
Publicaciones Recientes
La Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales de Costa Rica, también conocida como Ley N° 8968, es una normativa fundamental que garantiza la protección de los datos personales de los ciudadanos. Esta ley establece un marco legal robusto para la recolección, almacenamiento, uso y transferencia de datos personales, con el objetivo de salvaguardar la autodeterminación informativa y la privacidad de las personas.
La ley se aplica tanto a datos automatizados como manuales, gestionados por entidades públicas y privadas. Define claramente lo que se entiende por datos personales, diferenciando entre datos de acceso irrestricto, restringido y datos sensibles. Estos últimos, que incluyen información sobre origen racial, opiniones políticas, creencias religiosas, y datos relacionados con la salud y la vida sexual, están sujetos a restricciones más estrictas para su tratamiento.
Ley de Protección de la Persona frente al tratamiento de sus datos personales de Costa Rica
Descargar PDFBufete de Costa Rica
Un principio fundamental de esta ley es el consentimiento informado. Las personas deben ser informadas explícitamente sobre la recolección y el propósito de sus datos, y deben dar su consentimiento explícito para su tratamiento. Este consentimiento puede ser revocado en cualquier momento. Además, la ley garantiza derechos importantes a los ciudadanos, como el acceso a sus datos, la rectificación de información incorrecta, y la supresión de datos cuando ya no sean necesarios.
La seguridad y la confidencialidad son pilares de la ley, imponiendo obligaciones estrictas a los responsables de bases de datos para implementar medidas técnicas y organizativas adecuadas. También se establece el deber de confidencialidad para todos aquellos que manejan datos personales, con sanciones claras para el incumplimiento.
La creación de la Agencia de Protección de Datos de los Habitantes (Prodhab) es otro componente crucial. Esta agencia, adscrita al Ministerio de Justicia y Paz, se encarga de velar por el cumplimiento de la ley, gestionar un registro de bases de datos, y resolver denuncias por infracciones a las normas de protección de datos. La Prodhab tiene la potestad de imponer sanciones y promover la educación sobre los derechos de los ciudadanos en materia de datos personales.
La Ley N° 8968 es un instrumento esencial para la protección de los derechos de las personas frente al tratamiento de sus datos personales en Costa Rica, asegurando que la privacidad y la autodeterminación informativa sean respetadas y garantizadas en todo momento.
Ley Nº 8968
LEY DE PROTECCIÓN DE LA PERSONA FRENTE AL TRATAMIENTO
DE SUS DATOS PERSONALES DE COSTA RICA
LA ASAMBLEA LEGISLATIVA DE LA REPÚBLICA DE COSTA RICA DECRETA:
PROTECCIÓN DE LA PERSONA FRENTE AL TRATAMIENTO DE SUS DATOS PERSONALES
Esta ley es de orden público y tiene como objetivo garantizar a cualquier persona, independientemente de su nacionalidad, residencia o domicilio, el respeto a sus derechos fundamentales, concretamente, su derecho a la autodeterminación informativa en relación con su vida o actividad privada y demás derechos de la personalidad, así como la defensa de su libertad e igualdad con respecto al tratamiento automatizado o manual de los datos correspondientes a su persona o bienes.
Esta ley será de aplicación a los datos personales que figuren en bases de datos automatizadas o manuales, de organismos públicos o privados, y a toda modalidad de uso posterior de estos datos.
El régimen de protección de los datos de carácter personal que se establece en esta ley no será de aplicación a las bases de datos mantenidas por personas físicas o jurídicas con fines exclusivamente internos, personales o domésticos, siempre y cuando estas no sean vendidas o de cualquier otra manera comercializadas.
Para los efectos de la presente ley se define lo siguiente:
Toda persona tiene derecho a la autodeterminación informativa, la cual abarca el conjunto de principios y garantías relativas al legítimo tratamiento de sus datos personales reconocidos en esta sección.
Se reconoce también la autodeterminación informativa como un derecho fundamental, con el objeto de controlar el flujo de informaciones que conciernen a cada persona, derivado del derecho a la privacidad, evitando que se propicien acciones discriminatorias.
1.- Obligación de informar Cuando se soliciten datos de carácter personal será necesario informar de previo a las personas titulares o a sus representantes, de modo expreso, preciso e inequívoco:
Cuando se utilicen cuestionarios u otros medios para la recolección de datos personales figurarán estas advertencias en forma claramente legible.
2.- Otorgamiento del consentimiento Quien recopile datos personales deberá obtener el consentimiento expreso de la persona titular de los datos o de su representante. Este consentimiento deberá constar por escrito, ya sea en un documento físico o electrónico, el cual podrá ser revocado de la misma forma, sin efecto retroactivo.
