PROTOCOLO PARA EL CUMPLIMIENTO Y APLICACION DE UNA POLITICA DE PROTECCION DE DATOS PERSONALES, EN EL MARCO DE LA LEY 8968, DE LEY DE PROTECCION DE LA PERSONA FRENTE AL TRATAMIENTO DE SUS DATOS PERSONALES, DENTRO DE LAS EMPRESAS VINCULADAS AL GRUPO RABSA (“)
1. OBJETIVO
El presente protocolo tiene por objeto dar cumplimiento a los deberes y derechos previstos en la Ley 8968, LEY DE PROTECCION DE LA PERSONA FRENTE AL TRATAMIENTO DE SUS DATOS PERSONALES, publicada en La Gaceta No.170 del 05 de setiembre del 2011, en el Decreto 37554-JP, Reglamento a la Ley de Protección de la Persona frente al Tratamiento de sus Datos Personales, así como regular los procedimientos de recolección, manejo y tratamiento de los datos personales recolectados por las empresas que conformar el GRUPO RABSA ( Recolectora Alajuelense de Basura S.A., Recolectora Ambiental de Basura RABSA S.A., Lumar Investments S.A., Manejo Integral Tecnoambiente S.A., PASA Costa Rica S.A.)
2. ALCANCE
El presente protocolo tendrá́ aplicación a los datos personales de cualquier persona, independientemente de su nacionalidad, residencia o domicilio, el respeto a sus derechos fundamentales, concretamente, su derecho a la autodeterminación informativa en relación con su vida o actividad privada y demás derechos de la personalidad, así́ como la defensa de su libertad e igualdad con respecto al tratamiento automatizado o manual de los datos correspondientes a su persona o bienes, que se encuentren registrados en las bases de datos de las empresas pertenecientes al GRUPO RABSA antes mencionadas y que sean objeto de tratamiento por las mismas.
3. DEFINICIONES Y TERMINOLOGÍA
Para el cumplimiento adecuado de los parámetros fijados por el presente protocolo, y de conformidad con lo previsto en el Artículo 3 de la Ley 8968 antes dicha, se entiende por:
a) Base de datos: cualquier archivo, fichero, registro u otro conjunto estructurado de datos personales, que sean objeto de tratamiento o procesamiento, automatizado o manuales, cualquiera que sea la modalidad de su elaboración, organización o acceso.
b) Datos personales: cualquier dato relativo a una persona física identificada o identificable.
c) Datos personales de acceso irrestricto: los contenidos en bases de datos públicas de acceso general, según dispongan leyes especiales y de conformidad con la finalidad para la cual estos datos fueron recabados.
d) Datos personales de acceso restringido: los que, aun formando parte de registros de acceso al público, no son de acceso irrestricto por ser de interés solo para su titular o para la Administración Pública.
e) Datos sensibles: información relativa al fuero íntimo de la persona, como por ejemplo los que revelen origen racial, opiniones políticas, convicciones religiosas o espirituales, condición socioeconómica, información biomédica o genética, vida y orientación sexual, entre otros.
f) Deber de confidencialidad: obligación de los responsables de bases de datos, personal a su cargo y del personal de la Agencia de Protección de Datos de los Habitantes (Prodhab), de guardar la confidencialidad con ocasión del ejercicio de las facultades dadas por esta ley, principalmente cuando se acceda a información sobre datos personales y sensibles. Esta obligación perdurará aun después de finalizada la relación con la base de datos.
g) Interesado: persona física, titular de los datos que sean objeto del tratamiento automatizado o manual.
h) Responsable de la base de datos: persona física o jurídica que administre, gerencie o se encargue de la base de datos, ya sea esta una entidad pública o privada, competente, con arreglo a la ley, para decidir cuál es la finalidad de la base de datos, cuáles categorías de datos de carácter personal deberán registrase y qué tipo de tratamiento se les aplicarán.
i) Tratamiento de datos personales: cualquier operación o conjunto de operaciones, efectuadas mediante procedimientos automatizados o manuales y aplicadas a datos personales, tales como la recolección, el registro, la organización, la conservación, la modificación, la extracción, la consulta, la utilización, la comunicación por transmisión, difusión o cualquier otra forma que facilite el acceso a estos, el cotejo o la interconexión, así como su bloqueo, supresión o destrucción, entre otros.
