Legislación y proyectos normativos - Panamá

Principios, derechos, obligaciones y procedimientos que regulan la protección de datos personales

Ley Nº 81

El pasado mes de marzo se publicó la Ley No. 81 de Protección de Datos Personales con el objetivo de establecer los principios, derechos, obligaciones y procedimientos que regulan la protección de datos personales, por parte de las personas naturales o jurídicas, de derecho público o privado, que procesen datos personales en los términos previstos en la norma.

Esta ley, que comenzará a regir a los 2 años de su promulgación –esto es, el 29 de marzo de 2021-, permite el tratamiento de datos personales siempre que se haga según dicte la norma y conforme a los fines previstos en el ordenamiento jurídico. Además, deberá ser desarrollada por un Reglamento y, entre los aspectos más destacados que regula, cabe citar los siguientes:

Consentimiento

El tratamiento de datos personales sólo puede efectuarse cuando la norma lo permita explícitamente o haya consentimiento del titular de los datos.

Datos sensibles

Aquellos que se refieren a la esfera íntima de su titular o cuyo uso indebido pueda dar origen a discriminación o conlleve un riesgo grave para aquel – por ejemplo, origen racial, creencias o convicciones religiosas, afiliación sindical, opiniones políticas, datos relativo a la salud, a la vida, preferencia u orientación sexual, datos genéticos o datos biométricos, entre otros- dirigidos a identificar de manera unívoca a una persona natural. Los datos sensibles no podrán ser objeto de transferencia salvo que concurran los siguientes requisitos:

  • Cuando exista un consentimiento explícito del titular;
  • Cuando sea necesario para salvaguardar la vida del titular;
  • Cuando sea necesario para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial; y
  • Cuando tenga una finalidad histórica, estadística o científica.

Derechos irrenunciables básicos de los titulares de datos personales

La ley enumera como derechos básicos los siguientes:

  • Acceso (obtenerlos y conocer la finalidad y origen para los cuales fueron recabados),
  • Rectificación (acceder y solicitar corrección, modificación o actualización),
  • Cancelación (solicitar eliminación de datos),
  • Oposición (negarse a proporcionar o revocar su consentimiento); y
  • Portabilidad (derecho a obtener una copia de los datos personales de manera estructurada en ciertas circunstancias);

Almacenamiento o transferencia de datos personales

El almacenamiento o transferencia de datos personales de naturaleza confidencial, sensibles o restringidos, fuera del territorio de Panamá, por parte de la empresa responsable del destino y almacenamiento de datos o custodia de los mismos, será permitido, siempre que la empresa y/o país de residencia posea estándares de protección comparables a los de la Ley o si la entidad que transfiere los datos se asegura de adoptar todos los procesos necesarios para que los mismos sean protegidos.

Se exceptúa de los requerimientos anteriormente mencionados los siguientes casos:

  • Cuando el titular haya otorgado su consentimiento para la transferencia;
  • Cuando la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrarse por el titular en interés de este;
  • Cuando se trata de transferencias bancarias o dinerarias o bursátiles o del mercado de valores; y
  • Cuando se trate de información cuya transmisión sea requerida por ley o en cumplimiento de tratados internacionales ratificados por Panamá.

Además, se establece la obligación de fijar procedimientos, protocolos y procesos para la gestión y transferencia de datos que incluyan los métodos de seguridad necesarios.

Sanciones e indemnizaciones

El organismo competente para el cumplimiento de las obligaciones de esta Ley es la Autoridad Nacional de Transparencia y Acceso a la Información (ANTAI) salvo en el caso de sujetos regulados por leyes especiales que deberán ir a la autoridad reguladora competente, en primera instancia.

Este organismo está facultado para imponer sanciones, las cuales podrán oscilar entre los 1,000 Balboa/ Dólar y los 10,000 Balboa/Dólar dependiendo de la gravedad y recurrencia. Así mismo, podrá imponerse igualmente advertencia escrita, citación ante la ANTAI, clausura del registro de la base de datos o suspensión e inhabilitación de la actividad de almacenamiento y/o tratamiento de datos personales.

El responsable del tratamiento de los datos personales deberá indemnizar el daño patrimonial y/o moral que causara por el tratamiento indebido de estos.

Bases de datos

Los responsables o custodios de bases de datos que transfieran a terceros, datos personales almacenados en aquellas, deberán llevar un registro de estas bases, debiendo estar a disposición de la ANTAI, en caso de que ésta lo requiera.

Consejo de Protección de Datos Personales

Se crea el Consejo de Protección de Datos Personales que tiene como funciones: asesorar a la ANTAI en relación con la Ley, recomendar políticas públicas, evaluar casos presentados para consultas y desarrollar un reglamento interno. Dicho órgano estará conformado por:

  • El Ministro del Ministerio de Comercio e Industria;
  • El Administrador General de la Autoridad de Protección al Consumidor y Defensa de   la Competencia (ACODECO);
  • El Director General de la ANTAI;
  • El Defensor del Pueblo, o quien éste designe;
  • Un representante del Consejo Nacional de la Empresa Privada (CONEP);
  • Un representante del Colegio Nacional de Abogados;
  • Un representante de la Asociación Bancaria de Panamá;
  • Un representante del Tribunal Electoral, y
  • Un representante de la Cámara de Comercio, Industria y Agricultura de Panamá.