de un trabajo de investigación y mapeo realizado como parte del programa Google Policy Fellowship en la organización Access Now entre julio y octubre de 2016. El reporte fue actualizado en el mes de Mayo de 2018. Su estructura se inspira en aquella utilizada por la Electronic Frontier Foundation y Fundación Acceso en el reporte ¿Privacidad digital para defensores y defensoras de derechos humanos?. Parte de un primer mapeo de las normas internas sobre privacidad y vigilancia realizado por la Cooperativa Sula Batsú en el capítulo de Costa Rica del estudio “Examinando los derechos y las libertades en Internet en Latinoamérica (EXLILA)”, de la Asociación para el Progreso de las Comunicaciones (APC).
Con relación a la metodología, el reporte se centró en el mapeo y análisis de las principales normas existentes referidas a privacidad y vigilancia en Costa Rica. No se analizaron las reglas relativas a la transferencia internacional de datos para fines de investigación criminal ni leyes de inteligencia. Por otra parte, el análisis incluye una breve sección sobre preocupaciones generales relevantes para la protección del derecho a la libertad de expresión y acceso a la información en el ambiente digital del país.
El reporte incluye una breve consideración acerca de la compatibilidad de las normas analizadas con los Principios Internacionales sobre la Aplicación de los Derechos Humanos a la Vigilancia de las Comunicaciones. El análisis se hizo tomando en consideración la guía Universal Implementation Guide for the International Principles on the Application of Human Rights to Communications Surveillance, de Access Now, que contiene orientaciones para la efectiva incorporación de los principios en los marcos regulatorios internos de los países. El análisis del cumplimiento con los principios se hizo solamente en base a los textos legales, ya que este estudio no incluye una revisión sistemática de la jurisprudencia relevante. Un análisis más profundo del cumplimiento de los principios debería tomar en consideración no sólo la jurisprudencia, sino también una revisión del estado del arte del tema en Costa Rica - incluyendo entrevistas con agentes de la sociedad civil, gobierno y sector privado relevantes en el campo - que no pudo realizarse en este primer acercamiento al tema. Sin embargo, se espera que esta primera evaluación pueda orientar y servir de insumo para futuros estudios y acciones de incidencia.
La elección del tema del reporte se dió en conjunto con el equipo de Access Now en América Latina.
Costa Rica ha ratificado tratados de derechos humanos importantes para la protección de la privacidad como la Declaración Universal de los Derechos Humanos, El Pacto Internacional de Derechos Civiles y Políticos, la Convención Americana sobre Derechos Humanos, la Declaración Americana de los Derechos y Deberes del Hombre, y el Convenio sobre Ciberdelincuencia (Convenio de Budapest)1.
Según el artículo 72 de la Constitución del país, los convenios internacionales tienen rango superior a las leyes. Además, la acción de amparo puede utilizarse para la garantía de cualquier derecho humano reconocido en los tratados vigentes en el país (como veremos más adelante).
La Constitución de Costa Rica3 fue redactada en 1949. Desde entonces, sufrió distintas reformas, como la del artículo 24 en 1996 que trata de la confidencialidad de las comunicaciones.
3.a.i. Salvaguardas constitucionales del derecho a la privacidad en el contexto de la vigilancia de las comunicaciones
El título IV de Constitución de Costa Rica se dedica a los derechos y garantías individuales de los habitantes del país e incluye la inviolabilidad del domicilio y recintos privados (art. 23)4 y la protección de la intimidad, libertad y secreto de las comunicaciones (art. 24)5. Además, determina que los documentos privados y comunicaciones de cualquier otro tipo son inviolables (art. 24).
Los mismos artículos constitucionales que tratan de la protección a la privacidad domiciliaria y de la inviolabilidad de las comunicaciones establecen sus límites.
Allanamientos
El artículo 23 determina que los allanamientos a recintos privados pueden ser realizados: (i) mediante autorización de un juez competente, (ii) o bien para impedir la comisión o impunidad de delitos, (iii) o para evitar daños graves a las personas o propiedades. A pesar de ser positiva la necesidad de autorización por parte de un tribunal independiente, el lenguaje adoptado puede dar margen a una interpretación amplia sobre las otras situaciones en que la inviolabilidad del domicilio puede ser limitada sin la revisión de un juez debido a la utilización de la conjunción disyuntiva “o”. Aún así, la Constitución es explícita en determinar que cualquier intervención en los recintos privados debe respetar lo establecido en la ley.
Inviolabilidad de las comunicaciones
Además de garantizar la inviolabilidad de las comunicaciones de cualquier tipo y de los documentos privados, el artículo 24 de la Constitución de Costa Rica reconoce que mediante una ley se establecerá cómo los Tribunales de Justicia podrán ordenar excepciones a esta regla6. Las excepciones según el artículo constitucional son (i) el secuestro, registro o examen de documentos privados y (ii) la intervención en cualquier tipo de comunicación.
El mismo artículo constitucional establece que el registro, secuestro o examen de documentos privados sólo será permitido cuando sea absolutamente indispensable para una investigación penal en curso y que una ley específica determinará los casos en que será permitida. Con relación a las intervenciones en las comunicaciones privadas, nuevamente establece que la ley determinará en qué casos y para cuáles delitos podrán ser autorizadas y por cuánto tiempo. Los funcionarios del Ministerio de Hacienda y de la Contraloría General de la República podrán revisar libros de contabilidad para fines tributarios y de fiscalización del uso de los fondos públicos en situaciones específicas y determinadas en la ley.
