Datos biométricos y autodeterminación informativa en la Resolución N.º 029–2026–RF de la Prodhab de Costa Rica
La Prodhab establece que el TSE no puede comercializar datos biométricos de sus ciudadanos sin habilitación legal expresa, pero la resolución no está exenta de debilidades que conviene examinar.
Contributors:
María del Pilar López
Partner, Costa Rica
Eproint
Editor's note
En mayo de 2026, la Agencia de Protección de Datos de los Habitantes dictó la Resolución N.º 029–2026–RF, que declaró con lugar una denuncia interpuesta en diciembre de 2020 contra el Tribunal Supremo de Elecciones. El caso tardó más de cinco años en resolverse — circunstancia que por sí sola merece atención — y giró en torno a dos conductas: la consulta pública irrestricta de datos del Registro Civil en la plataforma web del TSE y la comercialización de datos biométricos mediante el sistema de verificación de identidad. La resolución ofrece criterios de interés para el derecho costarricense de protección de datos, pero también plantea interrogantes que no resuelve con la precisión necesaria.
El problema de la publicidad registral sin habilitación expresa
El TSE tiene atribuida constitucionalmente la función de llevar el Registro Civil y garantizar el proceso electoral (artículo 104 de la Constitución Política). Para ello recolecta y almacena datos personales de prácticamente toda la población. Durante años, parte de esa información — nombre, estado civil, lugar de votación, hijos registrados — estuvo disponible para consulta irrestricta en su plataforma web, bajo una interpretación amplia del principio de publicidad registral.
La Prodhab señaló un problema de fondo: ni el Código Electoral (Ley N.º 8765) ni ninguna norma especial determina con precisión qué datos del Registro Civil son de acceso irrestricto. En ausencia de esa habilitación, el artículo 9 de la Ley N.º 8968 resulta plenamente aplicable. Conforme al principio de legalidad que rige a la Administración pública, los entes estatales solo pueden hacer lo que la ley expresamente les autoriza; una resolución interna del propio TSE no puede suplir esa laguna.
La resolución también advirtió que ciertos campos aparentemente neutros pueden ser sensibles en función del contexto. La casilla de matrimonios puede revelar orientación sexual, dato sensible conforme al artículo 9 inciso 1 de la Ley N.º 8968. El lugar de votación permite inferir la dirección de residencia, excluida del acceso irrestricto. El enlistado de hijos puede exponer aspectos de la vida familiar. En combinación, estos datos construyen un perfil personal cuya difusión irrestricta carece de sustento normativo. La Sala Constitucional, desde la sentencia N.º 2000–01119, ha reiterado que los datos recolectados deben destruirse o limitarse una vez cumplido el fin que justificó su recolección; permitir su consulta indiscriminada contraviene ese mandato.
La comercialización del VID: un desvío de finalidad bien identificado
Desde 2015, el TSE opera el sistema VID, que permite a terceros — bancos, comercios, instituciones financieras — verificar la identidad de sus clientes mediante cotejo biométrico con la base de datos del Registro Civil. El servicio se ofrecía a título oneroso, mediante contratos con los interesados.
El TSE invocó el artículo 24 del Código Electoral, que le permite cobrar por el acceso electrónico con fines comerciales a su información. La Prodhab rechazó ese argumento respaldándose en el criterio N.º PGR–C–251–2021 de la Procuraduría General de la República, que concluyó expresamente que dicha norma no habilita la venta de datos biométricos, sino únicamente el cobro por servicios no esenciales dentro del respeto a la autodeterminación informativa. El propio artículo 24 prohíbe suministrar información confidencial, condición que los datos biométricos cumplen.
El argumento más sólido de la resolución es el desvío de finalidad. Los ciudadanos entregaron sus datos biométricos al TSE con un propósito constitucional específico: la identificación para el ejercicio del sufragio. El artículo 6 de la Ley N.º 8968 y el principio de correspondencia —reconocido también en la sentencia N.º 2008–017086 de la Sala Constitucional — exigen que el uso posterior de los datos sea coherente con la finalidad que justificó su recolección. Construir y monetizar una infraestructura de verificación biométrica al servicio de terceros privados excede ese fin de forma clara.
