LA PRESIDENTA DE LA REPÚBLICA Y EL MINISTRO DE JUSTICIA Y PAZ

Con fundamento en los artículos 24 y 140 incisos 3), 8) y 18) de la Constitución Política; el Transitorio III de la Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales, nº 8968 del 7 de julio del 2011 y el artículo 28 inciso 2) acápite b) de la Ley General de la Administración Pública.

Considerando:

1º.- Que el Estado democrático y constitucional de derecho costarricense está comprometido en garantizar a cualquier persona, el respeto a sus derechos fundamentales.

2º.- Que en actualidad las tecnologías de la información y de la comunicación han hecho posible que las personas puedan acceder a condiciones para interactuar en una gran cantidad de escenarios, y por ende incursionar en medios o plataformas tecnológicas que pueden contener información personal y en consecuencia se ha transformado profundamente la forma en que la humanidad crea y distribuye sus conocimientos, lo que a su vez genera un riesgo a su intimidad o actividad privada.

3º.- Que en razón del riesgo a la intimidad o actividad privada del individuo, deviene necesario velar por la defensa de la libertad e igualdad del mismo con respecto al tratamiento automatizado o manual de los datos correspondientes a su persona, cuando estos figuren en bases de datos de organismos públicos o privados.

4º.- Que mediante Ley nº 8968 del 7 de julio del 2011, se promulgó la Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales, siendo que la misma en su Transitorio III impone al Poder Ejecutivo emitir la debida reglamentación.

5º.- Que dado lo anterior, mediante Acuerdo Ejecutivo nº 212-MJP de fecha 22 de noviembre de 2011, publicado en el Diario Oficial La Gaceta nº 11 del 16 de enero de 2012, el Poder Ejecutivo conformó una Comisión Interinstitucional asignándole la responsabilidad de redactar el Reglamento a la citada Ley.

6º.- Que la Agencia de Protección de Datos de los Habitantes quedó conformada e integrada según lo dispone el Transitorio III de la Ley 8968, siendo que la Agencia participó en las sesiones de la Comisión y emitió sus recomendaciones técnicas, las cuales fueron analizadas e incorporadas, cuando así se consideró oportuno.

7º.- Que de conformidad con el numeral 361 de la Ley General de la Administración Pública el proyecto de Reglamento a la Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales, salió a consulta pública mediante aviso divulgado en el Diario Oficial La Gaceta, de fecha 24 de agosto de 2012, Alcance 119, con plazo de recepción de observaciones de 10 días hábiles, que transcurrieron del 27 de agosto al 11 de setiembre, ambas fechas del 2012.

8º.- Que para la atención de las observaciones se habilitó un blog en la página Web del Ministerio de Justicia y Paz, así como se recibieron documentos físicos y digitales. Todas las observaciones, comentarios y sugerencias recibidas dentro del plazo establecido, fueron debidamente estudiados por la Comisión Redactora instaurada para ese efecto. Realizado el análisis correspondiente, se arribó al presente texto de Reglamento.

Por tanto,

DECRETAN:

Reglamento a la Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales

Capítulo I.- Disposiciones Generales

Artículo 1. Objeto.

Las presentes disposiciones tienen por objeto reglamentar la Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales, en cuanto a garantizar a cualquier individuo, independientemente de su nacionalidad, residencia o domicilio, el respeto a sus derechos fundamentales, concretamente, su derecho a la autodeterminación informativa en relación con su intimidad o actividad privada, así como la defensa de su libertad e igualdad con respecto al tratamiento automatizado o manual de los datos correspondientes a su persona o bienes.

Artículo 2. Definiciones, siglas y acrónimos.

Además de las definiciones establecidas en la Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales, para los efectos del presente Reglamento se entenderá por:

a) Agencia o PRODHAB: Agencia de Protección de Datos de los Habitantes.

b) Base de datos: Cualquier archivo, fichero, registro u otro conjunto estructurado de datos personales públicos o privados, que sean objeto de tratamiento, automatizado o manual, en el sitio o en la nube, bajo control o dirección de un responsable, cualquiera que sea la modalidad de su elaboración, organización o acceso.

c) Base de datos interna, personal o doméstica: Cualquier archivo, fichero, registro u otro conjunto estructurado de datos personales públicos o privados, mantenidos por personas físicas o jurídicas con fines exclusivamente internos, personales o domésticos, siempre y cuando éstas no sean venidas o administradas con fines de distribución, difusión o comercialización.

d) Bases de datos de acceso público: Aquellos ficheros, archivos, registro u otro conjunto estructura de datos que pueden ser consultados por cualquier persona que no estén impedidos por una norma limitativa, o sin más exigencia que el pago de una contraprestación.

e) Comercializar: Vender, transar, intercambiar o de cualquier manera enajenar o pignorar, con fines de lucro a favor de un tercero, una o más veces, aquellos datos personales que consten en bases de datos.

f) Consentimiento del titular de los datos personales: Toda manifestación de voluntad, expresa, libre, inequívoca, informada y específica que se otorgue por escrito, para un fin determinado, mediante la cual el titular de los datos personales o su representante, consienta el tratamiento de sus datos personales.

g) Consulta: Solicitud realizada a una base de datos, en la que se requiere información concreta en función de criterios de búsqueda definidos, siempre que dicha solicitud no resulte en una trasbase o réplica de la base de datos.

h) Contrato global: Acuerdo de voluntades mediante el cual las partes manifiestan o expresan su consentimiento, sea de manera física o electrónica, y que tiene por objeto el servicio de un conjunto de consultas realizadas por un mismo solicitante a una base de datos que contenga datos personales, mediante el pacto de una remuneración pecuniaria en atención al volumen.

i) Datos en la nube: Archivo, fichero, registro u otro conjunto estructurado de datos a los cuales se accesa haciendo uso de Internet.

j) Distribución, difusión: Cualquier forma en la que se repartan o publiquen datos personales, a un tercero, por cualquier medio.

k) Encargado: Toda persona física o jurídica, entidad pública o privada, o cualquier otro organismo que da tratamiento a los datos personales por cuenta del responsable de la base de datos.

l) Fichero: Todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma, fin o modalidad de su creación, almacenamiento, organización y acceso.

m) Garantía de confidencialidad: Obligación de toda persona física o jurídica, pública o privada, que tenga participación en el tratamiento o almacenamiento de datos personales, de cumplir con el deber de confidencialidad que exige la Ley.

n) Intermediario tecnológico o proveedor de servicios: Persona física o jurídica, pública o privada que brinde servicios de infraestructura, plataforma, software u otros servicios, sin realizar tratamiento de datos personales.

o) Investigación científica: Proceso de aplicación de un método científico que procura obtener información relevante y fidedigna para entender, verificar, corregir o aplicar datos, entre ellos personales de carácter no sensible o que siendo sensibles no sean identificables, con la finalidad de obtener conocimientos y solucionar problemas científicos, filosóficos o empíricotécnicos.

p) Ley: Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales, número 8968.

q) Persona física identificable: Persona cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier información referida a su identidad anatómica, fisiológica, psíquica, económica, cultural o social. Una persona física no se considerará identificable si dicha identificación requiere plazos o actividades desproporcionadas.

