Cumplimiento

Ley 8968 y 9048: qué obligaciones de seguridad tiene tu empresa en Costa Rica

Cerberus CR · 15 jun 2026 · 3 min de lectura
Aviso: este artículo es informativo y no constituye asesoría legal. Para tu caso puntual, consultá con un abogado especializado.

Dos leyes costarricenses definen buena parte de lo que tu empresa debe hacer con la información que maneja: la Ley 8968 (protección de datos personales) y la Ley 9048 (delitos informáticos). No son nuevas, pero la digitalización las volvió mucho más relevantes — y el incumplimiento puede traer sanciones y daño reputacional.

Ley 8968: protección de datos personales

La Ley 8968, "Protección de la Persona frente al tratamiento de sus datos personales", regula cómo recopilás, usás y guardás datos de personas. Creó la PRODHAB (Agencia de Protección de Datos de los Habitantes), adscrita al Ministerio de Justicia y Paz, que supervisa el cumplimiento. En la práctica, te obliga a:

  • Obtener consentimiento informado antes de recopilar y usar datos personales.
  • Usar los datos solo para fines legítimos y mantenerlos veraces y actualizados.
  • Implementar medidas de seguridad técnicas y administrativas para protegerlos.
  • Respetar los derechos del titular: acceso, rectificación y eliminación.
  • Registrar ante PRODHAB las bases de datos destinadas a distribución o comercialización.

Ley 9048: delitos informáticos

La Ley 9048 reformó el Código Penal para tipificar delitos informáticos: acceso no autorizado a sistemas, sabotaje, espionaje y suplantación de identidad, entre otros. Para una empresa esto tiene una consecuencia directa y práctica: nadie puede escanear o probar tus sistemas —ni vos los de un tercero— sin autorización escrita. Por eso todo pentest serio arranca con un contrato de autorización.

Checklist práctico para tu PYME

  • Hacé un inventario de qué datos personales tratás y dónde viven.
  • Documentá el consentimiento con el que los recopilás.
  • Publicá una política de privacidad clara y aplicala de verdad.
  • Aplicá medidas técnicas: cifrado, control de accesos, registros (logs).
  • Revisá los contratos con terceros que tratan datos por vos (encargados).
  • Tené un plan ante incidentes: qué hacés si hay una fuga.
  • Verificá si tu base de datos requiere registro ante PRODHAB.

Hacia dónde va la regulación

Se discute en el país una reforma para modernizar la protección de datos hacia estándares tipo GDPR (el reglamento europeo). Adelantarse hoy no solo reduce riesgo legal: te deja listo para lo que viene.

Cómo ayuda una auditoría

Las leyes te exigen "medidas de seguridad", pero no te dicen cuáles te faltan. Ahí entra una auditoría: identifica las brechas técnicas concretas de tu operación y te da un plan priorizado para cerrarlas — convirtiendo una obligación legal abstracta en acciones claras.

¿Auditamos qué tan lejos estás de cumplir?

Ver auditorías WhatsApp

Publicado por Cerberus CR · Telecom · Ciberseguridad · Software · Costa Rica. ← Volver al blog

Contacto

¿Lo llevamos a tu empresa?

Contanos qué necesitás y te enviamos una propuesta a medida. También por WhatsApp.