VyperProtección de datos personales
Descargo: esta es información general de orientación de trámites, no asesoría legal, contable ni tributaria. La normativa de protección de datos y los procedimientos de la PRODHAB pueden actualizarse. Antes de actuar, confirmá siempre en el sitio oficial de la PRODHAB (https://www.prodhab.go.cr) y, ante dudas sobre el tratamiento de datos de tu empresa, consultá a un profesional en derecho.
1. Qué es / por qué importa
La Ley N° 8968 — Ley de Protección de la Persona frente al tratamiento de sus datos personales (vigente desde su publicación en La Gaceta N° 170 del 5 de setiembre de 2011) y su Reglamento (Decreto Ejecutivo N° 37554-JP, reformado por el Decreto Ejecutivo N° 40008-JP del 19 de julio de 2016) regulan cómo cualquier persona física o jurídica, pública o privada, puede recolectar, almacenar, usar y transferir datos personales de las personas en Costa Rica.
El derecho que protege se llama autodeterminación informativa (art. 4): el derecho fundamental de cada persona a controlar el flujo de información que la concierne. En la práctica, si tu empresa guarda datos de clientes, proveedores, empleados o prospectos (nombre, cédula, teléfono, correo, historial de compras, etc.), estás haciendo tratamiento de datos personales y la Ley 8968 te aplica.
Por qué le importa a una empresa:
- Toda empresa maneja datos: bases de clientes, formularios web, CRM, listas de WhatsApp/correo, expedientes de personal.
- La ley exige consentimiento informado, seguridad de la información y respeto a los derechos de las personas titulares.
- Algunas bases de datos —las que se administran con fines de distribución, difusión o comercialización— deben además inscribirse ante la PRODHAB y pagar un canon anual.
- El incumplimiento expone a multas de hasta 30 salarios base y, en casos graves, a la suspensión del funcionamiento de la base de datos.
La PRODHAB (Agencia de Protección de Datos de los Habitantes) es el órgano de desconcentración máxima adscrito al Ministerio de Justicia y Paz (art. 15) que vela por el cumplimiento de la ley, inscribe bases de datos, atiende denuncias y aplica sanciones.
Esta obligación es independiente y adicional a otras: inscripción tributaria ante Hacienda (ver
04-inscripcion-hacienda-tributcr.md), protección al consumidor ante el MEIC (ver24-proteccion-al-consumidor.md) y obligaciones laborales (ver19-codigo-trabajo-fundamentos.md, que también implica manejar datos de personal). El deber de protección al consumidor (Ley 7472) y la protección de datos (Ley 8968) se cruzan: por ejemplo, en publicidad, bases de clientes y manejo de información de contacto.
2. Quién está obligado y excepciones
Aplica a (art. 2)
La ley se aplica a los datos personales que figuren en bases de datos automatizadas o manuales, de organismos públicos o privados, y a todo tratamiento posterior de esos datos. Es decir: prácticamente cualquier empresa que recolecte y use datos personales debe cumplir los principios, derechos y deberes de seguridad de la ley, aunque su base de datos no requiera inscripción.
¿Quién debe inscribir su base de datos ante la PRODHAB? (art. 21)
Solo deben inscribirse las bases de datos —públicas o privadas— administradas con fines de distribución, difusión o comercialización. La inscripción no implica el trasbase o la transferencia de los datos a la PRODHAB.
En términos prácticos, debe inscribirse quien:
- Vende, comercializa o cede datos personales a terceros (data brokers, listas de mercadeo, burós, etc.).
- Distribuye o difunde datos personales como parte de su modelo de negocio.
Excepciones a la inscripción (no a la ley)
- Bases de datos internas o domésticas: no se inscriben ante la PRODHAB (art. 44, párrafo adicionado por Decreto 40008-JP). Una empresa que mantiene un CRM de sus propios clientes para gestionarlos internamente —sin venderlos ni difundirlos— normalmente no inscribe la base, pero sí debe cumplir los principios, los derechos de los titulares y las medidas de seguridad.
- Datos de comportamiento crediticio: se rigen por las normas del Sistema Financiero Nacional (art. 9.4). Las bases de entidades financieras supervisadas por SUGEF tienen tratamiento particular.