r) Procedimiento de desasociación: Acción y efecto de disociar los datos personales, de modo que la información que se obtenga no pueda asociarse o vincularse a persona determinada o determinable.

s) Responsable: Toda persona física o jurídica, pública o privada, que administre o, gerencia o, se encargue o, sea propietario, de una o más bases de datos públicas o privadas, competente con arreglo a la Ley, para decidir cuál es la finalidad de la base de datos, cuáles categorías de datos de carácter personal deberán registrarse y qué tipo de tratamiento les aplicarán.

t) Superusuario: Perfil de ingreso que cuenta con acceso para consultar la base de datos, de forma inmediata, actualizada y sin restricción alguna.

u) Supresión o eliminación: Procedimiento en virtud del cual el responsable o el encargado de la base de datos, borra o destruye total o parcialmente de manera definitiva, los datos personales del titular, de su base de datos.

v) Titular o interesado: Persona física dueña de los datos personales tutelados en la Ley, o su representante.

w) Transferencia de datos personales: Acción mediante la cual se trasladan datos personales, a un responsable de Base de Datos Personales o un tercero.

x) Tratamiento de datos: Cualquier operación o conjunto de operaciones, efectuadas mediante procedimientos automatizados o manuales y aplicadas a datos personales, tales como la recolección, el registro, la organización, la conservación, la modificación, la extracción, la consulta, la utilización, la comunicación por transmisión, difusión, distribución o cualquier otra forma que facilite el acceso a estos, el cotejo o la interconexión, así como su bloqueo, supresión o destrucción, entre otros.

y) Tratamiento de datos automatizado: Cualquier operación, conjunto de operaciones o procedimientos, aplicados a datos personales, efectuados mediante la utilización de hardware, software, redes, servicios, aplicaciones, en el sitio o en la nube, o cualquier otra tecnología de la información que permitan la recolección, el registro, la organización, la conservación, la modificación, la extracción, la consulta, la utilización, la comunicación por transmisión, difusión, distribución o cualquier otra forma que facilite el acceso a estos, el cotejo, o la interconexión, así como su bloqueo, supresión o destrucción, intercambio o digitalización de datos personales, entre otros.

Artículo 3. Ámbito de aplicación.

Este Reglamento será de aplicación a los datos personales que figuren en las bases de datos automatizadas o manuales, de organismos públicos o privados, y a toda modalidad de uso posterior de estos datos, en tanto surtan efectos dentro del territorio nacional, o les resulte aplicable la legislación costarricense derivada de la celebración de un contrato o en los términos del derecho internacional.

El régimen de protección de los datos de carácter personal que se establece en este Reglamento, no será de aplicación a las bases de datos mantenidas por personas físicas o jurídicas, públicas o privadas, con fines exclusivamente internos, personales o domésticos, siempre y cuando éstas no sean de cualquier manera comercializadas.

No será de aplicación este Reglamento a los datos referentes al comportamiento crediticio que se regirán por la normativa especial del Sistema Financiero Nacional.

Capítulo II.- Del Consentimiento

Artículo 4. Requisitos del Consentimiento.

La obtención del consentimiento deberá ser:

a) Libre: no debe mediar error, mala fe, violencia física o psicológica o dolo, que puedan afectar la manifestación de voluntad del titular;

b) Específico: referido a una o varias finalidades determinadas y definidas que justifiquen el tratamiento;

c) Informado: que el titular tenga conocimiento previo al tratamiento, a qué serán sometidos sus datos personales y las consecuencias de otorgar su consentimiento. Asimismo, de saber quién es el responsable que interviene en el tratamiento de sus datos personales, y su lugar o medio de contacto;

d) Expreso: debe ser escrito e inequívoco, de forma tal que pueda demostrarse de manera indubitable su otorgamiento.

e) Individualizado: debe existir mínimo un otorgamiento del consentimiento por parte de cada titular de los datos personales.

Artículo 5. Formalidades del consentimiento.

Quien recopile datos personales deberá, en todos los casos, obtener el consentimiento expreso del titular para el tratamiento de datos personales, con las excepciones establecidas en la Ley.

El consentimiento deberá ser otorgado por el titular, en un documento físico o electrónico, de forma independiente de cualquier otro documento, y deberá ser debidamente resguardado por el responsable de la base de datos.

De igual manera, el documento por medio del cual el autorizante de los datos personales extiende su consentimiento, debe ser de fácil comprensión, gratuito y debidamente identificado.

No será necesario el consentimiento expreso cuando:

a) Exista orden fundamentada, dictada por autoridad judicial competente o acuerdo adoptado por una comisión especial de investigación de la Asamblea Legislativa en el ejercicio de su cargo.

b) Se trate de datos personales de acceso irrestricto, obtenidos de fuentes de acceso público general.

c) Los datos deban ser entregados por disposición constitucional o legal.

Artículo 6. Carga de la prueba del consentimiento.

Para efectos de demostrar la obtención del consentimiento, la carga de la prueba recaerá, en todos los casos, en el responsable de la base de datos.

Artículo 7. De la revocación.

En cualquier momento, el titular podrá revocar su consentimiento para el tratamiento de sus datos personales, para lo cual el responsable deberá establecer mecanismos expeditos, sencillos y gratuitos, que permitan al titular revocar su consentimiento.

Artículo 8. Trámite de la revocación.

El responsable de la base de datos, ante la presentación de la solicitud de revocación del consentimiento, contará con un plazo de cinco días hábiles a partir del recibido de la misma, para proceder conforme a la revocación.

Asimismo, dentro del mismo plazo de cinco días hábiles, deberá informarles de dicha revocación a aquellas personas físicas o jurídicas a quienes haya transferido los datos, mismas que deberán proceder en un plazo de cinco días hábiles a partir de la notificación a ejecutar la revocación del consentimiento.

La revocación del consentimiento no tendrá efecto retroactivo.

Artículo 9. Plazo para la confirmación de la revocación.

Cuando el titular solicite la confirmación del cese del tratamiento de sus datos, el responsable deberá responder en forma gratuita, expresamente en el plazo de tres días hábiles, a partir de la presentación de dicha solicitud.

Artículo 10. Negativa a la revocación.

En caso de negativa, expresa o tácita, por parte del responsable, a tramitar la revocación del consentimiento, el titular podrá presentar ante la Agencia la denuncia correspondiente a que refiere la Ley y este Reglamento.

Artículo 11. Derecho al olvido.

La conservación de los datos personales, que puedan afectar a su titular, no deberá exceder el plazo diez años, desde la fecha de ocurrencia de los hechos registrados, salvo disposición normativa especial que establezca otro plazo o porque el acuerdo de las partes haya establecido un plazo menor. En caso de que sea necesaria su conservación, más allá del plazo estipulado, deberán ser desasociados los datos personales de su titular.

Capítulo III.- De los Derechos de los Titulares y su Ejercicio

Artículo 12. Autodeterminación informativa.

Es el derecho fundamental de toda persona física, a conocer lo que conste sobre ella, sus bienes o derechos en cualquier base de datos, de toda naturaleza, pública o privada, el fin para el cual está siendo utilizada o recabada su información personal, así como exigir que sea rectificada, actualizada, complementada o suprimida, cuando la misma sea incorrecta o inexacta, o esté siendo empleada para un fin distinto del autorizado o del que legítimamente puede cumplir.

