1. Si se recibe un derecho de rectificación o acceso de un titular, ¿cómo notificar el mismo?

Sobre el derecho de rectificación que planteen los ciudadanos o titulares de bases de datos, el responsable de esa base de datos tiene un plazo de 5 días hábiles para efectuar la corrección solicitada y darle respuesta al solicitante en esos términos, con la documentación que sustente que efectivamente el error se corrigió.

En el caso en que el mismo no se haya corregido o no sea procedente corregir, deben en el mismo plazo dar respuesta al interesado en esos términos. Es importante en esos casos contar con el efectivo acuse de recibo.

2. ¿Qué acciones se deben ejecutar con respecto al consentimiento del titular de los datos personales de aquellas bases creadas previo a la vigencia de la Ley N.°8968?

En el supuesto que los datos de carácter personal se hayan recolectado con anterioridad a la vigencia de la Ley N.°8968, si bien en ese momento no se exigía el consentimiento informado a los ciudadanos, el responsable del fichero tiene la obligación de informar a los interesados que constan en su base de datos (ya sea mediante correo electrónico a sus clientes o comunicados en su página web, sucursales, entre otros) de forma expresa, precisa e inequívoca, en apego a la Ley de cita:

• Del contenido del tratamiento.
• De la procedencia de los datos.
• De la existencia de un fichero o tratamiento.
• De la finalidad de la recolección de los datos personales efectuados.
• De los destinatarios de la información.
• De la posibilidad de ejercitar sus derechos y descripción de los mismos.
• De la identidad y dirección del responsable del tratamiento o, en su caso de su representante.

Esta información, además, a futuro debe estar incluida en los cuestionarios o impresos de recolección de datos. En el caso de utilizar internet como medio de recolección de los datos, también debe facilitarse esta información a los usuarios que registran sus datos y debe hacerse de modo que la información sea siempre previa al tratamiento. Es recomendable que el texto informativo resulte lo más claro y legible posible, así como las políticas de privacidad que se encuentran en el sitio web de las empresas.

La carga de la prueba sobre el cumplimiento del principio de información recae sobre el responsable del fichero, que deberá conservar el soporte en el que conste el cumplimiento de dicho deber mientras persista el tratamiento.

En este sentido, se permite para el almacenamiento de los soportes, utilizar medios informáticos o telemáticos. Asimismo, podrá proceder al escaneado de la documentación en soporte papel, siempre y cuando se garantice que en dicha automatización no ha mediado alteración alguna de los soportes originales.

3. ¿Cuáles son los requisitos para inscribir las bases de datos de una empresa o institución?

Puede ver la lista de requisitos en: Trámites > Inscripción de bases de datos

4. ¿Cuáles bases de datos son inscribibles?

Deben inscribirse ante la Prodhab todas las bases, públicas o privadas, que tengan una finalidad de comercialización o distribución o difusión comercial.

Quedan exentas las bases de datos de entidades financieras que se encuentran sujetas al control y regulación de la Superintendencia General de Entidades Financieras (SUGEF), las cuales no requerirán inscribirse ante la Prodhab. Sin perjuicio de esto, la Agencia tiene plena competencia para regular y fiscalizar la protección de los derechos y garantías cubiertas bajo la Ley N.°.8968 y ejercer todas las acciones que se concedan al afecto sobre dichas bases.

5. ¿Cuáles son las bases de datos internas, personales o domésticas?

Se considera una base de datos personal o doméstica, cualquier fichero, registro u otro conjunto estructurado de datos personales restringidos o de acceso irrestricto, mantenidos por personas físicas, siempre y cuando las bases de datos o su contenido no sea comercializado, distribuido o difundido.

Se considera una base de datos interna cualquier fichero, registro u otro conjunto estructurado de datos personales mantenidos por personas jurídicas, públicas o privadas, siempre y cuando las bases de datos o su contenido no sea comercializado, distribuido o difundido.

Conservan la calidad de base de datos interna, aquellas bases de datos que son compartidas dentro de un mismo grupo de interés económico, ya sea local o con presencia internacional, siempre que no medie difusión o distribución a terceros, venta o comercialización de cualquier naturaleza.

