La Ley No. 8968 de 2011 de Costa Rica, para asegurar la privacidad de los datos

La Ley de Costa Rica No. 8968, llamada Ley de Protección de la Persona frente al Tratamiento de sus Datos Personales, es una normativa de protección de datos aprobada en 2011. Si bien la ley impone diversas obligaciones a los responsables del tratamiento de datos en concordancia con otras leyes de privacidad como la ley canadiense PIPEDA y la Ley de Derechos de Privacidad de California (CCPA), la Ley de Protección de la Persona frente al Tratamiento de sus Datos Personales del 2011 aún no ha sido aplicada estrictamente en Costa Rica. Como resultado de esto, el cumplimiento de la ley en lo que respecta al gobierno y al sector privado ha sido extremadamente bajo. No obstante, la ley ofrece a los ciudadanos costarricenses una cierta protección, ya que establece las responsabilidades tanto de los responsables como de los encargados del tratamiento de datos.

¿Cuál es el alcance y la aplicabilidad de dicha ley?

En cuanto al ámbito de aplicación de la ley, todos los individuos, las organizaciones empresariales y los organismos gubernamentales están obligados a regirse por ella en todo momento. Sin embargo, existen excepciones a esta obligatoriedad, ya que “La Ley no será aplicable a ninguna base de datos mantenida por personas físicas o jurídicas con fines exclusivamente internos, personales y/o domésticos”. En cuanto a la competencia territorial y el alcance de la ley, la Ley de Protección de la Persona frente al Tratamiento de sus Datos Personales No. 8968 de 2011 establece que “la Ley se aplica a los datos personales que se encuentren en bases de datos automatizadas o manuales de organizaciones públicas o privadas y a cualquier forma de uso posterior de dichos datos, que tenga efecto dentro del territorio de Costa Rica o cuando la legislación costarricense se aplique en virtud de un contrato o del derecho internacional”.

Asimismo, la ley define los datos personales como “Toda información relativa a una persona viva identificada o identificable”, a su vez la información sensible es definida como “la información relativa a la información sensible de una persona, que no puede ser almacenada salvo en circunstancias muy específicas. Esto incluye los datos personales que revelan el origen racial o étnico, las opiniones políticas, las creencias religiosas o filosóficas, las convicciones espirituales, la condición socioeconómica, la información biomédica o genética, la salud, la vida sexual y la orientación sexual”.

¿Cuáles son los principios de protección de datos que establece la ley?

De acuerdo con la Ley de Protección de la Persona frente al Tratamiento de sus Datos Personales, los responsables y encargados de datos dentro de Costa Rica deben mantener y actuar de acuerdo con varios principios orientados a proteger los derechos de privacidad de los datos de los ciudadanos. Dichos principios son los siguientes:

• Principio de consentimiento informado: la ley establece que el consentimiento expreso e informado es obligatorio para todo tratamiento de datos personales, en ausencia de una exención.
• Limitación de la finalidad: los datos personales sólo pueden recogerse y utilizarse con fines explícitos, específicos y legítimos; los datos personales no pueden recogerse ni utilizarse en ningún contexto fuera de estos fines.
• Exactitud: todos los datos personales que se recojan y traten deben ser exactos. Los responsables del tratamiento se deben encargar de tomar las medidas necesarias para garantizar que los datos personales no sean inexactos ni estén incompletos, con respecto a los fines para los que se recogieron, trataron, rectificaron o eliminaron.
• Actualización: todos los datos personales que se recojan y traten deben ser actuales y no podrán conservarse durante más tiempo del necesario para cumplir los fines para los que se recogieron.
• Veracidad: los responsables del tratamiento están obligados a modificar o suprimir los datos personales que resulten ser incorrectos. Del mismo modo, los encargados del tratamiento también están obligados a garantizar que los datos personales se traten de forma veraz y lícita.

Además de estos principios de protección de datos, uno de los principales aspectos de la ley es el deber de los responsables y encargados del tratamiento de obtener el consentimiento expreso e informado de los interesados antes de recoger o tratar sus datos. Según la ley, el consentimiento debe ser “inequívoco, libremente otorgado, específico y entregado por medios escritos o digitales”. Además, a la hora de obtener el consentimiento de los titulares de los datos debe facilitarse la siguiente información:

• la existencia de una base de datos privada para el almacenamiento de los datos personales
• las finalidades de la recogida de los datos personales
• los destinatarios finales de los datos personales del interesado, así como terceros u otros individuos que también tendrán acceso a dichos datos personales
• la existencia o no de una obligación por parte del interesado de facilitar sus datos personales al responsable del tratamiento y las consecuencias que pudieran derivarse de no hacerlo
• información sobre los derechos de los interesados según la ley
• el nombre y la dirección de la empresa que administrará la base de datos

¿Cuáles son los derechos de los interesados según la ley?

Además de que las disposiciones de la ley se aplican de forma mediocre, los derechos de los interesados en virtud de la Ley de Protección de la Persona frente al Tratamiento de sus Datos Personales No. 8968 de 2011 también presentan graves carencias en comparación con muchas leyes de privacidad modernas. Para ilustrar este punto aún más, la ley no proporciona a los ciudadanos costarricenses el derecho a ser informados, el derecho a objetar o excluirse, el derecho a la portabilidad de los datos o el derecho a no ser sometidos a la toma de decisiones automatizadas en lo que respecta a la recogida y el tratamiento de sus datos personales. Sin embargo, la ley otorga a los ciudadanos los derechos de acceso, rectificación y supresión. En lo que respecta al derecho de los interesados a la supresión, los responsables y encargados del tratamiento mantienen, sin embargo, el derecho a rechazar dichas solicitudes.

Con relación a las sanciones a los violadores de la normativa, La Ley de Protección de la Persona frente al Tratamiento de sus Datos Personales se hace cumplir por la Autoridad de Protección de Datos de Costa Rica (PRODHAB), entidad con la facultad de imponer una variedad de sanciones monetarias que oscilan entre los 3000 y los 18000 dólares. En casos más graves de incumplimiento, la PRODHAB cuenta, además, con la facultad de exigir que un responsable o encargado del tratamiento de datos descontinúe el uso de su base de datos por un período de tiempo de entre uno y seis meses.

Aunque Costa Rica todavía tiene un largo camino que recorrer en lo que respecta a la aplicación de la Ley de Protección de la Persona frente al Tratamiento de sus Datos Personales No. 8968 de 2011, la normativa sirve, no obstante, como una barrera de protección para los ciudadanos costarricenses frente a la posible invasión de su privacidad. Así, Costa Rica se encuentra en una posición similar a la de muchos otros países del mundo que ostentan algún nivel de legislación de privacidad por escrito, si bien anticuado en el contexto de las realidades de los datos personales y la privacidad en la era de internet. En este sentido, queda a los ciudadanos costarricenses esperar que en un futuro próximo se apruebe en el país una política de privacidad integral mejorada.