Artículo 13. Ejercicio de los derechos.

El ejercicio de cualquiera de los derechos de acceso, rectificación, modificación, revocación o eliminación de los datos personales por parte del titular, no excluye la posibilidad de ejercer unos u otros, ni puede constituir requisito previo para el ejercicio de cualquiera de estos derechos.

Artículo 14. Restricciones al ejercicio de los derechos.

El ejercicio de los derechos mencionados en el artículo anterior, podrá restringirse por razones de seguridad nacional, disposiciones de orden público y salud pública o para proteger los derechos de terceras personas, en los casos y con los alcances previstos en las leyes aplicables en la materia, mediante resolución de la autoridad competente debidamente fundamentada y motivada.

Artículo 15. Personas facultadas para el ejercicio de los derechos.

Los derechos de acceso, rectificación, modificación, revocación o eliminación, se ejercerán por el titular o su representante, previa acreditación de la titularidad o de la representación.

Artículo 16. Medios y formas para el ejercicio de los derechos.

El responsable, deberá poner a disposición del titular, los medios y formas simplificados de comunicación electrónica u otros que considere pertinentes para facilitar a los titulares el ejercicio de sus derechos.

Artículo 17. Medio para recibir notificaciones del titular.

En la solicitud de acceso, rectificación, modificación, revocación o eliminación, para los efectos de la Ley y el presente Reglamento, se deberá indicar medio para recibir notificaciones.

En caso de no cumplir con este requisito, opera la notificación automática señalada en la Ley de Notificaciones Judiciales, Ley nº 8687, del 4 del diciembre del 2008, publicado en La Gaceta nº 20 del 29 de enero de 2009, y sus reformas.

Artículo 18. De las solicitudes del titular hacia el responsable.

El responsable, deberá dar trámite a toda solicitud para el ejercicio de los derechos personales del titular. El plazo para que se atienda la solicitud será de cinco días hábiles, contados a partir del día siguiente en que la misma haya sido recibida por el responsable, en cuyo caso éste anotará en el acuse de recibo que entregue al titular, la correspondiente fecha de recepción.

El plazo señalado se interrumpirá en caso de que el responsable requiera información adicional al titular.

Artículo 19. Requerimiento de información adicional.

En el caso de que la información proporcionada en la solicitud sea insuficiente o errónea para atenderla, el responsable podrá requerir al titular, por una vez y dentro de los cinco días hábiles siguientes a la recepción de la solicitud, que aporte los elementos o documentos necesarios para dar trámite a la misma. El titular contará con un plazo de cinco días hábiles, contados a partir del día siguiente de su recepción, para atender el requerimiento.

De no dar respuesta en dicho plazo, se tendrá por no presentada la solicitud correspondiente. En caso de que el titular, atienda el requerimiento de información, el plazo para que el responsable dé respuesta a la solicitud,será de cinco días hábiles, que empezarán a correr el día siguiente de que el titular, haya atendido el requerimiento.

Artículo 20. Respuesta por parte del responsable.

En todos los casos, el responsable deberá dar respuesta a las solicitudes que reciba del titular, con independencia de que figuren o no datos personales de éste en sus bases de datos, de conformidad con el plazo establecido en la Ley y este Reglamento.

La respuesta del responsable al titular, deberá referirse sobre la totalidad del registro perteneciente al titular, aún cuando el requerimiento solo comprenda un aspecto de los datos personales, y deberá presentarse en un formato legible, comprensible y de fácil acceso. En caso de uso de códigos, siglas o claves se deberán proporcionar los significados correspondientes.

Este informe en ningún caso podrá revelar datos pertenecientes a terceros, aún cuando se vinculen con el titular solicitante.

Artículo 21. Derecho de acceso a la información.

El titular tiene derecho a obtener del responsable, la información relacionada con sus datos personales, entre ellos lo relativo a las condiciones, finalidad y generalidades de su tratamiento.

Podrá realizar las consultas de información a la base de datos, con un intervalo mínimo de seis meses, salvo que de manera fundamentada el titular exprese al responsable de la base de datos sus motivos y pruebas, por los cuales considera existe una vulneración de sus derechos protegidos en la Ley y el presente Reglamento. En caso de que el responsable de la base de datos considere que los motivos no son de recibo y existiera la posibilidad de un uso abusivo de ese derecho, dentro de los cinco días hábiles siguientes a la solicitud, elevará el asunto ante la PRODHAB, quien resolverá en definitiva, dentro del plazo de diez días hábiles, a partir de la recepción de dicha gestión.

El responsable, deberá evacuar la consulta de información dentro del plazo de cinco días hábiles a partir de la recepción de la solicitud.

Artículo 22. Negativa por parte del responsable.

El responsable que niegue el ejercicio de cualquier gestión del titular, deberá justificar por escrito su respuesta. Si el titular lo considera pertinente, podrá acudir ante la Agencia conforme el Capítulo VII “De la Protección de Derechos ante la Agencia” de este Reglamento.

Artículo 23. Derecho de rectificación.

El titular podrá solicitar en todo momento al responsable, que rectifique sus datos personales que resulten ser inexactos, incompletos o confusos.

Artículo 24. Requisitos para el ejercicio del derecho de rectificación.

La solicitud de rectificación, deberá indicar a qué datos personales se refiere, así como la corrección que se solicita realizar y deberá ser acompañada de la documentación o prueba pertinente que ampare la procedencia de lo solicitado. El responsable, deberá ofrecer mecanismos que faciliten el ejercicio de este derecho en beneficio del titular.

Artículo 25. Derecho de supresión o eliminación.

El titular podrá solicitar en cualquier momento al responsable, la supresión o eliminación total o parcial de los datos personales del titular, de manera definitiva.

Artículo 26. Ejercicio del derecho de supresión o eliminación.

El titular podrá solicitar en cualquier momento al responsable, la supresión o eliminación total o parcial de los datos personales, salvo en los siguientes casos:

a) La seguridad del Estado;

b) Los datos deban ser mantenidos por disposición constitucional, legal o resolución de órgano judicial;

c) La seguridad ciudadana y el ejercicio de la autoridad pública;

d) La prevención, persecución, investigación, detención y represión de las infracciones penales, o de las infracciones de la deontología en las profesiones;

e) El funcionamiento de bases de datos que se utilicen con fines estadísticos, históricos o de investigación científica, cuando no exista riesgo de que las personas sean identificadas;

f) La adecuada prestación de servicios públicos;

g) La eficaz actividad ordinaria de la Administración, por parte de las autoridades oficiales;

h) Se trate de datos personales de acceso irrestricto, obtenidos de fuentes de acceso público general.

Capítulo IV.- Del Tratamiento de los Datos Personales y las Medidas de Seguridad

Artículo 27. Procedimientos para el tratamiento.

El responsable establecerá y documentará procedimientos para la inclusión, conservación, modificación, bloqueo y supresión de los datos personales, en el sitio o en la nube, con base en los protocolos mínimos de actuación y las medidas de seguridad en el tratamiento de los datos personales. Además deberá el responsable de la base de datos velar por la aplicación del principio de calidad de la información.

