Con la promulgación de la Ley No. 81 de Protección de Datos Personales, la República de Panamá tiene como objetivo establecer los principios, derechos, obligaciones y procedimientos que regulan la protección de datos personales, considerando también su interrelación con la vida privada y demás derechos y libertades fundamentales de los ciudadanos, por parte de las personas naturales o jurídicas, de derecho público o privado, lucrativas o no, que procesen datos personales en los términos previstos en la Ley.

Almacenamiento o transferencia de datos personales:

El almacenamiento o transferencia de datos personales de naturaleza confidencial, sensibles o restringidos, fuera del territorio de Panamá, por parte de la empresa responsable del destino y almacenamiento de datos o custodia de los mismos, será permitido, siempre que la empresa y/o país de residencia posea estándares de protección comparables a los de la Ley o si la entidad que transfiere los datos se asegura de adoptar todos los pasos necesarios para que los mismos sean protegidos. Se exceptúa de los requerimientos antes mencionados los siguientes casos: (1) cuando el titular haya otorgado su consentimiento para la transferencia; (2) cuando la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrarse por el interesado en interés de este; (3) cuando se trata de transferencias bancarias o dinerarias o bursátiles o del mercado de valores; y (4) cuando se trate de información cuya transmisión sea requerida por ley o en cumplimiento de tratados internacionales ratificados por Panamá.

Se establece la obligación de fijar procedimientos, protocolos y procesos para la gestión y transferencia de datos que incluya los métodos adecuados de seguridad necesarios.

Consentimiento del titular de los datos personales:

Se establece que el tratamiento de datos personales sólo puede efectuarse cuando esta Ley lo permita o haya consentimiento del titular de los datos.

Definición de datos sensibles:

Los datos sensibles son aquellos que se refieran a la esfera íntima de su titular o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste – por ejemplo, origen racial, creencias o convicciones religiosas, afiliación sindical, opiniones políticas, datos relativo a la salud, a la vida, preferencia u orientación sexual, datos genéticos o datos biométricos, entre otros, dirigidos a identificar de manera univoca a una persona natural.

Los datos sensibles no pueden ser objeto de transferencia excepto: (i) con el consentimiento explícito del titular; (ii) cuando sea necesario para salvaguardar la vida del titular; (iii) cuando sea necesario para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial; y (iv) cuando tenga una finalidad histórica, estadística o científica.

Derechos de Acceso, Rectificación, Cancelación, Oposición y Portabilidad:

Los derechos que tienen los titulares de los datos personales de ejercer sobre los responsables del manejo de base de datos son: (i) Acceso (obtenerlos y conocer la finalidad y origen para los cuales fueron recabados), (ii) Rectificación (acceder y solicitar corrección, modificación o actualización), (iii) Cancelación (solicitar eliminación de datos), (iv) Oposición (negarse a proporcionar o revocar su consentimiento); y (v) Portabilidad (derecho a obtener una copia de los datos personales de manera estructurada en ciertas circunstancias);

Custodios de base de datos:

Los custodios de bases de datos que transfieran datos personales almacenados en base de datos a terceros deberán llevar un registro de las mismas, las cuales deberán estar a disposición de la ANTAI, en caso de que ésta lo requiera.

Consejo de Protección de Datos Personales:

Se crea el Consejo de Protección de Datos Personales que tiene como funciones: asesorar a la ANTAI en relación con la Ley, recomendar políticas públicas, evaluar casos presentados para consultas y desarrollar reglamento interno y está confirmado por:

  1. el Ministro del Ministerio de Comercio e Industrias;
  2. el Administrador General de la Autoridad de Protección al Consumidor y Defensa de la Competencia (ACODECO);
  3. el Director General de la ANTAI;
  4. el Defensor del Pueblo, o quien éste designe;
  5. un representante del Consejo Nacional de la Empresa Privada (CONEP);
  6. un representante del Colegio Nacional de Abogados;
  7. un representante de la Asociación Bancaria de Panamá;
  8. Un representante del Tribunal Electoral;
  9. Un representante de la Cámara de Comercio, Industrias y Agricultura de Panamá.

La Autoridad Nacional de Innovación Gubernamental, tendrá derecho a voz como asesor técnico.

Indemnización:

Quien almacene datos personales en violación a la Ley debe indemnizar el daño patrimonial y/o moral que causara por el tratamiento indebido de los datos personales.

Autoridad Nacional de Transparencia y Acceso a la Información (“ANTAI”):

Se establece el derecho de recurrir contra la ANTAI en caso de reclamaciones ante cualquier almacenador de base de datos para solucionar diferencias en el ejercicio de los derechos antes mencionados. El organismo competente para el cumplimiento de las obligaciones de este Ley es ANTAI salvo en el caso de sujetos regulados por leyes especiales que deberán ir a la autoridad reguladora competente, en primera instancia. La ANTAI, a través de la dirección creada para conocer de la materia, se le otorga facultad sancionatoria. La decisión de la dirección dentro de la ANTAI creada para conocer sobre estos procesos podrá ser impugnada a través de recurso de reconsideración. La apelación posterior podrá interponerse ante el Director General de la ANTAI.

Las sanciones podrán ser entre B./ $1,000 y B./$10,000, dependiendo de la gravedad y recurrencia y podrán ser advertencia escrita, citación ante la ANTAI, multa, clausura del registro de la base de datos o suspensión e inhabilitación de la actividad de almacenamiento y/o tratamiento de datos personales. Existen infracciones leves (por ejemplo: no remitir información requerida por la ANTAI), graves (por ejemplo: efectuar tratamiento de datos sin consentimiento del titular) y muy graves (por ejemplo: la recopilación de datos personales en forma dolosa).

Vigencia:

Esta ley empezará a regir dos (2) años a partir de su promulgación.