Ir al contenido principal

Etiqueta: datos sensibles

Defensoría pide informe al INA sobre datos sensibles solicitados en formulario de “Hello Brete”

Escrito en . Publicado en Derechos.

La Defensoría de los Habitantes solicitó información al Instituto Nacional de Aprendizaje (INA) sobre la recolección de datos sensibles como parte del formulario de inscripción para el programa de inglés en la plataforma digital “Hello Brete”.

La Defensoría en la gestión elevada ante el INA solicitó referirse si los datos desagregados en el formulario son requeridos tratándose de la generalidad de poblaciones vulnerables, sea pueblos indígenas, personas y pueblos afrodescendientes, personas con discapacidad, personas LGBTIQ+ y otras. De no ser así, pidió detallar la razón que motivó la solicitud de la información sobre aspectos relativos a la población LGBTIQ+, particularmente en materia de orientación sexual y/o identidad de género, respaldados con los estudios técnicos correspondientes.

Asimismo, la Defensoría solicitó al INA referirse a la forma en la que esta información sería manejada, almacenada y utilizada con el fin del acceso a los cursos que se ofertan. Lo anterior, de conformidad con lo establecido por la ley 8968 Ley de Protección de la Persona frente al tratamiento de sus datos personales. “También es importante conocer si la información se registraría de forma anonimizada y cuál será la entidad o instancia responsable de su resguardo y garantía de confidencialidad”.

Considerando además que el artículo 5 de la Ley N° 8968 obliga a quien recopile datos personales a obtener el consentimiento expreso y por escrito de la persona titular de esos datos, y que dicho consentimiento deberá constar por escrito, ya sea en documento físico o electrónico; el INA deberá informar de las gestiones realizadas para cumplir con dicha obligación legal.

Otro punto que es de interés es que se remita a esta Defensoría el Protocolo de actuación diseñado y aplicado por el INA para regular la recolección, almacenamiento y manejo de los datos personales de las personas que se inscriban en la plataforma “Hello Brete”, de conformidad con lo establecido en el artículo 12 de la Ley N° 8968, y precisar si dicho Protocolo está inscrito ante la PRODHAB, como lo exige la misma norma. También se hicieron otras consultas importantes en materia de la aplicación de la Ley 8968.

La Defensoría de los Habitantes recibió de la Asociación Nacional de Empleados Públicos y Privados (ANEP), así como de organizaciones y activistas de derechos humanos, solicitudes para investigar esta situación.

Proyecto busca legalizar comercialización de datos sensibles de las personas

Escrito en . Publicado en Derechos.

OMERCON

El Proyecto de Ley N.° 24.374 pretende legalizar la comercialización de información sensible de las personas. Esta propuesta busca legitimar el negocio de la venta de datos confidenciales, obtenidos por entidades financieras y comerciales de personas físicas o jurídicas privadas. En esencia, convierte la información personal en una mercancía más, intercambiada por una suma de dinero.

Este peligroso proyecto permitiría que personas y empresas recopilen, gestionen, almacenen, procesen y comercialicen información crediticia relacionada con el historial de pagos de individuos o empresas que figuran como deudores, codeudores o fiadores en operaciones de crédito otorgadas en Costa Rica. Es decir, parte de su historial privado podrá ser vendido y comprado sin su consentimiento, simplemente porque representa un negocio rentable para algunos, aunque eso ponga en riesgo su tranquilidad y seguridad.

Disfrazado como una iniciativa para proteger a los consumidores y facilitar el acceso al crédito, este proyecto propone que entidades privadas puedan acceder y vender información tanto del cumplimiento como del incumplimiento de las obligaciones crediticias, actualmente en poder de los acreedores. Los motivos detrás de esta propuesta son claramente mercantiles, ya que esas bases de datos tienen un valor de cientos de miles de dólares.

El proyecto obligaría a los entes que otorgan crédito a trasladar a empresas privadas tanto la información sobre morosidad como sobre créditos al día, datos que hasta hoy se consideran de carácter sensible.

La información que se maneja es esencialmente información de incumplimiento, por falta de previsión expresa regulatoria. De esta forma, esta información resulta de cierta manera incompleta y no permite un análisis total de las situaciones”, indica el proyecto en su exposición de motivos.

La falta de control oficial sobre los datos de los créditos activos, los montos pagados mensualmente, los ingresos devengados, el efectivo manejado, y la situación de fiadores o codeudores, eleva exponencialmente el riesgo de que esa información personal circule entre terceros privados. Esto no solo vulnera la privacidad de las personas, sino que también puede ser utilizada para fines delictivos, como extorsión, secuestros o incluso asesinatos, en una Costa Rica cada vez más violenta e insegura.

Nada de lo que plantea este proyecto resulta necesario hoy en día, ya que la Superintendencia General de Entidades Financieras (SUGEF), ente estatal, cuenta con una base de datos centralizada sobre toda la población costarricense. Dicha información puede ser consultada individualmente por los entes financieros formales que otorgan crédito, a través del Centro de Información Crediticia (CIC).

De hecho, hace pocos años las cámaras empresariales solicitaron, con acierto, que fuera el Banco Central de Costa Rica el único administrador del registro de accionistas, precisamente por la sensibilidad de esa información y el riesgo de que terminara en manos indebidas.

