Texto Completo acta: DCEF7
Nº 8968
LA ASAMBLEA
LEGISLATIVA
DE
LA REPÚBLICA DE
COSTA RICA
DECRETA:
PROTECCIÓN DE
LA PERSONA FRENTE AL
TRATAMIENTO DE SUS
DATOS PERSONALES
CAPÍTULO I
DISPOSICIONES
GENERALES
SECCIÓN ÚNICA
ARTÍCULO 1.- Objetivo y fin
Esta ley es de orden público y tiene como objetivo
garantizar a cualquier persona, independientemente de su nacionalidad,
residencia o domicilio, el respeto a sus derechos fundamentales, concretamente,
su derecho a la autodeterminación informativa en relación con su vida o
actividad privada y demás derechos de la personalidad, así como la defensa de
su libertad e igualdad con respecto al tratamiento automatizado o manual de los
datos correspondientes a su persona o bienes.
Ficha articulo
ARTÍCULO 2.- Ámbito de aplicación
Esta ley será de aplicación a los datos personales que
figuren en bases de datos automatizadas o manuales, de organismos públicos o
privados, y a toda modalidad de uso posterior de estos datos.
El régimen de protección de los datos de carácter
personal que se establece en esta ley no será de aplicación a las bases de
datos mantenidas por personas físicas o jurídicas con fines exclusivamente
internos, personales o domésticos, siempre y cuando estas no sean vendidas o de
cualquier otra manera comercializadas.
Ficha articulo
ARTÍCULO 3.- Definiciones
Para los efectos de la presente ley se define lo
siguiente:
a) Base de datos: cualquier archivo, fichero,
registro u otro conjunto estructurado de datos personales, que sean objeto de
tratamiento o procesamiento, automatizado o manuales, cualquiera que sea la
modalidad de su elaboración, organización o acceso.
b) Datos
personales: cualquier dato relativo a una persona física identificada o
identificable.
c) Datos
personales de acceso irrestricto: los contenidos en bases de datos públicas de
acceso general, según dispongan leyes especiales y de conformidad con la
finalidad para la cual estos datos fueron recabados.
d) Datos
personales de acceso restringido: los que, aun formando parte de registros de
acceso al público, no son de acceso irrestricto por ser de interés solo para su
titular o para
la Administración Pública.
e) Datos sensibles:
información relativa al fuero íntimo de la persona, como por ejemplo los que
revelen origen racial, opiniones políticas, convicciones religiosas o
espirituales, condición socioeconómica, información biomédica o genética, vida
y orientación sexual, entre otros.
f) Deber de
confidencialidad: obligación de los responsables de bases de datos, personal a
su cargo y del personal de la
Agencia de Protección de Datos de los Habitantes (Prodhab),
de guardar la confidencialidad con ocasión del ejercicio de las facultades
dadas por esta ley, principalmente cuando se acceda a información sobre datos
personales y sensibles. Esta obligación perdurará aun después de finalizada la
relación con la base de datos.
g) Interesado:
persona física, titular de los datos que sean objeto del tratamiento
automatizado o manual.
h) Responsable
de la base de datos: persona física o jurídica que administre, gerencie o se
encargue de la base de datos, ya sea esta una entidad pública o privada,
competente, con arreglo a la ley, para decidir cuál es la finalidad de la base
de datos, cuáles categorías de datos de carácter personal deberán registrase y
qué tipo de tratamiento se les aplicarán.
i) Tratamiento
de datos personales: cualquier operación o conjunto de operaciones, efectuadas
mediante procedimientos automatizados o manuales y aplicadas a datos
personales, tales como la recolección, el registro, la organización, la
conservación, la modificación, la extracción, la consulta, la utilización, la
comunicación por transmisión, difusión o cualquier otra forma que facilite el
acceso a estos, el cotejo o la interconexión, así como su bloqueo, supresión o
destrucción, entre otros.
Ficha articulo
CAPÍTULO II
PRINCIPIOS Y DERECHOS
BÁSICOS PARA LA
PROTECCIÓN DE DATOS
PERSONALES
SECCIÓN I
PRINCIPIOS Y DERECHOS
BÁSICOS
ARTÍCULO 4.- Autodeterminación informativa
Toda persona tiene derecho a la autodeterminación
informativa, la cual abarca el conjunto de principios y garantías relativas al
legítimo tratamiento de sus datos personales reconocidos en esta sección.
Se reconoce también la autodeterminación informativa
como un derecho fundamental, con el objeto de controlar el flujo de informaciones
que conciernen a cada persona, derivado del derecho a la privacidad, evitando
que se propicien acciones discriminatorias.
