Reglamento a la Ley de Protección de la Persona frente al Tratamiento de sus Datos Personales, de 30 de Octubre de 2012

EmisorPoder Ejecutivo

N° 37554-JP

LA PRESIDENTA DE LA REPÚBLICA

Y EL MINISTRO DE JUSTICIA Y PAZ

Con fundamento en los artículos 24 y 140 incisos 3), 8) y 18) de la Constitución Política; el Transitorio III de la Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales, Nº 8968 del 7 de julio del 2011 y el artículo 28 inciso 2) acápite b) de la Ley General de la Administración Pública.

Considerando:

  1. —Que el Estado democrático y constitucional de derecho costarricense está

    comprometido en garantizar a cualquier persona, el respeto a sus derechos fundamentales.

  2. —Que en actualidad las tecnologías de la información y de la comunicación han hecho posible que las personas puedan acceder a condiciones para interactuar en una gran cantidad de escenarios, y por ende incursionar en medios o plataformas tecnológicas que pueden contener información personal y en consecuencia se ha transformado profundamente la forma en que la humanidad crea y distribuye sus conocimientos, lo que a su vez genera un riesgo a su intimidad o actividad privada.

  3. —Que en razón del riesgo a la intimidad o actividad privada del individuo, deviene necesario velar por la defensa de la libertad e igualdad del mismo con respecto al tratamiento automatizado o manual de los datos correspondientes a su persona, cuando estos figuren en bases de datos de organismos públicos o privados.

  4. —Que mediante Ley Nº 8968 del 7 de julio del 2011, se promulgó la Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales, siendo que la misma en su Transitorio III impone al Poder Ejecutivo emitir la debida reglamentación.

  5. —Que dado lo anterior, mediante Acuerdo Ejecutivo N° 212-MJP de fecha 22 de noviembre de 2011, publicado en el Diario Oficial La Gaceta N° 11 del 16 de enero de 2012, el Poder Ejecutivo conformó una Comisión Interinstitucional asignándole la responsabilidad de redactar el Reglamento a la citada Ley.

  6. —Que la Agencia de Protección de Datos de los Habitantes quedó conformada e integrada según lo dispone el Transitorio III de la Ley 8968, siendo que la Agencia participó en las sesiones de la Comisión y emitió sus recomendaciones técnicas,

    las cuales fueron analizadas e incorporadas, cuando así se consideró oportuno.

  7. —Que de conformidad con el numeral 361 de la Ley General de la Administración Pública el proyecto de Reglamento a la Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales, salió a consulta pública mediante aviso divulgado en el Diario Oficial La Gaceta, de fecha 24 de agosto de 2012, Alcance 119, con plazo de recepción de observaciones de 10 días hábiles, que transcurrieron del 27 de agosto al 11 de setiembre, ambas fechas del 2012.

  8. —Que para la atención de las observaciones se habilitó un blog en la página Web del Ministerio de Justicia y Paz, así como se recibieron documentos físicos y digitales. Todas las observaciones, comentarios y sugerencias recibidas dentro del plazo establecido, fueron debidamente estudiados por la Comisión Redactora instaurada para ese efecto. Realizado el análisis correspondiente, se arribó al presente texto de Reglamento.

    Por tanto,

    DECRETAN:

    Reglamento a la Ley de Protección de la Persona

    Frente al Tratamiento de sus Datos Personales

    Capítulo I

    Disposiciones Generales

    Artículo 1. Objeto. Las presentes disposiciones tienen por objeto reglamentar la Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales, en cuanto a garantizar a cualquier individuo, independientemente de su nacionalidad, residencia o domicilio, el respeto a sus derechos fundamentales,

    concretamente, su derecho a la autodeterminación informativa en relación con su intimidad o actividad privada, así como la defensa de su libertad e igualdad con respecto al tratamiento automatizado o manual de los datos correspondientes a su persona o bienes.

    Artículo 2. Definiciones, siglas y acrónimos. Además de las definiciones establecidas en la Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales, para los efectos del presente Reglamento se entenderá por:

    1. Agencia o PRODHAB: Agencia de Protección de Datos de los Habitantes.

    2. Base de datos: Cualquier archivo, fichero, registro u otro conjunto estructurado de datos personales públicos o privados, que sean objeto de tratamiento, automatizado o manual, en el sitio o en la nube, bajo control o dirección de un responsable, cualquiera que sea la modalidad de su elaboración,

      organización o acceso.

    3. Base de datos interna, personal o doméstica: Cualquier archivo, fichero,

      registro u otro conjunto estructurado de datos personales públicos o privados,

      mantenidos por personas físicas o jurídicas con fines exclusivamente internos,

      personales o domésticos, siempre y cuando éstas no sean venidas o administradas con fines de distribución, difusión o comercialización.

    4. Bases de datos de acceso público: Aquellos ficheros, archivos, registro u otro conjunto estructura de datos que pueden ser consultados por cualquier persona que no estén impedidos por una norma limitativa, o sin más exigencia que el pago de una contraprestación.

