Ley de Protección de Datos de Costa Rica

El pasado 5 de Septiembre, el Poder Ejecutivo de la República de Costa Rica publicó la Ley No. 8968 de Protección de la Persona frente al Tratamiento de sus Datos Personales de 7 de Julio de 2011

La Ley No. 8968 consta de cuatro secciones principales con un total de 34 artículos y tres disposiciones transitorias.

De conformidad con el artículo primero, esa ley tiene como objetivo garantizar a cualquier persona, independientemente de su nacionalidad, residencia o domicilio, el respeto a sus derechos fundamentales, concretamente, su derecho a la autodeterminación informativa en relación con su vida o actividad privada y demás derechos de la personalidad, así como la defensa de su libertad e igualdad con respecto al tratamiento automatizado o manual de los datos correspondientes a su persona o bienes.

El artículo segundo establece el ámbito de aplicación a los datos personales que figuren en bases de datos automatizadas o manuales, de organismos públicos o privados, y a toda modalidad de uso posterior de estos datos.

El artículo tercero establece nueve definiciones, entre ellas se encuentran: “Datos personales de acceso irrestricto”, “Datos personales de acceso restringido”, “Datos sensibles”, “Deber de confidencialidad” y “Tratamiento de datos personales”.

La sección primera capítulo segundo, establece en cinco artículos los principios y derechos básicos de la protección de datos, entre ellos se encuentran:

– El derecho a la autodeterminación informativa, la cual abarca el conjunto de principios y garantías relativas al legítimo tratamiento de datos personales. El artículo cuarto reconoce también la autodeterminación informativa como un derecho fundamental, con el objeto de controlar el flujo de informaciones que conciernen a cada persona, derivado del derecho a la privacidad, evitando que se propicien acciones discriminatorias.

– El principio de consentimiento informado (Obligación de informar y otorgamiento del consentimiento)

– El principio de calidad de la información que incluye la actualidad, veracidad, exactitud y adecuación al fin.

El artículo séptimo establece los derechos que le asisten a la persona entre ellos se encuentran: (i) acceso a la información; y (ii) derecho de rectificación.

El artículo octavo establece las excepciones a la autodeterminación informativa del ciudadano que incluyen entre otros: (a) la seguridad del Estado; (b) la seguridad y el ejercicio de la autoridad pública; (c) la prevención, persecución, investigación, detención y represión de las infracciones penales, o de las infracciones de la deontología en las profesiones; (d) el funcionamiento de bases de datos que se utilicen con fines estadísticos, históricos o de investigación científica, cuando no exista riesgo de que las personas sean identificadas.

El artículo noveno establece las categorías especiales del tratamiento de datos que incluyen: (i) datos sensibles; (ii) datos personales de acceso restringido; (iii) datos personales de acceso irrestricto; y (iv) datos referentes al comportamiento crediticio.

La sección tercera de la ley establece en cuatro artículos obligaciones de seguridad y confidencialidad de los datos de carácter personal para evitar su posible alteración, destrucción accidental o ilícita, pérdida, tratamiento o acceso no autorizado.

El artículo décimo tercero establece que toda persona interesada tiene derecho a un procedimiento administrativo sencillo y rápido ante la Prodhab, con el fin de ser protegido contra actos que violen sus derechos fundamentales reconocidos por la ley.

El artículo décimo cuarto establece que los responsables de las bases de datos, públicas o privadas, solo podrán transferir datos contenidos en ellas cuando el titular del derecho haya autorizado expresa y válidamente tal transferencia y se haga sin vulnerar los principios y derechos reconocidos en esta ley.

El capítulo cuarto de la ley, establece en seis artículos la creación, atribuciones, dirección, personal, prohibiciones y presupuesto de la Agencia de Protección de Datos de los Habitantes (Prodhab) que se encuentra adscrita al Ministerio de Justicia y Paz que goza de personalidad jurídica instrumental propia en el desempeño de sus funciones, en la administración de sus recursos y presupuesto, así como para suscribir contratos y convenios que requiera para el cumplimiento de sus funciones. Entre las atribuciones principales de la Prodhab se encuentran: (i) velar por el cumplimiento de la normativa en materia de protección de datos, tanto por parte de personas físicas o jurídicas privadas, como por entes y órganos públicos; y (ii) fomentar entre los habitantes el conocimiento de los derechos concernientes al acopio, el almacenamiento, la transferencia y el uso de sus datos personales, entre otras.