El punto débil: el consentimiento en el acto de verificación
Aquí la resolución enfrenta su mayor debilidad argumentativa, y conviene señalarla con honestidad.
El sistema VID no opera sobre el titular de forma oculta. Quien verifica su identidad es el propio sujeto de los datos: presenta voluntariamente su huella dactilar ante el tercero, es consciente del acto, y es el beneficiado directo de la transacción. La resolución trata esta situación casi como si se tratara de una recolección clandestina, cuando en realidad el titular participa activamente en cada verificación. Esto debilita el argumento sobre vulneración directa de datos sensibles en el momento del uso.
Sin embargo, hay un problema real que la Prodhab identifica, pero no desarrolla con suficiente precisión: el consentimiento informado que exige el artículo 5 de la Ley N.º 8968 no se agota en el consentimiento puntual del acto de verificación. Comprende el deber de informar previamente al titular sobre la existencia del sistema, su finalidad, los destinatarios de la información y el tipo de tratamiento que se aplicará. El ciudadano que ceduló nunca fue informado de que sus datos biométricos estarían disponibles en una plataforma comercial accesible a terceros privados, ni tuvo posibilidad de excluirse. La ausencia de esa información previa — y no el acto individual de poner el dedo — es la infracción al artículo 5.
La distinción importa jurídicamente. El consentimiento en el punto de uso no subsana la falta de información previa sobre la arquitectura del tratamiento. El Reglamento a la Ley N.º 8968 (Decreto N.º 37.554–JP), en sus artículos 27, 32, 34 y 35, exige además que toda entidad que trate datos cuente con protocolos mínimos de actuación y medidas de seguridad. El TSE no acreditó contar con ellos respecto al VID, ni había actualizado su inscripción ante la Prodhab para reflejar la existencia del sistema, a pesar de operar desde 2015, en violación al artículo 54 del mismo Reglamento. Estos incumplimientos formales son más fáciles de sostener que el argumento sobre vulneración en el acto de verificación.
Lo que queda pendiente
La resolución adolece de otras limitaciones que merecen señalarse. No determina cuáles datos concretos deben salir de la plataforma web del TSE: ordena un inventario, pero pospone la decisión de fondo. Tampoco se pronuncia sobre la situación jurídica de los contratos de VID ya vigentes ni sobre los datos transferidos bajo ese esquema, preguntas que generarán controversia en los meses siguientes.
La demora de más de cinco años en resolver se menciona casi de pasada, sin consecuencia institucional alguna. La eficacia de una autoridad de control no se mide solo por la solidez de sus resoluciones, sino también por su capacidad de actuar en tiempo útil. En ese aspecto, la Prodhab tiene una deuda pendiente que esta resolución no aborda.
Valoración general
La Resolución N.º 029–2026–RF consolida en el ordenamiento costarricense tres criterios que quedaban difusos en la práctica local: que los datos biométricos son datos sensibles bajo la Ley N.º 8968 aunque el legislador no los nombre expresamente; que el principio de finalidad opera como límite real frente a la reutilización comercial de datos recolectados con fines electorales; y que la publicidad registral requiere habilitación legal específica, no interpretación administrativa expansiva.
Sus argumentos más sólidos son el desvío de finalidad y la ausencia de información previa al titular. Su punto más vulnerable es la equiparación del uso del VID con una vulneración directa de datos sensibles, cuando el acto de verificación involucra la participación activa y voluntaria del propio titular. La resolución identifica el problema correcto — la arquitectura del sistema y la falta de transparencia sobre su existencia — pero no siempre lo fundamenta con la precisión que el punto exige.
Con esas salvedades, el cumplimiento de las órdenes dictadas representará un avance concreto en la protección de los datos personales de los habitantes de Costa Rica.

This content is eligible for Continuing Professional Education credits. Please self-submit according to CPE policy guidelines.
Submit for CPEs


