Logo La República

Jueves, 18 de abril de 2024





IMPACTO LEGAL

¿Qué hacer ante pérdida de privacidad y cómo prevenirla?

Vivian Gazel contact.costarica@ariaslaw.com | Lunes 08 mayo, 2017




La mayoría de las empresas se deben estar preguntado ¿qué medidas puedo tomar para prevenir o mitigar la posibilidad de que una situación así suceda en mi empresa? A continuación, le brindamos información técnica clave para la toma de decisiones.

Ante los acontecimientos relacionados con la filtración de llamadas, es importante reconocer que estas filtraciones son una violación a su intimidad, a la privacidad de las comunicaciones y al deber de confidencialidad de los datos personales.

Por un lado, la Ley General de Telecomunicaciones obliga a los proveedores de servicios de telecomunicaciones a garantizar el secreto de las comunicaciones, el derecho a la intimidad y la protección de los datos de carácter personal de los usuarios finales. Para esto, es necesario que de las empresas de la industria implementen los sistemas y medidas necesarias.

Por otro lado, la Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales establece que la persona responsable y quienes intervengan en cualquier fase del tratamiento de datos personales (entiéndase comprendidos dentro de esta definición a los representantes de servicio al cliente) están obligadas al secreto profesional o funcional, aun después de finalizada su relación con la base de datos, así como la obligación de resguardar datos y asegurar su confidencialidad.

¿Qué puede hacer un ciudadano si le pasa?

Las leyes costarricenses ofrecen varias opciones para que los usuarios puedan ejercer los derechos que les asisten en materia de privacidad de datos y protección de su intimidad.

1. Reclamo ante su operador: La persona afectada o por cualquier persona puede presentar un reclamo por la violación al secreto de las comunicaciones, el derecho a la intimidad y la protección de los datos de carácter personal. El procedimiento para presentar el reclamo podría variar entre operadores, pero en definitiva deberá ser un medio de atención gratuito y efectivo, donde al interesado se le proporcione un número de reclamo bajo el cual podrá monitorear el estado del reclamo.

El operador deberá resolver en un plazo máximo de diez días naturales. En caso de (i) resolución negativa; (ii) insuficiente; o (iii) ausencia de resolución, el reclamante podrá acudir a la SUTEL.

2. Reclamo ante la SUTEL: En caso que alguno de los supuestos (i), (ii) o (iii) anteriores se dé, el reclamante podrá acudir a la SUTEL para que tramite, investigue y resuelva el reclamo.

La SUTEL deberá dictar la resolución final dentro de los 15 días hábiles posteriores al recibo del expediente. Dicha resolución dará las pautas para que se corrijan las anomalías y, cuando corresponda, ordenará resarcir los daños y perjuicios en sede administrativa. Asimismo, si de la reclamación se desprenden responsabilidades penales para cualquier involucrado, la SUTEL deberá denunciarlo al Ministerio Público.

Es importante considerar que en los reclamos presentados ante la SUTEL, le corresponde al proveedor la carga de la prueba.

La acción para reclamar se vence en un plazo de dos meses, contado desde que sucedió de la falta o desde que esta se conoció.

3. Reclamo ante PRODHAB:  Un usuario puede acudir a la Agencia de Protección de Datos de los Habitantes (PRODHAB) a presentar la solicitud de inicio de un procedimiento de protección de derechos por la contravención a las reglas o principios para la protección de los datos personales.  En los casos en los que se trate de bases de datos que se encuentren dentro del ámbito de aplicación de la Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales, la PRODHAB puede iniciar dicho procedimiento de oficio.

El formulario que debe ser completado y presentado ante esta Autoridad para el inicio de un procedimiento de protección de derechos, es sencillo y puede accesarse desde la página web de la Agencia. 
La PRODHAB resolverá el procedimiento en el período de un mes, contado a partir de la resolución de admisibilidad.  Estableciendo en ese documento si existió, o no, violación a la protección de los datos personales y en caso afirmativo, la imposición de las sanciones correspondientes.

¿Cómo mitigar que pase en su empresa?

A continuación, hemos detallado unas recomendaciones generales que pueden resultar de mucha utilidad:

A. Elaborar políticas de privacidad obligatorias y exigibles al interior de la organización.
B. Designar un responsable para cada base de datos que deba velar por el cumplimiento de las políticas internas.
C. Capacitar al personal sobre las obligaciones en materia de protección de datos personales y confidencialidad de la información.
D. Monitorear el cumplimiento de las políticas de privacidad.
E. Instaurar procedimientos para responder dudas y quejas de los titulares de los datos personales.
F. Conservar las grabaciones de servicio al cliente únicamente por el periodo que sea requerido para monitorear la calidad del servicio.
G. Habilitar una funcionalidad que les permita llevar un registro de quién accede a la información y qué hace con ella.

¿A qué podría estar expuesta su empresa?

El marco regulatorio de telecomunicaciones establece como una infracción muy grave (i) utilizar la información de los usuarios finales para fines no autorizados en la ley; y (ii) violar la privacidad o intimidad de las comunicaciones de los usuarios finales.

Las sanciones asociadas dependerán de la gravedad de la infracción y los efectos que estas hayan causado. Específicamente, las infracciones muy graves serán sancionadas mediante una multa de entre cero 0,5% y hasta 1% de los ingresos brutos del operador o proveedor obtenidos durante el período fiscal anterior.

Asimismo, cuando a juicio de la SUTEL, la infracción revista de una gravedad particular, esta podrá imponer como sanción una multa de 1% y hasta un 10% de (i) las ventas anuales obtenidas durante el ejercicio fiscal anterior; o (ii) el valor de los activos.

De igual manera, a nivel de protección de datos personales, es considerado una falta grave transmitir o de cualquier otro modo emplear datos personales para una finalidad distinta de la autorizada por el titular de la información, cuando se trate de bases de datos que sean susceptibles de inscripción ante la Autoridad. 

Así las cosas, es importante que los usuarios conozcan bien los medios con los que cuentan para protegerse en casos de ver vulnerada su privacidad y/o sus datos personales y, que las empresas tomen este tipo de casos como ejemplo para mejorar los procedimientos internos para el manejo de información confidencial.  Recuerde siempre buscar la asesoría legal de un experto en la materia para determinar cuál es la opción para su resolver su caso y así obtener los mejores resultados.  

Vivian Gazel
Vivian.gazel@ariaslaw.com
Valeria Agüero
Valeria.aguero@ariaslaw.com
Abogadas asociadas
Arias Law
4036 2800
http://ariaslaw.com





© 2024 Republica Media Group todos los derechos reservados.