A pesar de no adelantar las situaciones o condiciones en las que los Tribunales de Justicia podrán intervenir comunicaciones, la Constitución es clara en explicitar que se trata de un recurso excepcional y que debe ser limitado en el tiempo. Además, agrega que habrá penalidades a los funcionarios que apliquen la excepción ilegalmente. La responsabilidad de aplicar y controlar las órdenes de intervención en las comunicaciones recae en la autoridad judicial.
Finalmente, el mismo artículo determina que no producirán efectos legales las informaciones obtenidas como resultado de intervenciones ilegales de cualquier comunicación o de correspondencia sustraída ilegalmente.
La Sala Constitucional de la Corte Suprema de Justicia determinó en por lo menos dos sentencias de 2007 que la protección prevista por el artículo 24 se refiere a intervenciones telefónicas, pero no al “rastreo de llamadas”, por considerarlo diferente. La sala constitucional entiende por “rastreo de llamadas” a la obtención y análisis de metadatos sobre las comunicaciones (información de origen, destino, duración, etc.). De acuerdo a la Corte, dicho rastreo puede ser ordenado por el Ministerio Público sin necesidad de orden judicial. Según la sentencia 17097-07, “[..] esta Sala ha sostenido reiteradamente que el rastreo de llamadas y la intervención telefónica son figuras diferentes, y en tanto la última está protegida por el artículo 24 de la Constitución Política y sólo puede ser autorizada por juez competente en los casos que taxativamente prevé la ley respectiva, la primera no está sometida a dichas restricciones y no viola el contenido del citado artículo constitucional, por lo que bien puede ser ordenada por el Ministerio Público”7. No obstante, otras sentencias señalaron que si bien no se requiere autorización de un juez para realizar rastreo de llamadas, la orden de rastreo debe estar circunscrita a una investigación penal, respetar los derechos humanos y el principio de proporcionalidad - es decir no rastrear a un tercero ajeno a la investigación8.
La interpretación de la Sala Constitucional es que la intervención telefónica implica: (i) un procedimiento técnico de colocación de cables que adhieren a la central telefónica y al número telefónico cuya interceptación se pretende y la instalación de un equipo de registro o grabación del contenido de las llamadas y (ii) que el término hace alusión a las implicaciones de dicho procedimiento. Así, se entiende que la intervención telefónica, “implica la grabación y la imposición eventual del contenido de las llamadas registradas” y el rastreo telefónico permite “identificar los números telefónicos de los cuales procede una llamada o a los cuales se dirige la comunicación, sin posibilidad alguna de enterarse del contenido de las llamadas”. En efecto, el análisis de metadatos estaría sujeto a una protección más débil según la interpretación mencionada.
El mismo título IV de la Constitución Política de Costa Rica también protege la libertad de pensamiento (art. 28)9 y expresión (art. 29)10, además del derecho de acceso a la información pública (art. 30)11, con excepción de los secretos de Estado.
No hay en el texto constitucional limitaciones expresas al ejercicio de la libertad de expresión de manera anónima, aunque el artículo 29 explicite que en casos de abusos a la libertad de expresión habrá responsabilización según determine la ley. Con eso, se entiende que el cifrado y anonimato están permitidos en el país.
La Constitución de Costa Rica prevé en su artículo 4812 el amparo, aplicable no sólo para el goce de derechos previstos en la Constitución, pero también para la garantía de derechos fundamentales establecidos en los tratados internacionales de derechos humanos vigentes en el país. Con la reforma constitucional de la Ley N° 7128 de 1989, los recursos de amparo pasan a ser resueltos por la Sala Constitucional de la Corte Suprema de Justicia.
La Constitución también prevé una serie de reglas de debido proceso que incluyen, entre otros, el derecho a ser juzgado solamente por tribunales establecidos según la Constitución (art. 35)13, a no ser detenido sin un indicio comprobado de haber cometido delito, y sin mandato escrito de juez o autoridad encargada del orden público (art. 37)14, a encontrar reparación para las injurias o daños que hayan recibido (art. 41)15. Además, determina que un mismo juez no puede juzgar un mismo punto en distintas instancias y que nadie podrá ser juzgado más de una vez por un mismo hecho punible (art. 42)16.
La Constitución de Costa Rica cumple con los principios de legalidad, necesidad, autoridad judicial competente, debido proceso y supervisión pública. En primer lugar, por establecer que una ley deberá autorizar la intervención de comunicaciones y detallar las condiciones para la aprobación y eventuales reformas en dicha ley. En segundo lugar, al determinar que cabe a los Tribunales de Justicia autorizar la intervención de comunicaciones y el secuestro de documentos privados. La Constitución también establece que el secuestro de documentos privados será autorizado por los Tribunales de Justicia solamente cuando sea “absolutamente indispensable para esclarecer asuntos sometidos a su conocimiento” (art. 24), lo que es observado por las leyes específicas sobre el tema, como se explica adelante.
Sin embargo, la interpretación jurisprudencial de que las reglas para la intervención telefónica se aplican solamente al contenido de las comunicaciones y no a los llamados “metadatos” fragiliza la protección constitucional a estos datos personales que también pueden revelar informaciones sensibles sobre un individuo. Para estos datos no se cumple con el principio sobre la necesidad de autorización de una autoridad judicial competente. La ausencia de un marco legal claro para establecer las reglas de acceso en estos casos puede perjudicar el cumplimiento con los principios mencionados anteriormente.
