Panama creates Short Stay Visa for Remote Workers
24/05/2021Environmental Incentives Law in Panama
16/06/2021Regarding the regulations on personal data protection in Panama, Law 81 of March 26, 2019 and its Regulations by Executive Decree 285 of May 28, 2021.
By Mariela de la Guardia Oteiza
Download full text in .pdf format.
The protection of personal data is a fundamental guarantee and is contained in our National Constitution, which establishes the following in its Article 42:
“Article 42: Every person has the right to access personal information contained in public and private databases or records, and to request its rectification and protection, as well as its deletion, in accordance with the provisions of the Law.
This information may only be collected for specific purposes, with the consent of its owner or by order of a competent authority based on the provisions of the Law .”
As we can see, the consent of the data subject must always be obtained, that is, his or her expression of will to process the data and to be informed of the specific purpose for which the data is collected. Law 81 establishes that consent may be obtained in a way that allows its traceability through documentation, whether electronic or through another appropriate mechanism, and may be revoked without retroactive effect.
Likewise, our National Constitution in its article 43 establishes the constitutional guarantees in which every person has the right to request information of public access or of collective interest and request its rectification. Article 44 establishes that every person can promote a habeas data action to guarantee the right of access to his or her personal information collected in databases or official registries.
On March 29, 2021, the Personal Data Protection Act came into force in the Republic of Panama through Law 81 of March 26, 2019. This Law establishes the principles, rights, obligations and procedures that regulate the protection of personal data in our country for natural and legal persons. Then, through Executive Decree 285 of 2021, Law 81 is regulated.
It is important to note that prior to the enactment of Law 81 of 2019, there were legal provisions that currently regulate the protection of personal data in Panama, through special laws. Among these are the Banking Law, Insurance Law, Securities Law, Trust Law, Law that regulates the Rights and obligations of patients, in terms of information or free and informed decision, among others.
Although there are special laws and regulations that make up the regulatory framework that governs the protection of personal data, Law 81 of 2019 applies in a supplementary manner.
The regulator or regulatory authority of each sector must establish within its regulations all protocols, processes and procedures for safe treatment and transfer that regulated subjects must comply with.
Basics of Personal Data Protection
What is Personal Data?
Personal data is any information concerning natural persons that identifies them or makes them identifiable.
What is sensitive data?
The Law defines sensitive data as those that refer to the private sphere of the owner, or whose improper use may give rise to discrimination or entail a serious risk for the owner.
Se consideran datos sensibles, los que pueden revelar aspectos como origen racial, o étnico; creencias o convicciones religiosas, filosóficas y morales; afiliación sindical; opiniones políticas; datos relativos a la salud, a la vida, a la preferencia u orientación sexual datos genéticos o datos biométricos, entre otros.
La Ley 81 establece que los datos sensibles no pueden transferirse sin el debido consentimiento explícito del titular, cuando sea necesario para salvaguardar la vida del titular y este se encuentre física o jurídicamente incapacitado, cuando se refiera a datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso con autorización judicial competente, cuando tenga una finalidad histórica, estadística o científica, en cuyo caso deberán tomarse medidas de disociación de identidad.
Objeto, principios y aplicación
La Ley establece los principios, derechos, obligaciones y procedimientos que regulan la protección de datos personales, considerando su interrelación con la vida privada y demás derechos y libertades fundamentales de los ciudadanos.
Los principios generales son los que inspiran y rigen la protección de datos personales y que son la base para su interpretación y aplicación de la norma, también complementan algunos vacíos de la propia Ley 81:
- Principio de lealtad: los datos personales se recaban sin engaño o falsedad y sin utilizar medios fraudulentos
- Principio de finalidad: los datos personales deben recolectarse con fines determinados y no ser tratados posteriormente para fines distintos para los cuales se solicitaron, no conservarse por más tiempo del necesario para los fines del tratamiento.
