Tipos de datos personales en Costa Rica

Datos personales de acceso irrestricto (ilimitado o sin restricciones)

Son aquellos contenidos en bases de datos públicas de acceso general, según dispongan algunas leyes especiales y de conformidad con la finalidad para la cual estos datos fueron recabados. ​

En cuanto a este tipo de datos personales, vemos que la Ley N°8968, se refiere a aquellos datos personales que estén contenidos en bases de datos públicas. Abarca la posibilidad de que cualquier persona o empresa tenga acceso a datos directos relacionados con:

• Nombre.
• Edad.
• Condición civil.
• Relaciones por filiación (padre, madre, hijo, hermano).
• Propiedad de bienes muebles e inmuebles.
• Representación de terceros, poderes en sociedades.

Lo que, en suma, devela información medular, que asociada puede perfilar la condición socioeconómica de una persona, grupo familiar o grupo societario.

Dicha clasificación de acceso irrestricto posibilita que en Costa Rica no sea necesario el otorgamiento de un consentimiento informado para su obtención, pero ello no libera de responsabilidad en materia de protección de datos personales a las personas físicas o jurídicas del tratamiento adecuado y el cumplimiento de los principios de protección de datos definidos por la Organización de las Naciones Unidas a los datos enlistados en los párrafos anteriores, por ejemplo:

• Autodeterminación informativa: es el derecho de las personas a controlar la información personal que se tiene sobre ellas, incluyendo quién tiene acceso a esa información, cuándo y para qué se usa. En el caso de los datos de acceso irrestricto no existe ese control porque están en bases de datos públicas.
• Adecuación al fin: significa que los datos se deben recabar para un fin específico y no deben usarse para otro motivo.  Esto desaparece en las bases de datos públicas.
• Confidencialidad: desaparece.
• Principio de tratamiento limitado: se refiere a que se debe poner un plazo a la conservación de los datos, pero en la ley costarricense no pareciera que exista un plazo de conservación.
• Desaparece el principio del consentimiento informado y con ello todos los presupuestos, derechos y principios que éste contempla (Artículo 5 Ley N°8968).

Respecto de esta clasificación, podríamos encontrar algún tipo de correlación con el CCPA, en tanto las empresas pueden recolectar todo tipo de información de la persona consumidora, sin mayor requerimiento que el ejercicio posterior de derechos de acceso, rectificación, oposición a la venta, entre otros, por parte de la persona consumidora.

Datos personales de acceso restringido

Son aquellos que, aun formando parte de registros de acceso al público, no son de acceso irrestricto (ilimitado) por ser de interés solo para su titular o para la Administración Pública. ​

Ejemplo de ellos son números telefónicos privados, fotografías, dirección del domicilio y correos electrónicos personales.

En este caso, la legislación le da derecho a la propia persona titular de los datos a tener acceso a éstos, y también acceso a la Administración Pública para darle la posibilidad de brindar una prestación adecuada de los servicios públicos, sin que la persona tenga que firmar un consentimiento informado para ello.

Además, para cumplir el principio de minimización de datos en la protección de datos personales, solo se deben recopilar y procesar los datos necesarios y relevantes para un fin específico. Esto implica reducir la cantidad de datos recolectados, el tiempo de conservación y la accesibilidad a la información a lo estrictamente necesario. 

Todo lo anterior se da condicionado a la obligatoriedad de la transparencia administrativa que debe tener el Estado con sus ciudadanos.

Datos sensibles

Es toda información relativa al fuero íntimo de la persona, como por ejemplo los datos que revelen origen racial, opiniones políticas, convicciones religiosas o espirituales, condición socioeconómica, información biomédica o genética, vida y orientación sexual, entre otros. ​

La clasificación dada en el inciso e) del artículo 3 en cuanto a los datos que pueden ser sensibles, es la que más se acerca a esa concepción dinámica del RGDP, pues abarca toda la información relativa al fuero íntimo de la persona, como sus creencias, pensamientos, condición socioeconómica, información biomédica o genética, la vida, percepción de género, entre otros. Sin embargo, nuestra normativa regula la no obligación de otorgar este tipo de datos y la prohibición de su tratamiento.

Lo anterior resulta poco probable y realista, pues por ejemplo en el ámbito de los servicios de salud, muchos de estos datos son recolectados para la atención de los pacientes. Lo mismo ocurre con los programas de ayudas económicas que tenga el Estado, donde la recolecta de datos sensibles es particularmente extensiva para poder brindar la ayuda y cumplir con los requerimientos legales de poder utilizar fondos del Estado para ello. De modo que la recolecta de este tipo de datos por parte del Estado debe estar debidamente justificada.

En cambio, en el sector privado resultaría excesiva la recolecta de este tipo de datos personales sensibles, cuyo interés podría obedecer a sus fines comerciales en el mercado de bienes y servicios, salvo alguna entidad privada de ayuda humanitaria. Por lo cual sería ineludible el otorgamiento de un consentimiento informado mediante el cual la persona titular de sus datos autorice expresamente el tratamiento de sus datos sensibles y conozca transparentemente cuál o cuáles serían los fines de estos.