La privacidad y la protección de datos son derechos humanos importantes que debemos procurar proteger. En Panamá, el derecho a la privacidad se encuentra amparado en los Artículos 29, 42 y 43 de la Constitución. De igual manera, la Convención Americana de los Derechos Humanos, ratificada por Panamá, consagra en su artículo 11 la protección del derecho a la privacidad.
Cuando estos derechos no son tutelados debidamente las vidas de personas reales se pueden ver perjudicadas. Cada vez más datos sobre cada uno de nosotros se comparten más y más rápido a partir de más y más relaciones con comercios tradicionales, comercio electrónico, entidades financieras, entidades gubernamentales. En fin, la lista es interminable. Es por esto que muchos países alrededor del mundo han reforzado sus legislaciones sobre protección de datos y han robustecido las medidas de cumplimiento que pueden imponerse a una organización cuando se violan los derechos de privacidad.
Es por esta razón que por mucho tiempo se venía advirtiendo la importancia de regular la protección de los datos personales en Panamá, por las interacciones que nacen a cada momento, especialmente en el ámbito cibernético. Finalmente, se promulgó la Ley 81 de 26 de marzo de 2019, publicada en Gaceta Oficial 28743-A de 29 de marzo de 2019 sobre Protección de Datos Personales (“La Ley 81”). Esta ley empezará a regir el 29 de marzo de 2021.
Ley 81 de 26 de marzo de 2019
Esta Ley “tiene por objeto establecer los principios, derechos, obligaciones y procedimientos que regulan la protección de datos personales, considerando su interrelación con la vida privada y demás derechos y libertades fundamentales de los ciudadanos, por parte de las personas naturales o jurídicas, de derecho público o privado, lucrativas o no, que traten datos personales en los términos previstos en esta Ley.”
Definiciones importantes:
La Ley 81 define una serie de términos relacionados con la protección de datos y que se incluyen en la Ley 81. Entre las más importantes están:
Dato sensible: Aquel que se refiera a la esfera íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para este. De manera enunciativa, se consideran sensibles los datos personales que puedan revelar aspectos como origen racial o étnico; creencias o convicciones religiosas, filosóficas y morales; afiliación sindical; opiniones políticas; datos relativos a la salud, a la vida, a la preferencia u orientación sexual, datos genéticos o datos biométricos, entre otros, sujetos a regulación y dirigidos a identificar de manera unívoca a una persona natural.
Dato personal. Cualquier información concerniente a personas naturales, que las identifica o las hace identificables.
Tratamiento de datos. Cualquier operación o complejo de operaciones o procedimientos técnicos, de carácter automatizado o no, que permita recolectar, almacenar, grabar, organizar, elaborar, seleccionar, extraer, confrontar, interconectar, asociar, disociar, comunicar, ceder, intercambiar, transferir, transmitir o cancelar datos, o utilizarlos en cualquier otra forma.
Responsable del tratamiento de los datos. Persona natural o jurídica, de derecho público o privado, lucrativa o no, que le corresponde las decisiones relacionadas con el tratamiento de los datos y que determina los fines, medios y alcance, así como cuestiones relacionadas a estos.
Custodio de la base de datos. Persona natural o jurídica, de derecho público o privado, lucrativa o no, que actúa a nombre y por cuenta del responsable del tratamiento y le compete la custodia y conservación de la base de datos.
Datos confidenciales. Aquellos datos que por su naturaleza no deben ser de conocimiento público o de terceros no autorizados, incluyendo aquellos que estén protegidos por ley, por acuerdos de confidencialidad o no divulgación, a fin de salvaguardar información. En los casos de la Administración Pública, son aquellos datos cuyo tratamiento está limitado para fines de esta Administración o si se cuenta con el consentimiento expreso del titular, sin perjuicio de lo dispuesto por leyes especiales o por las normativas que las desarrollen. Los datos confidenciales siempre serán de acceso restringido.
Ámbito de aplicación: La ley 81 aplica a Las bases de datos que se encuentren en el territorio de la República de Panamá, que almacenen o contengan datos personales de nacionales o extranjeros o que el responsable del tratamiento de los datos esté domiciliado en el país.
