“TEXTO SUSTITUTIVO:
LEY DE PROTECCIÓN DE LA PERSONA FRENTE AL
TRATAMIENTO DE SUS DATOS PERSONALES,
EXPEDIENTE NO.
16679
CAPÍTULO I
DISPOSICIONES
GENERALES
Esta Ley es de
orden público y tiene como objetivo garantizar a cualquier persona,
independientemente de su nacionalidad, residencia o domicilio, el respeto a sus
derechos fundamentales, concretamente, su derecho a la autodeterminación
informativa en relación con su vida o actividad privada y demás derechos de la
personalidad, así como la defensa de su libertad e igualdad con respecto al
tratamiento automatizado o manual de los datos correspondientes a su persona o
bienes.
ARTÍCULO 2.- Ámbito de aplicación
Esta Ley será de
aplicación a los datos personales que figuren en bases de datos automatizadas o manuales, de organismos
públicos o privados, y a toda modalidad de uso posterior de estos datos.
El régimen de
protección de los datos de carácter personal que se establece en esta Ley no será de aplicación a las bases de
datos mantenidas por personas físicas o jurídicas con fines exclusivamente
internos, personales o domésticos, siempre y cuando éstas no sean vendidas o de
cualquier otra manera comercializadas.
A los efectos de la
presente Ley:
Base de datos:
Cualquier archivo, fichero, registro u otro conjunto estructurado de datos
personales, que sean objeto de tratamiento o procesamiento, automatizado o
manuales, cualquiera que fuere la modalidad de su elaboración, organización o
acceso.
Datos personales:
cualquier dato relativo a una persona física identificada o identificable.
Datos personales de
acceso irrestricto: Aquellos contenidos en bases de datos públicas de acceso
general, según dispongan leyes especiales y de conformidad con la finalidad
para la cual estos datos fueron recabados.
Datos personales de
acceso restringido: Aquellos que, aún formando parte de registros de acceso al
público, no son de acceso irrestricto, por ser de interés solo para su titular
o para la Administración Pública.
Datos sensibles:
información relativa al fuero íntimo de la persona, como por ejemplo los que
revelen origen racial, opiniones políticas, convicciones religiosas o
espirituales, condición socioeconómica, información biomédica o genética, vida
y orientación sexual, entre otros.
Deber de
confidencialidad: obligación de los responsables de bases de datos, personal a
su cargo y del personal de PRODAT de guardar la confidencialidad con ocasión
del ejercicio de las facultades dadas por esta ley, principalmente cuando se
acceda a información sobre datos personales y sensibles. Esta obligación
perdurará aún después de finalizada la relación con la base de datos.
Interesado: persona
física, titular de los datos que sean objeto del tratamiento automatizado o
manual.
Responsable de la
base de datos: persona física o jurídica que administre, gerencie
o se encargue de la base de datos, ya sea ésta una entidad pública o privada,
competente, con arreglo a la ley, para decidir cuál es la
finalidad de la base de datos, cuáles categorías de datos de carácter personal
deberán registrase y qué tipo de tratamiento se les aplicarán.
Tratamiento de
datos personales: cualquier operación o conjunto de operaciones, efectuadas
mediante procedimientos automatizados o manuales, y aplicadas a datos
personales, tales como la recolección, registro, organización, conservación,
modificación, extracción, consulta, utilización, comunicación por transmisión,
difusión o cualquier otra forma que facilite el acceso a los mismos, cotejo o
interconexión, así como su bloqueo, supresión o destrucción, entre otros.
CAPÍTULO II
PRINCIPIOS Y DERECHOS BÁSICOS PARA LA PROTECCIÓN DE DATOS PERSONALES
SECCIÓN I
PRINCIPIOS Y
DERECHOS BÁSICOS
Artículo 4.- Autodeterminación informativa
Toda persona tiene
derecho a la autodeterminación informativa, la cual abarca el conjunto de
principios y garantías relativas al legítimo tratamiento de sus datos
personales reconocidos en esta sección.
ARTÍCULO 5.- Principio de consentimiento informado
5.1.- Obligación de informar
Cuando se soliciten
datos de carácter personal, será necesario informar de previo a las personas
titulares o sus representantes, de modo expreso, preciso e inequívoco:
De la existencia
de una base de datos de carácter personal.
