La Ley de Protección de Datos Personales aprobada el pasado 12 de noviembre por la Asamblea Legislativa también contempla multas económicas que van desde los $3,650 hasta los $14,600 para quienes cometan infracciones a dicha normativa.
La nueva normativa se aplicará a toda persona natural o jurídica, pública o privada, que lleve a cabo actividades de tratamiento de datos personales.
De acuerdo a las definiciones, el tratamiento de datos se entiende como: “Cualquier operación o conjunto de operaciones efectuadas mediante procedimientos automatizados o manuales y aplicadas a datos personales”. Estas se relaciona con la obtención, uso, registro, organización, conservación, difusión, almacenamiento, posesión, acceso, manejo y divulgación de datos personales.
Las sanciones incluyen multas económicas, “sin perjuicio de las responsabilidades penales” a que dieren lugar las infracciones.
Las clasificadas como leves se sancionarán con multa de uno ($365) hasta diez salarios mínimos ($3,650) del sector comercio.
Las infracciones graves se sancionará con multa de 11 ($4,015) hasta 25 ($9,125) salarios mínimos mensuales.
Y las infracciones calificadas como muy graves se sancionarán con multa entre 26 ($9,490) hasta un máximo de 40 ($14,600) salarios mínimos.
De acuerdo al proyecto aprobado, se consideran infracciones leves: No informar al titular de los datos personales acerca de sus derechos antes de ser recolectados; no publicar los datos de contacto del encargado del tratamiento; omitir notificar respecto de las vulneraciones a la seguridad de los datos personales acaecidas a los sujetos pertinentes, en este caso a la Agencia de Ciberseguridad del Estado (ACE) y a la Fiscalía General de la República.
Otra falta leve es acceder a un banco de datos, base de datos, repositorio, sistema o registro, tanto manuales como informáticos, sin autorización del responsable de éstos. También dar un tratamiento a los datos personales de forma inexacta o falsa.
Además, será falta leve modificar los datos suministrados en el documento que autoriza el tratamiento de los mismos, así como exigir un pago para atender las solicitudes que ya la ley establece como gratuitas.
Faltas graves y muy graves
En el caso de las faltas graves, se incluye el proporcionar de forma incompleta o inexacta la información relativa a los datos personales que del titular cuando este ejerza su derecho de acceso a los mismos.
Además, será falta grave no atender las solicitudes de derechos ARCO-POL (acceso, rectificación, cancelación, oposición, portabilidad, olvido y limitación) en tiempo y forma.
PUEDE LEER: Puntos claves de las nuevas leyes de privacidad y de ciberseguridad
Otra infracción grave será procesar, recopilar o destinar datos personales con una finalidad diferente para la que se otorgó el consentimiento o tratamiento. También será grave obstaculizar el desarrollo de las auditorías o inspecciones que realice la ACE como ente rector.
Mientras que será infracción muy grave el uso de datos personales de niños, niñas y adolescentes sin el previo consentimiento de sus padres, representantes o tutores.
Denegar las solicitudes para el ejercicio de los derechos ARCO-POL, realizar transferencias internacionales de datos personales a países que no cumplan el mínimo de protección y comercializar los datos personales a cualquier título sin el consentimiento de su titular son infracciones calificadas como muy graves.
La ley indica que determinada la procedencia de la sanción, la ACE podrá ordenar al infractor o sujeto obligado que adopte las medidas que fueren necesarias para restablecer la legalidad alterada.
Preocupación por mal uso
Carlos Palomo, de TRACODA, consideró como positivo que la ley contempla mecanismos para ejercer los derechos ARCO, porque “cualquier persona le podrá exigir a entes privados que le digan qué datos personales tienen de él o ella, y podrá pedir que los eliminen u oponerse a que sean procesados o tratados”.
Sin embargo, señala que también aplicaría tanto a organizaciones sociales como a medios de comunicación. “Por lo que podría abrir la puerta a un uso abusivo en contra de la prensa y las organizaciones de derechos humanos”, dijo.
Agregó que lanto los medios de comunicación como organizaciones que investigan corrupción o ejercen contraloría social usan datos personales para elaborar sus investigaciones y realizar su trabajo. “Por lo que podrían verse sometidos a solicitudes de acceso y rectificación de datos personales maliciosas y de forma masiva para paralizarlas o disparar sus costos de operación legales”, añadió.
“Lamentablemente, las excepciones no son suficientes para garantizar la libertad de prensa o de expresión. Podría ser mal utilizada para acosar a periodistas, organizaciones de derechos humanos, investigadores, etc.”, enfatizó.
Prohibiciones
La ley de protección de datos personales establece prohibiciones, que incumplirlas será sancionado como falta grave:
- Crear bases de datos que contengan datos personales sensibles, en contravención a lo establecido en la ley.
- El tratamiento de datos personales que revelen el origen racial o étnico, nacionalidad, afiliación partidaria, convicciones religiosas, espirituales o filosóficas.
- Tratamiento de datos que revelen lo relativo a la salud, la vida y orientación sexual, sin observar lo establecido en la ley.
- Revelar, difundir o comercializar por cualquier medio los datos personales que ha tenido acceso con ocasión de su cargo, sin observar los requisitos en la ley.
- Utilizar, transferir, compartir y comercializar a cualquier título y destino la información de las personas que conste en sus bases de datos.