Leyes de Privacidad de Datos de Costa Rica: Guía de Cumplimiento de la Ley 8968 y PRODHAB (2026)

Costa Rica protege los datos personales mediante la Ley N.° 8968, una norma de 2011 aplicada por PRODHAB, la autoridad nacional de control. La ley exige el consentimiento informado y expreso antes de recopilar o tratar cualquier dato personal, otorga a las personas los derechos de acceso, rectificación y eliminación, y autoriza multas de hasta 30 salarios base por infracciones.
Costa Rica sancionó la Ley N.° 8968 el 7 de julio de 2011, convirtiéndose en uno de los primeros países centroamericanos en adoptar una ley integral de protección de datos. La ley, formalmente titulada Ley de Protección de la Persona frente al Tratamiento de sus Datos Personales, se sustenta en el derecho constitucional a la intimidad consagrado en el artículo 24 de la Constitución Política, y su reglamento de implementación, el Decreto Ejecutivo 37554-JP, se encuentra vigente desde 2013.
Información verificada por última vez el 19 de mayo de 2026. Este artículo aún no ha sido revisado por un abogado habilitado. Presenta información legal general sobre el marco de protección de datos de Costa Rica; no constituye asesoramiento legal para ninguna situación específica.
Alcance jurisdiccional: este artículo abarca el marco nacional de protección de datos de Costa Rica en virtud de la Ley 8968 y el Decreto 37554-JP, administrado por PRODHAB. No aborda las leyes de otros países centroamericanos o latinoamericanos. Para conocer las reglas de consentimiento para grabaciones de Costa Rica, consulte nuestra guía sobre las leyes de grabación de Costa Rica.
Respuesta Rápida: la Privacidad de Datos en Costa Rica en Términos Simples
Costa Rica protege los datos personales mediante la Ley 8968, que la Agencia de Protección de Datos de los Habitantes (PRODHAB) aplica como la autoridad de control independiente del país. La ley exige el consentimiento informado y expreso antes de que puedan recopilarse o tratarse los datos personales; otorga a las personas los derechos de acceso, corrección, eliminación y oposición; obliga a la mayoría de los responsables comerciales del tratamiento a inscribir sus bases de datos ante PRODHAB; restringe las transferencias transfronterizas de datos a países con protecciones adecuadas; y autoriza multas de hasta 30 salarios base por infracciones. La Resolución 5802-99 de la Sala Constitucional reconoció por primera vez la autodeterminación informativa como un derecho fundamental en virtud del artículo 24 de la Constitución, y la Ley 8968 traduce esa garantía constitucional en obligaciones operativas. Una ley de reemplazo propuesta (el Proyecto 23097), que acercaría a Costa Rica al Reglamento General de Protección de Datos de la UE, se encuentra en debate legislativo desde 2022 y seguía pendiente al mes de mayo de 2026.
Fundamento Constitucional: El Artículo 24 y la Autodeterminación Informativa
El marco de protección de datos de Costa Rica no comienza en la ley, sino en el propio texto constitucional. El artículo 24 de la Constitución Política de la República de Costa Rica establece:
"Se garantiza el derecho a la intimidad, a la libertad y al secreto de las comunicaciones. Son inviolables los documentos privados y las comunicaciones escritas, orales o de cualquier otro tipo de los habitantes de la República."
La Sala Constitucional de la Corte Suprema extendió el alcance del artículo 24 más allá de un escudo pasivo frente a la vigilancia estatal. En la Resolución 5802-99, la Sala reconoció la autodeterminación informativa como un derecho constitucional activo: las personas no solo gozan de protección frente a la divulgación ilícita de sus datos, sino que tienen un derecho afirmativo a conocer qué información personal existe sobre ellas, a controlar cómo se utiliza, y a exigir la corrección o eliminación de los datos inexactos o tratados de manera ilegítima.