El Código Penal de Costa Rica (Ley Nº 4573/1970)1 posee un título específico dedicado a los delitos contra el ámbito de intimidad. En la sección sobre la violación de secretos se sanciona con prisión de uno a tres años la violación de correspondencia o comunicaciones y la difusión del contenido de comunicaciones o documentos privados que carezcan de interés público (art. 196)18. La misma pena será impuesta a quienes inciten a terceros a cometer cualquiera de estos delitos.
El mismo artículo determina que, en el caso en el que el crimen sea cometido por personas (i) encargadas de la recolección, entrega o salvaguarda de los documentos o comunicaciones afectados o (ii) de administrar o dar soporte al sistema informático o que tengan a acceso a dichos sistemas, las penas aplicables serán de dos a cuatro años.
Se prohíbe además la violación de datos personales con pena de uno a tres años (art. 196 bis)19. Esto incluye apoderarse, modificar, interferir, acceder, copiar, transmitir, publicar, difundir, recopilar, inutilizar, interceptar, retener, vender, comprar, desviar para otros fines o dar tratamiento no autorizado a imágenes o datos de personas físicas o jurídicas sin la autorización del titular. La pena aumenta y será de dos a cuatro años (i) si la violación es practicada por personas encargadas de administrar el sistema donde se encuentran almacenados los datos, (ii) si la víctima es un menor de edad o incapaz o (iii) si los datos en cuestión revelen la ideología, religión, creencias, salud, origen racial o preferencia sexual de una persona. No obstante, no entra dentro del tipo penal la publicación, difusión o transmisión de informaciones públicas, de interés público o datos obtenidos en registros públicos o bases de datos de acceso público irrestricto20.
En la misma sección también se prohíbe el apoderamiento de cartas o documentos privados2 y la captación de manifestaciones verbales sin consentimiento22. En ambos casos las penas van de uno a tres años de prisión.
Sin embargo, en todos los casos mencionados las penas pueden llegar a seis años - a criterio del juez - si se identifica abuso de función u oficio23.
La sección siguiente se dedica a la violación de domicilio e incluye penas de prisión de seis meses a tres años, además de la inhabilitación para el ejercicio de cargos públicos, a los funcionarios que practiquen allanamientos en disconformidad con la ley24.
El Código Penal de Costa Rica incluye también una sección específica sobre delitos informáticos y conexos, adicionada por la Ley N° 9048/201225. Los crímenes incluyen, entre otros, la suplantación de identidad (art. 230)26, el espionaje informático (art. 231) destinado a informaciones que generen valor económico para el comercio o la industria, la instalación de programas maliciosos (art. 232) y la suplantación de páginas electrónicas (art. 233).
El Código Procesal Penal de Costa Rica (Ley N° 7594/1996)3 determina que los elementos de prueba que hayan sido obtenidos por medios ilícitos - lo que incluye información obtenida a través de la intromisión indebida en la intimidad del domicilio, correspondencia, comunicaciones y papeles y archivos privados a menos que favorezca al imputado (art. 181)28. Finalmente, establece los procedimientos para la efectivización de un allanamiento (art. 196)4 y las condiciones en las cuales será permitida la realización de un allanamiento sin orden judicial (art. 197)30.
Como establece la Constitución, las excepciones al secreto de las comunicaciones y documentos privados son reglados por una ley específica, la Ley sobre Registro, Secuestro, y Examen de Documentos Privados e Intervención de las Comunicaciones (N° 7425/1994)31. La ley trata en en su primera parte del registro, secuestro o examen de documentos privados y determina que ello sólo podrá ser autorizado por los Tribunales de Justicia cuando sea absolutamente necesario en investigaciones de naturaleza penal (art. 1). Además, establece que las órdenes de secuestro deben especificar, entre otras cosas, los documentos que serán objeto del registro, secuestro o examen (art. 3) y que la no observación de este procedimiento puede llevar a su anulación32.
Con relación a las medidas de intervención en las comunicaciones de cualquier tipo, la ley refuerza su carácter excepcional al limitar su aplicación solamente a la investigación de un número limitado de delitos (art. 9)33. Los cuales son: secuestro extorsivo, corrupción agravada, proxenetismo agravado, fabricación o producción de pornografía, tráfico de personas y tráfico de personas para comercializar sus órganos; homicidio calificado; genocidio, terrorismo y los delitos previstos en la ley sobre estupefacientes, sustancias psicotrópicas, drogas de uso no autorizado, legitimación de capitales y actividades conexas (N° 8204/2001)34.
Nuevamente, solo un juez podrá autorizar las intervenciones en las comunicaciones cuando ello pueda servir como prueba indispensable de la comisión de alguno de estos delitos (art. 10)35. La solicitud de intervención puede ser presentada por escrito por el Jefe del Ministerio Público, el Director del Organismo de Investigación Judicial o alguna de las partes del proceso y debe presentar una justificación sobre sus motivos (art. 10).
Según la ley, las intervenciones tienen un límite máximo de 3 meses de duración, prorrogables un máximo de dos veces por igual período en los casos de extrema gravedad o difícil investigación (art. 12)36.
Con relación a la ejecución de los procedimientos de intervención de comunicaciones, es de responsabilidad del Poder Judicial nombrar al personal técnico capacitado a realizarlos. Además, son creados mecanismos de supervisión interna (Jefe del Ministerio Público y Director del Organismo de Investigación Judicial) y externa (una comisión especial formada por tres magistrados nombrados por el Poder Judicial) para observar la ejecución de las intervenciones (art. 15)37. Asimismo, el juez es el responsable de todas las actuaciones realizadas para la aplicación de las medidas de intervención y de la supervisión del personal técnico encargado de su ejecución (art. 16)38. También cabe a él garantizar que ellas afecten lo mínimo posible a terceros que no son parte de la investigación (art. 16). Por otra parte, las empresas que ofrezcan servicios de comunicación en Costa Rica están obligadas no sólo a facilitar que las intervenciones sean efectivas (art. 23)39, pero que además sean seguras y confidenciales (art. 20)40.
