Aplicación de la Ley de Protección de la Persona Al Tratamiento de sus Datos Personales y su reglamento en el ITCR

REGLAMENTO PARA LA APLICACIÓN DE LA LEY DE PROTECCIÓN DE LA PERSONA FRENTE AL TRATAMIENTO DE SUS DATOS PERSONALES (LEY NO. 8968) Y SU REGLAMENTO EN EL INSTITUTO TECNOLÓGICO DE COSTA RICA
 

CAPÍTULO I. DISPOSICIONES GENERALES

ARTÍCULO 1. Tipo de reglamento

Este reglamento es de tipo general.

ARTÍCULO 2. Del alcance

Este reglamento es de acatamiento obligatorio para todas las dependencias del Instituto Tecnológico de Costa Rica, en adelante ITCR, en el tratamiento de aquellos documentos o información personal que deba ser recolectada, tratada, emitida, difundida, eliminada o publicada, sea de manera manual o automatizada, con la finalidad de proteger a las personas funcionarias, estudiantes y usuarias de los servicios de la Institución. Lo anterior sin detrimento del respeto al principio de autonomía universitaria.

ARTÍCULO 3. Objetivo del reglamento

Proveer las pautas necesarias que debe cumplir el ITCR para el tratamiento de los datos personales originados a nivel institucional, para garantizar la protección de los datos de las personas funcionarias, estudiantes y usuarias de los servicios de la Institución.

ARTÍCULO 4. Del fundamento normativo

Conforme a la Ley de Protección de la Persona frente al tratamiento de sus datos personales, Ley No. 8968 y su reglamento, el ITCR debe establecer la normativa correspondiente para asegurar la protección de los datos personales por medio de mecanismos para su recolección, almacenamiento, tratamiento, manejo y eliminación; esto de conformidad con los artículos previstos en dicha Ley de la República y sin detrimento del respeto al principio de autonomía universitaria.

ARTÍCULO 5. De las definiciones

Base de datos: conjunto estructurado de datos personales que es objeto de tratamiento o procesamiento, sea manual o automatizado.

Datos personales: cualquier dato relativo a una persona física identificada o identificable. Por ejemplo: número de cédula, nombre y dirección domiciliaria, entre otros.

Datos personales de acceso irrestricto: corresponden a los datos personales pertenecientes a bases de datos públicas, es decir, de acceso general, de conformidad con la finalidad para lo cual estos datos fueron recabados.

Datos personales de acceso restringido: los que, aun formando parte de registros de acceso al público, no son de acceso irrestricto por ser de interés solo para su titular o para la Administración Pública.

Datos sensibles: corresponde a la información relativa al fuero íntimo de la persona, por ejemplo, los que revelan: origen racial, orientación sexual, información biomédica o genética y condición socioeconómica, entre otros.

Deber de confidencialidad: es la obligación por parte de los responsables de las bases de datos del ITCR de guardar la confidencialidad que amerita el ejercicio de las facultades que poseen, especialmente cuando accedan a información que contenga datos personales y sensibles. Esta obligación perdurará aún después de finalizada la relación con la base de datos.

Despersonalización: se refiere a la protección que se les brinda a los datos sensibles sobre la identidad o personalidad de un sujeto. Su objetivo es desvincular o disociar los datos de una persona.

Persona interesada: es la persona que acceda a la información de alguna base de datos con un interés académico o personal. El fin para el cual accede debe ser lícito.

Persona responsable de la base de datos: es la persona física o jurídica que administra o se encarga de la base de datos y que es competente para determinar la finalidad de la base de datos, las categorías de los datos y el tipo de tratamiento que se les puede aplicar.

Persona titular de los datos: es la persona física, la cual es titular de los datos que sean objeto de tratamiento sea manual o automatizado.

Tratamiento de datos personales: cualquier operación o conjunto de operaciones realizadas por medio de procedimientos manuales o automatizados aplicadas a datos personales y que faciliten la consulta, registro, recolección, modificación, uso, destrucción y bloqueo (entre otros) de los datos.

 

CAPÍTULO II. RESPONSABILIDADES Y PROHIBICIONES

ARTÍCULO 6. De las personas responsables de la protección de datos

Serán responsables de la protección de los datos personales:

  1. Las personas funcionarias del ITCR responsables de recolectar o identificar los datos sensibles en los documentos, información, resoluciones, trámites o actividad que involucre el tratamiento de datos personales y aquella que ostente el grado de superior jerárquico de la dependencia a cargo de la recolección o identificación de los datos sensibles.
  2. El Departamento de Administración de Tecnologías de Información y Comunicaciones (DATIC), que deberá proporcionar a la Comunidad Institucional herramientas tecnológicas que faciliten la protección de los datos; además, debe establecer las medidas que garanticen la confidencialidad, disponibilidad e integridad de la información utilizada en la Institución para sus labores administrativas, de investigación, extensión y de docencia.
  3. En cuanto a las bases de datos físicas en resguardo de las dependencias institucionales, corresponderá a la persona superior jerárquica establecer las medidas que garanticen la confidencialidad, disponibilidad, integridad y disociación de la información utilizada en la Institución para sus labores administrativas, de investigación, extensión y docencia.

