El abogado Mauricio Garro desempeña el cargo de director nacional de la Agencia de Protección de Datos de los Habitantes de Costa Rica (PRODHAD) un país que pretende «convertirse en un referente en la región de Centroamérica y el Caribe en esta materia» y, al mismo tiempo «asumir el rol de fomentar el desarrollo de las agencias de protección de datos».
Garro cuenta con veintitrés años de ejercicio profesional en los que ha trabajado en el área del Derecho Comercial, contratos, daños, inversión extranjera y la Resolución Alterna de Conflictos.
Ha sido consultor internacional para organismos como el Banco Mundial, Banco Interamericano de Desarrollo, la Organización de Estados Americanos y el ILANUD.
Además, Garro es graduado de la Universidad de Costa Rica, es titular de una Maestría en Empresas Internacionales y Comercio Exterior por la Universidad de Barcelona y también ostenta una Maestría en Derecho de Empresa por la Universidad Pompeu Fabra de Barcelona.
Como él mismo se define, es un profesional al que le gusta trabajar de cara al futuro; innovador y proactivo, que cuenta con una formación sólida, tanto a nivel tecnológico como del negocio.
Unas cualidades que, desde el 29 de Julio de 2014, desarrolla en su puesto de director nacional de la Agencia de Protección de Datos de los Habitantes, adscrita Ministerio de Justicia y Paz de Costa Rica.
Su país es el país más avanzado, desde punto de vista jurídico, en Centroamérica. Sin embargo, en términos de protección de datos se encuentra en la más tierna infancia. Y eso nos ha sorprendido.
Siempre hay que ponderar, en todas las legislaciones de Latinoamérica, pero especialmente en lo relativo a Costa Rica por la historia de Estado de Derecho que tiene. Cuenta con una larga tradición en materia constitucional de más de 20 años, y había venido trabajando sobre el tema de la protección de datos, desde hace tiempo.
Aunque la Ley de Jurisdicción Constitucional no estableció el recurso, el habeas data, la Sala sí se encargó de desarrollarlo a través del derecho a la intimidad.
Y fue precisamente la Sala la que, hace poco más de diez años, empezó a hablar de autodeterminación informativa. Posteriormente, se insistió en que había que crear una ley específica en esta materia y un órgano de control y regulación.
Pero ciertamente estamos en fase inicial. La Agencia de Protección de Datos de los Habitantes lleva trabajando, como tal, desde hace dos años.
¿Considera que Costa Rica puede ser considerado como un referente en el área en materia de Protección de Datos?.
Hay países en la región, como México, Uruguay y Argentina que han desarrollado un trabajo muy importante. Son los referentes a nivel de Iberoamérica.
Aunque entiendo que Costa Rica puede considerarse un referente en la región de Centroamérica y el Caribe en materia de protección de datos, por ello, debe asumir el rol de fomentar el desarrollo de las agencias de protección de datos.
Y en este sentido, están desarrollando también un papel muy destacado tanto el Observatorio Iberoamericano de Protección de Datos como la propia Red Iberoamericana de Protección de Datos (RIPD).
Dentro de una semana hay un encuentro en Montevideo de la RIPD y vamos a analizar una propuesta que hemos estado estudiando con Felipe Rotondo de Uruguay y con Eduardo Bertoni, de Argentina. Debemos asumir una actitud proactiva las agencias que ya estamos funcionando para promover labores de armonización, de terminología, legislación, etc..
A nadie se le escapa que estamos ante un nuevo paradigma en la mera concepción de la privacidad
¿Existe esa voluntad?
Hay una voluntad y una conciencia. A nadie se le escapa que estamos ante un nuevo paradigma en la mera concepción de la privacidad. La acelerada evolución de las tecnologías de la comunicación y de la información nos obliga a acelerar los procesos de estructuración y regulación normativa. No hablo de a nivel regional, de Iberoamérica o de Europa, sino a nivel mundial. Este es un proceso en el que todos los países tiene que involucrarse. El don de la ubicuidad es una característica del ataque cibernético.
