VyperEntrenamiento Volver al chat
Entrenamiento/Cumplimiento comercial y del consumidor

Protección de datos personales

PRODHABActualizado 2026-06-14

Protección de datos personales

Descargo: esta es información general de orientación de trámites, no asesoría legal, contable ni tributaria. La normativa de protección de datos y los procedimientos de la PRODHAB pueden actualizarse. Antes de actuar, confirmá siempre en el sitio oficial de la PRODHAB (https://www.prodhab.go.cr) y, ante dudas sobre el tratamiento de datos de tu empresa, consultá a un profesional en derecho.

1. Qué es / por qué importa

La Ley N° 8968 — Ley de Protección de la Persona frente al tratamiento de sus datos personales (vigente desde su publicación en La Gaceta N° 170 del 5 de setiembre de 2011) y su Reglamento (Decreto Ejecutivo N° 37554-JP, reformado por el Decreto Ejecutivo N° 40008-JP del 19 de julio de 2016) regulan cómo cualquier persona física o jurídica, pública o privada, puede recolectar, almacenar, usar y transferir datos personales de las personas en Costa Rica.

El derecho que protege se llama autodeterminación informativa (art. 4): el derecho fundamental de cada persona a controlar el flujo de información que la concierne. En la práctica, si tu empresa guarda datos de clientes, proveedores, empleados o prospectos (nombre, cédula, teléfono, correo, historial de compras, etc.), estás haciendo tratamiento de datos personales y la Ley 8968 te aplica.

Por qué le importa a una empresa:

  • Toda empresa maneja datos: bases de clientes, formularios web, CRM, listas de WhatsApp/correo, expedientes de personal.
  • La ley exige consentimiento informado, seguridad de la información y respeto a los derechos de las personas titulares.
  • Algunas bases de datos —las que se administran con fines de distribución, difusión o comercialización— deben además inscribirse ante la PRODHAB y pagar un canon anual.
  • El incumplimiento expone a multas de hasta 30 salarios base y, en casos graves, a la suspensión del funcionamiento de la base de datos.

La PRODHAB (Agencia de Protección de Datos de los Habitantes) es el órgano de desconcentración máxima adscrito al Ministerio de Justicia y Paz (art. 15) que vela por el cumplimiento de la ley, inscribe bases de datos, atiende denuncias y aplica sanciones.

Esta obligación es independiente y adicional a otras: inscripción tributaria ante Hacienda (ver 04-inscripcion-hacienda-tributcr.md), protección al consumidor ante el MEIC (ver 24-proteccion-al-consumidor.md) y obligaciones laborales (ver 19-codigo-trabajo-fundamentos.md, que también implica manejar datos de personal). El deber de protección al consumidor (Ley 7472) y la protección de datos (Ley 8968) se cruzan: por ejemplo, en publicidad, bases de clientes y manejo de información de contacto.

2. Quién está obligado y excepciones

Aplica a (art. 2)

La ley se aplica a los datos personales que figuren en bases de datos automatizadas o manuales, de organismos públicos o privados, y a todo tratamiento posterior de esos datos. Es decir: prácticamente cualquier empresa que recolecte y use datos personales debe cumplir los principios, derechos y deberes de seguridad de la ley, aunque su base de datos no requiera inscripción.

¿Quién debe inscribir su base de datos ante la PRODHAB? (art. 21)

Solo deben inscribirse las bases de datos —públicas o privadas— administradas con fines de distribución, difusión o comercialización. La inscripción no implica el trasbase o la transferencia de los datos a la PRODHAB.

En términos prácticos, debe inscribirse quien:

  • Vende, comercializa o cede datos personales a terceros (data brokers, listas de mercadeo, burós, etc.).
  • Distribuye o difunde datos personales como parte de su modelo de negocio.

Excepciones a la inscripción (no a la ley)

  • Bases de datos internas o domésticas: no se inscriben ante la PRODHAB (art. 44, párrafo adicionado por Decreto 40008-JP). Una empresa que mantiene un CRM de sus propios clientes para gestionarlos internamente —sin venderlos ni difundirlos— normalmente no inscribe la base, pero sí debe cumplir los principios, los derechos de los titulares y las medidas de seguridad. Confirmado por el art. 21 Ley 8968 (SCIJ/PGR) y art. 44 Reglamento (Decreto 40008-JP, SCIJ/PGR). Ante dudas del caso concreto, consultá a la PRODHAB directamente.
  • Datos de comportamiento crediticio: se rigen por las normas del Sistema Financiero Nacional (art. 9.4 Ley 8968). Las bases de entidades financieras supervisadas por SUGEF tienen tratamiento particular establecido en la normativa del SUGEF; el art. 9.4 Ley 8968 las exceptúa expresamente del régimen general de datos sensibles. Confirmado por el texto vigente de la Ley 8968 (SCIJ/PGR). Los detalles específicos de SUGEF deben consultarse en https://www.sugef.fi.cr.
  • Uso exclusivamente personal, familiar o doméstico: fuera del ámbito comercial.

