Icaza, González-Ruiz & Alemán ranked Gold band sign by WTR 1000 2021
20/02/2021Panamá crea Visa de Corta Estancia para Trabajo Remoto
24/05/2021
¿Conoces tus derechos respecto al uso de tus datos personales? Si tienes una base de datos, ¿conoces tus obligaciones en materia de protección de datos? Conoce los aspectos más importantes de la Ley de Protección de Datos y Privacidad de Panamá y obtén las respuestas a estas preguntas.
Por Fernando González-Ruiz y Mariela de la Guardia Oteiza
Cada vez que realizamos compras online, solicitamos un servicio o acudimos a una cita médica, facilitamos nuestros datos personales. Pero, ¿estamos seguros de que la información que estamos facilitando está recibiendo el tratamiento adecuado para garantizar que no se haga un mal uso de la misma o se utilice para otros fines que no hayamos autorizado?
Todos deben tener claro cómo se recopilan, utilizan o procesan sus datos personales, así como qué hacer cuando se produce una violación o un uso indebido de los mismos.
Asimismo, las empresas deben tener claro, entre otras cosas, durante cuánto tiempo se pueden recopilar los datos en una organización, cómo deben conservarlos, cómo su sistema proporciona garantías adecuadas de protección de la confidencialidad, la seguridad informática que deben aplicar y quién es el responsable de proteger esa información dentro de la empresa.
Es por esto que muchos países están impulsando leyes relacionadas con la Protección de Datos Personales, adaptando estas normas a los nuevos cambios tecnológicos, como es el caso de la Unión Europea con el Reglamento General de Protección de Datos (GDPR), que entró en vigor en mayo de 2018 y sentó un precedente dentro de estas normas.
De igual forma, en América Latina, países como Argentina, Colombia, Brasil, Chile, Perú y México han comenzado ya sea a modificar sus leyes de Protección de Datos Personales para cumplir con los estándares fiscales por la Unión Europea con el Reglamento General de Protección de Datos, o bien a desarrollar nuevas leyes sobre la materia.
En el caso de Panamá, no contábamos con una ley específica que regula la Protección de Datos Personales, sólo contábamos con disposiciones generales sobre la materia, como la Constitución Nacional, la Ley 68 de 2003, que regula los derechos y obligaciones de los pacientes en materia de información y decisión libre e informada; la Ley 24 de 22 de mayo de 2002, que regula el servicio de información sobre el historial crediticio de los consumidores o clientes, entre otras leyes especiales.
La ausencia de una Ley Especial de Protección de Datos Personales ha dejado un gran vacío en nuestra legislación sobre cómo se debe tratar adecuadamente la información personal de nuestros ciudadanos y cómo se debe garantizar una protección real de nuestra vida privada y de otros derechos y libertades fundamentales. ¡La privacidad es un derecho humano!
Es por ello que, el 26 de marzo de 2019, se aprobó la Ley 81 de Protección de Datos Personales, la cual entró en vigencia el 29 de marzo de 2021. Esta Ley establece los principios, derechos, obligaciones y procedimientos que regulan la protección de los datos personales en nuestro país.
Pero ¿qué son los Datos Personales?
Se entiende por datos personales cualquier información concerniente a personas físicas que las identifique o las haga identificables.
Algunos de los aspectos más importantes de esta nueva Ley panameña son los siguientes:
¿A quién se aplica la Ley de Protección de Datos de Panamá?
A diferencia del Reglamento General de Protección de Datos (RGPD), que tiene un alcance extraterritorial, nuestra Ley solo se aplica a las bases de datos ubicadas en el territorio de la República de Panamá que almacenen o contengan datos personales de nacionales o extranjeros o a los encargados del tratamiento de datos personales (controladores de datos) domiciliados en el país.
¿Qué excepciones se aplican?
Existen excepciones al ámbito de aplicación de la Ley, para los datos que estén expresamente regulados por leyes especiales o por reglamentos que las desarrollen. Algunas leyes especiales son la Ley Bancaria o la Ley reguladora de los derechos y obligaciones de los pacientes.
Se exceptúan:
1. Los realizados por una persona física para actividades exclusivamente personales o domésticas.
2. Los realizados por autoridades competentes para fines de prevención, investigación o persecución de infracciones penales o de ejecución de sanciones penales.
3. Los realizados para el análisis de inteligencia financiera relacionada con la seguridad nacional.
4. Cuando se trate del tratamiento de datos relativos a organizaciones internacionales en cumplimiento de tratados o convenios internacionales.
5. Los resultantes de información obtenida mediante un procedimiento previo de anonimización.
¿Cuándo podrá realizarse el tratamiento de Datos Personales?
