Compliance y protección de propiedad intelectual al contratar en Costa Rica

Tus ingenieros van a ver tu código fuente, los datos de tus clientes y tu roadmap antes de tiempo. Si sos CTO o counsel general evaluando un engagement en Costa Rica, esta es la nota que necesitás: postura legal, estructura del contrato, y qué te van a preguntar tus clientes y auditores.

No somos tus abogados. Somos una agencia que ha firmado decenas de MSAs con compradores en EE.UU., la UE y Canadá, y que ha ayudado a clientes a pasar auditorías SOC 2 con nuestros ingenieros dentro del alcance. Esta es la versión práctica, no una opinión legal.

El marco de PI de Costa Rica, en lenguaje claro

Costa Rica es miembro de la OMPI, firmó TRIPS, y es parte del Convenio de Berna y del Tratado de la OMPI sobre Derecho de Autor. Las reglas de base se parecen a lo que tu counsel ya espera.

Tres piezas de legislación local pesan para software:

Ley 6683, Ley de Derechos de Autor. El software está protegido como obra literaria. El derecho de autor sobre obra creada por empleado pertenece al empleador si fue creada dentro del ámbito del empleo. Para contratistas independientes la titularidad se queda en el autor salvo cesión expresa por escrito. Esa distinción importa y volvemos a ella.

Ley 7975, Ley de Información No Divulgada. El estatuto local de secretos comerciales. Protege información de negocio no divulgada con valor comercial precisamente por no estar divulgada, sobre la cual el titular tomó medidas razonables para mantenerla secreta. El gancho local al que se conectan los NDAs. Exigible en tribunales costarricenses y por arbitraje.

Ley 8968, Protección de Datos Personales. Modelada sobre el marco español y europeo. Crea la PRODHAB, obligaciones de registro para bases de datos con datos personales de residentes en Costa Rica, y derechos de acceso. Importa cuando tus ingenieros en Costa Rica procesan datos personales de personas en Costa Rica. Para la mayoría de SaaS con clientes gringos, el régimen de privacidad de EE.UU. es la restricción mordiente, no esta.

Cesión de PI: hacé bien el contrato y estás cubierto

Acá está la trampa. La Ley 6683 da titularidad por defecto fuerte al autor cuando es contratista independiente. Si el contrato está flojo, podés terminar con el ingeniero (o con nuestra agencia) reteniendo derechos sobre lo que pagaste.

La forma de manejarlo es lo que los abogados locales llaman “obra por encargo” con cesión expresa por escrito. El contrato debe:

1. Establecer que la obra es por encargo.
2. Incluir cesión presente de todos los derechos patrimoniales al cliente.
3. Incluir renuncia a derechos morales donde sea legalmente posible, y obligación de cooperar en documentos posteriores.
4. Cubrir limpiamente la PI preexistente: qué tecnología de fondo trae el ingeniero, qué herramientas tiene licenciadas, qué se lleva el cliente al final.

Nuestro MSA estándar cubre las cuatro. Si traés el tuyo, hacemos red-line sobre estos puntos. Si preferís ver nuestra plantilla antes de cualquier llamada, te la mandamos.

Exigibilidad de NDAs

Sí, los NDAs son exigibles en Costa Rica. Los ganchos son la Ley 7975 (secretos comerciales), el código civil general sobre responsabilidad contractual y la legislación laboral para empleados. Las cláusulas de arbitraje se ejecutan de forma rutinaria. Costa Rica es parte de la Convención de Nueva York sobre ejecución de laudos arbitrales extranjeros.

Dos notas prácticas. Para ingenieros en staff augmentation que son nuestros empleados, la cadena de NDA va vos → 5e Labs → ingeniero. Nosotros cargamos el NDA del lado del ingeniero; vos firmás uno con nosotros. Más limpio que pedir a cada ingeniero firmar un NDA en formato gringo de forma directa. Para la sede del arbitraje, por defecto vamos a una sede neutral (a menudo Miami o San José bajo reglas de ICDR). Tribunales costarricenses funcionan pero son más lentos, así que la mayoría de clientes gringos eligen arbitraje.

Residencia de datos: lo que dice la ley y lo que les importa a tus clientes

Son dos preguntas distintas y la gente las mezcla.

Lo que dice la ley costarricense. Costa Rica no impone requisitos duros de residencia sobre la mayoría de categorías de datos personales. El registro ante PRODHAB cubre bases de datos ubicadas en Costa Rica; no te obliga a hospedar acá. Si tu procesamiento está en AWS us-east-1 y los ingenieros en Costa Rica acceden bajo autorización adecuada, estás bien del lado costarricense.

Lo que les importa a tus clientes. Acá se traban la mayoría de los deals. Los compradores enterprise preguntan “dónde está hospedada la data” y “quién tiene acceso desde dónde”. La respuesta honesta para un SaaS hospedado en EE.UU. con ingenieros en Costa Rica: la data vive en tu región gringa, los ingenieros tienen acceso lógico bajo tu IAM y tu logging de auditoría. Es una pregunta de control SOC 2, no una violación de residencia. Te ayudamos a escribir la línea de divulgación para que el cuestionario de seguridad pase a la primera.