Este fundamento constitucional distingue a Costa Rica de muchas jurisdicciones latinoamericanas en las que la protección de datos es puramente legal. Dado que el derecho tiene rango constitucional, ninguna ley ordinaria puede eliminarlo. La Ley 8968 pone en práctica el derecho; no lo crea. Cualquier reforma o ley de reemplazo debe preservar, y no reducir, el piso constitucional.
La base de datos del SCIJ, en pgrweb.go.cr, alberga el texto oficial consolidado tanto del artículo 24 como de la Ley 8968.
Ley 8968: Ámbito de Aplicación, Definiciones y Principios Fundamentales
La Ley 8968 se aplica a los datos personales contenidos en bases de datos automatizadas y manuales operadas por cualquier persona física o jurídica, pública o privada, dentro del territorio costarricense. También se aplica a las entidades ubicadas fuera de Costa Rica que traten datos de personas en el país cuando la relación esté regida por el derecho costarricense.
Definiciones Clave
El artículo 3 de la Ley 8968 establece el vocabulario de trabajo:
Datos personales: cualquier dato referido a una persona física identificada o identificable.
Datos sensibles: datos que revelen el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas, la afiliación sindical, información relativa a la salud o a la vida sexual, y datos biométricos utilizados con fines de identificación. Los datos sensibles conllevan requisitos de consentimiento reforzados, que se explican más adelante.
Base de datos: todo conjunto organizado de datos personales que permita el acceso conforme a criterios específicos, ya sea centralizado, descentralizado o distribuido en términos funcionales o geográficos.
Tratamiento de datos: cualquier operación realizada sobre datos personales, incluidas la recolección, el registro, el almacenamiento, la organización, la adaptación, la modificación, la consulta, el uso, la comunicación por transmisión o difusión, el cotejo o la combinación, y el bloqueo o la eliminación.
Responsable de la base de datos: la persona física o jurídica que decide la finalidad y el contenido de una base de datos, y la forma en que se tratan los datos.
Encargado del tratamiento: la persona física o jurídica que trata datos por cuenta del responsable, en virtud de una relación contractual.
Exenciones de la Ley
El artículo 2 de la Ley 8968 excluye de su ámbito de aplicación:
- Las bases de datos mantenidas por personas físicas con fines exclusivamente privados o domésticos
- Las bases de datos establecidas con fines de seguridad nacional bajo marcos legales específicos
- Las bases de datos periodísticas utilizadas exclusivamente para fines de actividad mediática
- Los archivos que contengan datos cuyo tratamiento esté regido por legislación especial
Principios Fundamentales
El Decreto 37554-JP enuncia los principios que rigen todas las actividades de tratamiento:
- Principio de finalidad: los datos deben recopilarse para una finalidad específica, explícita y legítima, y no deben tratarse posteriormente de manera incompatible con esa finalidad.
- Calidad de los datos: los datos personales deben ser exactos, completos, actuales y pertinentes en relación con la finalidad declarada.
- Seguridad: el responsable debe adoptar medidas técnicas y organizativas adecuadas al riesgo del tratamiento.
- Confidencialidad: las personas con acceso a los datos personales deben mantenerlos confidenciales, incluso después de finalizada su función.
- Consentimiento: el tratamiento requiere el consentimiento previo, informado, expreso y libre del titular, salvo que se aplique una excepción legal.