El tratamiento de datos personales podrá realizarse cuando se cumplan las siguientes condiciones:
1. Que se obtenga el consentimiento del interesado.
2. Que el tratamiento de los datos sea necesario para la ejecución de una obligación contractual.
3. Que el tratamiento de datos sea necesario para el cumplimiento de una obligación legal.
4. Que el tratamiento de datos personales esté autorizado por una ley especial o los reglamentos que las desarrollen.
De acuerdo con nuestra Ley, es de suma importancia que la persona que otorga su consentimiento para el tratamiento de sus datos personales, sea debidamente informada respecto de la finalidad del uso de sus datos personales. Asimismo, este consentimiento debe obtenerse de forma que permita su fácil trazabilidad, mediante documentación, ya sea electrónica o por cualquier otro mecanismo adecuado.
Los datos personales deben utilizarse para los fines específicos para los cuales fueron autorizados. Si por cualquier motivo se van a utilizar para otros fines, se deberá obtener nuevamente el consentimiento del titular de los datos.
¿Qué se considera como Dato Sensible?
Son datos sensibles aquellos que se refieren a la esfera íntima del titular, o cuyo uso indebido puede dar origen a discriminación o entrañar un riesgo grave para el titular, tales como el origen racial o étnico, las creencias o convicciones religiosas, la afiliación sindical, las opiniones políticas, los datos relativos a la salud, a la vida, a la preferencia u orientación sexual, los datos genéticos o los datos biométricos, entre otros.
Es importante saber que la Ley establece que los datos sensibles no pueden ser transferidos sin el consentimiento del Titular.
¿Cuáles son las responsabilidades del responsable del tratamiento de datos personales contenidos en bases de datos?
Entre las responsabilidades del responsable del tratamiento de datos personales se encuentran establecer los protocolos, procesos y procedimientos para el manejo y transferencia segura, protegiendo los derechos de los titulares de los datos.
¿Qué derechos tienen los titulares de los Datos Personales?
Entre los derechos que tienen los titulares de Datos Personales mencionados en esta Ley, se encuentran los siguientes:
1. Derecho de acceso: Todo titular de datos personales deberá poder obtener sus datos personales almacenados en bases de datos de instituciones públicas o privadas.
2. Derecho de rectificación: El titular podrá en cualquier momento solicitar la corrección de los datos personales que sean incorrectos, irrelevantes, incompletos, desactualizados, inexactos o falsos.
3. Derecho de cancelación: El titular podrá solicitar la supresión de los datos personales incorrectos, irrelevantes, incompletos, desactualizados, inexactos o falsos.
4. Derecho de oposición: este derecho permite al interesado negarse a facilitar sus datos personales por motivos justificados y legítimos.
5. Derecho de portabilidad: el interesado tiene derecho a obtener una copia de los datos personales de forma estructurada, en un formato genérico y de uso común que pueda ser manejado por diferentes sistemas.
¿Cuáles son las infracciones y sanciones que impone esta nueva Ley?
Las infracciones serán consideradas como leves, graves o muy graves y las sanciones podrán ir desde una citación ante la Autoridad Nacional de Transparencia y Acceso a la Información, que es el ente regulador en esta materia, hasta la suspensión e inhabilitación de la actividad de almacenamiento y/o tratamiento de Datos Personales. Las infracciones pueden incluir la recolección de datos personales de manera fraudulenta, el tratamiento de datos personales sin haber obtenido el consentimiento del titular, el almacenamiento o archivo de datos personales sin las condiciones adecuadas de seguridad, entre otras.
La Ley establece que la Autoridad Nacional de Transparencia y Acceso a la Información fijará los montos de las sanciones aplicables y proporcionales a la gravedad de la infracción, las cuales estarán establecidas desde mil dólares (US$1.000,00) hasta diez mil dólares (US$10.000,00).
Estos son solo algunos de los puntos que menciona esta nueva Ley de Protección de Datos, que entró en vigencia en Panamá a finales de marzo de 2021. A la fecha de este artículo, aún no se ha aprobado el Decreto Ejecutivo que regule esta materia, el cual podría aclarar y desarrollar algunos de sus puntos.
Recomendaciones
Para finalizar, hacemos algunas recomendaciones básicas que las organizaciones o empresas que recogen diariamente datos personales de sus clientes deben tener en cuenta:
- La empresa deberá contar con el consentimiento previo, informado e inequívoco del interesado para ser recogidos los datos y que éstos sean recogidos para la finalidad para la que son requeridos.
- Si se va a hacer otro uso de estos datos, se deberá obtener de nuevo el consentimiento del interesado. Esto podría aplicarse a empresas que tienen varias líneas de negocio o que forman parte de una gran empresa que tiene diferentes nombres corporativos para diferentes tipos de negocio.
- No debemos olvidar que este consentimiento deberá obtenerse de forma que permita su fácil trazabilidad mediante documentación, ya sea electrónica o mediante cualquier otro mecanismo adecuado.
- Adoptar las medidas técnicas para garantizar la seguridad de los datos bajo su custodia e informar a los interesados lo antes posible cuando se produzca una violación de datos.
- Revisar los términos y condiciones y la política de privacidad del sitio web de la empresa, así como su política de cookies, para asegurarse de que sean suficientemente claros para los usuarios.