- Uso exclusivamente personal, familiar o doméstico: fuera del ámbito comercial.
Regla práctica: aunque tu base no requiera inscripción, sí estás obligado a pedir consentimiento informado, a mantener medidas de seguridad y a atender los derechos de acceso, rectificación y eliminación. La inscripción es un requisito adicional solo para quienes distribuyen, difunden o comercializan datos. Ante la duda de si tu base debe inscribirse, consultá directamente a la PRODHAB.
3. Requisitos / documentos
A. Para cumplir la ley (toda empresa que trate datos)
- Cláusula / mecanismo de consentimiento informado (art. 5) que indique, de modo expreso, preciso e inequívoco: existencia de la base de datos, fines de la recolección, destinatarios, carácter obligatorio o facultativo de las respuestas, tratamiento que se dará a los datos, consecuencias de negarse, posibilidad de ejercer derechos, e identidad y dirección del responsable. El consentimiento debe constar por escrito (físico o electrónico) y poder revocarse de la misma forma.
- Medidas de seguridad administrativas, físicas y lógicas (arts. 10 de la Ley; 34 a 37 del Reglamento).
- Protocolos mínimos de actuación (arts. 12 de la Ley; los protocolos pueden inscribirse ante la PRODHAB para presumir cumplimiento, iuris tantum).
- Procedimiento interno para atender solicitudes de acceso, rectificación y eliminación en 5 días hábiles (art. 7).
B. Para inscribir una base de datos ante la PRODHAB (art. 44 del Reglamento)
La persona física o jurídica propietaria debe presentar:
- a) Solicitud del propietario, con firma autenticada notarialmente o confrontada. Si es persona jurídica, personería jurídica vigente (expedida con máximo un mes).
- b) Designación del responsable de la base de datos ante la PRODHAB y ante terceros, con medio y lugar de contacto, y carta de aceptación del cargo.
- c) Identificación de los encargados, con datos de contacto y carta de aceptación.
- d) Nombres de las bases de datos y su ubicación física.
- e) Especificación de las finalidades y usos previstos.
- f) Tipos de datos personales sometidos a tratamiento.
- g) Procedimientos de obtención del consentimiento informado.
- h) Descripción técnica de las medidas de seguridad utilizadas.
- i) Destinatarios de transferencias de datos.
- j) Copia de los protocolos mínimos de actuación.
- k) Listado de contratos globales y ventas de ficheros vigentes, con su estimación pecuniaria.
- m) Fax o correo electrónico para notificaciones.
La descripción detallada de las medidas de seguridad se considera información no divulgada (art. 36 del Reglamento); a la PRODHAB se le notifican los protocolos mínimos de seguridad con que cuenta el responsable.
4. Paso a paso del trámite (inscripción de base de datos ante la PRODHAB)
Aplica solo a bases administradas con fines de distribución, difusión o comercialización (art. 21).
- Determiná si tu base debe inscribirse. Si distribuís, difundís o comercializás datos → inscribís. Si es uso interno/doméstico → no inscribís, pero cumplís el resto de la ley. Ante la duda, consultá a la PRODHAB.
- Preparate internamente: definí responsable y encargados, documentá finalidades y tipos de datos, redactá tu protocolo mínimo de actuación y de seguridad, y armá tu mecanismo de consentimiento informado.
- Reuní los documentos del art. 44 (sección 3.B), incluida la solicitud con firma autenticada y la personería jurídica vigente.
- Presentá la solicitud de inscripción ante la PRODHAB. Verificá en el sitio oficial (https://www.prodhab.go.cr) el canal vigente (sistema en línea / plataforma o presentación según corresponda).
- Revisión por la PRODHAB: la Agencia cuenta con 20 días hábiles para verificar requisitos de forma y fondo (art. 48 del Reglamento).
- Subsanación (si aplica): si falta algo, la PRODHAB previene y otorga 10 días hábiles para subsanar; vencido el plazo sin cumplir, se archiva la gestión (art. 49).
- Pago del canon anual: cumplidos los requisitos, se otorgan 10 días hábiles para cancelar el canon anual (USD $200) (art. 50). Si no se paga, se archiva.