Regla práctica: aunque tu base no requiera inscripción, sí estás obligado a pedir consentimiento informado, a mantener medidas de seguridad y a atender los derechos de acceso, rectificación y eliminación. La inscripción es un requisito adicional solo para quienes distribuyen, difunden o comercializan datos. Ante la duda de si tu base debe inscribirse, consultá directamente a la PRODHAB.

3. Requisitos / documentos

A. Para cumplir la ley (toda empresa que trate datos)

  • Cláusula / mecanismo de consentimiento informado (art. 5) que indique, de modo expreso, preciso e inequívoco: existencia de la base de datos, fines de la recolección, destinatarios, carácter obligatorio o facultativo de las respuestas, tratamiento que se dará a los datos, consecuencias de negarse, posibilidad de ejercer derechos, e identidad y dirección del responsable. El consentimiento debe constar por escrito (físico o electrónico) y poder revocarse de la misma forma.
  • Medidas de seguridad administrativas, físicas y lógicas (arts. 10 de la Ley; 34 a 37 del Reglamento).
  • Protocolos mínimos de actuación (arts. 12 de la Ley; los protocolos pueden inscribirse ante la PRODHAB para presumir cumplimiento, iuris tantum).
  • Procedimiento interno para atender solicitudes de acceso, rectificación y eliminación en 5 días hábiles (art. 7).

A.1 Principios que toda empresa debe conocer y aplicar

La Ley 8968 y su Reglamento establecen principios de obligatorio cumplimiento para cualquier responsable de datos, esté o no inscrito:

Principio Qué implica en la práctica Base legal
Consentimiento Obtener autorización expresa, informada y por escrito antes de recolectar datos; registrar y conservar la evidencia de ese consentimiento Art. 5 Ley
Finalidad Usar los datos solo para el fin específico declarado al momento de recolectarlos; no usar un número de WhatsApp capturado para cotización con fines de publicidad no autorizada Art. 6.4 Ley
Calidad Los datos deben ser exactos, actuales y adecuados; eliminar los que dejen de ser pertinentes Art. 6 Ley
Proporcionalidad Recopilar solo los datos estrictamente necesarios para el fin declarado; no pedir cédula si solo necesitás el correo Arts. 5–6 Ley
Temporalidad No conservar datos más de 10 años cuando puedan afectar al titular (salvo norma especial); si se guardan más, desasociarlos Art. 6 Ley
Seguridad Adoptar medidas técnicas y organizativas proporcionales al riesgo: control de acceso, cifrado, copias de respaldo, capacitación de personal Art. 10 Ley; arts. 34–37 Reglamento
Confidencialidad Todos los que accedan a la base deben guardar secreto, incluso después de terminar la relación laboral o contractual Art. 11 Ley
Prohibición de transferencia No ceder datos a terceros sin consentimiento expreso del titular; incluye enviar la base a un proveedor de email marketing sin autorización Art. 14 Ley

A.2 Derechos ARCO: qué son y cómo atenderlos

Los titulares de los datos tienen derechos de ejercicio gratuito que toda empresa debe poder atender en 5 días hábiles desde que se presenta la solicitud (art. 7 Ley 8968). Negarse injustificadamente a atenderlos es falta grave.

Derecho Qué puede pedir el titular Obligación del responsable
Acceso Confirmar si la empresa tiene datos suyos; obtenerlos en forma clara y completa, sin codificaciones Proporcionar copia de los datos en formato comprensible
Rectificación Corregir datos incompletos, inexactos o desactualizados Actualizar o corregir y notificar a quien se les hayan cedido
Cancelación / Eliminación Eliminar datos tratados con infracción a la ley o que ya cumplieron su fin Suprimir los datos de la base y de cualquier cesionario si aplica
Oposición / Revocación del consentimiento Revocar el consentimiento otorgado; oponerse al tratamiento en cualquier momento Cesar el tratamiento y eliminar los datos cuando no exista otra base legal

Cómo implementarlo: habilitá un canal claro para estas solicitudes (correo electrónico, formulario web, WhatsApp oficial). Asigná a una persona responsable, documentá cada solicitud y su resolución, y conservá el registro por si la PRODHAB lo requiere. No hace falta que el titular cite la ley; si pide "borrar mis datos" o "qué información tienen de mí", aplica el derecho.

