Menu

Blog

Explore nuestro blog y manténgase al día con novedades, guías y análisis sobre cumplimiento normativo, gestión de riesgos y regulaciones en Costa Rica.

CNL Craniley - Compliance

Leyes clave que definen el cumplimiento en Costa Rica

diciembre 10, 2025

Alexis Vega Montoya

Costa Rica cuenta con un marco normativo robusto que exige a organizaciones públicas y privadas implementar programas de cumplimiento. Estas leyes no solo regulan conductas, sino que establecen estructuras preventivas concretas:

Ley 7786: Estupefacientes, legitimación de capitales y actividades conexas.

Marco legal para la prevención del lavado de dinero, el financiamiento al terrorismo y la proliferación de armas de destrucción masiva.

Ámbito de aplicación: La Ley 7786 establece el marco jurídico costarricense para prevenir, detectar y sancionar operaciones vinculadas al lavado de dinero, el financiamiento de actividades terroristas y, más recientemente, la proliferación de armas de destrucción masiva. Su alcance ha sido ampliado mediante reformas y reglamentos complementarios, como el Acuerdo SUGEF 13-19, que introduce un enfoque basado en riesgos para todos los sujetos obligados.

Sujetos obligados:

  • Entidades financieras supervisadas por la SUGEF, como bancos, cooperativas, mutuales y financieras.
  • Actividades y Profesiones No Financieras Designadas (APNFD):
    • Abogados y notarios
    • Contadores públicos
    • Agentes inmobiliarios.
    • Joyeros y casas de empeño
    • Empresas administradoras de dinero de terceros. 
    • Personas físicas y jurídicas que presten dinero. 
    • Empresas que brinden servicios fiduciarios. 
    • Otros sectores definidos en los artículos 15 y 15 Bis de la ley.

Obligaciones principales:

  • Aplicar medidas de debida diligencia y, cuando corresponda, diligencia reforzada para conocer al cliente y su perfil de riesgo. 
  • Establecer sistemas de clasificación de riesgo por tipo de cliente, actividad y operación.
  • Monitorear y analizar operaciones inusuales, atípicas o complejas, con base en indicadores definidos por la UIF.
  • Reportar operaciones sospechosas ante la Unidad de Inteligencia Financiera (UIF) del ICD.
  • Capacitar al personal en prevención de legitimación de capitales, financiamiento al terrorismo y proliferación de armas.
  • Documentar políticas internas, manuales de prevención y matrices de riesgo sectorial.
  • Inscribirse ante la SUGEF y cumplir con los requisitos de supervisión, sin que esto implique autorización para operar.

Definición legal: La ley define la legitimación de capitales como “el proceso mediante el cual se encubren o disimulan los orígenes ilícitos de bienes o activos.”

Enfoque actual: Desde la reforma de 2016, Costa Rica ha adoptado un enfoque más integral y preventivo, alineado con los estándares del GAFILAT y el GAFI. La Evaluación Nacional de Riesgos (ENR) y su Plan de Acción han permitido identificar vulnerabilidades sectoriales y fortalecer la respuesta institucional.

Ley 9699: Responsabilidad penal de las personas jurídicas.

Marco legal para prevenir delitos corporativos y fortalecer la ética organizacional

Ámbito de aplicación: La Ley 9699 regula la responsabilidad penal de las personas jurídicas en Costa Rica por la comisión de delitos como

  • Cohecho doméstico e internacional
  • Soborno transnacional
  • Tráfico de influencias
  • Legitimación de capitales
  • Falsificación de registros contables
  • Otros delitos contemplados en la Ley 8422 (Corrupción en la función pública), el Código Penal y el artículo 69 de la Ley 7786
  • Esta ley responde a compromisos internacionales adquiridos por Costa Rica, especialmente ante la OCDE, y busca alinear el país con estándares globales de integridad corporativa y lucha contra la corrupción.

Sujetos obligados: Toda persona jurídica, pública o privada, nacional o extranjera, que opere en Costa Rica. Esto incluye:

  • Empresas privadas costarricenses y extranjeras domiciliadas en el país.
  • Empresas públicas estatales y no estatales.
  • Instituciones autónomas vinculadas a relaciones comerciales internacionales.

