Nuevos lineamientos establecidos por la Superintendencia de Bancos de Panamá al respecto de la protección de datos personales tratados por entidades bancarias
I. Introducción
Hace algunos meses, publicamos en nuestras web y redes sociales, nuestro primer artículo acerca de los Aspectos Relevantes de la Ley de Protección de Datos y su Reglamentación; sin embargo, y tomando en consideración que el artículo 32 del Decreto Ejecutivo No.285 de 2021 establece que “El regulador o autoridad reguladora de cada sector, contará con un periodo de nueves meses, a partir de la entrada en vigencia del presente decreto, para establecer dentro de su normativa todos los protocolos, procesos y los procedimientos de tratamiento y transferencias seguras que deban cumplir los sujetos regulados”, por lo que la Superintendencia de Bancos de Panamá (SBP), ha emitido recientemente el Acuerdo No. 001-2022 de 24 de febrero de 2022, por el cual establece lineamientos especiales para la protección de datos personales tratados por las entidades bancarias, es por lo que, tomando en consideración la alta importancia de esta regulación y el impacto que la misma generará para los bancos, sus clientes y de forma general para la banca en Panamá, hemos decidido publicar estas cortas líneas con alguna información que seguramente será de interés para el sector bancario, cuentahabientes, empresas y para algunos colegas estudiosos de esta materia.
Tal como mencionamos sucintamente en nuestro primer artículo, en Panamá pese a que nuestra Constitución Nacional, en su artículo 42 establece ciertos parámetros, derechos y obligaciones referentes al acceso, almacenamiento y protección de datos, no fue sino hasta la entrada en vigencia de la Ley 81 del 26 de marzo de 2019 (29 de marzo de 2021), que finalmente nuestra plaza cuenta con una regulación escrita con principios, obligaciones, derechos y procedimientos para el tratamiento de datos en el país; por lo que, más tarde, luego de dos (2) meses de haber entrado en vigencia la precitada Ley, se emitió el Decreto Ejecutivo 285 del 28 de mayo de 2021, mediante el cual se reglamentada la Ley 81 de Protección de Datos Personales, todo lo cual, al igual que toda nueva regulación legal, trajo consigo algo de incertidumbre general en sus destinatarios; no obstante, debemos reiterar que, esta regulación está llamada a generar un cambio radical en cuanto a la forma como la entidades del sector bancario, financiero y legal, han venido manejando hasta el momento la información personal de sus clientes, iniciando por el rasgo principal y pilar fundamental de esta norma legal y es que, desde la fecha de su entrada en vigencia (29 de marzo de 2021), en Panamá para que el tratamiento de datos personales sea lícito, debe ser recolectado y tratado con el consentimiento previo del titular, quien además tiene el derecho a saber cuál es el uso que se le dará a su información.
II. Generalidades y Aspectos relevantes.
En este orden de ideas, y sin compartir algunas corrientes sensacionalistas de la plaza, debemos manifestar que el Acuerdo No. 001-2022 de 24 de febrero de 2022, no aporta un gran cambio a los lineamientos, derechos y obligaciones ya establecidas en la Ley 81 y su reglamentación, ya que básicamente los aportes o cambios que implementa este acuerdo se pueden resumir en cinco (5):
1. Se crea y se establecen las funciones de la figura del Oficial de Protección de Datos.
Al respecto de este cambio, además de que se especifican sus funciones, se obliga a las entidades bancarias a contar con esta figura entre sus colaboradores y, además el acuerdo es contundente al señalar que el mismo desempeñará sus funciones con independencia, teniendo una interlocución directa con la Gerencia Superior o Alta Dirección, como órgano de toma de decisiones.
En este orden de ideas, el ente rector ordena que el Oficial de Protección de Datos, no puede desarrollar o llevar a cabo funciones incompatibles con sus deberes y finalidades, y define como funciones específicamente incompatibles dentro de la estructura del Banco, las que lleven a cabo las áreas de Auditoría Interna, Riesgos y Cumplimiento, para sí asegurar su independencia, misma que consideramos será muy difícil de garantizar, ya que su patrono seguirá siendo el banco.