A.3 Datos sensibles: régimen especial

Los datos sensibles (art. 3.e Ley 8968) son los que pertenecen al fuero íntimo de la persona:

  • Origen racial o étnico
  • Opiniones políticas
  • Convicciones religiosas o filosóficas
  • Condición socioeconómica
  • Información biomédica o genética
  • Estado de salud
  • Vida y orientación sexual

Regla general para entes privados (art. 9.1): el tratamiento de datos sensibles está prohibido, salvo en excepciones tasadas por la ley (consentimiento explícito del titular, interés vital del titular cuando esté físicamente impedido, tratamiento por entidades sin fines de lucro en ámbito legítimo de su actividad, datos que el propio titular hizo públicos, necesidad de reconocimiento/ejercicio/defensa de un derecho en procedimiento judicial). Tratarlos sin amparo legal es falta gravísima.

Ejemplo práctico: si tu empresa de salud o de seguros maneja expedientes médicos, necesitás un fundamento legal específico (consentimiento expreso o habilitación legal) para cada tipo de dato sensible que recolectés. Un consentimiento genérico de "acepto términos y condiciones" no es suficiente para datos de salud.

B. Protocolos mínimos de seguridad: qué debe tener tu empresa

El Reglamento (arts. 34–37) establece que los responsables deben documentar y aplicar medidas en tres capas:

1. Medidas administrativas:

  • Política interna de privacidad y protección de datos
  • Definición de roles: quién es el responsable (toma decisiones sobre el tratamiento) y quiénes son los encargados (procesan los datos por instrucción del responsable)
  • Procedimiento escrito para atender derechos ARCO
  • Capacitación del personal que accede a los datos
  • Protocolo de respuesta ante brechas de seguridad

2. Medidas físicas:

  • Control de acceso físico a servidores, archivos y equipos con datos
  • Inventario de dispositivos que almacenan datos personales
  • Disposición segura de documentos físicos (trituración, no basura común)

3. Medidas lógicas / técnicas:

  • Contraseñas robustas y autenticación de doble factor en sistemas con datos personales
  • Cifrado de bases de datos y comunicaciones con datos sensibles
  • Copias de respaldo periódicas
  • Registro de accesos a la base de datos (log de auditoría)
  • Actualizaciones de software para evitar vulnerabilidades

En datos sensibles, las medidas de seguridad deben revisarse al menos una vez al año (art. 37 Reglamento). Ante una brecha de seguridad, debés actualizar inmediatamente las medidas y, si corresponde, notificar a los titulares afectados.

C. Para inscribir una base de datos ante la PRODHAB (art. 44 del Reglamento)

Aplica solo a bases de distribución, difusión o comercialización (art. 21). La persona física o jurídica propietaria debe presentar:

  • a) Solicitud del propietario, con firma autenticada notarialmente o confrontada. Si es persona jurídica, personería jurídica vigente (expedida con máximo un mes).
  • b) Designación del responsable de la base de datos ante la PRODHAB y ante terceros, con medio y lugar de contacto, y carta de aceptación del cargo.
  • c) Identificación de los encargados, con datos de contacto y carta de aceptación.
  • d) Nombres de las bases de datos y su ubicación física.
  • e) Especificación de las finalidades y usos previstos.
  • f) Tipos de datos personales sometidos a tratamiento.
  • g) Procedimientos de obtención del consentimiento informado.
  • h) Descripción técnica de las medidas de seguridad utilizadas.
  • i) Destinatarios de transferencias de datos.
  • j) Copia de los protocolos mínimos de actuación.
  • k) Listado de contratos globales y ventas de ficheros vigentes, con su estimación pecuniaria.
  • m) Fax o correo electrónico para notificaciones.

La descripción detallada de las medidas de seguridad se considera información no divulgada (art. 36 del Reglamento); a la PRODHAB se le notifican los protocolos mínimos de seguridad con que cuenta el responsable.

4. Paso a paso del trámite (inscripción de base de datos ante la PRODHAB)

Aplica solo a bases administradas con fines de distribución, difusión o comercialización (art. 21).

