El Delegado de Protección de Datos Personales en Costa Rica

Marzo 17/2024 – Por Juan Esteban Durango

Oficial de protección de datos personales o Delegado de protección de datos personales en Costa Rica.

El Delegado de protección de datos personales (DPD) es un rol que ha venido adquiriendo presencia en las empresas de Costa Rica pese a no ser un requisito estipulado en la Ley de Protección de la Persona frente al tratamiento de sus datos personales No 8968 (Ley 8968). En la actualidad, a nivel internacional la designación de un DPD que también es llamado Oficial de protección de datos personales (OPD), profesional de la privacidad o Data Protection Officer (DPO), puede ser facultativa u obligatoria, dependiendo de la jurisdicción y de la normativa aplicable.

El DPD es la persona vinculada al Responsable que se encarga de velar por la protección de los datos personales que custodia, gestiona y trata dicho Responsable. Las responsabilidades y funciones del DPD deben dirigirse a priorizar los derechos, garantías e intereses del titular de los datos personales sobre los intereses económicos o institucionales del Responsable, en consecuencia, el DPD al colocar en el centro los derechos del interesado, garantiza a su vez la minimización de los riesgos legales, las sanciones y previene las crisis reputacionales del Responsable.

La figura del DPD se remonta a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, del 24 de octubre de 1995, normativa que reconoció la figura expresamente en su artículo 18 y por el cual se estableció su designación de forma opcional para el Responsable. Fue en el Reglamento General de Protección de Datos del 27 de abril de 2016 (RGP) que el Delegado de Protección de Datos Personales se convirtió en requisito obligatorio para Responsables y Encargados bajo algunos supuestos, como por ejemplo cuando: el tratamiento sea realizado por autoridad y organismo público; se den tratamientos de datos personales que exijan la observación habitual y sistemática de personas a gran escala; se den tratamientos de datos personales a gran escala de categorías especiales de datos personales (datos sensibles) y datos relativos a condenas e infracciones penales. Derivado de lo anterior, será el legislador de cada país dentro de la Unión Europea quienes deberán cumplir con este requisito, por ejemplo en España, los Responsables o Encargados obligados de designar un DPD son: los colegios profesionales, los centros de enseñanza, los prestadores de servicios de comunicaciones electrónicas, los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio, las entidades supervisadas de crédito; los establecimientos financieros; las aseguradoras y reaseguradoras; las empresas de inversión reguladas, los distribuidores de energía eléctrica y los distribuidores de gas natural; las agencias de publicidad y prospección comercial, investigación comercial y de mercados; los centros de salud, entre otras organizaciones y entidades obligadas.

En nuestra región, países como Panamá, Colombia o México, han desarrollado normativa para establecer las condiciones y requisitos para designar una persona encargada de la protección de datos personales por parte del Responsable, detallando además en la normativa, las funciones y deberes que este rol deberá cumplir dentro de la organización.

¿Es obligatorio en Costa Rica designar un Delegado de Protección de Datos Personales?

La Ley 8968 no establece de forma expresa la obligación o facultad del Responsable en Costa Rica de designar un DPD o profesional encargado del cumplimiento en materia de protección de datos personales, es un nombramiento que en la actualidad se restringe a la voluntad del Responsable del tratamiento.

No obstante, con el fin de adecuarse el país a los principales instrumentos internacionales en protección de datos personales, actualmente se tramita en la Asamblea Legislativa el Proyecto de Ley 23.097 “Ley de Protección de Datos Personales”, el cual en su artículo 48 establece que en cumplimiento del principio de responsabilidad proactiva y cuando lo estime conveniente, el Responsable podrá designar a un oficial de protección de datos personales, detallando esta nueva propuesta normativa además, las funciones y responsabilidades de esta persona dentro de la organización.

Por la naturaleza de su rol, el DPD deberá contar con amplios conocimientos legales en materia de protección de datos personales, que en el caso de Costa Rica incluye las normas constitucionales, la Ley 8968 y su Reglamento, la jurisprudencia relativa a la autodeterminación informativa, intimidad, privacidad y protección de datos personales, así como cualquier otra norma legal que de manera especial limite el derecho fundamental a la autodeterminación informativa, como es el caso de la regulación del sector financiero, los servicios de salud pública, la seguridad nacional y la materia tributaria, entre otras. También deberá tener conocimiento y experiencia en seguridad de la información, así como habilidades patra trabajar con profesionales del área de ciberseguridad o seguridad de la información.

