La Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales y su reglamento vienen a crear, además de un cambio en el uso habitual de los datos personales, una obligación de todas las personas físicas o jurídicas, públicas o privadas, que tienen bases de datos personales.
Esa normativa tutela el derecho fundamental a la autodeterminación informativa (o protección de datos personales), consistente en proteger toda aquella información personal de un individuo, permitiéndole disponer de su información y decidir quién puede tratarla, acceder a ella, así como determinar la finalidad con la que se utiliza.
Este derecho fundamental no es irrestricto. Puede ser limitado de manera proporcional y razonable, entre otros, cuando se deba garantizar la seguridad del Estado, la seguridad y ejercicio de la autoridad pública, para la prevención, persecución, investigación, detención y reprensión de las investigaciones penales, y cuando exista normativa particular que así lo disponga. Lo anterior no implica que se permita una inobservancia del derecho a la autodeterminación informativa o una violación de este, pues, según lo contempla la ley, tal limitación debe respetar los principios de proporcionalidad y razonabilidad.
Asimismo, como esos supuestos parten de una situación predeterminada en la norma, la información solamente puede ser utilizada para la finalidad que justificó ese trato diferenciado. En efecto, el tratamiento que se le dé a la información cuando esté presente uno de los supuestos de excepción, debe ser conforme con el objetivo perseguido en la norma que crea la limitación. Por ejemplo, si la legislación permite que se limite el derecho a la autodeterminación informativa para la persecución de un delito, los datos personales pueden utilizarse única y exclusivamente para ello, y no puede dársele un uso distinto.
Ante el caso de Keylor Navas, en el cual el OIJ y la Fiscalía reconocieron que varios funcionarios realizaron múltiples consultas en la base de datos que administra la Policía Judicial para obtener información del jugador, vale la pena preguntarse si estamos ante una situación de excepción, o bien, si existió un uso distinto de la información. El tratamiento de los datos que realizan esas instituciones para la persecución, prevención y reprensión de un delito se encuentra dentro de las limitaciones al derecho a la protección de datos personales que prevé la norma, por lo que se encuentran autorizadas única y exclusivamente para tratar esa información en busca de tales objetivos.
De demostrarse que se accedió a los datos para una finalidad distinta, su uso sería ilegítimo, y la conducta, además de desplegar consecuencias penales, civiles y disciplinarias, podría generar también consecuencias administrativas como multas o llamadas de atención, según determine la Agencia de Protección de Datos de los Habitantes.