- Resolución de inscripción: el Director dicta la resolución dentro de los 10 días hábiles siguientes al pago (art. 51). Se asigna un código a la base de datos (art. 52).
- Mantené la inscripción actualizada: cualquier modificación a la información inscrita debe comunicarse a la PRODHAB (art. 53 y ss.).
La inscripción no exime del cumplimiento del resto de obligaciones de la Ley y el Reglamento (art. 51).
5. Costos, tarifas, plazos y vigencias
Salario base 2026: ₡462.200 (cargo de auxiliar judicial I / referencia legal de multas), fijado por el Poder Judicial y sin variación respecto de años anteriores (mismo monto desde 2021). Confirmado en fuente oficial del Poder Judicial. Las multas de la Ley 8968 se calculan en múltiplos de este salario base.
Cánones ante la PRODHAB
| Concepto | Monto | Base legal | Notas |
|---|---|---|---|
| Canon anual de regulación y administración | USD $200 por año (al tipo de cambio de venta de referencia del BCCR del día de pago) | Art. 33 Ley; arts. 78–79 Reglamento | Solo bases que deben inscribirse. Pago del 1 al 31 de enero de cada año. |
| Pago proporcional | Proporción de los $200 | Art. 80 Reglamento | Cuando el tratamiento inicia después de la fecha de pago anual; plazo de 1 mes calendario. |
| Canon por venta de datos del fichero | USD $1 por cada venta de datos de una persona registrada legítimamente | Art. 34 Ley (rango $0,25–$1); art. 81 Reglamento (fija $1) | Se paga dentro de los primeros 10 días hábiles del mes siguiente a la venta. |
| Canon por contratos globales (bajo consumo) | 8% del precio contractual (1 a 500.000 consultas) | Art. 82 Reglamento (ref. Decreto 40008-JP) | — |
| Canon por contratos globales (consumo medio) | 5,5% del precio contractual (500.001 a 999.000 consultas) | Art. 82 Reglamento | — |
| Canon por contratos globales (alto consumo) | 3% del precio contractual (1.000.000 de consultas en adelante) | Art. 82 Reglamento | — |
| Intereses moratorios | Según resolución vigente de la Dirección General de Hacienda (Código de Normas y Procedimientos Tributarios) | Art. 83 Reglamento | Corren desde el vencimiento hasta el pago efectivo. |
Plazos del trámite
| Etapa | Plazo | Base legal |
|---|---|---|
| Verificación de requisitos por la PRODHAB | 20 días hábiles | Art. 48 Reglamento |
| Subsanación de defectos | 10 días hábiles | Art. 49 Reglamento |
| Pago del canon tras cumplir requisitos | 10 días hábiles | Art. 50 Reglamento |
| Resolución de inscripción tras el pago | 10 días hábiles | Art. 51 Reglamento |
| Pago del canon anual recurrente | 1 al 31 de enero de cada año | Art. 79 Reglamento |
| Atención de solicitudes de acceso/rectificación/eliminación (todo responsable) | 5 días hábiles | Art. 7 Ley |
| Conservación máxima de datos que puedan afectar al titular | 10 años desde el hecho (salvo norma especial) | Art. 6 Ley |
Los montos en dólares y los plazos provienen del texto vigente de la Ley y el Reglamento. El canal de inscripción en línea, formularios y cuentas bancarias específicas deben confirmarse en el sitio de la PRODHAB.
6. Obligaciones recurrentes
Para toda empresa que trate datos personales (esté o no inscrita):
- Pedir y conservar el consentimiento informado (art. 5), revocable de la misma forma en que se otorgó.
- Principio de calidad de la información (art. 6): mantener los datos actuales, veraces, exactos y adecuados al fin; eliminar los que dejen de ser pertinentes; no conservar más de 10 años datos que puedan afectar al titular (salvo norma especial; si se conservan más, deben desasociarse del titular).
- Principio de finalidad (art. 6.4): usar los datos solo para los fines determinados, explícitos y legítimos informados; no tratarlos de forma incompatible con esos fines.