No será necesario el consentimiento expreso cuando:
Se prohíbe el acopio de datos sin el consentimiento informado de la persona, o bien, adquiridos por medios fraudulentos, desleales o ilícitos.
Solo podrán ser recolectados, almacenados o empleados datos de carácter personal para su tratamiento automatizado o manual, cuando tales datos sean actuales, veraces, exactos y adecuados al fin para el que fueron recolectados.
1.- Actualidad Los datos de carácter personal deberán ser actuales.
El responsable de la base de datos eliminará los datos que hayan dejado de ser pertinentes o necesarios, en razón de la finalidad para la cual fueron recibidos y registrados. En ningún caso, serán conservados los datos personales que puedan afectar, de cualquier modo, a su titular, una vez transcurridos diez años desde la fecha de ocurrencia de los hechos registrados, salvo disposición normativa especial que disponga otra cosa. En caso de que sea necesaria su conservación, más allá del plazo estipulado, deberán ser desasociados de su titular.
La persona responsable de la base de datos está obligado a modificar o suprimir los datos que falten a la verdad. De la misma manera, velará por que los datos sean tratados de manera leal y lícita.
3.- Exactitud Los datos de carácter personal deberán ser exactos. La persona responsable de la base de datos tomará las medidas necesarias para que los datos inexactos o incompletos, con respecto a los fines para los que fueron recogidos o para los que fueron tratados posteriormente, sean suprimidos o rectificados.
Si los datos de carácter personal registrados resultan ser inexactos en todo o en parte, o incompletos, serán eliminados o sustituidos de oficio por la persona responsable de la base de datos, por los correspondientes datos rectificados, actualizados o complementados. Igualmente, serán eliminados si no media el consentimiento informado o está prohibida su recolección.
4.- Adecuación al fin Los datos de carácter personal serán recopilados con fines determinados, explícitos y legítimos, y no serán tratados posteriormente de manera incompatible con dichos fines.
No se considerará incompatible el tratamiento posterior de datos con fines históricos, estadísticos o científicos, siempre y cuando se establezcan las garantías oportunas para salvaguardar los derechos contemplados en esta ley.
Las bases de datos no pueden tener finalidades contrarias a las leyes ni a la moral pública.
Se garantiza el derecho de toda persona al acceso de sus datos personales, rectificación o supresión de estos y a consentir la cesión de sus datos.
La persona responsable de la base de datos debe cumplir lo solicitado por la persona, de manera gratuita, y resolver en el sentido que corresponda en el plazo de cinco días hábiles, contado a partir de la recepción de la solicitud.
1.- Acceso a la información La información deberá ser almacenada en forma tal que se garantice plenamente el derecho de acceso por la persona interesada.
El derecho de acceso a la información personal garantiza las siguientes facultades del interesado:
El ejercicio del derecho al cual se refiere este artículo, en el caso de datos de personas fallecidas, le corresponderá a sus sucesores o herederos.
2.- Derecho de rectificación Se garantiza el derecho de obtener, llegado el caso, la rectificación de los datos personales y su actualización o la eliminación de estos cuando se hayan tratado con infracción a las disposiciones de la presente ley, en particular a causa del carácter incompleto o inexacto de los datos, o hayan sido recopilados sin autorización del titular.
Todo titular puede solicitar y obtener de la persona responsable de la base de datos, la rectificación, la actualización, la cancelación o la eliminación y el cumplimiento de la garantía de confidencialidad respecto de sus datos personales.
El ejercicio del derecho al cual se refiere este artículo, en el caso de datos de personas fallecidas, le corresponderá a sus sucesores o herederos.
Los principios, los derechos y las garantías aquí establecidos podrán ser limitados de manera justa, razonable y acorde con el principio de transparencia administrativa, cuando se persigan los siguientes fines:
Además de las reglas generales establecidas en esta ley, para el tratamiento de los datos personales, las categorías particulares de los datos que se mencionarán, se regirán por las siguientes disposiciones:
1.- Datos sensibles Ninguna persona estará obligada a suministrar datos sensibles. Se prohíbe el tratamiento de datos de carácter personal que revelen el origen racial o étnico, opiniones políticas, convicciones religiosas, espirituales o filosóficas, así como los relativos a la salud, la vida y la orientación sexual, entre otros.
Esta prohibición no se aplicará cuando:
2.- Datos personales de acceso restringido Datos personales de acceso restringido son los que, aun formando parte de registros de acceso al público, no son de acceso irrestricto por ser de interés solo para su titular o para la Administración Pública. Su tratamiento será permitido únicamente para fines públicos o si se cuenta con el consentimiento expreso del titular.