En cuanto a su posición dentro de la organización del Responsable, la normativa internacional ha establecido que debe garantizarse la independencia del DPD y que éste directamente reportará a la Junta Directiva de la organización, ya que para evitar potenciales conflictos de intereses no podrá recibir instrucciones de ninguna otra área, similar disposición se sigue en el mencionado Proyecto de Ley 23.097. Asimismo, el Responsable deberá dotar al DPD de los recursos necesarios para poder cumplir su doble propósito, proteger los derechos y garantías de las personas respecto a los datos personales tratados por el Responsable y cooperar con el Responsable para el cumplimiento del marco legal.

El Oficial de protección de datos personales, es de gran utilidad en la implementación de las diferentes medidas y el cumplimiento de las obligaciones y deberes que la Ley 8968 impone a los Responsables y Encargados del tratamiento de datos personales en Costa Rica, así mismo para darle continuidad y mejora al programa de cumplimiento en la materia. En tal razón, se observa en el país una creciente tendencia en entidades financieras, multinacionales o empresas que realizan tratamiento de datos personales sensibles, de manera sistemática o a gran escala, de contratar los servicios de un Delegado de Protección de Datos o designar a una persona interna para que cumpla sus funciones, ayudando al Responsable en el cumplimiento de la normativa vigente.

Conforme a lo exigido tanto por la Ley 8968 como por su Reglamento, la persona profesional en protección de datos vinculada a un Responsable, podrá colaborar en las siguientes funciones:

  1. Atender las solicitudes de ejercicio de derechos del titular de datos personales.
  2. Asesorar al Responsable en el cumplimiento de las medidas establecidas en la Ley 8968 y su Reglamento.
  3. Intervenir en representación del Responsable, ante las reclamaciones que presentan los titulares de datos personales en la Agencia de Protección de Datos Personales de los Habitantes (PRODHAB).
  4. Realizar y mantener actualizado un inventario y descripción detallada de los tipos de tratamientos de datos realizados por la organización.
  5. Realizar y conservar los consentimientos informados brindados por los titulares de datos personales al Resposable.
  6. Redactar y gestionar los contratos con los Encargados del tratamiento de datos personales, con los corresponsables y con aquellos terceros destinatarios de transferencias de datos personales.
  7. Gestionar las relaciones con los Encargados de tratamiento de datos para asegurarse del cumplimiento de los deberes y obligaciones establecidos en el contrato de encargo de tratamiento.
  8. Ayudar al Responsable del tratamiento de datos personales a confeccionar e implementar los protocolos mínimos de actuación, los cuales podrán incluir: análisis de riesgos, medidas de seguridad implementadas por la organización, políticas internas, estándares de protección aplicadas a los datos personales, manuales de privacidad, códigos de conducta, procedimientos de control interno, manual de capacitación, actualización y concientización del personal.
  9. Crear y gestionar un protocolo de comunicación a los titulares de los datos personales, en caso de ser necesario de informarles de alguna vulnerabilidad de la seguridad que haya afectado sus datos personales.
  10. Velar por que las transferencias de datos personales cumplan con los requisitos establecidos tanto en la Ley 8968 como en su Reglamento.

Las dinámicas actuales de la economía digital y el desarrollo de tecnologías como Blockchain, Inteligencia Artificial, IoT o la facilidad de contratar infraestructura en la nube y alta capacidad de cómputo, les permite a las empresas realizar tratamiento de datos personales de forma masiva, cada vez más automatizado y con resultados más precisos, aumentando los riesgos de vulnerar los derechos de los titulares de los datos personales. Por su parte, la normativa legal en la materia eleva sus niveles de exigencia abriendo paso en la organización al nuevo rol del profesional en protección de datos personales, quien estará a cargo de proteger los derechos y garantías legales de las personas, así como los intereses del Responsable.

Publicaciones relacionadas: