Artículo 6. Carga de la prueba del consentimiento. Para efectos de demostrar la obtención del consentimiento, la carga de la prueba recaerá, en todos los casos, en el responsable de la base de datos.

Artículo 7. De la revocación. En cualquier momento, el titular podrá revocar su consentimiento para el tratamiento de sus datos personales, para lo cual el responsable deberá establecer mecanismos expeditos, sencillos y gratuitos, que permitan al titular revocar su consentimiento.

Artículo 8. Trámite de la revocación. El responsable de la base de datos, ante la presentación de la solicitud de revocación del consentimiento, contará con un plazo de cinco días hábiles a partir del recibido de la misma, para proceder conforme a la revocación. Asimismo, dentro del mismo plazo de cinco días hábiles, deberá informarles de dicha revocación a aquellas personas físicas o jurídicas a quienes haya transferido los datos, mismas que deberán proceder en un plazo de cinco días hábiles a partir de la notificación a ejecutar la revocación del consentimiento.

La revocación del consentimiento no tendrá efecto retroactivo.

Artículo 9. Plazo para la confirmación de la revocación. Cuando el titular solicite la confirmación del cese del tratamiento de sus datos, el responsable deberá responder en forma gratuita, expresamente en el plazo de tres días hábiles, a partir de la presentación de dicha solicitud.

Artículo 10. Negativa a la revocación. En caso de negativa, expresa o tácita, por parte del responsable, a tramitar la revocación del consentimiento, el titular podrá presentar ante la Agencia la denuncia correspondiente a que refiere la Ley y este Reglamento.

Capítulo III

De los Derechos de los Titulares y su Ejercicio

Artículo 12. Autodeterminación informativa. Es el derecho fundamental de toda persona física, a conocer lo que conste sobre ella, sus bienes o derechos en cualquier base de datos, de toda naturaleza, pública o privada, el fin para el cual está siendo utilizada o recabada su información personal, así como exigir que sea rectificada, actualizada, complementada o suprimida, cuando la misma sea incorrecta o inexacta, o esté siendo empleada para un fin distinto del autorizado o del que legítimamente puede cumplir.

Artículo 13. Ejercicio de los derechos. El ejercicio de cualquiera de los derechos de acceso, rectificación, modificación, revocación o eliminación de los datos personales por parte del titular, no excluye la posibilidad de ejercer unos u otros, ni puede constituir requisito previo para el ejercicio de cualquiera de estos derechos.

Artículo 14. Restricciones al ejercicio de los derechos. El ejercicio de los derechos mencionados en el artículo anterior, podrá restringirse por razones de seguridad nacional, disposiciones de orden público y salud pública o para proteger los derechos de terceras personas, en los casos y con los alcances previstos en las leyes aplicables en la materia, mediante resolución de la autoridad competente debidamente fundamentada y motivada.

Artículo 15. Personas facultadas para el ejercicio de los derechos. Los derechos de acceso, rectificación, modificación, revocación o eliminación, se ejercerán por el titular o su representante, previa acreditación de la titularidad o de la representación.

Artículo 16. Medios y formas para el ejercicio de los derechos. El responsable, deberá poner a disposición del titular, los medios y formas simplificados de comunicación electrónica u otros que considere pertinentes para facilitar a los titulares el ejercicio de sus derechos.

Artículo 17. Medio para recibir notificaciones del titular. En la solicitud de acceso, rectificación, modificación, revocación o eliminación, para los efectos de la Ley y el presente Reglamento, se deberá indicar medio para recibir notificaciones.

En caso de no cumplir con este requisito, opera la notificación automática señalada en la Ley de Notificaciones Judiciales, Ley No. 8687, del 4 del diciembre del 2008, publicado en La Gaceta No. 20 del 29 de enero de 2009, y sus reformas.

Artículo 18. De las solicitudes del titular hacia el responsable. El responsable, deberá dar trámite a toda solicitud para el ejercicio de los derechos personales del titular. El plazo para que se atienda la solicitud será de cinco días hábiles, contados a partir del día siguiente en que la misma haya sido recibida por el responsable, en cuyo caso éste anotará en el acuse de recibo que entregue al titular, la correspondiente fecha de recepción.

El plazo señalado se interrumpirá en caso de que el responsable requiera información adicional al titular.

Artículo 19. Requerimiento de información adicional. En el caso de que la información proporcionada en la solicitud sea insuficiente o errónea para atenderla, el responsable podrá requerir al titular, por una vez y dentro de los cinco días hábiles siguientes a la recepción de la solicitud, que aporte los elementos o documentos necesarios para dar trámite a la misma. El titular contará con un plazo de cinco días hábiles, contados a partir del día siguiente de su recepción, para atender el requerimiento.