3.- Datos personales de acceso irrestricto Datos personales de acceso irrestricto son los contenidos en bases de datos públicas de acceso general, según lo dispongan las leyes especiales y de conformidad con la finalidad para la cual estos datos fueron recabados.
No se considerarán contemplados en esta categoría: la dirección exacta de la residencia, excepto si su uso es producto de un mandato, citación o notificación administrativa o judicial, o bien, de una operación bancaria o financiera, la fotografía, los números de teléfono privados y otros de igual naturaleza cuyo tratamiento pueda afectar los derechos y los intereses de la persona titular.
4.- Datos referentes al comportamiento crediticio Los datos referentes al comportamiento crediticio se regirán por las normas que regulan el Sistema Financiero Nacional, de modo que permitan garantizar un grado de riesgo aceptable por parte de las entidades financieras, sin impedir el pleno ejercicio del derecho a la autodeterminación informativa ni exceder los límites de esta ley.
El responsable de la base de datos deberá adoptar las medidas de índole técnica y de organización necesarias para garantizar la seguridad de los datos de carácter personal y evitar su alteración, destrucción accidental o ilícita, pérdida, tratamiento o acceso no autorizado, así como cualquier otra acción contraria a esta ley.
Dichas medidas deberán incluir, al menos, los mecanismos de seguridad física y lógica más adecuados de acuerdo con el desarrollo tecnológico actual, para garantizar la protección de la información almacenada.
No se registrarán datos personales en bases de datos que no reúnan las condiciones que garanticen plenamente su seguridad e integridad, así como la de los centros de tratamiento, equipos, sistemas y programas.
Por vía de reglamento se establecerán los requisitos y las condiciones que deban reunir las bases de datos automatizadas y manuales, y de las personas que intervengan en el acopio, almacenamiento y uso de los datos.
La persona responsable y quienes intervengan en cualquier fase del tratamiento de datos personales están obligadas al secreto profesional o funcional, aun después de finalizada su relación con la base de datos. La persona obligada podrá ser relevado del deber de secreto por decisión judicial en lo estrictamente necesario y dentro de la causa que conoce.
Las personas físicas y jurídicas, públicas y privadas, que tengan entre sus funciones la recolección, el almacenamiento y el uso de datos personales, podrán emitir un protocolo de actuación en el cual establecerán los pasos que deberán seguir en la recolección, el almacenamiento y el manejo de los datos personales, de conformidad con las reglas previstas en esta ley.
Para que sean válidos, los protocolos de actuación deberán ser inscritos, así como sus posteriores modificaciones, ante la Prodhab. La Prodhab podrá verificar, en cualquier momento, que la base de datos esté cumpliendo cabalmente con los términos de su protocolo.
La manipulación de datos con base en un protocolo de actuación inscrito ante la Prodhab hará presumir, «iuris tantum», el cumplimiento de las disposiciones contenidas en esta ley, para los efectos de autorizar la cesión de los datos contenidos en una base.
Toda persona interesada tiene derecho a un procedimiento administrativo sencillo y rápido ante la Prodhab, con el fin de ser protegido contra actos que violen sus derechos fundamentales reconocidos por esta ley. Lo anterior sin perjuicio de las garantías jurisdiccionales generales o específicas que la ley establezca para este mismo fin.
Los responsables de las bases de datos, públicas o privadas, solo podrán transferir datos contenidos en ellas cuando el titular del derecho haya autorizado expresa y válidamente tal transferencia y se haga sin vulnerar los principios y derechos reconocidos en esta ley.
Créase un órgano de desconcentración máxima adscrito al Ministerio de Justicia y Paz denominado Agencia de Protección de Datos de los habitantes (Prodhab). Tendrá personalidad jurídica instrumental propia en el desempeño de las funciones que le asigna esta ley, además de la Administración de sus recursos y presupuesto, así como para suscribir los contratos y convenios que requiera para el cumplimiento de sus funciones. La Agencia gozará de independencia de criterio.
Son atribuciones de la Prodhab, además de las otras que le impongan esta u otras normas, las siguientes:
En el ejercicio de sus atribuciones, la Prodhab deberá emplear procedimientos automatizados, de acuerdo con las mejores herramientas tecnológicas a su alcance.
La Dirección de la Prodhab estará a cargo de un director o una directora nacional, quien deberá contar, al menos, con el grado académico de licenciatura en una materia afín al objeto de su función y ser de reconocida solvencia profesional y moral.
