La protección de datos personales en Costa Rica se regula a través de la Ley 8968 – Protección de la Persona frente al tratamiento de sus datos personales y el correspondiente Reglamento a la Ley de Protección de la Persona frente al Tratamiento de sus Datos Personales N° 37554-JP.

Dicha ley busca garantizar a cualquier persona el derecho a la autodeterminación informativa, el cual es considerado por nuestro ordenamiento un Derecho Fundamental y que se considera una ampliación del Derecho a la privacidad e intimidad consagrado en el artículo 24 de la Constitución Política.

Antes de promulgarse la Ley 8968 en septiembre del año 2011, previamente ya la Sala Constitucional había establecido jurisprudencia en la que desarrolló el derecho fundamental a la Autodeterminación Informativa, fue en la sentencia 08-10019 del 17 de junio del 2008 en la que se determino que la Autodeterminación Informativa es:

• El Derecho de toda persona a conocer lo que conste sobre ella, sus bienes o derechos en cualquier registro o archivo, de toda naturaleza, incluso mecánica, electrónica o informatizada, sea pública o privada.
• El Derecho a conocer la finalidad a que esa información se destine y a que sea empleada únicamente para dicho fin.
• El Derecho a estar informado del procesamiento de los datos junto con el derecho de acceso, corrección o eliminación en el caso que se le cause un perjuicio ilegítimo.
• El Derecho a que la información sea rectificada, actualizada, complementada o suprimida, cuando la misma sea incorrecta o inexacta, o esté siendo empleada para fin distinto del que legítimamente puede cumplir.

De igual forma, esta sentencia de la Sala desarrolló unos principios básicos a través de los cuales se construye el derecho a la Autodeterminación Informativa, dichos principios son:

• Transparencia.
• Correspondencia entre los fines y el uso de almacenamiento de los datos.
• Exactitud, veracidad, actualidad y plena identificación de los datos guardados.
• Prohibición del procesamiento de datos relativos a la esfera íntima, por parte de entidades no expresamente autorizadas para ello; y de todos modos, el uso que la información se haga debe acorde con lo que con ella se persigue.

Lo establecido por la Sala Constitucional y posteriormente en la Ley de Protección de Datos en el 2011, fue la respuesta del ordenamiento jurídico para proteger a las personas de una realidad tecnológica en la cual comenzó a predominar la automatización en el tratamiento de los datos personales.

Definiciones

Para entender e interpretar lo relativo a la materia de protección de datos personales, la Ley 8968 y su Reglamento definieron una lista de conceptos importantes, algunos de ellos se trascriben a continuación:

• Base de datos: cualquier archivo, fichero, registro u otro conjunto estructurado de datos personales, que sean objeto de tratamiento o procesamiento, automatizado o manuales, cualquiera que sea la modalidad de su elaboración, organización o acceso.
• Datos personales: cualquier dato relativo a una persona física identificada o identificable.
• Datos personales de acceso irrestricto: los contenidos en bases de datos públicas de acceso general, según dispongan leyes especiales y de conformidad con la finalidad para la cual estos datos fueron recabados.
• Datos personales de acceso restringido: los que, aun formando parte de registros de acceso al público, no son de acceso irrestricto por ser de interés solo para su titular o para la Administración Pública.
• Datos sensibles: información relativa al fuero íntimo de la persona, como por ejemplo los que revelen origen racial, opiniones políticas, convicciones religiosas o espirituales, condición socioeconómica, información biomédica o genética, vida y orientación sexual, entre otros.
• Tratamiento de datos personales: cualquier operación o conjunto de operaciones, efectuadas mediante procedimientos automatizados o manuales y aplicadas a datos personales, tales como la recolección, el registro, la organización, la conservación, la modificación, la extracción, la consulta, la utilización, la comunicación por transmisión, difusión o cualquier otra forma que facilite el acceso a estos, el cotejo o la interconexión, así como su bloqueo, supresión o destrucción, entre otros.
• Consentimiento del titular de los datos personales: Toda manifestación de voluntad expresa, libre, inequívoca, informada y específica que se otorgue por escrito o en medio digital para un fin determinado, mediante la cual el titular de los datos personales o su representante, consienta el tratamiento de sus datos personales. Si el consentimiento se otorga en el marco de un contrato para otros fines, dicho contrato deberá contar con una cláusula específica e independiente sobre consentimiento del tratamiento de datos personales.
• Distribución, difusión: Cualquier forma en la que se repartan o publiquen datos personales, a un tercero, por cualquier medio siempre que medie un fin de comercializar el dato o medie el lucro con la base de datos.
• Encargado: Toda persona física o jurídica, entidad pública o privada, o cualquier otro organismo que da tratamiento a los datos personales por cuenta del responsable de la base de datos.
• Responsable: Toda persona física o jurídica, pública o privada, que administre o, gerencia o, se encargue o, sea propietario, de una o más bases de datos públicas o privadas, competente con arreglo a la Ley, para decidir cuál es la finalidad de la base de datos, cuáles categorías de datos de carácter personal deberán registrarse y qué tipo de tratamiento les aplicarán.