Bases Legales para el Tratamiento
El consentimiento es la base legal predominante conforme a la Ley 8968, pero el artículo 5 de la ley reconoce varios fundamentos que autorizan el tratamiento sin consentimiento:
| Base Legal | Condición |
|---|---|
| Consentimiento | Informado, expreso y libremente otorgado por el titular |
| Obligación legal | El tratamiento es necesario para cumplir con una norma legal aplicable al responsable |
| Necesidad contractual | El tratamiento es necesario para la ejecución de un contrato del cual el titular es parte, o para medidas precontractuales a solicitud del titular |
| Intereses vitales | El tratamiento es necesario para proteger los intereses vitales del titular cuando no pueda obtenerse el consentimiento |
| Interés público / autoridad oficial | Tratamiento realizado por organismos públicos dentro de sus competencias legalmente definidas |
| Fuentes de acceso público | Datos recopilados de fuentes legalmente accesibles al público, siempre que el tratamiento respete la finalidad para la cual se hicieron públicos |
A diferencia del GDPR de la UE, la Ley 8968 no incluye el "interés legítimo" como un fundamento autónomo. Un responsable que se base en datos de acceso público igualmente debe tratar esos datos de manera consistente con la finalidad para la cual fueron divulgados, y con los principios generales de la Ley 8968.
Requisitos de Consentimiento
El consentimiento conforme a la Ley 8968 debe satisfacer tres requisitos acumulativos: debe ser informado, expreso y libre.
Informado significa que el titular ha recibido, antes de otorgar el consentimiento, información clara sobre: (a) la identidad y los datos de contacto del responsable; (b) la finalidad específica para la cual se tratarán los datos; (c) los terceros a quienes puedan transferirse los datos; y (d) los derechos del titular conforme a la ley.
Expreso significa que el consentimiento no puede inferirse del silencio, de casillas premarcadas o de la inacción. El titular debe realizar un acto positivo que evidencie su conformidad.
Libre significa que el consentimiento no debe condicionarse a la aceptación de otros términos cuando el tratamiento no sea necesario para la prestación de un servicio que el titular busca obtener. La coacción o el engaño invalidan el consentimiento.
Estándar Reforzado para los Datos Sensibles
El tratamiento de datos sensibles requiere consentimiento por escrito conforme al artículo 9 de la Ley 8968. El consentimiento por escrito debe especificar las categorías de datos sensibles involucradas y la finalidad del tratamiento. El consentimiento verbal o una confirmación electrónica sin firma no satisfacen este requisito para las categorías sensibles.
El consentimiento por escrito para los datos sensibles puede omitirse en tres situaciones:
- El tratamiento exigido por ley por razones de interés general (por ejemplo, el reporte obligatorio de salud pública)
- El tratamiento médico o de atención de la salud cuando el titular esté física o legalmente imposibilitado de otorgar consentimiento
- El tratamiento realizado por una entidad sin fines de lucro respecto de sus propios miembros, siempre que los datos no se divulguen fuera de la organización sin un consentimiento por escrito separado
Revocación del Consentimiento
Los titulares pueden revocar el consentimiento en cualquier momento. La revocación no vuelve ilícito de manera retroactiva el tratamiento anterior, pero el responsable debe cesar el tratamiento desde el momento en que se comunique la revocación, sujeto a cualquier obligación legal que exija la conservación de los datos.
Derechos de los Titulares
El Capítulo IV de la Ley 8968 enumera los derechos que las personas tienen sobre sus datos personales. Estos derechos se ejercen en primer lugar frente al responsable, y si este no responde o el titular no queda conforme, puede escalar el caso ante PRODHAB.
Derecho de Información
Cualquier persona puede consultar a cualquier entidad pública o privada para saber si esa entidad posee una base de datos que contenga sus datos personales, qué datos contiene, la finalidad de la base de datos, y la identidad del responsable. Este derecho se aplica independientemente de si los datos fueron proporcionados por el titular o recopilados de terceros.
Derecho de Acceso
Los titulares pueden solicitar una copia completa de sus datos personales contenidos en cualquier base de datos. Conforme al artículo 7 de la Ley 8968 y al artículo 22 del Decreto 37554-JP, el responsable debe responder dentro de los cinco días hábiles siguientes a la recepción de una solicitud completa y debidamente identificada. La respuesta debe incluir los datos en forma inteligible. No puede cobrarse tarifa alguna por una primera solicitud de acceso dentro de un período de 12 meses.