- Principio de proporcionalidad: solo se solicitan los datos adecuados, pertinentes y limitados al mínimo necesario en relación a la finalidad requerida.
- Principio de veracidad y exactitud: deben ser exactos y responder con veracidad a la situación actual del propietario del dato.
- Principio de seguridad de los datos: los responsables del tratamiento de los datos personales deben adoptar las medidas para garantizar la seguridad de los datos e informar al titular, lo más pronto posible, cuando los datos hayan sido sustraídos sin autorización o haya indicios que su seguridad ha sido vulnerada.
- Principio de transparencia: la información y comunicación debe ser expresada en un lenguaje claro y sencillo.
- Principio de confidencialidad: todas las personas que intervengan en el tratamiento de datos personales tienen la obligación de guardar secreto o confidencialidad respecto de estos.
- Principio de licitud: los datos deben ser recolectados de forma licita, con el consentimiento previo, informado e inequívoco del titular o por fundamento legal.
- Principio de portabilidad: el titular de los datos tiene el derecho a obtener de parte del responsable una copia de los datos personales en un formato genérico y de uso común.
El ámbito de aplicación de esta Ley se extiende a las bases de datos que se encuentren en el territorio de la República de Panamá, que almacenen o contengan datos personales de nacionales o extranjeros o que el responsable del tratamiento esté domiciliado en el país, quedan sujetos a la aplicación de esta Ley y su reglamentación.
El almacenamiento o transferencia de datos personales originados o almacenados dentro de la República de Panamá que sean confidenciales, sensibles o restringidos, que reciban un tratamiento transfronterizo es permitido siempre que el responsable del almacenamiento o custodio de los datos cumpla con los estándares de protección de datos personales y obtenga el consentimiento.
El Decreto Ejecutivo 285 del 2021 que reglamenta la Ley 81 establece que el registro de las bases de datos transferidas a terceros constará por escrito, por cualquier medio, inclusive por medios electrónicos.
¿Qué excepciones aplican y cuándo se puede tratar los Datos Personales?
Existen excepciones al ámbito de aplicación de la Ley, para aquellos datos que expresamente se encuentren regulados por leyes especiales o por normativas que las desarrollen y que hemos detallado al inicio.
Dentro de las excepciones se encuentran:
- Los que realice una persona natural para actividades exclusivamente personales o domésticas.
- Los que realicen autoridades competentes con fines de prevención, investigación o enjuiciamiento de infracciones penales o de ejecución de sanciones penales.
- Los que se efectúen para el análisis de inteligencia financiera relativos a la seguridad nacional
- Cuando se trata de tratamiento de datos relacionados con organismos internacionales en cumplimiento de tratados o convenios internacionales
- Los resultantes de información obtenida mediante un procedimiento previo de anonimización.
El tratamiento de datos personales solo se puede realizar cuando: i) Se obtenga el consentimiento del titular, ii) Que el tratamiento sea necesario para la ejecución de una obligación contractual, iii) Que el tratamiento sea necesario para el cumplimiento de una obligación legal, iv). Que el tratamiento esté autorizado por una ley especial.
Responsable del tratamiento de datos personales, custodio de la base de datos y Oficial de Protección de datos
El responsable del tratamiento de datos es una persona natural o jurídica, publica o privada lucrativa o no, que le corresponde las decisiones relacionadas con el tratamiento de los datos y determina los fines, medios y alcance.
El responsable del tratamiento de datos es quien establecerá los protocolos, procesos y procedimientos de gestión y transferencia segura, protegiendo los derechos de los titulares. La Autoridad Nacional de Transparencia y Acceso a la Información (ANTAI) con el apoyo de la Autoridad Nacional para la Innovación Gubernamental (AIG) son las autoridades que fiscalizarán y supervisarán lo anterior.
El custodio de la base de datos, así como todo aquel que tenga acceso deberá cuidar de estos con la debida diligencia, y será igualmente responsable por los daños y perjuicios ocasionados.