4. MARCO LEGAL
El presente protocolo se rige por los parámetros fijados por los artículos 24 de la Constitución Política, la Ley 8968 y el Decreto 37554-JP, Reglamento a la Ley de Protección de la Persona frente al Tratamiento de sus Datos Personales.
5. AUTORIZACIÓN
Autorización: El tratamiento de datos personales por parte de las empresas que integran el GRUPO RABSA, requiere del consentimiento libre, previo, expreso e informado del titular.
Forma y mecanismos para otorgar la autorización. La autorización puede constar en cualquier mecanismo que permita garantizar su posterior consulta, la autorización podrá constar i) por escrito, ii) de forma oral, o iii) mediante conducta inequívocas del titular que permitan concluir de forma razonable que se otorgó la autorización; en todo caso en ningún caso el silencio podrá asimilarse a una conducta inequívoca.
Prueba de la autorización: Las empresas que integran el GRUPO RABSA mantendrán registros o mecanismos necesarios para demostrar cuándo y cómo se obtuvo la autorización por parte de los titulares de datos personales para el tratamiento de la información.
6. DERECHOS Y DEBERES
De conformidad con lo establecido por los artículos 4 al 8 de la Ley 8968, estos son los Principios y Derechos básicos que inspiran el presente protocolo, para dar cumplimiento efectivo a la Protección de Datos Personales.
“… ARTÍCULO 4.- Autodeterminación informativa
Toda persona tiene derecho a la autodeterminación informativa, la cual abarca el conjunto de principios y garantías relativas al legítimo tratamiento de sus datos personales reconocidos en esta sección.
Se reconoce también la autodeterminación informativa como un derecho fundamental, con el objeto de controlar el flujo de informaciones que conciernen a cada persona, derivado del derecho a la privacidad, evitando que se propicien acciones discriminatorias.
ARTÍCULO 5.- Principio de consentimiento informado:
1.- Obligación de informar
Cuando se soliciten datos de carácter personal será necesario informar de previo a las personas titulares o a sus representantes, de modo expreso, preciso e inequívoco:
De la existencia de una base de datos de carácter personal.
De los fines que se persiguen con la recolección de estos datos.
De los destinatarios de la información, así como de quiénes podrán consultarla.
Del carácter obligatorio o facultativo de sus respuestas a las preguntas que se le formulen durante la recolección de los datos.
Del tratamiento que se dará a los datos solicitados.
De las consecuencias de la negativa a suministrar los datos.
De la posibilidad de ejercer los derechos que le asisten.
De la identidad y dirección del responsable de la base de datos.
Cuando se utilicen cuestionarios u otros medios para la recolección de datos personales figurarán estas advertencias en forma claramente legible.
2.- Otorgamiento del consentimiento
Quien recopile datos personales deberá obtener el consentimiento expreso de la persona titular de los datos o de su representante. Este consentimiento deberá constar por escrito, ya sea en un documento físico o electrónico, el cual podrá ser revocado de la misma forma, sin efecto retroactivo.
No será necesario el consentimiento expreso cuando:
a) Exista orden fundamentada, dictada por autoridad judicial competente o acuerdo adoptado por una comisión especial de investigación de la Asamblea Legislativa en el ejercicio de su cargo.
b) Se trate de datos personales de acceso irrestricto, obtenidos de fuentes de acceso público general.
c) Los datos deban ser entregados por disposición constitucional o legal.
Se prohíbe el acopio de datos sin el consentimiento informado de la persona, o bien, adquiridos por medios fraudulentos, desleales o ilícitos.
ARTÍCULO 6.- Principio de calidad de la información
Solo podrán ser recolectados, almacenados o empleados datos de carácter personal para su tratamiento automatizado o manual, cuando tales datos sean actuales, veraces, exactos y adecuados al fin para el que fueron recolectados.
1.- Actualidad
Los datos de carácter personal deberán ser actuales. El responsable de la base de datos eliminará los datos que hayan dejado de ser pertinentes o necesarios, en razón de la finalidad para la cual fueron recibidos y registrados. En ningún caso, serán conservados los datos personales que puedan afectar, de cualquier modo, a su titular, una vez transcurridos diez años desde la fecha de ocurrencia de los hechos registrados, salvo disposición normativa especial que disponga otra cosa. En caso de que sea necesaria su conservación, más allá del plazo estipulado, deberán ser desasociados de su titular.
