La privacidad y la protección de datos son derechos humanos importantes que debemos procurar proteger.  En Panamá, el derecho a la privacidad se encuentra amparado en los Artículos 29, 42 y 43 de la Constitución. De igual manera, la Convención Americana de los Derechos Humanos, ratificada por Panamá, consagra en su artículo 11 la protección del derecho a la privacidad.

 Cuando estos derechos no son tutelados debidamente las vidas de personas reales se pueden ver perjudicadas.  Cada vez más datos sobre cada uno de nosotros se comparten más y más rápido a partir de más y más relaciones con comercios tradicionales, comercio electrónico, entidades financieras, entidades gubernamentales. En fin, la lista es interminable. Es por esto que muchos países alrededor del mundo han reforzado sus legislaciones sobre protección de datos y han robustecido las medidas de cumplimiento que pueden imponerse a una organización cuando se violan los derechos de privacidad.

Es por esta razón que por mucho tiempo se venía advirtiendo la importancia de regular la protección de los datos personales en Panamá, por las interacciones que nacen a cada momento, especialmente en el ámbito cibernético. Finalmente, se promulgó la Ley 81 de 26 de marzo de 2019, publicada en Gaceta Oficial 28743-A de 29 de marzo de 2019 sobre Protección de Datos Personales (“La Ley 81”). Esta ley empezará a regir el 29 de marzo de 2021.

Ley 81 de 26 de marzo de 2019

Esta Ley “tiene por objeto establecer los principios, derechos, obligaciones y procedimientos que regulan la protección de datos personales, considerando su interrelación con la vida privada y demás derechos y libertades fundamentales de los ciudadanos, por parte de las personas naturales o jurídicas, de derecho público o privado, lucrativas o no, que traten datos personales en los términos previstos en esta Ley.”

Definiciones importantes:

La Ley 81 define una serie de términos relacionados con la protección de datos y que se incluyen en la Ley 81. Entre las más importantes están:

Dato sensible: Aquel que se refiera a la esfera íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para este. De manera enunciativa, se consideran sensibles los datos personales que puedan revelar aspectos como origen racial o étnico; creencias o convicciones religiosas, filosóficas y morales; afiliación sindical; opiniones políticas; datos relativos a la salud, a la vida, a la preferencia u orientación sexual, datos genéticos o datos biométricos, entre otros, sujetos a regulación y dirigidos a identificar de manera unívoca a una persona natural.

Dato personal. Cualquier información concerniente a personas naturales, que las identifica o las hace identificables.

Tratamiento de datos. Cualquier operación o complejo de operaciones o procedimientos técnicos, de carácter automatizado o no, que permita recolectar, almacenar, grabar, organizar, elaborar, seleccionar, extraer, confrontar, interconectar, asociar, disociar, comunicar, ceder, intercambiar, transferir, transmitir o cancelar datos, o utilizarlos en cualquier otra forma.

Responsable del tratamiento de los datos. Persona natural o jurídica, de derecho público o privado, lucrativa o no, que le corresponde las decisiones relacionadas con el tratamiento de los datos y que determina los fines, medios y alcance, así como cuestiones relacionadas a estos.

Custodio de la base de datos. Persona natural o jurídica, de derecho público o privado, lucrativa o no, que actúa a nombre y por cuenta del responsable del tratamiento y le compete la custodia y conservación de la base de datos.

Datos confidenciales. Aquellos datos que por su naturaleza no deben ser de conocimiento público o de terceros no autorizados, incluyendo aquellos que estén protegidos por ley, por acuerdos de confidencialidad o no divulgación, a fin de salvaguardar información. En los casos de la Administración Pública, son aquellos datos cuyo tratamiento está limitado para fines de esta Administración o si se cuenta con el consentimiento expreso del titular, sin perjuicio de lo dispuesto por leyes especiales o por las normativas que las desarrollen. Los datos confidenciales siempre serán de acceso restringido.

Ámbito de aplicación: La ley 81 aplica a Las bases de datos que se encuentren en el territorio de la República de Panamá, que almacenen o contengan datos personales de nacionales o extranjeros o que el responsable del tratamiento de los datos esté domiciliado en el país.

Se excluye de la Ley, las bases de datos de sujetos regulados por leyes especiales, por ejemplo, banca, seguros, etc., siempre que estas leyes que los regulan o su normativa que las desarrollan establezcan estándares técnicos mínimos necesarios para la correcta protección y tratamiento de datos personales, conforme a lo establecido en la Ley 81. Además, se exceptúan del ámbito de la Ley 81 los tratamientos de los datos personales siguientes:

• Los que realice una persona natural para actividades exclusivamente personales o domésticas.
• Los que realicen autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales.
• Los que se efectúen para el análisis de inteligencia financiera y relativos a la seguridad nacional de conformidad con las legislaciones, tratados o convenios internacionales que regulen estas materias.
• Cuando se trate de tratamiento de datos relacionados con organismos internacionales, en cumplimiento de lo dispuesto en los tratados y convenios vigentes ratificados por la República de Panamá.
• Los resultantes de información obtenida mediante un procedimiento previo de disociación o anonimización, de manera que el resultado no pueda asociarse al titular de los datos personales.

Requisitos para el tratamiento de los datos personales: El tratamiento de los datos personales puede realizarse siempre y cuando de cumpla con alguna de las siguientes condiciones:

• Que se obtenga el consentimiento del titular de los datos.
• Que el tratamiento de los datos sea necesario para la ejecución de una obligación contractual, siempre que el titular de los datos sea parte.
• Que el tratamiento sea necesario para el cumplimiento de una obligación legal para la cual el responsable de los datos esté sujeto.
• Que el tratamiento de los datos personales esté autorizado por una ley especial o las normativas que las desarrollan.

