N° 40008 - JP
EL PRESIDENTE DE LA REPÚBLICA
Y LA MINISTRA DE JUSTICIA Y PAZ
Con fundamento en los artículos 24 y 140 incisos 3), 8) y 18) de la
Constitución Política; el artículo 27 y concordantes de la Ley General de la Administración
Pública, N° 6227 de 2 de mayo de 1978 y sus reformas; la Ley de Protección de
la Persona Frente al Tratamiento de sus Datos Personales, Nº 8968 del 7 de
julio del 2011.
Considerando:
1º-Que el Estado democrático y constitucional de
derecho costarricense está comprometido en garantizar a cualquier persona, el
respeto a sus derechos fundamentales, incluyendo la protección de los datos
personales de los habitantes conforme a la ley.
2º-Que mediante Ley Nº 8968 del 7 de julio del 2011,
se promulgó la Ley de Protección de la Persona Frente al Tratamiento de sus
Datos Personales, siendo que la misma en su Transitorio III impone al Poder
Ejecutivo emitir la debida reglamentación.
3º-Que mediante decreto ejecutivo N° 37554-JP, dado en
la Presidencia de la República a los treinta días del mes de octubre de dos mil
doce, publicado en el Diario Oficial la Gaceta, número cuarenta y cinco, de
cinco de marzo de dos mil trece, se emitió el Reglamento a la Ley de Protección
de la Persona frente al Tratamiento de sus Datos Personales.
4º-Que se ha determinado la necesidad de reformar
varias disposiciones del citado Reglamento, a efecto de aclarar algunos
aspectos que han suscitado dudas, facilitar la debida aplicación de la ley y
coadyuvar con la simplificación de trámites. Las reformas buscan precisar mejor
el ámbito de aplicación de la Ley N° 8968 en cuanto a las bases de datos
internas, transferencias de datos, subcontratación del proveedor de servicios o
intermediario tecnológico y entidades financieras. Asimismo, se precisan
algunos requisitos relacionados con el consentimiento para el tratamiento de
datos personales, el derecho al olvido, el registro de bases de datos y la
forma de cálculo y cobro del canon en el caso de contratos globales. También se suprime la figura del "superusuario", que no existe como tal ni en la Ley N° 8968
ni en el Derecho comparado, sin perjuicio de las facultades de verificación e
inspección de la Agencia de Protección de Datos previstas en otras
disposiciones legales y reglamentarias.
Por tanto,
DECRETAN:
ARTÍCULO 1.- Refórmense los
incisos c), f), j), n) y w), y adiciónese un nuevo inciso z), al artículo 2 del
Decreto Ejecutivo N° 37554-JP de 30 de octubre de 2012, para que se lean así:
"(.)
c) Base de datos interna, personal o doméstica: Se considerará como base
de datos personal o doméstica, cualquier archivo, fichero, registro u otro
conjunto estructurado de datos personales restringidos o de acceso irrestricto,
mantenidos por personas físicas, siempre y cuando las bases de datos o su
contenido no sea comercializado, distribuido o difundido. Se considerará como
base de datos interna cualquier archivo, fichero, registro u otro conjunto
estructurado de datos personales mantenidos por personas jurídicas, públicas o
privadas, siempre y cuando las bases de datos o su contenido no sea
comercializado, distribuido o difundido. Conservarán la calidad de base de
datos interna, aquellas bases de datos que sean compartidas dentro de un mismo
grupo de interés económico ya sea local o con presencia internacional siempre
que no medie difusión o distribución a terceros, venta o comercialización de
cualquier naturaleza.
(.)
f) Consentimiento del titular de los datos personales: Toda
manifestación de voluntad expresa, libre, inequívoca, informada y específica
que se otorgue por escrito o en medio digital para un fin determinado, mediante
la cual el titular de los datos personales o su representante, consienta el
tratamiento de sus datos personales. Si el consentimiento se otorga en el marco
de un contrato para otros fines, dicho contrato deberá contar con una cláusula
específica e independiente sobre consentimiento del tratamiento de datos
personales.
(.)
j) Distribución, difusión: Cualquier forma en la que se repartan o
publiquen datos personales, a un tercero, por cualquier medio siempre que medie
un fin de comercializar el dato o medie el lucro con la base de datos.
(.)
n) Intermediario tecnológico o proveedor de servicios: Persona física o
jurídica, pública o privada que brinde servicios de infraestructura,
plataforma, software u otros servicios.
(.)
w) Transferencia de datos personales: Acción mediante la cual se
trasladan datos personales del responsable de una base de datos personales a
cualquier tercero distinto del propio responsable, de su grupo de interés
económico, del encargado, proveedor de servicios o intermediario tecnológico,
en estos casos siempre y cuando el receptor no use los datos para distribución,
difusión o comercialización.
(.)
z) Grupo de interés económico: agrupación de sociedades que se
manifiesta mediante una unidad de decisión, es decir, la reunión de todos los
elementos de mando o dirección empresarial por medio de un centro de
operaciones, y se exterioriza mediante dos movimientos básicos: el criterio de
unidad de dirección, ya sea por subordinación o por colaboración entre
empresas, o el criterio de dependencia económica de las sociedades que se
agrupan, sin importar que la personalidad jurídica de las sociedades se vea
afectada, o que su patrimonio sea objeto de transferencia, independientemente
de su domicilio y razón social. Cuando la PRODHAB lo requiera la condición de
grupo de interés económico podrá ser demostrada al menos por medio de una
declaración notarial jurada o documento legal equivalente de la jurisdicción del
titular de la base de datos sin perjuicio de las facultades de investigación de
la PRODHAB."