Finalmente, la ley establece sanciones a los funcionarios que divulguen o utilicen informaciones obtenidas mediante el secuestro de documentos privados o la intervención de comunicaciones para fines distintos a los establecidos por la orden judicial o que no observen los requisitos establecidos en la ley al ordenar el secuestro o intervención (arts. 2441 y 2542).
Los derechos de personalidad están protegidos bajo el Título II, Capítulo I, del Código Civil Costarricense (Ley N° 63/1887)43. Según su artículo 47, el consentimiento del sujeto es la condición fundamental para la publicación, reproducción, exposición o venta de sus imágenes - con excepción de personas que sean públicas, que tengan alguna función pública, que haya necesidad de justicia o policía, o que las imágenes hayan sido tomadas en lugares públicos44. En caso de que no haya consentimiento, las personas afectadas pueden solicitar como medida cautelar la suspensión de la publicación, exhibición o venta de las fotografías (art. 48)45. Finalmente, se garantiza el derecho de obtener indemnización por daño moral en los casos de lesión a los derechos de personalidad (art. 59)46.
La Ley General de Telecomunicaciones de Costa Rica (N° 8642/2008)5 establece a la privacidad de la información entre sus principios rectores. Esto es, la obligación de los operadores de telecomunicaciones de garantizar el derecho a la intimidad, libertad y secreto de las comunicaciones, además de la confidencialidad de la información que obtengan de los usuarios u otros operadores (art. 3, j)48. La violación de la confidencialidad de las comunicaciones es considerada una infracción muy grave (art. 67, a, 16) e implica una multa de entre 0,5 a 1% de los ingresos brutos del operador en el período fiscal anterior (art. 68, a)49. Adicionalmente, el Estado - a través de la autoridad de telecomunicaciones - está autorizado a, entre otras medidas, imponer el cierre definitivo de un establecimiento caso lo juzgue necesario para garantizar la integridad y calidad de la red y de los servicios de telecomunicaciones (art. 69)50.
La ley contiene un capítulo completo dedicado a la privacidad de las comunicaciones y la protección de datos personales. En él se establece que los proveedores y operadores de servicios de telecomunicación deberán implantar las medidas técnicas y administrativas necesarias para garantizar la seguridad de sus redes y servicios (art. 42)51.
Los datos de tráfico y localización de los usuarios deben ser eliminados o anonimizados cuando no sean necesarios para la prestación del servicios. Los datos de tráfico necesarios para efectos de la facturación sólo serán tratados hasta la expiración del plazo durante el cual pueda impugnarse legalmente la factura o exigirse el pago. Asimismo, previo consentimiento o proceso de anonimización se podrán tratar los datos de localización. (art. 43)52.
Entre los derechos de los usuarios de servicios de telecomunicaciones también se incluye el de solicitar la exclusión gratuita de las guías de abonados disponibles al público y de decidir qué datos pueden ser incluídos (art. 45, 16)53.
Finalmente, la ley determina que un reglamento específico tratará de las medidas de protección de la privacidad de las comunicaciones (art. 77, 1, e54). El Decreto Ejecutivo N° 35205-MINAE/200955 se aplica a todos los operadores y prestadores de servicios de telecomunicaciones que utilicen o exploten redes públicas (art. 2). Sus reglas de protección de la privacidad - así como las de la Ley General de Telecomunicaciones - se sobreponena cualquier medida o norma en contrario, incluso dispositivos contractuales (art. 2)56.
Además de reiterar las reglas establecidas en la Ley General de Telecomunicaciones - como la obligación de garantizar el secreto de las comunicaciones, la intimidad y protección de datos personales de los usuarios6 y de implementar medidas técnicas de seguridad7 -, el decreto detalla procedimientos de seguridad que deben ser observados por los operadores y proveedores de los servicios de telecomunicación. Asimismo, la autoridad de telecomunicaciones tiene competencia para velar por el cumplimiento de las obligaciones establecidas por ambas normas (art. 9), y debe ser informada por las prestadoras de servicios de cualquier riesgo a la seguridad de la red. Las empresas de telecomunicaciones deben establecer medidas de seguridad técnicas y administrativas con relación al acceso a información protegida por parte de su personal y detallar en los contratos laborales las políticas y sanciones previstas en casos de infracción (art. 9)59.
El decreto también establece reglas detalladas sobre la inclusión de los datos de los usuarios en las guías de abonados - que debe darse solamente bajo consentimiento expreso. En el caso de las guías telefónicas electrónicas, los proveedores deberán informar las posibilidades de uso que puede implicar la inclusión de datos en este formato (art. 10)60.
El consentimiento es considerado válido cuando el usuario - al suscribir el contrato de prestación de servicios telefónicos - informe por escrito que acepta entregar sus datos para la inclusión en la guía de abonados. La inclusión de datos adicionales dependerá de un nuevo consentimiento expreso (art. 12)61. Aún así, los usuarios tendrán derecho a que sus datos no sean utilizados para otros fines (como publicidad u otros) sin su autorización y a omitir parcialmente, acceder, corregir, rectificar, suprimir o eliminar sus datos personales de manera gratuita (art. 13)62.
