Este documento analiza la legislación de protección de datos personales en Costa Rica y sus implicaciones para el uso de datos biométricos. Propone mejorar la legislación en 2021. Actualmente, la ley costarricense no protege adecuadamente el acceso a datos personales ni regula el uso de datos biométricos. Se necesita una ley que regule la recolección, almacenamiento y uso de datos biométricos por parte de instituciones públicas y privadas para proteger la privacidad de las personas.
MAYO 1 PROYECTO día de la madre el amor más grande
Datos biometricos (Hace Tesis)
1. 1
1
Análisis de la protección del acceso de los datos
personales y sus implicaciones para el uso de los
datos biométricos de los habitantes de Costa Rica:
Propuesta para su mejoramiento en el 2022
Analysis of the protection of access to personal data and its implications for the
use of biometric data of the inhabitants of Costa Rica: Proposal for its improvement
in 2021
Tel 83928997
Hacetesis.com
2. 2
2
Resumen
El presente artículo tiene el objetivo principal de analizar la legislación de protección
del acceso de los datos personales y sus implicaciones para el uso de los datos
biométricos de los habitantes de Costa Rica para elaborar propuesta para su
mejoramiento durante el año 2021. Los datos biométricos constituyen elementos
algo delicados y que son inherentes a la persona, es por ello que algunas los
catalogan como de categoría de datos sensibles. Dentro de esa categoría se
encuentran relacionados con la orientación sexual, preferencia religiosa, entre otros
aspectos; en donde su recolección y forma de ser procesada se puede considerar
como un acto indebido o abusivo que podría provocar discriminación y afectar los
derechos de las personas titulares de esos datos; es por este motivo que las
regulaciones brindan protección alta que a la mayor parte de otros datos
personales. Como resultado se puede evidenciar que en Costa Rica existe una
necesidad que exista una legislación amplia en cuanto a la implicación relacionada
a que terceras personas tengan acceso a los datos personales de otros para interés
propio.
Palabras clave
Acceso datos, datos biométricos, privacidad de datos, protección de datos,
seguridad informática.
Summary
This article has the main objective of analyzing the legislation for the protection of
access to personal data and its implications for the use of biometric data of the
inhabitants of Costa Rica to prepare a proposal for its improvement during the year
2021. Biometric data constitute Somewhat delicate elements that are inherent to the
person, which is why some classify them as a category of sensitive data. Within this
category are related to sexual orientation, religious preference, among other
aspects; where its collection and way of being processed can be considered as an
improper or abusive act that could cause discrimination and affect the rights of the
holders of said data; It is for this reason that the regulations provide higher protection
3. 3
3
than most other personal data. As a result, it can be shown that in Costa Rica there
is a need for broad legislation regarding the implication related to third parties having
access to the personal data of others for their own interest.
Keywords
Data access, biometric data, data privacy, data protection, computer security
Introducción
En la Asamblea Legislativa se tramita el proyecto de ley No.21321 denominado “Ley
de repositorio único nacional para fortalecer las capacidades de rastreo e
identificación de personas.” (2020). Una de sus principales implicaciones como dice
Vázquez y Olivares (2020) es que:
El proyecto plantea la creación de un instituto denominado Plataforma
Nacional de Identificación Biométrica (PNIB), la cual almacenará en un único
repositorio nacional, la información biométrica de todos los costarricenses
mayores de doce años y los extranjeros que ingresen y residan de manera
temporal o permanente en el país.
Concomitantemente, con las prerrogativas asociadas a la implementación de
la plataforma, se adjudica la competencia exclusiva de la PNIB, al Tribunal
Supremo de Elecciones (TSE) a través de la Dirección General de Estrategia
Tecnológica. El texto permite que tanto instituciones del aparato estatal como
del sector privado, puedan adquirir discrecionalmente la información personal
de todos los costarricenses, contenida en la plataforma, so previo pago de
una tarifa fijada por el mismo Tribunal, que sostendrá el fondo específico para
el financiamiento y modernización de la PNIB. (párr.2-3)
4. 4
4
Lo que se indica en el citado proyecto puede considerarse una violación al acceso
de los datos personales, en la medida que puede autorizarse su venta a
instituciones públicas o empresas privadas. Y con respecto al rastreo e identificación
de personas son los datos biométricos los más sensibles, pues refieren no solo al
rostro, sino a todas las partes de cuerpo; su registro, análisis, y uso. Vender
información que puede estar expuesta en redes sociales, incluso para chantaje
extorsión, o incluso para ser usada en vender productos.
