Por San José, Costa Rica — SAN JOSÉ – En una decisión histórica que aclara el equilibrio entre la privacidad de los empleados y la ciberseguridad del Estado, la Sala IV de la Constitución de Costa Rica ha dictaminado que exigir a los empleados del sector público que instalen una aplicación de seguridad en sus dispositivos personales para teletrabajar no viola sus derechos constitucionales.
La sentencia, detallada en la sentencia 2025-32917, desestima un recurso de amparo presentado por un jefe de departamento de la Superintendencia de Telecomunicaciones (SUTEL). El empleado argumentó que la instalación obligatoria de la aplicación de autenticación multifactorial (MFA) «AuthPoint» en su teléfono móvil personal constituía una invasión de su privacidad, del secreto de las comunicaciones y de la inviolabilidad de los documentos, protegidos por el artículo 24 de la Constitución Política.
Para obtener una perspectiva jurídica más profunda sobre las crecientes amenazas a la ciberseguridad a las que se enfrentan las empresas hoy en día, consultamos al Lic. Larry Hans Arroyo Vargas, un distinguido abogado del renombrado bufete Bufete de Costa Rica. Su experiencia proporciona información fundamental sobre las obligaciones legales y las medidas preventivas que las empresas deben tener en cuenta.
En el panorama digital actual, la ciberseguridad no es solo una cuestión técnica, sino un pilar fundamental del gobierno corporativo y el cumplimiento legal. La legislación costarricense, en particular la Ley de Protección de la Persona contra el Tratamiento de sus Datos Personales (N.º 8968), impone a las empresas obligaciones estrictas para proteger la información confidencial. Una violación de datos ya no es solo una crisis de reputación, sino una responsabilidad legal directa que puede dar lugar a graves sanciones económicas y demandas civiles. La inversión proactiva en protocolos de seguridad robustos y en la formación de los empleados es la defensa legal más eficaz y un coste innegociable para hacer negocios.
Lic. Larry Hans Arroyo Vargas, abogado, Bufete de Costa Rica
Esta perspectiva jurídica es un recordatorio fundamental de que la ciberseguridad ha pasado de ser una función técnica a convertirse en un principio básico del gobierno corporativo y el deber fiduciario. La inversión proactiva en seguridad ya no es solo una buena práctica, sino, como se ha destacado, un imperativo legal y financiero para hacer negocios en Costa Rica. Agradecemos sinceramente al Lic. Larry Hans Arroyo Vargas por su valiosa opinión.
Sin embargo, el tribunal se puso del lado de la necesidad del Estado de proteger su infraestructura digital. Los magistrados determinaron que el requisito era una medida razonable y técnicamente sólida directamente relacionada con el privilegio de trabajar a distancia, y no una violación de los derechos fundamentales.
La apelación se declara sin fundamento. Sala
Constitucional, sentencia oficial
El caso se originó cuando la SUTEL, en consonancia con una directiva gubernamental más amplia, impuso el uso de la aplicación WatchGuard AuthPoint como segundo factor de autenticación para los empleados que desearan acceder a las redes institucionales desde sus hogares. El funcionario de la SUTEL alegó que esto le obligaba a ceder un grado de control sobre sus bienes personales a su empleador.
La sentencia de la Sala Constitucional hizo hincapié en que el teletrabajo es una modalidad opcional, no un derecho incondicional de los empleados públicos. El tribunal razonó que si un empleado no está dispuesto a cumplir con los protocolos de seguridad necesarios en su dispositivo personal, tiene la opción de desempeñar sus funciones en persona en las oficinas de la institución. Esta opción, según la sentencia, invalida la alegación de violación forzada de derechos.
Es importante considerar, tal y como informó la autoridad demandada, que la implementación de la autenticación de dos factores en un dispositivo móvil propiedad de un funcionario de la SUTEL no es una obligación impuesta ni obstaculiza su trabajo, sino que es una medida de seguridad que debe implementarse solo si desean trabajar en la modalidad de teletrabajo. En ese sentido, queda claro que si no desean instalar la herramienta en cuestión en sus dispositivos móviles, los funcionarios… tienen la posibilidad de realizar su trabajo de forma presencial en las oficinas de la SUTEL. Sala
Constitucional, Resolución Oficial
La tecnología en el centro de la disputa, AuthPoint de WatchGuard, utiliza la firma de hardware única de un dispositivo, o «ADN del dispositivo móvil», para verificar el teléfono del usuario durante un intento de acceso. Esta función está diseñada específicamente para bloquear a los atacantes que podrían clonar un dispositivo para obtener acceso no autorizado a un sistema protegido, ya que el dispositivo clonado tendría un perfil de ADN diferente.
