- Sanciones de la ley de protección de datos
La Cámara de hoteles brindó un importante seminario al sector turismo, de la ley 8968 de protección de datos. ¿Sabía Usted de las consecuencias negativas para su negocio, si no conoce esta ley a fondo?
El expositor Juan Ignacio Zamora, abogado de la firma regional Expertis expuso sobre protección de datos: derecho constitucional a la privacidad, y reafirmó que “de aquí surge el planteamiento de esta ley”.
La Ley se crea pensando en que algunas empresas obtenían lucro con los datos personales de las personas. Actualmente datos como el teléfono privado, así como el monto exacto del salario de una persona, lo cuál no se puede obtener sin los permisos debidos.
El experto explicó: todo lo que se suba a internet queda ahí aunque la persona lo “borre”. Ej: fotos en Facebook, así como la información de contacto.
Existen distintas maneras de obtener información de personas:
- Seguro social: información privada.
- Registro Nacional de CR: información pública, aveces hay que pagar por la información por ejemplo para planos.
- Tributación directa: información privada.
Se crea la Agencia de Protección de Datos http://www.prodhab.go.cr en el 2011, esta agencia protege a las personas y no a las empresas. Las empresas deben registrar las bases de datos en la agencia (deben hacen una auditoría interna para saber sí deben registrar la información que tienen) La agencia debe tener acceso directo a las bases de datos de esa empresa, se llaman SUPERUSUARIOS. Por cada base de datos registrada se debe cancelar $200.
Conceptos:
- Datos personales: cualquier cosa que pueda hacer a la persona identificable.
- Interesado: persona que puede exigir la protección.
- Categorías de datos
- Datos sensibles: información médica, religión, preferencia sexual. La persona no está obligada a dar estos datos.
- Datos personales de acceso restringido: Ej: tributación, hoja de delincuencia.
- Datos referentes al comportamiento crediticio: tarjetas de crédito .
- Principio de autodeterminación informática: es el derecho que tienen los costarricenses a reclamarle a cualquier empresa que le brinde el origen de donde obtuvo la empresa datos personales del individuo.
- Consentimiento informado: Es un documento aparte donde por ejemplo un hotel pide el correo electrónico de una persona para X cosa… la persona debe estar informado sobre el motivo y el para qué va a utilizar el hotel esa información. Este documento debe ser libre, específico, por escrito /físico o digital, se prohíbe el uso de los “browse agreements” (los botones o links con letra pequeña que vienen en los acuerdos que dicen: normas y regulaciones. Se permite el uso de “click wrap agreements” (los cuadros que tienen un botón para darle click a la hora que la persona indica que ha leído y está de acuerdo con las condiciones).
La persona que firma el documento está comprometida a dar información actualizada y veraz.
Spam: En CR por lo general las personas deben autorizar que les envíen información , ej: correos electrónicos.
¿A quién afecta la ley? Toda empresa que tenga una base de datos y obtenga una comercialización a cambio.
¿En qué afecta a los hoteles y al turismo?
GPS – carros de alquiler: los gps se dan cuenta de todo (lugares que se visita), así como lo que hace una persona durante el uso del carro. En este caso, la empresa debe comunicarle a la persona que hace con esa información guardada, una vez que la persona entrega el auto.
Datos crediticios: cuando el hotel pide números de tarjetas de crédito como “backup”, informarle al cliente para qué , por qué y quien del hotel tiene acceso a esa información. También aplica para las tarjetas de las habitaciones / donde algunas tienen datos personales de los huéspedes. Datos personales de menores de edad: todo debe ser autorizado por sus padres.
Derecho al olvido: datos personales que tengan más de 10 años en las bases deben ser eliminados a menos de que la persona indique que está de acuerdo con que la empresa continúe con su información.
Faltas:
- leves: multa de hasta ¢2,000,000 colones.
- Graves: de 2 a 8 millones de colones. Ej: usar la información para otro fin al que no fue autorizado.
- Gravísima: de 6 a 12 millones de colones. Ej: recolectar información por engaño o amenaza.
También aplica el Art.196 bis Código Penal
Violación de datos personales
1 a 4 años de prisión.