Aspectos relevantes de la ley

En primer lugar, es importante destacar que todas aquellas personas naturales o jurídicas que, realice actividades relativas o conexas al tratamiento de datos personales, se encuentran sujetas a las disposiciones de la Ley de Protección de Datos Personales.

Un aspecto prioritario para las empresas es garantizar que los derechos ARCO-POL (Acceso, Rectificación, Cancelación, Oposición, Portabilidad, Olvido y Limitación) de los titulares de los datos personales sean respetados. Esto implica la implementación de mecanismos accesibles y efectivos para que los titulares de los derechos,  los puedan ejercer cuando lo consideren necesario. Además, es fundamental que los titulares estén informados sobre quiénes tienen acceso a sus datos personales y dónde están siendo resguardados.

En segundo lugar, los sujetos antes mencionados deben considerar la figura del Delegado de Protección de Datos, que debe ser nombrado dentro de los seis meses posteriores a la entrada en vigor de la ley. Este delegado será responsable de gestionar y garantizar los derechos ARCO-POL, atender las solicitudes de los titulares y supervisar el cumplimiento de la normativa en materia de protección de datos.

En cuanto a las actividades relacionadas con los datos personales, podemos listar los los elementos más relevantes:

1. Avisos de Privacidad: que deben ser documentos claros y concisos que expliquen los términos y condiciones para el tratamiento de los datos personales. Estos pueden ser físicos o digitales y deben ser proporcionados al titular. En caso de estar disponibles en un sitio web, deben incluir el respectivo aviso sobre el uso de “cookies”. En caso de vulneraciones de seguridad, como ataques o filtraciones, las empresas tendrán la obligación de notificar a la Agencia de Ciberseguridad del Estado (ACE), a la Fiscalía General de la República y a los titulares afectados dentro de un plazo de 72 horas, indicando los datos comprometidos y las medidas tomadas
2. El consentimiento informado es otro aspecto central. Este puede ser otorgado de manera verbal, escrita o mediante signos inequívocos, dependiendo de la naturaleza de los datos. Sin embargo, para el tratamiento de datos sensibles, será imprescindible obtener el consentimiento por escrito del titular.

En lo relativo al tratamiento de datos personales, las empresas estarán obligadas a cumplir con los estándares establecidos por la ley y las políticas que emitirá la ACE. Estas políticas regularán aspectos operativos y serán de obligatorio cumplimiento, asegurando así la protección integral de los datos. Por otro lado, si las empresas realizan transferencias de datos a terceros, deberán suscribir un contrato que cumpla con las disposiciones legales, incluyendo las obligaciones establecidas por la ley. La ACE emitirá lineamientos adicionales para definir las formalidades y condiciones aplicables en este tipo de operaciones.

Finalmente, resulta crucial para las empresas y para el delegado conocer las infracciones previstas en la ley, con el fin de evitar sanciones económicas que oscilan entre uno y cuarenta salarios mínimos del sector comercio. Este conocimiento permitirá adoptar medidas preventivas y garantizar el cumplimiento normativo, protegiendo tanto a los titulares como a la institución.

Acciones a implementar por las empresas

Las empresas deberán ejecutar las acciones necesarias en los próximos seis meses para garantizar el cumplimiento integral de la Ley para Protección de Datos Personales. A continuación, se detallan las medidas prioritarias a realizar:

1. Nombramiento del Delegado de Protección de Datos: Es esencial designar a un Delegado capacitado en la normativa para liderar la implementación de los procesos de cumplimiento. Este delegado deberá ejecutar acciones concretas, como la gestión de los derechos ARCO-POL y la supervisión del tratamiento de los datos personales, además de fungir como enlace con las autoridades pertinentes.
2. Redacción y publicación del aviso de privacidad: elaborar un aviso de privacidad claro y conforme a la ley, detallando los términos y condiciones del tratamiento de los datos personales. Este documento deberá estar disponible en su página web, en medios digitales o en formato físico, asegurando su accesibilidad para todos los usuarios.
3. Establecimiento de mecanismos para el consentimiento informado: Es necesario definir e implementar un mecanismo efectivo para recopilar el consentimiento expreso de los titulares de los datos. Esto debe incluir procesos para consentimientos verbales, escritos o mediante signos inequívocos, según se determine.
4. Facilitación de los derechos ARCO-POL: Con el apoyo del Delegado, se deben diseñar e implementar los medios necesarios para que los titulares puedan ejercer sus derechos ARCO-POL de manera eficiente. Esto incluye la creación de procedimientos accesibles para la recepción y resolución de solicitudes. Nota: es necesario tomar en consideración futuras políticas que la ACE emita que estén relacionas a la forma de brindar el acceso a estos derechos.
5. Monitoreo continuo de nuevas políticas emitidas por la ACE: A través del Delegado, cada empresa deberá mantenerse al tanto de las políticas y normativas complementarias que emita la ACE. Estas directrices proporcionarán mayor claridad sobre procesos específicos y garantizarán un cumplimiento actualizado.

También sería beneficioso desarrollar programas de capacitación para su personal, enfocándose en el manejo adecuado de datos personales y en las disposiciones de la nueva ley.

Estas acciones permitirán a las empresas alinearse con las exigencias de la Ley para la Protección de Datos Personales, evitando posibles infracciones o incumplimientos que puedan derivar en sanciones económicas o legales que afecten sus operaciones.