6. ¿Las bases de datos no inscribibles ante la Prodhab están exentas de aplicación de la Ley N.°8968 ?

No. Que una base de datos no sea inscribible no la exime de la aplicación de la normativa en materia de protección de datos. Lo anterior por cuanto se debe concientizar que los datos que se almacenan en dichas bases siempre pertenecen a sus titulares, por lo cual ellos, en cualquier momento pueden ejercer ante el responsable de esa base de datos su derecho a la autodeterminación con relación a su vida y derechos a la personalidad, así como el respeto a su tratamiento automatizado o manual de los datos correspondiente a su persona o bienes, y, con la finalidad que estos se corrijan, supriman o eliminen cuando estos sean inexactos, o confusos, desactualizados o incorrectos.

Aunado a lo anterior, mantener bases de datos con informaciones incorrectas, puede incidir en un perjuicio contra el titular de esos datos a nivel civil, penal, económico o moral según el caso concreto. En caso de una denuncia ante la Prodhab, ésta en pleno uso de sus atribuciones, podrá analizar la misma.

7. ¿Cuáles son las consecuencias de la no inscripción?

La no inscripción de una base de datos de carácter personal ante la Prodhab implica la comisión de una falta gravísima según la Ley N.°8968, de Protección de la Persona frente al Tratamiento de sus Datos Personales, ya que la misma no estaría habilitada para operar legalmente sin este requisito de inscripción.

La sanción a nivel administrativo es la imposición de una multa de hasta 30 salarios base, sin perjuicio de las acciones que puedan interponer los titulares de esos datos personales a nivel jurisdiccional.

8. ¿Cuáles son los requisitos de los protocolos de actuación?

Los responsables deberán confeccionar un protocolo mínimo de actuación, el cual deberá ser transmitido al encargado para su fiel cumplimiento y donde al menos, se deberá especificar lo siguiente:

• Elaborar políticas y manuales de privacidad obligatorios y exigibles al interior de la organización del responsable.
• Poner en práctica un manual de capacitación, actualización y concientización del personal sobre las obligaciones en materia de protección de datos personales.
• Establecer un procedimiento de control interno para el cumplimiento de las políticas de privacidad.
• Instaurar procedimientos ágiles, expeditos y gratuitos para recibir y responder dudas y quejas de los titulares de los datos personales o sus representantes, así como para acceder, rectificar, modificar, bloquear o suprimir la información contenida en la base de datos y revocar su consentimiento.
• Crear medidas y procedimientos técnicos que permitan mantener un historial de los datos personales durante su tratamiento.
• Constituir un mecanismo en el cual el responsable transmitente, le comunica al responsable receptor, las condiciones en las que el titular consintió la recolección, la transferencia y el tratamiento de sus datos.

Estas medidas, así como sus posteriores modificaciones, deberán ser inscritas ante la Prodhab como protocolos mínimos de actuación.

La Prodhab podrá verificar, en cualquier momento, que la base de datos esté cumpliendo con los términos establecidos en el protocolo mínimo de actuación.

9. ¿Debo notificar cualquier cambio o actualización de las bases de datos a la Prodhab?

De acuerdo con el artículo 54 del Reglamento a la Ley N.°8968, la información inscrita del registro de la base de datos deberá mantenerse actualizada. Cualquier modificación a la información de inscripción que afecte el contenido del registro de la base de datos, deberá ser comunicada por el responsable de la base de datos a la Prodhab dentro del plazo de cinco días hábiles posteriores a la modificación o el cambio, a fin de proceder a su actualización.

10. ¿Cuando inscribo la base de datos ante la Prodhab, ¿debo entregar un respaldo de esa base de datos?

No. Únicamente debe presentar el formulario respectivo de inscripción de base de datos con la documentación pertinente y requisitos establecidos por Reglamento, ya que ello tiene como fin notificar a la Prodhab de los siguientes aspectos:

• Que es propietario de una base de datos de carácter personal.
• El tipo de base de datos y clase de datos que almacena.
• Mecanismos de recoleccióna.
• Ubicación física.
• Contacto técnico de la base de datos.
• Si realizan o comparten información con otras bases de datos.
• Medidas de seguridad.
• Otros aspectos relevantes y que contiene el formulario y los requisitos establecidos.

