Protección de Datos

Claves del proyecto de Ley nº23-097 de Protección de datos personales de Costa Rica

🕑 6 minutos de lectura

El proyecto de ley n.º 23-097: Ley de Protección de Datos Personales de Costa Rica que actualmente se está tramitando tiene por objeto:

  • Elevar el nivel de protección de las personas físicas en lo que respecta al tratamiento de sus datos personales.
  • Responder a las necesidades y exigencias internacionales que demanda el derecho a la protección de datos personales en una sociedad cada vez más tecnológica.
  • Garantizar el efectivo ejercicio y tutela del derecho a la protección de datos personales de cualquier persona física.

Ámbito de aplicación. ¿A quién afecta la ley de protección de datos?

En relación al ámbito de aplicación territorial de la ley, es preciso indicar que deberán atenerse a su cumplimiento los Responsables o Encargados con establecimiento en la República de Costa Rica. No obstante lo anterior, también deberán cumplir con la ley aquellos responsables o Encargados sin establecimiento en la República de Costa Rica, cuando las actividades del tratamiento estén relacionadas con la oferta de bienes o servicios dirigidos a los habitantes de la República de Costa Rica, o bien, estén relacionadas con el control de su comportamiento.

Principios para el cumplimiento de la protección de datos

Adicionalmente, este nuevo marco normativo trae consigo una serie de principios que deberán imperar en todo tratamiento de datos personales que se aprecie: principio de exactitud, legitimación, lealtad, transparencia, finalidad, minimización, calidad, responsabilidad proactiva, seguridad y confidencialidad.

Pero sin lugar a dudas, será el principio de responsabilidad proactiva el que constituya el eje central de la normativa. Principio que requiere no sólo una actitud diligente por parte de las organizaciones a la hora de cumplir con lo establecido, sino también estar en todo momento en disposición de rendir cuentas sobre la implementación de mecanismos efectivos para la protección de los datos personales que les han sido encomendados.

Lo dispuesto anteriormente exige establecer un sistema de supervisión y vigilancia interna y/o externa, incluyendo auditorías, para comprobar el cumplimiento de las políticas de protección de datos personales.

Registro de actividades

Asimismo se prevé en este proyecto de ley la obligación relativa al Registro de Actividades de Tratamiento, registro que deberá mantenerse actualizado en todo momento por parte de los responsables de tratamiento  y que contendrá, entre otras cuestiones, el nombre y los datos de contacto del responsable y del oficial de protección de datos, los fines del tratamiento, una descripción de las categorías de destinatarios a los que se ceden los datos, las transferencias internacionales.

Oficial de protección de datos

Surge una nueva figura crucial en materia de protección de datos en Costa Rica, se trata del oficial de protección de datos entre cuyas funciones se encuentran:

  • Informar y asesorar al responsable de protección de datos en la materia.
  • Coordinar las políticas, programas, acciones y el resto de actividades para el cumplimiento de la legislación aplicable en la materia.
  • Supervisar al interior de la organización del responsable y del encargado el cumplimiento de la legislación aplicable en la materia

Nuevos derechos

Por otra parte y de cara a garantizar la efectiva aplicación de la ley, se dota a los titulares de una serie de derechos:

  • Derecho de acceso.
  • Derecho de rectificación.
  • Derecho de cancelación.
  • Derecho de oposición.
  • Derecho de portabilidad.

Medidas de seguridad

En lo que se refiere a medidas y controles de seguridad destinados a garantizar la privacidad de los datos personales, hay que incidir en que estos han de ser necesariamente el resultado de la realización de un análisis de riesgos y una evaluación de impacto. En este sentido, la evaluación de impacto deberá incluir como mínimo:

  • Una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento.
  • Una evaluación de necesidad y proporcionalidad de las operaciones de tratamiento con respecto a su finalidad.
  • Una evaluación de los riesgos para os derechos y libertades de los titulares.
  • Las medidas previstas para afrontar los riesgos.

Adicionalmente y en caso de que se produzca una violación a la seguridad de los datos, se fija un plazo de 72 horas desde su detección para notificar la misma a la Agencia de Protección de Datos Personales y a los titulares afectados.

En lo que se refiere a sanciones, aunque no se trata de la versión definitiva, las mismas podrían ascender a multas administrativas de entre cuarenta y uno y sesenta salarios base del cargo de técnico judicial I, según la Ley de Presupuesto de la República o, en caso de ser una empresa, con una multa entre el 2,1% y el 4% del volumen de negocios total del agente económico en el ejercicio fiscal inmediatamente anterior al de la imposición de la sanción, optándose por el rango que represente mayor cuantía.

Debido a la ingente cantidad de requisitos novedosos que trae consigo esta nueva normativa, resulta fundamental abordar un proyecto que garantice un fiel cumplimiento de la legislación, así como de las medidas de seguridad a implementar para asegurar la privacidad de los datos personales.

Cómo podemos ayudarte a implementar el proyecto de Ley nº23-097

En GlobalSuite Solutions, nos enfocamos en convertir el desafío que presenta el Proyecto de Ley n.º 23-097 de Costa Rica en una oportunidad para fortalecer su negocio. Nuestra estrategia se centra en tres pilares clave:

  1. Orientación experta: Nuestro equipo especializado en protección de datos ofrece asesoramiento claro y práctico, asegurando que su empresa no solo entienda la ley, sino que la aplique de forma efectiva y eficiente.
  2. Soluciones tecnológicas innovadoras: Implementamos nuestro módulo de Privacy Data Protection, una solución de vanguardia diseñada para proteger los datos personales y para ayudarte a mantener el cumplimiento en todo lo relativo a seguridad de la información.
  3. Capacitación dinámica: Brindamos programas de capacitación interactivos y atractivos para que su equipo esté preparado y comprometido con las mejores prácticas en protección de datos.

En GlobalSuite Solutions, no solo nos adaptamos a la ley, la hacemos trabajar a su favor. Permita que nuestra experiencia le guíe hacia un futuro más seguro y conforme. Descubre cómo convertir la protección de datos personales una ventaja competitiva para su negocio