De no dar respuesta en dicho plazo, se tendrá por no presentada la solicitud correspondiente. En caso de que el titular, atienda el requerimiento de información, el plazo para que el responsable dé respuesta a la solicitud, será de cinco días hábiles, que empezarán a correr el día siguiente de que el titular, haya atendido el requerimiento.

Artículo 20. Respuesta por parte del responsable. En todos los casos, el responsable deberá dar respuesta a las solicitudes que reciba del titular, con independencia de que figuren o no datos personales de éste en sus bases de datos, de conformidad con el plazo establecido en la Ley y este Reglamento.

La respuesta del responsable al titular, deberá referirse sobre la totalidad del registro perteneciente al titular, aún cuando el requerimiento solo comprenda un aspecto de los datos personales, y deberá presentarse en un formato legible, comprensible y de fácil acceso. En caso de uso de códigos, siglas o claves se deberán proporcionar los significados correspondientes.

Este informe en ningún caso podrá revelar datos pertenecientes a terceros, aún cuando se vinculen con el titular solicitante.

Artículo 21. Derecho de acceso a la información. El titular tiene derecho a obtener del responsable, la información relacionada con sus datos personales, entre ellos lo relativo a las condiciones, finalidad y generalidades de su tratamiento.

Podrá realizar las consultas de información a la base de datos, con un intervalo mínimo de seis meses, salvo que de manera fundamentada el titular exprese al responsable de la base de datos sus motivos y pruebas, por los cuales considera existe una vulneración de sus derechos protegidos en la Ley y el presente Reglamento. En caso de que el responsable de la base de datos considere que los motivos no son de recibo y existiera la posibilidad de un uso abusivo de ese derecho, dentro de los cinco días hábiles siguientes a la solicitud, elevará el asunto ante la PRODHAB, quien resolverá en definitiva, dentro del plazo de diez días hábiles, a partir de la recepción de dicha gestión.

El responsable, deberá evacuar la consulta de información dentro del plazo de cinco días hábiles a partir de la recepción de la solicitud.

Artículo 22. Negativa por parte del responsable. El responsable que niegue el ejercicio de cualquier gestión del titular, deberá justificar por escrito su respuesta. Si el titular lo considera pertinente, podrá acudir ante la Agencia conforme el Capítulo VII "De la Protección de Derechos ante la Agencia" de este Reglamento.

Artículo 23. Derecho de rectificación. El titular podrá solicitar en todo momento al responsable, que rectifique sus datos personales que resulten ser inexactos, incompletos o confusos.

Artículo 24. Requisitos para el ejercicio del derecho de rectificación. La solicitud de rectificación, deberá indicar a qué datos personales se refiere, así como la corrección que se solicita realizar y deberá ser acompañada de la documentación o prueba pertinente que ampare la procedencia de lo solicitado. El responsable, deberá ofrecer mecanismos que faciliten el ejercicio de este derecho en beneficio del titular.

Artículo 25. Derecho de supresión o eliminación. El titular podrá solicitar en cualquier momento al responsable, la supresión o eliminación total o parcial de los datos personales del titular, de manera definitiva.

Artículo 26. Ejercicio del derecho de supresión o eliminación. El titular podrá solicitar en cualquier momento al responsable, la supresión o eliminación total o parcial de los datos personales, salvo en los siguientes casos:

a) La seguridad del Estado;

b) Los datos deban ser mantenidos por disposición constitucional, legal o resolución de órgano judicial;

c) La seguridad ciudadana y el ejercicio de la autoridad pública;

d) La prevención, persecución, investigación, detención y represión de las infracciones penales, o de las infracciones de la deontología en las profesiones;

e) El funcionamiento de bases de datos que se utilicen con fines estadísticos, históricos o de investigación científica, cuando no exista riesgo de que las personas sean identificadas;

f) La adecuada prestación de servicios públicos;

g) La eficaz actividad ordinaria de la Administración, por parte de las autoridades oficiales;

h) Se trate de datos personales de acceso irrestricto, obtenidos de fuentes de acceso público general;

Capítulo IV

Del Tratamiento de los Datos Personales y las Medidas de Seguridad

Artículo 27. Procedimientos para el tratamiento. El responsable establecerá y documentará procedimientos para la inclusión, conservación, modificación, bloqueo y supresión de los datos personales, en el sitio o en la nube, con base en los protocolos mínimos de actuación y las medidas de seguridad en el tratamiento de los datos personales. Además deberá el responsable de la base de datos velar por la aplicación del principio de calidad de la información.

