Personal Data Protection LawLey de Protección de Datos Personales

This law is a matter of public order and its objective is to guarantee to any person, regardless of their nationality, residence, or domicile, respect for their fundamental rights, specifically, their right to informational self-determination (autodeterminación informativa) in relation to their private life or activity and other personality rights, as well as the defense of their freedom and equality regarding the automated or manual processing (tratamiento) of data corresponding to their person or property.

This law shall apply to personal data contained in automated or manual databases (bases de datos), of public or private bodies, and to any form of subsequent use of this data.

The protection regime for personal data established in this law shall not apply to databases maintained by natural or legal persons for exclusively internal, personal, or domestic purposes, provided that these are not sold or otherwise commercialized.

For the purposes of this law, the following is defined:

• a)Database (Base de datos): any archive, file, record, or other structured set of personal data, whether subject to automated or manual processing or handling, regardless of the method of its creation, organization, or access.
• b)Personal data (Datos personales): any data relating to an identified or identifiable natural person.
• c)Unrestricted access personal data (Datos personales de acceso irrestricto): data contained in public databases of general access, as provided by special laws and in accordance with the purpose for which this data was collected.
• d)Restricted access personal data (Datos personales de acceso restringido): data that, even if forming part of publicly accessible records, are not of unrestricted access because they are of interest only to their data subject (titular) or to the Public Administration.
• e)Sensitive data (Datos sensibles): information relating to the intimate sphere of the person, such as, for example, data revealing racial origin, political opinions, religious or spiritual convictions, socioeconomic condition, biomedical or genetic information, sexual life and orientation, among others.
• f)Duty of confidentiality (Deber de confidencialidad): obligation of the database controllers (responsables), their staff, and the staff of the Agency for the Protection of Data of the Inhabitants (Prodhab), to maintain confidentiality in the exercise of the powers granted by this law, mainly when accessing information on personal and sensitive data. This obligation shall persist even after the relationship with the database has ended.
• g)Data subject (Interesado): natural person, titular of the data that is the object of automated or manual processing.
• h)Database controller (Responsable de la base de datos): natural or legal person that administers, manages, or is in charge of the database, whether this is a public or private entity, competent, in accordance with the law, to decide what the purpose of the database is, which categories of personal data should be recorded, and what type of processing will be applied to them.
• i)Processing of personal data (Tratamiento de datos personales): any operation or set of operations, performed through automated or manual procedures and applied to personal data, such as collection, recording, organization, storage, modification, extraction, consultation, use, communication by transmission, dissemination, or any other form that facilitates access to them, comparison or interconnection, as well as their blocking, deletion, or destruction, among others.

BASIC PRINCIPLES AND RIGHTS FOR THE PROTECTION OF PERSONAL DATA

BASIC PRINCIPLES AND RIGHTS

Every person has the right to informational self-determination (autodeterminación informativa), which encompasses the set of principles and guarantees relating to the legitimate processing of their personal data recognized in this section.

Informational self-determination is also recognized as a fundamental right, with the purpose of controlling the flow of information concerning each person, derived from the right to privacy, preventing discriminatory actions from being fostered.

1.- Obligation to inform When personal data is requested, it shall be necessary to inform the data subjects or their representatives beforehand, in an express, precise, and unequivocal manner, of:

• a)The existence of a personal database.
• b)The purposes pursued with the collection of this data.
• c)The recipients of the information, as well as who may consult it.
• d)The obligatory or optional nature of their answers to the questions formulated during the data collection.
• e)The processing that will be given to the requested data.
• f)The consequences of refusing to provide the data.
• g)The possibility of exercising the rights that assist them.
• h)The identity and address of the database controller (responsable).

When questionnaires or other means for collecting personal data are used, these warnings shall appear in a clearly legible form.

2.- Granting of consent Whoever collects personal data must obtain the express consent of the holder (titular) of the data or their representative. This consent must be in writing, whether in a physical or electronic document, which may be revoked in the same manner, without retroactive effect.

• a)There is a reasoned order, issued by a competent judicial authority or an agreement adopted by a special investigative commission of the Legislative Assembly in the exercise of its duties.
• b)It concerns unrestricted access personal data, obtained from sources of general public access.
• c)The data must be provided by constitutional or legal provision.

The collection of data without the informed consent of the person, or data acquired by fraudulent, disloyal, or illicit means, is prohibited.

Personal data may only be collected, stored, or used for automated or manual processing when such data are current, truthful, accurate, and adequate for the purpose for which they were collected.

1.- Currency (Actualidad) Personal data must be current. The database controller (responsable) shall delete data that is no longer pertinent or necessary, due to the purpose for which it was received and recorded. Under no circumstances shall personal data that may in any way affect its data subject (titular) be kept once ten years have elapsed from the date of occurrence of the recorded events, unless a special legal provision stipulates otherwise. If its conservation is necessary beyond the stipulated period, it must be disassociated from its data subject.

2.- Truthfulness (Veracidad) Personal data must be truthful.

The person responsible for the database is obliged to modify or delete data that is untrue. In the same manner, they shall ensure that the data are processed in a fair and lawful manner.

3.- Accuracy (Exactitud) Personal data must be accurate. The person responsible for the database shall take the necessary measures so that inaccurate or incomplete data, with respect to the purposes for which they were collected or for which they were subsequently processed, are deleted or rectified.

If the recorded personal data prove to be inaccurate in whole or in part, or incomplete, they shall be deleted or replaced ex officio by the person responsible for the database, with the corresponding rectified, updated, or supplemented data. Likewise, they shall be deleted if informed consent is lacking or their collection is prohibited.

4.- Purpose adequacy (Adecuación al fin) Personal data shall be collected for specified, explicit, and legitimate purposes, and shall not be subsequently processed in a manner incompatible with said purposes.

The subsequent processing of data for historical, statistical, or scientific purposes shall not be considered incompatible, provided that appropriate safeguards are established to protect the rights contemplated in this law.

Databases may not have purposes contrary to the laws or public morality.

The right of every person to access their personal data, to rectify or delete it, and to consent to the transfer of their data is guaranteed.

The person responsible for the database must comply with what is requested by the person, free of charge, and resolve accordingly within a period of five business days, counted from the receipt of the request.

1.- Access to information The information must be stored in such a way that the right of access by the data subject (interesado) is fully guaranteed.

The right to access personal information guarantees the following powers to the data subject:

• a)To obtain at reasonable intervals, as provided by regulation, without delay and free of charge, confirmation of whether or not their data exists in archives or databases. In case their data does exist, it must be communicated to the data subject in a precise and understandable manner.
• b)To receive information relating to their person, as well as the purpose for which it was collected and the use that has been made of their personal data. The report must be complete, clear, and free of encodings. It must be accompanied by an explanation of the technical terms used.
• c)To be informed comprehensively in writing, by physical or electronic means, about the entirety of the record belonging to the data subject (titular), even when the request only covers one aspect of the personal data. This report may in no case reveal data belonging to third parties, even when linked to the data subject, except when it is intended to constitute a criminal offense.
• d)To have knowledge, where appropriate, of the system, program, method, or process used in the processing of their personal data.

