La protección de datos personales y la seguridad de la información en la era del Estado Digital

Escrito por. Licda. Alejandra Vega Abrahams | Directora ejecutiva de Avalex | Consultora Empresarial CR

En la era de la transformación digital, estamos presenciando efectos acelerados de la tecnología, según la OCDE la digitalización en la que nos encontramos actualmente ha impactado la economía moderna, a tal punto que se puede considerar como una “economía digital”, caracterizada por el uso de la inteligencia artificial, automatización avanzada, ciberseguridad como prioridad global, gobernanza de datos y derechos digitales, consolidando la posición de la OCDE, al materializarse una infraestructura digitalizada en la economía y en la sociedad. 

Costa Rica impulsa la consolidación de un Estado Digital mediante un marco normativo e institucional robusto, este desarrollo se apoya, en primer lugar, en la Ley 8968 sobre protección de datos personales, la Ley 8454 sobre firmas digitales y las reformas al Código Penal en materia de delitos informáticos. Asimismo, el MICITT incorpora estándares internacionales como ISO/IEC 27000, NIST y COBIT, mientras que entidades de fiscalización como la SUTEL, el CONASSIF y el Poder Judicial integran medidas de ciberseguridad y gestión digital en sus respectivos ámbitos. A ello se suma la adhesión al Convenio de Budapest y la adopción de directrices internacionales, que fortalecen los ecosistemas digitales tanto en el sector público como en el privado del país.

Este cuerpo normativo busca proteger el activo más importante actualmente la “información”, para la sociedad costarricense, este activo revolucionó a tal punto que resulta imprescindible entender la convergencia entre la “seguridad de la informacion” la cual  obedece al conjunto de normas que se implementan en las organizaciones en la mayoría de los casos de manera voluntaria, con el propósito de proteger y garantizar los procesos, además de minimizar riesgos asociados, y el concepto de “protección de datos” el cual en su esfera de aplicación se fundamenta en la protección y control de las personas físicas, en relación a su autodeterminación informativa.

En virtud de esta conceptualización la Sala Constitucional en su Resolución Nº 2025015431 dispone … “El derecho a la autodeterminación informativa constituye una manifestación autónoma del derecho fundamental a la intimidad, reconocido en el artículo 24 de la Constitución Política. Este derecho garantiza a toda persona el control sobre la información personal que la identifica, regula el modo en que se recolecta, almacena, procesa y transmite dicha información, y establece que cualquier intervención estatal en este ámbito debe estar sometida a principios de legalidad, finalidad, necesidad, proporcionalidad, transparencia y consentimiento informado” …

En el contexto del Estado Digital de Costa Rica, la gestión de riesgos se convierte en el puente entre la seguridad de la información y la protección de datos personales, pues una falla organizacional puede derivar directamente en la vulneración de derechos fundamentales. Para ello tomar en consideración la Gestión de Riesgos en las entidades públicas y privadas, favorece a la continuidad de los negocios, garantizando un funcionamiento eficaz y eficiente de sus operaciones.  De manera que la educación en la materia es la mayor prevención que se puede tener frente a los vectores de ataques cibernéticos.  Las grandes, medianas, pequeñas y microempresas, se encuentran expuestas a las vulnerabilidades y amenazas cibernéticas, cualquier descuido podría desencadenar un incidente de seguridad que podría costar millones de dólares en multas y sanciones, además del impacto reputacional de generarse un incidente en la seguridad de la información y sus datos sensibles.

Por tal razón, se recomienda identificar los tipos de riesgos que se pueden presentar y clasificarlos, es decir saber, cuales son y como afectan a la organización, ayuda a minimizar el posible impacto en caso de un incidente de seguridad. Existen factores de origen internos y eternos, además de los riesgos reputacionales, operacionales, financieros y comerciales entre otros. Una vez identificados los riesgos y clasificados se debería de implementar una matriz de riesgos personalizada a la organización, con el propósito de tener un dato cualitativo, cuantitativo o mixto de la calificación de los riesgos potenciales. 

