Ley 8968 de Costa Rica: protección de datos y sus implicaciones de seguridad

La Ley 8968, Ley de Protección de la Persona frente al Tratamiento de sus Datos Personales, es la principal norma de referencia en materia de privacidad en Costa Rica. Aunque fue aprobada en 2011 —antes del auge de la conciencia global sobre protección de datos que trajo el RGPD europeo—, establece obligaciones relevantes sobre la seguridad de los datos personales que procesan las organizaciones.

La ley crea la Agencia de Protección de Datos de los Habitantes (PRODHAB), el organismo supervisor encargado de velar por su cumplimiento. La PRODHAB puede investigar denuncias, imponer medidas correctivas y sancionar a las organizaciones que no protejan adecuadamente los datos personales que gestionan.

Obligaciones de seguridad técnica

La Ley 8968 obliga a los responsables del tratamiento a adoptar medidas técnicas y organizativas que garanticen la seguridad de los datos personales frente a pérdida, acceso no autorizado, modificación o divulgación ilegal. Aunque la ley no detalla qué medidas concretas deben adoptarse, la PRODHAB ha ido desarrollando criterios interpretativos que se acercan progresivamente a los estándares internacionales.

En la práctica, cumplir con la Ley 8968 implica implementar controles de acceso, cifrado de datos sensibles, registros de acceso, gestión de incidentes que afecten datos personales y procedimientos de eliminación segura. Todos estos controles son componentes estándar de un programa de ciberseguridad bien estructurado.

La Ley 8968 obliga a proteger los datos personales con medidas técnicas adecuadas, lo que incluye monitorizar quién accede a esos datos y cuándo. Blindara mantiene ese registro de forma continua y genera las evidencias que la PRODHAB puede requerir.