The exercise of the right referred to in this article, in the case of data of deceased persons, shall correspond to their successors or heirs.

2.- Right of rectification The right to obtain, where applicable, the rectification of personal data and its updating, or the deletion thereof when it has been processed in violation of the provisions of this law, particularly due to the incomplete or inaccurate nature of the data, or when it has been collected without the holder's (titular) authorization, is guaranteed.

Every data subject (titular) may request and obtain from the person responsible for the database, the rectification, updating, cancellation, or deletion and compliance with the guarantee of confidentiality regarding their personal data.

The exercise of the right referred to in this article, in the case of data of deceased persons, shall correspond to their successors or heirs.

The principles, rights, and guarantees established herein may be limited in a fair, reasonable manner and in accordance with the principle of administrative transparency, when the following purposes are pursued:

• a)State security.
• b)The security and exercise of public authority.
• c)The prevention, prosecution, investigation, detention, and repression of criminal offenses, or of violations of deontology in professions.
• d)The operation of databases used for statistical, historical, or scientific research purposes, when there is no risk of individuals being identified.
• e)The adequate provision of public services.
• f)The effective ordinary activity of the Administration by official authorities.

SPECIAL CATEGORIES OF DATA PROCESSING

In addition to the general rules established in this law for the processing of personal data, the particular categories of data mentioned below shall be governed by the following provisions:

1.- Sensitive data (Datos sensibles) No person shall be obliged to provide sensitive data. The processing of personal data revealing racial or ethnic origin, political opinions, religious, spiritual, or philosophical convictions, as well as data relating to health, sexual life and orientation, among others, is prohibited.

This prohibition shall not apply when:

• a)The processing of data is necessary to safeguard the vital interest of the data subject (interesado) or of another person, in the event that the data subject is physically or legally incapacitated to give their consent.
• b)The processing of data is carried out in the course of its legitimate activities and with due guarantees by a foundation, an association, or any other body, whose purpose is political, philosophical, religious, or trade-union, provided that it refers exclusively to its members or to persons who maintain regular contacts with the foundation, association, or body, by reason of its purpose and provided that the data is not communicated to third parties without the consent of the data subjects.
• c)The processing refers to data that the data subject has voluntarily made public or that is necessary for the recognition, exercise, or defense of a right in a judicial proceeding.
• d)The processing of data is necessary for medical prevention or diagnosis, the provision of healthcare or medical treatments, or the management of health services, whenever said data processing is performed by a health-sector official, subject to professional secrecy inherent in their function, or by another person equally subject to an equivalent obligation of secrecy.

2.- Restricted access personal data (Datos personales de acceso restringido) Restricted access personal data are data that, even if forming part of publicly accessible records, are not of unrestricted access because they are of interest only to their data subject (titular) or to the Public Administration. Their processing shall be permitted only for public purposes or if the express consent of the holder is obtained.

3.- Unrestricted access personal data (Datos personales de acceso irrestricto) Unrestricted access personal data are data contained in public databases of general access, as provided by special laws and in accordance with the purpose for which this data was collected.

The following shall not be considered included in this category: the exact residential address, except if its use is the result of a mandate, summons, or administrative or judicial notification, or a banking or financial operation; the photograph; private telephone numbers; and others of a similar nature whose processing may affect the rights and interests of the data subject (titular).

4.- Data referring to credit behavior Data referring to credit behavior shall be governed by the rules that regulate the National Financial System, in such a way as to guarantee an acceptable degree of risk for financial entities, without impeding the full exercise of the right to informational self-determination or exceeding the limits of this law.

SECURITY AND CONFIDENTIALITY OF DATA PROCESSING

The database controller (responsable) must adopt the technical and organizational measures necessary to guarantee the security of personal data and prevent its alteration, accidental or illicit destruction, loss, unauthorized processing or access, as well as any other action contrary to this law.

Said measures must include, at least, the most adequate physical and logical security mechanisms in accordance with current technological development, to guarantee the protection of the information stored.

Personal data shall not be recorded in databases that do not meet the conditions that fully guarantee their security and integrity, as well as that of the processing centers, equipment, systems, and programs.

The requirements and conditions that automated and manual databases must meet, and the persons involved in the collection, storage, and use of the data, shall be established by regulation.

The controller (persona responsable) and those who participate in any phase of the processing of personal data are bound by professional or functional secrecy, even after their relationship with the database has ended. The obliged person may be released from the duty of secrecy by judicial decision, in what is strictly necessary and within the case under consideration.

Natural and legal persons, public and private, that have among their functions the collection, storage, and use of personal data, may issue an action protocol (protocolo de actuación) in which they shall establish the steps to be followed in the collection, storage, and handling of personal data, in accordance with the rules provided in this law.

To be valid, the action protocols must be registered, as well as their subsequent modifications, with Prodhab. Prodhab may verify, at any time, that the database is fully complying with the terms of its protocol.

The manipulation of data based on an action protocol registered with Prodhab shall presume, "iuris tantum," compliance with the provisions contained in this law, for the purposes of authorizing the transfer of data contained in a database.

Every data subject (persona interesada) has the right to a simple and rapid administrative procedure before Prodhab, in order to be protected against acts that violate their fundamental rights recognized by this law. The foregoing is without prejudice to the general or specific jurisdictional guarantees that the law establishes for this same purpose.

TRANSFER OF PERSONAL DATA SOLE SECTION

The controllers (responsables) of databases, public or private, may only transfer data contained in them when the holder (titular) of the right has expressly and validly authorized such transfer and it is done without violating the principles and rights recognized in this law.

AGENCY FOR THE PROTECTION OF DATA OF THE INHABITANTS (Prodhab)

GENERAL PROVISIONS

A body of maximum deconcentration attached to the Ministry of Justice and Peace is created, called the Agency for the Protection of Data of the Inhabitants (Prodhab). It shall have its own instrumental legal personality in the performance of the functions assigned to it by this law, in addition to the administration of its resources and budget, as well as to enter into the contracts and agreements it requires for the fulfillment of its functions. The Agency shall enjoy independence of judgment.

