Ir al contenido principal

Etiqueta: consentimiento informado

El debate por los datos sensibles en Costa Rica: Los argumentos que enfrentan al TSE y a la PRODHAB

Escrito en . Publicado en Derechos.

La Agencia de Protección de Datos de los Habitantes (PRODHAB) y el Tribunal Supremo de Elecciones (TSE) mantienen un fuerte pulso legal tras la emisión de la resolución N.° 029-2026-RF. La PRODHAB determinó que el TSE comercializa datos biométricos de manera ilegal a través de su plataforma de Verificación de Identidad (VID), al cobrar a empresas privadas e instituciones públicas por validar huellas dactilares y fotografías sin el consentimiento expreso y previo de las personas. Ante esto, el Tribunal Electoral ha respondido con firmeza defendiendo la legalidad de sus servicios.

Los argumentos de la PRODHAB: Lucro sin consentimiento

La PRODHAB, creada bajo el amparo de la Ley N.° 8968 para garantizar el derecho constitucional a la autodeterminación informativa (artículos 24 y 28 de la Constitución Política), sostiene que las fotografías faciales y las huellas dactilares son datos sensibles.

Según el órgano regulador, el TSE actúa al margen de la ley al realizar las siguientes acciones de forma comercial:

  • Operar y cobrar una tarifa a bancos y comercios para acceder a la plataforma VID.
  • Validar rasgos físicos únicos almacenados en el Registro Civil para beneficio de terceros.
  • Omitir la autorización previa de las personas para el procesamiento de sus rasgos individuales.

Como medida sancionatoria, la resolución de la PRODHAB ordena la cancelación de la inscripción de la base de datos del Registro Civil.

La defensa del TSE: «No hay venta de datos y las consecuencias serían gravísimas»

Por su parte, el TSE emitió un comunicado oficial donde rechaza tajantemente las acusaciones de comercialización y anuncia acciones legales inmediatas basadas en los siguientes cuatro puntos:

  1. Recurso legal: El TSE presentará un recurso de revocatoria formal en contra de la resolución n.° 029-2026 de la PRODHAB.
  2. Naturaleza pública de la consulta web: El Tribunal defiende que la información disponible en su sitio web (www.tse.go.cr) es de acceso irrestricto y carácter público, un criterio respaldado por la Sala Constitucional en su voto n.° 2008-16852, al referirse a datos vitales y básicos de las personas.
  3. El servicio VID no es venta: El TSE aclara que la plataforma VID no entrega datos biométricos a los contratistas; estos permanecen siempre bajo el resguardo exclusivo del organismo electoral. La institución se respalda en la opinión jurídica PGR-OJ-165-2025 de la Procuraduría General de la República, la cual señala que calificar el sistema como «venta» es una premisa equivocada, ya que funciona como un canal de validación que requiere la participación activa del ciudadano y no realiza transferencias de datos a terceros.
  4. Alerta por parálisis de servicios nacionales: El Tribunal advierte que ejecutar el punto 7 de la resolución de la PRODHAB —que exige cancelar la inscripción de la base de datos del Registro Civil— traería consecuencias gravísimas para el país. Esta medida provocaría una sensible afectación en múltiples plataformas esenciales, paralizando desde los servicios migratorios de nacionales hasta las transacciones del sistema bancario nacional.

El conflicto de competencias y criterios legales entre ambas entidades pone sobre la mesa el debate nacional acerca de los límites entre la seguridad tecnológica, la mitigación del fraude de identidad y el derecho fundamental a la privacidad de los datos sensibles en la era digital costarricense.

Ante esto surgen varias interrogantes:

¿El servicio de verificación de identidad del TSE es una herramienta necesaria contra el fraude o una comercialización encubierta de nuestros datos?

¿Debería la ciudadanía tener el control absoluto y previo sobre cómo las entidades usan sus huellas y fotografías, incluso frente a fines de seguridad bancaria?

TSE afirma que habría un impacto para el sistema bancario y migratorio si se cancela la base de datos del Registro Civil; ¿cómo resolver ese riesgo si se cancela el servicio que se brinda actualmente?

