Este 26 de mayo entra en vigencia el régimen sancionatorio para quienes infrinjan la ley de Protección de Datos Personales que está en vigencia desde mayo del 2021. Esto en medio de una fuerte actividad de bancos y empresas que buscan obtener el permiso de tratamiento del titular de los datos antes de que dicho sistema entre en vigencia.

Noticias relacionadas

Supermercados, malls y tiendas de ropa ofrecen premios y sorteos de órdenes de compras a sus clientes por actualizar sus datos personales

Si cliente no autoriza uso de sus datos personales puede quedarse sin algún servicio o beneficio, en pocos días regirán sanciones

‘Bórreme de la base de datos’, una salida ante llamadas insistentes de ventas y promociones

En estos días, varios clientes de bancos han recibido mensajes para el permiso, previo a la utilización de la banca móvil y en caso de no darlo, el cliente no pueden seguir usando dicho servicio. También se han dado otras estrategias como campañas y promociones para obtener dicho permiso.

La entrada en vigencia del sistema sancionatorio, que consta de la tipificación de las infracciones leves y graves, de los encargados y responsables de la protección de datos, así como sus sanciones, significa que los ciudadanos que se sientan afectados por el uso de sus datos ya podrán hacer denuncias ante la autoridad competente, explica Lorena Naranjo, directora de la maestría en derecho digital e innovación de la UDLA y abogada de Spingarn,

Sin embargo, como al momento aún no se ha elegido a el o la superintendente de Protección de Datos Personales, las denuncias pueden ser en la propia entidad en la que se habría cometido la violación del derecho (bancos, supermercados, entre otros) o ante las entidades de control como la Agencia de Regulación de Telecomunicaciones o la Superintendencia de Bancos.

Con esto, dice Naranjo, se establece ya un hito de cuándo habría sido cometida la infracción y, posteriormente, cuando ya esté elegida la autoridad y creada la entidad correspondientes (superintendente y Superintendencia de Protección de Datos Personales) entonces podrán ejecutarse las sanciones.

Sobre el avance de la conformación de una terna por parte del Ejecutivo, para elegir a la autoridad del ramo, Naranjo dijo haber conocido que ya se está buscando los nombres de la terna y que también el Ejecutivo ha trabajado en un reglamento sobre el tema. “Hay un interés desde el Ejecutivo para cumplir este tema”, dijo.

Ahora, los ciudadanos deben estar más atentos a una posible mala utilización o tratamiento de los datos. Los ejemplos típicos que ocurren en este ámbito son cuando recibimos llamadas telefónicas de empresas o call centers a quienes no hemos entregado nuestros datos. Sin embargo, es importante establecer si en algún momento accedimos o no a la entrega de nuestros datos.

Hay ejemplos típicos sobre el mal uso de la data de las personas y por ejemplo en 2015 se conoció que una entidad pública vendió una base de datos de personas con adicciones a entidades financieras para que lo utilicen en score bancario. Hay otras bases equivocadas que se venden en todo lado y que a veces sirven para hacer análisis de crédito, explicó Naranjo.

Sobre el tema de obligar a los clientes a aceptar el tratamiento de datos, y de lo contrario perder el uso de ciertos servicios, Naranjo comentó que sí podría ser denunciable, pero no automáticamente sancionable. Explica que al momento no hay una verdadera claridad sobre los temas, entre ellos el del consentimiento. “Aún nos falta madurar como sociedad, paulatinamente sobre estos temas entenderemos que no se hace falta el consentimiento en bloque y que se debería dar la posibilidad al cliente a que también diga No”.

¿Pero cuáles son las sanciones que entran en vigencia?

Por infracciones leves:

La Autoridad de Protección de Datos Personales impondrá sanciones administrativas, en el caso de verificarse el cometimiento de una infracción leve:

• Servidores o funcionarios del sector público por cuya acción u omisión hayan incurrido en alguna de las infracciones leves establecidas en la presente ley, serán sancionados con una multa de uno a diez salarios básicos unificados, sin perjuicio de la responsabilidad extracontractual del Estado.
• Si el responsable o el encargado del tratamiento de datos personales o de ser el caso un tercero es una entidad de derecho privado o una empresa pública, se aplicará una multa de entre el 0,1% y el 0,7% calculada sobre su volumen de negocio correspondiente al ejercicio económico inmediatamente anterior al de la imposición de la multa.

Por infracciones graves

• Los servidores o funcionarios del sector público por cuya acción u omisión hayan incurrido en alguna de las infracciones graves serán sancionados con una multa de entre 10 a 20 salarios básicos unificados del trabajador en general; sin perjuicio de la responsabilidad extracontractual.
• Si el responsable, encargado del tratamiento de datos personales o de ser el caso un tercero, es una entidad de derecho privado o una empresa pública se aplicará una multa de entre el 0,7% y el 1% calculada sobre su volumen de negocios, correspondiente al ejercicio económico inmediatamente anterior al de la imposición de la multa.

Además, la Autoridad de Protección de Datos Personales establecerá la multa aplicable en función del principio de proporcionalidad, de acuerdo a la intencionalidad, reiteración de la infracción, el perjuicio ocasionado, entre otros. (I)