Mucho se ha hablando con respecto al manejo de datos personales en Costa Rica en los últimos años y particularmente, desde el dos mil once, cuando entró en vigencia en nuestro país, la Ley Nº 8968, denominada “Ley de protección de la persona frente al tratamiento de sus datos personales”. Sin embargo, a partir del 2018 y con la entrada en vigor del mundialmente reconocido Reglamento General de Protección de Datos en la Unión Europea, en muchas empresas se han despertado nuevamente consultas en torno al manejo que se debe brindar a las bases de datos y el tratamiento a la información y datos personales, según la legislación costarricense.
Como corolario de lo anterior, se debe resaltar el principio de “autodeterminación informativa”, plasmado en la Ley Nº 8968 y el cual se constituye como un derecho fundamental tendiente a “controlar el flujo de informaciones que conciernen a cada persona, derivado del derecho a la privacidad, evitando que se propicien acciones discriminatorias”. Esto significa que las personas tienen derecho a saber quién tiene sus datos personales y con qué fines los resguardan, así como la legitimación para rectificar o solicitar la exclusión de los mismos, de una determinada base de datos. Este tema a nivel legal laboral es trascendental, pues son muchos los escenarios donde los patronos manipulan información personal que reciben durante los procesos de reclutamiento y a lo largo de la relación laboral por parte de candidatos, trabajadores y ex trabajadores.
A pesar de la contradicción que existe en torno a la necesidad o no de inscribir las bases de datos, por la contraposición de las disposiciones legales entre la ley en mención y su reglamento (publicado en 2013), las empresas se deben guiar por la postura que formalmente ha asumido la Agencia de Protección de Datos de los Habitantes (PROHAB) con respecto a que son inscribibles aquellas bases de datos que son comercializadas, transferidas, compartidas, difundidas, publicadas o hecho similar, sea a título gratuito u oneroso; aquellas bases que contienen datos personales que son de acceso público; las que contienen algunos datos de acceso público y restringido; y aquellas que son compiladas y que se utilizan con prospección comercial, y para fines comerciales (marketing, promociones y otros servicios).
Asimismo, las empresas deben realizarse una serie de preguntas clave que respondan al tratamiento que le dan a la información que reciben para determinar si efectivamente es el correcto, entre otras: ¿Qué datos son procesados?, ¿Con qué propósito?, ¿Cómo es protegida la información que recibo?, ¿Por quién es protegida la información que recibo? o, ¿Cuáles son los sujetos afectados por esa información? y comparar las respuestas a la luz de las disposiciones legales y laborales. En este punto, es preciso recordar que la Ley Nº 8968 establece multas por violación a la misma, que van desde los ₵446,200 a los ₵13.386.000, sin detrimento de eventuales sanciones de tipo penal o laborales.
Como recomendación de las buenas prácticas en torno a este tema, las empresas deben preparar consentimientos informados para todos los procesos internos que requieran la solicitud de información personal, asimismo, se recomienda que verifiquen los requisitos y restricciones legalmente establecidas, para confirmar si las bases de datos que manejan deben estar inscritas y si el tratamiento de los datos personales es el adecuado. Los diagnósticos legales y procesos de “compliance”, son herramientas útiles para determinar la posición actual de la empresa frente a este tema y prevenir incómodas multas por un mal tratamiento de los datos personales.
Licda. Ana Laura Hernández
Comentarios