Si su empresa recolecta datos personales de clientes para enviarles correos promocionales o alguna otra información; le envía a otras compañías información sobre sus empleados para que les ofrezcan productos o servicios; solicitan información personal para el inicio de una relación comercial o de alguna forma manejan una base de datos personales, debería tomar en cuenta que, en diciembre pasado entró a regir una importante reforma al Reglamento a la Ley de protección de la persona frente al tratamientos de sus datos personales (Ley de datos).
La reforma realizada ajusta nuestras reglas a las principales regulaciones y tendencias a nivel internacional. Asimismo, facilita el cumplimiento de las obligaciones establecidas en esta materia dado que, se enlazan a las nuevas tecnologías en el manejo de la información.
Entre los principales cambios, es importante resaltar los siguientes:
A. Se elimina la figura del “superusuario” que estaba establecido en el artículo 45 del Reglamento. De esta forma, ya no es necesario cumplir con esta figura que había sido sumamente controversial. En este sentido, la Agencia de Protección de Datos de los Habitantes (Prodhab) ya solicitó a las empresas que habían cumplido con este requisito, que desactiven el acceso que en su momento habían otorgado.
B. El consentimiento informado que se requiere solicitar al momento de recolectar la información, ya no debe ser escrito tal y como se exigía anteriormente. Producto de la reforma realizada, ahora debe ser “inequívoco” por “medio escrito o digital”, lo que permite flexibilizar la forma de obtenerlo. Lo anterior, sin perjuicio de cierta información obligatoria que debe tener este consentimiento tal como informar el fin para el cual se solicita la información, los derechos que le asisten al interesado, si los datos serán transferidos, entre otros.
C. La nueva versión del Reglamento a la Ley de Datos detalla con mayor exactitud los conceptos de “distribución” y “difusión” de datos personales, así como lo entendido como “grupo de interés económico” (grupo de empresas con una unidad de mando o dependencia económica). De esta forma, además de aquellas bases de datos que se utilizan con fines de prospección comercial, se especifica que las bases de datos que deben inscribirse ante la Prodhab son aquellas que difunden o distribuyen.
Esas son las principales modificaciones realizadas al Reglamento.
LEA:En tres años hubo 140 denuncias por violación de datos personales
No se debe dejar de lado que dicha reforma incluye cambios en el plazo para contabilizar el derecho al olvido, aclaración sobre la no obligatoriedad de inscripción de las bases de datos de las instituciones reguladas por la Superintendencia General de Entidades Financieras (Sugef), así como un ajuste en el canon que deben cancelar algunas empresas.
Para cumplir con las modificaciones realizadas al Reglamento, así como las demás estipulaciones establecidas en la Ley de datos, las empresas deben determinar, entre otros, los protocolos de actuación respectivos que garanticen el manejo adecuado de la información.
Asimismo, en caso de que se desee compartir datos con otras empresas, ya sea en suelo nacional o en el extranjero, es necesario contar con el consentimiento por parte del titular de los datos (y que este consentimiento tenga las formalidades requeridas).
Además, se deben establecer las medidas de seguridad adecuadas para resguardar los datos.
Estas medias se establecerán de conformidad con los riesgos que tenga la información a proteger.
En este mismo sentido, si el sistema de seguridad sufriere alguna vulneración, existe la obligación de notificar a la Prodhab sobre dicha situación.
Por lo anterior, es importante adecuar el manejo de las bases de datos a lo exigido por la Ley de Datos. En caso de haber algún incumplimiento, las sanciones podrían ser hasta de quince millones de colones aproximadamente y la suspensión del uso de la base de datos.