2. Veracidad
Los datos de carácter personal deberán ser veraces.
La persona responsable de la base de datos está obligado a modificar o suprimir los datos que falten a la verdad. De la misma manera, velará por que los datos sean tratados de manera leal y lícita.
3.- Exactitud
Los datos de carácter personal deberán ser exactos. La persona responsable de la base de datos tomará las medidas necesarias para que los datos inexactos o incompletos, con respecto a los fines para los que fueron recogidos o para los que fueron tratados posteriormente, sean suprimidos o rectificados.
Si los datos de carácter personal registrados resultan ser inexactos en todo o en parte, o incompletos, serán eliminados o sustituidos de oficio por la persona responsable de la base de datos, por los correspondientes datos rectificados, actualizados o complementados. Igualmente, serán eliminados si no media el consentimiento informado o está prohibida su recolección.
4.- Adecuación al fin
Los datos de carácter personal serán recopilados con fines determinados, explícitos y legítimos, y no serán tratados posteriormente de manera incompatible con dichos fines.
No se considerará incompatible el tratamiento posterior de datos con fines históricos, estadísticos o científicos, siempre y cuando se establezcan las garantías oportunas para salvaguardar los derechos contemplados en esta ley.
Las bases de datos no pueden tener finalidades contrarias a las leyes ni a la moral pública.
ARTÍCULO 7.- Derechos que le asisten a la persona
Se garantiza el derecho de toda persona al acceso de sus datos personales, rectificación o supresión de estos y a consentir la cesión de sus datos.
La persona responsable de la base de datos debe cumplir lo solicitado por la persona, de manera gratuita, y resolver en el sentido que corresponda en el plazo de cinco días hábiles, contado a partir de la recepción de la solicitud.
1.- Acceso a la información
La información deberá ser almacenada en forma tal que se garantice plenamente el derecho de acceso por la persona interesada.
El derecho de acceso a la información personal garantiza las siguientes facultades del interesado:
a) Obtener en intervalos razonables, según se disponga por reglamento, sin demora y a título gratuito, la confirmación o no de la existencia de datos suyos en archivos o bases de datos. En caso de que sí existan datos suyos, estos deberán ser comunicados a la persona interesada en forma precisa y entendible.
b) Recibir la información relativa a su persona, así como la finalidad con que fueron recopilados y el uso que se le ha dado a sus datos personales. El informe deberá ser completo, claro y exento de codificaciones. Deberá estar acompañado de una explicación de los términos técnicos que se utilicen.
c) Ser informado por escrito de manera amplia, por medios físicos o electrónicos, sobre la totalidad del registro perteneciente al titular, aun cuando el requerimiento solo comprenda un aspecto de los datos personales. Este informe en ningún caso podrá revelar datos pertenecientes a terceros, aun cuando se vinculen con la persona interesada, excepto cuando con ellos se pretenda configurar un delito penal.
d) Tener conocimiento, en su caso, del sistema, programa, método o proceso utilizado en los tratamientos de sus datos personales.
El ejercicio del derecho al cual se refiere este artículo, en el caso de datos de personas fallecidas, le corresponderá a sus sucesores o herederos.
2.- Derecho de rectificación
Se garantiza el derecho de obtener, llegado el caso, la rectificación de los datos personales y su actualización o la eliminación de estos cuando se hayan tratado con infracción a las disposiciones de la presente ley, en particular a causa del carácter incompleto o inexacto de los datos, o hayan sido recopilados sin autorización del titular.
Todo titular puede solicitar y obtener de la persona responsable de la base de datos, la rectificación, la actualización, la cancelación o la eliminación y el cumplimiento de la garantía de confidencialidad respecto de sus datos personales.
El ejercicio del derecho al cual se refiere este artículo, en el caso de datos de personas fallecidas, le corresponderá a sus sucesores o herederos.
ARTÍCULO 8.- Excepciones a la autodeterminación informativa del ciudadano
Los principios, los derechos y las garantías aquí establecidos podrán ser limitados de manera justa, razonable y acorde con el principio de transparencia administrativa, cuando se persigan los siguientes fines:
a) La seguridad del Estado.
b) La seguridad y el ejercicio de la autoridad pública.
c) La prevención, persecución, investigación, detención y represión de las infracciones penales, o de las infracciones de la deontología en las profesiones.
d) El funcionamiento de bases de datos que se utilicen con fines estadísticos, históricos o de investigación científica, cuando no exista riesgo de que las personas sean identificadas.
e) La adecuada prestación de servicios públicos.
f) La eficaz actividad ordinaria de la Administración, por parte de las autoridades oficiales.
