Ley de Protección de Datos Personales y su reglamento en Panamá

Respecto a la protección de datos personales en Panamá a través de la Ley 81 de 26 de marzo de 2019 y su Reglamento mediante Decreto Ejecutivo 285 de 28 de mayo de 2021.

Por: Mariela de la Guardia Oteiza

Descargar artículo

La protección de datos personales es una garantía fundamental y está contenida en nuestra Constitución Nacional, que establece en su Artículo 42 lo siguiente:

“Artículo 42: Toda persona tiene derecho a acceder a la información personal contenida en bases de datos o registros públicos y privados, y a solicitar su rectificación y protección, así como su supresión, de conformidad con lo establecido en la Ley.

Esta información sólo podrá ser recabada para fines específicos, con consentimiento de su titular o por orden de autoridad competente con fundamento en lo dispuesto por la Ley .”

Como se ha demostrado, siempre se debe obtener el consentimiento del titular, es decir, su manifestación de voluntad de tratar los datos y ser informado de la finalidad específica para la cual se recogen los mismos. La Ley 81 establece que el consentimiento podrá obtenerse de forma que permita su trazabilidad mediante documentación, ya sea electrónica o mediante otro mecanismo adecuado, y podrá ser revocado, sin efecto retroactivo.

Asimismo, nuestra Constitución Nacional contempla en sus artículos 43 las garantías constitucionales en las que toda persona tiene derecho a solicitar información de acceso público o de interés colectivo y a solicitar su rectificación. El artículo 44 establece que cualquier persona podrá interponer una acción de habeas data para garantizar el derecho de acceso a su información personal recolectada en bancos de datos o registros oficiales.

El 29 de marzo de 2021 entró en vigencia en la República de Panamá la Ley de Protección de Datos Personales mediante la Ley 81 de 26 de marzo de 2019. Esta Ley establece los principios, derechos, obligaciones y procedimientos que regulan la protección de datos personales en nuestro país para las personas naturales y jurídicas. Posteriormente, la Ley 81 se reglamenta mediante el Decreto Ejecutivo 285 de 2021.

Es importante destacar que previo a la promulgación de la Ley 81 de 2019, existían disposiciones legales que actualmente regulan la protección de datos personales en Panamá, mediante leyes especiales. Entre las que se encuentran la Ley Bancaria, Ley de Seguros, Ley de Valores, Ley de Fideicomiso, Ley que regula los Derechos y Obligaciones de los Pacientes, en materia de información o decisión libre e informada, entre otras.

Si bien existen leyes y normas especiales que conforman el marco normativo que regula la protección de datos personales, la Ley 81 de 2019 se aplica de manera supletoria.

El regulador o autoridad regulatoria de cada sector, deberá establecer dentro de su normativa todos los protocolos, procesos y procedimientos de tratamiento y transferencia segura que deben ser cumplidos por los sujetos regulados.

Conceptos básicos de protección de datos personales

¿Qué es un Dato Personal?

Dato personal es cualquier información concerniente a personas físicas que las identifica o las hace identificables.

¿Qué es un dato sensible?

La Ley define como datos sensibles, aquellos que se refieren a la esfera íntima del titular de los datos, o cuyo uso indebido puede dar origen a discriminación o conlleve un riesgo grave para éste.

Se consideran datos sensibles aquellos que puedan revelar aspectos como origen racial o étnico; creencias o convicciones religiosas, filosóficas y morales; afiliación sindical; opiniones políticas; datos relativos a la salud, a la vida, a la preferencia u orientación sexual, datos genéticos o datos biométricos, entre otros.

La Ley 81 establece que los datos sensibles no pueden transferirse sin el consentimiento explícito del titular; salvo cuando sea necesario para salvaguardar la vida del titular y éste se encuentre física o jurídicamente incapacitado, cuando se trate de datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso con autorización judicial competente, cuando tengan una finalidad histórica, estadística o científica, en cuyo caso se deberán adoptar medidas conducentes a disociar la identidad.

Propósito, principios y aplicación

La Ley establece los principios, derechos, obligaciones y procedimientos que regulan la protección de los datos personales, considerando su interrelación con la vida privada y demás derechos y libertades fundamentales de los ciudadanos.

