1. Introducción

           Pese a que nuestra Constitución Nacional, en su artículo 42 establece ciertos parámetros, derechos y obligaciones referentes al acceso, almacenamiento y protección de datos, Panamá cuenta con una ley que regula adecuadamente la Protección de Datos Personales, desde la entrada en vigencia de la Ley 81 del 26 de marzo de 2019 (29 de marzo de 2021), que establece los principios obligaciones y procedimientos para el tratamiento de datos en el país, y no fue sino hasta hace escasos meses que se emitió el Decreto Ejecutivo 285 del 28 de mayo de 2021 (2 meses a partir de la entrada en vigencia de la ley 81),  mediante el cual se reglamentada la Ley 81 de Protección de Datos Personales, todo lo cual, al igual que toda nueva regulación legal, trae consigo algo de incertidumbre general en sus destinatarios, pero debemos resaltar que, bajo nuestro criterio esta regulación está llamada a generar un cambio radical en cuanto a la forma como la entidades del sector bancario, financiero y legal, han venido manejando hasta el momento la información personal de sus clientes, iniciando por el rasgo principal  y pilar fundamental de esta Ley y es que desde la fecha de su entrada en vigencia (29 de marzo de 2021), para que el tratamiento de un dato personal sea lícito, debe ser recolectado y tratado con el consentimiento previo del titular, quien además tiene el derecho a saber cuál es el uso que se le dará a su información.

1. Ámbito De Aplicación

           Esta nueva Ley y su reglamentación ha sido muy amplia y contundente en cuanto a su aplicación principal y no supletoria en todos los aspectos regulados y determina expresamente que aun cuando existan leyes especiales, se tendrá la Ley de protección de datos y su reglamentación como régimen general. Las leyes especiales pasarían a ser complementarias a ambas normas.

           Aunado a lo anterior, estas normativas regulan tres grandes aspectos relacionados con la protección de datos personales:

1. del titular con el destinatario y sus empleados.
2. Aspectos relacionados a la protección de datos en posesión del destinatario que son facilitados a proveedores, custodios o terceros controladores (socios o aliados del destinatario).
3. Aspectos relacionados a las políticas o gobierno interno del destinatario (políticas internas y buenas prácticas).

1. Aspectos Relevantes

1. Nuevo regulador:

• La Autoridad Nacional de Transparencia y Acceso a la Información (ANTAI), como organismo rector de la materia, tendrá facultades para fiscalizar, supervisar, inspeccionar y sancionar a los infractores de las normas contenidas en la Ley 81 del 26 de marzo de 2019.

• La ANTAI también estará facultada para atender quejas relacionadas a datos personales, abriendo espacio a un nuevo foro al que podrán acudir los consumidores, adicional a los existentes.

• Consentimiento:

• Para que el consentimiento sea informado e inequívoco, debe ir precedido de la información relacionada a los derechos “ARCO” (acceso, rectificación, cancelación, oposición y portabilidad) que amparan a los titulares.

• Los titulares tendrán la oportunidad de revocarlo en cualquier momento.

• Nuevas obligaciones:

• Se crean nuevos requisitos de información a clientes.

• Obligación de mantener los datos de los clientes actualizados.

• Atención y respuesta al ejercicio de los derechos ARCO.

• Según la norma, los reguladores de los distintos sectores (Superintendencia de Bancos, Valores, Seguros, etc), deberán emitir en un plazo no mayor de nueve (9) meses, las políticas complementarias de privacidad, protocolos, procesos y procedimientos de tratamiento y transferencia segura que deban cumplir los sujetos regulados y, además dichas políticas deberán adaptarse a las exigencias de sus tratamientos de datos; por lo que, en los próximos meses estaremos atentos a revisar e informarnos de las nuevas políticas desarrolladas y emitidas por los entes rectores en los distintos sectores, especialmente en lo concerniente a las definiciones para los temas de portabilidad y tratamiento de los datos.

• Los proveedores y exportadores que custodien datos deberán cumplir con todos los requerimientos de esta norma.

• Se dispone la obligación de notificar a los afectados si se tiene conocimiento de violaciones de seguridad de los datos personales, dentro de un plazo de 72 horas.

• Gratuidad de las actuaciones:

Estas normativas también disponen que las actuaciones del responsable del tratamiento, asociadas al ejercicio de los derechos del titular de los datos, deberán ser gratuitas para el titular de los datos, razón por la cual son los destinatarios que deberán asumir tales costos.

