Legislación y proyectos normativos - Costa Rica

Reforma Ley de Protección de Datos

Decreto Nº 40008 del Poder Ejecutivo

Este Decreto modifica varias disposiciones del Reglamento Nº 37554 de 5 de marzo de 2013, de desarrollo de la Ley Nº 8968 de 7 de julio del 2011, de Protección de la Persona Frente al Tratamiento de sus Datos Personales.

La reforma nace para aclarar algunos aspectos que han suscitado dudas, facilitar la debida aplicación de la Ley y simplificar los trámites del registro de datos. El Decreto busca precisar el ámbito de aplicación de la Ley Nº 8968 en relación a los siguientes aspectos:

  • Bases de datos interna, personal o doméstica: se aclara qué debe considerarse como tales. Las mismas están  exentas de la obligación de inscripción ante la Agencia de Protección de Datos de los Habitantes (Agencia).
  • Consentimiento para el tratamiento de datos personales: se establece que la voluntad expresa, libre, inequívoca informada y específica para el tratamiento de los datos personales, puede otorgarse por escrito o por un medio digital. Asimismo, se elimina la obligatoriedad de que este consentimiento se otorgue de manera independiente a otro documento, lo que agiliza gran cantidad de trámites.
  • Distribución, difusión: se refiere a cualquier forma en la que se repartan o publiquen datos personales a un tercero, por cualquier medio, con un fin comercial.
  • Transferencia de datos personales: se requerirá siempre el consentimiento informado e inequívoco del titular de los datos, y se define como la acción mediante la cual se trasladan datos personales del responsable de una base de datos a cualquier tercero distinto del responsable, de su grupo de interés económico (que define), del encargado, del proveedor de servicios o intermediario tecnológico, siempre que el receptor no los use con fines comerciales, de distribución o difusión.
  • Entidades financieras: las bases de datos de entidades financieras que se encuentren sujetas al control y regulación de la Superintendencia General de Entidades Financieras, no necesitarán inscribirse ante la Agencia. Sin perjuicio de que la Agencia tendrá plena competencia para regular y fiscalizar la protección de los derechos y garantías cubiertos por la Ley Nº 8968, y ejercer las acciones que esta Ley le permite.
  • Derecho al olvido: se mantiene el plazo máximo de 10 años para la conservación de los datos personales, pero se aclara que este plazo se calcula desde la fecha de terminación del objeto de tratamiento del dato. También se establecen las excepciones al mismo: disposición normativa o acuerdo entre las partes.
  • Subcontratación del proveedor de servicios o intermediario tecnológico: se aclara que en estos casos quien mantiene la responsabilidad sobre los datos, es quien contrate dichos servicios, que deberá además verificar que el intermediario o proveedor cumple con las medidas de seguridad mínimas que garanticen la integridad y seguridad de los datos personales.
  • Registro de bases de datos: se aclara la información que debe proporcionar el propietario de la base de datos a la hora de inscribir la misma en la Agencia.
  • Cálculo y cobro del canon en el caso de contratos globales: se reducen los montos a pagar y se modifica la forma de realizar el pago.

 Adicionalmente, se elimina la figura del “superusuario”, que no existe como tal ni en la Ley Nº 8968 ni en el derecho comparado, sin perjuicio de las facultades de verificación e inspección de la Agencia, previstas en otras disposiciones legales y reglamentarias.