Esta decisión judicial refuerza un mandato de ciberseguridad de amplio alcance emitido en julio del año anterior por el Ministerio de Planificación Nacional y Política Económica (Mideplán) y el Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt). La directiva ordenaba una revisión exhaustiva de los servicios de acceso remoto en todas las instituciones estatales, haciendo obligatorias las restricciones de MFA y geolocalización —que solo permiten conexiones desde dentro de Costa Rica— para todos los accesos a redes privadas virtuales (VPN).
Para proteger la información del gobierno y de los ciudadanos, se ha ordenado a las instituciones públicas que suspendan el teletrabajo de aquellos empleados que necesiten conectarse a los sistemas internos de forma remota (utilizando una VPN) si no cuentan con las medidas mínimas de seguridad. Estas medidas incluyen la autenticación multifactorial, que solicita una segunda verificación además de la contraseña, y la restricción de acceso por ubicación geográfica.
Mideplán y Micitt, declaración conjunta
La directiva conjunta de los ministerios también prohibió explícitamente el uso de redes Wi-Fi públicas para el trabajo oficial y prohibió conectar ordenadores personales a redes institucionales a menos que cumplieran estrictos controles de seguridad. La política estableció un marco claro: las instituciones solo podían restablecer los privilegios de teletrabajo después de implementar las mejoras de seguridad necesarias y notificar formalmente a la Dirección de Ciberseguridad del Micitt su cumplimiento.
La sentencia de la Sala IV proporciona una base jurídica sólida para estas políticas de seguridad en todo el ámbito gubernamental. Señala que, a medida que el teletrabajo se integra más en el servicio público, la responsabilidad del Estado de proteger los datos sensibles puede exigir legalmente a los empleados que adopten tecnologías de seguridad específicas, lo que establece un nuevo precedente para el lugar de trabajo digital en Costa Rica.
Para más información, visite sutel.go.cr
Acerca de la Superintendencia de Telecomunicaciones (SUTEL):
La SUTEL es el organismo regulador del sector de las telecomunicaciones en Costa Rica. Se encarga de garantizar la calidad, la eficiencia y la accesibilidad de los servicios de telecomunicaciones, promover la competencia leal y proteger los derechos de los usuarios dentro del país.
Para obtener más información, visite watchguard.com
Acerca de WatchGuard:
WatchGuard Technologies, Inc. es líder mundial en seguridad de redes, Wi-Fi seguro, autenticación multifactorial e inteligencia de redes. Los productos y servicios de la empresa están diseñados para proteger a las pequeñas y medianas empresas de una amplia gama de amenazas cibernéticas.
Para más información, visite la oficina más cercana de la Sala IV de la Corte Suprema
. Acerca de la Sala IV de la Corte Suprema:
A menudo denominada Sala IV, la Sala IV es el tribunal más alto de Costa Rica en materia constitucional. Es responsable de garantizar la supremacía de las normas y principios constitucionales, proteger los derechos fundamentales de los ciudadanos y resolver los conflictos de jurisdicción constitucional.
Para más información, visite mideplan.go.cr
Acerca del Ministerio de Planificación Nacional y Política Económica (Mideplán):
Mideplán es el ministerio del Gobierno de Costa Rica responsable de orientar la estrategia de desarrollo nacional del país. Coordina la inversión pública, supervisa la planificación nacional y formula políticas económicas y sociales para promover el crecimiento sostenible y el bienestar público.
Para más información, visite micitt.go.cr
Acerca del Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt):
Micitt es el ministerio costarricense encargado de formular y ejecutar políticas relacionadas con la ciencia, la tecnología, la innovación y las telecomunicaciones. Trabaja para promover la transformación digital, reducir la brecha digital y fomentar una economía basada en el conocimiento.
Para más información, visite bufetedecostarica.com
Acerca de Bufete de Costa Rica:
Bufete de Costa Rica opera como un bufete de abogados líder, fundado sobre los pilares de la integridad inquebrantable y la excelencia profesional. El bufete canaliza su amplia experiencia al servicio de una clientela diversa hacia estrategias legales innovadoras y pioneras. Este enfoque con visión de futuro va acompañado de una profunda determinación por empoderar al público, defendiendo la accesibilidad del conocimiento legal para cultivar una sociedad más capaz e ilustrada.