ARTÍCULO 7. Obligaciones y prohibiciones de la persona responsable de la protección de los datos

La persona responsable de la protección de datos personales deberá:

  1. Cumplir con lo dispuesto en la normativa institucional para la implementación de la Ley de Protección de la Persona frente al tratamiento de sus datos personales (No. 8968) y su reglamento, en el ITCR.
  2. Implementar las medidas de seguridad que correspondan.
  3. Cumplir con lo dispuesto en este reglamento.
  4. Analizar si procede la despersonalización de la información en tratamiento con el respectivo criterio del DATIC y de la Oficina de Asesoría Legal en caso de información digital. Para los casos de base de datos físicas, corresponderá a la Oficina de Asesoría Legal y al Centro de Archivo y Comunicaciones
  5. Se prohíbe usar los datos para fines distintos para los que fueron recolectados.
  6. Guardar confidencialidad respecto a los datos tratados.
  7. Se prohíbe transferir, almacenar, compartir, difundir o eliminar los datos personales para fines no considerados dentro del consentimiento informado.

 

CAPÍTULO III. DATOS PERSONALES OBJETO DE TRATAMIENTO

ARTÍCULO 8. Datos personales

El ITCR recolectará datos personales de:

  • Las personas funcionarias.
  • Las personas estudiantes.
  • Terceros que participen de forma directa o indirecta en trámites o actividades de la Institución.

ARTÍCULO 9. Consentimiento informado

El ITCR recolectará los datos personales para sus bases de datos, junto con el consentimiento informado de su titular. Los datos recolectados serán únicamente para la finalidad para la cual la persona acepta que sean utilizados en acatamiento de las disposiciones establecidas en este reglamento y de manera supletoria la Ley No. 8968 y su reglamento.

ARTÍCULO 10. Otorgamiento del consentimiento informado

La instancia que recopile datos personales deberá obtener el consentimiento por escrito (físico o electrónico) de la persona titular de los datos, para lo que utilizará el estándar de consentimiento proveído por el ITCR. En caso de que la persona usuaria sea menor de edad, el consentimiento deberá estar firmado por su padre, madre o persona tutora.

 

CAPÍTULO IV. SOBRE LOS PRINCIPIOS Y LA CALIDAD DE LOS DATOS

ARTÍCULO 11. Calidad de los datos

Las instancias del ITCR podrán recolectar, almacenar o emplear datos de carácter personal para su tratamiento, únicamente cuando estos datos sean actuales, veraces, exactos y adecuados para el fin que fueron recolectados, de acuerdo con los siguientes principios:

  1. Principio de autodeterminación informativa: Entendido como aquel por el cual toda persona tiene derecho al legítimo tratamiento de sus datos personales, se reconoce la autodeterminación informativa como un derecho fundamental, con el objeto de controlar el flujo de informaciones que conciernen a cada persona, derivado del derecho a la privacidad, para evitar que se propicien acciones discriminatorias. 
  2. Principio de consentimiento informado: Cuando se soliciten datos de carácter personal será necesario informar de previo a las personas titulares o a sus representantes, de modo expreso, preciso e inequívoco, los fines que se persiguen con la recolección de estos datos. 
  3. Principio de actualidad: La dependencia institucional responsable de la información en la base de datos deberá eliminar los datos que hayan dejado de ser pertinentes o necesarios, en razón de la finalidad para la cual fueron recibidos y registrados. Salvo alguna disposición especial, los datos personales pueden ser conservados únicamente por diez años. En caso de requerirlos posteriormente a este plazo, y de no existir una disposición para su conservación de manera personal, los datos pueden ser conservados una vez que hayan sido despersonalizados. 
  4. Principio de veracidad: La dependencia institucional responsable de la información en la base de datos deberá velar porque los datos sean veraces y está obligada a modificar o suprimir aquellos que falten a la verdad. 
  5. Principio de exactitud: La dependencia institucional responsable de la información en la base de datos tomará las medidas necesarias para suprimir, eliminar, sustituir o rectificar los datos inexactos. Además, deberá eliminar los datos si no media el consentimiento informado o si estuviese prohibida su recolección. 
  6. Principio de adecuación al fin: La dependencia institucional responsable de la información en la base de datos debe establecer los fines determinados, explícitos y legítimos para los cuales serán tratados los datos. No se considera incompatible el tratamiento posterior de datos con fines históricos, estadísticos o científicos, siempre y cuando se despersonalicen.

 

CAPÍTULO V. DERECHOS DEL TITULAR

ARTÍCULO 12. Sobre los derechos de la persona titular

La persona titular de los datos puede ejercer sus derechos de acceso, rectificación, cancelación y oposición, mediante solicitud expresa. 

Para que se haga efectiva la solicitud se requiere previo acto administrativo dictado por la persona funcionaria competente o su superior jerárquico a efectos de realizar la modificación. 