Ficha articulo
ARTÍCULO 5.- Principio de consentimiento informado
1.- Obligación de
informar
Cuando se soliciten datos de carácter personal será
necesario informar de previo a las personas titulares o a sus representantes,
de modo expreso, preciso e inequívoco:
a) De la existencia de
una base de datos de carácter personal.
b) De los fines que se
persiguen con la recolección de estos datos.
c) De los destinatarios
de la información, así como de quiénes podrán consultarla.
d) Del carácter
obligatorio o facultativo de sus respuestas a las preguntas que se le formulen
durante la recolección de los datos.
e) Del tratamiento que
se dará a los datos solicitados.
f) De las consecuencias de la negativa a suministrar
los datos.
g) De la posibilidad de ejercer los derechos que
le asisten.
h) De la identidad y dirección del responsable
de la base de datos.
Cuando se utilicen
cuestionarios u otros medios para la recolección de datos personales figurarán
estas advertencias en forma claramente legible.
2.- Otorgamiento del consentimiento
Quien recopile datos personales deberá obtener el
consentimiento expreso de la persona titular de los datos o de su
representante. Este consentimiento deberá constar por escrito, ya sea en un
documento físico o electrónico, el cual podrá ser revocado de la misma forma,
sin efecto retroactivo.
No será necesario el consentimiento expreso cuando:
a) Exista
orden fundamentada, dictada por autoridad judicial competente o acuerdo
adoptado por una comisión especial de investigación de
la Asamblea Legislativa
en el ejercicio de su cargo.
b) Se
trate de datos personales de acceso irrestricto, obtenidos de fuentes de acceso
público general.
c) Los
datos deban ser entregados por disposición constitucional o legal.
Se prohíbe el acopio de datos sin el consentimiento
informado de la persona, o bien, adquiridos por medios fraudulentos, desleales
o ilícitos.
Ficha articulo
ARTÍCULO 6.- Principio de calidad de la información
Solo podrán ser recolectados, almacenados o empleados
datos de carácter personal para su tratamiento automatizado o manual, cuando
tales datos sean actuales, veraces, exactos y adecuados al fin para el que
fueron recolectados.
1.- Actualidad
Los datos de carácter personal deberán ser actuales.
El responsable de la base de datos eliminará los datos que hayan dejado de ser
pertinentes o necesarios, en razón de la finalidad para la cual fueron
recibidos y registrados. En ningún caso, serán conservados los datos personales
que puedan afectar, de cualquier modo, a su titular, una vez transcurridos diez
años desde la fecha de ocurrencia de los hechos registrados, salvo disposición
normativa especial que disponga otra cosa. En caso de que sea necesaria su
conservación, más allá del plazo estipulado, deberán ser desasociados de su
titular.
2. Veracidad
Los datos de carácter personal deberán ser veraces.
La persona responsable de la base de datos está
obligado a modificar o suprimir los datos que falten a la verdad. De la misma
manera, velará por que los datos sean tratados de manera leal y lícita.
3.- Exactitud
Los datos de carácter personal deberán ser exactos. La
persona responsable de la base de datos tomará las medidas necesarias para que
los datos inexactos o incompletos, con respecto a los fines para los que fueron
recogidos o para los que fueron tratados posteriormente, sean suprimidos o
rectificados.
Si los datos de carácter personal registrados resultan
ser inexactos en todo o en parte, o incompletos, serán eliminados o sustituidos
de oficio por la persona responsable de la base de datos, por los
correspondientes datos rectificados, actualizados o complementados. Igualmente,
serán eliminados si no media el consentimiento informado o está prohibida su
recolección.
4.- Adecuación al fin
Los datos de carácter personal serán recopilados con
fines determinados, explícitos y legítimos, y no serán tratados posteriormente
de manera incompatible con dichos fines.
No se considerará incompatible el tratamiento
posterior de datos con fines históricos, estadísticos o científicos, siempre y
cuando se establezcan las garantías oportunas para salvaguardar los derechos
contemplados en esta ley.
Las bases de datos no pueden tener finalidades
contrarias a las leyes ni a la moral pública.
Ficha articulo
ARTÍCULO 7.- Derechos que le asisten a la persona
Se garantiza el derecho de toda persona al acceso de
sus datos personales, rectificación o supresión de estos y a consentir la
cesión de sus datos.
La persona responsable de la base de datos debe
cumplir lo solicitado por la persona, de manera gratuita, y resolver en el
sentido que corresponda en el plazo de cinco días hábiles, contado a partir de
la recepción de la solicitud.