Defensoría pide informe al INA sobre datos sensibles solicitados en formulario de “Hello Brete”

Escrito en . Publicado en Derechos.

La Defensoría de los Habitantes solicitó información al Instituto Nacional de Aprendizaje (INA) sobre la recolección de datos sensibles como parte del formulario de inscripción para el programa de inglés en la plataforma digital “Hello Brete”.

La Defensoría en la gestión elevada ante el INA solicitó referirse si los datos desagregados en el formulario son requeridos tratándose de la generalidad de poblaciones vulnerables, sea pueblos indígenas, personas y pueblos afrodescendientes, personas con discapacidad, personas LGBTIQ+ y otras. De no ser así, pidió detallar la razón que motivó la solicitud de la información sobre aspectos relativos a la población LGBTIQ+, particularmente en materia de orientación sexual y/o identidad de género, respaldados con los estudios técnicos correspondientes.

Asimismo, la Defensoría solicitó al INA referirse a la forma en la que esta información sería manejada, almacenada y utilizada con el fin del acceso a los cursos que se ofertan. Lo anterior, de conformidad con lo establecido por la ley 8968 Ley de Protección de la Persona frente al tratamiento de sus datos personales. “También es importante conocer si la información se registraría de forma anonimizada y cuál será la entidad o instancia responsable de su resguardo y garantía de confidencialidad”.

Considerando además que el artículo 5 de la Ley N° 8968 obliga a quien recopile datos personales a obtener el consentimiento expreso y por escrito de la persona titular de esos datos, y que dicho consentimiento deberá constar por escrito, ya sea en documento físico o electrónico; el INA deberá informar de las gestiones realizadas para cumplir con dicha obligación legal.

Otro punto que es de interés es que se remita a esta Defensoría el Protocolo de actuación diseñado y aplicado por el INA para regular la recolección, almacenamiento y manejo de los datos personales de las personas que se inscriban en la plataforma “Hello Brete”, de conformidad con lo establecido en el artículo 12 de la Ley N° 8968, y precisar si dicho Protocolo está inscrito ante la PRODHAB, como lo exige la misma norma. También se hicieron otras consultas importantes en materia de la aplicación de la Ley 8968.

La Defensoría de los Habitantes recibió de la Asociación Nacional de Empleados Públicos y Privados (ANEP), así como de organizaciones y activistas de derechos humanos, solicitudes para investigar esta situación.

El convenio CCSS-INS y el derecho a la intimidad

Escrito en . Publicado en Análisis, Aportes para el desarrollo.

Jorge Herrera Fernández
Pensionado IVM

La Caja Costarricense de Seguro Social y el Instituto Nacional de Seguros han suscrito un “Convenio de Colaboración” para el tratamiento de datos personales y confidenciales. Mediante dicho convenio la Caja otorga al INS no solo el acceso al EDUS sino la transferencia de los datos contenidos en este. Esto significa que los expedientes médicos, datos personales e íntimos de cientos de miles de asegurados, entre ellos menores de edad, pasarán sin más a manos de una entidad aseguradora sin haber informado y solicitado el “consentimiento” de los dueños de esos datos. Además de la violación al artículo 24 constitucional que “garantiza el derecho a la intimidad, a la libertad y al secreto de las comunicaciones”, el acuerdo implica situaciones sobre las cuales conviene un poquito de reflexión:

El Código de Ética del Colegio de Médicos

En el capítulo de este código sobre el “Deber de Confidencialidad y Secreto Profesional”, para el presente caso, resulta de particular importancia el artículo 71 que expresa:

Artículo 71.- El médico, no revelará o permitirá que se revele, información a empresas aseguradoras, particulares o estatales, sobre las circunstancias de la enfermedad, o causas de muerte del paciente, salvo lo contenido en el certificado de defunción, o que medie autorización expresa del paciente, del responsable legal o autoridad judicial.