Derecho de Rectificación
Cuando los datos personales sean inexactos, incompletos o estén desactualizados, el titular puede solicitar su corrección. El responsable cuenta con cinco días hábiles para realizar la corrección y notificar a los terceros a quienes se hubieran divulgado previamente los datos erróneos.
Derecho de Supresión
Los titulares pueden solicitar la eliminación de sus datos personales cuando:
- Los datos ya no sean necesarios para la finalidad para la cual fueron recopilados
- El titular revoque el consentimiento y no exista otra base legal aplicable
- El tratamiento infrinja la Ley 8968 u otra ley aplicable
El derecho de supresión no se aplica cuando los datos deban conservarse para cumplir con una obligación legal o para establecer, ejercer o defender reclamos legales.
Derecho de Oposición
Los titulares pueden oponerse al tratamiento de sus datos personales cuando existan motivos legítimos relacionados con su situación particular, aun cuando el tratamiento sea por lo demás lícito. El responsable debe evaluar la oposición y suspender el tratamiento si los motivos del titular prevalecen.
Resumen de Plazos
| Derecho | Plazo de Respuesta |
|---|---|
| Información | Cinco días hábiles |
| Acceso | Cinco días hábiles |
| Rectificación | Cinco días hábiles para corregir y notificar a terceros |
| Supresión | Cinco días hábiles (o exposición de los motivos de la denegación) |
| Oposición | Sin plazo legal fijo; PRODHAB puede fijar un plazo durante el trámite del reclamo |
Tenga en cuenta: el plazo de cinco días hábiles corre desde la recepción de una solicitud completa y debidamente identificada. Los responsables suelen demorar el trámite tratando las solicitudes incompletas o ambiguas como no recibidas. Los titulares deberían presentar solicitudes por escrito con identificación completa y una descripción clara de los datos en cuestión, para que el plazo comience a correr con claridad.
PRODHAB: Estructura, Facultades y Historial de Aplicación
La Agencia de Protección de Datos de los Habitantes (PRODHAB) fue creada por el Capítulo VI de la Ley 8968. Opera como un órgano de desconcentración máxima adscrito al Ministerio de Justicia y Paz, y ejerce funciones regulatorias, de investigación y de sanción con independencia técnica y operativa respecto de la jerarquía general del ministerio.
Funciones Principales
Inscripción y gestión del registro: PRODHAB mantiene un registro público de las bases de datos sujetas al requisito de inscripción. El registro es consultable, lo que permite a los titulares identificar qué entidades poseen datos sobre ellos.
Inspección y auditoría: PRODHAB puede realizar inspecciones de las bases de datos inscritas por iniciativa propia o a raíz de un reclamo. Los inspectores pueden revisar la documentación, entrevistar al personal y examinar las medidas de seguridad.
Tramitación de reclamos: PRODHAB recibe e investiga reclamos formales de los titulares. Desde que comenzó a operar, PRODHAB ha tramitado más de 1.489 reclamos formales hasta fines de 2023. Los sectores que generan el mayor volumen de reclamos son el bancario y financiero (302 reclamos), el comercial (262) y el de gestión de cobranzas (253). Los motivos de reclamo más comunes son: las solicitudes de eliminación de datos (601 reclamos), la recolección o el tratamiento sin consentimiento informado (256 reclamos), y el uso secundario no autorizado de los datos más allá de la autorización original.
Orientación y códigos de conducta: PRODHAB emite lineamientos técnicos vinculantes y aprueba códigos de conducta voluntarios para sectores específicos. El cumplimiento de un código aprobado constituye un atenuante en los procedimientos sancionatorios.
Sanción: PRODHAB puede imponer las sanciones graduadas descritas en la sección de Sanciones más adelante. Los procedimientos sancionatorios siguen un trámite administrativo contradictorio en el que la parte acusada puede presentar pruebas y argumentos antes de que se emita una resolución final.