Tratamiento Transfronterizo:

El almacenamiento o transferencia de datos personales originales o almacenados dentro de la República de Panamá que sean confidenciales, sensibles o restringidos, que reciban tratamiento transfronterizo, será permitido siempre que el responsable del almacenamiento o custodio de estos cumpla con los estándares de protección de datos personales exigidos por la Ley 81 o pueda demostrar que cumple con los estándares y normas de protección de datos personales iguales o superiores a los exigidos por la Ley 81.

Excepciones:

• Cuando el titular del derecho haya otorgado su consentimiento para la transferencia.
• Cuando la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar por el interesado o en interés de este.
• Cuando se trate de transferencias bancarias, dinerarias y bursátiles del mercado de valores.
• Cuando se trate de información cuya transmisión sea requerida por ello en cumplimiento de tratados internacionales ratificados por la República de Panamá.

Tratamiento de datos que no requieren el consentimiento del titular de los datos:

• Los que provengan o que se recolecten de fuentes de dominio público o accesible en medios públicos.
• Los que se recolecten dentro del ejercicio de las funciones propias de la Administración Pública en el ámbito de sus competencias.
• Los de carácter económico, financiero, bancario o comercial que cuenten con el consentimiento previo.
• Los que se contengan en listas relativas a una categoría de personas que se limiten a indicar antecedentes, como la pertenencia de la persona natural a una organización, su profesión o actividad, sus títulos educativos, dirección o fecha de nacimiento.
• Los que son necesarios dentro de una relación comercial establecida, ya sea para la atención directa, comercialización o venta de los bienes o servicios pactados.
• El tratamiento de datos personales que realicen organizaciones privadas para el uso exclusivo de sus asociados y de las entidades a que están afiliadas, con fines estadísticos, de tarificación u otros de beneficio general de aquellos.
• Los casos de urgencia médica o sanitaria.
• El tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos.
• El tratamiento que sea necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un menor de edad o una persona con discapacidad.

Datos sensibles:

Los datos sensibles no pueden ser objeto de transferencia, excepto en los casos siguientes:

• Cuando el titular haya dado su autorización explícita, salvo en los casos que por ley no sea requerido el otorgamiento de dicha autorización.
• Cuando sea necesario para salvaguardar la vida del titular y este se encuentre física o jurídicamente incapacitado. En estos casos, los acudientes, curadores o quienes tengan la tutela deben dar la autorización.
• Cuando se refiera a datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso con autorización judicial competente.
• Cuando tenga una finalidad histórica, estadística o científica. En este caso, deberán adoptarse las medidas conducentes a disociar la identidad de los titulares.

Cuando el consentimiento se refiera a datos personales sensibles de salud, el

consentimiento será previo, irrefutable y expreso.

Principios generales y Derechos ARCO: Los derechos ARCO Se reconocen como derechos irrenunciables primordiales. Son los derechos que tienen los titulares de los datos personales al acceso, rectificación, cancelación y oposición. Mientras que la Ley 81 también consagra una serie de principios generales en los cuales se inspiran y rigen la protección de datos. Entre los principios generales en los que se inspira y se rige la protección de datos de carácter personal, en cuanto a la interpretación y aplicación de esta ley se encuentran: el principio de lealtad, finalidad, proporcionalidad, veracidad y exactitud, seguridad de los datos, transparencia, confidencialidad, licitud, y portabilidad.

Conclusiones: La organización que trate los datos personales por cualquier forma, ya sea comercio electrónico, una entidad gubernamental o cualquier otra, tiene el deber de hacerlo respetando el derecho a la privacidad del titular de los datos personales. Empero, es importante tener en mente que este no es un derecho absoluto o sin límites. O sea, puede ser ineludible, por ejemplo, tratar los datos personales una persona para cumplir con una obligación contractual de la compañía o por una obligación legal determinada en las leyes, así que que el consentimiento del titular de los datos no siempre será el cimiento de justificación del tratamiento de sus datos personales. Además, hay contextos en las que este derecho no es aplicable.

Otro punto que debe considerarse es que las nociones de datos personales y de tratamiento de datos personales pueden llegar a ser muy abarcadores. Esto debe tenerse en mente al momento de que una compañía u organización solicite información, ya que, sólo deben pedirse aquellos datos mínimos necesarios para la finalidad para los que son solicitados. Asimismo, Los datos personales solo pueden ser usados para los fines específicos, legítimos y explícitos para los cuales fueron autorizados cuando fueron recabados originalmente. Para cualquier otro uso que quiera darse a estos datos personales será obligatorio recibir el consentimiento del titular de los datos personales, que exista una ley especial que apruebe dicho tratamiento o que sea necesario para el cumplimiento de una obligación contractual, en la cual el propietario de los datos sea parte, así como cuando sea requerido por una entidad pública en el ejercicio de sus funciones legales o por orden de autoridad competente.

El concepto de protección de datos lleva sobreentendido el hecho de que el titular de los datos personales es dueño de los mismos y tiene el poder de determinar su uso.

Finalmente, se está a la espera de un decreto reglamentario que desarrolle las disposiciones de la Ley 81, el cual seguramente agregará muchos más elementos para tener en cuenta. Sin embargo, es recomendable que las empresas comiencen cuanto antes un proceso de autoevaluación para ir adaptando los distintos procesos, contratos, y otra documentación para adecuarse a las obligaciones que emanan de la Ley 81.