Artículo 28. Condiciones del tratamiento.

Corresponde al responsable o al encargado, la difusión, comercialización y distribución de dichos datos, según lo que determine el consentimiento informado otorgado por el titular, aún y cuando estos datos sean almacenados o alojados por un intermediario tecnológico.

Artículo 29. Contratación o subcontratación de servicios.

Se podrá contratar o subcontratar los servicios del intermediario tecnológico o proveedor de servicios, siempre y cuando no implique tratamiento de datos personales. El responsable deberá verificar que dicho intermediario o proveedor cumpla con las medidas de seguridad mínimas que garanticen la integridad y seguridad de los datos personales.

Artículo 30. Tratamiento de datos por parte del encargado.

El encargado solo podrá intervenir en el tratamiento de las bases de datos personales, según lo establecido en el contrato celebrado con el responsable y sus indicaciones.

Artículo 31. Obligaciones del encargado.

El encargado tendrá las siguientes obligaciones en el tratamiento de las bases de datos personales:

a) Tratar únicamente los datos personales conforme a las instrucciones del responsable;

b) Abstenerse de tratar los datos personales para finalidades distintas a las instruidas por el responsable;

c) Implementar las medidas de seguridad y cumplir con los protocolos mínimos de actuación conforme a la Ley, el presente Reglamento y las demás disposiciones aplicables;

d) Guardar confidencialidad respecto de los datos personales tratados;

e) Abstenerse de transferir o difundir los datos personales, salvo instrucciones expresas por parte del responsable.

f) Suprimir los datos personales objeto de tratamiento, una vez cumplida la relación jurídica con el responsable o por instrucciones del responsable, siempre y cuando no exista una previsión legal que exija la conservación de los datos personales.

Artículo 32. De los protocolos mínimos de actuación.

Los responsables deberán confeccionar un protocolo mínimo de actuación, el cual deberá ser transmitido al encargado para su fiel cumplimiento y donde al menos, se deberá especificar lo siguiente:

a) Elaborar políticas y manuales de privacidad obligatorios y exigibles al interior de la organización del responsable;

b) Poner en práctica un manual de capacitación, actualización y concientización del personal sobre las obligaciones en materia de protección de datos personales;

c) Establecer un procedimiento de control interno para el cumplimiento de las políticas de privacidad;

d) Instaurar procedimientos ágiles, expeditos y gratuitos para recibir y responder dudas y quejas de los titulares de los datos personales o sus representantes, así como para acceder, rectificar, modificar, bloquear o suprimir la información contenida en la base de datos y revocar su consentimiento.

e) Crear medidas y procedimientos técnicos que permitan mantener un historial de los datos personales durante su tratamiento.

f) Constituir un mecanismo en el cual el responsable transmitente, le comunica al responsable receptor, las condiciones en las que el titular consintió la recolección, la transferencia y el tratamiento de sus datos.

Estas medidas, así como sus posteriores modificaciones, deberán ser inscritas ante la Agencia como protocolos mínimos de actuación.

Artículo 33. Facultad de verificación.

La Agencia podrá verificar, en cualquier momento, que la base de datos esté cumpliendo con los términos establecidos en el protocolo mínimo de actuación.

Artículo 34. De las medidas de seguridad en el tratamiento de datos personales.

El responsable, deberá establecer y mantener las medidas de seguridad administrativas, físicas y lógicas para la protección de los datos personales, con arreglo a lo dispuesto en la Ley y el presente Reglamento. Se entenderá por medidas de seguridad el control o grupo de controles para proteger los datos personales.

Asimismo, el responsable deberá velar porque el encargado de la base de datos y el intermediario tecnológico cumplan con dichas medidas de seguridad, para el resguardo de la información.

Artículo 35. Factores para determinar las medidas de seguridad.

El responsable determinará las medidas de seguridad, aplicables a los datos personales que trate o almacene, considerando los siguientes factores:

a) La sensibilidad de los datos personales tratados, en los casos que la ley lo permita;

b) El desarrollo tecnológico;

c) Las posibles consecuencias de una vulneración para los titulares de sus datos personales.

d) El número de titulares de datos personales;

e) Las vulnerabilidades previas ocurridas en los sistemas de tratamiento o almacenamiento;

f) El riesgo por el valor, cuantitativo o cualitativo, que pudieran tener los datos personales; y

g) Demás factores que resulten de otras leyes o regulación aplicable al responsable.

Artículo 36. Acciones para la seguridad de los datos personales.

A fin de establecer y mantener la seguridad física y lógica de los datos personales, el responsable deberá realizar al menos las siguientes acciones, las cuales podrán ser requeridas en cualquier momento por la Agencia:

a) Elaborar una descripción detallada del tipo de datos personales tratados o almacenados;

b) Crear y mantener actualizado un inventario de la infraestructura tecnológica, incluyendo los equipos y programas de cómputo y sus licencias;

c) Señalar el tipo de sistema, programa, método o proceso utilizado en el tratamiento o almacenamiento de los datos;

d) Contar con un análisis de riesgos, que consiste en identificar peligros y estimar los riesgos que podrían afectar los datos personales;

e) Establecer las medidas de seguridad aplicables a los datos personales, e identificar aquellas implementadas de manera efectiva;

f) Calcular el riesgo residual existente basado en la diferencia de las medidas de seguridad existentes y aquéllas faltantes que resultan necesarias para la protección de los datos personales;

g) Elaborar un plan de trabajo para la implementación de las medidas de seguridad faltantes, derivados del resultado del cálculo del riesgo residual.

Artículo 37. Actualizaciones de las medidas de seguridad.

Los responsables deberán actualizar las medidas de seguridad cuando ocurran los siguientes eventos:

a) Se modifiquen las medidas o procesos de seguridad para su mejora continua, derivado de las revisiones a la política de seguridad del responsable;

b) Se produzcan modificaciones sustanciales en el tratamiento o almacenamiento, que deriven en un cambio del nivel de riesgo;

c) Se modifique la plataforma tecnológica;

d) Se vulneren los sistemas de tratamiento o almacenamiento de datos personales, de conformidad con lo dispuesto en la Ley y el presente Reglamento; o,

e) Exista una afectación a los datos personales, distinta a las anteriores.

En el caso de datos personales sensibles, cuando la ley lo permita, el responsable deberá revisar y, en su caso, actualizar las medidas de seguridad correspondientes, al menos una vez al año.

Artículo 38. Vulnerabilidad de seguridad.

El responsable deberá informar al titular sobre cualquier irregularidad en el tratamiento o almacenamiento de sus datos, tales como pérdida, destrucción, extravío, entre otras, como consecuencia de una vulnerabilidad de la seguridad o que tuviere conocimiento del hecho, para lo cual tendrá cinco días hábiles a partir del momento en que ocurrió la vulnerabilidad, a fin de que los titulares de estos datos personales afectados puedan tomar las medidas correspondientes.

Dentro de este mismo plazo deberá iniciar un proceso de revisión exhaustiva para determinar la magnitud de la afectación, y las medidas correctivas y preventivas que correspondan.

Artículo 39. Información mínima.