Trabajo bajo HIPAA desde Costa Rica

Factible. Lo hemos hecho. Requiere estructura.

HIPAA no prohíbe procesamiento offshore o nearshore de PHI. Exige que cualquier parte que cree, reciba, mantenga o transmita PHI por cuenta tuya firme un Business Associate Agreement (BAA), implemente los controles de la Security Rule, y sea responsable de reporte de brechas.

Cómo estructuramos engagements con PHI:

• Vos firmás un BAA con 5e Labs como business associate.
• 5e Labs replica obligaciones equivalentes a cada ingeniero en su contrato individual (confidencialidad, control de acceso, plazos de reporte de brechas).
• Los ingenieros acceden a PHI a través de tu entorno con tu IAM, tu MFA y tu logging de auditoría. No levantamos un store paralelo de PHI.
• Políticas de estación de trabajo (disco cifrado, sin copias locales de PHI, VPN, grabación de sesión donde la necesités) quedan documentadas y auditables.

La responsabilidad legal corre vos → 5e Labs (BAA) → ingeniero (contrato laboral con cláusulas equivalentes a HIPAA). Tu auditor ve un BAA y una cadena limpia.

GDPR y exposición a clientes en la UE

Costa Rica no está en la lista de la Comisión Europea de países con decisión de adecuación. Hoy eso quiere decir que las transferencias internacionales de datos personales desde el EEE a un procesador en Costa Rica necesitan Cláusulas Contractuales Tipo (SCCs), Reglas Corporativas Vinculantes, u otro mecanismo permitido.

En la práctica para nuestros clientes:

• Si sos un SaaS gringo con clientes en la UE y la data vive en regiones UE/EE.UU., firmás SCCs como parte de tu cadena de DPA. Nosotros firmamos los flow-downs equivalentes.
• Una Transfer Impact Assessment (TIA) es lo que el DPO de tu cliente europeo va a pedir. Te ayudamos a redactar la sección específica de Costa Rica: régimen local de vigilancia, postura de acceso gubernamental.
• Podemos rutear acceso de clientes UE a través de ingenieros en zonas horarias amigables a la UE si necesitás la postura más estricta, pero la mayoría va por la ruta SCC + TIA y sigue adelante.

SOC 2 y contratistas dentro del alcance

Si estás en ventana de auditoría SOC 2, tu auditor trata a los ingenieros de 5e Labs con acceso lógico a sistemas en alcance como parte de tu entorno de control. Este es el malentendido más común que escuchamos. “Son contratistas, no empleados, están fuera del alcance.” No lo están.

En concreto:

• Aplica política de background check. Corremos background check sobre cada ingeniero.
• Provisioning y desprovisioning de acceso debe estar trackeado en tu ticketing de IT o tu HRIS, igual que para un empleado. Notificamos dentro de un día hábil ante una baja.
• Capacitación en seguridad: corremos capacitación anual interna y damos evidencia; muchos clientes además inscriben a nuestros ingenieros en su propio LMS.
• Política de estación de trabajo: disco cifrado, bloqueo de pantalla, sin copias locales de datos regulados. Atestamos por ingeniero.

Planeálo desde la primera semana. Es la razón más común de un hallazgo de auditoría sobre trabajo en staff augmentation, y también la más fácil de arreglar. Para el panorama más amplio, nuestro pilar sobre staff augmentation técnico lo cubre, junto con por qué Costa Rica y el marco de decisión.

Repatriación del producto del trabajo

Vale la pena marcarla. Asegurate de que tu contrato te dé el derecho de recibir todo el código, documentación, credenciales y tokens de acceso al terminar, y que no haya derecho de retención por facturas impagas que pueda bloquear la transferencia. Nuestro MSA te da una ventana de 30 días de asistencia de transición a tarifa estándar y obligación expresa de entregar todo a pedido, incluso si la relación termina mal.

Cómo estructura 5e Labs el contrato

Lo que firmamos con la mayoría de clientes gringos:

• Un MSA que cubre la relación, la cesión de PI, confidencialidad, tope de responsabilidad, ley aplicable y resolución de disputas.
• Statements of Work por engagement listando roles, tarifa, plazo y aviso.
• Un Data Processing Addendum si entran datos personales en alcance.
• Un BAA si entra PHI en alcance.
• Atestación de background check y política de seguridad adjuntas.

Un click para un counsel in-house gringo. La fricción rara vez está en la revisión legal; está en tu cuestionario de seguridad, y es ahí donde gastamos casi todo el tiempo en deals nuevos. También escribimos outsourcing vs outstaffing si todavía estás eligiendo el modelo.

Si querés ver el MSA real antes de gastar una llamada en esto, solo pedinoslo.

Escribinos por WhatsApp, casi siempre respondemos dentro de la hora.