El artículo vigésimo primero establece la obligación de inscripción de las bases de datos públicas o privadas, administradas con fines de distribución, difusión o comercialización, en el registro que al efecto habilite la Prodhab.

El capitulo V, seccion II establece en ocho artículos los procedimientos para el trámite de denuncias por parte de los ciudadanos ante el Prodhab; los efectos de la resolución estimatoria, el procedimiento sancionatorio, la clasificación de faltas en leves, graves y gravísimas.

De conformidad con el artículo 30 son consideradas faltas graves: (a) recolectar, almacenar, transmitir o de cualquier otra forma emplear datos personales sin el consentimiento informado y expreso del titular de los datos, con arreglo a las disposiciones de la ley; (b) transferir datos personales a otras personas o empresas en contravención de las reglas establecidas en el capítulo III de la ley; (c) recolectar, almacenar, transmitir o de cualquier otro modo emplear datos personales para una finalidad distinta de la autorizada por el titular de la información; (d) negarse injustificadamente a dar acceso a un interesado sobre los datos que consten en archivos y bases de datos, a fin de verificar su calidad, recolección, almacenamiento y uso conforme a la ley.

De acuerdo con el artículo 31 son consideradas faltas gravísimas, para los efectos de esa ley: (a) recolectar, almacenar, transmitir o de cualquier otra forma emplear, por parte de personas físicas o jurídicas privadas, datos sensibles, según la definición prevista en el artículo 3 de la ley; (b) obtener, de los titulares o de terceros, datos personales de una persona por medio de engaño, violencia o amenaza; (c) revelar información registrada en una base de datos personales cuyo secreto esté obligado a guardar conforme la ley; (d) proporcionar a un tercero información falsa o distinta contenida en un archivo de datos, con conocimiento de ello; (e) realizar tratamiento de datos personales sin encontrarse debidamente inscrito ante la Prodhab, en el caso de los responsables de bases de datos cubiertos por el artículo 21 de la ley; (f) transferir, a las bases de datos de terceros países, información de carácter personal de los costarricenses o de los extranjeros radicados en el país, sin el consentimiento de sus titulares; (e) negarse injustificadamente a eliminar o rectificar los datos de una persona que así lo haya solicitado por medio claro e inequívoco.

El artículo trigésimo segundo establece el régimen sancionatorio para bases de datos públicas en donde la Prodhab dictará una resolución estableciendo las medidas que proceda adoptar para que cesen o se corrijan los efectos de la falta. Esta resolución se notificará a la persona responsable de la base de datos, al órgano del que dependa jerárquicamente y a los afectados, si los hay. La resolución podrá dictarse de oficio o a petición de parte. Lo anterior sin perjuicio de la responsabilidad penal en que haya incurrido.

Los artículos trigésimo tercero y trigésimo cuarto establecen un canon por concepto de regulación y administración de base de datos por la cantidad de $200 dólares americanos y un canon por comercialización y consulta, respectivamente cuyo procedimiento de cobro será detallado en el posterior reglamento que deberá emitir el Prodhab.

El Artículo primero transitorio establece que las personas físicas o jurídicas, públicas o privadas, que en la actualidad son propietarias o administradoras de bases de datos, deberán adecuar sus procedimientos y reglas de actuación, así como el contenido de sus bases de datos a lo establecido en la ley, en un plazo máximo de un año a partir de la creación de la Prodhab.

El Artículo segundo transitorio establece un plazo máximo de seis meses para la conformación e integración de la Prodhab.

El Artículo tercero transitorio establece que el Poder Ejecutivo emitirá la reglamentación de la ley en un plazo máximo de seis meses después de la conformación de la Prodhab, recogiendo las recomendaciones técnicas que le proporcione esa Agencia.