  1. Determiná si tu base debe inscribirse. Si distribuís, difundís o comercializás datos → inscribís. Si es uso interno/doméstico → no inscribís, pero cumplís el resto de la ley. Ante la duda, consultá a la PRODHAB.
  2. Preparate internamente: definí responsable y encargados, documentá finalidades y tipos de datos, redactá tu protocolo mínimo de actuación y de seguridad, y armá tu mecanismo de consentimiento informado.
  3. Reuní los documentos del art. 44 (sección 3.B), incluida la solicitud con firma autenticada y la personería jurídica vigente.
  4. Presentá la solicitud de inscripción ante la PRODHAB. Verificá en el sitio oficial (https://www.prodhab.go.cr) el canal vigente (sistema en línea / plataforma o presentación según corresponda). Para consultas previas podés escribir a info@prodhab.go.cr o llamar al 2234-0189.
  5. Revisión por la PRODHAB: la Agencia cuenta con 20 días hábiles para verificar requisitos de forma y fondo (art. 48 del Reglamento).
  6. Subsanación (si aplica): si falta algo, la PRODHAB previene y otorga 10 días hábiles para subsanar; vencido el plazo sin cumplir, se archiva la gestión (art. 49).
  7. Pago del canon anual: cumplidos los requisitos, se otorgan 10 días hábiles para cancelar el canon anual (USD $200) (art. 50). Si no se paga, se archiva.
  8. Resolución de inscripción: el Director dicta la resolución dentro de los 10 días hábiles siguientes al pago (art. 51). Se asigna un código a la base de datos (art. 52).
  9. Mantené la inscripción actualizada: cualquier modificación a la información inscrita debe comunicarse a la PRODHAB (art. 53 y ss.).

La inscripción no exime del cumplimiento del resto de obligaciones de la Ley y el Reglamento (art. 51).

5. Costos, tarifas, plazos y vigencias

Salario base 2026: ₡462.200 (cargo de auxiliar judicial I / referencia legal de multas), fijado por el Poder Judicial y sin variación respecto de años anteriores (mismo monto desde 2021). Confirmado en fuente oficial del Poder Judicial. Las multas de la Ley 8968 se calculan en múltiplos de este salario base.

Cánones ante la PRODHAB

Concepto Monto Base legal Notas
Canon anual de regulación y administración USD $200 por año (al tipo de cambio de venta de referencia del BCCR del día de pago) Art. 33 Ley; arts. 78–79 Reglamento Solo bases que deben inscribirse. Pago del 1 al 31 de enero de cada año.
Pago proporcional Proporción de los $200 Art. 80 Reglamento Cuando el tratamiento inicia después de la fecha de pago anual; plazo de 1 mes calendario.
Canon por venta de datos del fichero USD $1 por cada venta de datos de una persona registrada legítimamente Art. 34 Ley (rango $0,25–$1); art. 81 Reglamento (fija $1) Se paga dentro de los primeros 10 días hábiles del mes siguiente a la venta.
Canon por contratos globales (bajo consumo) 8% del precio contractual (1 a 500.000 consultas) Art. 82 Reglamento (ref. Decreto 40008-JP)
Canon por contratos globales (consumo medio) 5,5% del precio contractual (500.001 a 999.000 consultas) Art. 82 Reglamento
Canon por contratos globales (alto consumo) 3% del precio contractual (1.000.000 de consultas en adelante) Art. 82 Reglamento
Intereses moratorios Según resolución vigente de la Dirección General de Hacienda (Código de Normas y Procedimientos Tributarios) Art. 83 Reglamento Corren desde el vencimiento hasta el pago efectivo.

Plazos del trámite

Etapa Plazo Base legal
Verificación de requisitos por la PRODHAB 20 días hábiles Art. 48 Reglamento
Subsanación de defectos 10 días hábiles Art. 49 Reglamento
Pago del canon tras cumplir requisitos 10 días hábiles Art. 50 Reglamento
Resolución de inscripción tras el pago 10 días hábiles Art. 51 Reglamento
Pago del canon anual recurrente 1 al 31 de enero de cada año Art. 79 Reglamento
Atención de solicitudes de acceso/rectificación/eliminación (todo responsable) 5 días hábiles Art. 7 Ley
Conservación máxima de datos que puedan afectar al titular 10 años desde el hecho (salvo norma especial) Art. 6 Ley

Los montos en dólares y los plazos provienen del texto vigente de la Ley y el Reglamento (SCIJ/PGR, verificado 2026-06-14). El canal de inscripción en línea, formularios actualizados y cuentas bancarias específicas para el pago del canon deben confirmarse directamente en el sitio de la PRODHAB (https://www.prodhab.go.cr) o por correo a info@prodhab.go.cr, ya que el sitio no permitió acceso directo al verificar esta información.**

6. Obligaciones recurrentes

Para toda empresa que trate datos personales (esté o no inscrita):

  • Pedir y conservar el consentimiento informado (art. 5), revocable de la misma forma en que se otorgó.
  • Principio de calidad de la información (art. 6): mantener los datos actuales, veraces, exactos y adecuados al fin; eliminar los que dejen de ser pertinentes; no conservar más de 10 años datos que puedan afectar al titular (salvo norma especial; si se conservan más, deben desasociarse del titular).
  • Principio de finalidad (art. 6.4): usar los datos solo para los fines determinados, explícitos y legítimos informados; no tratarlos de forma incompatible con esos fines.
  • Atender derechos de las personas en 5 días hábiles y de forma gratuita (art. 7): acceso, rectificación, actualización, cancelación/eliminación y consentir la cesión.
  • Mantener y actualizar medidas de seguridad (arts. 10 Ley; 34–37 Reglamento) ante cambios tecnológicos, vulneraciones o cambios en el nivel de riesgo. En datos sensibles (cuando la ley lo permita), revisar las medidas al menos una vez al año (art. 37 Reglamento).
  • Deber de confidencialidad (art. 11): el responsable y todo el personal que intervenga están obligados al secreto, aun después de terminada la relación con la base.
  • No transferir datos sin consentimiento del titular (art. 14), incluida la transferencia a terceros países (art. 31.f).