Los principios generales que inspiran y rigen la protección de datos personales y que sirven de base a la interpretación y aplicación de la norma, complementan también algunos vacíos de la propia Ley 81:

1. Principio de lealtad : los datos personales se recogen sin engaños ni tergiversaciones y sin utilizar medios fraudulentos.
2. Principio de finalidad : los datos personales deben ser recogidos con fines específicos y no ser tratados ulteriormente con fines distintos de aquellos para los que fueron solicitados ni conservarse durante más tiempo del necesario para los fines del tratamiento.
3. Principio de proporcionalidad : sólo se solicitan datos adecuados y pertinentes, limitados al mínimo necesario en relación con la finalidad requerida.
4. Principio de veracidad y exactitud : deberán ser exactos y responder con veracidad a la situación actual del interesado.
5. Principio de seguridad de los datos : los responsables del tratamiento de datos personales deberán adoptar medidas para garantizar la seguridad de los datos e informar al titular, lo antes posible , cuando los datos hayan sido suprimidos sin autorización o existan indicios de que su seguridad ha sido vulnerada.
6. Principio de transparencia : la información y la comunicación deben expresarse en un lenguaje claro y sencillo.
7. Principio de confidencialidad : todas las personas que intervengan en el tratamiento de datos personales están obligadas a guardar secreto o confidencialidad respecto de dichos datos.
8. Principio de licitud : los datos deben ser recogidos de forma lícita, con el consentimiento previo, informado e inequívoco del interesado o por base legal.
9. Principio de portabilidad : el interesado tiene derecho a obtener del responsable del tratamiento una copia de los datos personales en un formato genérico y de uso común.

El ámbito de aplicación de esta Ley se extiende a las bases de datos ubicadas en el territorio de la República de Panamá, que almacenen o contengan datos personales de nacionales o extranjeros o que el responsable del tratamiento tenga su domicilio en el país, quedan sujetas a la aplicación de esta Ley y sus reglamentos.

El almacenamiento o transferencia de datos personales originados o almacenados dentro de la República de Panamá que sean confidenciales, sensibles o restringidos, que reciban tratamiento transfronterizo, se permite siempre que el responsable o custodio de los datos cumpla con los estándares de protección de datos personales y obtenga el consentimiento.

El Decreto Ejecutivo 285 de 2021, que reglamenta la Ley 81, establece que el registro de bases de datos transferidas a terceros deberá constar por escrito, por cualquier medio, incluido el electrónico.

¿Qué excepciones se aplican y cuándo se pueden procesar los datos personales?

Existen excepciones al ámbito de aplicación de la Ley para aquellos datos que estén expresamente regulados por leyes especiales o por normas que las desarrollen y que hemos detallado al inicio.

Las excepciones incluyen:

1. Los realizados por una persona física para actividades exclusivamente personales o domésticas.
2. Las realizadas por autoridades competentes con fines de prevención, investigación o persecución de infracciones penales o de ejecución de sanciones penales.
3. Las realizadas para el análisis de inteligencia financiera relacionada con la seguridad nacional.
4. Cuando se trate de tratamientos de datos relacionados con organizaciones internacionales en cumplimiento de tratados o convenios internacionales.
5. Los resultantes de información obtenida mediante un procedimiento de anonimización previo.

El tratamiento de datos personales sólo podrá realizarse cuando: i.) Se obtenga el consentimiento del titular, ii.) El tratamiento sea necesario para la ejecución de una obligación contractual, iii.) El tratamiento sea necesario para el cumplimiento de una obligación legal, iv.) El tratamiento esté autorizado por una ley especial.

Responsable del tratamiento de datos personales, custodio de la base de datos y Delegado de Protección de Datos Personales

El responsable del tratamiento es una persona física o jurídica, pública o privada, con o sin fines de lucro, que toma las decisiones relativas al tratamiento de datos y determina los fines, medios y alcances.

El responsable del tratamiento de datos es quien establecerá los protocolos, procesos y procedimientos para el manejo y transferencia segura de los datos, protegiendo los derechos de los titulares de los mismos. La Autoridad Nacional de Transparencia y Acceso a la Información (ANTAI) con el apoyo de la Autoridad Nacional para la Innovación Gubernamental (AIG) son las autoridades que velarán y supervisarán lo anterior.