- Atender derechos de las personas en 5 días hábiles y de forma gratuita (art. 7): acceso, rectificación, actualización, cancelación/eliminación y consentir la cesión.
- Mantener y actualizar medidas de seguridad (arts. 10 Ley; 34–37 Reglamento) ante cambios tecnológicos, vulneraciones o cambios en el nivel de riesgo. En datos sensibles (cuando la ley lo permita), revisar las medidas al menos una vez al año (art. 37 Reglamento).
- Deber de confidencialidad (art. 11): el responsable y todo el personal que intervenga están obligados al secreto, aun después de terminada la relación con la base.
- No transferir datos sin consentimiento del titular (art. 14), incluida la transferencia a terceros países (art. 31.f).
Para empresas con base inscrita, además:
- Pagar el canon anual de USD $200 entre el 1 y el 31 de enero (arts. 78–79 Reglamento).
- Pagar los cánones por venta de datos / contratos globales cuando correspondan (arts. 81–82 Reglamento).
- Mantener actualizada la información de la inscripción ante cualquier modificación (art. 53 Reglamento).
- Conservar inscritos los protocolos de actuación y sus modificaciones (art. 12 Ley).
7. Sanciones por incumplimiento
Las multas se calculan en salarios base del cargo de auxiliar judicial I (₡462.200 en 2026), sin perjuicio de las sanciones penales correspondientes (arts. 28–31 de la Ley).
| Tipo de falta | Multa | Equivalente aproximado 2026 (₡462.200) | Base legal |
|---|---|---|---|
| Falta leve | Hasta 5 salarios base | Hasta ≈ ₡2.311.000 | Art. 28.a |
| Falta grave | De 5 a 20 salarios base | ≈ ₡2.311.000 a ₡9.244.000 | Art. 28.b |
| Falta gravísima | De 15 a 30 salarios base + suspensión del fichero de 1 a 6 meses | ≈ ₡6.933.000 a ₡13.866.000 | Art. 28.c |
Los equivalentes en colones son cálculos ilustrativos con el salario base 2026; el monto exacto lo fija la PRODHAB según la falta.
Faltas leves (art. 29): recolectar datos sin dar suficiente y amplia información a la persona (incumplir el consentimiento informado del art. 5); recolectar, almacenar o transmitir datos por medios inseguros.
Faltas graves (art. 30): tratar datos sin consentimiento informado y expreso; transferir datos a terceros violando el capítulo III; usar datos para una finalidad distinta de la autorizada; negarse injustificadamente a dar acceso; negarse injustificadamente a eliminar o rectificar datos solicitados.
Faltas gravísimas (art. 31): tratar datos sensibles (entes privados) según el art. 3; obtener datos por engaño, violencia o amenaza; revelar información cuyo secreto se está obligado a guardar; dar a un tercero información falsa o distinta; tratar datos sin estar inscrito ante la PRODHAB cuando se está obligado (art. 21); transferir datos a terceros países sin consentimiento de los titulares.
Bases de datos públicas (art. 32): la PRODHAB dicta resolución con las medidas para que cesen o se corrijan los efectos de la falta, sin perjuicio de la responsabilidad penal.
Vía de denuncia (arts. 24–27): cualquier persona con un derecho subjetivo o interés legítimo puede denunciar ante la PRODHAB. El responsable tiene 3 días hábiles para pronunciarse; la PRODHAB debe dictar el acto final a más tardar un mes después de la denuncia. Cabe recurso de reconsideración.
8. Preguntas frecuentes
¿Tengo que inscribir mi base de datos de clientes ante la PRODHAB? Solo si la administrás con fines de distribución, difusión o comercialización (art. 21). Si llevás un CRM de tus propios clientes para uso interno —sin venderlos ni difundirlos a terceros— normalmente no inscribís la base, pero sí tenés que cumplir el resto de la ley: consentimiento informado, seguridad y derechos de las personas. Ante la duda sobre tu caso, consultá directamente a la PRODHAB.
¿Cuánto cuesta inscribir una base de datos? El canon anual de regulación y administración es de USD $200 (al tipo de cambio de venta del BCCR del día de pago), y se cancela cada año entre el 1 y el 31 de enero. Si vendés datos, hay cánones adicionales por venta y por contratos globales (ver sección 5).