A pesar de establecer procedimientos para la eliminación o anonimización de datos de carácter personal utilizados para se establecer una comunicación o para fines de facturación, el decreto obliga la conservación de diversos datos relacionados a los registros de comunicación (art. 28). Dichos datos deben ser mantenidos de forma confidencial (art. 29)8 y podrán ser puestos a disposición bajo consentimiento del titular u orden judicial. Cabe resaltar que el decreto no establece un plazo máximo para la retención de datos de manera general; no obstante, en caso que sean datos de carácter personal sobre el tráfico, deberán ser eliminados o anonimizados cuando ya no sean necesarios a efectos de su transmisión; y sólo se podrán conservar aquellos datos para la facturación y los pagos de las interconexiones durante el plazo en el que pueda impugnarse la factura o exigirse el pago, luego de ello igual se solicita que sean eliminados o anonimizados ( art. 25 y 26)6465.
En caso que el proveedor quiera dar un uso distinto a datos de tráfico u otros datos de localización (por ejemplo para promoción comercial u oferta de servicios de valor agregado), es necesario el consentimiento de los usuarios el cual puede ser retirado en cualquier momento (art. 25 y 26). Los datos de localización, distintos de los datos de tráfico, pueden ser tratados si se hacen anónimos aunque no haya consentimiento del titular (art. 30)66. Adicionalmente, es menester señalar que aquellos datos que revelen contenido de la comunicación no podrán conservarse (art.28).
Finalmente, está el Reglamento sobre el Régimen de Protección al Usuario Final de los Servicios de Telecomunicaciones, publicado por la Autoridad Reguladora de los Servicios Públicos de Costa Rica67. El reglamento detalla los procedimientos de reclamación por violaciones a la intimidad por parte de los usuarios de los servicios de telecomunicaciones (arts. 9, 10, 11 y 12 ), además de las sanciones por violación (art. 75), y reitera las reglas de protección de privacidad e intimidad garantizados en las normas de telecomunicaciones mencionadas anteriormente (arts. 4 y 6).
Costa Rica es uno de los países de la región que posee una ley general sobre la protección de datos personales, la Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales (Ley N° 8968/2011)68. Esta busca garantizar el derecho a la autodeterminación informativa con respecto al tratamiento automatizado o manual de datos personales (art. 1)9 y se aplica a los entes públicos y privados.
La definición de datos personales es amplia, englobando datos relativos a personas identificadas o identificables. La ley además define datos sensibles como aquellos relacionados, por ejemplo, al origen racial, opiniones políticas, convicciones religiosas o espirituales, condición socioeconómica, información biomédica o genética, orientación sexual, etc. Por otra parte, existe una categoría de datos personales de acceso irrestricto, que son aquellos que por ley están disponibles en bases de datos de acceso general. Entre ellos no se incluyen la dirección exacta, citación o notificación administrativa o judicial, número de teléfono privado, entre otros. (art. 9, 3)
Entre los principios de protección de datos personales, la ley reconoce el consentimiento informado (art. 5)10 y la calidad de la información, o sea, actualidad, veracidad, exactitud y adecuación al fin (art. 6)71.
A pesar de eso, la ley establece una serie de excepciones a la autodeterminación informativa y los principios garantizados anteriormente - algunos de los cuales podrían dar margen a abusos por traer un lenguaje genérico, como por ejemplo: la seguridad del Estado y de la autoridad pública; la prevención, persecución, investigación y represión de infracciones penales o de la deontología en las profesiones y el funcionamiento de la administración pública (art. 8). Las limitaciones deben ser justas, razonables y transparentes (art. 8)72.
La ley además crea una Agencia de Protección de Datos de los Habitantes en el ámbito del Ministerio de Justicia y Paz (art. 15)11 con competencias para fiscalizar el cumplimiento de la ley por parte de entes públicos o privados, resolver reclamos relacionados a la infracción de normas de protección de datos, imponer sanciones en caso de infracción, dictar directrices sobre el manejo de informaciones privadas por parte de órganos públicos, entre otras (art. 16)74. Asimismo, ante esta agencia los responsables del tratamiento de datos personales deberán inscribir los Protocolos de Actuación y registrar las bases de datos que tengan a su titularidad (ar. 12 y 21). Finalmente, la ley establece las sanciones administrativas en el caso de violaciones leves, graves o gravísimas y (arts. 28 al 31).
El Reglamento a la Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales fue publicado a través del Decreto Ejecutivo N° 37554/201275, que reafirma las garantías previstas en la ley y detalla algunos procedimientos. Por ejemplo, determina que el consentimiento para el tratamiento de datos personales debe ser expreso, libre, inequívoco, informado, individualizado y específico (art. 2 y 4) y establece el proceso gratuito que debe ser observado para su revocación (art. 7 y 8).
El decreto determina que la conservación de datos personales que pueden afectar al titular no debe exceder 10 años desde la fecha de terminación del objeto de tratamiento del dato, salvo disposiciones en contrario, a menos que por acuerdo entre las partes se haya establecido un plazo distinto, que exista una relación continuada entre las partes, o que medie interés público para conservar el dato (art. 11)76.
Los derechos al acceso, rectificación, modificación, revocación o eliminación de los datos personales son ratificados por el decreto (arts. 12)77, que además delimita situaciones en que podrán ser legítimamente restringidos (art. 14)78. Según el reglamento, los responsables por las bases de datos deben poner a disposición de los titulares un medio simplificado de comunicación para que puedan ejercer sus derechos y los mecanismos de notificación y respuesta. Los titulares tienen también el derecho de obtener información acerca de lo relativo a las condiciones, finalidad y generalidades de su tratamiento y a consultar cada seis meses las bases de datos que contengan sus informaciones (art. 21)79.