El responsable deberá informar al titular y a la Agencia, en caso de vulnerabilidades de seguridad, al menos lo siguiente:

a) La naturaleza del incidente;

b) Los datos personales comprometidos;

c) Las acciones correctivas realizadas de forma inmediata; y,

d) Los medios o el lugar, donde puede obtener más información al respecto.

Capítulo V.- De la Transferencia de Datos Personales

Artículo 40. Condiciones para la transferencia.

La transferencia implica la comercialización de datos personales por parte, única y exclusivamente, del responsable que transfiere al responsable receptor de los datos personales. Dicha transferencia de datos personales requerirá siempre del consentimiento expreso e informado del titular, salvo disposición legal en contrario, asimismo que los datos a transferir hayan sido recabados o recolectados de forma lícita y según los criterios que la Ley y el presente Reglamento disponen.

Toda venta de datos del fichero o de la base de datos, parcial o total, deberá reunir los requerimientos establecidos en el párrafo anterior.

Artículo 41. Cumplimiento de los protocolos mínimos de actuación.

Las transferencias de datos personales por parte de los responsables, estarán supeditadas al fiel cumplimiento de los protocolos mínimos de actuación, debidamente inscritos ante la Agencia.

Artículo 42. Carga de la prueba.

Para efectos de demostrar que la transferencia de datos personales se realizó conforme a la Ley y el presente Reglamento, la carga de la prueba recaerá en el responsable.

Artículo 43. Contrato para la transferencia de datos.

El responsable de la transferencia de datos personales deberá establecer un contrato con el responsable receptor, en el que se prevean, al menos las mismas obligaciones a las que se encuentra sujeto el responsable de la transferencia de dichos datos.

Capítulo VI.- De la Inscripción del Registro de Bases de Datos y Ficheros ante la Agencia

Artículo 44. Inscripción del registro de base de datos.

Las personas físicas o jurídicas propietarias de bases de datos personales, de conformidad con la Ley y este Reglamento, deberán inscribir ante la Agencia un registro de dichas bases de datos, proporcionando la siguiente información:

a) Solicitud del propietario físico o jurídico, debidamente autenticado notarialmente o confrontada la firma. En el caso de persona jurídica deberá presentarse personería jurídica vigente con máximo un mes de haber sido expedida;

b) Designación del responsable de la base de datos personales ante la Agencia y ante terceros, con indicación del medio y lugar de contacto. Así como carta de aceptación del cargo y las responsabilidades inherentes al mismo.

c) Identificación de los encargados, incluyendo sus datos de contacto, ubicación de los datos, y una copia certificada o confrontada del contrato firmado entre estos y el responsable;

d) Nombres de las bases de datos y su ubicación física;

e) Especificación de las finalidades y los usos previstos;

f) Tipos de datos personales sometidos a tratamiento en dichas bases de datos;

g) Procedimientos de obtención, según el consentimiento informado, de los datos personales, así como el sistema de tratamiento de éstos;

h) Descripción técnica de las medidas de seguridad que se utilizan en el tratamiento de los datos personales, según lo dispuesto en el presente Reglamento;

i) Los destinatarios de transferencias de los datos personales;

j) Copia certificada o confrontada de los protocolos mínimos de actuación;

k) Listado de los contratos globales y ventas de ficheros vigentes, así como indicación de la estimación pecuniaria de cada uno de esos contratos.

l) El superusuario que al efecto asignará el responsable a la Agencia.

m) Señalamiento de fax o correo electrónico para recibir notificaciones de la Agencia.

Asimismo, el responsable deberá mantener el registro de la base de datos, en todo momento, actualizados ante la Agencia, según lo establecido en el presente Reglamento.

Artículo 45. Superusuario.

El responsable deberá proporcionar a la Agencia un superusuario con perfil de consulta, aún cuando los datos estén siendo tratados por un encargado.

La creación y puesta en funcionamiento de este superusuario debe ser diseñada y financiada por el responsable de la base de datos personales y debe operar a partir de la inscripción del registro de la base de datos ante la Agencia.

La Agencia podrá en cualquier momento y de oficio consultar dicha base de datos sin restricción alguna, cuando exista denuncia presentada ante la Agencia o se tenga evidencia de un mal manejo de la base de datos o sistema de información. Para tales efectos, la Agencia deberá establecer lineamientos que garanticen el debido cumplimiento del secreto profesional o funcional, y para todos los casos llevar una bitácora en donde al menos se consignen el motivo, los accesos y consultas realizadas, así como el funcionario asignado que los realice.

Artículo 46. Constatación de posibles infracciones.

La Agencia podrá realizar inspecciones administrativas de oficio, con el fin de constatar si existen posibles infracciones a la Ley o a este Reglamento. En dicho caso el funcionario asignado deberá dejar constancia de la inspección mediante el levantamiento de un acta.

Artículo 47. Bases de datos manuales.

La Agencia podrá en cualquier momento y de oficio acceder a las bases de datos manuales sin restricción alguna, cuando exista denuncia presentada ante la Agencia o se tenga evidencia de un mal manejo de la base de datos o sistema de información. Para tales efectos, la Agencia deberá establecer lineamientos que garanticen el debido cumplimiento del secreto profesional o funcional, y para todos los casos llevar una bitácora en donde al menos se consignen el motivo, los accesos y consultas realizadas, así como el funcionario asignado que los realice.

Artículo 48. Procedimiento de inscripción.

Inicia con la presentación de la solicitud de inscripción del registro de la base de datos personales ante la Agencia. Dicha solicitud, deberá contener los requisitos exigidos en el presente Reglamento.

La Agencia contará con un plazo de veinte días hábiles, contados a partir de la presentación de la solicitud, para verificar los requisitos de forma y fondo presentados.

Artículo 49. Subsanación de defectos y archivo de la solicitud.

Si la solicitud de inscripción del registro de la base de datos presentada, no cumple con los requisitos exigidos por el presente Reglamento, la Agencia requerirá al solicitante que en el plazo de diez días hábiles subsane la omisión. Transcurrido el plazo máximo, sin que el solicitante haya cumplido con la información prevenida, se procederá al archivo de la misma, sin perjuicio que pueda presentarse una nueva solicitud.

Artículo 50. Del pago.

Cumplidos todos los requisitos de forma y fondo o subsanada la prevención, se otorgará al solicitante un plazo de diez días hábiles para que cancele el canon anual. De no realizarse el pago del canon en este plazo, se archivará la gestión sin perjuicio de que pueda presentarse una nueva solicitud.

Artículo 51. Resolución de inscripción.

El Director de la Agencia, dictará dentro del plazo de diez días hábiles siguientes a la recepción del pago del canon, la resolución de inscripción del registro de la base de datos.

La inscripción del registro de una base de datos ante la Agencia, no exime al responsable al cumplimiento y seguimiento del resto de las obligaciones previstas en la Ley y demás disposiciones reglamentarias.

Artículo 52. Contenido de la resolución de inscripción.

En los casos en los que proceda la inscripción del registro de la base de datos ante la Agencia, deberá al menos, consignarse en la resolución de inscripción, la siguiente información:

a) El código asignado por la Agencia a la base de datos;

b) El nombre de la base de datos inscrita y la ubicación de los datos;

c) La identificación del responsable de la base de datos personales y su medio de contacto;

d) Identificación del encargado y su medio de contacto;

e) La categoría de los datos personales que contiene;

f) Los procedimientos de obtención de los datos;

g) Finalidad de tratamiento de los datos personales.