7. FINES DEL TRATAMIENTO
Tratamiento de la información. En desarrollo de su objeto social, de los contratos de trabajo suscritos con sus trabajadores, del mantenimiento de vínculos comerciales y del cumplimiento de órdenes de autoridades judiciales y/o administrativas, las empresas que integran el GRUPO RABSA podrán dar tratamiento a los datos personales para:
Proveer servicios y productos requeridos.
Informar sobre nuevos productos o servicios que estén relacionados o no con el contratado o adquirido por el Titular.
Dar cumplimiento a obligaciones contraídas con el Titular.
Informar sobre cambios en productos o servicios.
Evaluar la calidad de productos o servicios.
Desarrollar actividades de mercadeo o promocionales.
Enviar al correo físico, electrónico, celular o dispositivo móvil, - vía mensajes de texto (SMS y/o MMS) información comercial, publicitaria o promocional sobre los productos y/o servicios, eventos y/o promociones de tipo comercial o no de estas, con el fin de impulsar, invitar, dirigir, ejecutar, informar y de manera general, llevar a cabo campañas, promociones o concursos de carácter comercial o publicitario.
Compartir, incluyendo la transferencia y transmisión de datos personales a terceros para fines relacionados con la operación de las empresas vinculadas al GRUPO RABSA.
Realizar estudios internos sobre el cumplimiento de las relaciones comerciales y estudios de mercado a todo nivel.
Responder requerimientos legales de entidades administrativas y judiciales.
8. PROCEDIMIENTO DE ACCESO, CONSULTA Y RECLAMACIÓN
Derecho de acceso. El titular podrá acceder a su información personal que es objeto de Tratamiento por parte de las empresas vincualdas al GRUPO RABSA, así como las condiciones y generalidades en que se está efectuado. Dando cumplimiento a lo anterior, el titular podrá: i) conocer la efectiva existencia del Tratamiento a que son sometidos sus datos personales, ii) tener acceso a los datos personales en posesión del responsable, o conocer la finalidad que justifica el Tratamiento. El titular tendrá acceso a los datos personales objeto de Tratamiento por parte de las empresas vinculadas al GRUPO RABSA previa acreditación de su identidad, de manera gratuita, cuando así lo solicite, pero no más de una vez al mes.
Consultas: El titular o sus causahabientes, podrán consultar la información personal que repose en las bases de datos de las empresas vinculadas al GRUPO RABSA previa solicitud del mismo, la cual será atendida en un plazo máximo de diez (10) hábiles contados a partir de la fecha de recibo. En el evento de no ser posible atender la solicitud en dicho término, se informará al interesado dentro del mismo término, expresando los motivos que dan lugar a la imposibilidad, al igual que la fecha en que se dará respuesta, la cual no podrá ser superior a cinco (5) días hábiles siguientes al vencimiento del primer plazo.
Reclamos: El Titular o sus causahabientes que consideren que la información contenida en una base de datos debe ser objeto de corrección, actualización o supresión, o cuando adviertan el presunto incumplimiento de cualquiera de los deberes contenidos en la ley o este Manual, podrán presentar un reclamo ante las empresas vinculadas al GRUPO RABSA el cual será tramitado bajo las siguientes reglas:
1. El reclamo se formulará mediante solicitud dirigida a la empresa del GRUPO RABSA que corresponda, con la identificación del Titular, la descripción de los hechos que dan lugar al reclamo, la dirección, y acompañando los documentos que se quiera hacer valer.
Si el reclamo resulta incompleto, se requerirá al interesado dentro de los cinco (5) días siguientes a la recepción del reclamo para que subsane las fallas. Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo.
En caso de que quien reciba el reclamo no sea competente para resolverlo, dará traslado a quien corresponda en un término máximo de dos (2) días hábiles e informará de la situación al interesado.
Una vez recibido el reclamo completo, se incluirá en la base de datos una leyenda que diga "reclamo en trámite" y el motivo del mismo, en un término no mayor a dos (2) días hábiles. Dicha leyenda deberá mantenerse hasta que el reclamo sea decidido.