1.- Acceso a la
información
La información deberá ser almacenada en forma tal que
se garantice plenamente el derecho de acceso por la persona interesada.
El derecho de acceso a la información personal
garantiza las siguientes facultades del interesado:
a) Obtener
en intervalos razonables, según se disponga por reglamento, sin demora y a
título gratuito, la confirmación o no de la existencia de datos suyos en
archivos o bases de datos. En caso de que sí existan datos suyos, estos deberán
ser comunicados a la persona interesada en forma precisa y entendible.
b) Recibir
la información relativa a su persona, así como la finalidad con que fueron
recopilados y el uso que se le ha dado a sus datos personales. El informe
deberá ser completo, claro y exento de codificaciones. Deberá estar acompañado
de una explicación de los términos técnicos que se utilicen.
c) Ser
informado por escrito de manera amplia, por medios físicos o electrónicos,
sobre la totalidad del registro perteneciente al titular, aun cuando el
requerimiento solo comprenda un aspecto de los datos personales. Este informe
en ningún caso podrá revelar datos pertenecientes a terceros, aun cuando se
vinculen con la persona interesada, excepto cuando con ellos se pretenda
configurar un delito penal.
d) Tener
conocimiento, en su caso, del sistema, programa, método o proceso utilizado en
los tratamientos de sus datos personales.
El ejercicio del derecho al cual se refiere este
artículo, en el caso de datos de personas fallecidas, le corresponderá a sus
sucesores o herederos.
2.- Derecho de
rectificación
Se garantiza el derecho de obtener, llegado el caso,
la rectificación de los datos personales y su actualización o la eliminación de
estos cuando se hayan tratado con infracción a las disposiciones de la presente
ley, en particular a causa del carácter incompleto o inexacto de los datos, o
hayan sido recopilados sin autorización del titular.
Todo titular puede solicitar y obtener de la persona
responsable de la base de datos, la rectificación, la actualización, la
cancelación o la eliminación y el cumplimiento de la garantía de
confidencialidad respecto de sus datos personales.
El ejercicio del derecho al cual se refiere este
artículo, en el caso de datos de personas fallecidas, le corresponderá a sus
sucesores o herederos.
Ficha articulo
ARTÍCULO 8.- Excepciones a la autodeterminación informativa del ciudadano
Los principios, los derechos y las garantías aquí
establecidos podrán ser limitados de manera justa, razonable y acorde con el
principio de transparencia administrativa, cuando se persigan los siguientes
fines:
a) La
seguridad del Estado.
b) La
seguridad y el ejercicio de la autoridad pública.
c) La
prevención, persecución, investigación, detención y represión de las
infracciones penales, o de las infracciones de la deontología en las
profesiones.
d) El
funcionamiento de bases de datos que se utilicen con fines estadísticos,
históricos o de investigación científica, cuando no exista riesgo de que las
personas sean identificadas.
e) La
adecuada prestación de servicios públicos.
f) La
eficaz actividad ordinaria de
la Administración, por parte de las autoridades
oficiales.
Ficha articulo
SECCIÓN II
CATEGORÍAS ESPECIALES
DEL
TRATAMIENTO DE LOS
DATOS
ARTÍCULO 9.- Categorías particulares de los datos
Además de las reglas generales establecidas en esta
ley, para el tratamiento de los datos personales, las categorías particulares de
los datos que se mencionarán, se regirán por las siguientes disposiciones:
1.- Datos sensibles
Ninguna persona estará obligada a suministrar datos
sensibles. Se prohíbe el tratamiento de datos de carácter personal que revelen el
origen racial o étnico, opiniones políticas, convicciones religiosas,
espirituales o filosóficas, así como los relativos a la salud, la vida y la
orientación sexual, entre otros.
Esta prohibición no se aplicará cuando:
a) El
tratamiento de los datos sea necesario para salvaguardar el interés vital del
interesado o de otra persona, en el supuesto de que la persona interesada esté
física o jurídicamente incapacitada para dar su consentimiento.
b) El
tratamiento de los datos sea efectuado en el curso de sus actividades legítimas
y con las debidas garantías por una fundación, una asociación o cualquier otro
organismo, cuya finalidad sea política, filosófica, religiosa o sindical,
siempre que se refiera exclusivamente a sus miembros o a las personas que mantengan
contactos regulares con la fundación, la asociación o el organismo, por razón
de su finalidad y con tal de que los datos no se comuniquen a terceros sin el
consentimiento de las personas interesadas.
c) El
tratamiento se refiera a datos que la persona interesada haya hecho públicos
voluntariamente o sean necesarios para el reconocimiento, el ejercicio o la
defensa de un derecho en un procedimiento judicial.
d) El
tratamiento de los datos resulte necesario para la prevención o para el
diagnóstico médico, la prestación de asistencia sanitaria o tratamientos
médicos, o la gestión de servicios sanitarios, siempre que dicho tratamiento de
datos sea realizado por un funcionario o funcionaria del área de la salud,
sujeto al secreto profesional o propio de su función, o por otra persona
sujeta, asimismo, a una obligación equivalente de secreto.