Una investigación periodística de marzo de 2026 señaló que PRODHAB carece de controles internos claros sobre la duración de los expedientes, y que algunos trámites de reclamos han tardado más de un año en resolverse. Esta brecha de capacidad institucional se encuentra entre las mejoras que persigue el proyecto de reforma propuesto bajo el Proyecto 23097.
Requisito de Inscripción de Bases de Datos
Una característica distintiva de la Ley 8968 en comparación con el GDPR de la UE es la inscripción obligatoria de ciertas bases de datos ante PRODHAB antes de iniciar el tratamiento.
Quién Debe Inscribirse
La inscripción es obligatoria para toda persona física o jurídica, pública o privada, que mantenga una base de datos personales con fines de distribución, divulgación o comercialización de esos datos. Esto abarca a los corredores de datos y proveedores de listas, las bases de datos de mercadeo y publicidad, las agencias de informes crediticios, y las empresas que venden o conceden licencias de acceso a datos personales.
Quién Está Exento
La ley y su reglamento prevén dos exenciones importantes:
- Bases de datos de uso interno: las entidades que mantengan bases de datos personales únicamente para sus propios fines operativos internos (por ejemplo, registros de recursos humanos, registros de atención al cliente, o registros de proveedores utilizados exclusivamente por el responsable) no están obligadas a inscribirse.
- Entidades financieras reguladas por la SUGEF: las entidades sujetas al control y la regulación de la Superintendencia General de Entidades Financieras (SUGEF) están exentas de la inscripción ante PRODHAB respecto de los datos tratados bajo el marco de supervisión de la SUGEF.
Información Requerida para la Inscripción
Una solicitud de inscripción debe incluir: la identidad completa y los datos de contacto del responsable; el nombre y la descripción de la base de datos; la finalidad y las categorías de titulares; los tipos de datos personales tratados; los destinatarios previstos; la descripción de las transferencias transfronterizas, si las hubiera; las medidas de seguridad; y el período o los criterios de conservación.
La tarifa anual de inscripción es de USD 200. La falta de inscripción cuando esta sea obligatoria constituye una infracción grave conforme a la Ley 8968.
Límite de Conservación
Una modificación al Decreto 37554-JP introdujo un período máximo de conservación de 10 años para los datos personales contenidos en bases de datos inscritas. Los datos deben eliminarse o anonimizarse al finalizar ese período, salvo que una obligación legal específica exija una conservación más prolongada.
Transferencias Internacionales de Datos
El artículo 11 de la Ley 8968 regula las transferencias internacionales de datos personales. Costa Rica adopta un modelo basado en la adecuación, estructuralmente similar al enfoque del GDPR de la UE.
Estándar de Adecuación
Los datos personales solo pueden transferirse a otro país u organización internacional si PRODHAB ha determinado que la jurisdicción receptora ofrece un nivel adecuado de protección de datos. PRODHAB mantiene y publica una lista de adecuación. Los Estados miembros de la UE y los países con decisiones de adecuación de la UE generalmente se consideran adecuados, dada la alineación entre el marco de la Ley 8968 y el GDPR.
Excepciones para las Transferencias hacia Países No Adecuados
Cuando no se haya establecido la adecuación, una transferencia solo puede realizarse si se aplica alguna de las siguientes excepciones:
- El titular otorga su consentimiento expreso para la transferencia específica, después de haber sido informado de la ausencia de una determinación de adecuación
- La transferencia es necesaria para la ejecución de un contrato entre el titular y el responsable
- La transferencia es necesaria para la celebración o ejecución de un contrato en interés del titular, entre el responsable y un tercero
- La transferencia es necesaria o legalmente exigida por razones importantes de interés público, o para el establecimiento, ejercicio o defensa de reclamos legales
- La transferencia es necesaria para proteger los intereses vitales del titular
Puntos Prácticos de Cumplimiento
Las organizaciones que transfieran datos personales desde Costa Rica deberían verificar la lista de adecuación vigente de PRODHAB antes de cada programa de transferencia; obtener el consentimiento expreso y documentado cuando transfieran datos hacia países no adecuados; mantener registros de la base legal de cada categoría de transferencia internacional; y asegurarse de que los encargados del tratamiento en los países receptores estén contractualmente obligados al mismo nivel de protección exigido por la Ley 8968.