Artículo 53. Resolución de improcedencia.

El Director de la Agencia, dentro de los veinte días hábiles contados a partir de la presentación de la solicitud de inscripción, cuando del análisis de los requisitos se determine la improcedencia de la inscripción de la base de datos, según lo dispuesto en la Ley y el presente Reglamento, dictará resolución denegándola.

Artículo 54. Actualización y modificación de los datos inscritos del registro.

La información inscrita del registro de la base de datos, deberá mantenerse actualizada. Cualquier modificación a la información de inscripción, que afecte el contenido del registro de la base de datos, deberá ser comunicada por el responsable de la base de datos a la Agencia dentro del plazo de cinco días hábiles posteriores a la modificación o el cambio, a fin de proceder a su actualización.

Artículo 55. Cancelación de la inscripción del registro de las bases de datos.

Cuando el propietario o el responsable de la base de datos personales decida la cancelación del registro de la base de datos, deberá presentar una solicitud en tal sentido a la Agencia, indicando expresamente el destino de los datos personales o las previsiones para su eliminación, supresión o destrucción. La Agencia tendrá un mes para proceder con la cancelación de la inscripción del registro de la base de datos.

Artículo 56. Medios de impugnación.

Contra la resolución final al procedimiento de inscripción del registro de la base de datos, procede dentro del tercer día hábil a partir de la respectiva notificación del acto final, la interposición ante la Agencia de los Recursos ordinarios de Reconsideración y Apelación, siendo potestativo usar ambos recursos o uno solo de ellos, pero será inadmisible el que se interponga pasado dicho plazo.

Artículo 57. Plazo para resolver.

Los recursos interpuestos deberán ser resueltos, el de Reconsideración por la Agencia dentro de los ocho días hábiles posteriores a su presentación y en caso de haberse interpuesto Recurso de Apelación deberá remitir el mismo y el respectivo expediente al Ministro (a) de Justicia y Paz dentro de los siguientes tres días hábiles, a partir de la notificación de la Resolución del Recurso de Reconsideración. El Ministro de Justicia y Paz, deberá resolver el Recurso de apelación dentro del plazo de ocho días hábiles posteriores al recibo del expediente.

Capítulo VII.- De la Protección de Derechos ante la Agencia

Artículo 58. Inicio del procedimiento de Protección de Derechos.

Cualquier persona que ostente un derecho subjetivo o un interés legítimo puede denunciar, ante la Agencia, que una base de datos pública o privada actúa en contravención de las reglas o los principios básicos para la protección de los datos y la autodeterminación informativa, establecidas por la Ley y el presente Reglamento.

Asimismo, la Agencia podrá de oficio iniciar un procedimiento tendiente a verificar si una base de datos, está siendo utilizada o no, conforme a la Ley y al presente Reglamento.

La Agencia en la tramitación del procedimiento de protección de datos, aplicará los principios establecidos en el Libro Segundo de la Ley General de la Administración Pública.

Artículo 59. Causales.

El procedimiento de protección de derechos procederá cuando:

a. Se recolecten datos personales para su uso en base de datos sin que se le otorgue suficiente y amplia información a la persona interesada;

b. Se recolecten, almacenen y transmitan datos personales por medio de mecanismos inseguros o que de alguna forma no garanticen la seguridad e inalterabilidad de los datos;

c. Se recolecten, almacenen, transmitan o de cualquier otra forma empleen datos personales sin el consentimiento informado y expreso del titular de los datos;

d. Se transfieran datos personales a otras personas o empresas en contravención de las reglas establecidas en la Ley y el presente Reglamento;

e. Se recolecten, almacenen, transmitan o de cualquier otro modo empleen datos personales para una finalidad distinta de la autorizada por el titular de la información;

f. Se niegue injustificadamente a dar acceso a un titular sobre los datos que consten en archivos y bases de datos, a fin de verificar su calidad, recolección, almacenamiento y uso conforme a la Ley y este Reglamento;

g. Se niegue injustificadamente a eliminar o rectificar los datos de una persona que así lo haya solicitado por medio claro e inequívoco;

h. Se recolecten, almacenen, transmitan o de cualquier otra forma empleen, por parte de personas físicas o jurídicas privadas datos sensibles, sin el consentimiento de su titular o sin ley o norma especial que lo autorice;

i. Se obtengan de los titulares o terceros, datos personales por medio de engaño, violencia, dolo, mala fé o amenaza;

j. Se revele información registrada en una base de datos personales cuyo secreto esté obligado a guardar conforme a la Ley:

k. Se proporcione a un tercero, información falsa o distinta contenida en un archivo de datos, con conocimiento de ello;

l. Se realice tratamiento de datos personales sin encontrarse debidamente inscrito ante la Agencia;

m. Se transfieran, a las bases de datos de terceros países, información de carácter personal de los costarricenses o de los extranjeros radicados en el país, sin el consentimiento de sus titulares.

n. Por otras causas que a juicio de la Agencia afecten los derechos del titular conforme a la Ley y al presente Reglamento.

Artículo 60. Requisitos de la denuncia.

La solicitud de protección de datos deberá contener lo siguiente:

a) Nombres, apellidos y calidades del titular o denunciante;

b) Nombre del dueño o responsable o de la base de datos o bien cualquier elemento que permita identificar al denunciado;

c) Hechos en que se funde la denuncia expuestos uno por uno, enumerados y bien especificados, en forma clara y precisa;

d) Copia de la solicitud del ejercicio de derechos que corresponda, así como copia de los documentos anexos para cada una de las partes, de ser el caso;

e) Documento en que conste la respuesta a su gestión, de ser el caso;

f) En el supuesto en que impugne la falta de respuesta, deberá acompañar una copia en la que conste el acuse o constancia de recepción de la solicitud del ejercicio de derechos;

g) Las pruebas documentales o pertinentes;

h) Pretensión que formule;

i) Señalamiento de medios para recibir notificaciones;

j) Cualquier otro documento que considere procedente someter a juicio de la Agencia.

Artículo 61. Acreditación de la documentación.

Si el titular no pudiera acreditar documentalmente que gestionó ante la base de datos, podrá acreditar ante la Agencia la gestión, mediante declaración jurada o acta notarial que haga constar el hecho.

Artículo 62. Subsanación, admisibilidad y archivo.

La Agencia podrá prevenir al titular para que en el plazo de diez días hábiles a partir del día siguiente a la recepción de la notificación, aclare y precise la información o documentación presentada, bajo la pena de inadmisibilidad de la denuncia y su consecuente archivo.

Artículo 63. Admisibilidad.

La Agencia deberá resolver sobre la admisibilidad de la solicitud de protección del derecho del titular, en un plazo de cinco días hábiles a partir de la recepción o subsanación de la denuncia.

Contra la resolución que resuelva sobre la admisibilidad de la solicitud, procede dentro del tercer día hábil a partir de la respectiva notificación, la interposición ante la Agencia de los Recursos ordinarios de Reconsideración y Apelación, siendo potestativo usar ambos recursos o uno solo de ellos, pero será inadmisible el que se interponga pasado dicho plazo.