Las funciones específicas que desempeñará el Oficial de Protección de Datos están desarrolladas en el artículo 23 del Acuerdo No. 001-2022 de 24 de febrero de 2022, pero entre las mas relevantes podemos señalar que el mismo debe llevar un registro de los sucesos que afecten la protección de datos personales tratados por el banco, reportar deficiencias de los sistemas y medidas de protección de datos, coordinar el plan anual de capacitaciones en materia de protección de datos y ser la unidad o colaborador del banco enlace con los titulares de los datos.
2. Se regula de forma más específica la denominada “ficha técnica”
El acuerdo asimila el término “ficha técnica”, como toda la documentación relacionada a los procedimientos y procesos para la inclusión, conservación, almacenamiento, modificación, supresión, transferencia y cualquiera otra acción de tratamiento de los datos personales.
3. Se regula la obligatoriedad de la notificación sobre los incidentes de violación a la seguridad de la información al titular de los datos, a la SBP y se hace extensiva al custodio de base de datos.
Resulta particularmente importante y a nuestro juicio una oportunidad perdida para la SBP, el no haber establecido términos y plazos específicos a lo largo del proceso de reclamos, ya que básicamente estamos ante una norma incompleta o remisoria a otro texto regulatorio para su complemento, es decir, no se establece un plazo específico para que el banco se pronuncie sobre los reclamos de los titulares de los datos, sino que se refieren al mismo de la siguiente forma: “a partir de la fecha en que obtuvo respuesta formal por parte del banco o cuando el banco no haya cumplido con resolver la solicitud o reclamo en el plazo correspondiente”. Nuestra interpretación de la frase “el plazo correspondiente”, es que el banco debe responder por medio de su Oficial de Protección de Datos dentro del plazo que para ello se dispone en el literal “a.”, del artículo 4, del Acuerdo 001-2008 de 18 de junio de 2008 “Sobre el Sistema de Atención de Reclamos en las Entidades Bancarias”, el cual es de treinta (30) días calendario, pero como manifestamos al inicio, pensamos que la SB P pierde una oportunidad valiosa para regular de forma clara y específica este término dentro del proceso de reclamos derivados de la protección de datos personales.
Corre la misma suerte el proceso que se surte ante la propia SBP, el cual está regulado en el último párrafo del artículo 27 del acuerdo que nos ocupa, el cual señala lo siguiente:
“Los reclamos presentados a la Superintendencia de Bancos estarán sujetos a los procedimientos y recursos establecidos en la Ley Bancaria y en los Acuerdos bancarios relacionados con la materia. Una vez comunicada y ejecutoriada la Resolución que resuelve el proceso interpuesto ante la Superintendencia, se entenderá agotada la vía gubernativa, sin perjuicio de los recursos que correspondan en la vía contencioso-administrativa”
Como vemos, no se establece un procedimiento especial ni en el banco, ni en la propia SBP, sino mas bien se adopta el procedimiento creado previamente para someter estas causas.
Exactamente lo mismo ocurre con la “seguridad del tratamiento y transferencia de datos personales”, ya que el artículo 25 del acuerdo 001-2022, establece que, para la seguridad del tratamiento y transferencia de datos personales, se aplicarán las disposiciones establecidas en el Acuerdo para la Gestión del Riesgo de la Tecnología de la Información y el Acuerdo sobre Banca Electrónica emitidos por la SBP, por lo que la norma sigue siendo remisoria en su complemento.
4. Se regula lo concerniente a los posibles reclamos con los que cuenta del titular de datos personales que considere vulnerado el ejercicio de sus derechos ARCO y se imposibilita que este acuda a ANTAI sin haber agotado la vía bancaria, es decir, sin antes haber reclamo ante el banco y luego ante la SBP (ver parágrafo del artículo 27 del Acuerdo No. 001-2022 de 24 de febrero de 2022).
5. Se establece un periodo de implementación de doce (12) meses para todos los cambios relacionados a la creación de la figura de “Oficial de Protección de Datos” (ver artículo 30 del Acuerdo No. 001-2022 de 24 de febrero de 2022).
Para finalizar este breve artículo, somos del criterio que la SBP, también ha dejado de regular el Derecho de Portabilidad contenido en el numeral 5 del artículo 15 de la Ley 81 de 26 de marzo de 2019, por lo cual, sin duda, existe amplia discrecionalidad para que los bancos desarrollen sus políticas al respecto del respeto de este derecho y como cumplir con el mandato legal.