11. ¿Los responsables de bases de datos, ¿deben entregar su “superusuario”?

No. Por el contrario, todos los responsables que a la fecha han facilitado su “superusuario” a la Prodhab deben desactivarlo de forma inmediata.

Dicha figura, citada anteriormente en los artículos 2, 44 y 45 del Reglamento a la Ley N.°8968, fue suprimido por no existir como tal en la Ley N.°8968 ni en el derecho comparado.

Todo esto, sin perjuicio de las facultades de verificación e inspección de la Prodhab, previstas dentro de las atribuciones en el artículo 16.

12. ¿Cuál es el costo por concepto de inscripción de bases de datos?

El costo del canon por concepto de inscripción es de $200 (doscientos dólares).

13. Además de la inscripción de las bases de datos, ¿qué se debe realizar para ajustar la empresa o entidad a las disposiciones de la Ley N.°8968?

Además de la inscripción de las bases de datos de carácter personal, el responsable deberá establecer las siguientes acciones sobre:

• La seguridad de los datos.
• Mecanismos de acceso, personas autorizadas y su finalidad.
• Consentimientos inequívocos.
• Políticas de privacidad en las páginas web de las entidades públicas y privadas en caso de que así corresponda, señalando la normativa nacional vigente en materia de protección de datos..
• Mecanismos para el usuario sobre el acceso, actualización, corrección o supresión de sus datos personales.

14. Qué medidas de seguridad debe implementar un responsable de bases de datos personales?

El responsable de una base de datos debe establecer y mantener las medidas de seguridad administrativas, físicas y lógicas para la protección de los datos personales. Asimismo, deberá velar porque el encargado de la base de datos y el intermediario tecnológico cumplan con dichas medidas de seguridad para el resguardo de la información.

A fin de establecer y mantener la seguridad física y lógica de los datos personales, el responsable deberá realizar al menos las siguientes acciones, las cuales podrán ser requeridas en cualquier momento por la Prodhab:

• Elaborar una descripción detallada del tipo de datos personales tratados o almacenados.
• Crear y mantener actualizado un inventario de la infraestructura tecnológica, incluyendo los equipos y programas de cómputo y sus licencias.
• Señalar el tipo de sistema, programa, método o proceso utilizado en el tratamiento o almacenamiento de los datos.
• Contar con un análisis de riesgos, que consiste en identificar peligros y estimar los riesgos que podrían afectar los datos personales.
• Establecer las medidas de seguridad aplicables a los datos personales, e identificar aquellas implementadas de manera efectiva.
• Calcular el riesgo residual existente basado en la diferencia de las medidas de seguridad existentes y aquéllas faltantes que resultan necesarias para la protección de los datos personales.
• Elaborar un plan de trabajo para la implementación de las medidas de seguridad faltantes, derivados del resultado del cálculo del riesgo residual.

Actualización de medidas de seguridad. Los responsables deberán actualizar las medidas de seguridad cuando ocurran los siguientes eventos:

• Se modifiquen las medidas o procesos de seguridad para su mejora continua, derivado de las revisiones a la política de seguridad del responsable.
• Se produzcan modificaciones sustanciales en el tratamiento o almacenamiento, que deriven en un cambio del nivel de riesgo.
• Se modifique la plataforma tecnológica.
• Se vulneren los sistemas de tratamiento o almacenamiento de datos personales, de conformidad con lo dispuesto en la Ley N.°8968 y en el Reglamento N.°37554-JP.
• Exista una afectación a los datos personales, distinta a las anteriores.

En el caso de datos personales sensibles, cuando la Ley N.°8968 lo permita, el responsable deberá revisar y, en su caso, actualizar las medidas de seguridad correspondientes, al menos una vez al año.

15. ¿Cuáles con los factores para determinar las medidas de seguridad?