No podrá ser nombrado director o directora nacional quien sea propietario, accionista, miembro de la junta directiva, gerente, asesor, representante legal o empleado de una empresa dedicada a la recolección o el almacenamiento de datos personales. Dicha prohibición persistirá hasta por dos años después de haber cesado sus funciones o vínculo empresarial. Estará igualmente impedido quien sea cónyuge o pariente hasta el tercer grado de consanguinidad o afinidad de una persona que esté en alguno de los supuestos mencionados anteriormente.
La Prodhab contará con el personal técnico y administrativo necesario para el buen ejercicio de sus funciones, designado mediante concurso por idoneidad, según el Estatuto de Servicio Civil o bien como se disponga reglamentariamente. El personal está obligado a guardar secreto profesional y deber de confidencialidad de los datos de carácter personal que conozca en el ejercicio de sus funciones.
Todos los empleados y las empleadas de la Prodhab tienen las siguientes prohibiciones:
La inobservancia de cualquiera de las anteriores prohibiciones será considerada falta gravísima, para efectos de aplicación del régimen disciplinario, sin perjuicio de las otras formas de responsabilidad que tales conductas pudieran acarrear.
El presupuesto de la Prodhab estará constituido por lo siguiente:
Los montos provenientes del cobro de las multas señaladas en esta ley serán destinados a la actualización de equipos y programas de la Prodhab.
La Agencia estará sujeta al cumplimiento de los principios y al régimen de responsabilidad establecidos en los títulos II y X de la Ley N.° 8131, Administración Financiera de la República y Presupuestos Públicos, de 18 de setiembre de 2001. Además, deberá proporcionar la información requerida por el Ministerio de Hacienda para sus estudios. En lo demás, se exceptúa a la Agencia de los alcances y la aplicación de esa ley. En la fiscalización, la Agencia estará sujeta, únicamente, a las disposiciones de la Contraloría General de la República.
Toda base de datos, pública o privada, administrada con fines de distribución, difusión o comercialización, debe inscribirse en el registro que al efecto habilite la Prodhab. La inscripción no implica el trasbase o la transferencia de los datos.
Deberá inscribir cualesquiera otras informaciones que las normas de rango legal le impongan y los protocolos de actuación a que hacen referencia el artículo 12 y el inciso c) del artículo 16 de esta ley.
La Prodhab elaborará y ejecutará una estrategia de comunicación dirigida a permitir que los administrados conozcan los derechos derivados del manejo de sus datos personales, así como los mecanismos que el ordenamiento prevé para la defensa de tales prerrogativas. Deberá coordinar con los gobiernos locales y con la Defensoría de los Habitantes de la República la realización periódica de las actividades de divulgación entre los habitantes de los cantones.
Asimismo, promoverá entre las personas y empresas que recolecten, almacenen o manipulen datos personales, la adopción de prácticas y protocolos de actuación acordes con la protección de dicha información.
En lo no previsto expresamente por esta ley y en tanto sean compatibles con su finalidad, serán aplicables supletoriamente las disposiciones del libro II de la Ley General de la Administración Pública.
Cualquier persona que ostente un derecho subjetivo o un interés legítimo puede denunciar, ante la Prodhab, que una base de datos pública o privada actúa en contravención de las reglas o los principios básicos para la protección de los datos y la autodeterminación informativa establecidas en esta ley.
Recibida la denuncia, se conferirá al responsable de la base de datos un plazo de tres días hábiles para que se pronuncie acerca de la veracidad de tales cargos. La persona denunciada deberá remitir los medios de prueba que respalden sus afirmaciones junto con un informe, que se considerará dado bajo juramento. La omisión de rendir el informe en el plazo estipulado hará que se tengan por ciertos los hechos acusados.
En cualquier momento, la Prodhab podrá ordenar a la persona denunciada la presentación de la información necesaria. Asimismo, podrá efectuar inspecciones in situ en sus archivos o bases de datos. Para salvaguardar los derechos de la persona interesada, puede dictar, mediante acto fundado, las medidas cautelares que aseguren el efectivo resultado del procedimiento.
A más tardar un mes después de la presentación de la denuncia, la Prodhab deberá dictar el acto final. Contra su decisión cabrá recurso de reconsideración dentro del tercer día, el cual deberá ser resuelto en el plazo de ocho días luego de recibido.
Si se determina que la información del interesado es falsa, incompleta, inexacta, o bien, que de acuerdo con las normas sobre protección de datos personales esta fue indebidamente recolectada, almacenada o difundida, deberá ordenarse su inmediata supresión, rectificación, adición o aclaración, o bien, impedimento respecto de su transferencia o difusión. Si la persona denunciada no cumple íntegramente lo ordenado, estará sujeta a las sanciones previstas en esta y otras leyes.