Obligaciones principales:

  • Diseñar e implementar un modelo de prevención penal que incluya políticas, procedimientos y controles internos adecuados al tamaño, giro y nivel de riesgo de la organización.
  • Establecer canales de denuncia confidenciales y seguros, accesibles para empleados, proveedores y terceros.
  • Capacitar al personal en ética, cumplimiento y prevención de delitos corporativos, con enfoque en cultura organizacional.
  • Documentar procesos, decisiones sensibles y medidas adoptadas, como evidencia de diligencia debida.
  • Nombrar un encargado del modelo de prevención, con autonomía respecto a la administración y los socios.

Eximente de responsabilidad penal (Artículo 3): 
“La persona jurídica no será penalmente responsable si demuestra que, antes del hecho, había adoptado e implementado un modelo de prevención eficaz.”

Este principio introduce una lógica de autorresponsabilidad corporativa, donde el cumplimiento no solo mitiga riesgos, sino que puede exonerar penalmente a la organización si demuestra diligencia previa y efectiva.

Enfoque estratégico: La ley promueve un modelo facultativo de prevención penal, que debe adaptarse a la realidad operativa de cada organización. Este modelo se convierte en una herramienta de gobernanza, gestión de riesgos y reputación institucional. No se trata solo de evitar sanciones, sino de construir confianza y sostenibilidad.

Ley 8422: Contra la corrupción y el enriquecimiento ilícito en la función pública.

Marco legal para promover la probidad, prevenir el abuso de poder y fortalecer la confianza institucional.

Ámbito de aplicación: La Ley 8422, promulgada en 2004, establece el marco jurídico para prevenir, detectar y sancionar actos de corrupción en el ejercicio de la función pública. Su objetivo central es garantizar que los servidores públicos actúen con probidad, transparencia y responsabilidad, en beneficio del interés colectivo.

Aplica a toda persona que ejerza funciones públicas, incluyendo funcionarios de hecho, empleados de empresas públicas, representantes legales de personas jurídicas que administren fondos públicos, y cualquier actor que tenga relación directa con la gestión estatal.

Sujetos obligados:

  • Funcionarios públicos de órganos estatales y no estatales
  • Empresas públicas y entes descentralizados
  • Personas jurídicas que administren o custodien bienes públicos
  • Apoderados, gerentes y representantes legales vinculados a la gestión pública
  • Servidores de hecho, sin importar el carácter imperativo, remunerado o permanente de su función.

Obligaciones principales:

  • Cumplir con el deber de probidad, orientando la gestión pública hacia la satisfacción del interés general, con eficiencia, legalidad y equidad.
  • Evitar conflictos de interés, absteniéndose de participar en decisiones que puedan beneficiarlos directa o indirectamente.
  • Declarar bienes y patrimonio, mediante mecanismos de transparencia y rendición de cuentas.
  • Denunciar actos de corrupción, y colaborar con las autoridades competentes en su investigación.
  • Respetar la legalidad en el uso de recursos públicos, evitando el fraude de ley y la desviación de fines institucionales.
  • Someterse a sanciones administrativas, civiles y penales, en caso de incumplimiento comprobado.

Principio rector (Artículo 3):

“El funcionario público estará obligado a orientar su gestión a la satisfacción del interés público.”

Este deber se manifiesta en la planificación, eficiencia, rectitud y rendición de cuentas en el ejercicio de sus funciones.

Enfoque actual: La Ley 8422 se complementa con jurisprudencia administrativa de la Contraloría General y la Procuraduría General de la República, que han interpretado sus alcances en casos concretos. También se articula con la Ley 9699 sobre responsabilidad penal de personas jurídicas, fortaleciendo el ecosistema normativo de prevención y ética pública.

Ley N.º 8454. Ley de Certificados, Firmas Digitales y Documentos Electrónicos

Marco legal para garantizar la autenticidad, integridad y seguridad jurídica de los documentos electrónicos en Costa Rica, fortaleciendo la trazabilidad institucional y la ciberseguridad organizacional.

Ámbito de aplicación: Aplica a todas las entidades públicas y privadas que gestionen documentos electrónicos, procesos administrativos digitales o comunicaciones que requieran autenticación legal. Cubre el uso de certificados digitales, firmas electrónicas y plataformas de validación documental

Sujetos obligados:

  • Instituciones del Estado (ministerios, municipalidades, entes autónomos).
  • Empresas privadas que operen con documentos electrónicos legalmente vinculantes.
  • Proveedores de servicios de certificación digital.
  • Usuarios que firman digitalmente en procesos administrativos, contractuales o judiciales.