El responsable determinará las medidas de seguridad, aplicables a los datos personales que trate o almacene, considerando los siguientes factores:

• La sensibilidad de los datos personales tratados, en los casos que la Ley lo permita.
• El desarrollo tecnológico.
• Las posibles consecuencias de una vulneración para los titulares de sus datos personales.
• El número de titulares de datos personales.
• Las vulnerabilidades previas ocurridas en los sistemas de tratamiento o almacenamiento.
• El riesgo por el valor, cuantitativo o cualitativo, que pudieran tener los datos personales.
• Demás factores que resulten de otras leyes o regulación aplicable al responsable.

16. ¿Cuál es el procedimiento a seguir en caso de una vulneración de las medidas de seguridad?

El responsable deberá informar al titular sobre cualquier irregularidad en el tratamiento o almacenamiento de sus datos, tales como pérdida, destrucción, extravío, entre otras, como consecuencia de una vulnerabilidad de la seguridad o que tuviere conocimiento del hecho, para lo cual tendrá cinco días hábiles a partir del momento en que ocurrió la vulnerabilidad, a fin de que los titulares de estos datos personales afectados puedan tomar las medidas correspondientes.

Dentro de este mismo plazo deberá iniciar un proceso de revisión exhaustiva para determinar la magnitud de la afectación, y las medidas correctivas y preventivas que correspondan.

Para esos efectos, el responsable deberá informar al titular y a la Prodhab, al menos lo siguiente:

• La naturaleza del incidente.
• Los datos personales comprometidos.
• Las acciones correctivas realizadas de forma inmediata.
• Los medios o el lugar, donde puede obtener más información al respecto.

17. ¿Cuáles faltas son sancionables según la Ley N.°8968?

Según los numerales 29 y siguientes de la Ley N.°8968, se categorizan las faltas objeto de proceso de protección de datos de la siguiente forma:

Faltas leves

• Recolectar datos personales para su uso en base de datos sin que se le otorgue suficiente y amplia información a la persona interesada.
• Recolectar, almacenar y transmitir datos personales de terceros por medio de mecanismos inseguros o que de alguna forma no garanticen la seguridad e inalterabilidad de los datos.

Faltas graves

• Recolectar, almacenar, transmitir o de cualquier otra forma emplear datos personales sin el consentimiento informado y expreso del titular de los datos, con arreglo a las disposiciones de esta Ley.
• Transferir datos personales a otras personas o empresas en contravención de las reglas establecidas en el capítulo 3 de esta Ley.
• Recolectar, almacenar, transmitir o de cualquier otro modo emplear datos personales para una finalidad distinta de la autorizada por el titular de la información.
• Negarse injustificadamente a dar acceso a un interesado sobre los datos que consten en archivos y bases de datos, a fin de verificar su calidad, recolección, almacenamiento y uso conforme a esta Ley.
• Negarse injustificadamente a eliminar o rectificar los datos de una persona que así lo haya solicitado por medio claro e inequívoco.

Faltas gravísimas

• Recolectar, almacenar, transmitir o de cualquier otra forma emplear, por parte de personas físicas o jurídicas privadas, datos sensibles, según la definición prevista en el artículo 3 de esta Ley.
• Obtener, de los titulares o de terceros, datos personales de una persona por medio de engaño, violencia o amenaza.
• Revelar información registrada en una base de datos personales cuyo secreto esté obligado a guardar conforme la Ley.
• Proporcionar a un tercero información falsa o distinta contenida en un archivo de datos, con conocimiento de ello.
• Realizar tratamiento de datos personales sin encontrarse debidamente inscrito ante la Prodhab, en el caso de los responsables de bases de datos cubiertos por el artículo 21 de esta Ley.
• Transferir, a las bases de datos de terceros países, información de carácter personal de los costarricenses o de los extranjeros radicados en el país, sin el consentimiento de sus titulares.

18. ¿Cuál es la confidencialidad existente de parte de la Prodhab con respecto al protocolo de actuación que se presenta para inscribir una base de datos?

