La Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales No. 8968 en su artículo 2 indica, que no será de aplicación a las bases de datos mantenidas por personas físicas o jurídicas con fines exclusivamente internos, personales o domésticos, siempre y cuando estas no sean vendidas o de cualquier otra manera comercializadas. A su vez, el artículo 21 de la misma Ley hace referencia a que se deben de inscribir las bases de datos, sean públicas o privadas, administradas con fines de distribución, difusión o comercialización. Quedan exentas las bases de datos de entidades financieras que se encuentran sujetas al control y regulación de la SUGEF las cuales no requerirán inscribirse ante la PRODHAB (Agencia de Protección de Datos de los Habitantes).
La PRODHAB se ha referido sobre esta consulta indicando que:
Se considera una base de datos personal o doméstica, siempre y cuando las bases de datos o su contenido no sea comercializado, distribuido o difundido, y que son compartidas dentro de un mismo grupo de interés económico, ya sea local o con presencia internacional, siempre que no medie difusión o distribución a terceros, venta o comercialización de cualquier naturaleza.
Queda a criterio del titular de la base considerar si su base debe inscribirse, es vital este análisis para evitar sanciones en caso de que sí deba realizar la inscripción conforme a lo indicado con anterioridad.
Lo anterior debido a que la no inscripción de una base de datos de carácter personal ante la PRODHAB implica la comisión de una falta gravísima según la Ley supracitada. La sanción a nivel administrativo podría ser una multa de hasta 30 salarios base, u otras que podrían interponer personas afectadas nivel jurisdiccional.
En los artículos 29 y siguientes de la Ley No. 8968, se categorizan las faltas objeto de proceso de protección de datos en Leves, Graves y Gravísimas. Dentro de las faltas gravísimas se encuentran el recolectar, almacenar, transmitir o de cualquier otra forma emplear, por parte de personas físicas o jurídicas privadas, datos sensibles, entiéndase como datos sensibles la información relativa al fuero íntimo de la persona, entre ellos los que revelen origen racial, opiniones políticas, convicciones religiosas o espirituales, condición socioeconómica, información biomédica o genética, vida y orientación sexual, entre otros (Artículo 3 de la Ley No. 8968). Otra falta considerada gravísima es transferir, a las bases de datos de terceros países, información de carácter personal de los costarricenses o de los extranjeros radicados en el país, sin el consentimiento de sus titulares.
No se considera transferencia el traslado de datos personales del responsable de una base de datos a un encargado, proveedor de servicios o intermediario tecnológico o las empresas del mismo grupo de interés económico.
Para entender los conceptos de transferir, comercializar o distribuir datos personales el Reglamento a la Ley de Protección de la Persona frente al Tratamiento de Datos Personales No. 37554, incluye estas definiciones en los incisos del artículo 2, reformados mediante Decreto No. 40008JP del 19 de julio del 2016, indicando lo siguiente:
- Base de datos interna, personal o doméstica:
Se considerará como base de datos personal o doméstica, cualquier archivo, fichero, registro u otro conjunto estructurado de datos personales restringidos o de acceso irrestricto, mantenidos por personas físicas, siempre y cuando las bases de datos o su contenido no sea comercializado, distribuido o difundido. Se considerará como base de datos interna cualquier archivo, fichero, registro u otro conjunto estructurado de datos personales mantenidos por personas jurídicas, públicas o privadas, siempre y cuando las bases de datos o su contenido no sea comercializado, distribuido o difundido. Conservarán la calidad de base de datos interna, aquellas bases de datos que sean compartidas dentro de un mismo grupo de interés económico ya sea local o con presencia internacional siempre que no medie difusión o distribución a terceros, venta o comercialización de cualquier naturaleza.
- Comercializar:
Vender, transar, intercambiar o de cualquier manera enajenar o pignorar, con fines de lucro a favor de un tercero, una o más veces, aquellos datos personales que consten en bases de datos.
- Distribución, difusión:
Cualquier forma en la que se repartan o publiquen datos personales, a un tercero, por cualquier medio siempre que medie un fin de comercializar el dato o medie el lucro con la base de datos.
- Transferencia de datos personales:
Acción mediante la cual se trasladan datos personales del responsable de una base de datos personales a cualquier tercero distinto del propio responsable, de su grupo de interés económico, del encargado, proveedor de servicios o intermediario tecnológico, en estos casos siempre y cuando el receptor no use los datos para distribución, difusión o comercialización.
Es importante aclarar que de acuerdo al Reglamento citado, el régimen de protección de los datos de carácter personal que se establece en la misma norma no será de aplicación a los datos que se refieran a personas físicas en su calidad de profesionales siempre y cuando ello se realice para fines propios de la profesión o en cumplimiento de disposiciones legales.
- Inscripción de Bases de Datos:
El costo del canon por concepto de inscripción es de $200 (doscientos dólares).
Para inscribir bases de datos ante la PRODHAB, se deben de presentar los respectivos formularios de inscripción y requisitos adicionales de conformidad con el artículo 44 del reglamento.
Fuentes:
Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales No. 8968
Reglamento a la Ley de Protección de la Persona frente al Tratamiento de sus Datos Personales
N° 37554-JP
Página web oficial de la PRODHAB http://www.prodhab.go.cr/