Todo lo que debe saber sobre la Ley de Protección de Datos Personales de Panamá

Para muchos países de todo el mundo, la regulación de privacidad de datos de la Unión Europea, el Reglamento General de Protección de Datos (RGPD) sirvió como catalizador para la promulgación de medidas de privacidad de datos y, en general, aumentó la urgencia en torno a la necesidad de regular el flujo de datos personales.

América Latina no fue una excepción, con la Ley General de Protección de Datos de Brasil, o LGPD, acaparando muchos de los titulares en los últimos años.

Mientras que otros países han logrado llamar la atención —Argentina, Ecuador y Chile, entre otros, han implementado medidas similares de protección de datos—, en Centroamérica, Panamá ha allanado su propio camino a lo largo de los años. Su ley que regula la protección de datos, la Ley No. 81 sobre Protección de Datos Personales - Ley Sobre Protección de Datos Personales - entró en vigor el 29 de marzo de 2021.

Nacida de la Orden Ejecutiva 285/2021, la ley, que fue aprobada en 2019, requiere que los procesadores de datos obtengan el consentimiento previo de los interesados y sean debidamente informados del uso propuesto de sus datos personales.

En este caso, la ley define los datos personales como cualquier información que se refiera a personas físicas, las identifique o las haga identificables.

Además del consentimiento, los datos también pueden recogerse en las siguientes circunstancias:

• Cuando sea necesario para el cumplimiento de una obligación contractual, siempre que el interesado sea parte.
• Cuando sean necesarios para el cumplimiento de una obligación legal a la que esté sujeto el responsable del tratamiento.
• Cuando lo autorice una ley especial o los reglamentos que las desarrollen.

Parcialmente inspirada en el RGPD, la ley también exige a los responsables del tratamiento que indiquen la finalidad principal de la recogida de datos y se esfuercen por garantizar que se tratan de forma segura. Según la ley, los datos recogidos deben mantenerse confidenciales y almacenarse en una base de datos segura durante un máximo de siete años, bajo la vigilancia del responsable de los datos.

En cuanto a la transferencia de datos, según la ley sólo es posible bajo ciertas medidas y normas de seguridad.

Las empresas deben disponer de protocolos y sistemas diseñados para la custodia, recogida y tratamiento seguros de los datos personales en sus bases de datos. Las organizaciones deben adoptar las medidas técnicas y de gestión adecuadas para preservar la seguridad en el funcionamiento de la red a fin de garantizar la protección de los datos personales conforme a la ley, junto con las certificaciones, protocolos y normas presentes de otras autoridades.

Una autoridad centralizada diseñada para hacer cumplir la ley, la Autoridad Nacional de Transparencia y Acceso a la Información, o ANTAI, supervisa el procesamiento de datos personales en el país, mientras que un organismo asesor de nueve miembros, el Consejo de Protección de Datos Personales, le suministra las mejores prácticas, recomienda políticas en torno a la protección de datos personales y ayuda a desarrollar reglamentos.

Al igual que otras leyes aprobadas en torno a la protección de datos, la de Panamá parte del concepto de que la protección de los datos personales es una garantía fundamental y que toda persona tiene derecho a acceder a su información contenida en bases de datos públicas y privadas.

La ley reconoce los derechos ARCO—derechos básicos del titular de datos personales—, es decir, el Derecho de Acceso, el Derecho de Rectificación, el Derecho de Cancelación, el Derecho de Oposición y el Derecho a la Portabilidad, lo que significa que las personas pueden solicitar su información a los responsables del tratamiento, quienes dispondrán de 10 días hábiles para satisfacer la solicitud. En caso de que los responsables del tratamiento no respondan, los interesados pueden presentar un recurso ante la previamente mencionada ANTAI.

• Organizaciones que mantienen bases de datos en territorio panameño
• Organizaciones con bases de datos que almacenen o contengan datos personales de nacionales o extranjeros
• Propietarios de bases de datos o cualquier persona encargada del tratamiento de datos que estén domiciliados en Panamá
• Empresas extranjeras cuyas actividades comerciales en línea se dirijan a ciudadanos de Panamá

La ley no aplica al tratamiento de datos personales procesado fuera de las fronteras panameñas, como el realizado por bases de datos alojadas en la nube.

Además, el sector bancario panameño no tiene que cumplir la ley, pues ya está sujeto a la Superintendencia de Bancos de Panamá, o SBP, el regulador y supervisor de los bancos y grupos bancarios que operan en Panamá.

La ANTAI podría sancionar a una persona que infrinja cualquier derecho del titular de los datos personales y multarla en consecuencia. Las infracciones incluyen la recolección y el uso de datos sin obtener el consentimiento o el incumplimiento de las medidas técnicas y organizativas para proteger la base de datos. Las sanciones pueden variar, de 1.000 a 10.000 dólares. La ANTAI también puede ordenar a una organización que deje de almacenar y procesar datos en Panamá si la infracción es considerada lo suficientemente grave.

Contar con una solución que ayude a encriptar, clasificar y salvaguardar la información sensible y de identificación personal puede contribuir en gran medida al cumplimiento de leyes de protección de datos como la panameña. Siempre que el cumplimiento sea el resultado deseado, es vital contar con los protocolos y procedimientos adecuados para garantizar que los datos estan siendo procesados correctamente.