Ya sea que el proyecto se apruebe o no, se demuestra que existe un gran
desconocimiento y una falta legislación actualizada sobre el tema. Por eso es
necesario realizar un estudio de la legislación que actualmente es aplicable, y definir
en líneas generales como se puede mejorar.
A lo antes mencionado se debe plantear la pregunta: ¿Cómo protege la actual
legislación costarricense el acceso a los datos personales, el uso de los datos
biométricos y como se debe mejorar la legislación actual para proteger a las
personas?
Biometría
El concepto de biometría se deriva de las palabras Bio (vida) y Metría (medida);
como concepto de biometría Cortés, Medina y Muriel (2010) mencionan que
“consiste en técnicas que miden e identifican las características físicas únicas de
organismos vivos o patrones de su comportamiento, que permiten identificar los
diferentes individuos, como por ejemplo las clásicas huellas digitales.” (p.98)
La biometría son los aspectos físicos que pueden contribuir a encontrar o identificar
a una persona, el ejemplo más tradicional es la huella dactilar, reconocimiento facial,
patrón de forma corporal, entre otros. Para algunos autores la biometría se debe
reconocer como una técnica, pero otros consideran que es una ciencia.
Como objetivos principales de la biometría están el identificar y el autenticar.
Identificar, es decir, reconocer al individuo, por lo que su funcionamiento está
basado en utilizar un dato y compararlo con una lista o base de datos. El
5. 5
5
segundo es para autenticar, es decir, verificar la identidad del individuo, por
lo que su funcionamiento está basado en la utilización de un dato
comparándolo con el mismo dato almacenado previamente. (Díaz, 2013,
p.29)
Como antecedentes de la historia del término biometría se pueden mencionar los
siguientes datos relevantes según menciona Díaz (2013),
El primer acontecimiento fue señalado en el año de 1858, cuando Herschel
estampa la huella de la mano de todos los trabajadores de su compañía en
la parte de atrás de los contratos de trabajo, con el objetivo de identificarlos
de otros que quisieran exigir algún pago a su nombre.
Para el año de 1890, Herschel envía las huellas recolectadas a Galton quien
dos años después confirmó que las huellas dactilares de los individuos no
cambian a lo largo del tiempo y se consideran únicas.
En 1883, Bertillon oficial de la policía francesa implementó el uso de la
medición de distintas partes del cuerpo y marcas individuales bajo el método
desarrollado por Bertillonage. Bertillon desarrolló la “fotografía métrica”,
método que se utiliza actualmente en la fotografía forense.
En 1891, Vucetich perfecciona el sistema galtoniano en donde presenta un
sistema que se basa en una clasificación básica de las huellas dactilares de
la mano.
En la biometría se pueden encontrar dos grupos de registro biométrico: el fisiológico
que alude a una serie de rasgos o aspectos físicos de una persona que son
inalterables que se traducen a patrones fijos, en este grupo se encuentran la huella
dactilar, la geometría de la mano, iris del ojo, patrones vasculares en la retina del
ojo, entre otros. El otro grupo se conforma por el aspecto conductual de las
personas, en donde se identifican patrones de conducta, como por ejemplo,
pulsaciones, dinámica de la firma, entre otros.
6. 6
6
Según Quintanilla (2020) “La biométrica utiliza un conjunto de tecnologías que
miden y analizan datos de reconocimiento únicos que facilitan los procesos de
verificación o autenticación y de identificación.” (p.67)
Datos biométricos
En la bibliografía se pueden encontrar muchos datos sobre biometría y sus usos en
diferentes campos, pero no existe muchas referencias en donde se pueda hacer
referencia a las legislaciones o acciones que ejecutan los Gobiernos para regular el
uso de los datos biométricos.