Como medida de responsabilidad para el cumplimiento de la utilización de los datos personales el Decreto Ejecutivo 285 establece la figura del Oficial de Protección (ODP) para las entidades públicas y recomendado, pero no obligatorio para el sector privado. El ODP desempeñará sus funciones de forma independiente. Sus funciones serán de participar en tiempo y forma en las cuestiones referidas a la protección de datos, informar y asesorar al responsable y al custodio, supervisar el cumplimiento de la normativa, promover la capacitación de las personas que traten datos, entre otras.
Tanto el responsable del tratamiento de datos personales como el custodio de la base de datos que transfieran datos, deben llevar un registro de las bases de datos y deben estar a disposición de la Autoridad Nacional de Transparencia y Acceso a la Información (ANTAI) cuando lo requiera, incluso la base de datos debe identificar e indicar el periodo de todas las personas que ingresen datos personales dentro de los quince días hábiles desde que se inicia dicha actividad.
Los responsables del tratamiento de datos y/o custodios de las bases de datos, así como todas las personas que intervengan en cualquier fase del tratamiento de los datos, estarán sujetas al deber de secreto o confidencialidad. Esta obligación será complementaria al secreto profesional, se aplicará durante todo el tiempo que dure el tratamiento y se mantendrá aun cuando hubiese finalizado la relación del empleado o funcionario.
Los responsables del tratamiento y/o custodios de las bases de datos deben garantizar el cumplimiento y quedan sujetos a la fiscalización y supervisión de la ANTAI a través de la Dirección de Protección de Datos Personales.
¿Cuándo no se requiere autorización para el tratamiento de los datos personales?
No se requiere autorización para el tratamiento de los datos personales en los siguientes casos:
- Fuentes de dominio público
- Los que recolecta la administración pública.
- Los de carácter económico, financiero o bancario con consentimiento previo.
- Listas de personas en organizaciones, profesiones.
- Aquellos dentro de una relación comercial establecida.
- Tratamiento de organizaciones privadas para uso de los asociados.
- Urgencia médica o sanitaria.
- Fines históricos, estadísticos o científicos.
Derechos irrenunciables de los titulares de datos personales
Como muchos países nuestro país reconoce los derechos ARCO, es decir el Derecho de Acceso, Derecho de Rectificación, Derecho de Cancelación, Derecho de Oposición y Derecho a la Portabilidad.
Nuestra Ley permite al titular de los datos personales a solicitar su información a los responsables del tratamiento de datos, y deberá ser proporcionada en un plazo no mayor de diez días hábiles. El suministro de información, su modificación, bloqueo o eliminación será gratuito.
Los datos deberán ser modificados cuando sean erróneos, inexactos, equívocos o incompletos dentro de un término de cinco días hábiles siguientes a la solicitud de modificación. Quien sea responsable debe proceder cuando existan pruebas de inexactitud de los datos.
Si el responsable no se pronuncia sobre la solicitud del titular dentro del término, el titular puede recurrir a la Autoridad Nacional de Transparencia y Acceso a la Información (ANTAI). En casos sujetos a leyes especiales, al regulador o autoridad reguladora. En el caso que en dichas leyes no se encuentren las sanciones a las faltas cometidas, el regulador deberá aplicar las sanciones establecidas en esta Ley, sin perjuicio que el titular pueda también presentar su queja ante la Autoridad Nacional de Transparencia y Acceso a la Información (ANTAI) para que aplique las sanciones correspondientes y a los tribunales de justicia para solicitar la indemnización por daño patrimonial y/o moral.
El responsable del tratamiento de los datos personales o el custodio de la base de datos no puede transferir o comunicar en ningún caso los datos que relacionen a una persona después de transcurridos siete años, desde que se extinguió la obligación legal de conservarla, al menos que se pacte otro periodo. Estos datos tienen que eliminarse o volver a mantener una relación con el titular de los datos y explicarle por qué aún se mantienen los datos y cuál es el nuevo fin.
