A partir de marzo 2021 entra en vigor la Ley 81 de 2019 sobre Protección de Datos Personales, la cual tiene el objeto de proteger los datos personales de los ciudadanos y residentes en la República de Panamá, de manera tal que dichos datos sean recabados sin engaño o falsedad, con el consentimiento previo del titular o por fundamento legal y tratados para los fines determinados para los cuales fueron solicitados, así como exactos y veraces, garantizándose su seguridad y confidencialidad. Aquí le compartimos los aspectos más importantes que debe tener en cuenta para hacer valer sus derechos o como empresa evitar sanciones.
Pero ¿qué son los datos personales?
La Ley lo define como cualquier información concerniente a una persona natural que la identifica o hace identificable. No solamente el nombre, número de cédula, fecha de nacimiento, teléfono, domicilio, correo electrónico son datos personales, sino que también lo es cualquier otra información que sea relativa a la persona natural, por ejemplo: el lugar de trabajo y posición, datos relativos a la salud, información crediticia, entre otros.
La Ley distingue sobre los datos personales sensibles como aquellos que se refieren a la esfera íntima de su titular o que su uso indebido conlleve discriminación o un riesgo grave. Ejemplo: condiciones de salud, creencias religiosas, orientación sexual, opiniones políticas, entre otros.
¿Qué es el tratamiento de datos personales y cuándo es posible realizarlo?
Esta Ley define el tratamiento de datos personales como cualquier operación o procedimiento técnico, automatizado o no, que permita recolectar, almacenar, grabar, organizar, elaborar, seleccionar, extraer, confrontar, interconectar, asociar, disociar, comunicar, ceder, intercambiar, transferir, transmitir o cancelar datos, o utilizarlos en cualquier otra forma.
Requisitos para el tratamiento de datos personales
Para que una persona (natural o jurídica) pueda ejecutar el tratamiento de datos personales deberá cumplir con al menos una de las siguientes condiciones:
- Que se obtenga el consentimiento del titular de los datos. Es imprescindible que el titular que consienta dicho tratamiento sea informado del propósito del uso de sus datos personales. No obstante, no se requerirá esta autorización previa del titular de los datos en algunos casos específicos establecidos por esta Ley, entre ellos: cuando estos datos provengan de fuentes de dominio público o sean accesibles en medios públicos; sean de carácter económico, financiero, bancario o comercial que cuenten con el consentimiento previo; en casos de urgencia médica; para fines históricos, estadísticos o científicos; entre otros.
- Que el tratamiento de los datos sea necesario para la ejecución de una obligación contractual, siempre que el titular de los datos sea parte.
- Que el tratamiento sea necesario para el cumplimiento de una obligación legal para la cual el responsable de los datos esté sujeto.
- Que el tratamiento de los datos personales esté autorizado por una Ley especial o normativa.
Los datos personales deben ser utilizados exclusivamente para los fines determinados, explícitos y lícitos para los cuales hubieran sido autorizados al momento de su recolección, por lo que para poder darle otro uso será necesario obtener el consentimiento del titular.
Particularmente sobre los datos personales sensibles, la Ley dispone como regla general que estos no pueden ser transferidos, con excepción de que: i) el titular haya dado su autorización explícita, salvo en los casos que no es requerida tal autorización según hemos descrito en párrafos precedentes; ii) sea necesario para salvaguardar la vida del titular y se encuentre física o legalmente incapacitado; iii) sea necesario para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial; y (iv) tenga una finalidad histórica, estadística o científica.
¿En qué consiste el derecho a la protección de datos personales?
Este derecho a la protección de datos personales básicamente permite al titular de los datos personales poder controlar su información personal, decidir con quién la comparte, conocer para qué será utilizada, exigir que se le dé un tratamiento adecuado, así como evitar su mal uso y permitir el ejercicio de otros derechos.
Esta Ley reconoce y protege el derecho que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos que sean susceptibles de tratamiento por personas naturales o jurídicas de naturaleza pública o privada.
Derechos irrenunciables de los titulares de datos personales:
Se reconocen los siguientes derechos irrenunciables a los titulares de datos personales quienes podrán ejercerlos frente a los responsables del manejo de base de datos:
- Derecho de Acceso: obtener sus datos personales, así como conocer el origen y la finalidad para los cuales se recabaron.
- Derecho de Rectificación: solicitar corrección, modificación o actualización de sus datos personales.
- Derecho de Cancelación: solicitar eliminación de sus datos que sean incorrectos, desfasados, falsos.
- Derecho de Oposición: negarse a proporcionar sus datos o revocar su consentimiento, por motivos fundados y legítimos.
- Derecho de Portabilidad: derecho a obtener una copia de los datos personales de manera estructurada en ciertas circunstancias.
