Por: León Weinstok.   14 octubre, 2017

Desde la entrada en vigor de la Ley de Protección de la Persona frente al Tratamiento de sus Datos” (Ley de datos), la importancia que se le ha dado a este tema en Costa Rica ha ido aumentado: cada vez es mayor el riesgo que asumen las empresas cuando manejan cualquier información personal.

Solo en este año la Agencia de Protección de Datos (Prodhab) ha recibido más de 70 denuncias por supuestos incumplimientos en esta materia. Asimismo, ha impuesto ocho sanciones con un promedio superior a los $10.000 cada una, ha iniciado de oficio más de 350 solicitudes de información en las cuales solicitó a las empresas, que le entreguen la documentación que respalde el cumplimiento a lo establecido en la Ley de datos.

Los incumplimientos más comunes que se han detectado han sido recolectar información sin el consentimiento de los interesados, carecer de los procedimientos adecuados para el manejo de la información, así como transferir los datos a otras empresas sin la debida autorización.

Además, las acciones de oficio realizadas por la Prodhab podrían generar sanciones para aquellas empresas que no cumplan con lo solicitado.

Cinco requisitos que debe cumplir si su empresa maneja bases de datos

Es así como, cada persona que tiene a cargo una base de datos de carácter personal, debe preguntarse, ¿qué debo hacer para cumplir con la Ley de datos? Si bien son muchas y diversas las obligaciones que se incluyen en esta Ley y su reglamento, las siguientes podrían considerarse las obligaciones más importantes:

1 Al momento de solicitar la información, se debe obtener el consentimiento informado por parte de las personas que brindan sus datos personales. Este consentimiento debe ser libre, expreso e inequívoco. Asimismo, debe contener la información mínima que según la Ley de datos se debe incluir. Dentro de este contenido mínimo se encuentra la obligatoriedad o no de facilitar los datos, de identificar la empresa que recopila la información, usos que se le darían a los datos, forma de ejercer los derechos que otorga la Ley, entre otros.

2 Los datos que se manejen deben ser actuales, veraces y se deben adecuar al fin para el cual fueron solicitados. En todo momento debe permitírsele a las personas conocer la información que se tiene de ellos, rectificar cualquier información que deseen modificar, así como revocar el consentimiento que hubiesen dado previamente. Todos estos derechos se pueden ejercer en la información de contacto que debe indicar la empresa que recopile la información.

3 La información debe almacenarse de forma segura. La seguridad incluye tanto las medidas físicas del lugar donde se almacene la información, así como las medidas informáticas en caso de que se almacene de forma digital.

Este nivel de seguridad es definido según el tipo de información que se maneje y el riesgo que podría conllevar su divulgación. En este sentido, los datos sensibles por ejemplo, los relativos a la salud, la vida y la orientación sexual, entre otros, deben ser almacenados con mayor precaución que los datos personales de acceso irrestricto los cuales son definidos como “aquellos datos contenidos en bases de datos públicas de acceso general”.

4 Se deben establecer protocolos mínimos de actuación a fin de asegurar el manejo adecuado de los datos personales. Estos protocolos establecerán la forma en la que la empresa debe manejar esos datos por todos los colaboradores de la empresa.

5 En caso de que la base de datos se utilice con fines de distribución, difusión y comercialización, debe procederse con su registro ante la Prodhab. Si alguna base de datos no cumple con dichas condiciones, entonces no debe ser inscrita. Sin embargo, esto no exime que se deba cumplir con las demás obligaciones establecidas en la Ley de datos.

Su acatamiento le permitirá a cualquier empresa que maneje una base de datos de carácter personal, cumplir con las principales exigencias de la Ley.

De esta forma, se disminuiría el riesgo de recibir alguna sanción por parte de la Prodhab las cuales, además de una sanción económica, podría incluso consistir en la suspensión de la base de datos.