Decreto Ejecutivo nº 40008-JP, 19 de julio de 2016

Decreto nº 40008-JP

EL PRESIDENTE DE LA REPÚBLICA Y LA MINISTRA DE JUSTICIA Y PAZ

Con fundamento en los artículos 24 y 140 incisos 3), 8) y 18) de la Constitución Política; el artículo 27 y concordantes de la Ley General de la Administración Pública, nº 6227 de 2 de mayo de 1978 y sus reformas; la Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales, nº 8968 del 7 de julio del 2011.

Considerando:

1º.-  Que el Estado democrático y constitucional de derecho costarricense está comprometido en garantizar a cualquier persona, el respeto a sus derechos fundamentales, incluyendo la protección de los datos personales de los habitantes conforme a la ley.

2º.-  Que mediante Ley nº 8968 del 7 de julio del 2011, se promulgó la Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales, siendo que la misma en su Transitorio III impone al Poder Ejecutivo emitir la debida reglamentación.

3º.-  Que mediante decreto ejecutivo nº 37554-JP, dado en la Presidencia de la República a los treinta días del mes de octubre de dos mil doce, publicado en el Diario Oficial la Gaceta, número cuarenta y cinco, de cinco de marzo de dos mil trece, se emitió el Reglamento a la Ley de Protección de la Persona frente al Tratamiento de sus Datos Personales.

4º.-  Que se ha determinado la necesidad de reformar varias disposiciones del citado Reglamento, a efecto de aclarar algunos aspectos que han suscitado dudas, facilitar la debida aplicación de la ley y coadyuvar con la simplificación de trámites. Las reformas buscan precisar mejor el ámbito de aplicación de la Ley nº 8968 en cuanto a las bases de datos internas, transferencias de datos, subcontratación del proveedor de servicios o intermediario tecnológico y entidades financieras. Asimismo, se precisan algunos requisitos relacionados con el consentimiento para el tratamiento de datos personales, el derecho al olvido, el registro de bases de datos y la forma de cálculo y cobro del canon en el caso de contratos globales. También se suprime la figura del “superusuario”, que no existe como tal ni en la Ley nº 8968 ni en el Derecho comparado, sin perjuicio de las facultades de verificación e inspección de la Agencia de Protección de Datos previstas en otras disposiciones legales y reglamentarias.

Por tanto,

DECRETAN:

Artículo 1.- Refórmense los incisos c), f), j), n) y w), y adiciónese un nuevo inciso z), al artículo 2 del Decreto Ejecutivo nº 37554-JP de 30 de octubre de 2012, para que se lean así:

“(…)

c) Base de datos interna, personal o doméstica: Se considerará como base de datos personal o doméstica, cualquier archivo, fichero, registro u otro conjunto estructurado de datos personales restringidos o de acceso irrestricto, mantenidos por personas físicas, siempre y cuando las bases de datos o su contenido no sea comercializado, distribuido o difundido. Se considerará como base de datos interna cualquier archivo, fichero, registro u otro conjunto estructurado de datos personales mantenidos por personas jurídicas, públicas o privadas, siempre y cuando las bases de datos o su contenido no sea comercializado, distribuido o difundido. Conservarán la calidad de base de datos interna, aquellas bases de datos que sean compartidas dentro de un mismo grupo de interés económico ya sea local o con presencia internacional siempre que no medie difusión o distribución a terceros, venta o comercialización de cualquier naturaleza.

(…)

f) Consentimiento del titular de los datos personales: Toda manifestación de voluntad expresa, libre, inequívoca, informada y específica que se otorgue por escrito o en medio digital para un fin determinado, mediante la cual el titular de los datos personales o su representante, consienta el tratamiento de sus datos personales. Si el consentimiento se otorga en el marco de un contrato para otros fines, dicho contrato deberá contar con una cláusula específica e independiente sobre consentimiento del tratamiento de datos personales.

(…)

j) Distribución, difusión: Cualquier forma en la que se repartan o publiquen datos personales, a un tercero, por cualquier medio siempre que medie un fin de comercializar el dato o medie el lucro con la base de datos.