Sanciones y Aplicación de la Ley
El Capítulo VII de la Ley 8968 establece un régimen sancionatorio administrativo graduado. Los artículos 33 y 34 clasifican las infracciones según su gravedad y fijan las sanciones correspondientes.
Categorías de Infracciones
Faltas leves: incluyen no brindar al titular la información requerida sobre una base de datos, no aplicar medidas de seguridad adecuadas, e infracciones técnicas o procedimentales del proceso de inscripción.
Faltas graves: incluyen recopilar o tratar datos personales sin el consentimiento requerido, no inscribir una base de datos sujeta a inscripción obligatoria, transferir datos a terceros no autorizados, y no responder a una solicitud de acceso, rectificación o eliminación dentro del plazo legal de cinco días hábiles.
Faltas muy graves: incluyen tratar datos sensibles sin el consentimiento por escrito requerido, realizar transferencias transfronterizas hacia países no adecuados sin una excepción válida, tratar datos con fines incompatibles con aquellos para los cuales se obtuvo el consentimiento, y continuar tratando datos después de una orden de cese de PRODHAB.
Escala de Sanciones
| Nivel de Infracción | Rango de la Multa | Equivalente en Colones 2026 |
|---|---|---|
| Leve | 1 a 5 salarios base | 462.200 a 2.311.000 colones |
| Grave | 5 a 15 salarios base | 2.311.000 a 6.933.000 colones |
| Muy grave | 15 a 30 salarios base | 6.933.000 a 13.866.000 colones |
El salario base utilizado para calcular estas multas es el salario base judicial, establecido anualmente por el Consejo Superior del Poder Judicial. Para 2026, esta cifra es de 462.200 colones, conforme a la Circular N.° 246-2025, sin cambios respecto de 2025. A 30 salarios base, la multa administrativa máxima es de 13.866.000 colones (aproximadamente USD 25.500 a los tipos de cambio de mediados de 2026).
PRODHAB también puede ordenar la suspensión temporal de las operaciones de tratamiento de datos (de uno a seis meses), la cancelación definitiva de la inscripción de una base de datos en los casos más graves, y la publicación de la sanción en el diario oficial (La Gaceta).
Factores Agravantes y Atenuantes
PRODHAB considera los siguientes factores al graduar las sanciones dentro de una banda: la gravedad y duración de la infracción; el número de titulares afectados; si el responsable adoptó medidas correctivas voluntarias antes de que concluyera el procedimiento; si la parte cumplió con un código de conducta aprobado por PRODHAB; el grado de cooperación con la investigación; si la infracción fue intencional o negligente; y la capacidad económica del responsable.
Reformas Pendientes y Novedades Legislativas
El marco de protección de datos de Costa Rica ha sido objeto de una presión sostenida hacia la reforma desde aproximadamente 2019, impulsada por los requisitos de la membresía en la OCDE, las relaciones comerciales bilaterales con la UE, y el reconocimiento a nivel interno de que la Ley 8968 es anterior al GDPR y carece de varias características hoy consideradas estándar.