El término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.
Procedimiento presentación de reclamos: El titular o su representante podrá solicitar a la empresa del GRUPO RABSA que corresponda, la rectificación, actualización o supresión de sus datos personales, previa acreditación de su identidad. Cuando la solicitud sea formulado por persona distinta del titular y no se acredita que la misma actúa en representación de aquél, se tendrá por no presentada.
La solicitud de rectificación, actualización o supresión tendrá que ser presentada a través de los medios habilitados por las empresas vinculadas al GRUPO RABSA, según se ha establecido en este protocolo y contener como mínimo lo siguiente: Nombre y domicilio del titular o cualquier otro medio para recibir respuesta.
Documentos que acreditan la identidad o la personalidad de su representante.
Descripción clara y precisa de los datos personales que dan lugar al reclamo 4.
Parágrafo Primero. Rectificación y actualización: Cuando los reclamos tengan por objeto la rectificación o actualización, el titular deberá indicar las correcciones a realizar y adoptar la documentación que avale su petición.
Parágrafo Segundo. Supresión: La supresión de datos personales se realiza mediante la eliminación total o parcial de la información personal según lo solicitado por el titular, no obstante lo cual la empresa del GRUPO RABSA que hubiere recibido el reclamo, podrá negarse a la misma cuando el titular tenga un deber legal o contractual de permanecer en la base de datos.
Parágrafo Tercero. Impugnación: Cuando el titular de los datos no quede satisfecho con lo resuelto por la empresa vinculada el GRUPO RABSA ante la cual formuló su reclamo o petición, podrá impugnar lo resuelto ante la AGENCIA DE PROTECCION DE DATOS adscrita al Ministerio de Justicia, mediante la presentación de la respectiva denuncia, establecida en los artículos 24 y siguientes de la Ley 8968. En caso de incumplimiento de lo resuelto por la Agencia dicha, podrán aplicarse las sanciones establecidas en los artículos 28 y siguientes de la Ley 8968.
Revocatoria de la autorización. Los titulares de los datos personales pueden revocar la autorización concedida en cualquier momento, exceptuando de lo anterior aquellos eventos en los cuales lo impida una disposición legal o contractual. En todo caso, el titular deberá indicar en su solicitud si se trata de una revocatoria total o parcial, esto último cuando sólo quiera eliminarse alguna de las finalidades para la cual se autorizó el tratamiento, escenario en el que el titular deberá indicar la finalidad que desea eliminar.
9. SEGURIDAD DE LA INFORMACIÓN
Medidas de seguridad: Las empresas vinculadas el GRUPO RABSA adoptaráN las medidas técnicas, humanas y administrativas necesarias para garantizar la seguridad de los datos personales objeto de tratamiento, evitando así su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
10. TRANSFERENCIA DE DATOS A TERCEROS
Como teoría de principio, Los responsables de las bases de datos, públicas o privadas, solo podrán transferir datos contenidos en ellas cuando el titular del derecho haya autorizado expresa y válidamente tal transferencia y se haga sin vulnerar los principios y derechos reconocidos en esta ley.
Esta prohibición no regirá cuando se trate de:
Información respecto de la cual el Titular haya otorgado su autorización expresa e inequívoca para la transferencia;
Intercambio de datos de carácter médico, cuando así lo exija el Tratamiento del Titular por razones de salud o higiene pública;
Transferencias legalmente exigidas para la salvaguardia del interés público, o para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
11. DISPOSICIONES FINALES
Las empresas vinculadas al GRUPO RABSA se encargarán de la protección de los datos personales, tramitará las solicitudes de los titulares, y garantizará el ejercicio de los derechos de estos.
Deberán presentar el presente protocolo ante la Agencia de Protección de Datos adscrita ante el Ministerio de Justicia, para su validación e inscripción, de previo a ponerlo en ejecución.
Deberán cumplir las instrucciones y requerimientos que eventualmente imparta la Agencia de Protección de Datos de los Habitantes.
Vigencia: el presente rige a partir del momento en que manual rige a partir del momento en que la Agencia de Protección de Datos Personales apruebe e inscriba el presente protocolo y seguirá en vigencia mientras el mismo no hubiere sido modificado.
(“) Este protocolo es la propuesta presentada para su aprobación a la Agencia de Protección de datos personales. Una vez aprobada su versión definitiva, así se comunicará.