En donde Sánchez (2020) menciona el concepto de datos biométricos basado en lo
indicado por el Reglamento General de Protección de Datos (RGPD), en donde
indica que son los “datos personales obtenidos a partir de un tratamiento técnico
especifico, relativos a las características físicas, fisiológicas o conductuales de una
persona física que permitan o confirmen la identificación única de dicha persona,
como imágenes faciales o datos dactiloscópicos”. (párr.2)
Los datos biométricos se dividen en las siguientes categorías mencionadas por
Quintanilla (2020):
1. Universal es el dato que existe en todas las personas sin distinción
2. Único dato distinguible en cada individuo
3. Permanente dato mantenido de forma continua
4. Coleccionable: Medible cuantitativamente.
5. Verosímil: Referida a la precisión de la identificación alcanzable, los recursos
para lograrla y los factores ambientales o de trabajo que afectan esa
precisión.
6. Aceptable o tolerable: El grado en que las personas aceptan y toleran un
sistema biométrico.
7. Ineludible: La facilidad de engañar al sistema.
Dependiendo de las características individuales los datos biométricos se dividen en
dos grupos:
7. 7
7
Características físicas y fisiológicas
o Huella dactilar
o Reconocimiento facial
o Reconocimiento de iris
o Geometría de la mano
o Reconocimiento de retina
o Reconocimiento vascular
Características del comportamiento y la personalidad
o Reconocimiento de firma
o Reconocimiento de escritura
o Reconocimiento de voz
o Reconocimiento de escritura de teclado
o Reconocimiento de la forma de andar
A través del tiempo los datos biométricos han aumentado como también los
sistemas y bases de datos que se utilizan para almacenarlos. Por ello es que a la
vez ha surgido que existe la posibilidad que estas bases de datos sufran de ataques
informáticos o las bases sean vendidas para ser utilizadas por algún tercero para
sacar algún tipo de provecho. Como consecuencia de esto es que las legislaciones
han tenido realizar una revaluación y modificación para lograr que los datos de las
personas se encuentren protegidos.
En los diferentes países no se cuenta con un marco legal bien definido en donde se
“regule tanto la compilación de datos biométricos, el almacenamiento, el uso y las
sanciones por el incumplimiento, como los riesgos de pérdida de privacidad,
seguridad y libertad.” (Quintanilla, 2020, p. 65)
Como menciona Quintanilla (2020) de momento solo en Estados Unidos y otros que
pertenecen a la Unión Europea, tiene una serie de leyes y normas de diversos tipo
para la protección de los datos biométricos. A partir del año 2018, por medio de la
creación del Reglamento General de Protección de Datos, los diferentes países se
han interesado más en el tema de la protección de datos.
8. 8
8
Protección de datos
Según la Declaración Universal de los Derechos humanos de 1948, como un
derecho humano se encuentra el derecho a la protección de datos de carácter
personal.
En Europa por medio de la creación del Reglamento General de Protección de
Datos (2018), se constituyó un cuerpo normativo en donde “se obliga a las empresas
que lleven a cabo operaciones de tratamiento que requieran de una observación
habitual y sistemática a requerir de una persona especializada que cumpla el rol de
Delegado de Protección de Datos.”
Como dato referencial en el año 2015, España y Estados Unidos de América se
avala la transferencia de “datos personales entre empresas de la Unión Europea y
de los Estados Unidos de América, por considerar que dicho Acuerdo cumplía con
un nivel adecuado de protección de datos.” (Maqueo, Moreno, Recio, 2017, p.78)
Los principios que establece la doctrina, en cuanto a la protección de datos
personales, tienen la intención de conceptualizar el modo más eficaz de proteger la
intimidad de las personas enfrentada a constante evolución de las tecnologías de la
información y de las comunicaciones. Por ello se debe proteger a la persona para
que ella pueda salvaguardar su libertad y obtener una protección integral; ya que
los datos personales son las unidades que aportan información sobre el sujeto.