La transferencia de datos personales está sujeta al consentimiento del titular de datos personales. Empero, no se considerará transferencia al traslado de datos personales del responsable de la base de datos a un encargado, proveedor de servicios o intermediario tecnológico o las empresas del mismo grupo de interés tecnológico (art. 40)80. El receptor de los datos debe asumir como mínimo las mismas obligaciones que tenía el responsable por la transferencia mediante contrato firmado por ambas partes (art. 43), pero no hay requisitos legales mínimos para la transferencias internacionales de datos.
Las personas físicas o jurídicas propietarias de bases de datos personales deben registrarlas en la Agencia de Protección de Datos de los Habitantes (art. 44), informando - entre otras cosas - los responsables y encargados de las bases, sus finalidades y usos previstos, los tipos de datos sometidos a tratamiento, el procedimiento de obtención de los datos personales, las medidas de seguridad implementadas, entre otros datos81. El registro incluye el pago de un canon anual de 200 USD12 por base de datos (arts. 50 y 78) y la revisión por parte de la Agencia, que puede declarar improcedente el registro (art. 53). Además, la Agencia podrá en cualquier momento revisar las bases de datos cuando haya denuncia o evidencia de mal manejo (art. 47)83. Mediante Decreto Ejecutivo N° 40008 - JP del 19 de julio de 201684, se derogó la figura de “superusuario” que hacía las veces de un “usuario de consulta” que se lel responsable de la base de datos electrónica entregaba a la Agencia, para que ésta pueda consultar la base de datos en cualquier momento y sin restricción alguna.
Las reglas de protección de datos personales de Costa Rica no incluyen a bases de datos mantenidas por personas jurídicas o físicas, públicas o privadas, con fines exclusivamente internos, domésticos o personales - que no sean comercializadas (art. 3). Sin embargo, no se prevén excepciones específicas para la actividad periodística o de otros tipos de organizaciones sin fines de lucro, comunitarias, etc.
La Ley sobre Registro, Secuestro, y Examen de Documentos Privados e Intervención de las Comunicaciones (N° 7425/1994) puede ser considerada como un ejemplo de buena práctica legal con relación al principio de necesidad. Esta dispone que las solicitudes de intervención de comunicaciones sean justificadas por escrito para permitir la debida valoración por el Tribunal de Justicia (art. 10). Además, en el caso del secuestro de documentos, la ley determina que se especifique los documentos solicitados de manera individualizada (art. 3) y que “los resultados de la intervención de las comunicaciones orales o escritas no podrán ser utilizados para ningún propósito distinto del que motivó la medida” (arts. 22 y 28), lo que también responde al principio de necesidad.
Con relación al principio de debido proceso, la ley costarricense lo cumple parcialmente. Por ejemplo, la guía de implementación de Access Now recomienda que las solicitudes de intervención de comunicaciones se hagan por escrito con la identificación de los solicitantes y que los extremos que la motivan sean explicitados. Sin embargo, la ley N° 7425/1994 determina que las solicitudes sean presentadas en forma escrita con la identificación de los responsables por la investigación (art. 10), pero no detalla si habrán procedimientos para su fundamentación.
No fue encontrada ninguna garantía en cuanto a la notificación de ciudadanos afectados por la intervención en sus comunicaciones privadas en las normas analizadas. Sin embargo, tampoco fueron encontradas prohibiciones a que los proveedores ofrezcan ese tipo de notificación a sus usuarios. De manera similar, no fueron encontradas prohibiciones a que las empresas publiquen reportes de transparencia o informaciones estadísticas sobre las solicitudes de datos y de intervención en las comunicaciones. De todo modo, se entiende que los proveedores deben observar las reglas de la ley de protección de datos personales al hacer cualquier tipo de publicación del estilo.
Costa Rica prevé medidas administrativas y civiles, como así, penas criminales en el caso de acceso, difusión y uso indebido de informaciones personales y del contenido de las comunicaciones privadas obtenido a través de la intervención en las comunicaciones en el Código Penal, la Ley sobre Registro, Secuestro, y Examen de Documentos Privados e Intervención de las Comunicaciones y la Ley de Protección de Datos Personales. De esta forma, cumple con el principio que trata de las garantías contra el acceso ilegítimo y derecho a recurso específico.
A pesar de las garantías presentes en las normas costarricenses, se han registrados violaciones a la privacidad en los últimos años. El caso más grave se refiere al espionaje de un periodista del Diario Extra por parte del Organismo de Investigación Judicial (OIJ)13 y trajo preocupación a organizaciones internacionales como Reporteros sin Fronteras86. La acción fue declarada ilegal por la Sala Constitucional por violar los principios de proporcionalidad y necesidad. A pesar de la condena, no hubo hasta el momento punición de los agentes involucrados en el caso, según informa el propio Diario Extra. Los medios además registran uso de espionaje en contra empleados en el interior de organismos estatales para instaurar procesos administrativos87.
Por otro lado, la decisión de la Sala Constitucional en favor del jugador del Real Madrid, Keylor Navas, en contra del OIJ y la Fiscalía por revisar su información privada sin orden judicial14 parece evidenciar que la corte más alta del país está preparada para identificar abusos y aplicar los principios de derechos humanos previstos en la legislación nacional - lo que refuerza también el cumplimiento con el principio de debido proceso. Aún así es preocupante que las víctimas de intervenciones ilegales tengan que recurrir a las cortes para hacer valer sus derechos, principalmente considerando la ausencia de garantías de notificación en las normas analizadas.