2.- Datos personales
de acceso restringido
Datos personales de acceso restringido son los que,
aun formando parte de registros de acceso al público, no son de acceso irrestricto
por ser de interés solo para su titular o para
la
Administración Pública. Su tratamiento será permitido
únicamente para fines públicos o si se cuenta con el consentimiento expreso del
titular.
3.- Datos personales
de acceso irrestricto
Datos personales de acceso irrestricto son los
contenidos en bases de datos públicas de acceso general, según lo dispongan las
leyes especiales y de conformidad con la finalidad para la cual estos datos
fueron recabados.
No se considerarán contemplados en esta categoría: la
dirección exacta de la residencia, excepto si su uso es producto de un mandato,
citación o notificación administrativa o judicial, o bien, de una operación
bancaria o financiera, la fotografía, los números de teléfono privados y otros
de igual naturaleza cuyo tratamiento pueda afectar los derechos y los intereses
de la persona titular.
4.- Datos referentes al comportamiento crediticio
Los datos referentes al comportamiento crediticio se
regirán por las normas que regulan el Sistema Financiero Nacional, de modo que
permitan garantizar un grado de riesgo aceptable por parte de las entidades
financieras, sin impedir el pleno ejercicio del derecho a la autodeterminación
informativa ni exceder los límites de esta ley.
Ficha articulo
SECCIÓN III
SEGURIDAD Y
CONFIDENCIALIDAD
DEL TRATAMIENTO DE
LOS DATOS
ARTÍCULO 10.- Seguridad de los datos
El responsable de la base de datos deberá adoptar las
medidas de índole técnica y de organización necesarias para garantizar la seguridad
de los datos de carácter personal y evitar su alteración, destrucción
accidental o ilícita, pérdida, tratamiento o acceso no autorizado, así como
cualquier otra acción contraria a esta ley.
Dichas medidas deberán incluir, al menos, los
mecanismos de seguridad física y lógica más adecuados de acuerdo con el
desarrollo tecnológico actual, para garantizar la protección de la información
almacenada.
No se registrarán datos personales en bases de datos
que no reúnan las condiciones que garanticen plenamente su seguridad e
integridad, así como la de los centros de tratamiento, equipos, sistemas y
programas.
Por vía de reglamento se establecerán los requisitos y
las condiciones que deban reunir las bases de datos automatizadas y manuales, y
de las personas que intervengan en el acopio, almacenamiento y uso de los
datos.
Ficha articulo
ARTÍCULO 11.- Deber de confidencialidad
La persona responsable y quienes intervengan en
cualquier fase del tratamiento de datos personales están obligadas al secreto
profesional o funcional, aun después de finalizada su relación con la base de
datos. La persona obligada podrá ser relevado del deber de secreto por decisión
judicial en lo estrictamente necesario y dentro de la causa que conoce.
Ficha articulo
ARTÍCULO 12.- Protocolos de actuación
Las personas físicas y jurídicas, públicas y privadas,
que tengan entre sus funciones la recolección, el almacenamiento y el uso de
datos personales, podrán emitir un protocolo de actuación en el cual
establecerán los pasos que deberán seguir en la recolección, el almacenamiento
y el manejo de los datos personales, de conformidad con las reglas previstas en
esta ley.
Para que sean válidos, los protocolos de actuación
deberán ser inscritos, así como sus posteriores modificaciones, ante
la Prodhab. La Prodhab
podrá verificar, en cualquier momento, que la base de datos esté cumpliendo
cabalmente con los términos de su protocolo.
La manipulación de datos con base en un protocolo de
actuación inscrito ante la
Prodhab hará presumir, "iuris tantum", el cumplimiento de las
disposiciones contenidas en esta ley, para los efectos de autorizar la cesión
de los datos contenidos en una base.
Ficha articulo
ARTÍCULO 13.- Garantías efectivas
Toda persona interesada tiene derecho a un
procedimiento administrativo sencillo y rápido ante
la Prodhab, con el fin de ser
protegido contra actos que violen sus derechos fundamentales reconocidos por
esta ley. Lo anterior sin perjuicio de las garantías jurisdiccionales generales
o específicas que la ley establezca para este mismo fin.