Artículo 28. Condiciones del tratamiento. Corresponde al responsable o al encargado, la difusión, comercialización y distribución de dichos datos, según lo que determine el consentimiento informado otorgado por el titular, aún y cuando estos datos sean almacenados o alojados por un intermediario tecnológico.

Artículo 30. Tratamiento de datos por parte del encargado. El encargado solo podrá intervenir en el tratamiento de las bases de datos personales, según lo establecido en el contrato celebrado con el responsable y sus indicaciones.

Artículo 31. Obligaciones del encargado. El encargado tendrá las siguientes obligaciones en el tratamiento de las bases de datos personales:

a) Tratar únicamente los datos personales conforme a las instrucciones del responsable;

b) Abstenerse de tratar los datos personales para finalidades distintas a las instruidas por el responsable;

c) Implementar las medidas de seguridad y cumplir con los protocolos mínimos de actuación conforme a la Ley, el presente Reglamento y las demás disposiciones aplicables;

d) Guardar confidencialidad respecto de los datos personales tratados;

e) Abstenerse de transferir o difundir los datos personales, salvo instrucciones expresas por parte del responsable.

f) Suprimir los datos personales objeto de tratamiento, una vez cumplida la relación jurídica con el responsable o por instrucciones del responsable, siempre y cuando no exista una previsión legal que exija la conservación de los datos personales.

Artículo 32. De los protocolos mínimos de actuación. Los responsables deberán confeccionar un protocolo mínimo de actuación, el cual deberá ser transmitido al encargado para su fiel cumplimiento y donde al menos, se deberá especificar lo siguiente:

a) Elaborar políticas y manuales de privacidad obligatorios y exigibles al interior de la organización del responsable;

b) Poner en práctica un manual de capacitación, actualización y concientización del personal sobre las obligaciones en materia de protección de datos personales;

c) Establecer un procedimiento de control interno para el cumplimiento de las políticas de privacidad;

d) Instaurar procedimientos ágiles, expeditos y gratuitos para recibir y responder dudas y quejas de los titulares de los datos personales o sus representantes, así como para acceder, rectificar, modificar, bloquear o suprimir la información contenida en la base de datos y revocar su consentimiento.

e) Crear medidas y procedimientos técnicos que permitan mantener un historial de los datos personales durante su tratamiento.

f) Constituir un mecanismo en el cual el responsable transmitente, le comunica al responsable receptor, las condiciones en las que el titular consintió la recolección, la transferencia y el tratamiento de sus datos.

Estas medidas, así como sus posteriores modificaciones, deberán ser inscritas ante la Agencia como protocolos mínimos de actuación.

Artículo 33. Facultad de verificación. La Agencia podrá verificar, en cualquier momento, que la base de datos esté cumpliendo con los términos establecidos en el protocolo mínimo de actuación.

Artículo 34. De las medidas de seguridad en el tratamiento de datos personales. El responsable, deberá establecer y mantener las medidas de seguridad administrativas, físicas y lógicas para la protección de los datos personales, con arreglo a lo dispuesto en la Ley y el presente Reglamento. Se entenderá por medidas de seguridad el control o grupo de controles para proteger los datos personales.

Asimismo, el responsable deberá velar porque el encargado de la base de datos y el intermediario tecnológico cumplan con dichas medidas de seguridad, para el resguardo de la información.

Artículo 35. Factores para determinar las medidas de seguridad. El responsable determinará las medidas de seguridad, aplicables a los datos personales que trate o almacene, considerando los siguientes factores:

a) La sensibilidad de los datos personales tratados, en los casos que la ley lo permita;

b) El desarrollo tecnológico;

c) Las posibles consecuencias de una vulneración para los titulares de sus datos personales.

d) El número de titulares de datos personales;

e) Las vulnerabilidades previas ocurridas en los sistemas de tratamiento o almacenamiento;

f) El riesgo por el valor, cuantitativo o cualitativo, que pudieran tener los datos personales; y

g) Demás factores que resulten de otras leyes o regulación aplicable al responsable.

Artículo 37. Actualizaciones de las medidas de seguridad. Los responsables deberán actualizar las medidas de seguridad cuando ocurran los siguientes eventos:

a) Se modifiquen las medidas o procesos de seguridad para su mejora continua, derivado de las revisiones a la política de seguridad del responsable;

b) Se produzcan modificaciones sustanciales en el tratamiento o almacenamiento, que deriven en un cambio del nivel de riesgo;

c) Se modifique la plataforma tecnológica;

d) Se vulneren los sistemas de tratamiento o almacenamiento de datos personales, de conformidad con lo dispuesto en la Ley y el presente Reglamento; o,

e) Exista una afectación a los datos personales, distinta a las anteriores.