Obligaciones principales:

  • Garantizar la autenticidad, integridad y no repudio de los documentos electrónicos.
  • Implementar sistemas de firma digital certificados por el Estado.
  • Proteger la infraestructura tecnológica que respalda los procesos digitales.
  • Capacitar al personal en el uso seguro de herramientas digitales.
  • Integrar protocolos de respaldo, control de accesos y trazabilidad documental.

Definiciones clave:

  • Firma digital: mecanismo criptográfico que vincula un documento con su autor, garantizando autenticidad y no alteración.
  • Certificado digital: credencial electrónica emitida por una entidad certificadora que valida la identidad del firmante.
  • Documento electrónico: cualquier archivo digital con contenido legal, administrativo o contractual que requiere validación formal.

Enfoque actual: La Ley 8454 se ha convertido en un pilar de la ciberseguridad institucional. En el contexto de cumplimiento, permite blindar procesos administrativos, reducir riesgos de fraude y fortalecer la trazabilidad ética.

  • Las organizaciones deben integrar esta ley en sus manuales de cumplimiento, protocolos de gestión documental y matrices de riesgo digital.
  • Su aplicación es clave para prevenir suplantación de identidad, manipulación de información y pérdida de evidencia legal.
  • Se recomienda vincularla con la Estrategia Nacional de Ciberseguridad 2023–2027 y con estándares como ISO/IEC 27001.

Ley N.º 7554. Ley Orgánica del Ambiente.

Marco legal para garantizar la protección del entorno natural, promover el desarrollo sostenible y prevenir impactos ambientales negativos en Costa Rica.

Ámbito de aplicación: Aplica a todas las actividades públicas y privadas que puedan generar impacto ambiental en el territorio costarricense. Cubre desde proyectos de infraestructura hasta operaciones cotidianas de empresas, instituciones y comunidades.

Sujetos obligados:

  • Empresas privadas (industriales, comerciales, agrícolas).
  • Instituciones públicas con proyectos o servicios que afecten el ambiente
  • Municipalidades y entes territoriales.
  • Personas físicas o jurídicas que desarrollen actividades con impacto ambiental.

Obligaciones principales:

  • Realizar evaluaciones de impacto ambiental (EIA) antes de iniciar proyectos.
  • Cumplir con regulaciones sobre residuos, emisiones, uso de recursos naturales.
  • Promover la sostenibilidad y la prevención de daños ecológicos.
  • Integrar criterios ambientales en la planificación institucional.
  • Reportar y mitigar incidentes ambientales.

Definiciones clave:

  • Desarrollo sostenible: modelo que satisface necesidades actuales sin comprometer las futuras.
  • Impacto ambiental: alteración significativa del entorno causada por una actividad humana.
  • Evaluación ambiental: proceso técnico y legal para determinar la viabilidad ecológica de un proyecto.

Enfoque actual. La Ley 7554 se ha fortalecido como parte del cumplimiento ético ambiental.

  • Las organizaciones deben incluir la dimensión ambiental en sus matrices de riesgo, códigos de ética y protocolos de debida diligencia.
  • Se vincula con la trazabilidad ecológica, la reputación institucional y la responsabilidad social empresarial.
  • En el marco del cumplimiento, esta ley permite integrar la ética ecológica como parte de la cultura preventiva costarricense.

Ley 7472: Promoción de la competencia y defensa efectiva del consumidor.

Marco legal para garantizar mercados transparentes, proteger al consumidor y fomentar la libre competencia en Costa Rica.

Ámbito de aplicación: La Ley 7472, promulgada en 1994, establece el marco jurídico para promover la competencia leal entre agentes económicos y proteger los derechos de los consumidores en el mercado costarricense. Su enfoque combina la eliminación de prácticas anticompetitivas con la defensa activa de los intereses legítimos de quienes adquieren bienes y servicios.

Aplica a todas las personas físicas o jurídicas que participen en actividades económicas, ya sea como oferentes, demandantes, productores, distribuidores o prestadores de servicios, sin importar si son nacionales o extranjeros.