Para empresas con base inscrita, además:

  • Pagar el canon anual de USD $200 entre el 1 y el 31 de enero (arts. 78–79 Reglamento).
  • Pagar los cánones por venta de datos / contratos globales cuando correspondan (arts. 81–82 Reglamento).
  • Mantener actualizada la información de la inscripción ante cualquier modificación (art. 53 Reglamento).
  • Conservar inscritos los protocolos de actuación y sus modificaciones (art. 12 Ley).

6.5 Errores más comunes y cómo evitarlos

Esta sección recoge los patrones de incumplimiento más frecuentes identificados por la PRODHAB y por bufetes especializados en Costa Rica, con base en resoluciones y denuncias documentadas.

Error 1: Usar los datos de clientes para marketing sin consentimiento específico

Qué pasa: una empresa recolecta el teléfono o correo de un cliente para una cotización o para facturación, y luego le manda promociones sin haberle pedido autorización para eso.

Por qué es grave: el principio de finalidad (art. 6.4) prohíbe usar datos para un fin distinto del declarado al momento de recolectarlos. Usar datos de cotización para enviar publicidad es falta grave (art. 30).

Cómo evitarlo: al capturar el contacto, incluí una casilla separada y explícita del tipo "Acepto recibir información comercial y promociones por WhatsApp/correo". Esa casilla debe estar desmarcada por defecto y ser voluntaria. Guardá la evidencia del consentimiento.

Error 2: Agregar contactos a grupos de WhatsApp sin su autorización

Qué pasa: la empresa crea un grupo de WhatsApp con clientes o prospectos para enviar ofertas, sin haber obtenido consentimiento previo de cada participante.

Por qué es grave: agregar a alguien a un grupo expone su número a todos los demás integrantes. Eso constituye una cesión no autorizada de datos a terceros (art. 14 Ley), que es falta grave y puede constituir falta gravísima si se involucran datos sensibles.

Cómo evitarlo: usá listas de difusión (el contacto recibe el mensaje individualmente, sin ver los demás); o, si usás un grupo, obtenés consentimiento expreso de cada participante antes de agregarlo.

Error 3: No tener un mecanismo de opt-out (baja) para comunicaciones

Qué pasa: la empresa envía correos o mensajes de WhatsApp masivos sin indicar cómo darse de baja.

Por qué es grave: el consentimiento es revocable en cualquier momento (art. 5.2). Si no ofrecés un mecanismo de revocación equivalente al de otorgamiento, incumplís la ley. Además, en plataformas como WhatsApp Business y Meta, el abuso genera bloqueos de cuenta.

Cómo evitarlo: incluí siempre al final de tus mensajes masivos algo como "Si no deseás seguir recibiendo este tipo de mensajes, respondé STOP o escribinos para eliminarte de la lista." Atendé esas solicitudes en máximo 5 días hábiles.

Error 4: Compartir o difundir datos filtrados / hackeados

Qué pasa: ante una filtración de datos (por ciberataque o exposición pública), personas o empresas reenvían esa información creyendo que "ya es pública".

Por qué es grave: la directora de la PRODHAB, Elizabeth Mora, aclaró expresamente que los datos filtrados ilegalmente no se convierten en datos públicos; siguen siendo datos personales protegidos. Recolectar, almacenar, transmitir o usar esos datos sin consentimiento viola el art. 30 (falta grave) y puede constituir delito informático bajo el art. 196 bis del Código Penal si hay beneficio propio (Fuente: La Nación, 2022).

Cómo evitarlo: no uses, guardés ni reenvíes bases de datos cuyo origen desconocés o que llegaron por filtración. Ante dudas, consultá a un abogado.

Error 5: Retener datos de clientes más allá del plazo permitido

Qué pasa: la empresa conserva listas de clientes o de prospectos indefinidamente, incluso de personas que nunca les compraron o que solicitaron ser eliminadas.

Por qué es grave: la ley limita la retención de datos a 10 años cuando puedan afectar al titular (art. 6), y ordena eliminar los datos que ya no sean pertinentes para el fin. Ignorar solicitudes de eliminación es falta grave (art. 30).