Ficha articulo
CAPÍTULO III
TRANSFERENCIA DE
DATOS PERSONALES
SECCIÓN ÚNICA
ARTÍCULO 14.- Transferencia de datos personales, regla general
Los responsables de las bases de datos, públicas o
privadas, solo podrán transferir datos contenidos en ellas cuando el titular
del derecho haya autorizado expresa y válidamente tal transferencia y se haga
sin vulnerar los principios y derechos reconocidos en esta ley.
Ficha articulo
CAPÍTULO IV
AGENCIA DE PROTECCIÓN
DE DATO
DE LOS HABITANTES
(Prodhab)
SECCIÓN I
DISPOSICIONES
GENERALES
ARTÍCULO 15.- Agencia de Protección de Datos de los habitantes (Prodhab)
Créase un órgano de desconcentración máxima adscrito al
Ministerio de Justicia y Paz denominado Agencia de Protección de Datos de los
habitantes (Prodhab). Tendrá personalidad jurídica instrumental propia en el
desempeño de las funciones que le asigna esta ley, además de la administración
de sus recursos y presupuesto, así como para suscribir los contratos y
convenios que requiera para el cumplimiento de sus funciones.
La Agencia gozará de
independencia de criterio.
Ficha articulo
ARTÍCULO 16.- Atribuciones
Son atribuciones de
la Prodhab, además de las
otras que le impongan esta u otras normas, las siguientes:
a) Velar
por el cumplimiento de la normativa en materia de protección de datos, tanto
por parte de personas físicas o jurídicas privadas, como por entes y órganos
públicos.
b) Llevar
un registro de las bases de datos reguladas por esta ley.
c) Requerir,
de quienes administren bases de datos, las informaciones necesarias para el
ejercicio de su cargo, entre ellas, los protocolos utilizados.
d) Acceder
a las bases de datos reguladas por esta ley, a efectos de hacer cumplir
efectivamente las normas sobre protección de datos personales. Esta atribución
se aplicará para los casos concretos presentados ante
la Agencia y,
excepcionalmente, cuando se tenga evidencia de un mal manejo generalizado de la
base de datos o sistema de información.
e) Resolver
sobre los reclamos por infracción a las normas sobre protección de los datos
personales.
f) Ordenar,
de oficio o a petición de parte, la supresión, rectificación, adición o
restricción en la circulación de las informaciones contenidas en los archivos y
las bases de datos, cuando estas contravengan las normas sobre protección de
los datos personales.
g) Imponer
las sanciones establecidas, en el artículo 28 de esta ley, a las personas
físicas o jurídicas, públicas o privadas, que infrinjan las normas sobre protección
de los datos personales, y dar traslado al Ministerio Público de las que puedan
configurar delito.
h) Promover
y contribuir en la redacción de normativa tendiente a implementar las normas
sobre protección de los datos personales.
i) Dictar
las directrices necesarias, las cuales deberán ser publicadas en el diario
oficial La Gaceta,
a efectos de que las instituciones públicas implementen los procedimientos
adecuados respecto del manejo de los datos personales, respetando los diversos
grados de autonomía administrativa e independencia funcional.
j) Fomentar
entre los habitantes el conocimiento de los derechos concernientes al acopio,
el almacenamiento, la transferencia y el uso de sus datos personales.
En el ejercicio de sus atribuciones,
la Prodhab deberá emplear
procedimientos automatizados, de acuerdo con las mejores herramientas
tecnológicas a su alcance.
Ficha articulo
ARTÍCULO 17.- Dirección de la
Agencia
La Dirección de
la Prodhab estará a cargo de un director o una
directora nacional, quien deberá contar, al menos, con el grado académico de
licenciatura en una materia afín al objeto de su función y ser de reconocida
solvencia profesional y moral.
No podrá ser nombrado director o directora nacional
quien sea propietario, accionista, miembro de la junta directiva, gerente,
asesor, representante legal o empleado de una empresa dedicada a la recolección
o el almacenamiento de datos personales. Dicha prohibición persistirá hasta por
dos años después de haber cesado sus funciones o vínculo empresarial. Estará igualmente
impedido quien sea cónyuge o pariente hasta el tercer grado de consanguinidad o
afinidad de una persona que esté en alguno de los supuestos mencionados
anteriormente.