En el caso de datos personales sensibles, cuando la ley lo permita, el responsable deberá revisar y, en su caso, actualizar las medidas de seguridad correspondientes, al menos una vez al año.

Artículo 38. Vulnerabilidad de seguridad. El responsable deberá informar al titular sobre cualquier irregularidad en el tratamiento o almacenamiento de sus datos, tales como pérdida, destrucción, extravío, entre otras, como consecuencia de una vulnerabilidad de la seguridad o que tuviere conocimiento del hecho, para lo cual tendrá cinco días hábiles a partir del momento en que ocurrió la vulnerabilidad, a fin de que los titulares de estos datos personales afectados puedan tomar las medidas correspondientes.

Dentro de este mismo plazo deberá iniciar un proceso de revisión exhaustiva para determinar la magnitud de la afectación, y las medidas correctivas y preventivas que correspondan.

Artículo 39. Información mínima. El responsable deberá informar al titular y a la Agencia, en caso de vulnerabilidades de seguridad, al menos lo siguiente:

a) La naturaleza del incidente;

b) Los datos personales comprometidos;

c) Las acciones correctivas realizadas de forma inmediata; y,

d) Los medios o el lugar, donde puede obtener más información al respecto.

Artículo 41. Cumplimiento de los protocolos mínimos de actuación. Las transferencias de datos personales por parte de los responsables, estarán supeditadas al fiel cumplimiento de los protocolos mínimos de actuación, debidamente inscritos ante la Agencia.

Artículo 42. Carga de la prueba. Para efectos de demostrar que la transferencia de datos personales se realizó conforme a la Ley y el presente Reglamento, la carga de la prueba recaerá en el responsable.

Artículo 43. Contrato para la transferencia de datos. El responsable de la transferencia de datos personales deberá establecer un contrato con el responsable receptor, en el que se prevean, al menos las mismas obligaciones a las que se encuentra sujeto el responsable de la transferencia de dichos datos.

Artículo 46. Constatación de posibles infracciones. La Agencia podrá realizar inspecciones administrativas de oficio, con el fin de constatar si existen posibles infracciones a la Ley o a este Reglamento. En dicho caso el funcionario asignado deberá dejar constancia de la inspección mediante el levantamiento de un acta.

Artículo 47. Bases de datos manuales. La Agencia podrá en cualquier momento y de oficio acceder a las bases de datos manuales sin restricción alguna, cuando exista denuncia presentada ante la Agencia o se tenga evidencia de un mal manejo de la base de datos o sistema de información. Para tales efectos, la Agencia deberá establecer lineamientos que garanticen el debido cumplimiento del secreto profesional o funcional, y para todos los casos llevar una bitácora en donde al menos se consignen el motivo, los accesos y consultas realizadas, así como el funcionario asignado que los realice.

Artículo 48. Procedimiento de inscripción. Inicia con la presentación de la solicitud de inscripción del registro de la base de datos personales ante la Agencia. Dicha solicitud, deberá contener los requisitos exigidos en el presente Reglamento.

La Agencia contará con un plazo de veinte días hábiles, contados a partir de la presentación de la solicitud, para verificar los requisitos de forma y fondo presentados.

Artículo 49. Subsanación de defectos y archivo de la solicitud. Si la solicitud de inscripción del registro de la base de datos presentada, no cumple con los requisitos exigidos por el presente Reglamento, la Agencia requerirá al solicitante que en el plazo de diez días hábiles subsane la omisión. Transcurrido el plazo máximo, sin que el solicitante haya cumplido con la información prevenida, se procederá al archivo de la misma, sin perjuicio que pueda presentarse una nueva solicitud.

Artículo 50. Del pago. Cumplidos todos los requisitos de forma y fondo o subsanada la prevención, se otorgará al solicitante un plazo de diez días hábiles para que cancele el canon anual. De no realizarse el pago del canon en este plazo, se archivará la gestión sin perjuicio de que pueda presentarse una nueva solicitud.

Artículo 51. Resolución de inscripción. El Director de la Agencia, dictará dentro del plazo de diez días hábiles siguientes a la recepción del pago del canon, la resolución de inscripción del registro de la base de datos.

La inscripción del registro de una base de datos ante la Agencia, no exime al responsable al cumplimiento y seguimiento del resto de las obligaciones previstas en la Ley y demás disposiciones reglamentarias.