Cómo evitarlo: implementá una política de retención de datos con fechas de revisión. En la práctica: si un prospecto no se convirtió en cliente en 2 años y nunca dio consentimiento para seguir en tu base, eliminalo.

Error 6: No documentar el consentimiento

Qué pasa: la empresa sí obtiene el consentimiento verbalmente o por medios no rastreables, pero no puede demostrar que lo obtuvo.

Por qué es grave: la carga de la prueba del consentimiento recae sobre el responsable de la base. Si alguien denuncia y vos no podés demostrar que te autorizó, la PRODHAB puede sancionar.

Cómo evitarlo: usá formularios con casillas de consentimiento (guardá el registro), correos electrónicos de confirmación de opt-in, o cualquier otro mecanismo que deje evidencia. En CRMs como HubSpot, hay funcionalidades de registro de consentimiento integradas.

Error 7: Contratar proveedores sin clausurar la protección de datos

Qué pasa: la empresa contrata un proveedor de email marketing, un CRM en la nube o un call center externo, y le cede la base de clientes sin un contrato que regule el tratamiento.

Por qué es grave: quien recibe la base y la trata es un encargado; el responsable (tu empresa) sigue siendo responsable ante los titulares por lo que el encargado haga con los datos. Ceder datos sin contrato equivale a ceder datos sin consentimiento (art. 14), que es falta grave.

Cómo evitarlo: incluí en los contratos con proveedores una cláusula de protección de datos que especifique: finalidad del tratamiento, prohibición de usar los datos para fines propios, obligaciones de seguridad y confidencialidad, y qué pasa con los datos al terminar el contrato.

7. Sanciones por incumplimiento

Las multas se calculan en salarios base del cargo de auxiliar judicial I (₡462.200 en 2026), sin perjuicio de las sanciones penales correspondientes (arts. 28–31 de la Ley).

Tipo de falta Multa Equivalente aproximado 2026 (₡462.200) Base legal
Falta leve Hasta 5 salarios base Hasta ≈ ₡2.311.000 Art. 28.a
Falta grave De 5 a 20 salarios base ≈ ₡2.311.000 a ₡9.244.000 Art. 28.b
Falta gravísima De 15 a 30 salarios base + suspensión del fichero de 1 a 6 meses ≈ ₡6.933.000 a ₡13.866.000 Art. 28.c

Los equivalentes en colones son cálculos ilustrativos con el salario base 2026; el monto exacto lo fija la PRODHAB según la falta.

Faltas leves (art. 29): recolectar datos sin dar suficiente y amplia información a la persona (incumplir el consentimiento informado del art. 5); recolectar, almacenar o transmitir datos por medios inseguros.

Faltas graves (art. 30): tratar datos sin consentimiento informado y expreso; transferir datos a terceros violando el capítulo III; usar datos para una finalidad distinta de la autorizada; negarse injustificadamente a dar acceso; negarse injustificadamente a eliminar o rectificar datos solicitados.

Faltas gravísimas (art. 31): tratar datos sensibles (entes privados) según el art. 3; obtener datos por engaño, violencia o amenaza; revelar información cuyo secreto se está obligado a guardar; dar a un tercero información falsa o distinta; tratar datos sin estar inscrito ante la PRODHAB cuando se está obligado (art. 21); transferir datos a terceros países sin consentimiento de los titulares.

Bases de datos públicas (art. 32): la PRODHAB dicta resolución con las medidas para que cesen o se corrijan los efectos de la falta, sin perjuicio de la responsabilidad penal.

Sanciones penales adicionales: la Ley 8968 no elimina la responsabilidad penal. El art. 196 bis del Código Penal (modificado por la misma Ley 8968) tipifica como delito la divulgación de datos personales con fines de lucro. La PRODHAB puede referir casos a la vía penal de forma independiente a la administrativa (Fuente: declaraciones de Elizabeth Mora, directora PRODHAB, La Nación 2022).

Vía de denuncia (arts. 24–27): cualquier persona con un derecho subjetivo o interés legítimo puede denunciar ante la PRODHAB. El responsable tiene 3 días hábiles para pronunciarse; la PRODHAB debe dictar el acto final a más tardar un mes después de la denuncia. Cabe recurso de reconsideración.

Cómo denunciar ante la PRODHAB:

Contexto de capacidad operativa: según El Financiero (2024), la PRODHAB ha operado con recursos limitados y rezago en resoluciones. Sin embargo, la agencia ha estado publicando gradualmente sus resoluciones disociadas para proteger datos de las partes. La limitación de recursos no elimina el riesgo legal para las empresas; la PRODHAB puede y ha aplicado sanciones, incluida la suspensión de bases de datos (Fuente: El Financiero, 2024).