Se excluye de la Ley, las bases de datos de sujetos regulados por leyes especiales, por ejemplo, banca, seguros, etc., siempre que estas leyes que los regulan o su normativa que las desarrollan establezcan estándares técnicos mínimos necesarios para la correcta protección y tratamiento de datos personales, conforme a lo establecido en la Ley 81. Además, se exceptúan del ámbito de la Ley 81 los tratamientos de los datos personales siguientes:
Requisitos para el tratamiento de los datos personales: El tratamiento de los datos personales puede realizarse siempre y cuando de cumpla con alguna de las siguientes condiciones:
Tratamiento Transfronterizo:
El almacenamiento o transferencia de datos personales originales o almacenados dentro de la República de Panamá que sean confidenciales, sensibles o restringidos, que reciban tratamiento transfronterizo, será permitido siempre que el responsable del almacenamiento o custodio de estos cumpla con los estándares de protección de datos personales exigidos por la Ley 81 o pueda demostrar que cumple con los estándares y normas de protección de datos personales iguales o superiores a los exigidos por la Ley 81.
Excepciones:
Tratamiento de datos que no requieren el consentimiento del titular de los datos:
Datos sensibles:
Los datos sensibles no pueden ser objeto de transferencia, excepto en los casos siguientes:
Cuando el consentimiento se refiera a datos personales sensibles de salud, el
consentimiento será previo, irrefutable y expreso.
Principios generales y Derechos ARCO: Los derechos ARCO Se reconocen como derechos irrenunciables primordiales. Son los derechos que tienen los titulares de los datos personales al acceso, rectificación, cancelación y oposición. Mientras que la Ley 81 también consagra una serie de principios generales en los cuales se inspiran y rigen la protección de datos. Entre los principios generales en los que se inspira y se rige la protección de datos de carácter personal, en cuanto a la interpretación y aplicación de esta ley se encuentran: el principio de lealtad, finalidad, proporcionalidad, veracidad y exactitud, seguridad de los datos, transparencia, confidencialidad, licitud, y portabilidad.
Conclusiones: La organización que trate los datos personales por cualquier forma, ya sea comercio electrónico, una entidad gubernamental o cualquier otra, tiene el deber de hacerlo respetando el derecho a la privacidad del titular de los datos personales. Empero, es importante tener en mente que este no es un derecho absoluto o sin límites. O sea, puede ser ineludible, por ejemplo, tratar los datos personales una persona para cumplir con una obligación contractual de la compañía o por una obligación legal determinada en las leyes, así que que el consentimiento del titular de los datos no siempre será el cimiento de justificación del tratamiento de sus datos personales. Además, hay contextos en las que este derecho no es aplicable.
Otro punto que debe considerarse es que las nociones de datos personales y de tratamiento de datos personales pueden llegar a ser muy abarcadores. Esto debe tenerse en mente al momento de que una compañía u organización solicite información, ya que, sólo deben pedirse aquellos datos mínimos necesarios para la finalidad para los que son solicitados. Asimismo, Los datos personales solo pueden ser usados para los fines específicos, legítimos y explícitos para los cuales fueron autorizados cuando fueron recabados originalmente. Para cualquier otro uso que quiera darse a estos datos personales será obligatorio recibir el consentimiento del titular de los datos personales, que exista una ley especial que apruebe dicho tratamiento o que sea necesario para el cumplimiento de una obligación contractual, en la cual el propietario de los datos sea parte, así como cuando sea requerido por una entidad pública en el ejercicio de sus funciones legales o por orden de autoridad competente.
El concepto de protección de datos lleva sobreentendido el hecho de que el titular de los datos personales es dueño de los mismos y tiene el poder de determinar su uso.
Finalmente, se está a la espera de un decreto reglamentario que desarrolle las disposiciones de la Ley 81, el cual seguramente agregará muchos más elementos para tener en cuenta. Sin embargo, es recomendable que las empresas comiencen cuanto antes un proceso de autoevaluación para ir adaptando los distintos procesos, contratos, y otra documentación para adecuarse a las obligaciones que emanan de la Ley 81.
Denisse Correa
Asociada Senior
Mario Preciado
Abogado