The powers of Prodhab, in addition to those imposed by this or other regulations, are the following:

• a)To ensure compliance with the regulations on data protection, both by private natural or legal persons, and by public entities and bodies.
• b)To maintain a registry of the databases regulated by this law.
• c)To require, from those who administer databases, the information necessary for the exercise of its office, including the protocols used.
• d)To access the databases regulated by this law, for the purpose of effectively enforcing the rules on personal data protection. This power shall be applied for specific cases filed before the Agency and, exceptionally, when there is evidence of widespread mismanagement of the database or information system.
• e)To resolve claims for violation of the rules on personal data protection.
• f)To order, ex officio or at the request of a party, the deletion, rectification, addition, or restriction on the circulation of the information contained in archives and databases, when these contravene the rules on personal data protection.
• g)To impose the sanctions established in article 28 of this law on natural or legal persons, public or private, that violate the rules on personal data protection, and to forward to the Public Ministry those actions that may constitute a crime.
• h)To promote and contribute to the drafting of regulations aimed at implementing the rules on personal data protection.
• i)To issue the necessary directives, which must be published in the official gazette La Gaceta, for the purpose of public institutions implementing the appropriate procedures regarding the handling of personal data, respecting the various degrees of administrative autonomy and functional independence.
• j)To promote among the inhabitants knowledge of the rights concerning the collection, storage, transfer, and use of their personal data.

In the exercise of its powers, Prodhab must employ automated procedures, in accordance with the best technological tools available.

The Directorate of Prodhab shall be headed by a national director (director or directora nacional), who must have, at least, a bachelor's degree (licenciatura) in a field related to the purpose of their function and be of recognized professional and moral standing.

No one may be appointed national director who is an owner, shareholder, board member, manager, advisor, legal representative, or employee of a company dedicated to the collection or storage of personal data. This prohibition shall persist for up to two years after having ceased their functions or business ties. Likewise, anyone who is a spouse or relative up to the third degree of consanguinity or affinity of a person who is in any of the aforementioned situations is also ineligible.

Prodhab shall have the technical and administrative personnel necessary for the proper exercise of its functions, appointed through competitive examination based on suitability, according to the Civil Service Statute or as provided by regulation. The personnel are obliged to maintain professional secrecy and the duty of confidentiality (deber de confidencialidad) regarding the personal data they become aware of in the exercise of their functions.

All employees of Prodhab have the following prohibitions:

• a)To provide services to persons or companies dedicated to the collection, storage, or handling of personal data. This prohibition shall persist for up to two years after having ceased their functions.
• b)To take a personal and undue interest in matters under the Agency's cognizance.
• c)To reveal or in any way divulge the personal data to which they have had access by reason of their office. This prohibition shall persist indefinitely even after having ceased in their position.
• d)In the case of officials appointed to professional positions, to exercise their profession externally. The exception to this is the exercise of teaching activity in higher education centers or liberal practice on behalf of relatives by consanguinity or affinity up to the third degree, provided that the situation in subsection a) is not present.

Non-observance of any of the above prohibitions shall be considered a very serious offense (falta gravísima), for the purposes of applying the disciplinary regime, without prejudice to other forms of liability that such conduct may entail.

The budget of Prodhab shall consist of the following:

• a)Fees, charges, and duties (cánones, tasas y derechos) obtained in the exercise of its functions.
• b)Transfers made by the State to the Agency.
• c)Donations and grants from other states, national public institutions, or international organizations, provided they do not compromise the independence, transparency, and autonomy of the Agency.
• d)Income generated by its financial resources.

The amounts from the collection of the fines indicated in this law shall be allocated to the updating of equipment and programs of Prodhab.

The Agency shall be subject to compliance with the principles and the liability regime established in Titles II and X of Law No. 8131, Financial Administration of the Republic and Public Budgets, of September 18, 2001. In addition, it must provide the information required by the Ministry of Finance for its studies. In all other respects, the Agency is exempted from the scope and application of that law. Regarding oversight, the Agency shall be subject only to the provisions of the General Comptroller's Office of the Republic.

INTERNAL STRUCTURE

Every database, public or private, administered for distribution, dissemination, or commercialization purposes, must be registered in the registry that Prodhab shall enable for this purpose. Registration does not imply the transfer or cession of the data.

It must register any other information that legal provisions impose and the action protocols referred to in Article 12 and subsection c) of Article 16 of this law.

Prodhab shall develop and execute a communication strategy aimed at ensuring that administered persons know the rights derived from the handling of their personal data, as well as the mechanisms that the legal system provides for the defense of such prerogatives. It must coordinate with local governments and with the Office of the Ombudsperson (Defensoría de los Habitantes de la República) the periodic execution of dissemination activities among the inhabitants of the cantons.

Likewise, it shall promote among persons and companies that collect, store, or manipulate personal data, the adoption of practices and action protocols consistent with the protection of said information.

PROCEDURES

COMMON PROVISIONS

In matters not expressly provided for in this law and insofar as they are compatible with its purpose, the provisions of Book II of the General Law of Public Administration (Ley General de la Administración Pública) shall be applicable supplementarily.

INTERVENTION IN ARCHIVES AND DATABASES

Any person holding a subjective right or a legitimate interest may report to Prodhab that a public or private database is acting in contravention of the rules or basic principles for the protection of data and informational self-determination established in this law.

Upon receipt of the complaint, the database controller (responsable) shall be granted a period of three business days to comment on the veracity of such charges. The reported person must submit the means of proof supporting their statements along with a report, which shall be considered given under oath. Failure to submit the report within the stipulated period shall result in the alleged facts being taken as true.

At any time, Prodhab may order the reported person to present the necessary information. Likewise, it may conduct on-site inspections at its archives or databases. To safeguard the rights of the data subject (persona interesada), it may issue, through a reasoned act, the precautionary measures that ensure the effective outcome of the procedure.

No later than one month after the filing of the complaint, Prodhab must issue the final act. A reconsideration appeal may be filed against its decision within the third day, which must be resolved within eight days after its receipt.

If it is determined that the data subject's (interesado) information is false, incomplete, inaccurate, or that, in accordance with the rules on personal data protection, it was improperly collected, stored, or disseminated, its immediate deletion, rectification, addition, or clarification, or a prohibition regarding its transfer or dissemination, must be ordered. If the reported person does not fully comply with what was ordered, they shall be subject to the sanctions provided for in this and other laws.

Ex officio or at the request of a party, the Prodhab may initiate a proceeding aimed at demonstrating whether a database regulated by this law is being used in accordance with its principles; for this purpose, the procedures established in the Ley General de la Administración Pública for the ordinary proceeding must be followed. A motion for reconsideration may be filed against the final act within three days, which must be resolved within eight days of receipt.

If any of the offenses defined in this law have been committed, one of the following sanctions shall be imposed, without prejudice to any corresponding criminal penalties:

• a)For minor offenses, a fine of up to five base salaries for the position of judicial assistant I, according to the Ley de Presupuesto de la República.
• b)For serious offenses, a fine of five to twenty base salaries for the position of judicial assistant I, according to the Ley de Presupuesto de la República.
• c)For very serious offenses, a fine of fifteen to thirty base salaries for the position of judicial assistant I, according to the Ley de Presupuesto de la República, and the suspension of the file's operation for one to six months.

The following shall be considered minor offenses, for the purposes of this law:

• a)Collecting personal data for use in a database without providing sufficient and comprehensive information to the data subject, in accordance with the specifications of Article 5, section I.
• b)Collecting, storing, and transmitting third-party personal data through insecure mechanisms or those that in any way do not guarantee the security and inalterability of the data.