8. Preguntas frecuentes

¿Tengo que inscribir mi base de datos de clientes ante la PRODHAB? Solo si la administrás con fines de distribución, difusión o comercialización (art. 21). Si llevás un CRM de tus propios clientes para uso interno —sin venderlos ni difundirlos a terceros— normalmente no inscribís la base, pero sí tenés que cumplir el resto de la ley: consentimiento informado, seguridad y derechos de las personas. Ante la duda sobre tu caso, consultá directamente a la PRODHAB.

¿Cuánto cuesta inscribir una base de datos? El canon anual de regulación y administración es de USD $200 (al tipo de cambio de venta del BCCR del día de pago), y se cancela cada año entre el 1 y el 31 de enero. Si vendés datos, hay cánones adicionales por venta y por contratos globales (ver sección 5).

¿Qué son datos sensibles y puedo usarlos? Son los del fuero íntimo: origen racial o étnico, opiniones políticas, convicciones religiosas o filosóficas, condición socioeconómica, información biomédica o genética, salud, vida y orientación sexual, entre otros (art. 3.e). Nadie está obligado a darlos y, por regla, su tratamiento por entes privados está prohibido (art. 9.1); tratarlos sin amparo legal es falta gravísima. Hay excepciones tasadas (interés vital, consentimiento, fines médicos, etc.).

¿En cuánto tiempo tengo que responder si un cliente me pide ver, corregir o borrar sus datos? En 5 días hábiles y gratis (art. 7). Negarte injustificadamente es falta grave.

¿Necesito el consentimiento por escrito? Sí. El consentimiento debe ser expreso y constar por escrito, físico o electrónico, y la persona debe poder revocarlo de la misma forma (art. 5.2). Antes de pedir los datos tenés que informar finalidad, destinatarios, tratamiento y los derechos que le asisten.

Mando promociones por WhatsApp y correo a mi lista. ¿Eso es tratamiento de datos? Sí. Recolectar y usar teléfonos y correos para mercadeo es tratamiento de datos personales. Necesitás consentimiento informado para esa finalidad, ofrecer un mecanismo de revocación/opt-out y respetar la finalidad original. Usar los datos para un fin distinto del autorizado es falta grave. (Esto se cruza con las reglas de protección al consumidor y publicidad; ver 24-proteccion-al-consumidor.md.)

¿Qué medidas de seguridad me exigen? Medidas administrativas, físicas y lógicas proporcionales a la sensibilidad de los datos, el desarrollo tecnológico, las consecuencias de una vulneración y el número de titulares (arts. 34–35 Reglamento). Debés tener inventario tecnológico, análisis de riesgos y un plan de medidas, y actualizarlas ante cambios o brechas (arts. 36–37). En datos sensibles, revisión anual.

¿Qué pasa si no cumplo? Multas de hasta 5 salarios base (leve), 5 a 20 (grave) o 15 a 30 salarios base + suspensión del fichero de 1 a 6 meses (gravísima), sin perjuicio de lo penal (arts. 28–31). Con el salario base 2026 (₡462.200), una falta gravísima puede superar los ₡13 millones.

¿La PRODHAB se queda con mis datos cuando inscribo la base? No. La inscripción no implica el trasbase ni la transferencia de los datos a la PRODHAB (art. 21). Vos seguís siendo el responsable de la base.

¿Puedo comprar una base de datos de contactos para hacer mercadeo? En general, no, a menos que: (a) la base sea una inscrita ante PRODHAB con fines de comercialización y el contrato cumpla con los requisitos legales; y (b) las personas en esa base hayan dado consentimiento específico para ser contactadas por terceros con fines comerciales. Comprar listas de dudosa procedencia y mandarles publicidad sin consentimiento es falta grave (art. 30). El riesgo reputacional —ser reportado como spam en WhatsApp o correo— se suma al legal.

Un empleado que se fue tiene acceso a nuestra base de clientes. ¿Qué debemos hacer? El deber de confidencialidad (art. 11) subsiste incluso después de terminada la relación laboral. En el contrato de trabajo y en el protocolo interno debés incluir cláusulas de confidencialidad de datos. Ante una salida, revocar de inmediato el acceso digital a sistemas con datos personales. Si el exempleado usa o difunde la información, podés denunciar ante la PRODHAB y en la vía penal.

¿Qué pasa si tenemos datos de clientes de otro país (por ejemplo, los atendemos online)? Si tratás datos de personas fuera de Costa Rica pero el tratamiento ocurre en Costa Rica (servidores, empresa, responsable), la Ley 8968 te aplica. Además, si transferís datos hacia un tercer país, necesitás verificar que ese país tenga niveles de protección equivalentes o contar con el consentimiento del titular (art. 31.f Ley 8968). Las transferencias internacionales sin consentimiento son falta gravísima.