De los fines que se
persiguen con la recolección de estos datos.
De los
destinatarios de la información, así como quiénes podrán consultarla.
Del carácter
obligatorio o facultativo de sus respuestas a las preguntas que se le formulen
durante la recolección de los datos.
Del tratamiento que se dará a los datos
solicitados.
De las
consecuencias de la negativa a suministrar los datos.
De la posibilidad
de ejercer los derechos que le asisten.
De la identidad y
dirección del responsable de la base de
datos.
Cuando se utilicen
cuestionarios u otros medios para la recolección de datos personales figurarán
estas advertencias en forma claramente legible.
5.2.- Otorgamiento del consentimiento
Quien recopile
datos personales deberá obtener el consentimiento expreso de la persona titular
de los datos o de su representante. Este consentimiento deberá constar por
escrito, ya sea en documento físico o electrónico, el cual podrá ser revocado
de la misma forma, sin efecto retroactivo.
No será necesario
el consentimiento expreso cuando:
Exista orden fundamentada, dictada por autoridad judicial
competente o acuerdo adoptado por una comisión especial de investigación de la
Asamblea Legislativa en el ejercicio de su cargo.
Se trate de datos
personales de acceso irrestricto, obtenidos de fuentes
de acceso público general.
Los datos deban ser
entregados por disposición constitucional o legal.
Se prohíbe el
acopio de datos sin el consentimiento informado de la persona, o bien,
adquiridos por medios fraudulentos, desleales o ilícitos.
ARTÍCULO 6.- Principio de calidad
de la información
Solo podrán ser
recolectados, almacenados o empleados datos de carácter personal para su
tratamiento automatizado o manual, cuando tales datos sean actuales, veraces,
exactos y adecuados al fin para el que fueron recolectados.
Los datos de
carácter personal deberán ser actuales. El responsable de la base de datos
eliminará los datos que hayan dejado de ser pertinentes o necesarios, en razón
de la finalidad para la cual fueron recibidos y registrados. En ningún caso,
serán conservados los datos personales que puedan, de cualquier modo afectar a
su titular, una vez transcurridos diez años desde la fecha de ocurrencia de los
hechos registrados, salvo disposición normativa especial que disponga otra
cosa. En caso de ser necesaria su conservación más allá del plazo estipulado,
deberán ser desasociados de su titular.
6.2.- Veracidad
Los datos de
carácter personal deberán ser veraces.
El responsable de
la base de datos está obligado a modificar los datos que faltaren a la verdad.
De la misma manera, velará por que los datos sean tratados de manera leal y
lícita.
6.3.- Exactitud
Los datos de
carácter personal deberán ser exactos. El responsable de la base de datos
tomará las medidas necesarias para que los datos inexactos o incompletos, con
respecto a los fines para los que fueron recogidos, o para los que fueron
tratados posteriormente, sean suprimidos o rectificados.
Si los datos de
carácter personal registrados resultaren ser inexactos en todo o en parte, o
incompletos, serán eliminados o sustituidos de oficio por el responsable de la
base de datos, por los correspondientes datos rectificados, actualizados o
complementados. Igualmente, serán eliminados si no mediare el consentimiento
informado o estuviere prohibida su recolección.
6.4.- Adecuación al fin
Los datos de
carácter personal serán recopilados con fines determinados, explícitos y
legítimos, y no serán tratados posteriormente de manera incompatible con dichos
fines.
No se considerará
incompatible el tratamiento posterior de datos con fines históricos,
estadísticos o científicos, siempre y cuando se establezcan las garantías
oportunas para salvaguardar los derechos contemplados en esta ley.
Las bases de datos
no pueden tener finalidades contrarias a las leyes ni a la moral pública.
ARTÍCULO 7.- Derechos que le asisten a la persona
Se garantiza el
derecho de toda persona al acceso a sus datos personales, rectificación de los
mismos y a realizar una cesión consentida de éstos.
El responsable de
la base de datos debe cumplir con lo solicitado por la persona, de manera
gratuita y resolver en el sentido que corresponda en el plazo de cinco días
hábiles contados a partir de la recepción de la solicitud.