Artículo 52. Contenido de la resolución de inscripción. En los casos en los que proceda la inscripción del registro de la base de datos ante la Agencia, deberá al menos, consignarse en la resolución de inscripción, la siguiente información:

a) El código asignado por la Agencia a la base de datos;

b) El nombre de la base de datos inscrita y la ubicación de los datos;

c) La identificación del responsable de la base de datos personales y su medio de contacto;

d) Identificación del encargado y su medio de contacto;

e) La categoría de los datos personales que contiene;

f) Los procedimientos de obtención de los datos;

g) Finalidad de tratamiento de los datos personales.

Artículo 53. Resolución de improcedencia. El Director de la Agencia, dentro de los veinte días hábiles contados a partir de la presentación de la solicitud de inscripción, cuando del análisis de los requisitos se determine la improcedencia de la inscripción de la base de datos, según lo dispuesto en la Ley y el presente Reglamento, dictará resolución denegándola.

Artículo 54. Actualización y modificación de los datos inscritos del registro. La información inscrita del registro de la base de datos, deberá mantenerse actualizada. Cualquier modificación a la información de inscripción, que afecte el contenido del registro de la base de datos, deberá ser comunicada por el responsable de la base de datos a la Agencia dentro del plazo de cinco días hábiles posteriores a la modificación o el cambio, a fin de proceder a su actualización.

Artículo 55. Cancelación de la inscripción del registro de las bases de datos. Cuando el propietario o el responsable de la base de datos personales decida la cancelación del registro de la base de datos, deberá presentar una solicitud en tal sentido a la Agencia, indicando expresamente el destino de los datos personales o las previsiones para su eliminación, supresión o destrucción. La Agencia tendrá un mes para proceder con la cancelación de la inscripción del registro de la base de datos.

Capítulo VII

De la Protección de Derechos ante la Agencia

Artículo 58. Inicio del procedimiento de Protección de Derechos. Cualquier persona que ostente un derecho subjetivo o un interés legítimo puede denunciar, ante la Agencia, que una base de datos pública o privada actúa en contravención de las reglas o los principios básicos para la protección de los datos y la autodeterminación informativa, establecidas por la Ley y el presente Reglamento.

Asimismo, la Agencia podrá de oficio iniciar un procedimiento tendiente a verificar si una base de datos, está siendo utilizada o no, conforme a la Ley y al presente Reglamento.

La Agencia en la tramitación del procedimiento de protección de datos, aplicará los principios establecidos en el Libro Segundo de la Ley General de la Administración Pública.

Artículo 59. Causales. El procedimiento de protección de derechos procederá cuando:

a. Se recolecten datos personales para su uso en base de datos sin que se le otorgue suficiente y amplia información a la persona interesada;

b. Se recolecten, almacenen y transmitan datos personales por medio de mecanismos inseguros o que de alguna forma no garanticen la seguridad e inalterabilidad de los datos;

c. Se recolecten, almacenen, transmitan o de cualquier otra forma empleen datos  personales sin el consentimiento informado y expreso del titular de los datos;

d. Se transfieran datos personales a otras personas o empresas en contravención de las reglas establecidas en la Ley y el presente Reglamento;

e. Se recolecten, almacenen, transmitan o de cualquier otro modo empleen datos personales para una finalidad distinta de la autorizada por el titular de la información;

f. Se niegue injustificadamente a dar acceso a un titular sobre los datos que consten en archivos y bases de datos, a fin de verificar su calidad, recolección, almacenamiento y uso conforme a la Ley y este Reglamento;

g. Se niegue injustificadamente a eliminar o rectificar los datos de una persona que así lo haya solicitado por medio claro e inequívoco;

h. Se recolecten, almacenen, transmitan o de cualquier otra forma empleen, por parte de personas físicas o jurídicas privadas datos sensibles, sin el consentimiento de su titular o sin ley o norma especial que lo autorice;

i. Se obtengan de los titulares o terceros, datos personales por medio de engaño, violencia, dolo, mala fé o amenaza;

j. Se revele información registrada en una base de datos personales cuyo secreto esté obligado a guardar conforme a la Ley:

k. Se proporcione a un tercero, información falsa o distinta contenida en un archivo de datos, con conocimiento de ello;

l. Se realice tratamiento de datos personales sin encontrarse debidamente inscrito ante la Agencia;

m. Se transfieran, a las bases de datos de terceros países, información de carácter personal de los costarricenses o de los extranjeros radicados en el país, sin el consentimiento de sus titulares.

n. Por otras causas que a juicio de la Agencia afecten los derechos del titular conforme a la Ley y al presente Reglamento.