El custodio de la base de datos, así como quien tenga acceso a ella, deberá cuidarla con la debida diligencia, siendo también responsable de los daños y perjuicios que cause.

Como medida de rendición de cuentas sobre el cumplimiento del uso de datos personales el Decreto Ejecutivo 285 establece la figura del Oficial de Protección (ODP) para las entidades públicas y de manera recomendable pero no obligatoria para el sector privado. El ODP ejercerá sus funciones de manera independiente. Sus funciones serán participar de manera oportuna en los asuntos relacionados con la protección de datos, informar y asesorar al responsable y al custodio, supervisar el cumplimiento de la normativa, promover la capacitación de las personas que traten datos, entre otras.

Tanto el responsable del tratamiento de datos personales como el custodio de la base de datos que transfiera datos, deberán llevar un registro de las bases de datos y deberán estar a disposición de la Autoridad Nacional de Transparencia y Acceso a la Información (ANTAI) cuando ésta lo requiera, la base de datos deberá incluso identificar y declarar el plazo de todas las personas que ingresen datos personales dentro de los quince días hábiles siguientes al inicio de dicha actividad.

Los responsables y/o custodios de bases de datos, así como todas las personas que intervengan en cualquier fase del tratamiento de los datos, estarán sujetos al deber de secreto o confidencialidad. Esta obligación será adicional al secreto profesional, se extenderá durante toda la duración del tratamiento y se mantendrá incluso después de extinguida la relación del empleado o funcionario.

Los responsables del tratamiento y/o custodios de las bases de datos deben garantizar el cumplimiento y están sujetos al control y supervisión de la ANTAI a través de la Dirección de Protección de Datos Personales.

¿Cuándo no es necesaria autorización para el tratamiento de datos personales?

No será necesaria autorización para el tratamiento de datos personales en los siguientes casos:

1. Fuentes de dominio público
2. Los recaudados por la administración pública
3. Los de carácter económico, financiero o bancario con previo consentimiento.
4. Listas de personas en organizaciones, profesiones
5. Aquellos dentro de una relación comercial establecida
6. Tramitación de datos de organizaciones privadas para uso de asociados
7. Emergencia médica o de salud
8. Fines históricos, estadísticos o científicos.

Derechos irrenunciables de los interesados ​​en el tratamiento de datos personales

Al igual que muchos países, nuestro país reconoce los derechos ARCO, es decir el Derecho de Acceso, Derecho de Rectificación, Derecho de Cancelación, Derecho de Oposición y Derecho a la Portabilidad.

Nuestra Ley permite al titular de los datos personales solicitar su información a los responsables del tratamiento, debiendo ser proporcionada en un plazo de diez días hábiles. El suministro de la información, su modificación, bloqueo o supresión será gratuito.

Los datos deberán ser corregidos cuando sean erróneos, inexactos, engañosos o incompletos dentro de los cinco días hábiles siguientes a la solicitud de corrección. El responsable deberá proceder cuando exista evidencia de la inexactitud de los datos.

Si el responsable del tratamiento no resuelve la solicitud del titular dentro del plazo, éste podrá recurrir ante la Autoridad Nacional de Transparencia y Acceso a la Información (ANTAI). En los casos sujetos a leyes especiales, ante el regulador o autoridad regulatoria. En caso de que las sanciones por las infracciones cometidas no se encuentren en dichas leyes, el regulador aplicará las sanciones establecidas en esta Ley, sin perjuicio de que el titular también pueda presentar reclamo ante la Autoridad Nacional de Transparencia y Acceso a la Información (ANTAI) para que se apliquen las sanciones correspondientes y ante los tribunales de justicia para solicitar la indemnización por daños y perjuicios materiales y/o morales.

El responsable del tratamiento o el custodio de la base de datos no podrá transferir ni comunicar en ningún caso los datos relativos a una persona una vez transcurridos siete años desde que se extinguió la obligación legal de conservación, salvo que se acuerde otro plazo. Estos datos deberán suprimirse o restablecerse una relación con el interesado y explicar por qué se siguen conservando los datos y cuál es la nueva finalidad.