7.1.- Acceso a la información
La información
deberá ser almacenada de forma tal que se garantice plenamente el derecho de
acceso por la persona interesada.
El derecho de
acceso a la información personal garantiza las siguientes facultades del
interesado:
Obtener en
intervalos razonables, según se disponga por reglamento, sin demora y a título
gratuito, la confirmación o no de la existencia de datos suyos en archivos o
bases de datos. En caso de que sí
existan datos suyos, éstos deberán ser comunicados al interesado en forma
precisa y entendible.
Recibir la
información relativa a su persona, así como la finalidad con que fueron
recopilados y el uso que se le ha dado a sus datos personales. El informe
deberá ser completo, claro y exento de codificaciones. Deberá estar acompañado
de una explicación de los términos técnicos que se utilicen.
Ser informado por
escrito, por medios físicos o electrónicos, de manera amplia sobre la totalidad
del registro perteneciente al titular, aún cuando el requerimiento solo
comprenda un aspecto de los datos personales. Este informe en ningún caso podrá
revelar datos pertenecientes a terceros, aún cuando se vinculen con el
interesado, excepto cuando con ellos se pretenda configurar un delito penal.
Tener conocimiento,
en su caso, del sistema, programa, método, proceso o lógica utilizada en los
tratamientos de sus datos personales.
El ejercicio del
derecho al cual se refiere este artículo, en el caso de datos de personas
fallecidas, le corresponderá a sus sucesores o
herederos.
7.2.- Derecho de rectificación
Se garantiza el
derecho de obtener, llegado el caso, la rectificación de los datos personales y
su actualización o la eliminación de los mismos cuando se hayan tratado con
infracción a las disposiciones de la presente ley, en particular a causa del
carácter incompleto o inexacto de los datos o haber sido recopilados sin
autorización del titular.
Todo titular puede
solicitar y obtener del responsable, de la base de datos, la rectificación,
actualización, cancelación o eliminación y el cumplimiento de la garantía de
confidencialidad respecto de sus datos personales.
El ejercicio del
derecho al cual se refiere este artículo, en el caso de datos de personas
fallecidas, le corresponderá a sus sucesores o
herederos.
ARTÍCULO 8.-
Excepciones a la autodeterminación informativa del ciudadano
Los principios,
derechos y garantías aquí establecidos podrán ser
limitados de manera justa, razonable y acorde con el principio de transparencia
administrativa, cuando se persigan los siguientes fines:
La seguridad del
Estado.
La seguridad y el
ejercicio de la autoridad pública.
La prevención,
persecución, investigación, detención y represión de las infracciones penales,
o de las infracciones de la deontología en las profesiones.
El funcionamiento
de bases de datos que se utilicen con fines estadísticos, históricos o de
investigación científica, cuando no exista riesgo de que las personas sean
identificadas.
La adecuada
prestación de servicios públicos.
La eficaz actividad
ordinaria de la Administración, por parte de las autoridades oficiales.
SECCIÓN II
CATEGORÍAS
ESPECIALES DE TRATAMIENTO DE DATOS
ARTÍCULO 9.- Categorías
particulares de datos
Además de las
reglas generales establecidas en esta ley para el tratamiento de los datos
personales, las categorías particulares de datos que se mencionarán, se regirán
por las siguientes disposiciones:
9.1.- Datos
sensibles
Ninguna persona estará obligada a
suministrar datos sensibles. Se prohíbe el tratamiento de datos de carácter
personal que revelen el origen racial o
étnico, opiniones políticas, convicciones religiosas, espirituales o
filosóficas, así como aquellos relativos a la salud, a la vida y orientación
sexual, entre otros.
Esta prohibición no
se aplicará cuando:
El tratamiento de
los datos sea necesario para salvaguardar el interés vital del interesado o de
otra persona, en el supuesto de que el interesado esté física o jurídicamente
incapacitado para dar su consentimiento.
El tratamiento de
los datos sea efectuado, en el curso de sus actividades legítimas y con las
debidas garantías por una fundación, una asociación o cualquier otro organismo,
cuya finalidad sea política, filosófica, religiosa o sindical, siempre que se
refiera exclusivamente a sus miembros o a las personas que mantengan contactos
regulares con la fundación, la asociación o el organismo, por razón de su
finalidad y con tal de que los datos no se comuniquen a terceros sin el
consentimiento de los interesados.
