La huella dactilar que desbloquea el teléfono cada mañana. El iris que autoriza el acceso al sistema bancario. El mapa tridimensional del rostro que una cámara aeroportuaria coteja en fracción de segundo contra una base de datos. En todos esos actos cotidianos y aparentemente inocuos se produce algo que el derecho contemporáneo apenas comienza a dimensionar con la seriedad que merece: la captura, el procesamiento y la conservación de datos que son, en el sentido más literal de la expresión, parte constitutiva del cuerpo humano.
Índice
El cuerpo como dato: la naturaleza irreversible del riesgo biométrico
El vacío normativo costarricense: cuando la ley llega tarde a su propio futuro
La Sala Constitucional y los datos biométricos: avances con límites
El reconocimiento facial en espacios públicos: la frontera que Costa Rica no ha trazado
¿Qué debería hacer Costa Rica?
Los datos biométricos —las huellas dactilares, el reconocimiento facial, la geometría de la mano, la voz, la retina, el patrón venoso— no son datos personales ordinarios. Esta afirmación, que podría parecer una distinción meramente técnica, tiene consecuencias jurídicas de primera magnitud. Una contraseña olvidada se cambia. Un número de tarjeta comprometido se cancela y se emite uno nuevo. Pero el rostro, la huella, el iris: esos no se reemplazan. Son permanentes, son únicos y, una vez que han sido capturados sin las garantías adecuadas, la vulnerabilidad que generan es irreversible. De ahí que el derecho a la autodeterminación informativa adquiera, cuando se proyecta sobre los datos biométricos, una dimensión radicalmente diferente a la que tiene frente a cualquier otro tipo de información personal.
El cuerpo como dato: la naturaleza irreversible del riesgo biométrico
Conviene precisar que la singularidad jurídica de los datos biométricos no radica solo en su vinculación íntima con la persona, sino en la combinación de tres propiedades que ningún otro tipo de dato personal reúne simultáneamente: permanencia (no cambian a lo largo de la vida del titular), universalidad (toda persona los posee, sin excepción posible) e identificabilidad directa (permiten identificar a una persona con un margen de error que los sistemas más avanzados reducen a valores prácticamente nulos).
A estas propiedades debe añadirse una cuarta, quizás la más perturbadora desde la perspectiva jurídica: la posibilidad de captura no consentida a distancia. Una contraseña solo puede obtenerse si se la revela o se la descifra. Una firma solo puede reproducirse con acceso directo al documento. Pero el rostro puede ser capturado por cualquier cámara en cualquier espacio público, sin que el titular lo sepa, lo consienta o pueda impedirlo. Esta asimetría radical entre la capacidad de captura tecnológica y la posibilidad de resistencia del titular es lo que convierte a los datos biométricos en una categoría que requiere protección reforzada y, más específicamente, en una categoría que no puede ser tratada bajo el régimen ordinario del simple consentimiento.
El vacío normativo costarricense: cuando la ley llega tarde a su propio futuro
Pese a ello, el marco normativo costarricense presenta en esta materia una brecha estructural que no puede ignorarse. La Ley N.° 8968 de Protección de la Persona frente al Tratamiento de sus Datos Personales, promulgada en 2011 sobre el modelo de la legislación española de 1999, incluye los datos biométricos dentro del concepto de 'datos sensibles' junto con el origen racial, las opiniones políticas, las convicciones religiosas, la condición socioeconómica, la información biomédica o genética, y la vida y orientación sexual. Esta inclusión es correcta en su punto de partida, pero insuficiente en su desarrollo. La Ley 8968 no establece restricciones específicas para el tratamiento de datos biométricos más allá de las aplicables a la categoría general de datos sensibles, ni contempla prohibiciones expresas para usos particulares —como el reconocimiento facial en espacios públicos—, ni exige medidas de seguridad diferenciadas en atención a la naturaleza irreversible del riesgo.
Esta insuficiencia normativa contrasta con la evolución que ha experimentado el derecho comparado. El Reglamento General de Protección de Datos de la Unión Europea (RGPD, Reglamento UE 2016/679), en su artículo 9, categoriza los datos biométricos tratados con el fin de identificar de manera unívoca a una persona física como categoría especial de datos que, como regla general, no pueden ser objeto de tratamiento. La excepción a esa prohibición requiere no solo el consentimiento explícito del interesado, sino que ese consentimiento sea para uno o varios fines específicos, y que no exista una disposición del derecho de la Unión o de los Estados miembros que prohíba levantar tal prohibición. Esta arquitectura normativa —prohibición como regla, excepción como supuesto tasado y exigente— es radicalmente distinta a la arquitectura costarricense, que parte del consentimiento informado como regla general sin establecer para los datos biométricos un umbral de protección sustancialmente superior.