De igual forma se reconocen a los titulares de datos personales el derecho a la defensa judicial, así como el derecho a reclamar la tutela de sus derechos ARCO (acceso, rectificación, cancelación, oposición y portabilidad) ante la Autoridad Nacional de Transparencia y Acceso a la Información (ANTAI), salvo en los casos de sujetos regulados por leyes especiales.
Fiscalización y Supervisión
Autoridad Nacional de Transparencia y Acceso a la Información (ANTAI) es la entidad gubernamental encargada de la fiscalización y supervisión en materia de protección de datos personales y quien se encuentra facultada para sancionar los incumplimientos o infracciones a las disposiciones contenidas en esta Ley No. 81. Estas sanciones comprenden desde una citación ante la ANTAI, así como la aplicación de multas, la clausura del registro de la base de datos o suspensión e inhabilitación de la actividad de almacenamiento y/o tratamiento de datos personales, dependiendo de la gravedad de la infracción cometida.
Obligaciones de los sujetos intervinientes en la protección de datos personales
Entre las obligaciones y/o deberes que se establecen para estos sujetos, identificados en esta Ley como el responsable del tratamiento de datos personales (quien es el que decide sobre el tratamiento de los datos y determina sus fines, medios, alcance) y el custodio de la base de datos (quien es el que actúa a nombre y por cuenta del responsable del tratamiento y le compete la custodia y conservación de la base de datos), se encuentran las siguientes:
- El responsable del tratamiento de datos personales contenidos en bases de datos deberá establecer protocolos, procesos y procedimientos de gestión y transferencia seguro, protegiendo los derechos de los titulares de los datos, así como mantener la confidencialidad y seguridad de los datos;
- Cumplir con los estándares, normas, certificaciones, protocolos, medidas técnicas y de gestión informática adecuados para preservar la seguridad en sus sistemas o redes, o en la prestación de sus servicios, con el fin de garantizar los niveles de protección de los datos personales, cuando se utilicen medios de comunicación electrónica, digital o física para el tratamiento de datos;
- Entregar a las autoridades judiciales competentes la información sobre el almacenamiento o transferencia de datos personales que sea debidamente solicitada para asegurar el cumplimiento de la ley;
- Los responsables o custodios de bases de datos que transfieran a terceros, datos personales almacenados bases de datos, deberán llevar un registro de estas y las mismas deberán estar a disposición de la Autoridad Nacional de Transparencia y Acceso a la Información (ANTAI), en caso de que ésta lo requiera;
- No transferir o comunicar datos personales luego de transcurridos los siete años desde que se extingue la obligación legal de conservarla, salvo que el titular de los datos expresamente solicite lo contrario;
- El responsable del tratamiento de datos personales solo podrá transferir información sobre estos cuando tenga el consentimiento previo, informado e inequívoco del titular de los datos;
- El responsable del tratamiento de datos personales deberá indemnizar el daño patrimonial y/o moral que causará el tratamiento indebido de dichos datos.
¿Esta Ley le aplica a usted?
Esta Ley aplica a todas las personas naturales o jurídicas, de derecho público o privado, lucrativas o no, que traten datos personales en los términos previstos en esta Ley, y su aplicación alcanza a las bases de datos que se encuentren en el territorio panameño, que almacenen o contengan datos personales de nacionales o extranjeros o que el responsable del tratamiento de los datos esté domiciliado en Panamá.
Excepciones:
Las bases de datos de sujetos regulados por leyes especiales (como las entidades bancarias, financieras, fiduciarias, entre otros) que tengan estándares técnicos mínimos necesarios para la correcta protección y tratamiento de datos personales quedan excluidas de la aplicación de esta Ley.
El almacenamiento o transferencia transfronterizo (fuera de Panamá) de datos personales confidenciales, sensibles o restringidos, es permitido siempre que el responsable del almacenamiento o el custodio de esos datos cumpla con los estándares de protección de datos personales exigido por esta Ley o pueda demostrar que cumple con estándares iguales o superiores.
Conclusiones
Para concluir, destacamos la importancia en el acatamiento y cumplimiento de esta Ley por parte de todas las personas y empresas sean públicas o privadas que gestionen o manipulen datos personales, a quienes con estas normativas se les traslada la responsabilidad de la protección de los datos personales quedando obligados a establecer los protocolos, procesos y procedimientos para la correcta gestión y transferencia de los datos garantizado en todo momento la seguridad de dichos datos bajo su custodia con la implementación de herramientas tecnológicas adecuadas que coadyuven en mitigar los riesgos de pérdida o mal uso de estos datos. Estos sujetos deben asimismo asegurar a los titulares de los datos personales, el goce de sus derechos ARCO sin limitación alguna.
Un mal uso de los datos personales acarreará consecuencias lamentables como la pérdida de la confianza y credibilidad por parte de sus clientes, así como un riesgo reputacional en el mercado y sometidos a la aplicación de sanciones por parte de la autoridad de control competente.