El tratamiento se
refiera a datos que el interesado haya hecho voluntariamente públicos o sean
necesarios para el reconocimiento, ejercicio o defensa de un derecho en un
procedimiento judicial.
El tratamiento de
datos resulte necesario para la prevención o para el diagnóstico médico, la
prestación de asistencia sanitaria o tratamientos médicos o la gestión de
servicios sanitarios, siempre que dicho tratamiento de datos sea realizado por
un funcionario del área de la salud, sujeto al secreto profesional o propio de
su función, o por otra persona sujeta asimismo a una obligación equivalente de
secreto.
9.2.- Datos
personales de acceso restringido
Datos personales de
acceso restringido son aquellos que, aún formando parte de registros de acceso
al público, no son de acceso irrestricto, por ser de interés solo para su
titular o para la Administración Pública. Su tratamiento será permitido
únicamente para fines públicos o si se cuenta con el consentimiento expreso del
titular.
9.3.- Datos
personales de acceso irrestricto
Datos personales de
acceso irrestricto son aquellos contenidos en bases de datos públicas de acceso
general, según dispongan leyes especiales y de conformidad con la finalidad
para la cual estos datos fueron recabados.
No se considerarán
contemplados en esta categoría: la dirección exacta de la residencia, excepto
si su uso es producto de un mandato, citación o notificación administrativa o judicial o bien de una
operación bancaria o financiera, la fotografía, los números de teléfono
privados y otros de igual naturaleza cuyo tratamiento pueda afectar los
derechos e intereses de la persona titular.
9.4.- Datos
referentes al comportamiento crediticio
Los datos
referentes al comportamiento crediticio se regirán por las normas que regulan
el sistema financiero nacional, de modo que permitan garantizar un grado de riesgo
aceptable por parte de las entidades financieras sin impedir el pleno ejercicio
del derecho a la autodeterminación informativa, ni exceder los límites de esta
ley.
SECCIÓN III
SEGURIDAD Y
CONFIDENCIALIDAD DEL TRATAMIENTO DE LOS DATOS
ARTÍCULO 10.- Seguridad de los
datos
El responsable de
la base de datos deberá adoptar las
medidas de índole técnica y de organización necesarias
para garantizar la seguridad de los datos de carácter personal y evitar su
alteración, destrucción accidental o ilícita, pérdida, tratamiento o acceso no
autorizado, así como cualquier otra acción
contraria a esta ley.
Dichas medidas
deberán incluir, al menos, los mecanismos de seguridad física y lógica más
adecuados de acuerdo con el desarrollo tecnológico actual para garantizar la
protección de la información almacenada.
No se registrarán
datos personales en bases de datos que no reúnan las condiciones que garanticen
plenamente su seguridad e integridad, así como la de los centros de
tratamiento, equipos, sistemas y programas.
Por vía de
reglamento se establecerán los requisitos y las condiciones que deban reunir
las bases de datos automatizadas y manuales, y de las
personas que intervengan en el acopio, almacenamiento y uso de los datos.
ARTÍCULO 11.- Deber de confidencialidad
El responsable y
las personas que intervengan en cualquier fase del tratamiento de datos
personales están obligados al secreto profesional o funcional, aún después de
finalizada su relación con la base de datos. El obligado podrá ser relevado del
deber de secreto por decisión judicial en lo estrictamente necesario y dentro
de la causa que conoce.
ARTÍCULO 12.- Protocolos de actuación
Las personas
físicas y jurídicas, públicas y privadas, que tengan entre sus funciones la
recolección, almacenamiento y uso de datos personales, podrán emitir un
protocolo de actuación, en el cual establecerán los pasos que deberán seguir en
la recolección, almacenamiento y manejo de los datos personales, de conformidad
con las reglas previstas en esta Ley.
Para ser válidos,
los protocolos de actuación deberán ser inscritos, así como sus posteriores
modificaciones, ante la Agencia de Protección de datos Personales (PRODAT). La PRODAT podrá, en cualquier momento,
verificar que la base de datos esté cumpliendo cabalmente con los términos de
su protocolo.