Sujetos obligados:

  • Empresas privadas y públicas que comercialicen bienes o servicios.
  • Comerciantes, proveedores, distribuidores y productores.
  • Entidades reguladoras del Estado.
  • Agentes económicos en general, incluyendo plataformas digitales y operadores transfronterizos.

Obligaciones principales:

  • Evitar prácticas monopolísticas, colusorias o abusivas, que limiten la competencia o afecten el bienestar del consumidor.
  • Respetar los derechos del consumidor, incluyendo el acceso a información clara, veraz y suficiente sobre productos y servicios.
  • Garantizar condiciones equitativas en contratos de adhesión, evitando cláusulas abusivas o predispuestas unilateralmente.
  • Eliminar restricciones injustificadas al comercio, simplificando trámites y regulaciones que obstaculicen la libre empresa.
  • Facilitar mecanismos de resolución de conflictos, como la conciliación y el acceso a instancias administrativas o judiciales.
  • Cumplir con estándares de calidad, seguridad y etiquetado, especialmente en productos que afecten la salud o el ambiente.

Definiciones clave (Artículo 2):

  • Agente económico: Toda persona física o jurídica que participa en el mercado como oferente o demandante de bienes o servicios.
  • Consumidor: Quien adquiere, disfruta o utiliza bienes o servicios como destinatario final.
  • Contrato de adhesión: Convenio cuyas condiciones han sido predispuestas unilateralmente por una parte y deben ser aceptadas en su totalidad por la otra.

Enfoque actual: La Ley 7472 se articula con reglamentos técnicos, normas de etiquetado, y políticas de protección al consumidor impulsadas por el Ministerio de Economía, Industria y Comercio (MEIC). También se vincula con tratados internacionales de libre comercio, que exigen transparencia, competencia leal y mecanismos efectivos de defensa del consumidor.

Ley 8968: Protección de datos personales.

Marco legal para salvaguardar la privacidad, la autodeterminación informativa y los datos sensibles en Costa Rica.

Ámbito de aplicación: La Ley 8968, publicada en 2011, establece el marco jurídico para garantizar el respeto a los derechos fundamentales de las personas frente al tratamiento de sus datos personales. Su objetivo principal es proteger la autodeterminación informativa, es decir, el derecho de cada persona a decidir sobre el uso, acceso y destino de su información privada. Aplica tanto a bases de datos automatizadas como manuales, gestionadas por organismos públicos y privados, siempre que los datos sean utilizados con fines distintos a los personales o domésticos.

Sujetos obligados: Toda organización pública, privada, nacional o extranjera—que recolecte, almacene, procese o transfiera datos personales en Costa Rica. Esto incluye:

  • Empresas comerciales.
  • Instituciones educativas.
  • Entidades financieras.
  • Organizaciones sin fines de lucro.
  • Plataformas digitales y proveedores de servicios tecnológicos.

Obligaciones principales:

  • Obtener consentimiento informado, claro y específico del titular antes de recolectar o tratar sus datos.
  • Garantizar la seguridad de la información, mediante medidas técnicas y organizativas que eviten accesos no autorizados, pérdidas o alteraciones.
  • Permitir el ejercicio de los derechos ARCO (Acceso, Rectificación, Cancelación y Oposición), asegurando canales accesibles y respuestas oportunas.
  • Designar un responsable de protección de datos, encargado de velar por el cumplimiento normativo y atender solicitudes de los titulares.
  • Registrar las bases de datos ante la Agencia de Protección de Datos de los Habitantes (Prodhab), entidad adscrita al Ministerio de Justicia y Paz.

Definición legal de dato sensible:

“Dato personal sensible es aquel que afecta la intimidad del titular, como origen étnico, salud, creencias religiosas, opiniones políticas, vida sexual, información biomédica o genética.”

Estos datos están sujetos a un régimen de protección reforzado, y su tratamiento solo puede realizarse bajo condiciones estrictas de legalidad, necesidad y proporcionalidad.

Enfoque actual: La Ley 8968 se complementa con el Reglamento N° 37554-JP y con jurisprudencia constitucional que reconoce la autodeterminación informativa como un derecho fundamental. En el contexto digital, esta ley se vuelve esencial para proteger a los ciudadanos frente a la automatización, la inteligencia artificial y el uso masivo de datos personales por parte de plataformas tecnológicas.