Hace poco tiempo usted hizo unas declaraciones en su país en las que decía que desde la PRODHAD se estaban enfrentando a un mercado que se estaba comportando “viciadamente”. ¿Puede explicar qué quería decir con eso?
Sí, claro. Una cosa es la protección del derecho a la intimidad, que normalmente es un acto individualizado. Sin embargo, el ejercicio de la función reguladora implica una cobertura general. Luego, el comportamiento general del mercado está totalmente desregularizado. Está viciado.
Hay que empezar, por ejemplo, por concienciar a la gente de qué es la protección de sus datos, de cómo ellos deben asumir el rol de proteger sus propios derechos.
Yo normalmente pongo el ejemplo de cuando vas a echar gas a la estación de servicio. Allá es muy común que llegues a pagar y que te den los tiquetes de la rifa del vehículo último modelo para fin de año.
Entonces, tienes que poner tu nombre, tu dirección, tu correo electrónico y tu teléfono. Y lo pones en una caja.
Nadie te pide el consentimiento informado. Nadie se preocupa. La gente se cree que eso va para la rifa. A nadie se le ocurre pensar que esa información, después, puede ser cedida a terceros, como normalmente sucede.
Esto es parte de los comportamientos viciados que tienen los costarricenses en materia de protección de datos. Hay que culturizar, hay que enseñar a la gente cómo debe comportarse para proteger sus datos.
O sea que estaríamos hablando en una primera fase divulgativa.
Sí, claro. La agencia se ha fijado ciertos nortes específicos. El primero fue un trabajo de concienciación, a nivel empresarial y a nivel de instituciones públicas. Ahora, este año, y con más fuerza en el año entrante, vamos a iniciar el plan de divulgación a la sociedad civil. Ya está aprobado el Plan de Medios y estamos esperando que la Controlaría General de la República nos de el refrendo y entonces vamos a proceder ya con pautas en televisión, en radio, en prensa, para ir divulgando cada vez más.
Tenemos programas, junto con el Colegio de Abogados, para desarrollar la difusión y la concienciación a nivel nacional en todas las sedes del Colegio. Además, estamos organizando programas con los gobiernos locales, con las municipalidades para menores y adolescentes, para trabajar el tema de la protección en redes sociales.
A diferencia de otros modelos en Latinoamérica, como pueden ser Uruguay, Argentina o República Dominicana, Costa Rica asumió un proyecto de protección de datos puro y duro a la europea. Esto significa que es la Agencia la que lleva el procedimiento en materia de protección de derechos, la que resuelve en forma vinculante el procedimiento en protección de derechos.
Costa Rica asumió un proyecto de protección de datos puro y duro a la europea
¿Les ha ayudado el reciente ‘hackeo’ del SICERE, la Caja Costarricense de Seguro Social, en esa concienciación, y el acceso a los datos de 500.000 personas?
522.000 personas, para ser exactos.
Para sensibilizar…
Sí, claro, la noticia causó furor en su momento. Ese es un ejemplo que suelo poner para explicar la importancia de notificar las bases de datos. ¿Por qué? Porque eso te obliga a generar una conciencia de que existe un órgano regulador y contralor y de que tienes que cumplir requisitos a la hora de poder realizar el tratamiento de los datos personales desde el punto de vista de protocolos de seguridad, de protocolos de actuación.
En el caso de Costa Rica, la Ley te exige que presentes esos protocolos ante la Agencia a la hora de inscribirte.
Y en el caso del SICERE, por ejemplo, al día siguiente de que saliera la noticia a la luz pública esa filtración, los medios de comunicación estaban llamando y preguntando si esa base de datos estaba inscrita o no.
¿No estaba inscrita?
Estaba inscrita.
Una de las 54…
Una de las ciento y pico ya.