The following shall be considered serious offenses, for the purposes of this law:

• a)Collecting, storing, transmitting, or otherwise using personal data without the informed and express consent of the data subject (titular de los datos), in accordance with the provisions of this law.
• b)Transferring personal data to other persons or companies in violation of the rules established in Chapter III of this law.
• c)Collecting, storing, transmitting, or otherwise using personal data for a purpose other than that authorized by the data subject (titular de la información).
• d)Unjustifiably refusing to give a data subject access to the data contained in archives and databases, in order to verify its quality, collection, storage, and use in accordance with this law.
• e)Unjustifiably refusing to delete or rectify the data of a person who has requested it by clear and unequivocal means.

The following shall be considered very serious offenses, for the purposes of this law:

• a)Collecting, storing, transmitting, or otherwise using, by private natural or legal persons, sensitive data, as defined in Article 3 of this law.
• b)Obtaining, from data subjects or third parties, a person's personal data through deception, violence, or threat.
• c)Revealing information recorded in a personal database whose secrecy one is obliged to keep according to the law.
• d)Knowingly providing a third party with false or different information contained in a data file.
• e)Processing personal data without being duly registered with the Prodhab, in the case of database controllers covered by Article 21 of this law.
• f)Transferring personal information of Costa Ricans or foreigners residing in the country to databases in third countries, without the consent of their data subjects.

INTERNAL PROCEDURES

When the person responsible for a public database commits any of the foregoing offenses, the Prodhab shall issue a resolution establishing the measures to be adopted to cease or correct the effects of the offense. This resolution shall be notified to the person responsible for the database, to the body on which it hierarchically depends, and to the affected parties, if any. The resolution may be issued ex officio or at the request of a party. The foregoing is without prejudice to any criminal liability incurred.

FEES

Database controllers that must register with the Prodhab, in accordance with Article 21 of this law, shall be subject to a database regulation and administration fee (canon) to be paid annually, in the amount of two hundred dollars ($200), legal tender of the United States of America. The procedure for collecting this fee shall be detailed in the regulations to be issued for this purpose by the Prodhab.

The database controller shall pay to the Prodhab a fee (canon) for each sale of data from files defined in subsection b) of Article 3 of this law, concerning identifiable individuals legitimately registered, provided it is commercialized for profit, which fee shall range between twenty-five cents of a dollar ($0.25) and one dollar ($1), legal tender of the United States of America, an amount that may be set within said range via regulation. In the case of global contracts for low, medium, and high consumption of consultations, or contractual modalities for online service by number of applications, the regulation of the law shall establish the detail of the fee collection, which may not exceed ten percent (10%) of the contractual price.

Natural or legal persons, public or private, who are currently the owners or administrators of the databases covered by this law, must adapt their procedures and operating rules, as well as the content of their databases, to the provisions of this law, within a maximum period of one year from the creation of the Prodhab.

As of the effective date of this law, the process of forming and integrating the Prodhab shall begin; a maximum period of six months is established for this purpose.

The Poder Ejecutivo shall issue the regulations for this law within a maximum period of six months after the formation of the Prodhab, incorporating the technical recommendations provided by the Agency.

Effective upon its publication.

Done at the Presidencia de la República.-San José, on the seventh day of July of the year two thousand eleven.

Esta ley es de orden público y tiene como objetivo garantizar a cualquier persona, independientemente de su nacionalidad, residencia o domicilio, el respeto a sus derechos fundamentales, concretamente, su derecho a la autodeterminación informativa en relación con su vida o actividad privada y demás derechos de la personalidad, así como la defensa de su libertad e igualdad con respecto al tratamiento automatizado o manual de los datos correspondientes a su persona o bienes.

Esta ley será de aplicación a los datos personales que figuren en bases de datos automatizadas o manuales, de organismos públicos o privados, y a toda modalidad de uso posterior de estos datos.

El régimen de protección de los datos de carácter personal que se establece en esta ley no será de aplicación a las bases de datos mantenidas por personas físicas o jurídicas con fines exclusivamente internos, personales o domésticos, siempre y cuando estas no sean vendidas o de cualquier otra manera comercializadas.

Para los efectos de la presente ley se define lo siguiente:

• a)Base de datos: cualquier archivo, fichero, registro u otro conjunto estructurado de datos personales, que sean objeto de tratamiento o procesamiento, automatizado o manuales, cualquiera que sea la modalidad de su elaboración, organización o acceso.
• b)Datos personales: cualquier dato relativo a una persona física identificada o identificable.
• c)Datos personales de acceso irrestricto: los contenidos en bases de datos públicas de acceso general, según dispongan leyes especiales y de conformidad con la finalidad para la cual estos datos fueron recabados.
• d)Datos personales de acceso restringido: los que, aun formando parte de registros de acceso al público, no son de acceso irrestricto por ser de interés solo para su titular o para la Administración Pública.
• e)Datos sensibles: información relativa al fuero íntimo de la persona, como por ejemplo los que revelen origen racial, opiniones políticas, convicciones religiosas o espirituales, condición socioeconómica, información biomédica o genética, vida y orientación sexual, entre otros.
• f)Deber de confidencialidad: obligación de los responsables de bases de datos, personal a su cargo y del personal de la Agencia de Protección de Datos de los Habitantes (Prodhab), de guardar la confidencialidad con ocasión del ejercicio de las facultades dadas por esta ley, principalmente cuando se acceda a información sobre datos personales y sensibles. Esta obligación perdurará aun después de finalizada la relación con la base de datos.
• g)Interesado: persona física, titular de los datos que sean objeto del tratamiento automatizado o manual.
• h)Responsable de la base de datos: persona física o jurídica que administre, gerencie o se encargue de la base de datos, ya sea esta una entidad pública o privada, competente, con arreglo a la ley, para decidir cuál es la finalidad de la base de datos, cuáles categorías de datos de carácter personal deberán registrase y qué tipo de tratamiento se les aplicarán.
• i)Tratamiento de datos personales: cualquier operación o conjunto de operaciones, efectuadas mediante procedimientos automatizados o manuales y aplicadas a datos personales, tales como la recolección, el registro, la organización, la conservación, la modificación, la extracción, la consulta, la utilización, la comunicación por transmisión, difusión o cualquier otra forma que facilite el acceso a estos, el cotejo o la interconexión, así como su bloqueo, supresión o destrucción, entre otros.

PRINCIPIOS Y DERECHOS BÁSICOS PARA LA PROTECCIÓN DE DATOS PERSONALES

PRINCIPIOS Y DERECHOS BÁSICOS

Toda persona tiene derecho a la autodeterminación informativa, la cual abarca el conjunto de principios y garantías relativas al legítimo tratamiento de sus datos personales reconocidos en esta sección.

Se reconoce también la autodeterminación informativa como un derecho fundamental, con el objeto de controlar el flujo de informaciones que conciernen a cada persona, derivado del derecho a la privacidad, evitando que se propicien acciones discriminatorias.