Es importante considerar que esta restricción no es producto de caprichos u ocurrencias sino del propósito de evitar ventajas a las aseguradoras en la suscripción de pólizas, en particular de salud y de vida. Si una aseguradora tiene el expediente médico del solicitante de una póliza y de sus familiares puede valorar riesgos por algún padecimiento o predisposición hereditaria a determinadas enfermedades. Así, podrá rechazar la póliza o aplicar condiciones a su conveniencia. Posiblemente tal situación ocurriría sin que la persona esté enterada de que la aseguradora posee sus datos.

Siendo el INS una entidad aseguradora, hay que preguntarse ¿Tiene la Caja facultades legales para anular o hacer inoperante una obligación de los médicos que allí laboran y que a su vez representa una garantía del derecho a la intimidad de los pacientes?

La responsabilidad para la Caja

Otra circunstancia que no debe pasar por alto se refiere a la participación de terceros en el tratamiento de los datos y las responsabilidades por el “uso indebido de los mismos. La siguiente cláusula resulta reveladora:

DÉCIMA SÉTIMA: DE LA RESPONSABILIDAD

Cada parte es responsable ante la otra y ante cualquier tercero afectado, por los daños directos e indirectos, perjuicios, incluidas multas o cualquier otro derivado de las actuaciones, incumplimientos u omisiones de sus funcionarios y/o trabajadores (propios o terceros contratados) con respecto a las obligaciones del presente convenio, el tratamiento de datos inadecuado y vulneraciones en sus sistemas de seguridad de la información.

Como se indica explícitamente, las partes (CCSS y el INS) son responsables por las acciones de sus funcionarios e incluso de “terceros contratados”. En consecuencia, en el caso de la Caja, esa responsabilidad por “tratamiento de datos inadecuado y vulneraciones a los sistemas por parte de terceros” implica hacer frente a denuncias, demandas e indemnizaciones que deberán cubrirse con dinero de la institución o, más bien dicho, de los aportes de los asegurados.

La transferencia de datos a terceros “autorizados”

Lo expresado en este inciso de la “cláusula sexta” debe llamar la atención puesto que refiere eventuales “ventas, cesiones, traspasos, etc.” y “derechos” que las partes adquieren mediante el convenio:

“SEXTA: OBLIGACIONES DE AMBAS INSTITUCIONES:

En adición a cualquier otra obligación establecida en el presente convenio y en el convenio marco, ambas partes se comprometen a:

[…]

k) Las partes se obligan a no transferir los datos a terceros no autorizados por ambas partes, por medio de la venta, alquiler, traspaso, cesión o enajenar gratuita u onerosamente o cualquier otro medio de publicidad o transferencia existentes, en forma total o parcial los derechos que mediante el presente convenio adquiere, lo anterior, de conformidad con lo dispuesto en el marco regulatorio y normativo vigente.”

Como se observa, la obligación de las partes a no transferir los datos y los derechos aplica únicamente a terceros no autorizados.  En consecuencia, “a contrario sensu”, no existe impedimento para transferir datos y derechos por medio de la venta, alquiler, traspaso, cesión, etc. a los terceros autorizados por ambas partes.

En este sentido, vale considerar lo expuesto por el Señor Mauricio París, especialista en derecho digital en La República del 1o. de noviembre 2022:

“Las compañías más grandes del mundo son empresas cuya materia prima son los datos personales, por lo que estos se han convertido en un activo importantísimo en una economía digital”

El consentimiento de los pacientes

Además de lo expuesto, al suscribir el convenio las partes han hecho caso omiso de la obligación de contar con el “consentimiento” de los pacientes.

Como lo expone el titular del diario digital Despertar.CR el 24 de agosto pasado, el INS contará con acceso a los datos del EDUS “si hay consentimiento de pacientes”.

El texto de esta noticia continúa expresando:

“Esperamos que ahora con su consentimiento, porque los datos son suyos, usted pueda ir al INS y tener un mínimo conjunto de datos en que fácilmente pueda tener un resumen de la atención y se vislumbra con lo que son laboratorios e imágenes” indicó Munive”.

