Volver al blog
Data Governance

Cumplir la Ley 8968 de Costa Rica: por qué la inscripción ante PRODHAB necesita un programa de gobierno de datos

GalacticaIA6 de julio de 20267 min
ley 8968prodhabcosta ricacumplimientoprotección de datosdata governance
Cumplir la Ley 8968 de Costa Rica: por qué la inscripción ante PRODHAB necesita un programa de gobierno de datos

En Costa Rica, enviar datos personales a servidores fuera del país sin el consentimiento expreso e inequívoco del titular no es un descuido menor: la Ley 8968 lo trata como falta gravísima, con multas de 15 a 30 salarios base y —lo que de verdad detiene una operación— la suspensión del uso de la base de datos de uno a seis meses. En tiempos de SaaS y nube, cuando casi cualquier empresa transfiere datos al exterior todos los días, esa sanción dejó de ser teórica hace tiempo.

Y no hablamos de una norma recién publicada esperando su vigencia. La Ley 8968 —"Protección de la Persona frente al tratamiento de sus datos personales"— rige desde 2011, tiene Reglamento y una autoridad activa: PRODHAB, la Agencia de Protección de Datos de los Habitantes, adscrita al Ministerio de Justicia y Paz. PRODHAB supervisa, mantiene el registro de bases de datos, exige información, inspecciona bases de datos, resuelve denuncias y sanciona. Mientras el resto de la región mira el reloj regulatorio de Chile y Brasil, en Costa Rica el reloj lleva más de una década corriendo.

Lo que exige la ley, traducido a artefactos

Leída con ojos operativos, la Ley 8968 y su Reglamento piden entregables concretos:

1. Inscripción de bases de datos ante PRODHAB. El rasgo distintivo de Costa Rica. Las bases de datos administradas para distribución, difusión o comercialización deben inscribirse en el registro de PRODHAB. No es un registro interno de actividades de tratamiento como el que piden otros marcos de la región: es una inscripción ante la autoridad, que además tiene la potestad de inspeccionar lo inscrito. El alcance exacto —qué tipos de base califican— conviene confirmarlo contra el Reglamento con asesoría legal costarricense: es una de las zonas donde la ley ha sido criticada por falta de claridad.

2. Protocolos de actuación. Según el tipo de base de datos, debe registrarse y —sobre todo— cumplirse un protocolo de actuación: las medidas y los procedimientos con los que se administra esa base. Tenerlo escrito no basta; en una inspección, el protocolo es la vara contra la que se mide la operación real.

3. Derechos ARCO en cinco días hábiles, gratis. La ley reconoce al titular derechos de acceso, rectificación, eliminación y consentimiento de transferencias (ARCO), con un plazo de respuesta de 5 días hábiles y sin costo para el titular. A esto se suman el consentimiento expreso y libre como base del tratamiento y la figura del Delegado de Protección de Datos.

4. Consentimiento para transferencias internacionales. El artículo 14 exige consentimiento expreso e inequívoco siempre que se transfieren datos, y aplica especialmente a la nube y a los proveedores que envían datos a servidores en el exterior. No hay un mandato estricto de localización, pero el binomio consentimiento obligatorio + sanción gravísima lo convierte en uno de los regímenes de transferencia más severos de la región.

El caso distinto: cumplimiento más administrativo que técnico

Aquí está la diferencia estructural con Chile o Brasil. En esos marcos, buena parte del cumplimiento se juega en la evidencia técnica: dónde está la PII, quién la tocó, cómo se elimina. En Costa Rica, el corazón del cumplimiento es administrativo y de proceso: inscribir la base ante la autoridad, mantener protocolos registrados y vigentes, responder solicitudes ARCO dentro de un SLA de cinco días.

Sería fácil concluir que, si el requisito es "más papeleo que ingeniería", basta con contratar el trámite una vez y archivar el expediente. Es exactamente la conclusión equivocada — y la razón es simple: todos esos artefactos describen algo que cambia todos los días.

Por qué un documento estático no basta

La inscripción ante PRODHAB es la fotografía de una base de datos: qué contiene, para qué se usa, cómo se administra. Pero las bases de datos reales no se quedan quietas. Se agregan campos, se conectan sistemas nuevos, cambia la finalidad comercial, un equipo copia la tabla a otro ambiente. A los seis meses, la fotografía inscrita y la realidad operativa ya no coinciden — y la autoridad que inspecciona no compara tu realidad contra tus intenciones, la compara contra lo que inscribiste.