La persona responsable de la base de datos posee un plazo de cinco días hábiles, a partir de la recepción de la solicitud, para resolver lo solicitado por la persona titular. El plazo será prorrogable en casos debidamente calificados.

ARTÍCULO 13. Sobre el tratamiento de sus datos

Para el tratamiento de los datos personales en la Institución, de acuerdo con el artículo 9 de la Ley No.8968, se deben seguir las siguientes disposiciones:

  1. Ninguna persona estará obligada a suministrar datos sensibles, excepto que exista alguna de las justificaciones indicadas en el artículo 9 de la Ley No.8968,
  2. El tratamiento de los datos de acceso restringido se permitirá únicamente para fines públicos si se cuenta con el consentimiento expreso de la persona titular.

ARTÍCULO 14. Solicitudes de protección de datos y recepción de dudas o quejas

La persona que requiera actualizar, consultar o rectificar sus datos, o que considere que estos no se están protegiendo de conformidad con lo dispuesto en la Ley No. 8968, su reglamento o en este Reglamento, puede plantear su solicitud, duda o queja de forma electrónica por los medios que dispone la Institución para tal fin.

 

CAPÍTULO VI. SEGURIDAD Y CONFIDENCIALIDAD DE LOS DATOS

ARTÍCULO 15. Seguridad de los datos

a. La dependencia institucional responsable de la información de las bases de datos digitales deberá adoptar las medidas técnicas de seguridad brindadas y oficializadas por el DATIC para garantizar la seguridad, disponibilidad, confidencialidad e integridad de los datos de carácter personal.

b. La dependencia institucional o persona funcionaria responsable de las bases de datos físicas deberán adoptar las medidas técnicas de seguridad que garanticen la confidencialidad, disponibilidad e integridad de los datos de carácter personal utilizados emitidas por el Centro de Archivo y Comunicaciones.

ARTÍCULO 16. Deber de confidencialidad

La dependencia institucional o persona funcionaria responsable, así como las personas funcionarias que intervengan en el proceso de tratamiento de los datos personales deberán suscribir el contrato de confidencialidad. El incumplimiento de este deber genera responsabilidad disciplinaria de acuerdo con la normativa institucional vigente.

Las personas externas al ITCR que por alguna razón tengan que realizar labores que involucren el manejo de datos personales, tendrán que suscribir el contrato de confidencialidad correspondiente a efectos de sentar las responsabilidades legales, en caso de incumplimiento.

 

CAPÍTULO VII. DISPOSICIONES FINALES

ARTÍCULO 17. De la capacitación

El ITCR por medio del Departamento de Gestión del Talento Humano, brindará capacitación sobre la protección de datos personales en documentos o información que deba ser recolectada, tratada, emitida, difundida o publicada de manera manual o automatizada por las dependencias o personas funcionarias del ITCR.

ARTÍCULO 18. De la revisión de este reglamento

La Rectoría o a quien ésta designe será responsable de realizar la revisión del presente reglamento cuando lo estime necesario y en las fechas de calendarización definidas institucionalmente para ese objetivo.

ARTÍCULO 19. Disposiciones supletorias

Para lo no regulado expresamente en este reglamento se aplicarán supletoriamente las disposiciones de la Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales (Ley No. 8968) y su reglamento.

ARTÍCULO 20. De la vigencia

La validez y eficacia de este reglamento será a partir de su aprobación por parte del Consejo Institucional y su publicación en la Gaceta Institucional.

 

Transitorio I

La Rectoría o a quien esta designe, a más tardar el 30 de abril de 2023, establecerá los procedimientos necesarios para la aplicación de este Reglamento, de acuerdo con el artículo 15 de este reglamento.

Transitorio II

El Departamento de Gestión del Talento Humano propondrá a la Rectoría, a más tardar el 30 de abril de 2023, la implementación de un plan de capacitación para las personas funcionarias, sobre la aplicación de este Reglamento y las disposiciones de la Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales (Ley No. 8968), su reglamento.

Transitorio III

La Dirección de Cooperación y el Departamento de Aprovisionamiento propondrán a la Rectoría, a más tardar el 30 de abril de 2023, un plan para actualizar los convenios y contratos, según corresponda, que permitan que las organizaciones que mantienen relación con la Institución y que manejen información de datos personales, en un plazo no mayor a un año desde la entrada en vigencia del presente reglamento, establezcan los mecanismos para atender este reglamento y las disposiciones de la Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales (Ley No. 8968) y su reglamento.

Transitorio IV

A más tardar el 30 de abril de 2023, la Oficina de Comunicación y Mercadeo deberá elaborar e implementar una estrategia de comunicación sobre los alcances de este Reglamento y de la Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales (Ley No. 8968) y su reglamento.

Así acordado por el Consejo Institucional, Sesión Ordinaria No. 3291, Artículo 14, del 30 de noviembre de 2022.

Publicado en fecha 7 de diciembre del 2022 mediante la Gaceta Número 1018-2022 de fecha 6 de diciembre del 2022