Artículo 60. Requisitos de la denuncia. La solicitud de protección de datos deberá contener lo siguiente:

a) Nombres, apellidos y calidades del titular o denunciante;

b) Nombre del dueño o responsable o de la base de datos o bien cualquier elemento que permita identificar al denunciado;

c) Hechos en que se funde la denuncia expuestos uno por uno, enumerados y bien especificados, en forma clara y precisa;

d) Copia de la solicitud del ejercicio de derechos que corresponda, así como copia de los documentos anexos para cada una de las partes, de ser el caso;

e) Documento en que conste la respuesta a su gestión, de ser el caso;

f) En el supuesto en que impugne la falta de respuesta, deberá acompañar una copia en la que conste el acuse o constancia de recepción de la solicitud del ejercicio de derechos;

g) Las pruebas documentales o pertinentes;

h) Pretensión que formule;

i) Señalamiento de medios para recibir notificaciones;

j) Cualquier otro documento que considere procedente someter a juicio de la Agencia.

Artículo 61. Acreditación de la documentación. Si el titular no pudiera acreditar documentalmente que gestionó ante la base de datos, podrá acreditar ante la Agencia la gestión, mediante declaración jurada o acta notarial que haga constar el hecho.

Artículo 62. Subsanación, admisibilidad y archivo. La Agencia podrá prevenir al titular para que en el plazo de diez días hábiles a partir del día siguiente a la recepción de la notificación, aclare y precise la información o documentación presentada, bajo la pena de inadmisibilidad de la denuncia y su consecuente archivo.

Artículo 64. Medidas cautelares. En casos especiales, de manera excepcional, y en cualquier momento, la Agencia podrá disponer las medidas cautelares que estime necesarias para el cumplimiento de la protección de los derechos personales de un titular, respecto del tratamiento de sus datos, debiendo considerar especialmente el principio de proporcionalidad, los caracteres de instrumentalidad y provisionalidad, así como ponderar los eventuales daños y perjuicios que se provoquen con la medida a las partes.

A tal efecto, la Agencia dará audiencia por veinticuatro horas al responsable de la base de datos. Transcurrido dicho plazo, la Agencia deberá resolver sobre la medida, en un plazo máximo de tres días hábiles.

Artículo 65. Recurso contra la resolución que resuelve la medida cautelar. Contra la resolución que resuelve la medida cautelar, cabrá únicamente el Recurso de Reconsideración ante la Agencia, que deberá interponerse dentro del plazo de veinticuatro horas a partir de la notificación. La Agencia deberá resolver el recurso dentro del plazo de tres días hábiles a partir de la interposición del recurso.

Artículo 66. Presupuestos de las medidas cautelares. Para la aplicación de las respectivas medidas cautelares, la Agencia ponderará los intereses en juego y deberá constatar que se esté en presencia de los siguientes presupuestos:

a. Apariencia de buen derecho;

b. Daño inminente y de difícil reparación;

c. Ponderación de los intereses en juego, particularmente la no afectación al interés público.

Artículo 67. Traslado de cargos. Admitida la denuncia la Agencia hará el traslado de cargos a quien corresponda, para que dentro del plazo de tres días hábiles, brinde informe sobre la veracidad de los cargos y aporte la prueba que estime pertinente. Las manifestaciones realizadas se considerarán dadas bajo fe de juramento.

La omisión de rendir informe en el plazo estipulado hará que se tengan por ciertos los hechos acusados.

Artículo 68. Medios de prueba. Los medios de prueba serán los siguientes:

a. Documental físico o electrónico;

b. El resultado de un estudio pericial;

c. Declaraciones juradas de los testigos, debidamente autenticadas;

Las pruebas de cargo y de descargo deberán ser presentadas junto con la denuncia o la contestación, según corresponda.

Artículo 69. Acto final. La Agencia resolverá el procedimiento de protección de derechos en el plazo de un mes, a partir la firmeza de la resolución que resuelva sobre la admisibilidad de la denuncia.

Artículo 70. Fijación de sanciones. La Agencia, en caso de que así correspondiere como resultado del procedimiento administrativo realizado, procederá a imponer las sanciones respectivas según éstas hayan sido determinadas como leves, graves o gravísimas, conforme lo dispone la Ley, lo anterior tomando en cuenta el hecho generador de la infracción, en el mismo acto final. En tal supuesto, se deberá enumerar las infracciones en las que incurrió el responsable, el monto que debe cancelar, el plazo para hacerlo y el número de cuenta que para el efecto designará la Agencia, a su vez cuando corresponda, el plazo para la modificación, suspensión o eliminación de los datos personales.

