La normativa clasifica las faltas en leves, graves o gravísimas, debido a las distintas acciones que constituyan incumplimiento a la protección de datos personales, por lo que esta dispone en cada caso lo siguiente:
Haga clic en cada opción para conocer el detalle.
Faltas leves
“Serán consideradas faltas leves el siguiente tipo de acciones por parte de la persona infractora (sea persona física, jurídica, pública o privada):
- Recolectar datos personales para su uso en base de datos sin que le otorgue suficiente y amplia información a la persona interesada, de conformidad con las especificaciones que debe contener todo consentimiento informado.
- Recolectar, almacenar y transmitir datos personales de terceros por medio de mecanismos inseguros o que, de alguna forma, no garanticen la seguridad e inalterabilidad de los datos”.
Faltas graves
“Serán consideradas faltas graves el siguiente tipo de acciones por parte de la persona infractora (sea persona física, jurídica, pública o privada):
- Recolectar, almacenar, transmitir o de cualquier otra forma emplear datos personales sin el consentimiento informado y expreso del titular de los datos, con arreglo a las disposiciones de lo que dispone la ley.
- Transferir datos personales a otras personas o empresas en contravención de la reglas establecidas en el Capítulo III de esta la Ley, que regula lo relativo a la transferencia de datos personales.
- Recolectar, almacenar, transmitir o de cualquier otro modo emplear datos personales para una finalidad distinta de la autorizada por la persona titular de la información.
- Negarse injustificadamente a dar acceso a un interesado sobre los datos que consten en archivos y bases de datos, a fin de verificar su calidad, recolección, almacenamiento y uso conforme a la ley.
- Negarse injustificadamente a eliminar o rectificar los datos de una persona que así lo haya solicitado por medio claro e inequívoco”.
Faltas gravísimas
“Serán consideradas faltas gravísimas el siguiente tipo de acciones por parte de la persona infractora (sea persona física, jurídica, pública o privada):
- Recolectar, almacenar, transmitir o de cualquier otra forma emplear, por parte de personas físicas o jurídicas privadas, datos sensibles, según la definición dada por la ley.
- Obtener, de los titulares o de terceros, datos personales de una persona por medio de engaño, violencia o amenaza.
- Revelar información registrada en una base de datos personales cuyo secreto esté obligado a guardar conforme a la ley.
- Proporcionar a un tercero información falsa o distinta contenida en un archivo de datos, con conocimiento de ello.
- Realizar tratamiento de datos personales sin encontrarse debidamente inscrito ante la PRODHAB, en el caso de responsables de bases de datos, públicas o privadas, administradas con fines de distribución, difusión o comercialización (artículo 21 de la Ley N°8968).
- Transferir a las bases de datos de terceros países, información de carácter personal de los costarricenses o de los extranjeros radicados en el país, sin el consentimiento de los titulares”.
Procedimientos internos: señala la normativa que cuando la persona responsable de una base de datos cometa alguna de las faltas descritas anteriormente, la PRODHAB dictará una resolución estableciendo las medidas que debe adoptar para que cesen o se corrijan los efectos de la falta. Dicha resolución sería notificada a la persona responsable de la base de datos, al órgano del que depende jerárquicamente y a los afectados si los hubiera. La resolución podrá ser dictada de oficio o a petición de parte. Por ultimo último señala, esta resolución dictada en sede administrativa, es sin perjuicio de la responsabilidad penal en la que haya incurrido (Fuente: Ley N°8968 y su reglamento).
Capítulo II, Sección I- Artículo 5, Ley N°8968