Hoy 28 de enero, conmemoramos la firma del Convenio 108 del Consejo de Europa, primer instrumento internacional sobre protección de la privacidad e información personal. Ante esto, analizamos qué tipo de acciones deben realizar las empresas para cumplir con lo establecido en la Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales (“Ley de Datos”) en Costa Rica.

Si bien son muchas y diversas las obligaciones que se incluyen en esta Ley y su reglamento, las siguientes podrían considerarse las obligaciones más importantes:

  1. Al momento de solicitar la información, se debe obtener el consentimiento informado por parte de las personas que brindan sus datos personales. Este consentimiento debe ser libre, expreso e inequívoco.
  2. Los datos que se manejen deben ser actuales, veraces y se deben adecuar al fin para el cual fueron solicitados.
  3. En todo momento se le debe permitir a las personas conocer la información que se tiene de ellos, rectificar cualquier información que deseen modificar, así como revocar el consentimiento que hubiesen dado previamente.
  4. La información debe ser almacenada de forma segura. La seguridad incluye tanto las medidas físicas del lugar donde se almacene la información, así como las medidas informáticas en caso de que la información se almacene de forma digital.
  5. Se deben establecer protocolos mínimos de actuación a fin de asegurar el manejo adecuado de los datos personales. Estos protocolos establecerán la forma en la que la empresa debe manejar los datos personales por todos los colaboradores de la empresa.
  6. En caso de que la base de datos se utilice con fines de distribución, difusión y/o comercialización, se debe proceder con el registro de la base de datos ante la PRODHAB (Agencia de Protección de datos de los Habitantes). En caso de que alguna base de datos no cumpla con dichas condiciones, no debe ser inscrita. Sin embargo, esto no exime que se deba cumplir con las demás obligaciones establecidas en la Ley de Datos.

El cumplimiento de estas obligaciones le permitirá a cualquier empresa que maneje una base de datos de carácter personal, cumplir con las principales exigencias de la Ley de Datos. De esta forma, se disminuiría el riesgo de recibir alguna sanción por parte de la PRODHAB las cuales, además de una sanción económica como las indicadas, podría incluso consistir en la suspensión de la base de datos.