Pero se calcula que hay entre 5.000 y 8.000…
Hay que hacer un estudio de mercado para establecer el número concreto. Hemos hecho algunos ejercicios de análisis y hemos rebajado bastante ese número.
Yo calculo que pueden andar por 4.000 o un poco menos.
Por ejemplo, veamos el caso de Colombia. Es un país de 40 millones de personas y dos veces y medio el tamaño de España. Lleva cuatro años y medio en un proceso similar de registro. A fecha de hoy hay 3.600 bases de datos notificadas.
En el caso de legislaciones como la costarricense, no hablamos de un amplio mercado de bases de datos, de ficheros, las que tiene que notificarse.
Hablamos de tres clases de ficheros, los que distribuyen, difunden o comercializan datos.
Nos han comentado que han tenido reuniones con la Agencia Española de Protección de Datos. ¿Cómo ve el modelo español? ¿Es exportable o solamente en algunos aspectos?
Es totalmente exportable para legislaciones que tienen una filosofía de derecho continental, como la nuestra.
El mundo no tiene una forma unívoca de aproximar la protección de datos. Y eso causa distracciones y ruido de fondo a la hora de la comunicación. El mejor ejemplo, el “Safe Harbor” y el “Privacy Shield”. Ahí están.
En las legislaciones latinoamericanas el diálogo es mucho más fácil porque tenemos una fuerte base de derecho continental, por lo tanto, el modelo español es perfectamente exportable. Es más, mi personal criterio es que se debe asumir tal cual como está diseñado en el sistema español, donde los procedimientos de protección de los derechos de supresión, de rectificación, de acceso a la información de oposición se realicen dentro del ámbito de la Agencia de Protección de Datos. No conviene derivar esas funciones a la legislación ordinaria a través del habeas data porque se pierde el control directo que puede ejercer la Agencia emitiendo criterios particulares ya con efectos sancionatorios.
Yo lo veo muy útil.
Ahora con el GPR, con el nuevo reglamento de la Unión Europea, hay temas que habrá que valorar y ponderar.
¿Cómo enfocan allí el derecho al olvido?
Es una cosa específica, establecida en la constitución costarricense con un plazo de caducidad. La norma, por regla, tiene un plazo de 10 años. Sin embargo, en ciertos sectores específicos de la legislación, como el derecho mercantil se reduce a 4 años. Recientemente, en el ámbito penal ha habido una reforma y se han reducido ciertos plazos para la supresión o anonimización del dato. Es más, la Agencia ha resuelto un par de asuntos en ese sentido.
¿Cree que sería conveniente crear la figura de delegado del cumplimiento normativo?
El tema de los delegados es muy importante, aunque aquí debemos hace una clasificación. No podemos poner una tabla rasa y decir que todos deben tenerlo. Por ejemplo, la pymes o micropymes son empresas que, por su naturaleza, tienen limitaciones económicas para asumir ciertas estructuras.
La Ley costarricense de protección de datos a la hora de notificar una base de datos te exige que hagas análisis de riesgos, similares a los que esta solicitando ahora el nuevo Reglamento. El costo de este análisis de riesgo no se lo puedes imputar a una pyme o micropyme en Costa Rica. Y es caso de los delegados también tiene que ponderase de la misma manera.
Por ejemplo Bayer, en Centroamérica y en el Caribe, ya ha procedido a ir nombrando delegados en los diferentes países. En Costa Rica lo ha hecho. Esto es muy importante y necesario para las multinacionales o las grandes empresas. Con ello consiguen centralizar a través de una persona o departamento con quién a de comunicarse la Agencia de Protección de Datos.
En Costa Rica, y lo digo con todo el respeto, la propia Sala Constitucional todavía sigue olvidando que existe una diferencia entre la autodeterminación informativa y derecho a la intimidad.
Hay que delegar ya la competencia que se estableció por Ley, lo que se delegó a la Agencia de Protección de Datos debe ser competencia de esta Agencia.