Con los protocolos de actuación pasa lo mismo: un protocolo que nadie ejecuta no es cumplimiento, es evidencia en contra. Y el plazo ARCO es la prueba de fuego operativa: responder en cinco días hábiles qué datos tienes de una persona, corregirlos o eliminarlos, exige saber hoy —no averiguar en dos semanas— en qué sistemas vive ese dato, quién es el responsable de cada uno y cómo se propaga un cambio.

Un documento estático no responde nada de eso. Un programa vivo, sí.

Cómo un programa de gobierno produce y mantiene cada artefacto

Esta es la tesis: en Costa Rica, el gobierno de datos no reemplaza el trámite ante PRODHAB — es lo que hace que el trámite se mantenga verdadero en el tiempo. Con un marco como DAMA-DMBOK, cada disciplina del programa alimenta un artefacto legal concreto:

  • Inventario y clasificación. Saber qué bases de datos existen y cuáles se administran para distribución, difusión o comercialización es el insumo directo de la inscripción. Sin inventario vivo, ni siquiera sabes qué debías inscribir. La clasificación de datos personales, además, es la que dispara el requisito de consentimiento en transferencias.
  • Ownership. Cada base inscrita necesita un responsable con nombre y rol que responda por ella — ante el Delegado de Protección de Datos y ante la autoridad. El Delegado no puede sostener el cumplimiento solo; necesita una red de data owners que le reporte cambios.
  • Procesos documentados y operados. Los protocolos de actuación son, en la práctica, procesos de gestión de datos versionados: quién accede, cómo se actualiza, cómo se corrige, cómo se elimina. Un programa de gobierno los convierte de PDF archivado a procedimiento operativo con dueño y evidencia de ejecución.
  • Linaje y calidad. Responder una solicitud ARCO en cinco días exige localizar a la persona en todos los sistemas donde vive su dato y propagar la rectificación o eliminación en cascada. Eso es linaje técnico más calidad de datos — sin ellos, el SLA es una promesa.
  • Ciclo de vida. La eliminación no se cumple con un correo: se cumple con retención y eliminación demostrables por conjunto de datos.

La capa de visibilidad que sostiene todo esto se elige a la medida de tu infraestructura — el catálogo nativo de tu nube o uno open-source como OpenMetadata — pero la herramienta es lo de menos: lo que produce los artefactos es el programa (cultura, roles, procesos), no el software.

Lo que la tecnología no resuelve sola

Seríamos malos asesores si dijéramos que esto se resuelve instalando algo. En el caso costarricense, tres cosas quedan siempre fuera del alcance de cualquier herramienta:

  • El trámite es un trámite. La inscripción ante PRODHAB y el registro de protocolos son actos ante la autoridad: alguien de tu organización los presenta, los mantiene y los actualiza cuando la realidad cambia. La tecnología alimenta ese proceso con información veraz; no lo ejecuta.
  • La asesoría legal es irrenunciable. La Ley 8968 es una norma de 2011, criticada por sus zonas de interpretación, y ha habido señales de reforma cuyo estado actual conviene validar con un abogado de protección de datos costarricense antes de tomar decisiones de alcance. Si operas en el sector financiero, valida además la regulación sectorial sobre nube y tercerización.
  • La cultura decide. Un protocolo de actuación se cumple en el comportamiento diario de los equipos que tocan datos — y eso se construye con capacitación y ownership, no con una licencia.

Empieza por saber dónde estás

Si tu organización trata datos personales en Costa Rica, la pregunta de partida no es "¿qué herramienta compro?" sino: ¿sabes qué bases de datos tienes, cuáles deberían estar inscritas, quién responde por cada una y si podrías contestar una solicitud ARCO en cinco días hábiles — hoy? Si dudaste en alguna, ese es el gap. Una evaluación de madurez de datos te da el punto de partida honesto: qué tienes gobernado, qué está huérfano y qué distancia hay entre lo que inscribiste (o deberías inscribir) y lo que realmente está pasando en tus sistemas. Y si el concepto mismo te queda lejos, empieza por qué es gobierno de datos.


Fuentes: Ley 8968 — texto completo (PGR/SCIJ) · Reglamento a la Ley 8968 (PDF) · PRODHAB · IPANDETEC — reforma de datos personales en CR

Este artículo es orientación general, no asesoría legal. Valida el detalle normativo con un abogado de protección de datos en Costa Rica.

¿Listo para gobernar tus agentes de IA?

Nuestro equipo ayuda a organizaciones a implementar frameworks de gobernanza que escalan con la adopción de IA.

Contáctanos