[…]

“Le vamos a dar trazabilidad a los tratamientos, trazabilidad al paciente, pero lo más importante es que usted, dueño de sus datos, va a poder aperturar esta información para beneficio suyo” explicó la ministra de salud.

La interoperabilidad entre sistemas es una de las metas de la ruta de Transformación y Salud Digital presentada el año pasado por el Ministerio de Salud.”

Conforme lo expone la Ministra de Salud, cabe destacar tres puntos:

  • La condición del consentimiento informado.
  • El paciente dueñode sus datos.
  • El convenio como parte de un plande “Transformación y Salud Digital” 

Siendo, como lo indica la nota de prensa, que el convenio es parte del plan de “Transformación y Salud Digital”, debe considerarse que la Caja está obligada a acatar las normas establecidas por el Decreto MS-AJ-438-2023 “Declaratoria de Interés Público de la Estrategia Nacional de Salud Digital de Costa Rica ….” Este decreto dispone:

Artículo 10.- Gobernanza de datos de salud. El Ministerio de Salud en su rol de ente rector de la salud del país, asumirá la gobernanza de datos en salud del país. Pero cada institución perteneciente al sistema de salud del país que maneje datos personales y sensibles de salud será responsable de la gestión de estos, así como de velar por su seguridad, y de obtener el consentimiento informado de los usuarios, entendiendo que cada usuario del sistema de salud es el dueño de sus datos.

En consecuencia, es concluyente que cualquier acceso al EDUS, o su transferencia como base de datos, sin consentimiento, resultan violatorios a la norma impuesta por el decreto que refleja el derecho constitucional del paciente a la intimidad y al consentimiento informado. No se debe omitir que estas violaciones darán pie a eventuales acciones legales e indemnizatorias por parte de cualquier afectado. La Caja quedaría en desventaja y las resoluciones en contra deberán cargarse al patrimonio institucional, o más bien el patrimonio de los asegurados.

La Sala Constitucional y el derecho del ciudadano sobre sus datos

La Sala Constitucional en Resolución No. 2006-011257, Expediente 05-012077-0007-CO, ha dispuesto que el “derecho de autodeterminación informativa” es un derecho fundamental:

SALA CONSTITUCIONAL DE LA CORTE SUPREMA DE JUSTICIA. San José, a las nueve horas y veintitrés minutos del uno de agosto del dos mil seis.

IV.- En relación con el derecho de autodeterminación informativa. La Sala ha desarrollado los principios generales que informan esta garantía fundamental, entre otras se ha tratado el tema en la sentencia número 04847-99 de las 16 horas con 27 minutos del 22 de junio de 1999. La ampliación del ámbito protector del Derecho a la intimidad surge como una respuesta al ambiente global de fluidez informativa que se vive. Ambiente que ha puesto en entredicho las fórmulas tradicionales de protección a los datos personales, para evolucionar en atención a la necesidad de utilizar nuevas herramientas que permitan garantizar el derecho fundamental de los ciudadanos a decidir quién, cuándo, dónde y bajo qué y cuáles circunstancias tiene contacto con sus datos. 

Conforme a lo expresado en el convenio, es evidente que una vez que la base de datos EDUS sea transferida al INS y/o a “terceros autorizados”, el asegurado nunca más tendrá conocimiento del destino de sus datos personales e íntimos y menos podrá decidir sobre quién, cuándo y cómo estos serán utilizados. Es decir, los derechos fundamentales a la confidencialidad y a la intimidad sufrirán daños irreparables.

Unas observaciones

Considero importante reflexionar sobre el silencio y la indiferencia en que transcurren los hechos aquí referidos ya que conforman un enorme contraste con la atención institucional y social que se dio al caso UPAD. Es grande lo que está en peligro y por ello vale recordar la frase “nadie aprecia lo que tiene hasta que lo pierde”.

También es necesario valorar que el lucro y relaciones de poder que a partir de estos datos, puedan generar “terceros” en empresas y corporaciones los pagaremos nosotros, los mismos asegurados y ciudadanos en general. Hay que descartar que los buenos propósitos del convenio por facilitar los servicios médicos no sean parte de un “caballo de Troya”.