La manipulación de
datos con base en un protocolo de actuación inscrito ante la PRODAT hará
presumir (iuris tantum) el cumplimiento de las disposiciones contenidas en esta
Ley, para los efectos de autorizar la cesión de los datos contenidos en una
base.
ARTÍCULO 13.- Garantías efectivas
Todo interesado
tiene derecho a un procedimiento administrativo sencillo y rápido ante la
Agencia de Protección de Datos Personales, con el fin de ser protegido contra
actos que violen sus derechos fundamentales reconocidos por esta Ley. Lo
anterior sin perjuicio de las garantías jurisdiccionales generales o
específicas que la Ley establezca para este mismo fin.
CAPÍTULO III
TRANSFERENCIA DE
DATOS PERSONALES
SECCIÓN ÚNICA
ARTÍCULO 14.- Transferencia de datos personales. Regla general
Los responsables de
bases de datos públicas o privadas, solo podrán transferir datos contenidos en
ellas cuando el titular del derecho haya autorizado expresa y válidamente tal
transferencia y se haga sin vulnerar los principios y derechos reconocidos en
esta ley.
Agencia para la
Protección de Datos Personales
(PRODAT)
ARTÍCULO 15- Agencia para la Protección de Datos Personales
Créase un órgano
de desconcentración máxima adscrito al Ministerio de Justicia y Paz denominado Agencia para la Protección de
Datos Personales (PRODAT). Tendrá personalidad jurídica instrumental propia en el desempeño de
las funciones que le asigna esta ley, además de la administración de sus
recursos y presupuesto, así como, para suscribir los contratos y convenios que
requiera para el cumplimiento de sus funciones. La Agencia gozará de
independencia de criterio.
ARTÍCULO 16.- Atribuciones
Son atribuciones de
la Agencia para la Protección de Datos Personales, además de las otras que le
impongan esta u otras normas, las siguientes:
a) Velar por el cumplimiento de la
normativa en materia de protección de datos, tanto por parte de personas
físicas o jurídicas privadas, como por entes y órganos públicos.
b) Llevar un registro de las bases de
datos reguladas por esta Ley.
c) Requerir de quienes administren bases
de datos, las informaciones necesarias para el ejercicio de su cargo, entre
ellas, los protocolos utilizados.
d) Acceder a las bases de datos reguladas
por esta ley, a efecto de hacer cumplir efectivamente las normas sobre
protección de datos personales. Esta atribución se aplicará para los casos
concretos presentados ante la Agencia, y excepcionalmente cuando se tenga
evidencia de un mal manejo generalizado de la base de datos o sistema de
información.
e) Resolver sobre los reclamos por
infracción a las normas sobre protección de los datos personales.
f) Ordenar, de oficio o a petición de
parte, la supresión, rectificación, adición o restricción en la circulación de
las informaciones contenidas en los archivos y bases de datos, cuando éstas
contravengan las normas sobre protección de los datos personales.
g) Imponer las sanciones administrativas
correspondientes a las personas físicas o jurídicas, públicas o privadas, que
infrinjan las normas sobre protección de los datos personales, y dar traslado a
la Fiscalía General de la República de aquellas que puedan configurar delito.
h) Promover y contribuir en la redacción
de normativa tendiente a implementar las normas sobre protección de los datos
personales.
i) Dictar las directrices necesarias, las
cuales deberán ser publicadas en el Diario Oficial La Gaceta, a efecto de que
las instituciones públicas implementen los procedimientos adecuados respecto
del manejo de los datos personales, respetando los diversos grados de autonomía
administrativa e independencia funcional.
j) Fomentar entre los habitantes el
conocimiento de los derechos concernientes al acopio, almacenamiento,
transferencia y uso de sus datos personales.
En el ejercicio de
sus atribuciones, la PRODAT deberá emplear procedimientos automatizados, de
acuerdo con las mejores herramientas tecnológicas a su alcance.
ARTÍCULO 17.- Dirección de la Agencia
La Dirección de la
PRODAT estará a cargo de un director o
directora nacional, quien deberá contar con un grado académico de al menos
licenciatura en una materia afín al objeto de su función y ser de reconocida
solvencia profesional o moral.