La transferencia de datos es lícita si cumple al menos una de las condiciones siguientes:
- Consentimiento del titular.
- Que el país u organismo receptor proporcione mejor nivel de protección.
- Que se encuentre previsto en una Ley o Tratado.
- Para prevención de diagnóstico médico.
- Que sea efectuada a cualquier sociedad de un mismo grupo económico siempre que no sean usadas para fines distintos.
- En virtud de un contrato.
- Necesario para la salvaguarda de un interés público.
- Para el reconocimiento o defensa de un derecho en un proceso judicial.
- Para el mantenimiento o cumplimiento de una relación jurídica.
- Requerida para transferencias bancarias o bursátiles.
- Para cooperación internacional entre organismos de inteligencia para luchar contra el crimen organizado, terrorismo, narcotráfico, etc.
- Que el responsable que transfiere los datos adopte mecanismos de autorregulación vinculante.
- En caso de cláusulas contractuales.
Consejo Consultor y Autoridad supervisora
Se crea un Consejo de Protección de datos personales como ente consultivo en la materia que asesora a la Autoridad Nacional de Transparencia y Acceso a la Información (ANTAI), recomienda políticas públicas relacionadas a la materia, evalúa los casos que sean presentados, brinda recomendaciones y desarrolla su reglamento interno.
La Autoridad Nacional de Transparencia y Acceso a la Información (ANTAI) a través de una Dirección, creada para conocer esta materia, está facultada para sancionar al responsable del tratamiento de los datos personales, así como al custodio de la base de datos que se compruebe que han infringido los derechos del titular de los datos personales. El Decreto ejecutivo establece los criterios para la graduación de las sanciones, que dependerán de la intencionalidad, la reincidencia, la naturaleza y cuantía de los perjuicios causado, afectación de derechos, adopción de medidas correctivas entre otras.
Las decisiones de la Dirección serán impugnables mediante recurso de reconsideración y son apelables ante el Director de la Autoridad Nacional de Transparencia y Acceso a la Información (ANTAI).
Infracciones y sanciones
La Autoridad podrá fijar sanciones desde $1,000.00 a $10,000.00 balboas.
Las infracciones se califican en leves, graves y muy graves:
- Leves: no remitir o informar a la autoridad la información dentro del plazo y puede conllevar una citación de la autoridad.
- Graves: efectuar el tratamiento sin el consentimiento del titular, infringir los principios y garantías establecidos, infringir el compromiso de confidencialidad, restringir los derechos ARCO, incumplir el deber de informar al titular del tratamiento de los datos, almacenar o archivar datos sin las condiciones de seguridad, no atender la reiteración de los requerimientos y obligaciones de la autoridad, lo anterior puede conllevar según su proporcionalidad una multa de US$1,000 a $10,000 balboas.
- Muy graves: recopilar datos persones en forma dolosa, no observar las regulaciones, no suspender el tratamiento cuando exista previo requerimiento de la autoridad, almacenar o transferir internacionalmente datos personales y reincidir en las faltas graves, lo anterior puede conllevar la clausura de los registros de la base de datos y multa correspondiente e incluso la suspensión e inhabilitación de la actividad de almacenamiento y/o tratamiento.
Finalmente, el Decreto Ejecutivo establece plazos para la prescripción de la acción y de la sanción:
- Prescripción de la acción:
- Las infracciones leves en el plazo de 1 año.
- Las infracciones graves en el plazo de 3 años.
- Las infracciones muy graves en el plazo de 5 años.
- Prescripción de la sanción:
- Las sanciones leves en el plazo de 3 años.
- Las infracciones graves en el plazo de 5 años.
- Las infracciones muy graves son imprescriptibles.
Law 81 of March 26, 2019 was published in the Official Gazette No. 28743-A, entered into force on March 29, 2021, and Executive Decree 285 of May 28, 2021 entered into force as of its promulgation on May 28, 2021 and was published in the Official Gazette No. 29296-A.