Un dato importante sobre los riesgos es que, la amenaza puede persistir tras aplicar controles técnicos, es decir siempre quedará un “riesgo residual” sin embargo el objetivo es equilibrar la inversión en protección con la operatividad, asumiendo estratégicamente los riesgos que no pueden mitigarse totalmente. Así mismo, las entidades pueden incorporar estándares internacionales con “pensamiento riesgo” como, la ISO 31000 que proporciona principios y directrices para gestionar cualquier tipo de riesgo, o la ISO/IEC 27001, la cual contribuye a realizar evaluaciones de riesgo que protejan la confidencialidad, integridad y disponibilidad de los activos de la información, ideal en el contexto digital en el que nos encontramos. 

Según Meta Compliance (2025), una de las lecciones más críticas es que "la identidad es la principal superficie de ataque", lo que exige que las organizaciones dejen de centrarse únicamente en el programa maligno para priorizar la protección de credenciales y sesiones de usuario.

En este contexto, la gestión de riesgos debe integrarse de manera transversal en la estrategia de negocio, es decir no basta con implementar medidas técnicas y organizativas, sino que requiere una cultura de "concienciación en materia de seguridad” o como lo ha venido desarrollando la PRODHAB aplicar el principio de “Accountability” para disminuir las brechas de incidentes de seguridad. Las tendencias para este año 2026 indican que el éxito no dependerá solo de la recuperación ante ataques, sino de una gobernanza proactiva que alinee la protección de datos con los objetivos financieros y operativos. De esta forma, las empresas que logren automatizar su gestión de cumplimiento y fomentar comportamientos seguros estarán mejor preparadas para enfrentar un panorama donde la ingeniería social y el robo de datos.

Los protocolos mínimos de actuación contemplados en la Ley 8968, fomentan un ambiente controlado en los ecosistemas digitales de las entidades, no obstante, se necesita robustecer mediante las medidas técnicas y organizativas como las antes mencionadas, para contrarrestar las estadísticas de cibercrimen. No son la solución absoluta, ni garantizan que no existan ataques, pero permiten minimizar los riegos que, en caso de materializarse, las consecuencias estén dentro del perímetro de apetito del riesgo de las organizaciones. 

Además, permiten operacionalizar la protección de derechos fundamentales de los habitantes dentro de las organizaciones, traduciendo los principios constitucionales en reglas claras de tratamiento, acceso, conservación y seguridad de la información. 

Según la Revista Estrategia & Negocios. (2025, 24 de febrero). “Costa Rica registró 29,1 millones de intentos de ciberataques en la primera mitad de 2025” Las estadísticas están presentes y revelan la importancia de educarnos en la materia, no podemos obviar que estamos en la era digital y cada día las organizaciones se encuentran expuestas ante estas amenazas, Por otro lado, la Revista - Redacción IT NOW. (28 de diciembre de 2025) las Proyecciones de Microsoft indican que el 78% de las organizaciones priorizará ciberseguridad en 2026, impulsado por amenazas crecientes con IA. 

En conclusión, en un entorno cada vez más digitalizado y expuesto a amenazas constantes, las pymes no pueden asumir que la ciberseguridad es un tema exclusivo de las grandes corporaciones, la verdadera fortaleza de una organización no radica únicamente en la adquisición de herramientas tecnológicas, sino en la formación continua de su personal, la prevención oportuna de riesgos y la creación de una cultura de concienciación frente al uso seguro de la información. 

Capacitar a los equipos de trabajo en buenas prácticas digitales, protección de datos y detección temprana de incidentes no solo reduce vulnerabilidades, sino que también fortalece la continuidad del negocio, la confianza de los clientes y el cumplimiento normativo. Apostar por la educación y la prevención es, hoy más que nunca, una decisión estratégica para que las pymes costarricenses construyan un entorno digital corporativo más seguro, resiliente y sostenible.