Resulta inaceptable que, por medio de una ley, se pretenda autorizar a empresas privadas para vender información personal y sensible de la ciudadanía costarricense. Cualquier error en esa información podría generar graves daños reputacionales y personales. Hoy más bien deberíamos eliminar del mercado a ciertas empresas que ya se lucran con parte de estos datos.

Existen compañías que hoy venden información personal obtenida de forma engañosa mediante cláusulas abusivas en contratos de adhesión, o bien comercializada ilegalmente, incluso hackeada de bases de datos. Muchas veces, además, se trata de información falsa. Contra este tipo de prácticas deberíamos actuar como sociedad para eliminar ese negocio ilegal y perjudicial.

Cerca de un millón de costarricenses han visto afectado su historial crediticio por entes financieros que, tras promover créditos de consumo sabiendo que comprometerían en exceso su capacidad de pago, hoy los acosan para cobrar. Con este proyecto, esas personas no solo deberán limpiar su historial ante la SUGEF, sino que también tendrán que lidiar con trámites, pagos y pérdida de tiempo para corregir su información en múltiples entidades privadas que podrían estar manejando sus datos sensibles.

Estamos conscientes del crecimiento de grupos delictivos vinculados al narcotráfico, lavado de dinero y mafias extorsivas, los cuales no dudarán en aprovechar estas brechas para su propio beneficio. Por una suma de dinero, podrían acceder a información sobre cuánto gana una persona, cuándo desembolsa dinero o cuándo paga sus créditos. No solo porque las empresas que negocian con esta información se los vendan, sino porque incluso podrían comprar dichas empresas o crear las suyas propias, todo de manera legal.

Llama la atención que algunos sectores que apoyan este proyecto, se opongan al mismo tiempo a que el Banco Central de Costa Rica pueda cruzar información para identificar riesgos en el manejo del dinero por parte de los intermediarios financieros —dinero que, al final, es de la sociedad. Incluso han propuesto que el BCCR no pueda acceder ni utilizar esa información, que con este nuevo proyecto se pretende dejar en manos privadas y disponibles para la comercialización.

Es fundamental que las organizaciones de la sociedad civil nos manifestemos en contra.

Observatorio del Mercado y Derechos del Consumidor

Defensoría pide a CCSS informar medidas que protegen datos sensibles en EDUS

Escrito en . Publicado en Derechos, Salud.

Con el propósito que exista total garantía que los datos sensibles de los y las pacientes estén completamente garantizados y protegidos, la Defensoría de los Habitantes elevó una gestión ante la Gerencia Médica de la Caja Costarricense del Seguro Social en aras de conocer las medidas implementadas a la fecha.

El Expediente Digital Único en Salud (EDUS) es una herramienta de gran importancia para la Seguridad Social pues contiene los datos del paciente en forma digital, y que pueden acceder únicamente usuarios autorizados de servicios de salud en EBAIS, clínicas y hospitales. Los pacientes pueden consultar en esta aplicación, sus datos personales, citas médicas pendientes y anteriores, así como, solicitar o cancelar sus citas y la de sus dependientes en el establecimiento de salud adscrito, validación de derechos, medicamentos prescritos, diagnósticos y alergias, entre otros datos.

Es a partir de un Informe de Asesoría emitido por la Auditoría Interna de la CCSS N° AS-ATIC-0021-2024 del 07 de marzo del año en curso, referente al manejo de datos personales en el Expediente Digital Único en Salud (EDUS), de la Caja Costarricense del Seguro Social (CCSS), que la Defensoría solicitó saber sobre cinco puntos específicos.

Uno de ellos son el detalle de las acciones que realizará la CCSS para implementar campañas de divulgación a funcionarios con acceso a información sensible de expedientes clínicos, sobre la observancia del marco normativo y directrices éticas en materia de protección y privacidad de datos.

A ello se suma las medidas que implementará para atender la asesoría del mencionado informe, así como las advertencias del oficio N° ADAATIC-103-2022, con respecto a la socialización de los canales para interponer denuncias por el tratamiento de datos sensibles en el sistema EDUS.

Asimismo, enumerar las acciones destinadas a atender los distintos aspectos desarrollados en dicho informe de asesoría, por parte de la Auditoría Interna institucional e informar si, a la fecha, es posible garantizar que ningún funcionario pensionado, ex funcionario de la institución o personal en puestos que no requieren acceso al sistema EDUS, continúa teniendo ese acceso tal como lo señalaron informes anteriores de la Contraloría General de la República.

Por último, es importante para la Defensoría que se pueda remitir una copia del plan de trabajo, si hubiere, para mejorar el tratamiento de datos sensibles en el sistema EDUS, considerando los distintos informes de la Auditoría Interna y de la Contraloría General de la República.

En su respuesta la CCSS remite a la Defensoría un oficio que fue enviado a la Auditoría de esa institución relacionado al manejo de los datos personales en el EDUS, donde indican que se atienden las inquietudes de esa unidad de control. La Defensoría procederá a su estudio.

Oficina de Comunicación Institucional
Defensoría de los Habitantes