En el presente supuesto, cabe indicar que la Ley N.°8968 establece que en su numeral 18 que la Prodhab contará con el personal técnico y administrativo necesario para el buen ejercicio de sus funciones, y que asimismo está obligado a guardar secreto profesional y deber de confidencialidad de los datos que conozca en el ejercicio de sus funciones.

Por ende, si bien la Prodhab protege únicamente datos de carácter personal, lo referente a situaciones internas y particularidades de los protocolos de cada empresa cuyo riesgo de divulgación sea considerable también estaría protegido.

19. ¿Qué considera la Prodhab “servicios públicos” para que tenga efecto la excepción de la Ley?

En este sentido si bien la consulta no es clara, se interpreta que trata de la excepción de la Ley N.°8968 estipulada en su numeral 8, que dispone como una de las excepciones al ejercicio de la autodeterminación informativa del ciudadano, la adecuada prestación de servicios públicos, refiriéndose éste a cualquier servicio prestado por la administración pública para la consecución de sus fines y en sus diferentes aristas (llámese sector salud, vivienda, registro civil, educación, ayudas sociales, servicios de agua, electricidad, telefonía y otros).

Por ejemplo, no sería posible que un ciudadano solicite ser eliminado de una base de datos, o bien suministrar datos personales indispensables a instituciones públicas para casos como los siguientes:

• Tener acceso a un servicio de salud y ser asegurado de un establecimiento, sin antes suministrar datos básicos como su nombre, identificación, lugar de trabajo, padecimientos, dirección, números de teléfono y otros.
• Tener acceso a una ayuda estatal sin suministrar sus datos básicos y situación familiar y social para ser beneficiario de una beca estudiantil.
• Igual situación sucede en caso de ser abonado de un servicio básico como agua, electricidad o de otra índole.

Claro está, la letra de la Ley no implica dentro de la excepción a la autodeterminación informativa la supresión total de ese derecho, sino solo la limitación de ese derecho del ciudadano de forma justa, razonable y acorde con el principio de transparencia administrativa.

Por último, cabe destacar que, si bien las instituciones requieren ciertos datos de sus administrados para brindar servicios específicos, ello no les exime de aplicar la Ley de Protección de Datos Personales y su Reglamento según el tipo de datos que almacenen dentro de sus ficheros, así como los consentimientos informados y las medidas a adoptar para que los mismos no sean accesados de manera ilegítima o por personas no autorizadas en los términos que la misma normativa dispone.

20. ¿Qué es el consentimiento del titular de los datos personales?

Es toda manifestación de voluntad expresa, libre, inequívoca, informada y especifica que se otorga por escrito o en medio digital para un fin determinado, mediante el cual el titular de los datos personales o su representante, consiente el tratamiento de sus datos personales.

21. ¿Qué establece la Ley N.°8968 y su Reglamento sobre el “derecho al olvido”?

Según el Reglamento N.°37554-JP, la conservación de los datos personales que puedan afectar a su titular, no deberá exceder el plazo de diez años, desde la fecha de terminación del objeto de tratamiento del dato, salvo disposición normativa especial que establezca otro plazo, que por el acuerdo de partes se haya establecido un plazo distinto, que exista una relación continuada entre las partes o que medie interés público para conservar el dato.

22. Para realizar una transferencia de datos, ¿es preciso contar con el consentimiento del titular de los datos?

La transferencia requerirá siempre el consentimiento inequívoco del titular. La transferencia implica la cesión de datos personales por parte, única y exclusivamente, del responsable que transfiere al responsable receptor de los datos personales.

Dicha transferencia requerirá siempre del consentimiento informado del titular, salvo disposición legal en contrario, asimismo que los datos a transferir hayan sido recabados o recolectados de forma licita y según los criterios que la Ley N.°8968 y su Reglamento disponen.

No se considera transferencia el traslado de datos personales del responsable de una base de datos a un encargado, proveedor de servicios o intermediario tecnológico o las empresas del mismo grupo de interés económico.

Toda venta de datos del fichero o de la base de datos, parcial o total, deberá reunir los mismos requerimientos señalados anteriormente.