1.- Obligación de informar Cuando se soliciten datos de carácter personal será necesario informar de previo a las personas titulares o a sus representantes, de modo expreso, preciso e inequívoco:

• a)De la existencia de una base de datos de carácter personal.
• b)De los fines que se persiguen con la recolección de estos datos.
• c)De los destinatarios de la información, así como de quiénes podrán consultarla.
• d)Del carácter obligatorio o facultativo de sus respuestas a las preguntas que se le formulen durante la recolección de los datos.
• e)Del tratamiento que se dará a los datos solicitados.
• f)De las consecuencias de la negativa a suministrar los datos.
• g)De la posibilidad de ejercer los derechos que le asisten.
• h)De la identidad y dirección del responsable de la base de datos.

Cuando se utilicen cuestionarios u otros medios para la recolección de datos personales figurarán estas advertencias en forma claramente legible.

2.- Otorgamiento del consentimiento Quien recopile datos personales deberá obtener el consentimiento expreso de la persona titular de los datos o de su representante. Este consentimiento deberá constar por escrito, ya sea en un documento físico o electrónico, el cual podrá ser revocado de la misma forma, sin efecto retroactivo.

No será necesario el consentimiento expreso cuando:

• a)Exista orden fundamentada, dictada por autoridad judicial competente o acuerdo adoptado por una comisión especial de investigación de la Asamblea Legislativa en el ejercicio de su cargo.
• b)Se trate de datos personales de acceso irrestricto, obtenidos de fuentes de acceso público general.
• c)Los datos deban ser entregados por disposición constitucional o legal.

Se prohíbe el acopio de datos sin el consentimiento informado de la persona, o bien, adquiridos por medios fraudulentos, desleales o ilícitos.

Solo podrán ser recolectados, almacenados o empleados datos de carácter personal para su tratamiento automatizado o manual, cuando tales datos sean actuales, veraces, exactos y adecuados al fin para el que fueron recolectados.

1.- Actualidad Los datos de carácter personal deberán ser actuales. El responsable de la base de datos eliminará los datos que hayan dejado de ser pertinentes o necesarios, en razón de la finalidad para la cual fueron recibidos y registrados. En ningún caso, serán conservados los datos personales que puedan afectar, de cualquier modo, a su titular, una vez transcurridos diez años desde la fecha de ocurrencia de los hechos registrados, salvo disposición normativa especial que disponga otra cosa. En caso de que sea necesaria su conservación, más allá del plazo estipulado, deberán ser desasociados de su titular.

2. Veracidad Los datos de carácter personal deberán ser veraces.

La persona responsable de la base de datos está obligado a modificar o suprimir los datos que falten a la verdad. De la misma manera, velará por que los datos sean tratados de manera leal y lícita.

3.- Exactitud Los datos de carácter personal deberán ser exactos. La persona responsable de la base de datos tomará las medidas necesarias para que los datos inexactos o incompletos, con respecto a los fines para los que fueron recogidos o para los que fueron tratados posteriormente, sean suprimidos o rectificados.

Si los datos de carácter personal registrados resultan ser inexactos en todo o en parte, o incompletos, serán eliminados o sustituidos de oficio por la persona responsable de la base de datos, por los correspondientes datos rectificados, actualizados o complementados. Igualmente, serán eliminados si no media el consentimiento informado o está prohibida su recolección.

4.- Adecuación al fin Los datos de carácter personal serán recopilados con fines determinados, explícitos y legítimos, y no serán tratados posteriormente de manera incompatible con dichos fines.

No se considerará incompatible el tratamiento posterior de datos con fines históricos, estadísticos o científicos, siempre y cuando se establezcan las garantías oportunas para salvaguardar los derechos contemplados en esta ley.

Las bases de datos no pueden tener finalidades contrarias a las leyes ni a la moral pública.

Se garantiza el derecho de toda persona al acceso de sus datos personales, rectificación o supresión de estos y a consentir la cesión de sus datos.

La persona responsable de la base de datos debe cumplir lo solicitado por la persona, de manera gratuita, y resolver en el sentido que corresponda en el plazo de cinco días hábiles, contado a partir de la recepción de la solicitud.

1.- Acceso a la información La información deberá ser almacenada en forma tal que se garantice plenamente el derecho de acceso por la persona interesada.

El derecho de acceso a la información personal garantiza las siguientes facultades del interesado:

• a)Obtener en intervalos razonables, según se disponga por reglamento, sin demora y a título gratuito, la confirmación o no de la existencia de datos suyos en archivos o bases de datos. En caso de que sí existan datos suyos, estos deberán ser comunicados a la persona interesada en forma precisa y entendible.
• b)Recibir la información relativa a su persona, así como la finalidad con que fueron recopilados y el uso que se le ha dado a sus datos personales. El informe deberá ser completo, claro y exento de codificaciones. Deberá estar acompañado de una explicación de los términos técnicos que se utilicen.
• c)Ser informado por escrito de manera amplia, por medios físicos o electrónicos, sobre la totalidad del registro perteneciente al titular, aun cuando el requerimiento solo comprenda un aspecto de los datos personales. Este informe en ningún caso podrá revelar datos pertenecientes a terceros, aun cuando se vinculen con la persona interesada, excepto cuando con ellos se pretenda configurar un delito penal.
• d)Tener conocimiento, en su caso, del sistema, programa, método o proceso utilizado en los tratamientos de sus datos personales.

El ejercicio del derecho al cual se refiere este artículo, en el caso de datos de personas fallecidas, le corresponderá a sus sucesores o herederos.

2.- Derecho de rectificación Se garantiza el derecho de obtener, llegado el caso, la rectificación de los datos personales y su actualización o la eliminación de estos cuando se hayan tratado con infracción a las disposiciones de la presente ley, en particular a causa del carácter incompleto o inexacto de los datos, o hayan sido recopilados sin autorización del titular.

Todo titular puede solicitar y obtener de la persona responsable de la base de datos, la rectificación, la actualización, la cancelación o la eliminación y el cumplimiento de la garantía de confidencialidad respecto de sus datos personales.

El ejercicio del derecho al cual se refiere este artículo, en el caso de datos de personas fallecidas, le corresponderá a sus sucesores o herederos.

Los principios, los derechos y las garantías aquí establecidos podrán ser limitados de manera justa, razonable y acorde con el principio de transparencia administrativa, cuando se persigan los siguientes fines:

• a)La seguridad del Estado.
• b)La seguridad y el ejercicio de la autoridad pública.
• c)La prevención, persecución, investigación, detención y represión de las infracciones penales, o de las infracciones de la deontología en las profesiones.
• d)El funcionamiento de bases de datos que se utilicen con fines estadísticos, históricos o de investigación científica, cuando no exista riesgo de que las personas sean identificadas.
• e)La adecuada prestación de servicios públicos.
• f)La eficaz actividad ordinaria de la Administración, por parte de las autoridades oficiales.