No podrá ser
nombrado director o directora nacional quien sea propietario, accionista,
miembro de la junta directiva, gerente, asesor, representante legal o empleado de una empresa dedicada a la
recolección o almacenamiento de datos personales. Dicha prohibición persistirá
hasta por dos años después de haber cesado sus funciones o vinculo empresarial.
Estará igualmente impedido quien sea cónyuge o pariente hasta en tercer grado
de consanguinidad o afinidad de una persona que esté en alguno de los supuestos
mencionados anteriormente.
ARTÍCULO 18.- Personal
de la Agencia
La PRODAT contará
con el personal técnico y administrativo necesario para el buen ejercicio de
sus funciones, designado mediante concurso por idoneidad, según el Estatuto de
Servicio Civil o bien como se disponga reglamentariamente. El personal está
obligado a guardar secreto profesional y deber de confidencialidad de los datos
de carácter personal que conozca en el ejercicio de sus funciones.
Todos los empleados
de la Agencia para la Protección de Datos Personales tienen las siguientes
prohibiciones:
a) Prestar servicios a las personas o
empresas que se dediquen al acopio, almacenamiento o manejo de datos
personales. Dicha prohibición persistirá hasta dos años después de haber cesado
sus funciones.
b) Interesarse personal e indebidamente en
asuntos de conocimiento de la Agencia.
c) Revelar o de cualquier forma propalar
los datos personales a que ha tenido acceso con ocasión de su cargo. Esta
prohibición persistirá indefinidamente aún después de haber cesado en su cargo.
d) En el caso de los funcionarios
nombrados en plazas de profesional, ejercer externamente su profesión. Lo
anterior tiene como excepción el ejercicio de la actividad docente en centros
de educación superior o la práctica liberal a favor de parientes por
consanguinidad o afinidad hasta el tercer grado, siempre que no se esté ante el
supuesto del inciso a).
La inobservancia de
cualquiera de las anteriores prohibiciones será considerada falta gravísima,
para efectos de aplicación del régimen disciplinario, sin perjuicio de las
otras formas de responsabilidad que tales conductas pudieran acarrear.
Articulo 20.- Presupuesto
El presupuesto de
la Agencia para la
Protección de Datos Personales estará constituido por lo siguiente:
a) Los cánones,
las tasas y los derechos obtenidos en el ejercicio de sus funciones
b) Las
transferencias que el Estado realice a favor de la Agencia.
c) Las donaciones
y subvenciones provenientes de otros Estados, instituciones públicas nacionales
u organismos internacionales, siempre que no comprometan la independencia,
transparencia y autonomía de la Agencia.
d) Lo generado
por sus recursos financieros.
Los montos
provenientes del cobro de las multas señaladas en esta ley, será destinado a la
actualización de equipos y programas de la PRODAT.
La Agencia estará
sujeta al cumplimiento de los principios y al régimen de responsabilidad,
establecidos en los títulos II y X de la Ley N° 8131, Administración financiera
de la República y presupuestos públicos, de 18 de setiembre de 2001. Además,
deberá proporcionar la información
requerida por el Ministerio de Hacienda para sus estudios. En lo demás, se
exceptúa a la Agencia de los alcances y la aplicación de esa Ley. En la fiscalización,
la Agencia estará sujeta únicamente a las disposiciones de la Contraloría
General de la República.
SECCIÓN II
ARTÍCULO 21.- Registro de archivos y bases de datos
Toda base de datos
pública o privada administrada con fines de distribución, difusión o comercialización,
debe inscribirse en el registro que al efecto habilite la PRODAT. La
inscripción no implica el trasbase o transferencia de
los datos.
Deberá inscribir
cualesquiera otras informaciones que las normas de rango legal le impongan y
los protocolos de actuación a que hace referencia el artículo 12 y 16 inciso c) de esta Ley.
ARTÍCULO 22.- Divulgación
La PRODAT elaborará
y ejecutará una estrategia de comunicación dirigida a permitir que los
administrados, conozcan los derechos derivados del manejo de sus datos
personales, así como los mecanismos que el ordenamiento prevé para la defensa
de tales prerrogativas. Deberá coordinar con los gobiernos locales y con la
Defensoría de los Habitantes de la República la realización periódica de las
actividades de divulgación entre los habitantes de los cantones.
