Derecho a la Protección de Datos en Costa Rica
Derecho a la Protección de Datos en Costa Rica
El derecho a la autodeterminación informativa o derecho a la protección de datos personales ha sido concebido como aquel a través del cual una persona física, independientemente de su nacionalidad, controla el flujo de su información personal, al decidir cómo quiere que esta sea tratada (utilizada), para qué fines, quién puede acceder a ella y cómo puede ser compartida.
Este no es un derecho nuevo en Costa Rica, la Sala Constitucional desde los años noventa lo había reconocido y protegido, lo cual permite que todo aquel a quien se le hubiera afectado en su vida privada por un mal uso de su información personal, pudiera solicitar su eliminación o actualización.
Posteriormente, en el 2011, fue aprobada la Ley de Protección de la Persona frente al Tratamiento de sus Datos Personales y en el 2012, su reglamento, y de esta manera se recogen los principios ya desarrollados por la Sala Constitucional y se establecen las diferentes obligaciones que tienen todas las personas físicas o jurídicas –públicas o privadas– que tengan bases de datos de carácter personal.
A raíz de la aprobación de esta normativa, se han generado varias interpretaciones e interrogantes en relación con el ámbito de aplicación de esta.
Inicialmente se consideró que su aplicación se limitaba única y exclusivamente a quienes (personas físicas o jurídicas, públicas o privadas) comercializan datos –solo estos debían inscribir sus bases de datos–, excluyendo así cualquier base de datos cuya información de carácter personal no sea comercializada.
Por otro lado, y a partir de la interpretación de la Agencia de Protección de Datos de los Habitantes (Prodhab), la discusión tomó otro rumbo y se centró en determinar cuáles empresas debían inscribir sus bases de datos ante dicha institución.
La Agencia de Protección de Datos de los Habitantes consideró que están sujetas a inscripción además de las bases de datos que se comercializan, todas aquellas que se utilicen con fines de prospección comercial (envío de publicidad) y las que sean transferidas; lo que ha llevado a entender que deben inscribirse prácticamente todas, y en ese tanto, todas deben someterse a la citada normativa.
Al margen de que se comparta una u otra posición con respecto a la inscripción de las bases de datos y la consecuente obligatoriedad de la norma, no debe perderse de vista el derecho a la autodeterminación informativa.
Este es un derecho fundamental cuyo amparo no puede estar condicionado a una interpretación normativa, con el riesgo de dejar de lado sus características intrínsecas y la necesidad de su protección, independientemente de la inscripción o no de las bases de datos.
Por ello, y al tratarse de un derecho fundamental, debe tenerse presente que todas las personas físicas o jurídicas, públicas o privadas que traten datos personales (almacenen, recopilen, accedan, transfieran, comercialicen, etc.), en bases de datos manuales o automatizadas (incluyendo los servicios de la nube), están sujetas a la aplicación de la legislación, y no necesariamente ello implica una inscripción.
Esto las obliga a apegarse a sus términos de la legislación y a manejar la información de conformidad con lo dispuesto en la Ley y el reglamento, garantizando así los derechos de acceso, cancelación y rectificación de la información.
Además, deben garantizar que los datos personales serán utilizados de acuerdo con el consentimiento de su titular y para los fines para los cuales fueron recopilados; salvo que, como ocurre con los derechos fundamentales, exista norma expresa que excluya su aplicación total.
fuente https://www2.deloitte.com/cr/es/pages/legal/topics/blog-legal/proteccion-de-datos-personales.html