Principios y Derechos para la Protección de Datos Personales

Así mismo, la Ley de Protección de Datos Personales asentó además unos principios y derechos básicos para la protección de este derecho en Costa Rica, a grandes rasgos la ley refiere:

1.- Principio de Consentimiento informado: el cual impone las siguientes obligaciones al responsable de los datos:

• Informar al titular de los datos personales de manera previa, expresa, precisa e inequívoca, del tratamiento de datos y de las condiciones bajo las cuales se va a realizar este tratamiento de datos personales.
• Obtener el consentimiento expreso del titular de los datos para la recopilación de sus datos personales, este consentimiento deberá constar en escrito en un soporte físico o electrónico.

2.- Principio de calidad de la información: este principio establece que los datos personales recopilados por parte del responsable, deben ser actuales, veraces, exactos y adecuados al fin.

En cuanto a los derechos garantizados, la Ley 8968 otorga a todas las personas el derecho al acceso de sus datos personales, el derecho de rectificación o supresión de estos datos y el derecho a consentir la cesión de sus datos personales. Por lo tanto, el responsable de la recolección de los datos, deberá garantizar siempre a las personas el poder ejercer dichos derechos de una manera gratuita y en los plazos estipulados por la normativa.

Sanciones al incumplimiento de la Ley de Protección de Datos Personales en Costa Rica

La Ley establece faltas leves, faltas graves y faltas gravísimas para las personas o responsables que realizan un tratamiento de datos personales en contra de los principios y derechos consagrados en la Ley, siendo la multa mínima de cinco salarios base del cargo de auxiliar judicial I para faltas leves, es decir alrededor de ₡2,251.000 y una multa máxima de treinta salarios base para faltas gravísimas, alrededor de ₡13,506.000.

El ente encargado de resolver las denuncias interpuestas en esta materia, es la Agencia de Protección de Datos Prodhab, es ante ésta agencia que el titular de los datos podrá acudir a reclamar sus derechos en caso de que así lo requiera.

¿Qué regulaciones en Protección de Datos Personales existen a nivel Internacional?

Ya son muchos los países con regulación específica para la Protección de Datos Personales, es importante resaltar este punto porque en el mundo digitalizado que vivimos hoy día, cualquier actividad podría tener impacto en datos personales de ciudadanos de otros países, por ejemplo, un sitio web de reservaciones online para hospedajes en Costa Rica, lo más probable es que vaya a recopilar datos personales de ciudadanos de otros países, por lo tanto se debe tener este aspecto en cuenta y medir el impacto de este tratamiento de datos y desarrollar la estrategia adecuada para evitar riesgos en la privacidad de estos datos y evitar problemas legales con las autoridades de dichos países.

En la actualidad la regulación más destacada en esta materia es el Reglamento General de Protección de Datos de la Unión Europea (RGPD o GDPR en inglés). Este marco regulatorio busca proteger los derechos relativos a la protección de datos personales de 500 millones de ciudadanos europeos y aplica para todos los establecimientos europeos o fuera de Europa que realicen tratamiento de datos personales de ciudadanos la UE. Es decir, si usted es una empresa costarricense y desarrolla productos o servicios que van dirigidos a ciudadanos europeos y por consiguiente requiere realizar tratamiento de datos personales, deberá cumplir con este Reglamento, de lo contrarío se podría exponer a multas de millones de Euros o la prohibición de ofrecer sus servicios a personas o empresas en la UE.

¿Porqué es importante cumplir con las regulaciones en materia de protección de datos personales?

No son pocos los casos que se han conocido en que una empresa o una institución pública sufre fugas de datos personales de sus clientes o usuarios, basta mencionar en el país el Caso UPAD el cual ha traído importantes consecuencias para el gobierno costarricense, o el caso de la filtración del audio de la cliente de Tigo con el cual se le causo un gran daño a la víctima y a su vez a la reputación de la misma empresa responsable por mantener ese tipo de información segura. Por tal razón, es importante que los responsables de tratar datos personales se tomen en serio no solo el cumplimiento de la ley, sino la correcta gestión de la seguridad de la información para poder mantener seguros estos datos, solo así podrán minimizar el riesgo de millonarias multas y no ver afectada la reputación de su marca o la confianza de sus usuarios.

En GoLegal somos Abogados especialistas en Protección de Datos Personales,  brindamos consultoría legal y  acompañamiento jurídico en el desarrollo de su producto o servicio para que cumpla con lo establecido en la Ley de Protección de Datos no solo de Costa Rica, sino también en el Reglamento General de Protección de Datos de la UE si así lo requiere.