Además, la Agencia podrá imponer apercibimientos escritos a aquellas acciones u omisiones que atenten contra los derechos consagrados en la Ley y este Reglamento.

Capítulo VIII

Del Procedimiento de Cobro

Artículo 73. Inicio del Procedimiento de Cobro Administrativo. Cuando no se cancelen las sanciones pecuniarias impuestas o los cánones que correspondan, en el plazo dado por la Agencia en el acto final del procedimiento de protección de derechos o resolución al efecto, procederá el inicio del procedimiento de cobro.

Corresponderá al Área Administrativa de la Agencia, proceder a gestionar el cobro de dichos montos a los responsables.

La resolución inicial deberá contener al menos:

a) La indicación del expediente correspondiente.

b) La identificación de la entidad pública o privada, responsable de una base de datos personales, contra quien se procede a realizar el cobro.

c) Enumeración de las infracciones en las que se incurrió el responsable o en los cánones omitidos, según corresponda.

d) El monto que debe cancelar dentro del plazo de diez días hábiles, a partir de la notificación de la resolución inicial, y el número de cuenta que para el efecto designará la Agencia.

Artículo 74. Multas e intereses moratorios. Cumplido el plazo dentro del cual el responsable debió cancelar la multa impuesta, empezarán a correr los intereses moratorios sobre las sumas sin pagar a tiempo, desde el momento en que debió satisfacerse la obligación, hasta la fecha de su efectivo pago, los cuales se fijarán según la resolución vigente que define la base de cálculo de la tasa de interés a cobrar sobre deudas a cargo del sujeto pasivo, emitida por la Dirección General de Hacienda, de conformidad con el Código de Normas y Procedimientos Tributarios.

Artículo 75. Criterio de oportunidad. El Área Administrativa deberá actualizar cada mes de enero, el monto sobre el cual procederá la Declaratoria de Cuenta Incobrables para el cobro judicial, de conformidad con el análisis de costo beneficio de acuerdo con el Índice de Precios al Consumidor (IPC) del Banco Central de Costa Rica. Considerando al menos:

a. Examen de la magnitud de la deuda.

b. Existencia de bienes del deudor.

c. Bienes gravados en exceso.

d. Costo probable de la ejecución o bien de la interposición de las acciones judiciales.

e. Indicación de los obstáculos materiales con que se cuenta, tales como deudor no localizable, deudor sin actividades, entre otros.

El Área Administrativa en los casos que corresponda, declarará la incobrabilidad de la deuda, atendiendo al escaso beneficio de su cobro en relación con los costos en que debe de incurrirse para llevar adelante la gestión.

Artículo 76. Acto final del procedimiento de cobro. Vencido el plazo otorgado para cancelar la deuda y sin que el pago se haya realizado en tiempo y forma, el Área Administrativa, previa aplicación del criterio de oportunidad, emitirá resolución trasladando al Área Jurídica de la Agencia, el expediente de cobro administrativo para que se proceda con el trámite del cobro judicial correspondiente.

Artículo 77. Arreglo de pago. Procederá el arreglo de pago en toda gestión de cobro administrativo o judicial, en que el responsable en su condición de deudor, lo solicite ante el Área Administrativa, siempre que se cuente con las garantías y demás condiciones que así se requieran para el caso en particular.

Procederá el arreglo de pago, en el tanto se cumplan los siguientes requisitos:

a) Cancelar las costas procesales y personales irrogadas en relación con la prosecución del juicio, en caso de que las hubiere.

b) Constituir una garantía suficiente a juicio del Área Administrativa, según corresponda, que cubra el monto adeudado, más los intereses y mora vencidos.

En ningún caso se podrá condonar capital, intereses o mora.

Capítulo IX

Del Pago de los Cánones

Artículo 78. Canon anual de regulación y administración de bases de datos. De conformidad con la Ley, todas las bases de datos, públicas o privadas, con fines de distribución, difusión o comercialización, deben inscribirse ante la Agencia, y por ende cancelar ante ésta, la suma de doscientos dólares moneda de curso legal de los Estados Unidos de América (USD $200,00), al tipo de cambio mayor de referencia de venta del Banco Central de Costa Rica del día en que se realice el pago. Dicho monto corresponde al canon anual de regulación y administración de las bases de datos.

Artículo 79. Plazo para el pago. El plazo para el pago del canon anual será del 1º al 31º enero de cada año. Los responsables de las bases de datos inscribibles, deberán depositar en la cuenta bancaria que la Agencia determine el monto correspondiente al canon anual.