Como indica Saltor (2013) en su tesis de grado Doctoral en derecho, toda legislación
debe contener como los siguientes aspectos para la protección de datos personales
según se establece en la Ley General de Sanidad N°14 de España, en donde se
mencionan algunos de ellos:
a) Que los datos acumulados por bancos y usuarios de datos sean
adecuados, pertinentes y no excesivos en relación con el ámbito y
finalidades legítimas para las que se hayan obtenido;
9. 9
9
b) Como consecuencia del principio anterior, las leyes deben prohibir que
los datos personales se usen para finalidades distintas de aquellas para
las que fueron recogidos;
c) Deben exigir al titular del banco de datos que los datos almacenados sean
exactos y estén en constante actualización;
d) En consecuencia con el punto anterior, si el titular o responsable del
banco de datos determina que algún dato no es exacto o está incompleto,
debe proceder a su cancelación o sustitución por datos correctos;
e) La Ley debe exigir que los datos almacenados en un banco de datos sean
cancelados cuando dejen de ser necesarios o útiles para la función
prevista, y en este caso prohibir su conservación, salvo cuando se
justifique mantenerlos como valores históricos;
f) Debe exigir al banco de datos que el almacenamiento de los datos
personales permita al afectado o titular del dato, el ejercicio del derecho
de acceso a sus datos personales;
g) Debe prohibir a los bancos de datos recoger datos por medios
fraudulentos, desleales o ilícitos;
h) También debe prohibir la creación o conservación de archivos de datos
con la finalidad exclusiva de almacenar datos sensibles, es decir, datos
que revelen ideología, religión, creencias, origen racial o vida sexual de
las personas;
i) Debe exigir a los bancos de datos el consentimiento del afectado cuando
los datos recabados sean de contenido sensible, y sólo autorizar a
recabar este tipo de datos sin el consentimiento del afectado, cuando
sean absolutamente necesarios para los fines de una investigación
10. 10
10
concreta realizada por las Fuerzas y Cuerpos de Seguridad, o con motivos
de prevención de epidemias, etc.; (p.136-137)
11. 11
11
Referencias bibliográficas
Asamblea Legislativa. (2020). Proyecto de ley No.21321 denominado “Ley de
repositorio único nacional para fortalecer las capacidades de rastreo e identificación
de personas.
http://www.pgrweb.go.cr/scij/Busqueda/Normativa/pronunciamiento/pro_ficha.aspx
?param1=PRD¶m6=1&nDictamen=22541&strTipM=T
Cortés, J. Medina, A., y Muriel, J. (diebre de 2010). Sistemas de seguridad basados
en biometría. Scientia et Technica Año XVII, No 46.
Díaz, V. Sistemas biométricos en materia criminal: un estudio comparado. Revista
del Instituto de Ciencias Jurídicas. Año VII, N°31: pp.28-47.
http://www.scielo.org.mx/pdf/rius/v7n31/v7n31a3.pdf
Grupo Garatu. Reglamento general de protección de datos (rgpd). Qué es, a quién afecta,
qué novedades ofrece. https://grupogaratu.com/wp-
content/uploads/sites/4/2018/04/whitepaper-Nuevo-reglamento-
Protecci%C3%B3n-de-Datos-UE-2018.pdf
Ley Orgánica 3/2018, de 5 de diciembre. Protección de Datos Personales y garantía
de los derechos digitales. https://www.boe.es/buscar/doc.php?id=BOE-A-2018-
16673
Maqueo, M.; Moreno, J.; Recio, M. (2017). Protección de datos personales,
privacidad y vida privada: la inquietante búsqueda de un equilibrio global necesario.
Revista de Derecho (Valdivia). Vol. XXX, núm.1: pp: 77-96
Quintanilla, G. (2020). Legislación, riesgos y retos de los sistemas biométricos.
Revista Chilena de Derecho y Tecnología. 9(1): pp. 63-91.
https://scielo.conicyt.cl/pdf/rchdt/v9n1/0719-2584-rchdt-9-1-00063.pdf
Saltor, C. (2013). La protección de datos personales: Estudio comparativo Europa-
América con especial análisis en la situación Argentida. [Tesis de grado por
Doctorado en Derecho]. Universidad Complutense de Madrid. España.
https://eprints.ucm.es/id/eprint/22832/1/T34731.pdf
12. 12
12
Sánchez, I. (2 de junio de 2020). ¿Qué datos biométricos se conciben como de
categoría especial? Asociación Española para la Calidad. https://dpd.aec.es/que-
datos-biometricos-se-conciben-como-de-categoria-especial/
Vázquez, J. y Olivares, L. (3 de diciembre de 2020). El proyecto de Repositorio
Único de Rastreo e Identificación y nuestras debilidades sistémicas en el ámbito de
la protección de datos personales. Delfinocr. https://delfino.cr/2020/12/el-proyecto-
de-repositorio-unico-de-rastreo-e-identificacion-y-nuestras-debilidades-sistemicas-
en-el-ambito-de-la-proteccion-de-datos-personales