El Estado de Costa Rica ha sido condenado en 2004 por la Corte Interamericana de Derechos Humanos por violar el derecho a la libertad de expresión previsto en el artículo 13 de la Convención Americana sobre Derechos Humanos. El caso Herrera Ulloa v. Costa Rica15 discutió la condena criminal del periodista Mauricio Herrera Ulloa por difamación. El caso se refería a la publicación de una serie de artículos en el periódico La Nación sobre un diplomático costarricense acusado de cometer actividades ilegales en Bélgica. Además de la condena criminal y civil en contra del periodista y del periódico, la sentencia de 1999 del Tribunal Penal del Primer Circuito Judicial de San José estableció una espécie de “derecho al olvido” al ordenar la retirada del “enlace” existente en La Nación Digital entre el apellido del diplomático y los artículos presuntamente difamatorios. La orden fue comparada a censura previa por parte de la Comisión (párrafo 101.5)90.
En su decisión, la Corte resaltó la condición particular de la protección del honor de los funcionarios públicos y personas que ejercen funciones de naturaleza pública (para. 128)91, que están sujetas a un escrutinio público más exigente (para. 129)92. Además, ordenó al Estado de Costa Rica que dejara sin efecto la sentencia emitida, incluso la relativa a la eliminación de los enlaces que relacionaban los artículos al diplomático.
Access Now, Article 19, et. al. (2013). Necessary and Proportionate: International Principles On The Application Of Human Rights To Communications Surveillance. Disponible en https://necessaryandproportionate.org/es/necesarios-proporcionados
Access Now (2015). Universal Implementation Guide for the International Principles on the Application of Human Rights to Communication Surveillance. Disponible en: https://www.accessnow.org/cms/assets/uploads/archive/docs/Implementation_guide_-_July_10_print.pdf
Constitución Política de Costa Rica. Disponible en: https://www.cne.go.cr/cedo_dvd5/files/flash_content/pdf/spa/doc362/doc362-contenido.pdf
Cooperativa Sulá Batsú. (2016) “Informe Nacional Costa Rica”. En: Asociación para el Progreso de las Comunicaciones (APC), Examinando los derechos y las libertades en Internet en Latinoamérica (EXLILA). Disponible en: https://www.apc.org/es/system/files/EXLILA_informe%20nacional%20Costa%20Rica.pdf
Fundación Acceso. (2015). Privacidad digital para defensores y defensoras de derechos: un estudio sobre cómo los marcos legales de El Salvador, Guatemala, Honduras y Nicaragua pueden ser utilizados para la protección,criminalización y/o vigilancia digital de defensoras y defensores de derechos humanos / Peri, Luciana (coord.). Disponible en: https://acceso.or.cr/assets/files/investigacion-resumen-ejecutivo.pdf
Romero, Roberto Cruz. (2016). “Marco Institucional, Políticas Públicas y Regulación TIC”. En: Universidad de Costa Rica. Programa Sociedad de la Información y el Conocimiento. Hacia la Sociedad de la Información y el Conocimiento en Costa Rica: Informe 2016. Disponible en: http://www.prosic.ucr.ac.cr/sites/default/files/recursos/informe_2016.pdf
http://www.pgrweb.go.cr/scij/Busqueda/Normativa/Normas/nrm_texto_complet… ↩︎
Artículo 197: Será reprimido, con prisión de uno a tres años, quien se apodere de una carta o de otro documento privado, aunque no esté cerrado, o al que suprima o desvíe de su destino una correspondencia que no le esté dirigida. (Reformado por el artículo 31 de la “Ley de Registro de Documentos Privados e Intervención de Comunicaciones”; ley Nº 7425 de 9 de agosto de 1994) ↩︎
http://www.pgrweb.go.cr/scij/Busqueda/Normativa/Normas/nrm_texto_complet… ↩︎
Artículo 196: Formalidades para el allanamiento Una copia de la resolución que autoriza el allanamiento será entregada a quien habite o posea el lugar donde se efectúe o, cuando esté ausente, a su encargado, y, a falta de éste, a cualquier persona mayor de edad que se halle en el lugar. Se preferirá a los familiares. Cuando no se encuentre a nadie, ello se hará constar en el acta. Practicado el registro, en el acta se consignará el resultado, con expresión de las circunstancias útiles para la investigación. La diligencia se practicará procurando afectar lo menos posible la intimidad de las personas. El acta será firmada por los concurrentes; no obstante, si alguien no la firma, así se hará constar. ↩︎
http://www.pgrweb.go.cr/scij/Busqueda/Normativa/Normas/nrm_texto_complet… ↩︎
Artículo 6: Los operadores de redes públicas y proveedores de servicios de telecomunicaciones disponibles al público, deberán garantizar el secreto de las comunicaciones, el derecho a la intimidad y la protección de los datos de carácter personal de los abonados y usuarios finales, mediante la instalación y operación de los sistemas y las medidas técnicas y administrativas para cumplir ese propósito. Los operadores y proveedores deberán adoptar las medidas técnicas y administrativas idóneas para garantizar la seguridad de las redes y sus servicios. En caso de que el operador o proveedor conozca de un riesgo identificable en la seguridad de la red, deberá informar a la Superintendenciade Telecomunicaciones y a los usuarios finales sobre dicho riesgo. Los operadores y proveedores deberán garantizar que las comunicaciones y los datos de tráfico asociados a ellas, no serán escuchadas, grabadas, registradas, almacenadas, intervenidas o vigiladas por terceros sin su consentimiento, salvo cuando se cuente con la autorización judicial correspondiente de conformidad con la ley. ↩︎