Si esto pasa con la Sala Constitucional imagínense lo que pasa con la sociedad civil o a nivel de sectores empresariales que no están acostumbrados a trabajar con el tema de protección de datos.
¿Cómo afrontan los distintos actores la protección de datos?
La Agencia no ha tenido ningún problema con las multinacionales, todo lo contrario. Y lo mismo ha ocurrido con el sector público. En Costa Rica vivimos una situación política muy polarizada, similar a la de aquí, y eso produce que haya una constante crítica de los sectores privados y la sociedad civil contra el ejercicio de la función pública y el manejo de los fondos públicos.
También las instituciones públicas han asumido con mucho recelo la nueva Ley de Protección de Datos. Aunque tras el caso del SICERE se aproximan para preguntar cómo pueden asesorarse sobre este tema.
¿Hay alguien en su país que se hay ocupado de capitanear el tema de la Protección de Datos?
Sí, en su momento, Alfredo Chirino, que ahora es el decano de la Facultad de Derecho se implicó mucho. En la actualidad es un diálogo que tenemos que entablar con la Corte Suprema, hay algunos magistrados interesados en este asunto.
A nivel ministerial, Hernando París, quien fuera ministro de Justicia, tomó un interés personal por el tema de la Protección de Datos. Aquí también quiero destacar que, al ser la Agencia un órgano adscrito al Ministerio de Justicia y Paz, hemos contado con el apoyo sólido de ministra Cecilia Sánchez Romero en el desarrollo de la PRODHAB.
Lo primero es conciencia a la gente. Tenemos que hacerles entender por qué existe la protección de datos y para qué sirve
A corto plazo, ¿cuáles son los retos de la Agencia de Protección de Datos?. Ya nos ha comentado que hay que incidir en la divulgación, pero, ¿y después?
Después tenemos el inicio de los procedimientos de oficio. Hasta la fecha la Agencia ha asumido una actitud bastante conciliadora, debido a mi perfil. Gran parte de mi experiencia profesional se ha centrado en el arbitraje comercial internacional y nacional y la conciliación, desde el punto de vista de la cultura norteamericana. Y eso ha influido.
Eso es un arte….
Pues sí. Pero ahora hay que quitarse el sombrero de abogado y empezar a trabajar con un poco de psicología, trabajo social y habilidades sociales. Yo asumí el proyecto de dirigir la Agencia de Protección de Datos desde esta perspectiva .
Lo primero es conciencia a la gente. Tenemos que hacerles entender por qué existe la protección de datos y para qué sirve. Y eso a nivel de la sociedad civil, de los empresarios y de las instituciones públicas. En esta labor hemos estado en estos últimos dos años y medio. Ahora, con el inicio de la campaña de medios, a finales de este año o principios del que viene, iniciaremos las acciones oficio.
Nos vamos a quitar el guante blanco y vamos a comenzar a llamar a las empresas y a las personas para que notifiquen sus bases de datos.
¿Se contemplan sanciones?
Sí, claro. Las sanciones son variables porque son acumulativas. Por ejemplo, en el caso de las empresas y las instituciones públicas que no hayan notificado, y teniendo en cuenta que esta notificación es exigible desde octubre de 2014, irían con dos años de multas acumuladas. Estamos hablando de sanciones que van entre los 70 y los 90.000 dólares. Estas son cantidades altísimas para algunos costarricenses.
Costa Rica también tiene incluida en la norma las brechas a la seguridad y aquí las sanciones son más altas. Podríamos hablar de sanciones de 666.000 euros.
¿Son muy parecidas a las sanciones que se aplican aquí, en España?
Pues sí. Costa Rica, desafortunadamente no es un país barato. A veces se nos va la mano.
Por último, ¿cómo valora iniciativas como el organizado por el Instituto Empresa y ECIJA sobre protección de datos en Iberoamérica?
Muy interesante. Ahora lo importante es saber qué vamos a hacer con los que tenemos. Esa es la parte más productiva.