De oficio o a instancia de parte, la Prodhab podrá iniciar un procedimiento tendiente a demostrar si una base de datos regulada por esta ley está siendo empleada de conformidad con sus principios; para ello, deberán seguirse los trámites previstos en la Ley General de la Administración Pública para el procedimiento ordinario. Contra el acto final cabrá recurso de reconsideración dentro del tercer día, el cual deberá ser resuelto en el plazo de ocho días luego de recibido.
Si se ha incurrido en alguna de las faltas tipificadas en esta ley, se deberá imponer alguna de las siguientes sanciones, sin perjuicio de las sanciones penales correspondientes:
Serán consideradas faltas leves, para los efectos de esta ley:
Serán consideradas faltas graves, para los efectos de esta ley:
Serán consideradas faltas gravísimas, para los efectos de esta ley:
Cuando la persona responsable de una base de datos pública cometa alguna de las faltas anteriores, la Prodhab dictará una resolución estableciendo las medidas que proceda adoptar para que cesen o se corrijan los efectos de la falta. Esta resolución se notificará a la persona responsable de la base de datos, al órgano del que dependa jerárquicamente y a los afectados, si los hay. La resolución podrá dictarse de oficio o a petición de parte. Lo anterior sin perjuicio de la responsabilidad penal en que haya incurrido.
Las personas responsables de bases de datos que deban inscribirse ante la Prodhab, de conformidad con el artículo 21 de esta ley, estarán sujetos a un canon de regulación y administración de bases de datos que deberá ser cancelado anualmente, con un monto de doscientos dólares ($200), moneda de curso legal de los Estados Unidos de América. El procedimiento para realizar el cobro del presente canon será detallado en el reglamento que a los efectos deberá emitir la Prodhab.
La persona responsable de la base de datos deberá cancelar a la Prodhab un canon por cada venta de los datos de ficheros definidos en el inciso b) del artículo 3 de esta ley, de personas individualizables registradas legítimamente y siempre que sea comercializado con fines de lucro, el cual oscilará entre los veinticinco centavos de dólar ($0,25) y un dólar ($1), moneda de curso legal de los Estados Unidos de América, monto que podrá ser fijado dentro de dicho rango vía reglamento. En caso de contratos globales de bajo, medio y alto consumo de consultas, o modalidades contractuales de servicio en línea por número de aplicaciones, será el reglamento de la ley el que fije el detalle del cobro del canon que no podrá ser superior al diez por ciento (10%) del precio contractual.
Las personas físicas o jurídicas, públicas o privadas, que en la actualidad son propietarias o administradoras de las bases de datos objeto de esta ley, deberán adecuar sus procedimientos y reglas de actuación, así como el contenido de sus bases de datos a lo establecido en la presente ley, en un plazo máximo de un año a partir de la creación de la Prodhab.
A partir de la fecha de entrada en vigencia de esta ley, se iniciará el proceso de conformación e integración de la Prodhab; para ello, se dispondrá de un plazo máximo de seis meses.
El Poder Ejecutivo emitirá la reglamentación de esta ley en un plazo máximo de seis meses después de la conformación de la Prodhab, recogiendo las recomendaciones técnicas que le proporcione la Agencia.
Rige a partir de su publicación.
Dado en la Presidencia de la República.- San José, a los siete días del mes de julio del año dos mil once.
¡El Derecho discutido como nunca antes! 🎙️ Bufete de Costa Rica «El Podcast»
Visite la – Firma Legal de Prestigio – en https://bufetedecostarica.com
💼⚖️ La libertad personal es un derecho fundamental protegido por la Constitución y respaldado por tratados internacionales 📜🌎. En este artículo de nuestro bufete, analizamos cómo este derecho se garantiza legalmente y qué situaciones pueden justificar su limitación bajo el debido proceso ⚠️👮♂️.
Profundizamos también en la importancia del habeas corpus y en los mecanismos legales para proteger a los ciudadanos frente a detenciones arbitrarias 🛡️⚖️.
👉 No dejen de leer el análisis completo en: https://bufetedecostarica.com/la-libertad-personal-en-costa-rica/
📲 ¡Es esencial conocer sus derechos y saber cómo defenderlos!
#LibertadPersonal #DerechosHumanos #CostaRica #BufeteDeAbogados #HabeasCorpus #JusticiaCR #DerechoConstitucional
Diseño web por iNTELIGENCIA Viva