De conformidad con la Ley de Protección de Datos de Costa Rica, Ley Número 8968 (denominada “Ley de Protección de la Persona frente al Tratamiento de sus Datos Personales”), ninguna persona está obligada a suministrar datos sensibles (tal y como se define más adelante), y está expresamente prohibido, de conformidad con el Artículo 9 de dicha ley (las únicas excepciones a esta prohibición están previstas en la misma ley y son muy específicas) el procesamiento o tratamiento de datos personales que pueda revelar “el origen racial o étnico, opiniones políticas, convicciones religiosas, espirituales o filosóficas, así como los relativos a la salud, la vida y la orientación sexual, entre otros”. Este tipo de datos se consideran como “datos sensibles”

Asimismo, el Artículo 3 de la Ley anteriormente indicada define “datos sensibles” como la “información relativa al fuero íntimo de la persona, como por ejemplo los que revelen origen racial, opiniones políticas, convicciones religiosas o espirituales, condición socioeconómica, información biomédica o genética, vida y orientación sexual, entre otros.”

Si una compañía procesa dicho tipo de datos personales (ya sean datos que correspondan a terceros o bien a sus propios empleados) estaría incumpliendo con las leyes locales y esto podría darle la posibilidad a cualquier titular de datos que se vea afectado con ello (como por ejemplo un empleado) a presentar una queja ante la Agencia de Protección de Datos de los Habitantes (denominada “Prodhab”).

El incumplimiento de dicha prohibición de procesar o tratar datos personales sensibles está expresamente comprendida en el Artículo 31 de la mencionada Ley, tal y como se indica a continuación:

“Serán consideradas faltas gravísimas, para los efectos de esta ley:

1. a) Recolectar, almacenar, transmitir o de cualquier otra forma emplear, por parte de personas físicas o jurídicas privadas, datos sensibles, según la definición prevista en el Artículo 3 de esta ley…”

A pesar de lo indicado anteriormente, las compañías podrían crear procesos alternativos de obtención de datos, e implementar formas creativas para custodiar y usar dicho tipo de datos personales. De igual forma, es muy recomendable que, en los casos en los que la obtención de datos personales sensibles sea absolutamente necesaria para la compañía, se documente y respalde la obtención de dichos datos personales sensibles con la documentación adecuada, evidenciando el otorgamiento del consentimiento informado por parte del titular de los datos a la hora de suministrar sus datos personales sensibles.