¿El consentimiento de mis términos y condiciones generales es suficiente? Depende de cómo esté redactado. Un consentimiento genérico tipo "acepto los términos y condiciones" no es suficiente si no describe con claridad: qué datos se recopilan, para qué fines específicos, a quién se transfieren y cómo el usuario puede ejercer sus derechos. Cada finalidad diferente (facturación, publicidad, perfilado, cesión a terceros) requiere consentimiento diferenciado. Lo ideal es separar las casillas por tipo de tratamiento.

¿Los datos de mis empleados también están cubiertos por la Ley 8968? Sí. Los datos de personal (expedientes de planilla, datos médicos para incapacidades, datos bancarios para pagos) son datos personales bajo la Ley 8968. Debés manejarlos con los mismos principios: consentimiento, seguridad, acceso limitado. Los datos médicos son además datos sensibles y requieren protección reforzada. Coordiná con el área de Recursos Humanos y, si aplica, con el Ministerio de Trabajo. (Ver también 19-codigo-trabajo-fundamentos.md).

9. Fuentes

Tier OFICIAL

Fuente Descripción Link
SCIJ / PGR Ley N° 8968 — texto vigente (Gaceta N° 170, 5 set. 2011) https://pgrweb.go.cr/scij/Busqueda/Normativa/Normas/nrm_texto_completo.aspx?param1=NRTC&nValor1=1&nValor2=70975&nValor3=85989
SCIJ / PGR Reglamento Decreto Ejecutivo N° 37554-JP, con reformas del Decreto 40008-JP https://pgrweb.go.cr/scij/Busqueda/Normativa/Normas/nrm_texto_completo.aspx?param1=NRTC&nValor1=1&nValor2=74352&nValor3=106487&strTipM=TC
PRODHAB Sitio oficial — inscripción, bases de datos, resoluciones, normativa https://www.prodhab.go.cr
PRODHAB Normativa interna y directrices https://www.prodhab.go.cr/acercade/normativa/
PRODHAB Procedimientos de protección / denuncias https://www.prodhab.go.cr/procedimientosdeprote/
Poder Judicial Salario base 2026: ₡462.200 (auxiliar judicial I, referencia para multas Ley 8968) https://pj.poder-judicial.go.cr/index.php/component/content/article/2333-poder-judicial-fija-en-462-200-00-el-salario-base-para-multas-y-penas-por-la-comision-de-figuras-delictivas-en-el-2026
INAMU (.go.cr) Texto completo Ley 8968 en PDF https://formatos.inamu.go.cr/SIDOC/DOCS/ley_8968.pdf

Tier ALTA

Fuente Descripción Link
La Nación "Quienes compartan datos personales publicados por ciberdelincuentes se exponen a sanciones" — declaraciones directora PRODHAB Elizabeth Mora sobre datos filtrados y art. 196 bis Código Penal https://www.nacion.com/economia/politica-economica/quienes-compartan-datos-personales-publicados-por/ALI3WOJ6HBAMFMB7BNPIXQIJMQ/story/
La Nación "TSE se pronuncia tras fallo de la PRODHAB sobre manejo de datos de ciudadanos" — debate sobre datos sensibles en registros públicos https://www.nacion.com/el-pais/tse-se-pronuncia-tras-fallo-de-la-prodhab-sobre/OJLYB4QLJVGUROYQW33FIJR3YU/story/
El Financiero "Agencia de protección de datos opera sin analistas, con escaso presupuesto y tecnología obsoleta" — capacidad operativa PRODHAB https://www.elfinancierocr.com/tecnologia/agencia-de-proteccion-de-datos-opera-sin-analistas/WBBOTGIKVNAIXPC3UOHRBFOBH4/story/
El Financiero "Agencia de protección de datos ha recibido 258 denuncias desde 2014" — patrones de denuncias y tipos de infracción más comunes https://www.elfinancierocr.com/tecnologia/agencia-de-proteccion-de-datos-ha-recibido-25/6Q5RCLXY3VAJJLRKCDGRGL3FZY/story/
La Nación "Condenan a la PRODHAB por no resolver denuncia..." — amparo contra PRODHAB por mora en resolución, caso Equifax https://www.nacion.com/politica/condenan-a-la-prohab-por-no-resolver-denuncia-de/BXAIMDUNABFPRFMLON7UGSENKI/story/

Relacionado: 24-proteccion-al-consumidor.md (publicidad y manejo de datos de clientes), 04-inscripcion-hacienda-tributcr.md (datos para facturación electrónica), 19-codigo-trabajo-fundamentos.md (datos de personal), 00-indice-maestro.md.

¿Te quedó alguna duda?Preguntale a Vyper sobre este tema.
Preguntarle a Vyper
← AnteriorProtección al consumidorSiguiente →Propiedad intelectual y registro de marcas