El proyecto de ley Nº 22.388 consiste en una enmienda integral a la Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales, Ley Nº 8968, la cual pretende actualizar el marco regulatorio costarricense para hacer frente a las nuevas tendencias y prácticas comerciales. Actualmente, dicho proyecto se encuentra asignado a la Comisión Legislativa de Asuntos Económicos para su respectivo estudio. Los principales cambios de la reforma incluyen lo siguiente:

1. Territorialidad: la ley se aplicará (i) cuando los datos sean recolectados en el país; y (ii) cuando los datos tratados sean de personas que residan en Costa Rica y el tratamiento lo realice un responsable no establecido en el país.
2. Nuevos derechos para los titulares de los datos: adicionalmente a los derechos que actualmente contempla la ley (acceso, consulta, rectificación y eliminación), se han incluido derechos de (i) explicación; (ii) limitación del procesamiento; y (iii) portabilidad.
3. Seguridad de los datos por diseño y por defecto: se incluye disposiciones específicas con respecto a la privacidad por diseño.
4. Persona delegada de protección de datos (Privacy Officer): este se debe nombrar cuando se determina que el tratamiento de datos representa un alto riesgo para la integridad de los datos personales.
5. Códigos de conducta: el responsable promoverá la aplicación de códigos de conducta destinados a contribuir a la correcta aplicación de la ley.
6. Consentimiento de menores: el proyecto incluye disposiciones sobre el quién debe emitir el consentimiento cuando se trata de menores de edad. Actualmente, esto se rige por normas conexas de derecho civil.
7. Evaluación de impacto: es una nueva obligación de tener una evaluación de impacto del procesamiento de datos (Data Protection Impact Assessment) cuando se procesen los datos personales.
8. Registro de la base de datos: esta era una obligación que se había logrado reducir con una reforma al reglamento vigente; sin embargo, están tratando de que vuelva más robusta que antes al establecer que todas las bases de datos deben estar registradas ante la Autoridad, exceptuando aquellas gestionadas por particulares con fines no comerciales.
9. Cambio en la rendición de cuentas: la Autoridad de Privacidad de Datos pasará a ser una entidad sujeta al Poder Legislativo en lugar del Poder Judicial.
10. Capacitaciones: se autoriza a la Autoridad de Privacidad de Datos a brindar asesoramiento y capacitación en protección de datos personales.
11. Multas: tal vez el cambio que más impacto tendrá en todas las industrias es el incremento significativo de las multas por incumplimiento. Específicamente, las multas se han separado en dos categorías (i) multas para particulares; y (ii) multas para empresas. Por un lado, las multas para los particulares han incrementado, siento la más alta de USD 45,000 aproximadamente. Por otro lado, las empresas que incurran en una infracción podrán verse sujetos a una multa que podrá oscilar entre el 2% y el 6% del volumen de negocio total anual global del ejercicio financiero anterior. Adicionalmente, se ha establecido una lista de criterios para fijar la multa aplicable.
12. Canon de regulación: aumento del canon de USD 100 a USD 300 por año.
13. Transferencia transfronteriza de datos: solo se podrá transferir datos personales a un tercer país u organización internacional cuando (i) la Autoridad, haya decidido que el tercer país, un territorio o sectores específicos de ese tercer país, o la organización internacional de que se trate garantizan un nivel de protección adecuado; o (ii) a falta de una autorización, cuando el responsable o el encargado del tratamiento hayan ofrecido garantías adecuadas y que los interesados cuenten con derechos exigibles y acciones legales efectivas.
14. Transitorio de un año: existe un período de un año para que los responsables del tratamiento adapten sus procedimientos, protocolos, contenidos y normas de conducta de acuerdo con el nuevo marco legal.