Proyecto N.° 23097: Propuesta de Nueva Ley de Protección de Datos Personales
La reforma pendiente más significativa es el Proyecto de Ley N.° 23097, presentado a la Asamblea Legislativa en mayo de 2022. El proyecto propone la derogación completa de la Ley 8968 y su reemplazo por una nueva norma alineada con el GDPR de la UE, que incluye:
- Una "base de interés legítimo" para el tratamiento (ausente en la ley vigente)
- Obligaciones de notificación obligatoria de incidentes de seguridad (actualmente inexistentes)
- Evaluaciones de impacto en la protección de datos (EIPD) para el tratamiento de alto riesgo
- Obligaciones de responsabilidad proactiva, incluidos delegados de protección de datos para los responsables de tratamiento a gran escala
- Una PRODHAB fortalecida, con mayor autonomía y presupuesto propio
- Un tope máximo de multas superior al límite actual de 30 salarios base
- Derechos de portabilidad de datos para los titulares
- Disposiciones que regulan la toma de decisiones automatizada y la elaboración de perfiles
- Un período de transición de 12 meses tras su sanción
La Comisión de Ciencia y Tecnología de la Asamblea Legislativa emitió un informe formal sobre el Proyecto 23097 en enero de 2025, y el proyecto quedó listo para su debate en el plenario. Los observadores anticipaban su aprobación en el primer semestre de 2025. Al mes de mayo de 2026, no se ha confirmado su sanción. Las empresas deberían monitorear el sistema de seguimiento legislativo de la Asamblea Legislativa para conocer el estado actual.
Proyecto N.° 23667: Modificación sobre Datos Biométricos
Una propuesta separada y más acotada, el Proyecto de Ley N.° 23667, presentada en abril de 2026, modificaría la Ley 8968 específicamente para definir los "datos biométricos" y establecer requisitos explícitos de consentimiento para las tecnologías de reconocimiento biométrico, en respuesta al creciente uso comercial de los sistemas de reconocimiento facial, escaneo de huellas dactilares e identificación de voz.
Alineación con la Adhesión a la OCDE
Costa Rica se incorporó a la OCDE el 25 de mayo de 2021. La membresía en la OCDE ha acelerado la alineación con los estándares internacionales de privacidad, incluidas las Directrices de la OCDE sobre la Protección de la Privacidad y los Flujos Transfronterizos de Datos Personales (revisadas en 2013). Estas directrices se reflejan en los lineamientos vigentes de PRODHAB y en las propuestas de reforma del Proyecto 23097.
El Proceso de Adhesión al Convenio 108+ del Consejo de Europa
Costa Rica participó en un proceso de evaluación del Consejo de Europa respecto de su posible adhesión al Convenio 108+ (Convenio para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos de Carácter Personal, modernizado en 2018). La adhesión al Convenio 108+ incorporaría a Costa Rica a un marco de tratado internacional vinculante, con protecciones sustantivas alineadas con el GDPR. El proceso de adhesión se encontraba en curso al mes de mayo de 2026.
El Contexto de Ciberseguridad Posterior a 2022
La urgencia de la reforma en Costa Rica aumentó tras los ataques de ransomware de abril y mayo de 2022 atribuidos al grupo Conti, que afectaron a múltiples ministerios del gobierno y motivaron una declaratoria de emergencia nacional de ciberseguridad. Estos incidentes expusieron falencias en la postura de ciberseguridad y en la capacidad de respuesta ante incidentes de seguridad de datos. La ausencia de un requisito de notificación obligatoria de incidentes en la Ley 8968 fue ampliamente señalada como una deficiencia significativa; el Proyecto 23097 aborda esta cuestión de manera directa.
Rol Regional
Costa Rica participa en la Red Iberoamericana de Protección de Datos (RIPD), que facilita la cooperación regulatoria entre jurisdicciones de habla hispana y portuguesa. PRODHAB ha contribuido a los grupos de trabajo de la RIPD sobre gobernanza de la inteligencia artificial, mecanismos de transferencia transfronteriza, y cooperación entre autoridades de control.
Cumplimiento Empresarial: Lista de Verificación Práctica
Para las empresas que operan en Costa Rica o que transfieren datos hacia o desde el país, la Ley 8968 impone las siguientes obligaciones fundamentales:
Auditar sus bases de datos: identificar cuáles bases de datos contienen datos personales. Determinar si cada una está sujeta al requisito de inscripción (fines de distribución o divulgación comercial) o si se encuentra dentro de una exención (uso interno; entidades reguladas por la SUGEF).
