En Costa Rica ¿están las empresas cumpliendo con la Ley de Protección de Datos?

empresas_costa_rica

Por Juan Ignacio Zamora Montes de Oca

Las empresas que cuentan con bases de datos a las que les aplica la ley de la Persona Frente al Tratamiento de sus Datos Personales deberán de adecuarse pronto a la normativa o tendrán que cancelar las multas que la Agencia de Protección de Datos les imponga.

La ley es clara al indicar que sólo las bases de datos públicas o privadas, administradas con fines de distribución, difusión o comercialización deberán inscribirse, y no aquellas que se encuentran en el ámbito interno de la empresa o de su actividad. Eso sí, la Agencia ya ha señalado que cualquier uso de datos personales que de alguna forma se relacione con la comercialización de un bien o servicio, se encuentra dentro de las bases de datos que deben inscribirse, y que de no hacerlo, su dueño se encuentra al margen de la ley y en posibilidad de ser sancionado.

Según un estudio realizado con base en el último informe anual de la Agencia Española de Protección de Datos, dicha institución recaudó en el [ultimo año un total de €19.5 millones de euros por empresas que incumplieron con la legislación de protección de datos.

En Costa Rica, las empresas que vayan a inscribir sus bases de datos deben cumplir con una serie de requisitos obligatorios como por ejemplo el consentimiento informado; la calidad de la información (veracidad, actualidad, exactitud, y adecuación al fin), el acceso a la información del usuario y el derecho de rectificación de sus datos. Asimismo se establecen obligaciones para todo aquel que recopile datos personales, tales como informar los fines que se persiguen, los destinatarios de la información, el tratamiento que se dará a los mismos.

Por otro lado se introducen la figura del superusuario, misma que ha generado algunas disconformidades en sectores de la empresa privada pues el concepto no cuenta con sustento en la ley, por lo que para algunos efectos aún se considera una laguna legal.

Otro concepto interesante que se introduce es el del derecho al olvido, el cual indica que el almacenamiento de cualquier dato que pueda afectar a su titular no podrá ser almacenado durante un plazo mayor de 10 años desde la fecha de ocurrencia de los hechos; en los casos en que la conservación de la información sea necesaria más allá del plazo establecido, deberá desasociarse de los datos personales de su titular.

La información que se conservan en las bases de datos se considera una nueva riqueza para las empresas, y como tal deben de protegerla de ataques de terceros con el fin de poder conservarla y utilizarla según lo permita la ley.