La transferencia de datos es lícita si se cumple al menos una de las siguientes condiciones:

1. Consentimiento del interesado.
2. Que el país o agencia receptora brinde un mejor nivel de protección.
3. Que así esté previsto en una Ley o Tratado.
4. Para la prevención del diagnóstico médico.
5. La que se realiza a cualquier empresa del mismo grupo económico siempre que no se utilicen para fines distintos.
6. En virtud de un contrato.
7. Es necesario para la salvaguarda de un interés público.
8. Para el reconocimiento o defensa de un derecho en un proceso judicial.
9. Para el mantenimiento o cumplimiento de una relación jurídica.
10. Requerido para transferencias bancarias o bursátiles.
11. Para la cooperación internacional entre agencias de inteligencia en la lucha contra el crimen organizado, el terrorismo, el narcotráfico, etc.
12. Que el responsable del tratamiento que transfiera los datos adopte mecanismos de autorregulación vinculantes.
13. En caso de cláusulas contractuales.

Consejo Consultivo y Autoridad de Supervisión

Se crea un Consejo de Protección de Datos Personales como órgano consultivo en la materia que asesora a la Autoridad Nacional de Transparencia y Acceso a la Información (ANTAI), recomienda políticas públicas relacionadas con la materia, evalúa los casos presentados, brinda recomendaciones y elabora su reglamento interno.

La Autoridad Nacional de Transparencia y Acceso a la Información (ANTAI), a través de una Dirección creada para conocer esta materia, está facultada para sancionar al responsable del tratamiento de datos personales, así como al custodio de bases de datos que determine haber vulnerado los derechos del titular de los datos personales. El Decreto Ejecutivo establece los criterios para la graduación de las sanciones, las cuales dependerán de la intencionalidad, reincidencia, naturaleza y cuantía de los daños causados, afectación de derechos, adopción de medidas correctivas, entre otros.

Las decisiones de la Dirección son impugnables mediante recurso de reconsideración y son apelables ante el Director de la Autoridad Nacional de Transparencia y Acceso a la Información (ANTAI).

Infracciones y sanciones

La Autoridad podrá fijar multas desde B/.1,000.00 hasta B/.10,000.00.

Las infracciones se clasifican en leves, graves o muy graves:

• Menor : no presentar o comunicar a la autoridad la información dentro del plazo establecido y puede dar lugar a una citación de la autoridad.
• Graves: realizar el Tratamiento sin el consentimiento del titular, la vulneración de los principios y garantías establecidos, incumplir el compromiso de confidencialidad, restringir los derechos ARCO, incumplir el deber de informar al titular del Tratamiento, almacenar o archivar los datos sin condiciones de seguridad, no atender requerimientos y observaciones reiteradas de la autoridad, lo anterior puede dar lugar a una multa de B/.1,000 a B/.10,000, según su proporcionalidad.
• Muy graves: recabar datos personales de forma fraudulenta, no observar las normas, no suspender el tratamiento cuando previamente lo haya solicitado la autoridad, almacenar o transferir datos personales internacionalmente y reincidir en infracciones graves, lo que podrá dar lugar a la clausura de los registros de la base de datos y a la multa correspondiente, e incluso a la suspensión e inhabilitación de la actividad de almacenamiento y/o tratamiento.

Por último, el Decreto Ejecutivo establece plazos para la prescripción de la acción y de la sanción:

• Plazo de prescripción de la acción:

1. Infracciones leves en el plazo de 1 año.
2. Infracciones graves en el plazo de 3 años.
3. Infracciones muy graves en el plazo de 5 años.

• Prescripción de la pena:

1. Sanciones menores en un plazo de 3 años.
2. Sanciones graves en un plazo de 5 años.
3. Las sanciones muy graves no prescriben.

La Ley 81 de 26 de marzo de 2019, publicada en el Registro Oficial No. 28743-A, entró en plena vigencia el 29 de marzo de 2021 y el Decreto Ejecutivo 285 de 28 de mayo de 2021 entró en plena vigencia al momento de su promulgación el 28 de mayo de 2021 y fue publicado en el Registro Oficial No. 29296-A.