Asimismo promoverá
entre las personas y empresas que recolecten, almacenen o manipulen datos
personales, la adopción de prácticas y protocolos de actuación acordes con la
protección de dicha información.
capítulo v
Procedimientos
Disposiciones
comunes
ARTÍCULO 23.- Aplicación supletoria
En lo no previsto
expresamente por esta Ley, y en tanto sean compatibles con su finalidad, serán
aplicables supletoriamente las disposiciones del Libro II de la Ley General de
la Administración Pública.
Intervención en
archivos y bases de datos
ARTÍCULO 24.- Denuncia
Cualquier persona
que ostente un derecho subjetivo o un interés legítimo, puede denunciar ante la
PRODAT que una base de datos pública o privada, actúa en contravención de las
reglas o los principios básicos para la
protección de los datos y la autodeterminación informativa, establecidas en esta Ley.
ARTÍCULO 25.- Trámite de las denuncias
Recibida la
denuncia, se conferirá al responsable de la base de datos, un plazo de tres
días hábiles, para que se pronuncie acerca de la veracidad de tales cargos. El
denunciado deberá remitir los medios de prueba que respalden sus afirmaciones,
junto con un informe, que se considerará dado bajo juramento. La omisión de
rendir el informe en el plazo estipulado, hará que se tengan por ciertos los
hechos acusados.
En cualquier
momento, la PRODAT podrá ordenar al denunciado la presentación de la
información necesaria. Asimismo, podrá
efectuar inspecciones in situ en sus archivos o bases de datos. Para
salvaguardar los derechos del interesado, puede dictar -mediante acto fundado-
las medidas cautelares que aseguren el efectivo resultado del procedimiento.
A más tardar un mes
después de la presentación de la denuncia, la PRODAT deberá dictar el acto
final. Contra su decisión, cabrá recurso de reconsideración dentro del tercer
día, el cual deberá ser resuelto en el plazo de ocho días luego de recibido.
ARTÍCULO 26.- Efectos de la resolución estimatoria
Si se determinare
que la información del interesado es falsa, incompleta, inexacta, o bien que de
acuerdo con las normas sobre protección de datos personales ésta fue
indebidamente recolectada, almacenada o difundida, deberá ordenarse su
inmediata supresión, rectificación, adición o aclaración, o bien impedimento
respecto de su transferencia o difusión. Si el denunciado no cumpliere
íntegramente con lo ordenado, estará sujeto a las sanciones previstas en ésta y
otras leyes.
ARTÍCULO 27.- Procedimiento sancionatorio
De oficio o a
instancia de parte, la PRODAT podrá iniciar un procedimiento tendiente a
demostrar si una base de datos regulada por esta Ley, está siendo empleada de
conformidad con sus principios, para lo cual deberán seguirse los trámites
previstos en la Ley General de la Administración Pública para el procedimiento
ordinario. Contra el acto final cabrá recurso de reconsideración dentro del
tercer día, el cual deberá ser resuelto en el plazo de ocho días luego de
recibido.
ARTÍCULO 28- Sanciones
Si se hubiera
incurrido en alguna de las faltas tipificadas en esta Ley, se deberá imponer
alguna de las siguientes sanciones, sin perjuicio de las sanciones penales
correspondientes:
a) Para las faltas leves, una multa hasta
cinco salarios base del cargo de
Auxiliar Judicial I, según la Ley de Presupuesto de la República.
b) Para las faltas graves, una multa de
cinco a veinte salarios base del cargo de
Auxiliar Judicial I, según la Ley de Presupuesto de la República.
c) Para las faltas gravísimas, una multa
de 15 a 30 salarios base del cargo de
Auxiliar Judicial I, según la Ley de Presupuesto de la República; y la suspensión para el funcionamiento del
fichero de uno a seis meses.
ARTÍCULO 29.- Faltas leves
Serán consideradas
faltas leves, para los efectos de esta Ley:
Recolectar datos
personales para su uso en base de datos sin que se le otorgue suficiente y
amplia información al interesado, de conformidad con las especificaciones del
artículo 5.1.
Recolectar,
almacenar y transmitir datos personales de terceros por medio de mecanismos
inseguros o que de alguna forma no garanticen la seguridad e inalterabilidad de
los datos.