Ficha articulo
ARTÍCULO 18.- Personal de la
Agencia
La Prodhab contará con el personal técnico y
administrativo necesario para el buen ejercicio de sus funciones, designado
mediante concurso por idoneidad, según el Estatuto de Servicio Civil o bien
como se disponga reglamentariamente. El personal está obligado a guardar
secreto profesional y deber de confidencialidad de los datos de carácter
personal que conozca en el ejercicio de sus funciones.
Ficha articulo
ARTÍCULO 19.- Prohibiciones
Todos los empleados y las empleadas de
la Prodhab tienen las
siguientes prohibiciones:
a) Prestar
servicios a las personas o empresas que se dediquen al acopio, el
almacenamiento o el manejo de datos personales. Dicha prohibición persistirá
hasta dos años después de haber cesado sus funciones.
b) Interesarse,
personal e indebidamente, en asuntos de conocimiento de
la Agencia.
c) Revelar
o de cualquier forma propalar los datos personales a que ha tenido acceso con
ocasión de su cargo. Esta prohibición persistirá indefinidamente aun después de
haber cesado en su cargo.
d) En el
caso de los funcionarios y las funcionarias nombrados en plazas de profesional,
ejercer externamente su profesión. Lo anterior tiene como excepción el
ejercicio de la actividad docente en centros de educación superior o la
práctica liberal a favor de parientes por consanguinidad o afinidad hasta el
tercer grado, siempre que no se esté ante el supuesto del inciso a).
La inobservancia de cualquiera de las anteriores
prohibiciones será considerada falta gravísima, para efectos de aplicación del
régimen disciplinario, sin perjuicio de las otras formas de responsabilidad que
tales conductas pudieran acarrear.
Ficha articulo
ARTÍCULO 20.- Presupuesto
El presupuesto de
la Prodhab estará constituido
por lo siguiente:
a) Los
cánones, las tasas y los derechos obtenidos en el ejercicio de sus funciones.
b) Las
transferencias que el Estado realice a favor de
la Agencia.
c) Las
donaciones y subvenciones provenientes de otros estados, instituciones públicas
nacionales u organismos internacionales, siempre que no comprometan la
independencia, transparencia y autonomía de
la Agencia.
d) Lo
generado por sus recursos financieros.
Los montos provenientes del cobro de las multas
señaladas en esta ley serán destinados a la actualización de equipos y
programas de la Prodhab.
La Agencia estará sujeta al cumplimiento de los
principios y al régimen de responsabilidad establecidos en los títulos II y X
de la Ley N.°
8131, Administración Financiera de
la República y Presupuestos Públicos, de 18 de
setiembre de 2001. Además, deberá proporcionar la información requerida por el
Ministerio de Hacienda para sus estudios. En lo demás, se exceptúa a
la Agencia de los alcances y
la aplicación de esa ley. En la fiscalización,
la Agencia estará sujeta,
únicamente, a las disposiciones de
la Contraloría General
de la República.
Ficha articulo
SECCIÓN II
ESTRUCTURA INTERNA
ARTÍCULO 21.- Registro de archivos y bases de datos
Toda base de datos, pública o privada, administrada
con fines de distribución, difusión o comercialización, debe inscribirse en el
registro que al efecto habilite
la Prodhab. La inscripción no implica el trasbase o
la transferencia de los datos.
Deberá inscribir cualesquiera otras informaciones que
las normas de rango legal le impongan y los protocolos de actuación a que hacen
referencia el artículo 12 y el inciso c) del artículo 16 de esta ley.
Ficha articulo
ARTÍCULO 22.- Divulgación
La Prodhab elaborará y ejecutará una estrategia de
comunicación dirigida a permitir que los administrados conozcan los derechos
derivados del manejo de sus datos personales, así como los mecanismos que el
ordenamiento prevé para la defensa de tales prerrogativas. Deberá coordinar con
los gobiernos locales y con
la Defensoría de los Habitantes de
la República la
realización periódica de las actividades de divulgación entre los habitantes de
los cantones.
Asimismo, promoverá entre las personas y empresas que
recolecten, almacenen o manipulen datos personales, la adopción de prácticas y
protocolos de actuación acordes con la protección de dicha información.
Ficha articulo
CAPÍTULO V
PROCEDIMIENTOS
SECCIÓN I
DISPOSICIONES COMUNES
ARTÍCULO 23.-Aplicación supletoria
En lo no previsto expresamente por esta ley y en tanto
sean compatibles con su finalidad, serán aplicables supletoriamente las disposiciones
del libro II de la Ley
General de la Administración Pública.
