El tratamiento de datos personales en Costa Rica
Rafael Montenegro rafael.montenegro@pachecocoto.com | Viernes 21 abril, 2017
En la actualidad, la sociedad costarricense ha tenido que enfrentarse al mundo digital y ello ha generado que el ciudadano experimente lo que se conoce como la Sociedad de la Información.
Comercial y jurídicamente hablando, los datos personales en Costa Rica (y en gran cantidad de países) han tomado gran valor y relevancia, ejemplo de ello es la entrada en vigencia de la Ley 8968 de Protección de la Persona frente al tratamiento de sus datos personales el 5 de noviembre de 2011 (en adelante identificada como la “Ley 8968”) y posteriormente se encuentra la entrada en vigencia del Decreto Ejecutivo 37554, que es el Reglamento a la Ley de Protección de la Persona frente al Tratamiento de sus Datos Personales en fecha 5 de marzo de 2013, el cual, en virtud del avance de la técnica en dicha área, surge la necesidad de reformarlo mediante el Decreto Ejecutivo 40008 que es la reforma al Reglamento a la Ley de Protección de la Persona frente al Tratamiento de sus Datos Personales, la cual entró en vigencia el 6 de diciembre de 2016. Con la vigencia de este cuerpo normativo antes citado, se reconoce legislativamente el Derecho a la Autodeterminación Informativa.
Es el Derecho a la Autodeterminación Informativa el cual -con base en el valor y relevancia actual de los datos personales- establece la facultad que tiene cada persona en proteger su intimidad y decidir qué datos personales pueden ser o no tratados, almacenados, transferidos, divulgados y comercializados en el territorio de la República de Costa Rica. En virtud de este derecho, a cada persona le asisten derechos especiales enmarcados en la Ley 8968. Estos derechos especiales a nivel internacional son identificados como los DERECHOS ARCO, los cuales permiten que el ciudadano pueda ejercer el derecho de Acceso, Rectificación, Cancelación y Oposición frente al tratamiento de sus datos personales.
Con los eventos que se han originado recientemente y que han sido de conocimiento público, es relevante para el ciudadano el ejercicio de una correcta administración sobre sus datos personales, en tal sentido, se debe tener en consideración las siguientes recomendaciones:
- Para que una empresa realice tratamiento y almacenamiento de datos personales, requiere del consentimiento del titular de dichos datos. Dicho consentimiento se identifica como “Consentimiento Informado”, que con fundamento en el artículo 5 de la Ley 8968, debe ser libre, especifico, informado, inequívoco e individualizado.
- Toda persona tiene derecho a conocer los datos que están bajo tratamiento de una base datos, de tal forma que podrá solicitar la cancelación y/o rectificación sobre sus datos personales y podrá ejercitar la oposición al tratamiento de sus datos personales.
- Toda base de datos debe implementar como mínimo protocolos de seguridad, normas internas de protección de datos, políticas de seguridad y confidencialidad, políticas de capacitación para sus empleados en temas de protección de datos.
- En todo momento, la persona cuyos datos están bajo tratamiento por bases de datos, debe conocer los fines de dicho tratamiento y debe autorizar que sus datos personales sean o no transferidos, divulgados, comercializados frente a terceras personas.
- Las bases de datos deben desarrollar procedimientos internos ágiles, gratuitos y de fácil acceso a las personas, con el fin de garantizar el ejercicio de los derechos ARCO en Costa Rica y a su vez garantizar el Derecho a la Autodeterminación Informativa del ciudadano.
- En Costa Rica existe la Agencia de Protección de Datos de los Habitantes (PRODHAB), como organismo fiscalizador y regulador de las bases de datos en Costa Rica. Ante esta agencia podrá acudirse en caso de anomalías en tratamiento de datos personales, dicha institución podrá realizar fiscalizaciones sobre bases de datos, ya sea de oficio o a petición de un interesado, ante lo cual, de verificarse violación al derecho de Autodeterminación Informativa, podrá imponer sanciones administrativas y de carácter económico.
- Si se quebranta el derecho a la Autodeterminación Informativa y se realiza de forma ilícita el tratamiento de datos personales, de conformidad con la normativa penal vigente en la República de Costa Rica, la persona afectada podrá acudir a las instancias penales.
Con lo expuesto, es relevante que el ciudadano entienda qué son los datos personales y qué son datos sensibles, en cuanto a los datos personales son tales como: nombre, apellido, número de cédula y teléfono (entre otros), por su parte los datos sensibles son aquellos cuyo tratamiento puede llegar a generar algún tipo de segregación o discriminación hacia su titular y dentro de esta gama de datos se pueden citar: datos médicos, orientación sexual, ideologías políticas y convicciones religiosas – espirituales (entre otros).
Por lo anterior, si un ciudadano quiere ser un buen administrador de sus datos deberá conocer quién lleva a cabo tratamiento de sus datos personales, cuáles son los fines de dicho tratamiento, los alcances frente a la transferencia de datos a terceros, las medidas de seguridad de la base o bases de datos y adicionalmente deberá otorgar un documento firmado o autorizado identificado como “Consentimiento Informado”, en el cual se hará constar la autorización para el tratamiento de sus datos.
Si el ciudadano identifica que alguno de los parámetros anteriores no se cumplen o han tenido algún quebrantamiento, lo recomendable será acudir ante un Especialista en Protección de Datos o acudir a la Agencia de Protección de Datos de los Habitantes (PRODHAB).
De conformidad con el derecho a la Autodeterminación Informativa, sus datos personales tienen un valor y una relevancia jurídica innegable, por lo que debe estar atento a que el tratamiento de los mismos sea conforme a la Ley 8968. En cuanto a las bases de datos éstas deben realizar sus labores en cumplimiento con las normas técnicas y jurídicas vigentes y aplicables en Costa Rica, aspectos normativos que deben ser de conocimiento para los encargados y responsables de las bases de datos. De tal forma, todos somos participes de una correcta administración de los Datos Personales en la Sociedad de la Información.
Rafael Montenegro
Asociado
Pacheco Coto
rafael.montenegro@pachecocoto.com
2505-0900
www.pachecocoto.com