CATEGORÍAS ESPECIALES DEL TRATAMIENTO DE LOS DATOS

Además de las reglas generales establecidas en esta ley, para el tratamiento de los datos personales, las categorías particulares de los datos que se mencionarán, se regirán por las siguientes disposiciones:

1.- Datos sensibles Ninguna persona estará obligada a suministrar datos sensibles. Se prohíbe el tratamiento de datos de carácter personal que revelen el origen racial o étnico, opiniones políticas, convicciones religiosas, espirituales o filosóficas, así como los relativos a la salud, la vida y la orientación sexual, entre otros.

Esta prohibición no se aplicará cuando:

• a)El tratamiento de los datos sea necesario para salvaguardar el interés vital del interesado o de otra persona, en el supuesto de que la persona interesada esté física o jurídicamente incapacitada para dar su consentimiento.
• b)El tratamiento de los datos sea efectuado en el curso de sus actividades legítimas y con las debidas garantías por una fundación, una asociación o cualquier otro organismo, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que se refiera exclusivamente a sus miembros o a las personas que mantengan contactos regulares con la fundación, la asociación o el organismo, por razón de su finalidad y con tal de que los datos no se comuniquen a terceros sin el consentimiento de las personas interesadas.
• c)El tratamiento se refiera a datos que la persona interesada haya hecho públicos voluntariamente o sean necesarios para el reconocimiento, el ejercicio o la defensa de un derecho en un procedimiento judicial.
• d)El tratamiento de los datos resulte necesario para la prevención o para el diagnóstico médico, la prestación de asistencia sanitaria o tratamientos médicos, o la gestión de servicios sanitarios, siempre que dicho tratamiento de datos sea realizado por un funcionario o funcionaria del área de la salud, sujeto al secreto profesional o propio de su función, o por otra persona sujeta, asimismo, a una obligación equivalente de secreto.

2.- Datos personales de acceso restringido Datos personales de acceso restringido son los que, aun formando parte de registros de acceso al público, no son de acceso irrestricto por ser de interés solo para su titular o para la Administración Pública. Su tratamiento será permitido únicamente para fines públicos o si se cuenta con el consentimiento expreso del titular.

3.- Datos personales de acceso irrestricto Datos personales de acceso irrestricto son los contenidos en bases de datos públicas de acceso general, según lo dispongan las leyes especiales y de conformidad con la finalidad para la cual estos datos fueron recabados.

No se considerarán contemplados en esta categoría: la dirección exacta de la residencia, excepto si su uso es producto de un mandato, citación o notificación administrativa o judicial, o bien, de una operación bancaria o financiera, la fotografía, los números de teléfono privados y otros de igual naturaleza cuyo tratamiento pueda afectar los derechos y los intereses de la persona titular.

4.- Datos referentes al comportamiento crediticio Los datos referentes al comportamiento crediticio se regirán por las normas que regulan el Sistema Financiero Nacional, de modo que permitan garantizar un grado de riesgo aceptable por parte de las entidades financieras, sin impedir el pleno ejercicio del derecho a la autodeterminación informativa ni exceder los límites de esta ley.

SEGURIDAD Y CONFIDENCIALIDAD DEL TRATAMIENTO DE LOS DATOS

El responsable de la base de datos deberá adoptar las medidas de índole técnica y de organización necesarias para garantizar la seguridad de los datos de carácter personal y evitar su alteración, destrucción accidental o ilícita, pérdida, tratamiento o acceso no autorizado, así como cualquier otra acción contraria a esta ley.

Dichas medidas deberán incluir, al menos, los mecanismos de seguridad física y lógica más adecuados de acuerdo con el desarrollo tecnológico actual, para garantizar la protección de la información almacenada.

No se registrarán datos personales en bases de datos que no reúnan las condiciones que garanticen plenamente su seguridad e integridad, así como la de los centros de tratamiento, equipos, sistemas y programas.

Por vía de reglamento se establecerán los requisitos y las condiciones que deban reunir las bases de datos automatizadas y manuales, y de las personas que intervengan en el acopio, almacenamiento y uso de los datos.

La persona responsable y quienes intervengan en cualquier fase del tratamiento de datos personales están obligadas al secreto profesional o funcional, aun después de finalizada su relación con la base de datos. La persona obligada podrá ser relevado del deber de secreto por decisión judicial en lo estrictamente necesario y dentro de la causa que conoce.

Las personas físicas y jurídicas, públicas y privadas, que tengan entre sus funciones la recolección, el almacenamiento y el uso de datos personales, podrán emitir un protocolo de actuación en el cual establecerán los pasos que deberán seguir en la recolección, el almacenamiento y el manejo de los datos personales, de conformidad con las reglas previstas en esta ley.

Para que sean válidos, los protocolos de actuación deberán ser inscritos, así como sus posteriores modificaciones, ante la Prodhab. La Prodhab podrá verificar, en cualquier momento, que la base de datos esté cumpliendo cabalmente con los términos de su protocolo.

La manipulación de datos con base en un protocolo de actuación inscrito ante la Prodhab hará presumir, "iuris tantum", el cumplimiento de las disposiciones contenidas en esta ley, para los efectos de autorizar la cesión de los datos contenidos en una base.

Toda persona interesada tiene derecho a un procedimiento administrativo sencillo y rápido ante la Prodhab, con el fin de ser protegido contra actos que violen sus derechos fundamentales reconocidos por esta ley. Lo anterior sin perjuicio de las garantías jurisdiccionales generales o específicas que la ley establezca para este mismo fin.

TRANSFERENCIA DE DATOS PERSONALES

Los responsables de las bases de datos, públicas o privadas, solo podrán transferir datos contenidos en ellas cuando el titular del derecho haya autorizado expresa y válidamente tal transferencia y se haga sin vulnerar los principios y derechos reconocidos en esta ley.

AGENCIA DE PROTECCIÓN DE DATO DE LOS HABITANTES (Prodhab)

Créase un órgano de desconcentración máxima adscrito al Ministerio de Justicia y Paz denominado Agencia de Protección de Datos de los habitantes (Prodhab). Tendrá personalidad jurídica instrumental propia en el desempeño de las funciones que le asigna esta ley, además de la administración de sus recursos y presupuesto, así como para suscribir los contratos y convenios que requiera para el cumplimiento de sus funciones. La Agencia gozará de independencia de criterio.