Ficha articulo
SECCIÓN II
INTERVENCIÓN EN
ARCHIVOS Y BASES DE DATOS
ARTÍCULO 24.- Denuncia
Cualquier persona que ostente un derecho subjetivo o
un interés legítimo puede denunciar, ante
la Prodhab, que una base de datos pública o privada
actúa en contravención de las reglas o los principios básicos para la
protección de los datos y la autodeterminación informativa establecidas en esta
ley.
Ficha articulo
ARTÍCULO 25.- Trámite de las denuncias
Recibida la denuncia, se conferirá al responsable de
la base de datos un plazo de tres días hábiles para que se pronuncie acerca de
la veracidad de tales cargos. La persona denunciada deberá remitir los medios
de prueba que respalden sus afirmaciones junto con un informe, que se
considerará dado bajo juramento. La omisión de rendir el informe en el plazo
estipulado hará que se tengan por ciertos los hechos acusados.
En cualquier momento,
la Prodhab podrá ordenar a la
persona denunciada la presentación de la información necesaria. Asimismo, podrá
efectuar inspecciones in situ en sus archivos o bases de datos. Para
salvaguardar los derechos de la persona interesada, puede dictar, mediante acto
fundado, las medidas cautelares que aseguren el efectivo resultado del
procedimiento.
A más tardar un mes después de la presentación de la
denuncia, la Prodhab
deberá dictar el acto final. Contra su decisión cabrá recurso de
reconsideración dentro del tercer día, el cual deberá ser resuelto en el plazo
de ocho días luego de recibido.
Ficha articulo
ARTÍCULO 26.- Efectos de la resolución estimatoria
Si se determina que la información del interesado es
falsa, incompleta, inexacta, o bien, que de acuerdo con las normas sobre
protección de datos personales esta fue indebidamente recolectada, almacenada o
difundida, deberá ordenarse su inmediata supresión, rectificación, adición o
aclaración, o bien, impedimento respecto de su transferencia o difusión. Si la
persona denunciada no cumple íntegramente lo ordenado, estará sujeta a las
sanciones previstas en esta y otras leyes.
Ficha articulo
ARTÍCULO 27.- Procedimiento sancionatorio
De oficio o a instancia de parte,
la Prodhab podrá iniciar un
procedimiento tendiente a demostrar si una base de datos regulada por esta ley
está siendo empleada de conformidad con sus principios; para ello, deberán
seguirse los trámites previstos en
la Ley General de
la Administración
Pública para el procedimiento ordinario. Contra el acto final
cabrá recurso de reconsideración dentro del tercer día, el cual deberá ser
resuelto en el plazo de ocho días luego de recibido.
Ficha articulo
ARTÍCULO 28.- Sanciones
Si se ha incurrido en alguna de las faltas tipificadas
en esta ley, se deberá imponer alguna de las siguientes sanciones, sin
perjuicio de las sanciones penales correspondientes:
a) Para
las faltas leves, una multa hasta de cinco salarios base del cargo de auxiliar
judicial I, según la Ley
de Presupuesto de la
República.
b) Para las
faltas graves, una multa de cinco a veinte salarios base del cargo de auxiliar
judicial I, según la Ley
de Presupuesto de la
República.
c) Para las
faltas gravísimas, una multa de quince a treinta salarios base del cargo de
auxiliar judicial I, según la Ley
de Presupuesto de la
República, y la suspensión para el funcionamiento del fichero
de uno a seis meses.
Ficha articulo
ARTÍCULO 29.- Faltas leves
Serán consideradas faltas leves, para los efectos de
esta ley:
a)
Recolectar datos personales para su uso en base de datos sin que se le otorgue
suficiente y amplia información a la persona interesada, de conformidad con las
especificaciones del artículo 5, apartado I.
b)
Recolectar, almacenar y transmitir datos personales de terceros por medio de
mecanismos inseguros o que de alguna forma no garanticen la seguridad e
inalterabilidad de los datos.
Ficha articulo
ARTÍCULO 30.- Faltas graves
Serán consideradas faltas graves, para los efectos de
esta ley:
a)
Recolectar, almacenar, transmitir o de cualquier otra forma emplear datos
personales sin el consentimiento informado y expreso del titular de los datos,
con arreglo a las disposiciones de esta ley.
b)
Transferir datos personales a otras personas o empresas en contravención de las
reglas establecidas en el capítulo III de esta ley.
c)
Recolectar, almacenar, transmitir o de cualquier otro modo emplear datos
personales para una finalidad distinta de la autorizada por el titular de la
información.
d) Negarse
injustificadamente a dar acceso a un interesado sobre los datos que consten en
archivos y bases de datos, a fin de verificar su calidad, recolección,
almacenamiento y uso conforme a esta ley.
e) Negarse
injustificadamente a eliminar o rectificar los datos de una persona que así lo
haya solicitado por medio claro e inequívoco.