¿Qué son datos sensibles y puedo usarlos? Son los del fuero íntimo: origen racial o étnico, opiniones políticas, convicciones religiosas o filosóficas, condición socioeconómica, información biomédica o genética, salud, vida y orientación sexual, entre otros (art. 3.e). Nadie está obligado a darlos y, por regla, su tratamiento por entes privados está prohibido (art. 9.1); tratarlos sin amparo legal es falta gravísima. Hay excepciones tasadas (interés vital, consentimiento, fines médicos, etc.).
¿En cuánto tiempo tengo que responder si un cliente me pide ver, corregir o borrar sus datos? En 5 días hábiles y gratis (art. 7). Negarte injustificadamente es falta grave.
¿Necesito el consentimiento por escrito? Sí. El consentimiento debe ser expreso y constar por escrito, físico o electrónico, y la persona debe poder revocarlo de la misma forma (art. 5.2). Antes de pedir los datos tenés que informar finalidad, destinatarios, tratamiento y los derechos que le asisten.
Mando promociones por WhatsApp y correo a mi lista. ¿Eso es tratamiento de datos?
Sí. Recolectar y usar teléfonos y correos para mercadeo es tratamiento de datos personales. Necesitás consentimiento informado para esa finalidad, ofrecer un mecanismo de revocación/opt-out y respetar la finalidad original. Usar los datos para un fin distinto del autorizado es falta grave. (Esto se cruza con las reglas de protección al consumidor y publicidad; ver 24-proteccion-al-consumidor.md.)
¿Qué medidas de seguridad me exigen? Medidas administrativas, físicas y lógicas proporcionales a la sensibilidad de los datos, el desarrollo tecnológico, las consecuencias de una vulneración y el número de titulares (arts. 34–35 Reglamento). Debés tener inventario tecnológico, análisis de riesgos y un plan de medidas, y actualizarlas ante cambios o brechas (arts. 36–37). En datos sensibles, revisión anual.
¿Qué pasa si no cumplo? Multas de hasta 5 salarios base (leve), 5 a 20 (grave) o 15 a 30 salarios base + suspensión del fichero de 1 a 6 meses (gravísima), sin perjuicio de lo penal (arts. 28–31). Con el salario base 2026 (₡462.200), una falta gravísima puede superar los ₡13 millones.
¿La PRODHAB se queda con mis datos cuando inscribo la base? No. La inscripción no implica el trasbase ni la transferencia de los datos a la PRODHAB (art. 21). Vos seguís siendo el responsable de la base.
9. Fuentes
- SCIJ / PGR — Ley N° 8968 (texto vigente): https://pgrweb.go.cr/scij/Busqueda/Normativa/Normas/nrm_texto_completo.aspx?param1=NRTC&nValor1=1&nValor2=70975&nValor3=85989
- SCIJ / PGR — Reglamento (Decreto Ejecutivo N° 37554-JP, con reformas del Decreto 40008-JP): https://pgrweb.go.cr/scij/Busqueda/Normativa/Normas/nrm_texto_completo.aspx?param1=NRTC&nValor1=1&nValor2=74352&nValor3=106487&strTipM=TC
- PRODHAB — sitio oficial (inscripción y bases de datos inscritas): https://www.prodhab.go.cr
- PRODHAB — normativa: https://www.prodhab.go.cr/acercade/normativa/
- Poder Judicial — salario base 2026 (₡462.200): https://pj.poder-judicial.go.cr/index.php/component/content/article/2333-poder-judicial-fija-en-462-200-00-el-salario-base-para-multas-y-penas-por-la-comision-de-figuras-delictivas-en-el-2026
- Texto completo Ley 8968 (PDF en sitio.go.cr de INAMU): https://formatos.inamu.go.cr/SIDOC/DOCS/ley_8968.pdf
Relacionado:
24-proteccion-al-consumidor.md(publicidad y manejo de datos de clientes),04-inscripcion-hacienda-tributcr.md(datos para facturación electrónica),19-codigo-trabajo-fundamentos.md(datos de personal),00-indice-maestro.md.