Artículo 7: Los proveedores y operadores de servicios de telecomunicaciones deberán adoptar las medidas técnicas y administrativas adecuadas para preservar la seguridad de sus servicios, de ser necesario en colaboración con otros operadores o proveedores de telecomunicaciones en materia de la seguridad de la red. Para tales efectos, los operadores o proveedores deberán considerar las técnicas más avanzadas a fin de garantizar un nivel de seguridad adecuado al riesgo existente. En caso de que exista un riesgo particular de violación de la seguridad de la red, el proveedor del servicio de telecomunicaciones deberá informar a sus abonados sobre dicho riesgo. Asimismo corresponderá al proveedor u operador del servicio informar cuando el riesgo quede fuera del ámbito de las medidas que éste deberá tomar, así también sobre las posibles soluciones, los costos y las vulnerabilidades que aún quedan al descubierto. ↩︎
Artículo 29: Los operadores adoptarán las medidas necesarias para garantizar que los datos se conserven de conformidad con lo dispuesto en este reglamento, en la medida en que sean generados o tratados por aquellos en el marco de la prestación de los servicios de telecomunicación de que se trate. Todos estos datos serán confidenciales y no podrán hacerse públicos ni ser entregados a persona física o jurídica alguna, si no es con la autorización expresa del abonado o su representante; o por orden judicial conforme a la legislación vigente. La citada obligación de conservación se extiende a los datos relativos a las llamadas infructuosas, en la medida que los datos son generados o tratados y conservados o registrados por los proveedores. Los datos relativos a las llamadas no conectadas están excluidos de las obligaciones de conservación contenidas en este reglamento. ↩︎
Artículo 1: Esta ley es de orden público y tiene como objetivo garantizar a cualquier persona, independientemente de su nacionalidad, residencia o domicilio, el respeto a sus derechos fundamentales, concretamente, su derecho a la autodeterminación informativa en relación con su vida o actividad privada y demás derechos de la personalidad, así como la defensa de su libertad e igualdad con respecto al tratamiento automatizado o manual de los datos correspondientes a su persona o bienes. ↩︎
Artículo 5: 1.- Obligación de informar Cuando se soliciten datos de carácter personal será necesario informar de previo a las personas titulares o a sus representantes, de modo expreso, preciso e inequívoco: a) De la existencia de una base de datos de carácter personal. b) De los fines que se persiguen con la recolección de estos datos. c) De los destinatarios de la información, así como de quiénes podrán consultarla. d) Del carácter obligatorio o facultativo de sus respuestas a las preguntas que se le formulen durante la recolección de los datos. e) Del tratamiento que se dará a los datos solicitados. f) De las consecuencias de la negativa a suministrar los datos. g) De la posibilidad de ejercer los derechos que le asisten. h) De la identidad y dirección del responsable de la base de datos. Cuando se utilicen cuestionarios u otros medios para la recolección de datos personales figurarán estas advertencias en forma claramente legible. 2.- Otorgamiento del consentimiento Quien recopile datos personales deberá obtener el consentimiento expreso de la persona titular de los datos o de su representante. Este consentimiento deberá constar por escrito, ya sea en un documento físico o electrónico, el cual podrá ser revocado de la misma forma, sin efecto retroactivo. No será necesario el consentimiento expreso cuando: a) Exista orden fundamentada, dictada por autoridad judicial competente o acuerdo adoptado por una comisión especial de investigación de la Asamblea Legislativa en el ejercicio de su cargo. b) Se trate de datos personales de acceso irrestricto, obtenidos de fuentes de acceso público general. c) Los datos deban ser entregados por disposición constitucional o legal. Se prohíbe el acopio de datos sin el consentimiento informado de la persona, o bien, adquiridos por medios fraudulentos, desleales o ilícitos. ↩︎
Artículo 15: Créase un órgano de desconcentración máxima adscrito al Ministerio de Justicia y Paz denominado Agencia de Protección de Datos de los habitantes (Prodhab). Tendrá personalidad jurídica instrumental propia en el desempeño de las funciones que le asigna esta ley, además de la administración de sus recursos y presupuesto, así como para suscribir los contratos y convenios que requiera para el cumplimiento de sus funciones. La Agencia gozará de independencia de criterio. ↩︎
Artículo 78: De conformidad con la Ley, todas las bases de datos, públicas o privadas, con fines de distribución, difusión o comercialización, deben inscribirse ante la Agencia, y por ende cancelar ante ésta, la suma de doscientos dólares moneda de curso legal de los Estados Unidos de América (USD $200,00), al tipo de cambio mayor de referencia de venta del Banco Central de Costa Rica del día en que se realice el pago. Dicho monto corresponde al canon anual de regulación y administración de las bases de datos. ↩︎
El caso, ocurrido entre 2013 y 2014, estableció el vínculo de diferentes agentes judiciales quienes procedieron a escuchar las llamadas del comunicador Manuel Estrada, con el fin de conocer sus fuentes de información. Ver la denuncia del Diario Extra en: http://www.diarioextra.com/Dnew/noticiaDetalle/223266. ↩︎
El caso fue decidido en 2016, pero remite a hechos de 2014. Ver: http://www.nacion.com/sucesos/poder-judicial/IV-OIJ-Fiscalia-Keylor-Nava…. ↩︎
http://www.corteidh.or.cr/docs/casos/articulos/seriec_107_esp.pdf ↩︎