Son atribuciones de la Prodhab, además de las otras que le impongan esta u otras normas, las siguientes:

• a)Velar por el cumplimiento de la normativa en materia de protección de datos, tanto por parte de personas físicas o jurídicas privadas, como por entes y órganos públicos.
• b)Llevar un registro de las bases de datos reguladas por esta ley.
• c)Requerir, de quienes administren bases de datos, las informaciones necesarias para el ejercicio de su cargo, entre ellas, los protocolos utilizados.
• d)Acceder a las bases de datos reguladas por esta ley, a efectos de hacer cumplir efectivamente las normas sobre protección de datos personales. Esta atribución se aplicará para los casos concretos presentados ante la Agencia y, excepcionalmente, cuando se tenga evidencia de un mal manejo generalizado de la base de datos o sistema de información.
• e)Resolver sobre los reclamos por infracción a las normas sobre protección de los datos personales.
• f)Ordenar, de oficio o a petición de parte, la supresión, rectificación, adición o restricción en la circulación de las informaciones contenidas en los archivos y las bases de datos, cuando estas contravengan las normas sobre protección de los datos personales.
• g)Imponer las sanciones establecidas, en el artículo 28 de esta ley, a las personas físicas o jurídicas, públicas o privadas, que infrinjan las normas sobre protección de los datos personales, y dar traslado al Ministerio Público de las que puedan configurar delito.
• h)Promover y contribuir en la redacción de normativa tendiente a implementar las normas sobre protección de los datos personales.
• i)Dictar las directrices necesarias, las cuales deberán ser publicadas en el diario oficial La Gaceta, a efectos de que las instituciones públicas implementen los procedimientos adecuados respecto del manejo de los datos personales, respetando los diversos grados de autonomía administrativa e independencia funcional.
• j)Fomentar entre los habitantes el conocimiento de los derechos concernientes al acopio, el almacenamiento, la transferencia y el uso de sus datos personales.

En el ejercicio de sus atribuciones, la Prodhab deberá emplear procedimientos automatizados, de acuerdo con las mejores herramientas tecnológicas a su alcance.

La Dirección de la Prodhab estará a cargo de un director o una directora nacional, quien deberá contar, al menos, con el grado académico de licenciatura en una materia afín al objeto de su función y ser de reconocida solvencia profesional y moral.

No podrá ser nombrado director o directora nacional quien sea propietario, accionista, miembro de la junta directiva, gerente, asesor, representante legal o empleado de una empresa dedicada a la recolección o el almacenamiento de datos personales. Dicha prohibición persistirá hasta por dos años después de haber cesado sus funciones o vínculo empresarial. Estará igualmente impedido quien sea cónyuge o pariente hasta el tercer grado de consanguinidad o afinidad de una persona que esté en alguno de los supuestos mencionados anteriormente.

La Prodhab contará con el personal técnico y administrativo necesario para el buen ejercicio de sus funciones, designado mediante concurso por idoneidad, según el Estatuto de Servicio Civil o bien como se disponga reglamentariamente. El personal está obligado a guardar secreto profesional y deber de confidencialidad de los datos de carácter personal que conozca en el ejercicio de sus funciones.

Todos los empleados y las empleadas de la Prodhab tienen las siguientes prohibiciones:

• a)Prestar servicios a las personas o empresas que se dediquen al acopio, el almacenamiento o el manejo de datos personales. Dicha prohibición persistirá hasta dos años después de haber cesado sus funciones.
• b)Interesarse, personal e indebidamente, en asuntos de conocimiento de la Agencia.
• c)Revelar o de cualquier forma propalar los datos personales a que ha tenido acceso con ocasión de su cargo. Esta prohibición persistirá indefinidamente aun después de haber cesado en su cargo.
• d)En el caso de los funcionarios y las funcionarias nombrados en plazas de profesional, ejercer externamente su profesión. Lo anterior tiene como excepción el ejercicio de la actividad docente en centros de educación superior o la práctica liberal a favor de parientes por consanguinidad o afinidad hasta el tercer grado, siempre que no se esté ante el supuesto del inciso a).

La inobservancia de cualquiera de las anteriores prohibiciones será considerada falta gravísima, para efectos de aplicación del régimen disciplinario, sin perjuicio de las otras formas de responsabilidad que tales conductas pudieran acarrear.

El presupuesto de la Prodhab estará constituido por lo siguiente:

• a)Los cánones, las tasas y los derechos obtenidos en el ejercicio de sus funciones.
• b)Las transferencias que el Estado realice a favor de la Agencia.
• c)Las donaciones y subvenciones provenientes de otros estados, instituciones públicas nacionales u organismos internacionales, siempre que no comprometan la independencia, transparencia y autonomía de la Agencia.
• d)Lo generado por sus recursos financieros.

Los montos provenientes del cobro de las multas señaladas en esta ley serán destinados a la actualización de equipos y programas de la Prodhab.

La Agencia estará sujeta al cumplimiento de los principios y al régimen de responsabilidad establecidos en los títulos II y X de la Ley N.° 8131, Administración Financiera de la República y Presupuestos Públicos, de 18 de setiembre de 2001. Además, deberá proporcionar la información requerida por el Ministerio de Hacienda para sus estudios. En lo demás, se exceptúa a la Agencia de los alcances y la aplicación de esa ley. En la fiscalización, la Agencia estará sujeta, únicamente, a las disposiciones de la Contraloría General de la República.

ESTRUCTURA INTERNA

Toda base de datos, pública o privada, administrada con fines de distribución, difusión o comercialización, debe inscribirse en el registro que al efecto habilite la Prodhab. La inscripción no implica el trasbase o la transferencia de los datos.

Deberá inscribir cualesquiera otras informaciones que las normas de rango legal le impongan y los protocolos de actuación a que hacen referencia el artículo 12 y el inciso c) del artículo 16 de esta ley.

La Prodhab elaborará y ejecutará una estrategia de comunicación dirigida a permitir que los administrados conozcan los derechos derivados del manejo de sus datos personales, así como los mecanismos que el ordenamiento prevé para la defensa de tales prerrogativas. Deberá coordinar con los gobiernos locales y con la Defensoría de los Habitantes de la República la realización periódica de las actividades de divulgación entre los habitantes de los cantones.

Asimismo, promoverá entre las personas y empresas que recolecten, almacenen o manipulen datos personales, la adopción de prácticas y protocolos de actuación acordes con la protección de dicha información.

PROCEDIMIENTOS

En lo no previsto expresamente por esta ley y en tanto sean compatibles con su finalidad, serán aplicables supletoriamente las disposiciones del libro II de la Ley General de la Administración Pública.

INTERVENCIÓN EN ARCHIVOS Y BASES DE DATOS

Cualquier persona que ostente un derecho subjetivo o un interés legítimo puede denunciar, ante la Prodhab, que una base de datos pública o privada actúa en contravención de las reglas o los principios básicos para la protección de los datos y la autodeterminación informativa establecidas en esta ley.

Recibida la denuncia, se conferirá al responsable de la base de datos un plazo de tres días hábiles para que se pronuncie acerca de la veracidad de tales cargos. La persona denunciada deberá remitir los medios de prueba que respalden sus afirmaciones junto con un informe, que se considerará dado bajo juramento. La omisión de rendir el informe en el plazo estipulado hará que se tengan por ciertos los hechos acusados.