    5. Comercializar: Vender, transar, intercambiar o de cualquier manera enajenar o pignorar, con fines de lucro a favor de un tercero, una o más veces,

      aquellos datos personales que consten en bases de datos.

    6. Consentimiento del titular de los datos personales: Toda manifestación de voluntad, expresa, libre, inequívoca, informada y específica que se otorgue por escrito, para un fin determinado, mediante la cual el titular de los datos personales o su representante, consienta el tratamiento de sus datos personales.

    7. Consulta: Solicitud realizada a una base de datos, en la que se requiere información concreta en función de criterios de búsqueda definidos, siempre que dicha solicitud no resulte en una trasbase o réplica de la base de datos.

    8. Contrato global: Acuerdo de voluntades mediante el cual las partes manifiestan o expresan su consentimiento, sea de manera física o electrónica, y que tiene por objeto el servicio de un conjunto de consultas realizadas por un mismo solicitante a una base de datos que contenga datos personales, mediante el pacto de una remuneración pecuniaria en atención al volumen.

    9. Datos en la nube: Archivo, fichero, registro u otro conjunto estructurado de datos a los cuales se accesa haciendo uso de Internet.

    10. Distribución, difusión: Cualquier forma en la que se repartan o publiquen datos personales, a un tercero, por cualquier medio.

    11. Encargado: Toda persona física o jurídica, entidad pública o privada, o cualquier otro organismo que da tratamiento a los datos personales por cuenta del responsable de la base de datos.

    12. Fichero: Todo conjunto organizado de datos de carácter personal,

      cualquiera que fuere la forma, fin o modalidad de su creación, almacenamiento,

      organización y acceso.

    13. Garantía de confidencialidad: Obligación de toda persona física o jurídica, pública o privada, que tenga participación en el tratamiento o almacenamiento de datos personales, de cumplir con el deber de confidencialidad que exige la Ley.

    14. Intermediario tecnológico o proveedor de servicios: Persona física o jurídica, pública o privada que brinde servicios de infraestructura,

      plataforma, software u otros servicios, sin realizar tratamiento de datos personales.

    15. Investigación científica: Proceso de aplicación de un método científico que procura obtener información relevante y fidedigna para entender, verificar,

      corregir o aplicar datos, entre ellos personales de carácter no sensible o que siendo sensibles no sean identificables, con la finalidad de obtener conocimientos y solucionar problemas científicos, filosóficos o empírico-técnicos.

    16. Ley: Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales,

      número 8968.

    17. Persona física identificable: Persona cuya identidad pueda determinarse,

      directa o indirectamente, mediante cualquier información referida a su identidad anatómica, fisiológica, psíquica, económica, cultural o social. Una persona física no se considerará identificable si dicha identificación requiere plazos o actividades desproporcionadas.

    18. Procedimiento de desasociación: Acción y efecto de disociar los datos personales, de modo que la información que se obtenga no pueda asociarse o vincularse a persona determinada o determinable.

    19. Responsable: Toda persona física o jurídica, pública o privada, que administre o, gerencia o, se encargue o, sea propietario, de una o más bases de datos públicas o privadas, competente con arreglo a la Ley, para decidir cuál es la finalidad de la base de datos, cuáles categorías de datos de carácter personal deberán registrarse y qué tipo de tratamiento les aplicarán.

    20. Superusuario: Perfil de ingreso que cuenta con acceso para consultar la base de datos, de forma inmediata, actualizada y sin restricción alguna.

    21. Supresión o eliminación: Procedimiento en virtud del cual el responsable o el encargado de la base de datos, borra o destruye total o parcialmente de manera definitiva, los datos personales del titular, de su base de datos.

    22. Titular o interesado: Persona física dueña de los datos personales tutelados en la Ley,

      o su representante.

    23. Transferencia de datos personales: Acción mediante la cual se trasladan datos personales, a un responsable de Base de Datos Personales o un tercero.

    24. Tratamiento de datos: Cualquier operación o conjunto de operaciones,

      efectuadas mediante procedimientos automatizados o manuales y aplicadas a datos personales, tales como la recolección, el registro, la organización, la conservación, la modificación, la extracción, la consulta, la utilización, la comunicación por transmisión, difusión, distribución o cualquier otra forma que facilite el acceso a estos, el cotejo o la interconexión, así como su bloqueo,

      supresión o destrucción, entre otros.

    25. Tratamiento de datos automatizado: Cualquier operación, conjunto de operaciones o procedimientos, aplicados a datos personales, efectuados...

Para continuar leyendo

Solicita tu prueba

VLEX utiliza cookies de inicio de sesión para aportarte una mejor experiencia de navegación. Si haces click en 'Aceptar' o continúas navegando por esta web consideramos que aceptas nuestra política de cookies. ACEPTAR