Plazo para resolver. Los recursos interpuestos deberán ser resueltos, el de Reconsideración por la Agencia dentro de los ocho días hábiles posteriores a su presentación y en caso de haberse interpuesto Recurso de Apelación deberá remitir el mismo y el respectivo expediente al Ministro (a) de Justicia y Paz dentro de los siguientes tres días hábiles, a partir de la notificación de la Resolución del Recurso de Reconsideración. El Ministro de Justicia y Paz, deberá resolver el Recurso de apelación dentro del plazo de ocho días hábiles posteriores al recibo del expediente.

Artículo 64. Medidas cautelares.

En casos especiales, de manera excepcional, y en cualquier momento, la Agencia podrá disponer las medidas cautelares que estime necesarias para el cumplimiento de la protección de los derechos personales de un titular, respecto del tratamiento de sus datos, debiendo considerar especialmente el principio de proporcionalidad, los caracteres de instrumentalidad y provisionalidad, así como ponderar los eventuales daños y perjuicios que se provoquen con la medida a las partes.

A tal efecto, la Agencia dará audiencia por veinticuatro horas al responsable de la base de datos. Transcurrido dicho plazo, la Agencia deberá resolver sobre la medida, en un plazo máximo de tres días hábiles.

Artículo 65. Recurso contra la resolución que resuelve la medida cautelar.

Contra la resolución que resuelve la medida cautelar, cabrá únicamente el Recurso de Reconsideración ante la Agencia, que deberá interponerse dentro del plazo de veinticuatro horas a partir de la notificación. La Agencia deberá resolver el recurso dentro del plazo de tres días hábiles a partir de la interposición del recurso.

Artículo 66. Presupuestos de las medidas cautelares.

Para la aplicación de las respectivas medidas cautelares, la Agencia ponderará los intereses en juego y deberá constatar que se esté en presencia de los siguientes presupuestos:

a. Apariencia de buen derecho;

b. Daño inminente y de difícil reparación;

c. Ponderación de los intereses en juego, particularmente la no afectación al interés público.

Artículo 67. Traslado de cargos.

Admitida la denuncia la Agencia hará el traslado de cargos a quien corresponda, para que dentro del plazo de tres días hábiles, brinde informe sobre la veracidad de los cargos y aporte la prueba que estime pertinente.

Las manifestaciones realizadas se considerarán dadas bajo fe de juramento.

La omisión de rendir informe en el plazo estipulado hará que se tengan por ciertos los hechos acusados.

Artículo 68. Medios de prueba.

Los medios de prueba serán los siguientes:

a. Documental físico o electrónico;

b. El resultado de un estudio pericial;

c. Declaraciones juradas de los testigos, debidamente autenticadas;

Las pruebas de cargo y de descargo deberán ser presentadas junto con la denuncia o la contestación, según corresponda.

Artículo 69. Acto final.

La Agencia resolverá el procedimiento de protección de derechos en el plazo de un mes, a partir la firmeza de la resolución que resuelva sobre la admisibilidad de la denuncia.

Artículo 70. Fijación de sanciones.

La Agencia, en caso de que así correspondiere como resultado del procedimiento administrativo realizado, procederá a imponer las sanciones respectivas según éstas hayan sido determinadas como leves, graves o gravísimas, conforme lo dispone la Ley, lo anterior tomando en cuenta el hecho generador de la infracción, en el mismo acto final. En tal supuesto, se deberá enumerar las infracciones en las que incurrió el responsable, el monto que debe cancelar, el plazo para hacerlo y el número de cuenta que para el efecto designará la Agencia, a su vez cuando corresponda, el plazo para la modificación, suspensión o eliminación de los datos personales.

Además, la Agencia podrá imponer apercibimientos escritos a aquellas acciones u omisiones que atenten contra los derechos consagrados en la Ley y este Reglamento.

Artículo 71. Medios de impugnación.

Contra el acto final del procedimiento procede dentro del tercer día hábil a partir de la respectiva notificación, la interposición ante la Agencia de los Recursos ordinarios de Reconsideración y Apelación, siendo potestativo usar ambos recursos o uno solo de ellos, pero será inadmisible el que se interponga pasado dicho plazo.

Artículo 72. Plazo para resolver.

Los recursos interpuestos deberán ser resueltos, el de Reconsideración por la Agencia dentro de los ocho días hábiles posteriores a su presentación y en caso de haberse interpuesto Recurso de Apelación deberá remitir el mismo y el respectivo expediente al Ministro (a) de Justicia y Paz dentro de los siguientes tres días hábiles, a partir de la notificación de la Resolución del Recurso de Reconsideración. El Ministro de Justicia y Paz, deberá resolver el Recurso de apelación dentro del plazo de ocho días hábiles posteriores al recibo del expediente.

Capítulo VIII.- Del Procedimiento de Cobro

Artículo 73. Inicio del Procedimiento de Cobro Administrativo.

Cuando no se cancelen las sanciones pecuniarias impuestas o los cánones que correspondan, en el plazo dado por la Agencia en el acto final del procedimiento de protección de derechos o resolución al efecto, procederá el inicio del procedimiento de cobro.

Corresponderá al Área Administrativa de la Agencia, proceder a gestionar el cobro de dichos montos a los responsables.

La resolución inicial deberá contener al menos:

a) La indicación del expediente correspondiente.

b) La identificación de la entidad pública o privada, responsable de una base de datos personales, contra quien se procede a realizar el cobro.

c) Enumeración de las infracciones en las que se incurrió el responsable o en los cánones omitidos, según corresponda.

d) El monto que debe cancelar dentro del plazo de diez días hábiles, a partir de la notificación de la resolución inicial, y el número de cuenta que para el efecto designará la Agencia.

Artículo 74. Multas e intereses moratorios.

Cumplido el plazo dentro del cual el responsable debió cancelar la multa impuesta, empezarán a correr los intereses moratorios sobre las sumas sin pagar a tiempo, desde el momento en que debió satisfacerse la obligación, hasta la fecha de su efectivo pago, los cuales se fijarán según la resolución vigente que define la base de cálculo de la tasa de interés a cobrar sobre deudas a cargo del sujeto pasivo, emitida por la Dirección General de Hacienda, de conformidad con el Código de Normas y Procedimientos Tributarios.

Artículo 75. Criterio de oportunidad.

El Área Administrativa deberá actualizar cada mes de enero, el monto sobre el cual procederá la Declaratoria de Cuenta Incobrables para el cobro judicial, de conformidad con el análisis de costo beneficio de acuerdo con el Índice de Precios al Consumidor (IPC) del Banco Central de Costa Rica. Considerando al menos:

a. Examen de la magnitud de la deuda.

b. Existencia de bienes del deudor.

c. Bienes gravados en exceso.

d. Costo probable de la ejecución o bien de la interposición de las acciones judiciales.

e. Indicación de los obstáculos materiales con que se cuenta, tales como deudor no localizable, deudor sin actividades, entre otros.

El Área Administrativa en los casos que corresponda, declarará la incobrabilidad de la deuda, atendiendo al escaso beneficio de su cobro en relación con los costos en que debe de incurrirse para llevar adelante la gestión.

Artículo 76. Acto final del procedimiento de cobro.