ARTÍCULO 30.- Faltas graves
Serán consideradas
faltas graves, para los efectos de esta Ley:
Recolectar,
almacenar, transmitir o de cualquier otra forma emplear datos personales sin el
consentimiento informado y expreso del titular de los datos, con arreglo a las
disposiciones de esta Ley.
Transferir datos
personales a otras personas o empresas en contravención a las reglas
establecidas en el Capítulo III de esta Ley.
Recolectar,
almacenar, transmitir o de cualquier otro modo emplear datos personales para
una finalidad distinta de la autorizada por el titular de la información.
Negarse
injustificadamente a dar acceso a un interesado sobre los datos que consten en
archivos y bases de datos, a fin de verificar su calidad, recolección,
almacenamiento y uso conforme a esta Ley.
Negarse
injustificadamente a eliminar o rectificar los datos de una persona que así lo
haya solicitado por medio claro e inequívoco.
ARTÍCULO 31.- Faltas gravísimas
Serán consideradas
faltas gravísimas, para los efectos de esta Ley:
Recolectar,
almacenar, transmitir o de cualquier otra forma emplear, por parte de personas
físicas o jurídicas privadas, datos sensibles, según la definición prevista en
el artículo 3 de esta Ley.
Obtener de los
titulares o de terceros, datos personales de una persona por medio de engaño,
violencia o amenaza.
Revelar información
registrada en una base de datos personales cuyo secreto estuviere obligado a
guardar conforme la ley.
Proporcionar a un
tercero información falsa a la contenida en un archivo de datos, con
conocimiento de ello.
Realizar
tratamiento de datos personales sin encontrarse debidamente inscrito ante la
PRODAT, en el caso de los responsables de bases de datos cubiertos por el
artículo 21 de esta Ley.
Transferir a bases
de datos de terceros países información de carácter personal de los
costarricenses o extranjeros radicados en el país, sin el consentimiento de sus
titulares.
SECCIÓN IV
32.- Régimen sancionatorio para bases de datos
públicas
Cuando el
responsable de una base de datos pública cometiere alguna de las faltas
anteriores, la PRODAT dictará una resolución estableciendo las medidas que proceda
adoptar para que cesen o se corrijan los efectos de la falta. Esta resolución se notificará al responsable
de la base de datos, al órgano del que dependa jerárquicamente y a los
afectados, si los hubiera. La resolución
podrá dictarse de oficio o a petición de parte. Lo anterior sin perjuicio de la
responsabilidad penal en que haya incurrido.
CAPÍTULO VI
CÁNONES
Artículo 33.- Canon por regulación y administración de
bases de datos
Los responsables de
bases de datos que deban inscribirse ante la PRODAT de conformidad con el
artículo 21 de esta ley, estarán sujetos a un
canon de regulación y administración de bases de datos que deberá ser
cancelado anualmente, con un monto de doscientos dólares ($200), moneda de
curso legal de los Estados Unidos de América. El procedimiento para realizar el
cálculo y el cobro del presente canon será detallado en el Reglamento que a los
efectos deberá emitir PRODAT.
Artículo 34.- Canon
por venta o transferencia de bases de datos
El responsable de
la base de datos deberá cancelar a la PRODAT un canon por venta o transferencia
de bases de datos con fines de lucro, el cual oscilará entre los cincuenta
centavos de dólar ($0,50) y dos dólares ($2) moneda de curso legal de los
Estados Unidos de América, los cuales serán detallados vía reglamento
TRANSITORIO I.-
Las personas
físicas o jurídicas, públicas o privadas, que en la actualidad son propietarias
o administradoras de las bases de datos objeto de esta Ley, deberán adecuar sus
procedimientos y reglas de actuación, así como el contenido de sus bases de
datos a lo establecido en la presente Ley, en un plazo máximo de un año a
partir de la creación de la PRODAT.
TRANSITORIO II.-
A partir de la fecha de
entrada en vigencia de esta Ley, se iniciará el proceso de conformación e
integración de la PRODAT: para ello, se dispondrá de un plazo máximo de seis
(6) meses.
TRANSITORIO III.-
El Poder
Ejecutivo emitirá la reglamentación de esta ley en un plazo máximo de seis (6)
meses después de la conformación de la PRODAT, recogiendo las recomendaciones
técnicas que le proporcione la Agencia