Por: Ángela Ávalos 4 octubre, 2015

Una de las 54 bases registradas ante la Agencia de Protección de Datos de los Habitantes (Prodhab) es la del Sistema Centralizado de Recaudación (Sicere).

Esa base fue blanco de hackeo en marzo y mayo, cuando se extrajeron, sin autorización, más de 522.000 registros laborales.

Por ese caso, la agencia tramita una investigación administrativa a solicitud de la Caja, responsable del Sicere.

Al frente de la agencia y de las indagaciones está el abogado Mauricio Garro Guillén, quien estima que en el país pueden funcionar entre 5.000 y 8.000 bases. Solo 54 están normadas.

Garro explica que la Prodhab apenas está en etapa embrionaria, pues entró a funcionar el año pasado. Se creó con la Ley 8.968, Protección de la Persona frente al Tratamiento de sus Datos Personales, del 7 de julio del 2011. Aquí, parte de la entrevista.

Lo que sucedió en la CCSS, demuestra que la protección de datos en el país no existe o es muy débil. ¿Qué tiene que decir la agencia sobre esto?

Hay que entender que estamos en un momento muy embrionario del desarrollo de la protección de datos en el país, y que la primera meta de la agencia es la creación de una cultura sobre la protección de datos.

”Lo primero es llevar el mensaje de qué es la protección de datos y para qué sirve; luego, cuáles son los mecanismos que se pueden utilizar. La idea, a seis meses plazo, es iniciar algunos procedimientos de oficio para traer bases de datos que no se han inscrito y para determinar ciertos criterios en materia de autodeterminación informativa: uso de los consentimientos informados y acceso y modificación de algún dato personal.

¿Un escenario embrionario?

En ese escenario tenemos que enfrentarnos con un mercado que ya se comporta viciadamente respecto de la protección de datos. Al estar desregularizado totalmente, el trabajo es duro. Afortunadamente, con un equipo de trabajo podemos enfrentar ciertos casos de peso, como el que menciona ( hackeo Sicere). La agencia es un órgano resolutivo. Es un procedimiento donde hay un fallo vinculante. Agotada la vía administrativa, si se quieren oponer a lo resuelto, hay que ir a lo contencioso administrativo.El tema con el manejo de los datos personales, es que la ley lo que protege es el tratamiento de los datos personales en bases de datos, automatizadas o manuales.

”Cuando hablamos de una fuente pública masiva, donde hay datos sensibles como el salario, el tema tiene una complejidad elevada. Y aquí es donde la agencia tiene un papel preponderante. Es el ente regulador y contralor de la protección de datos, que no parte solo del ámbito jurídico sino del informático. Es la obligada a examinar si las bases de datos inscritas o no inscritas cumplen con ciertos requisitos, al menos mínimos, para garantizar la seguridad de los datos en ese entorno.

Ante ese escenario, uno se pregunta: ¿y ahora, quién podrá defendernos?

Sí y no. Afortunadamente, ya hay camino que se ha trabajado. Honestamente, sí hay competencia y capacidad para trabajar.

¿Sí se puede hacer?

Sí, y la agencia está consciente de esto. Lo que sí tiene que tomarse en cuenta es que es un tema que hay que ponderar y valorar porque el fallo de la agencia tiene implicaciones. La eventual resolución que se pueda tomar en un caso como este (Sicere), es algo que debe ser muy valorado. No debe ser una decisión apresurada ni presionada.

¿Cuál es el nivel de seguridad de otras bases en instituciones públicas?

Lo que le puedo decir es que las bases de datos inscritas en la Agencia cumplen con protocolos mínimos de seguridad. El tema es ver si se están cumpliendo esos protocolos, y si en el análisis de un caso concreto, esos protocolos requieren de adaptaciones para generar más seguridad. Hay que entender el momento en que estamos. No podemos exigir un estándar de calidad elevado de los protocolos de seguridad.

¿Por qué no?

Porque si entramos con el brazo duro, es muy probable que el sistema social no reciba ese mensaje. Lo que la ley prevé es un diseño de protocolo mínimo de seguridad. De ahí, podemos empezar a crecer. No podemos decir que por ser un mínimo sea malo o inseguro.

¿Por qué no entrar duro?

Vea (muestra el pequeño lugar de trabajo). La agencia está en un estado inicial.

¿No hay capacidad?

No podemos exigir ciertos estándares de seguridad, cuando nosotros mismos estamos desarrollando el proceso de estructuración de la agencia. Sería irresponsable pretender esto. En este momento, estamos iniciando un trabajo, que implica ir sentando bases y tenemos que ver las diferentes reacciones del sistema. Si nosotros aceleramos ese proceso, pretendiendo jugar como el Real Madrid (España) cuando somos un equipo de Segunda División de Costa Rica, no lo vamos a lograr.

¿Cuánto tiempo le tomará?

En unos cuatro años podemos tener una estructuración plena con un equipo que esté asumiendo a cabalidad la protección de datos. Y un proyecto ya elaborado en términos de trabajar bastante parecido a la media europea, ocho años.

Más allá de la investigación en el caso de la CCSS, ¿qué va a hacer la Prodhab?

La primera directriz que se ha girado en relación con este asunto es ordenar una revisión de los protocolos de todas las bases de datos inscritas. Es un tema de control preventivo. Dado que la agencia está iniciando funciones, se ha considerado oportuno ordenar una revisión completa de los protocolos de seguridad inscritos. La idea es actualizar la información.

¿Qué pueden hacer los trabajadores para saber si están entre los 522.000 registros extraídos al Sicere?

Cualquiera puede ejercer los derechos de acceso en relación con cualquier base de datos.

¿Podría demandar a la entidad administradora de la base?

Si a esa persona no se le da acceso a la información, puede denunciar ante la agencia. Tiene todo el derecho de buscar las soluciones que en derecho le correspondan.

¿Cuántas bases están inscritas en la agencia?

En este momento, hay 54.

¿Cuántas bases de datos hay en el país?

Debe andar entre las 5.000 y 8.000 bases de datos.

Entonces, ¿es una cantidad mínima la que se ha registrado?

Probablemente terminaremos el año con unas 70 u 80 bases de datos.

Ustedes deberían tener capacidad desarrollada para monitorear el mercado.

Esa es la idea. Vamos a iniciar el plan de divulgación y junto a esto se va a informar de que la agencia va a iniciar los procedimientos de oficio para empezar a traer las bases de datos que no se han inscrito.

¿La ley da un plazo? Las que no se han inscrito ya están incumpliendo la ley porque el plazo, incluso con la última prórroga, venció el 5 de junio del año pasado.

¿Cuántas quejas reciben? Tenemos 64 expedientes tramitados.¿Qué les llega? Principalmente, casos de acoso telefónico, que es exageradamente común.