En cualquier momento, la Prodhab podrá ordenar a la persona denunciada la presentación de la información necesaria. Asimismo, podrá efectuar inspecciones in situ en sus archivos o bases de datos. Para salvaguardar los derechos de la persona interesada, puede dictar, mediante acto fundado, las medidas cautelares que aseguren el efectivo resultado del procedimiento.

A más tardar un mes después de la presentación de la denuncia, la Prodhab deberá dictar el acto final. Contra su decisión cabrá recurso de reconsideración dentro del tercer día, el cual deberá ser resuelto en el plazo de ocho días luego de recibido.

Si se determina que la información del interesado es falsa, incompleta, inexacta, o bien, que de acuerdo con las normas sobre protección de datos personales esta fue indebidamente recolectada, almacenada o difundida, deberá ordenarse su inmediata supresión, rectificación, adición o aclaración, o bien, impedimento respecto de su transferencia o difusión. Si la persona denunciada no cumple íntegramente lo ordenado, estará sujeta a las sanciones previstas en esta y otras leyes.

De oficio o a instancia de parte, la Prodhab podrá iniciar un procedimiento tendiente a demostrar si una base de datos regulada por esta ley está siendo empleada de conformidad con sus principios; para ello, deberán seguirse los trámites previstos en la Ley General de la Administración Pública para el procedimiento ordinario. Contra el acto final cabrá recurso de reconsideración dentro del tercer día, el cual deberá ser resuelto en el plazo de ocho días luego de recibido.

Si se ha incurrido en alguna de las faltas tipificadas en esta ley, se deberá imponer alguna de las siguientes sanciones, sin perjuicio de las sanciones penales correspondientes:

• a)Para las faltas leves, una multa hasta de cinco salarios base del cargo de auxiliar judicial I, según la Ley de Presupuesto de la República.
• b)Para las faltas graves, una multa de cinco a veinte salarios base del cargo de auxiliar judicial I, según la Ley de Presupuesto de la República.
• c)Para las faltas gravísimas, una multa de quince a treinta salarios base del cargo de auxiliar judicial I, según la Ley de Presupuesto de la República, y la suspensión para el funcionamiento del fichero de uno a seis meses.

Serán consideradas faltas leves, para los efectos de esta ley:

• a)Recolectar datos personales para su uso en base de datos sin que se le otorgue suficiente y amplia información a la persona interesada, de conformidad con las especificaciones del artículo 5, apartado I.
• b)Recolectar, almacenar y transmitir datos personales de terceros por medio de mecanismos inseguros o que de alguna forma no garanticen la seguridad e inalterabilidad de los datos.

Serán consideradas faltas graves, para los efectos de esta ley:

• a)Recolectar, almacenar, transmitir o de cualquier otra forma emplear datos personales sin el consentimiento informado y expreso del titular de los datos, con arreglo a las disposiciones de esta ley.
• b)Transferir datos personales a otras personas o empresas en contravención de las reglas establecidas en el capítulo III de esta ley.
• c)Recolectar, almacenar, transmitir o de cualquier otro modo emplear datos personales para una finalidad distinta de la autorizada por el titular de la información.
• d)Negarse injustificadamente a dar acceso a un interesado sobre los datos que consten en archivos y bases de datos, a fin de verificar su calidad, recolección, almacenamiento y uso conforme a esta ley.
• e)Negarse injustificadamente a eliminar o rectificar los datos de una persona que así lo haya solicitado por medio claro e inequívoco.

Serán consideradas faltas gravísimas, para los efectos de esta ley:

• a)Recolectar, almacenar, transmitir o de cualquier otra forma emplear, por parte de personas físicas o jurídicas privadas, datos sensibles, según la definición prevista en el artículo 3 de esta ley.
• b)Obtener, de los titulares o de terceros, datos personales de una persona por medio de engaño, violencia o amenaza.
• c)Revelar información registrada en una base de datos personales cuyo secreto esté obligado a guardar conforme la ley.
• d)Proporcionar a un tercero información falsa o distinta contenida en un archivo de datos, con conocimiento de ello.
• e)Realizar tratamiento de datos personales sin encontrarse debidamente inscrito ante la Prodhab, en el caso de los responsables de bases de datos cubiertos por el artículo 21 de esta ley.
• f)Transferir, a las bases de datos de terceros países, información de carácter personal de los costarricenses o de los extranjeros radicados en el país, sin el consentimiento de sus titulares.

PROCEDIMIENTOS INTERNOS

Cuando la persona responsable de una base de datos pública cometa alguna de las faltas anteriores, la Prodhab dictará una resolución estableciendo las medidas que proceda adoptar para que cesen o se corrijan los efectos de la falta. Esta resolución se notificará a la persona responsable de la base de datos, al órgano del que dependa jerárquicamente y a los afectados, si los hay. La resolución podrá dictarse de oficio o a petición de parte. Lo anterior sin perjuicio de la responsabilidad penal en que haya incurrido.

CÁNONES

Las personas responsables de bases de datos que deban inscribirse ante la Prodhab, de conformidad con el artículo 21 de esta ley, estarán sujetos a un canon de regulación y administración de bases de datos que deberá ser cancelado anualmente, con un monto de doscientos dólares ($200), moneda de curso legal de los Estados Unidos de América. El procedimiento para realizar el cobro del presente canon será detallado en el reglamento que a los efectos deberá emitir la Prodhab.

La persona responsable de la base de datos deberá cancelar a la Prodhab un canon por cada venta de los datos de ficheros definidos en el inciso b) del artículo 3 de esta ley, de personas individualizables registradas legítimamente y siempre que sea comercializado con fines de lucro, el cual oscilará entre los veinticinco centavos de dólar ($0,25) y un dólar ($1), moneda de curso legal de los Estados Unidos de América, monto que podrá ser fijado dentro de dicho rango vía reglamento. En caso de contratos globales de bajo, medio y alto consumo de consultas, o modalidades contractuales de servicio en línea por número de aplicaciones, será el reglamento de la ley el que fije el detalle del cobro del canon que no podrá ser superior al diez por ciento (10%) del precio contractual.

TRANSITORIOS

Las personas físicas o jurídicas, públicas o privadas, que en la actualidad son propietarias o administradoras de las bases de datos objeto de esta ley, deberán adecuar sus procedimientos y reglas de actuación, así como el contenido de sus bases de datos a lo establecido en la presente ley, en un plazo máximo de un año a partir de la creación de la Prodhab.

A partir de la fecha de entrada en vigencia de esta ley, se iniciará el proceso de conformación e integración de la Prodhab; para ello, se dispondrá de un plazo máximo de seis meses.

El Poder Ejecutivo emitirá la reglamentación de esta ley en un plazo máximo de seis meses después de la conformación de la Prodhab, recogiendo las recomendaciones técnicas que le proporcione la Agencia.

Rige a partir de su publicación.

Dado en la Presidencia de la República.-San José, a los siete días del mes de julio del año dos mil once.