(…)

n) Intermediario tecnológico o proveedor de servicios: Persona física o jurídica, pública o privada que brinde servicios de infraestructura, plataforma, software u otros servicios.

(…)

w) Transferencia de datos personales: Acción mediante la cual se trasladan datos personales del responsable de una base de datos personales a cualquier tercero distinto del propio responsable, de su grupo de interés económico, del encargado, proveedor de servicios o intermediario tecnológico, en estos casos siempre y cuando el receptor no use los datos para distribución, difusión o comercialización.

(…)

z) Grupo de interés económico: agrupación de sociedades que se manifiesta mediante una unidad de decisión, es decir, la reunión de todos los elementos de mando o dirección empresarial por medio de un centro de operaciones, y se exterioriza mediante dos movimientos básicos: el criterio de unidad de dirección, ya sea por subordinación o por colaboración entre empresas, o el criterio de dependencia económica de las sociedades que se agrupan, sin importar que la personalidad jurídica de las sociedades se vea afectada, o que su patrimonio sea objeto de transferencia, independientemente de su domicilio y razón social. Cuando la PRODHAB lo requiera la condición de grupo de interés económico podrá ser demostrada al menos por medio de una declaración notarial jurada o documento legal equivalente de la jurisdicción del titular de la base de datos sin perjuicio de las facultades de investigación de la PRODHAB.”

Artículo 2.- Refórmese el tercer párrafo y adiciónese un nuevo cuarto párrafo al artículo 3 del Decreto Ejecutivo nº 37554-JP de 30 de octubre de 2012 y adiciónese un nuevo párrafo, para que se lean así:

“(…)

Las bases de datos de entidades financieras que se encuentren sujetas al control y regulación por parte de la Superintendencia General de Entidades Financieras (SUGEF), no requerirán inscribirse ante la Agencia de Protección de Datos de los Habitantes. Sin perjuicio de lo anterior, la Agencia tendrá plena competencia para regular y fiscalizar la protección de los derechos y garantías cubiertos bajo la Ley Nº 8968 y ejercer todas las acciones que se conceden al efecto, sobre dichas bases de datos.

El régimen de protección de los datos de carácter personal que se establece en este Reglamento tampoco será de aplicación a los datos que se refieran a personas físicas en su calidad de profesionales siempre y cuando ello se realice para fines propios de la profesión o en cumplimiento de disposiciones legales.”

Artículo 3.- Refórmese el inciso d) del artículo 4 del Decreto Ejecutivo nº 37554-JP de 30 de octubre de 2012, para que se lea así:

“d) Inequívoco: debe otorgarse por cualquier medio o mediante conductas inequívocas del titular de forma tal que pueda demostrarse de manera indubitable su otorgamiento y que permita su consulta posterior.”

Artículo 4.- Refórmese el segundo párrafo del artículo 5 del Decreto Ejecutivo nº 37554-JP de 30 de octubre de 2012, para que se lea así:

“(…)

El consentimiento deberá ser otorgado por el titular, en un documento físico o electrónico. Tratándose de consentimiento recabado en línea, el responsable deberá poner a disposición un procedimiento para el otorgamiento del consentimiento conforme a la Ley.

(…)”

Artículo 5.- Refórmese el artículo 11 del Decreto Ejecutivo nº 37554-JP de 30 de octubre de 2012, para que se lea así:

“Artículo 11. Derecho al olvido. La conservación de los datos personales que puedan afectar a su titular, no deberá exceder el plazo de diez años, desde la fecha de terminación del objeto de tratamiento del dato, salvo disposición normativa especial que establezca otro plazo, que por el acuerdo de partes se haya establecido un plazo distinto, que exista una relación continuada entre las partes o que medie interés público para conservar el dato.”

Artículo 6.- Refórmese el artículo 29 del Decreto Ejecutivo nº 37554-JP de 30 de octubre de 2012, para que se lea así:

Artículo 29. Contratación o subcontratación de servicios.

En la contratación o subcontratación de servicios prestados por un intermediario tecnológico o proveedor de servicios, se considerará que quien contrate dichos servicios mantiene la responsabilidad por el tratamiento de datos personales. El responsable deberá verificar que dicho intermediario o proveedor cumpla con las medidas de seguridad mínimas que garanticen la integridad y seguridad de los datos personales.”

