¿Qué debo saber antes de recolectar datos personales?
Vivian Gazel |Asociada Senior TMT, Bufete Arias| boletinclic@camtic.org
Las personas difunden cada vez más información personal a escala mundial. El Internet de las Cosas, las redes sociales, comercio electrónico y la globalización plantean nuevos retos para las organizaciones en relación con la protección de los datos personales, ya que la tecnología ha transformado nuestro diario vivir al facilitar la libre circulación de datos personales.
¿Qué son datos personales?
Datos personales es toda información sobre un individuo identificado o identificable. Esto incluye, pero no está limitado a, nombre, identificación, datos de localización, dirección IP, elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social, entre otros.
Los avances tecnológicos permiten que datos personales sean recabados de manera más precisa y eficiente, lo que se ha traducido en que la mayoría de las organizaciones, por no decir todas, recolectan datos personales, ya sea con fines de comercializarlos o no. No obstante, muchas obvian que tener esa información conlleva ciertas obligaciones.
- Determinar la información que se va a recolectar y tratar.
Nuestra legislación diferencia cuatro tipos de datos (acceso irrestricto, acceso restringido, datos sensibles y referentes al comportamiento crediticio). Es necesario definir qué información se va a recolectar y las obligaciones inherentes a cada tipo de información.
- Obtener el consentimiento del titular.
El consentimiento debe darse mediante un acto afirmativo que refleje física o electrónicamente la voluntad libre, específica, informada, e inequívoca del titular de aceptar la recolección y tratamiento de sus datos personales.
Cuando se trate de consentimientos electrónicos, se puede incluir marcar una casilla en un sitio web, o cualquier otra conducta que indique que el titular acepta el tratamiento de sus datos personales.
El consentimiento no puede darse de manera tácita, como silencio positivo o a través de casillas marcadas por defecto. Debe darse para todas las actividades de tratamiento de los datos personales que va a realizar la organización. Entre otras cosas, debe incluir el propósito para el cual se está recabando, con quien se va a compartir.
- Implementar las medidas de seguridad y cumplir con los protocolos sobre el tratamiento de datos personales.
Toda organización debe adoptar las medidas necesarias para garantizar la seguridad de los datos personales y así evitar que esta sea alterada, destruida, extraviada o accedida ilícitamente.
Estas medidas deben incluir, al menos, mecanismos de seguridad físicos y lógicos que garanticen la protección de la información almacenada.
Independientemente (i) del medio utilizado para recolectar y almacenar la información; y (ii) de si la información va a ser comercializada o no, es importante que todas las organizaciones:
- Elaboren políticas de privacidad, tratamiento y difusión de los datos personales entre empresas afiliadas;
- Firmen contratos con sus proveedores de servicios en relación con el manejo de los datos personales a los que puedan tener acceso en función de los servicios prestados (empresas de pago de planillas, hosting, soporte técnico, servicios legales, de contaduría, etc.);
- Capaciten a sus trabajadores en privacidad de datos y tratamiento de datos personales;
- Implementen procedimientos para monitorear el cumplimiento de las políticas de privacidad;
- Instauren procedimientos expeditos y gratuitos para recibir y responder dudas y quejas de los titulares de los datos personales;
- Nombre una persona responsable de cada una de las bases de datos que tenga la empresa.
- Guardar confidencialidad.
Toda persona u organización que tenga participación en el tratamiento o almacenamiento de datos personales está obligada al secreto profesional o funcional. Esta obligación perdurará aún después de finalizada la relación con la organización.
- Determinar si la base de datos se debe inscribir.
Toda base de datos, que contenga datos personales y que sea administrada con el propósito de ser distribuida, difundida o comercializada, debe inscribirse ante la Agencia de Protección de Datos de los Habitantes (PRODHAB). Dicha inscripción no implica el registro o la transferencia de los datos personales a la PRODHAB.
Lo anterior resume de manera sucinta las consideraciones más importantes en cuanto al tratamiento de datos personales y que se debe saber antes de recolectarlos.
En caso de tener consultas sobre cómo su organización está tratando los datos personales, no dude en ponerse en contacto con nosotros.
IMPORTANTE: Las opiniones expresadas en este artículo son exclusivamente las de los autores y no necesariamente representan la opinión de la Cámara de Tecnologías de Información y Comunicación (CAMTIC) o sus afiliados.
Compartir
NOTICIAS
Entradas recientes
- Contratación administrativa | SICOP 30 de agosto al 5 de setiembre del 2024
- BID y AIR anuncian los ganadores del «TechSprint para una Mayor Transparencia Gubernamental» 2024
- SUTEL pone a disposición de los usuarios Mapa de Banda Ancha de Costa Rica
- IICA selecciona 16 agtechs de 14 países que participarán en la Semana de la Agricultura Digital 2024
- BTM 2024 generará negocios entre más de 300 compradores internacionales y 500 exportadores