La discusión surgida alrededor de la resolución N.º 029-2026-RF de la Agencia de Protección de Datos de los Habitantes (PRODHAB) ha generado un debate jurídico de enorme relevancia para Costa Rica. Más allá de la polémica política o institucional, el caso refleja un fenómeno mucho más profundo: la tensión entre los modelos tradicionales de publicidad registral del Estado y los estándares contemporáneos de protección de datos personales y privacidad digital.
El Tribunal Supremo de Elecciones (TSE) ha defendido históricamente el carácter público de ciertos datos contenidos en el Registro Civil, así como la legalidad del sistema de verificación de identidad biométrica utilizado por distintas entidades públicas y privadas. Parte importante de su defensa se ha concentrado en afirmar que los datos biométricos no son “vendidos”, sino únicamente utilizados para validar identidades mediante el sistema VID. Sin embargo, el principal problema jurídico del debate parece no estar únicamente en la existencia o no de comercialización de datos sensibles. La cuestión central es otra: si el ciudadano otorgó consentimiento informado para que información biométrica recopilada originalmente con finalidades registrales y electorales sea posteriormente utilizada dentro de mecanismos de autenticación para terceros.
Precisamente ahí radica una de las principales fortalezas del fallo de la PRODHAB. Resulta razonable exigir que exista claridad sobre qué datos privados se recopilan, con qué finalidad serán utilizados, quiénes podrán acceder a ellos y cuáles usos adicionales podrían derivarse de esa información. En materia biométrica, este estándar debería ser todavía más riguroso debido al carácter permanente e irreversible de dichos datos. Una contraseña comprometida puede modificarse; una huella digital o un patrón facial no.
La lógica contemporánea de protección de datos personales exige además respetar el principio de finalidad específica. Por ende, toda información recopilada para un propósito determinado no debería utilizarse posteriormente para cualquier finalidad sin una habilitación jurídica clara o sin consentimiento informado suficiente. Desde esa perspectiva, la posición de la PRODHAB parece alinearse con la evolución moderna del derecho a la privacidad.
El fundamento convencional de esta protección se encuentra principalmente en el artículo 11 de la Convención Americana sobre Derechos Humanos, el cual establece que nadie puede ser objeto de injerencias arbitrarias o abusivas en su vida privada, su familia, su domicilio o su correspondencia y que toda persona tiene derecho a la protección de la ley contra esas injerencias. A partir de esa disposición, la Corte Interamericana ha sostenido reiteradamente que la protección de la vida privada comprende también el control que toda persona debe conservar sobre información concerniente a sí misma. Asimismo, ha señalado que el tratamiento público de información sensible privada requiere criterios estrictos de legalidad, necesidad y proporcionalidad.
Aunque la Corte IDH no ha resuelto todavía un caso idéntico al sistema biométrico del TSE, sí ha construido una línea jurisprudencial que reconoce que ciertos datos merecen una protección reforzada debido a su potencial de afectar profundamente la dignidad, autonomía y privacidad de las personas.
Esa lógica también ayuda a comprender otro aspecto relevante de la resolución de la PRODHAB: la necesidad de revisar cuáles datos continúan siendo razonablemente accesibles de manera irrestricta desde plataformas estatales. El problema actual ya no consiste únicamente en si un dato aislado es “público”, sino en la capacidad tecnológica de correlacionar múltiples datos para generar inferencias sobre la vida privada de las personas. Información como dirección electoral, relaciones familiares, estado civil o vínculos registrales puede permitir identificar patrones de residencia, composición familiar y otros aspectos sensibles de la vida personal. La solicitud de la PRODHAB para valorar qué datos siguen siendo necesarios y proporcionales dentro de esquemas de acceso público no parece arbitraria, sino compatible con los desafíos modernos de privacidad digital.
Además, debe recordarse que los efectos del fallo poseen una naturaleza principalmente preventiva y ex nunc. La resolución no parece orientada a invalidar retroactivamente todas las actuaciones históricas del TSE ni a desconocer de manera absoluta el funcionamiento previo del sistema registral y biométrico estatal. Más bien, la lógica de la resolución parece dirigirse a exigir ajustes futuros en el tratamiento de datos sensibles conforme a estándares contemporáneos de protección de derechos fundamentales y prevención de riesgos. Esa dimensión preventiva resulta especialmente importante debido a los riesgos asociados a eventuales filtraciones de información biométrica. Precisamente porque estos datos son permanentes e irreversibles, el deber estatal de resguardo debe ser considerablemente mayor.
En consecuencia, también corresponde al propio Estado y a las instituciones públicas desarrollar regulaciones más robustas sobre protocolos de acceso, trazabilidad de consultas, ciberseguridad, consentimiento informado, responsabilidades funcionales y consecuencias jurídicas derivadas de filtraciones o usos indebidos de datos sensibles. Costa Rica sí cuenta con disposiciones generales en la Ley N.º 8968 de Protección de la Persona frente al Tratamiento de sus Datos Personales, pero carece de una regulación sobre biometría estatal, brechas masivas de seguridad, notificación obligatoria de filtraciones y mecanismos específicos de reparación frente a vulneraciones de identidad digital.
El fallo de la PRODHAB busca equilibrar las capacidades del Estado con el derecho de los ciudadanos a su privacidad. El verdadero desafío jurídico no consiste en determinar si el Estado puede utilizar herramientas biométricas, sino en definir la regulación progresiva del tratamiento de datos con el fin de tutelar la privacidad y la autodeterminación informativa de las personas.