Principales cambios al Reglamento a la Ley de Protección de la persona frente al tratamiento de sus datos personales

Dentro de los cambios más importantes y que representan un mayor impacto para aquellos que manejen bases de datos, pueden citarse los siguientes:

1. El ámbito de aplicación de la Ley y su Reglamento, presentó algunas dudas en sus inicios, ya que se consideraba que solamente aplicaba para quienes comercializaran datos. Posteriormente, la Agencia de Protección de Datos sostuvo que también aplicaba para quienes enviaran información o publicidad. Con esta reforma, se amplía el término de bases de datos de uso interno, y se excluyen este tipo de bases de datos, de la inscripción ante la PRODHAB. Así entonces, aquellas bases de datos consideradas como internas a la luz del Reglamento, no deberán ser inscritas. Dentro de la definición de datos de uso interno se contemplan únicamente los datos restringidos y de acceso irrestricto, sin hacerse alusión a los datos sensibles, por lo que habrá que esperar la interpretación que hiciere la PRODHAB sobre este punto para tener una mayor claridad. En este mismo sentido, podría interpretarse también que las bases de datos que no sean comercializadas, distribuidas o difundidas, independientemente de la naturaleza de sus datos, son de uso interno.
2. Define que las bases de datos utilizados por un grupo de interés económico, son de uso interno; lo que beneficia a las compañías miembro de este grupo, al flexibilizar sus procesos, pero al mismo tiempo, representa un reto para efectos del grupo para estandarizar los controles y cumplir con el reglamento.
3. Dispone que el consentimiento también puede ser otorgado por un medio digital (posibilidad que estaba implícita en el anterior Reglamento, de acuerdo con la Ley), lo que representa también un reto en razón de que se debe verificar la identidad de la persona y autenticarla durante el proceso para que el consentimiento sea inequívoco. Por ejemplo, si una persona otorga el consentimiento por medio de un correo electrónico, la empresa tuvo que vincular primero la identidad de la persona con el correo asegurando que le pertenece. Luego al momento de recibir el correo electrónico debe autenticar que en efecto lo envió la persona y no se trata de una suplantación de identidad o robo de credenciales del correo.
4. La reforma, en relación con el intermediario tecnológico, consiste en eliminar la excepción de que éste no hará tratamiento de los datos, dejando la posibilidad de que lo haga cuando corresponda. Asimismo, refuerza el tema relacionado con la responsabilidad –basada en los principios de la responsabilidad vigentes en Costa Rica, señalando que recae sobre el responsable de la base de datos y no sobre el intermediario tecnológico, en razón de que no existe nexo causal entre éste último y el titular de los datos. Establece, además, en relación con este punto, la obligación del responsable de la base de datos de verificar que el intermediario cumple con las medidas de seguridad establecidas en la ley.
5. Se elimina la obligación de crear un super usuario, como requisito para la inscripción de la base de datos. Este cambio es positivo porque además de garantizar que solamente se tendrá acceso en el sitio y con previo comunicado por parte de la Agencia, la creación del super usuario representaba una gran preocupación del sector empresarial por los posibles riesgos que éste podía representar.
6. En cuanto a la transferencia de datos, se aclara que el traslado de datos dentro del mismo grupo de interés económico no se considera una transferencia como tal, y solamente se entiende como transferencia, aquel traslado a terceros.
7. Sobre la base de datos financieros, se aclara que éstas están sujetas al control y regulación por parte de la SUGEF, pero que la PRODHAB tiene competencia para regular y fiscalizar los derechos y garantías cubiertos por la Ley 8968.
8. Se define como plazo máximo 10 años para efectos de la conservación una vez finalizado el objeto de su tratamiento. Por ejemplo, si una persona otorga los datos y luego de varios años termina la relación con el responsable de la base de datos, el plazo máximo cuenta desde que termina la relación comercial.
9. Se elimina la frase “la transferencia implica la comercialización de los datos”, lo que genera a nivel práctico un cambio de criterio, en razón de que inicialmente se interpretó que también era transferencia el envío de correos o publicidad.
10. A nivel técnico, se solicita que para efectos de la inscripción de la base de datos, se indique el sistema, programa, método o proceso utilizado para el tratamiento de los datos -seguridad de los datos-, lo que genera grandes retos a nivel tecnológico y riesgos, dado que con dicha información, el atacante podría conocer las vulnerabilidades de previo.

Esta reforma, sin duda viene a aclarar aquellos puntos que en sus inicios generaron distintos criterios sobre la implementación de la norma. La reforma rige a partir de su publicación, sea 6 de diciembre de 2016.