Inscribir las bases de datos correspondientes: presentar una solicitud de inscripción ante PRODHAB antes de iniciar el uso comercial de cualquier base de datos sujeta al requisito. Presupuestar USD 200 por base de datos, por año.
Redactar avisos de consentimiento conformes: para cada actividad de tratamiento, preparar un aviso que identifique al responsable, indique la finalidad específica, identifique a los terceros destinatarios, explique los derechos del titular, y describa cómo puede revocarse el consentimiento.
Adoptar consentimiento por escrito para las categorías sensibles: si su tratamiento involucra datos de salud, opiniones políticas, creencias religiosas, datos biométricos u otras categorías sensibles, obtener un consentimiento firmado por escrito que identifique específicamente las categorías de datos y la finalidad del tratamiento.
Responder a las solicitudes de los titulares dentro de los cinco días hábiles: implementar un flujo interno que señale, reconozca y responda a tiempo las solicitudes de acceso, rectificación, eliminación y oposición. La falta de respuesta constituye en sí misma una infracción grave.
Realizar un análisis de las transferencias transfronterizas: antes de que los datos personales salgan de Costa Rica, confirmar si el país receptor figura en la lista de adecuación de PRODHAB. Si no es así, documentar la excepción aplicable y obtener el consentimiento expreso cuando sea necesario.
Implementar medidas de seguridad: el Decreto 37554-JP exige medidas técnicas y organizativas adecuadas al riesgo, incluidos controles de acceso, cifrado de los datos sensibles en tránsito y en reposo, y procedimientos documentados de respuesta a incidentes.
Iniciar un análisis de brechas para el Proyecto 23097: si se sanciona la propuesta de ley de reemplazo, se espera un período de transición de 12 meses. Comenzar desde ahora a evaluar las brechas respecto de las obligaciones alineadas con el GDPR previstas en el proyecto (requisitos de evaluación de impacto, base de interés legítimo, designación de delegados de protección de datos, notificación de incidentes).
Preguntas Frecuentes
Aviso Legal
Este artículo presenta información legal general sobre el marco de protección de datos de Costa Rica en virtud de la Ley N.° 8968 y el Decreto Ejecutivo 37554-JP, verificada al 19 de mayo de 2026. No constituye asesoramiento legal ni aborda la situación específica de ninguna persona u organización. Las leyes y los reglamentos cambian, y la legislación de reforma pendiente descrita anteriormente podría modificar las obligaciones aquí analizadas. Las personas y empresas con preguntas específicas sobre el cumplimiento en materia de protección de datos en Costa Rica deberían consultar a un abogado habilitado para ejercer el derecho costarricense.
Fuentes y referencias
- PRODHAB: Agencia de Protección de Datos de los Habitantes (sitio oficial)(prodhab.go.cr).gov
- Ley N.° 8968 de Protección de la Persona frente al Tratamiento de sus Datos Personales (texto completo, SCIJ)(pgrweb.go.cr).gov
- Decreto Ejecutivo 37554-JP: Reglamento a la Ley 8968 (texto completo, SCIJ)(pgrweb.go.cr).gov
- Constitución Política de la República de Costa Rica: Artículo 24 (SCIJ)(pgrweb.go.cr).gov
- Proyecto de Ley N.° 23097: Ley de Protección de Datos Personales (texto base, Asamblea Legislativa)(proyectos.conare.ac.cr).gov
- EuroCloud Europe: actualización legal sobre privacidad e IA, Costa Rica (2025)(eurocloud.org)
- OCDE: perfil de Costa Rica como país miembro(oecd.org)
- Red Iberoamericana de Protección de Datos (RIPD)(redipd.org)
- Freedom House: Costa Rica, Libertad en la Red 2024(freedomhouse.org)
- Siempre al Día: Salario Base en Costa Rica 2026(siemprealdia.co)