A lo cual debe añadirse que la obligación de aproximarse a los estándares más exigentes no es, para Costa Rica, una mera aspiración de política legislativa. La Ley N.° 8919 de 2011 ratificó el Acuerdo de Diálogo Político y Cooperación entre la Comunidad Europea y Centroamérica, cuyos artículos 35.1 y 58 comprometen expresamente a las partes a «promover las normas internacionales más estrictas» en materia de protección de datos y a «dar un elevado nivel de protección al tratamiento de datos personales, compatible con las más estrictas normas internacionales». Esta obligación convencional, con rango supralegal conforme al artículo 7 de la Constitución Política, convierte la brecha normativa en materia biométrica en un incumplimiento no solo de buenas prácticas, sino de compromisos jurídicos internacionales vigentes.
La Sala Constitucional y los datos biométricos: avances con límites
No hemos dejado de advertir que la Sala Constitucional ha abordado de manera específica la legitimidad del tratamiento de datos biométricos en el contexto de la seguridad pública. En el Voto 28348-2021, el Tribunal Constitucional validó la toma de datos biométricos para el ingreso a centros penales, reconociendo la existencia de un interés público legítimo que justificaba la limitación del derecho a la autodeterminación informativa. Esta resolución es relevante no solo por su resultado, sino por la metodología que emplea: la Sala no admite la restricción del derecho por el solo hecho de que exista un interés público, sino que exige que esa restricción esté contenida en ley formal, sea razonable y proporcional al fin perseguido, y respete el contenido esencial del derecho.
Sin embargo, la validación constitucional de un uso específico y circunscrito —la identificación de personas privadas de libertad en el ingreso a un centro penal— no puede extrapolarse, sin más, a la legitimidad del reconocimiento facial masivo en espacios públicos. La diferencia no es de grado: es cualitativa. El sujeto recluido en un centro penal se encuentra en una situación de sujeción especial que el ordenamiento reconoce y regula. El ciudadano que transita por un espacio público está ejerciendo, precisamente, el núcleo de su libertad. Extender a ese segundo contexto la lógica validada por el Voto 28348-2021 implicaría una inversión de los presupuestos constitucionales del derecho a la autodeterminación informativa que, estimamos, no encuentra sustento en el ordenamiento vigente.
El reconocimiento facial en espacios públicos: la frontera que Costa Rica no ha trazado
Es en el ámbito del reconocimiento facial en espacios públicos donde la ausencia de regulación específica resulta más preocupante. En la actualidad, sistemas de vigilancia basados en reconocimiento facial operan en aeropuertos, estadios, centros comerciales, transporte público y espacios urbanos en múltiples países, incluidos varios de la región latinoamericana. Costa Rica no es ajena a esta tendencia. La pregunta que el ordenamiento costarricense no responde con claridad es si ese despliegue tecnológico puede realizarse sobre la base del marco jurídico actual o si requiere una habilitación legal específica.
Estimamos que la respuesta correcta es la segunda. El reconocimiento facial en espacios públicos implica el tratamiento masivo de datos biométricos de personas que no han prestado consentimiento alguno, que en muchos casos no conocen que están siendo identificadas, y que no pueden eludir ese tratamiento sin renunciar a circular libremente por el espacio público. Esta configuración es incompatible con el principio de consentimiento informado que articula la Ley 8968, y no encuentra tampoco acomodo en ninguna de las excepciones tasadas que la propia Ley establece. La consecuencia es que, en el estado actual del ordenamiento, el despliegue de sistemas de reconocimiento facial en espacios públicos sin habilitación legal específica, sin evaluación de impacto previa y sin supervisión de la PRODHAB carece de base jurídica suficiente.
¿Qué debería hacer Costa Rica?
Sobra señalar que la respuesta no puede ser la prohibición total e indiscriminada de toda tecnología biométrica. Los datos biométricos tienen usos legítimos, valiosos y en algunos casos indispensables: la verificación de identidad en acceso a servicios financieros, la autenticación en dispositivos personales, la identificación en contextos de seguridad pública regulados y supervisados. El objetivo de la política legislativa no es eliminar la tecnología, sino someterla a un marco jurídico que garantice que su uso respeta los derechos fundamentales de las personas.
En ese orden de ideas, una regulación adecuada debería contemplar al menos los siguientes elementos: la calificación de los datos biométricos como categoría especial con régimen de tratamiento reforzado —no meramente como subespecie de datos sensibles—; la prohibición expresa, con excepciones tasadas y sujetas a control previo, del reconocimiento facial masivo en espacios públicos; la obligación de realizar una Evaluación de Impacto en Protección de Datos antes de implementar cualquier sistema biométrico; y el establecimiento de plazos máximos de conservación diferenciados, con destrucción certificada una vez cumplida la finalidad. Mientras esa reforma no llegue —y conviene ser realistas sobre la velocidad del proceso legislativo costarricense—, el operador jurídico cuenta al menos con el argumento convencional de la Ley 8919 y con los principios constitucionales del Voto 4847-1999 para construir una defensa de los titulares afectados.
Si desea conocer más de la Protección de Datos puede seguirnos en nuestras redes sociales como Officium Legal. También puede suscribirse a nuestro Newsletter para recibir nuestras últimas noticias y artículos de primera mano.