Artículo 7.- Refórmese el inciso c) y adiciónese un párrafo final al artículo 36 del Decreto Ejecutivo nº 37554-JP de 30 de octubre de 2012, para que se lean así:

“(…)

c) Señalar el tipo de sistema, programa, método o proceso utilizado en el tratamiento o almacenamiento de los datos; igualmente, indicarse el nombre y la versión de la base de datos utilizada cuando proceda.

(…)

“Las medidas de seguridad de las bases de datos serán consideradas información no divulgada y serán resguardadas exclusivamente por el responsable de la base de datos. Podrán ser requeridas por la Agencia únicamente para consulta in situ y para la verificación de acciones ante la existencia de una denuncia expresa de terceros afectados. Para efectos de registro se notificará a la PRODHAB los protocolos mínimos de seguridad con los que cuenta el responsable”

Artículo 8.- Refórmese el artículo 40 del Decreto Ejecutivo nº 37554-JP de 30 de octubre de 2012, para que se lean así:

“Artículo 40. Condiciones para la transferencia.

La transferencia requerirá siempre el consentimiento inequívoco del titular. La transferencia implica la cesión de datos personales por parte, única y exclusivamente, del responsable que transfiere al responsable receptor de los datos personales. Dicha transferencia de datos personales requerirá siempre del consentimiento informado del titular, salvo disposición legal en contrario, asimismo que los datos a transferir hayan sido recabados o recolectados de forma lícita y según los criterios que la Ley y el presente Reglamento dispone. No se considera trasferencia el traslado de datos personales del responsable de una base de datos a un encargado, proveedor de servicios o intermediario tecnológico o las empresas del mismo grupo de interés económico.

Toda venta de datos del fichero o de la base de datos, parcial o total, deberá reunir los requerimientos establecidos en el párrafo anterior.”

Artículo 9.- Refórmense los incisos c), e), g) y j), y adiciónese un párrafo final, al artículo 44 del Decreto Ejecutivo número 37554-JP, para que se lean así:

“(…)

c) Identificación de los encargados, incluyendo sus datos de contacto, así como carta de aceptación del cargo y las responsabilidades inherentes al mismo.

(…)

e) Especificación de las finalidades y los usos previstos de la base de datos

(…)

g) Procedimientos de obtención, según el consentimiento informado, de los datos personales.

(…)

j) Copia de los protocolos mínimos de actuación;

(…)”

No serán sujetas de inscripción ante la Agencia, las bases de datos personales, internas o domésticas.

Artículo 10.- Refórmese el artículo 82 del Decreto Ejecutivo número 37554-JP, para que se lea así:

“Artículo 82. Contratos globales.

El responsable que realice contratos globales, ya sean de bajo, medio o alto consumo de consultas, o modalidades contractuales de servicio en línea por número de aplicación, deberá pagar el canon correspondiente conforme al siguiente detalle:

a) Bajo consumo de consultas: desde una y hasta quinientas mil consultas, el 8% del precio contractual;

b) Medio consumo de consultas: desde quinientas un mil y hasta novecientas noventa y nueve mil consultas, el 5,5% del precio contractual;

c) Alto consumo de consultas: desde un millón de consultas y en adelante, el 3% del precio contractual. El pago de este canon deberá realizarse a favor de la Agencia, junto con el pago del Canon por Regulación y Administración de Bases de Datos, o, en su caso, dentro de los primeros diez días hábiles del mes siguiente a la firma del contrato global. El cobro del Canon se realizara por períodos anuales, del 1º al 31 de enero de cada año.”

Artículo 11.- Deróguense el inciso t) del artículo 2, el inciso l) del artículo 44 y el artículo 45 del Decreto Ejecutivo número 37554-JP.

Artículo 12.- Rige a partir de su publicación.

Dado en la Presidencia de la República, San José, a los diecinueve días del mes de julio de dos mil dieciséis.

LUIS GUILLERMO SOLÍS RIVERA

CECILIA SANCHEZ ROMERO.- MINISTRA DE JUSTICIA Y PAZ

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.