Memorándum – Ley No. 81 de 26 de marzo de 2019 Sobre Protección de Datos Personales
Estimados clientes y amigos:
Por este medio les informamos que mediante la Ley No. 81 de 26 de marzo de 2019, publicada en la Gaceta Oficial No.28743-A, se establece una nueva norma para regular la protección de datos personales de los ciudadanos en la República de Panamá. Lo establecido en esta norma empezará a regir a partir del 30 de marzo de 2021, sin embargo procedemos a compartirle los aspectos más importantes de la misma.
Como menciona su título, la Ley No. 81 de 2019 busca proteger los datos personales de los ciudadanos y residentes en Panamá, estableciendo una definición amplia de datos personales como “cualquier información concerniente a personas naturales, que las identifica o las hace identificables”.
En términos generales, todas las personas y empresas que manipulen, mantengan o administren en o desde Panamá, bases de datos que contengan datos personales de nacionales o extranjeros, están sujetas al cumplimiento de esta ley, sin importar el medio tecnológico o físico en el que se tenga la base de datos. Las empresas que estén sujetas a regulaciones especiales que tengan estándares técnicos mínimos necesarios para la protección de datos, tales como los bancos, estarán excluidos de la aplicación de esta Ley.
La Ley también protege y regula el almacenamiento o transferencia transfronterizo de datos personales confidenciales, sensibles o restringidos, permitiéndolo siempre y cuando el responsable cumpla con los requisitos de ley panameña o pueda demostrar que cumple con estándares iguales o superiores.
La ley establece que el tratamiento de datos personales solo podrá realizarse cuando se cumplan al menos una de las condiciones siguientes:
1. Que se obtenga el consentimiento del titular de los datos.
2. Que el tratamiento de los datos sea necesario para la ejecución de una obligación contractual, siempre que el titular de los datos sea parte, o que sea necesario para el cumplimiento de una obligación legal para la cual el responsable de los datos esté sujeto.
3. Que el tratamiento de los datos personales esté autorizado por una ley especial o las normativas que las desarrollan.
Adicionalmente se establece que cuando se utilicen medios electrónicos para el tratamiento de datos, los responsables deberán cumplir con los estándares, normas, certificaciones, protocolos, medidas técnicas y de gestión informática adecuados para preservar la seguridad en sus sistemas o redes, o en la prestación de sus servicios, con el fin de garantizar los niveles de protección de los datos personales. Estos estándares serán definidos de acuerdo con el tipo de actividad que realice el responsable y el tipo de datos personales que se traten.
La Ley establece algunas excepciones de su aplicabilidad para el Estado en materia de investigación criminal y financiera, así como en aquellos casos en se utilice un procedimiento previo de disociación o anonimización, de manera que el resultado no pueda asociarse al titular de los datos personales
La Ley también establece los derechos fundamentales que tendrán los ciudadanos con relación a sus datos personales, reconociendo los derechos de acceso, rectificación, cancelación, oposición y portablidad, siendo todos irrenunciables. Los datos personales sólo pueden ser utilizados para los fines determinados, explícitos y lícitos para los cuales fueron autorizados por el titular de esos datos.
Igualmente se incluyen normas especiales para la utilización y transferencia de datos personales, así como restricciones para datos sensibles que puedan revelar aspectos raciales, sexuales, genéticos, religiosos, políticos o de salud de los ciudadanos.
La Ley establece que la entidad gubernamental rectora de esta materia y la encargada de su fiscalización será la Autoridad Nacional de Transparencia y Acceso a la Información (ANTAI), la cual incluso estará facultada para imponer sanciones a aquellos que incumplan sus disposiciones.
La Ley no entra en mayores detalles sobre los estándares o aspectos técnicos que tendrán que cumplir que traten, almacenen o transmitan datos personales; se presume que la ANTAI emitirá un reglamento con estos detalles previo a la entrada en vigencia de la Ley.
En caso de requerir mayor información por favor no dude en contactarnos a los siguientes correos electrónicos: jolivardia@sucre.net o acastroh@sucre.net .