Vencido el plazo otorgado para cancelar la deuda y sin que el pago se haya realizado en tiempo y forma, el Área Administrativa, previa aplicación del criterio de oportunidad, emitirá resolución trasladando al Área Jurídica de la Agencia, el expediente de cobro administrativo para que se proceda con el trámite del cobro judicial correspondiente.

Artículo 77. Arreglo de pago.

Procederá el arreglo de pago en toda gestión de cobro administrativo o judicial, en que el responsable en su condición de deudor, lo solicite ante el Área Administrativa, siempre que se cuente con las garantías y demás condiciones que así se requieran para el caso en particular.

Procederá el arreglo de pago, en el tanto se cumplan los siguientes requisitos:

a) Cancelar las costas procesales y personales irrogadas en relación con la prosecución del juicio, en caso de que las hubiere.

b) Constituir una garantía suficiente a juicio del Área Administrativa, según corresponda, que cubra el monto adeudado, más los intereses y mora vencidos.

En ningún caso se podrá condonar capital, intereses o mora.

Capítulo IX.- Del Pago de los Cánones

Artículo 78. Canon anual de regulación y administración de bases de datos.

De conformidad con la Ley, todas las bases de datos, públicas o privadas, con fines de distribución, difusión o comercialización, deben inscribirse ante la Agencia, y por ende cancelar ante ésta, la suma de doscientos dólares moneda de curso legal de los Estados Unidos de América (USD $200,00), al tipo de cambio mayor de referencia de venta del Banco Central de Costa Rica del día en que se realice el pago. Dicho monto corresponde al canon anual de regulación y administración de las bases de datos.

Artículo 79. Plazo para el pago.

El plazo para el pago del canon anual será del 1º al 31º enero de cada año.

Los responsables de las bases de datos inscribibles, deberán depositar en la cuenta bancaria que la Agencia determine el monto correspondiente al canon anual.

Artículo 80. Pago proporcional.

Cuando el tratamiento de los datos personales, inicie posterior a la fecha del pago del canon anual de regulación y administración de bases de datos, el responsable, deberá pagar de manera proporcional el monto que le corresponda de los doscientos dólares moneda de curso legal de los Estados Unidos de América (USD $200,00).

El plazo para el pago del canon anual en estos casos, será de un mes calendario a partir de la fecha de inicio del tratamiento de los datos personales o de la fecha de inscripción de la base de datos ante la Agencia, la primera que sea fehacientemente verificable.

Artículo 81. Canon por venta de datos del fichero.

El responsable deberá depositar en la cuenta bancaria que la Agencia determine, la suma de un dólar moneda de curso legal de los Estados Unidos de América (USD $1,00), al tipo de cambio mayor de referencia de venta del Banco Central de Costa Rica del día en que se realice la venta, por concepto de canon por cada venta de datos del fichero que corresponda a una persona, identificada o identificable, que se encuentre registrada en una base de datos de forma legítima.

El pago de este canon deberá realizarse a favor de la Agencia, dentro de los primeros diez días hábiles, del mes siguiente en que se realizó la venta de datos de cada fichero.

Artículo 82. Contratos globales.

El responsable que realice contratos globales, ya sean de bajo, medio o alto consumo de consultas, o modalidades contractuales de servicio en línea por número de aplicación, deberá pagar el canon correspondiente conforme al siguiente detalle:

a) Bajo consumo de consultas: desde una y hasta quinientas mil consultas, el 10% del precio contractual;

b) Medio consumo de consultas: desde quinientas un mil y hasta novecientas noventa y nueve mil consultas, el 7.5% del precio contractual;

c) Alto consumo de consultas: desde un millón de consultas y en adelante, el 5% del precio contractual.

El pago de este canon deberá realizarse a favor de la Agencia, dentro de los primeros diez días hábiles del mes siguiente a la firma del contrato global.

Artículo 83. Canon e intereses moratorios.

Cumplido el plazo dentro del cual el responsable debió cancelar el canon correspondiente, empezarán a correr los intereses moratorios sobre las sumas sin pagar a tiempo, desde el momento en que debió satisfacerse la obligación, hasta la fecha de su efectivo pago, los cuales se fijarán según la resolución vigente que define la base de cálculo de la tasa de interés a cobrar sobre deudas a cargo del sujeto pasivo, emitida por la Dirección General de Hacienda, de conformidad con el Código de Normas y Procedimientos Tributarios.

Artículo 84. Incumplimiento.

En caso de incumplimiento del pago del canon respectivo, se aplicará el mismo procedimiento de cobro establecido en este Reglamento.

Capítulo X.- De la Agencia

Artículo 85. Régimen de empleo.

La Agencia de Protección de Datos estará bajo el Régimen de Empleo Público y excluido del Régimen del Servicio Civil, estando facultada para la incorporación del personal administrativo, técnico y profesional que satisfaga las necesidades del servicio público.

Para hacerse acreedor de este Régimen bajo el principio de idoneidad demostrada, deberá realizarse un concurso público, para lo cual se deberá realizar y aprobar las pruebas que la Agencia determine necesarias.

Artículo 86. Tipos de concursos.

Posterior a la realización del concurso público y con el fin de administrar el recurso humano según las necesidades y promover la carrera administrativa, la Agencia estará en la facultad de llevar a cabo concursos internos, internos ampliados, externos, nombramientos interinos u otros mecanismos que puedan garantizar el funcionamiento de la Institución.

Artículo 87. Manual de cargos y puestos.

La Agencia, deberá contar con los manuales de cargos y puestos. Será responsabilidad de la Agencia la continua actualización de los mismos.

Artículo 88. Reclutamiento y selección.

El proceso de reclutamiento y selección deberá de contar con las siguientes fases:

a) Reclutamiento: Con base en los requerimientos de los manuales de cargos y puestos y las necesidades de la Agencia en cuanto a personal, se definirán y publicarán los requisitos de cada puesto requerido. El reclutamiento puede hacerse tanto a lo interno como externo de la Agencia. Asimismo, se conformará un registro de elegibles por cada puesto, mismo que se integrará de notas de mayor a menor.

b) Selección: La Agencia definirá las metodologías, pruebas, herramientas y criterios de selección que considere oportunas a aplicar para la selección del personal.

c) Conformación de ternas o nóminas: Estarán conformadas de acuerdo con la posición de los participantes dentro del registro de elegibles, pudiendo la Agencia escoger a cualquiera de las personas que las integren.

Todos los procesos de gestión y administración de recurso humano que aplique la Agencia deberán cumplir las normas técnicas generalmente aceptadas en la materia.

Artículo 89. Periodo de prueba.

Todo el personal de la Agencia estará sometido a un periodo de prueba de hasta seis meses.

TRANSITORIO I

Por una única vez, las personas responsables de una base de datos, deberán pagar el canon anual de regulación y administración de bases de datos, a partir del 06 de Marzo del 2013, cancelando por tanto, el monto proporcional que corresponda.

Artículo 90. Vigencia

Rige a partir de su publicación.

Dado en la Presidencia de la República, San José, a los treinta días del mes de octubre del dos mil doce.

LAURA CHINCHILLA MIRANDA.

El Ministro de Justicia y Paz, FERNANDO FERRARO CASTRO.