En Costa Rica los dueños de bases de datos que contengan información personal, deben notificar cualquier vulneración de dichas bases.

La protección de datos personales se encuentra regulada por la Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales y el Decreto Ejecutivo N° 37554. En este último se establece que la parte responsable de la base de datos necesita informar al titular de los datos acerca de cualquier irregularidad en el tratamiento y almacenamiento de los datos, tales como pérdida, destrucción o cualquier otra filtración de información debido a vulnerabilidad de la seguridad.

La parte responsable tendrá un determinado periodo de tiempo, después de la filtración de datos, para notificar dicha vulnerabilidad, así como los titulares de los datos podrán tomar las acciones apropiadas, y además el responsable deberá cumplir con ciertos requisitos para la notificación. El incumplimiento de la legislación de protección de datos personales puede acarrear sanciones económicas y penales.