Artículo 80. Pago proporcional. Cuando el tratamiento de los datos personales, inicie posterior a la fecha del pago del canon anual de regulación y administración de bases de datos, el responsable, deberá pagar de manera proporcional el monto que le corresponda de los doscientos dólares moneda de curso legal de los Estados Unidos de América (USD $200,00).

El plazo para el pago del canon anual en estos casos, será de un mes calendario a partir de la fecha de inicio del tratamiento de los datos personales o de la fecha de inscripción de la base de datos ante la Agencia, la primera que sea fehacientemente verificable.

Artículo 81. Canon por venta de datos del fichero. El responsable deberá depositar en la cuenta bancaria que la Agencia determine, la suma de un dólar moneda de curso legal de los Estados Unidos de América (USD $1,00), al tipo de cambio mayor de referencia de venta del Banco Central de Costa Rica del día en que se realice la venta, por concepto de canon por cada venta de datos del fichero que corresponda a una persona, identificada o identificable, que se encuentre registrada en una base de datos de forma legítima.

El pago de este canon deberá realizarse a favor de la Agencia, dentro de los primeros diez días hábiles, del mes siguiente en que se realizó la venta de datos de cada fichero.

Artículo 83. Canon e intereses moratorios. Cumplido el plazo dentro del cual el responsable debió cancelar el canon correspondiente, empezarán a correr los intereses moratorios sobre las sumas sin pagar a tiempo, desde el momento en que debió satisfacerse la obligación, hasta la fecha de su efectivo pago, los cuales se fijarán según la resolución vigente que define la base de cálculo de la tasa de interés a cobrar sobre deudas a cargo del sujeto pasivo, emitida por la Dirección General de Hacienda, de conformidad con el Código de Normas y Procedimientos Tributarios.

Artículo 84. Incumplimiento. En caso de incumplimiento del pago del canon respectivo, se aplicará el mismo procedimiento de cobro establecido en este Reglamento.

Capítulo X

De la Agencia

Artículo 85. Régimen de empleo. La Agencia de Protección de Datos estará bajo el Régimen de Empleo Público y excluido del Régimen del Servicio Civil, estando facultada para la incorporación del personal administrativo, técnico y profesional que satisfaga las necesidades del servicio público.

Para hacerse acreedor de este Régimen bajo el principio de idoneidad demostrada, deberá realizarse un concurso público, para lo cual se deberá realizar y aprobar las pruebas que la Agencia determine necesarias.

Artículo 86. Tipos de concursos. Posterior a la realización del concurso público y con el fin de administrar el recurso humano según las necesidades y promover la carrera administrativa, la Agencia estará en la facultad de llevar a cabo concursos internos, internos ampliados, externos, nombramientos interinos u otros mecanismos que puedan garantizar el funcionamiento de la Institución.

Artículo 87. Manual de cargos y puestos. La Agencia, deberá contar con los manuales de cargos y puestos. Será responsabilidad de la Agencia la continua actualización de los mismos.

Artículo 88. Reclutamiento y selección. El proceso de reclutamiento y selección deberá de contar con las siguientes fases:

a) Reclutamiento: Con base en los requerimientos de los manuales de cargos y puestos y las necesidades de la Agencia en cuanto a personal, se definirán y publicarán los requisitos de cada puesto requerido. El reclutamiento puede hacerse tanto a lo interno como externo de la Agencia. Asimismo, se conformará un registro de elegibles por cada puesto, mismo que se integrará de notas de mayor a menor.

b) Selección: La Agencia definirá las metodologías, pruebas, herramientas y criterios de selección que considere oportunas a aplicar para la selección del personal.

c) Conformación de ternas o nóminas: Estarán conformadas de acuerdo con la posición de los participantes dentro del registro de elegibles, pudiendo la Agencia escoger a cualquiera de las personas que las integren.

Todos los procesos de gestión y administración de recurso humano que aplique la Agencia deberán cumplir las normas técnicas generalmente aceptadas en la materia.

Artículo 89. Periodo de prueba. Todo el personal de la Agencia estará sometido a un periodo de prueba de hasta seis meses.

Artículo 90. Vigencia: Rige a partir de su publicación.

Dado en la Presidencia de la República.-San José, a los treinta días del mes de octubre del dos mil doce.

TRANSITORIO I

Por una única vez, las personas responsables de una base de datos, deberán pagar el canon anual de regulación y administración de bases de datos, a partir del 06 de Marzo del 2013, cancelando por tanto, el monto proporcional que corresponda.