La Ley de Protección de Datos en Panamá, promulgada en mayo de 2019 junto con el Decreto Ejecutivo 285 de 2021, marca un hito significativo en la regulación de la privacidad y seguridad de la información en el país. Inspirada en la normativa europea, esta ley busca proteger los derechos y libertades de las personas cuyos datos personales son tratados en territorio panameño.
En este artículo, exploraremos los principios generales de esta Ley (Ley 81) que rigen el tratamiento de datos, los nuevos derechos otorgados a los titulares de información, el registro de bases de datos y la figura del Oficial de Protección de Datos. Asimismo, destacaremos la importancia de cumplir con esta legislación y cómo GlobalSuite® Data Protection, una solución de GlobalSuite Solutions con más de 15 años de experiencia, puede ayudar a las organizaciones a garantizar el cumplimiento y la seguridad de los datos personales.
Principios fundamentales de la Ley de Protección de Datos en Panamá
Ámbito de aplicación y alcance de la legislación
La ley aplica a todas las bases de datos que contengan datos personales de ciudadanos nacionales o extranjeros almacenados en territorio panameño. También se aplica cuando el responsable del tratamiento de los datos está domiciliado en Panamá o cuando los tratamientos de datos se realizan en el marco de actividades comerciales dirigidas al mercado panameño.
Principios generales para el tratamiento de datos personales
La normativa establece diferentes principios por los que debe regirse la protección de datos personales, como son:
- Principio de lealtad: Los datos deberán recabarse sin engaño o falsedad.
- Principio de finalidad: Se deberán recolectar datos con fines determinados y legítimos.
- Principio de proporcionalidad: Los datos deben ser adecuados, pertinentes y mínimos necesarios para la finalidad perseguida.
- Principio de veracidad y exactitud: Los datos deben ser exactos y puestos al día, de tal manera que no se altere la realidad de estos.
- Principio de seguridad de los datos: Se deberán adoptar las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos.
- Principio de transparencia: Toda comunicación al titular de los datos, deberá ser en lenguaje sencillo y claro, así como servir para mantenerlo informado sobre los derechos que le amparan.
- Principio de confidencialidad: Las personas que intervengan en el tratamiento están obligadas a guardar secreto o reserva respecto de estos.
- Principio de licitud: El tratamiento deberá ser recolectado y tratado con base en algunas de las condiciones de licitud aplicables.
- Principio de portabilidad: El titular de los datos tiene derecho a obtener de parte del responsable de tratamiento una copia de los datos de manera estructurada.
Nuevos derechos otorgados a los titulares de datos
Otro aspecto fundamental de la normativa es que dota a los titulares de los datos, de una serie de derechos que tienen la facultad de ejercitar, como son:
- Derecho de acceso del interesado: Derecho a obtener confirmación de si se están tratando o no datos personales que conciernen al titular.
- Derecho de rectificación: Derecho a la rectificación y corrección de datos inexactos o incompletos.
- Derecho de cancelación: Derecho a cancelar los datos objeto de tratamiento, entre otras circunstancias, porque ya no sean necesarios para el tratamiento o en caso de retirada de consentimiento.
- Derecho de oposición: Derecho a oponerse a que datos personales que conciernen al titular, sean objeto de tratamiento.
- Derecho de portabilidad: Derecho a recibir datos personales que incumben al titular, en formato estructurado, genérico, de uso común y lectura mecánica.
Registro de las bases de datos y sus requisitos
La normativa establece la creación del Registro de bases de datos, una herramienta que debe mantenerse actualizada en todo momento por parte de las organizaciones responsables de tratamiento.
Este registro, se refiere a las bases de datos transferidas a terceros (novedad respecto a otras normativas), y en el mismo, se deberá dejar constancia de, entre otras cuestiones: la naturaleza de los datos personales que contiene, las condiciones de legitimación aplicables, la finalidad del tratamiento, los procedimientos de obtención y tratamiento de los datos, el plazo de conservación de los datos, el destino de los datos que puedan ser transferidos,
la descripción técnica de la base de datos, la identificación y período de todas las personas que han ingresado a los datos personales.
Medidas de seguridad y responsabilidad de las organizaciones
La normativa dispone que las medidas técnicas y organizativas deben ser suficientes para garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanente de los sistemas y servicios de tratamiento de los datos personales, considerando principalmente el riesgo para los derechos y libertades de los titulares, en particular, por el valor potencial cuantitativo y cualitativo que pudieran tener los datos personales tratados para una tercera persona no autorizada para su posesión.
Se debe incidir en que estas medidas han de ser necesariamente el resultado de la realización de un análisis de riesgos y una evaluación de impacto, así como se debe considerar de forma especial las consecuencias de una violación de seguridad de los datos para los titulares, que cabe matizar que deberá ser notificada a la autoridad y a los titulares afectados, en tiempo y forma, siempre que se produzca un daño, pérdida, alteración, destrucción, acceso o cualquier uso ilícito o no autorizado de los datos personales, aun cuando ocurra de manera accidental.
La figura del Oficial de Protección de Datos
Además, como garante del cumplimiento de todo lo dispuesto en la normativa, entra en escena una nueva figura, como es el Oficial de Protección de Datos.
Entre sus funciones tendrá asignadas las de participar en tiempo y forma en las cuestiones referidas a la protección de datos, informar y asesorar al responsable de tratamiento, supervisar el cumplimiento de la normativa, promover la capacitación de las personas o cooperar con la autoridad de control. Este oficial de protección de datos podrá ser personal laboral o profesional con contrato de servicios.
Sanciones por incumplimiento de la normativa
Por último, se debe mencionar, por su importancia para cualquier compañía, que las multas por el incumplimiento de la normativa en materia de protección de datos están previstas y pueden alcanzar montantes desde mil balboas, hasta diez mil balboas.
Debido a la ingente cantidad de requisitos novedosos que trae consigo esta nueva normativa, resulta fundamental abordar un proyecto que garantice un adecuado cumplimiento de la legislación, así como de las medidas de seguridad a implementar para asegurar la protección de los datos personales.
GlobalSuite® Data Protection: Una solución para el cumplimiento de la normativa
Debido a la gran cantidad de requisitos legales y de seguridad de la información que trae consigo esta nueva normativa, resulta fundamental abordar un proyecto con soporte externo, que ayude a garantizar el cumplimiento de la legislación.
Ante ésta complejidad y los desafíos que representa la Ley de Protección de Datos en Panamá, es fundamental contar con el apoyo de expertos. GlobalSuite Solutions ofrece GlobalSuite® Data Protection, un software diseñado para garantizar el cumplimiento de las distintas normativas de protección de datos a nivel mundial. Con más de 15 años de experiencia en el campo, GlobalSuite Solutions se posiciona como un aliado confiable en la protección de datos personales y la seguridad de la información para las organizaciones panameñas.