• Nueva figura de “Oficial de Protección de Datos”:

Se crea la figura del Oficial de Protección de Datos, cuya designación no es obligatoria para el sector privado, sin embargo, se tomará en cuenta como parte de los criterios para graduar las sanciones, por lo cual resulta importante también para este sector.

• Importancia en los Contratos:

Los contratos base de los distintos entes que sean destinatarios o custodio de datos, van a requerir múltiples ajustes para reflejar los requerimientos de la nueva norma (Ej. detallar condiciones de los consentimientos, los temas de privacidad de datos y su tratamiento deben resaltarse, debe incluirse datos de contacto del oficial de protección de datos, entre otros).

• Bases de datos transferidas:

Toda transferencia de base de datos, debe cumplir con las formalidades legales y reglamentarias exigidas, todo lo cual desde nuestra perspectiva restará eficacia al modelo actual que llevan a cabo algunas entidades privadas de telefonía celular, bancarias, financieras y similares, de explotar la información como activo generador de ingresos.

• Datos obtenidos de terceros:

Se debe informar/notificar al titular de los datos (obtenidos de terceros), la fuente de dónde se obtienen sus datos (entre otros requisitos). 

• Sanciones

• Se establecen los criterios para graduar las sanciones.
  • La ANTAI estará facultada para publicar las sanciones, lo que pudiese implicar un riesgo reputacional.

1. Prescripción:

Se establecen plazos específicos de tiempo en el que, atendiendo su gravedad, las infracciones y sanciones prescribirán, siendo para las infracciones leves 1 año, graves 3 años y muy graves 5 años. Mientras que para las sanciones leves sería a los 3 años, graves 5 años y las muy graves serán imprescriptibles tal como se detalla más adelante.

1. Transferencias extrafronterizas de datos:

Se condiciona la transferencia extrafronteriza de datos solo a países que se consideren que brindan un grado de protección equivalente o superior al nacional, y queda a discreción de la ANTAI discernir sobre si una determinada jurisdicción tiene o no un nivel de protección equivalente o superior, sin compromiso de establecer una lista de jurisdicciones reconocidas que nos permita de antemano tener identificado aquellas jurisdicciones con quienes se podría transferir datos. 

Este punto, puede implicar retos a la empresa privada nacional, ya que al momento de referir clientes a jurisdicciones donde ellos o sus filiales tienen presencia, pero que no cuenten con Ley de Protección de Datos, ya que aun contando con el consentimiento del cliente, si la regulación de determinada jurisdicción no es igual o equivalente a la panameña, no podrán transferir la información.

1. Infracciones y sanciones

La Autoridad podrá fijar sanciones desde mil balboas con 00/100 (B/. 1,000.00) a diez mil balboas con 00/100 (B/. 10,000.00 balboas).

Las infracciones se califican en leves, graves y muy graves:

• Leves: no remitir o informar a la autoridad dentro del plazo. Además, puede conllevar una citación de la autoridad.

• Graves: efectuar el tratamiento sin el consentimiento del titular, infringir los principios y garantías establecidos, infringir el compromiso de confidencialidad, restringir los derechos ARCO, incumplir el deber de informar al titular del tratamiento de los datos, almacenar o archivar datos sin las condiciones de seguridad, no atender la reiteración de los requerimientos y obligaciones de la autoridad, lo anterior puede conllevar según su proporcionalidad una multa de mil balboas con 00/100 (B/. 1,000.00) a diez mil balboas con 00/100 (B/. 10,000.00 balboas).

• Muy graves: recopilar datos personales en forma dolosa, no observar las regulaciones, no suspender el tratamiento cuando exista previo requerimiento de la autoridad, almacenar o transferir internacionalmente datos personales y reincidir en las faltas graves, lo anterior puede conllevar la clausura de los registros de la base de datos y la multa correspondiente e incluso la suspensión e inhabilitación de la actividad de almacenamiento y/o tratamiento.

Finalmente, tal como hemos adelantado previamente, aquí les desglosamos lo que el Decreto Ejecutivo establece al respecto de los plazos para la prescripción de la acción y de la sanción:

• Prescripción de la acción:

• Las infracciones leves en el plazo de 1 año.
• Las infracciones graves en el plazo de 3 años.
• Las infracciones muy graves en el plazo de 5 años.

• Prescripción de la sanción:

• Las sanciones leves en el plazo de 3 años.
• Las infracciones graves en el plazo de 5 años.
• Las infracciones muy graves son imprescriptibles.