Ficha articulo
ARTÍCULO 31.- Faltas gravísimas
Serán consideradas faltas gravísimas, para los efectos
de esta ley:
a)
Recolectar, almacenar, transmitir o de cualquier otra forma emplear, por parte
de personas físicas o jurídicas privadas, datos sensibles, según la definición
prevista en el artículo 3 de esta ley.
b)
Obtener, de los titulares o de terceros, datos personales de una persona por
medio de engaño, violencia o amenaza.
c) Revelar
información registrada en una base de datos personales cuyo secreto esté
obligado a guardar conforme la ley.
d)
Proporcionar a un tercero información falsa o distinta contenida en un archivo
de datos, con conocimiento de ello.
e)
Realizar tratamiento de datos personales sin encontrarse debidamente inscrito
ante la Prodhab,
en el caso de los responsables de bases de datos cubiertos por el artículo 21
de esta ley.
f) Transferir,
a las bases de datos de terceros países, información de carácter personal de
los costarricenses o de los extranjeros radicados en el país, sin el
consentimiento de sus titulares.
Ficha articulo
SECCIÓN III
PROCEDIMIENTOS
INTERNOS
ARTÍCULO 32.- Régimen sancionatorio para bases de datos públicas
Cuando la persona responsable de una base de datos
pública cometa alguna de las faltas anteriores,
la Prodhab dictará una resolución
estableciendo las medidas que proceda adoptar para que cesen o se corrijan los
efectos de la falta. Esta resolución se notificará a la persona responsable de
la base de datos, al órgano del que dependa jerárquicamente y a los afectados,
si los hay. La resolución podrá dictarse de oficio o a petición de parte. Lo
anterior sin perjuicio de la responsabilidad penal en que haya incurrido.
Ficha articulo
CAPÍTULO VI
CÁNONES
ARTÍCULO 33.- Canon por regulación y administración de bases de datos
Las personas responsables de bases de datos que deban
inscribirse ante la Prodhab,
de conformidad con el artículo 21 de esta ley, estarán sujetos a un canon de
regulación y administración de bases de datos que deberá ser cancelado
anualmente, con un monto de doscientos dólares ($200), moneda de curso legal de
los Estados Unidos de América. El procedimiento para realizar el cobro del
presente canon será detallado en el reglamento que a los efectos deberá emitir
la Prodhab.
Ficha articulo
ARTÍCULO 34.- Canon por comercialización de consulta
La persona responsable de la base de datos deberá
cancelar a la Prodhab
un canon por cada venta de los datos de ficheros definidos en el inciso b) del
artículo 3 de esta ley, de personas individualizables registradas legítimamente
y siempre que sea comercializado con fines de lucro, el cual oscilará entre los
veinticinco centavos de dólar ($0,25) y un dólar ($1), moneda de curso legal de
los Estados Unidos de América, monto que podrá ser fijado dentro de dicho rango
vía reglamento. En caso de contratos globales de bajo, medio y alto consumo de consultas,
o modalidades contractuales de servicio en línea por número de aplicaciones,
será el reglamento de la ley el que fije el detalle del cobro del canon que no
podrá ser superior al diez por ciento (10%) del precio contractual.
Ficha articulo
TRANSITORIOS
TRANSITORIO I.-
Las personas físicas o jurídicas, públicas o privadas, que en la actualidad
son propietarias o administradoras de las bases de datos objeto de esta ley,
deberán adecuar sus procedimientos y reglas de actuación, así como el contenido
de sus bases de datos a lo establecido en la presente ley, en un plazo máximo
de un año a partir de la creación de la Prodhab.
Ficha articulo
TRANSITORIO II.-
A partir de la fecha de entrada en vigencia de esta ley, se iniciará el
proceso de conformación e integración de
la Prodhab; para ello, se dispondrá de un plazo
máximo de seis meses.
Ficha articulo
TRANSITORIO III.-
El Poder Ejecutivo emitirá la reglamentación de esta ley en un plazo máximo
de seis meses después de la conformación de
la Prodhab, recogiendo las
recomendaciones técnicas que le proporcione
la Agencia.
Rige a partir de su publicación.
Dado en la Presidencia
de la República.-San José, a los siete días del mes de julio del año dos mil
once.
Ficha articulo
Fecha de generación: 17/9/2024 23:06:17
|