Desde la entrada en vigor de la “Ley de Protección de la Persona Frente al Tratamiento de sus Datos” (Ley de Datos), la importancia que se le ha dado a este tema en Costa Rica ha ido aumentando. De esta forma, cada vez es mayor el riesgo que asumen las empresas al manejar información personal.
Sólo en el 2018, la Agencia de Protección de Datos (PRODHAB) ha recibido más de 70 denuncias por supuestos incumplimientos en esta materia. Asimismo, ha impuesto 8 sanciones con un promedio superior a los US$ 10,000 cada una y ha iniciado de oficio más de 350 solicitudes de información en las cuales les solicitó a las empresas, que le entreguen la documentación que respalde el cumplimiento a lo establecido en la Ley de Datos. Los incumplimientos más comunes que se han detectado han sido recolectar información sin el consentimiento de los interesados, no tener los procedimientos adecuados para el manejo de la información, así como transferir los datos a otras empresas sin la debida autorización. Además, las acciones de oficio realizadas por la PRODHAB podrían generar sanciones para aquellas empresas que no cumplan con lo solicitado.
Ante este aumento en la importancia de este tema, cada persona que tiene a cargo una base de datos de carácter personal debe preguntarse, ¿Qué debo hacer para cumplir con la Ley de Datos? Si bien son muchas y diversas las obligaciones que se incluyen en esta Ley y su reglamento, las siguientes podrían considerarse las obligaciones más importantes:
a. Al momento de solicitar la información, se debe obtener el consentimiento informado por parte de las personas que brindan sus datos personales. Este consentimiento debe ser libre, expreso e inequívoco. Asimismo, debe contener la información mínima que según la Ley de Datos se debe incluir. Dentro de este contenido mínimo se encuentra la obligatoriedad o no de facilitar los datos, identificación de la empresa que recopila la información, usos que se le darían a los datos, forma de ejercer los derechos que otorga la Ley de Datos, entre otros.
b. Los datos que se manejen deben ser actuales, veraces y se deben adecuar al fin para el cual fueron solicitados. En todo momento se le debe permitir a las personas conocer la información que se tiene de ellos, rectificar cualquier información que deseen modificar, así como revocar el consentimiento que hubiesen dado previamente. Todos estos derechos se pueden ejercer en la información de contacto que debe indicar la empresa que recopile la información.
c. La información debe ser almacenada de forma segura. La seguridad incluye tanto las medidas físicas del lugar donde se almacene la información, así como las medidas informáticas en caso de que la información se almacene de forma digital. Este nivel de seguridad es definido según el tipo de información que se maneje y el riesgo que podría conllevar su divulgación. En este sentido, los datos sensibles (por ejemplo, datos relativos a la salud, la vida y la orientación sexual, entre otros) deben ser almacenados con mayor precaución que los datos personales de acceso irrestricto (definidos como “aquellos datos contenidos en bases de datos públicas de acceso general”).
d. Se deben establecer protocolos mínimos de actuación a fin de asegurar el manejo adecuado de los datos personales. Estos protocolos establecerán la forma en la que la empresa debe manejar los datos personales por todos los colaboradores de la empresa.
e. En caso de que la base de datos se utilice con fines de distribución, difusión y/o comercialización, se debe proceder con el registro de la base de datos ante la PRODHA. En caso de que alguna base de datos no cumpla con dichas condiciones, no debe ser inscrita. Sin embargo, esto no exime que se deba cumplir con las demás obligaciones establecidas en la Ley de Datos.
El cumplimiento de estas obligaciones le permitirá a cualquier empresa que maneje una base de datos de carácter personal, cumplir con las principales exigencias de la Ley de Datos. De esta forma, se disminuiría el riesgo de recibir alguna sanción por parte de la PRODHAB las cuales, además de una sanción económica como las indicadas, podría incluso consistir en la suspensión de la base de datos.