Nadia A. Ortiz
Abogada, Ipandetec

Actualidad sobre la Protección de Datos de Carácter Personal en la República de Panamá

Desde el año 2004 con la última reforma constitucional a nuestra Carta Magna, la República de Panamá reconoció la importancia del derecho a la autodeterminación informativa o libertad informática al otorgarle a este derecho rango constitucional e incluirlo en el Título III correspondiente a los Derechos Fundamentales, Capítulo I sobre Garantías Fundamentales.

Quince años han transcurrido para que el ordenamiento jurídico panameño cuente con una normativa dedicada exclusivamente a la protección de datos de carácter personal. Esto es así toda vez que desde el pasado 26 de marzo de 2019, se promulgó la Ley No. 81 sobre Datos de Carácter Personal.

No obstante lo anterior, pese a esta reciente promulgación especifica en protección de datos de carácter personal, el ordenamiento jurídico panameño contaba con una plétora de normas legales en diferentes áreas (salud, historial crediticio, telecomunicaciones, bancaria, entre otras), que regulaban de forma dispersa diversos aspectos de la protección de datos de carácter personal.

Para la referencia del lector, a continuación le detallamos las diversas normativas que han regulado y continúan normando la protección de datos personales en Panamá. Hemos de señalar que dichas excertas legales no han perdido validez, puesto que pese a la promulgación de la Ley No. 81 de 2019, las mismas siguen siendo aplicadas.

  • Ley No. 26 de 17 de diciembre de 1992, por la cual se dictan medidas de profilaxis y control de la epidemia del Síndrome de Inmuno Deficiencia Adquirida (SIDA) y de propagación del Virus de Inmuno Deficiencia Humana.
  • Ley No. 31 de 8 de febrero de 1996, regula las telecomunicaciones. Reglamentada por el Decreto Ejecutivo No. 73 de 9 de abril de 1997.
  • Ley No. 11 de 22 de enero de 1998, sobre información almacenada en medios informáticos.
  • Ley No. 6 de 22 de enero de 2002, sobre Transparencia en la Gestión Pública, establece el derecho del habeas data y dicta otras disposiciones.
  • Ley No. 68 de 20 de noviembre de 2003, que reglamenta la Ley No. 68 de 20 de noviembre de 2003, que regula los derechos y obligaciones de los pacientes, en materia de información y de decisión libre e Informada.
  • Ley No. 4 de 18 de mayo de 2006, modifica y adiciona artículos a la Ley No. 24 de 22 de mayo de 2002, que regula el servicio de información sobre historial de crédito de los consumidores. Modificada por la Ley No. 135 de 31 de diciembre de 2013.
  • Decreto Ejecutivo No. 263 que crea el Consejo de Seguridad y dicta otras disposiciones.
  • Ley No. 83 de 9 de noviembre de 2012, regula el uso de los medios electrónicos para los trámites gubernamentales y modifica la Ley No. 65 de 2009, que crea la Autoridad Nacional de Innovación Gubernamental (AIG).
  • Ley No. 33 de 25 de abril de 2013, crea la Autoridad Nacional de Transparencia y Acceso a la Información.
  • Decreto Ejecutivo No. 511 de 24 de noviembre de 2017, que adopta la política pública de transparencia de Datos Abiertos de Gobierno.

Cada una de las normativas citadas se centra en regular la protección de datos personales en su área de acción, es decir, la Ley No. 26 de 17 de diciembre de 1992, regula la protección de datos personales médicos de pacientes con el Síndrome de Inmuno Deficiencia Adquirida (SIDA) y establece un deber de confidencialidad del personal médico que atiende a dichos pacientes. Por otro lado, la Ley No. 68 de 20 de noviembre de 2003, Que reglamenta la Ley No. 68 de 20 de noviembre de 2003, que regula los derechos y obligaciones de los pacientes, en materia de información y de decisión libre e informada es a su vez, aplicable al ámbito de la protección de datos en materia de salud.

En consecuencia, el ordenamiento jurídico panameño cuenta con normas que protegen de forma puntual los datos bancarios y crediticios de los panameños, sus datos médicos o de salud, e igualmente, delega en un ente gubernamental como lo es la ANTAI (Autoridad Nacional de Transparencia y Acceso a la Información), el respeto y vigilancia de los derechos ARCO de la población panameña.

En virtud de lo anterior, somos de la opinión que se desaprovechó la oportunidad de que a través de la Ley No. 81 de 26 de marzo de 2019, se uniformaran aspectos inherentes a las medidas de seguridad aplicables a los datos de carácter personal atendiendo a su naturaleza, si son datos médicos, sobre el historial crediticio, datos bancarios, etc., puesto que no existe uniformidad entre los diferentes niveles de seguridad para los datos enunciados, cuando son datos sensibles que requieren estrictas medidas de seguridad.

Sin embargo, la realidad es que contamos en nuestro ordenamiento jurídico con la Ley No. 81 de 2019, normativa que consta de siete capítulos y cuyo propósito es establecer principios, derechos, obligaciones y procedimientos que regulen la protección de datos personales.

La nueva normativa sobre protección de datos personales establece como regla que se permite el tratamiento de datos personales con apego al contenido de la ley en comento.

En este sentido, para una mejor referencia, la Ley No. 81 de 2019 dispone sobre los siguientes aspectos a saber:

  • Se incluyen en el artículo 2, los nueve principios inherentes a la protección de datos personales (lealtad, finalidad, proporcionalidad, veracidad y exactitud, seguridad de los datos, transparencia, confidencialidad, licitud, portabilidad).
  • La ley dispone las situaciones en las cuales su contenido no es aplicable (art. 3).
  • Se incluye un glosario de términos y en el mismo se detallan los actores o sujetos intervinientes en materia de protección de datos personales (artículo 4). En el caso específico de la jurisdicción panameña se describen al responsable del tratamiento, al custodio de la base de datos y al titular de los datos. En este mismo sentido, las responsabilidades para las figuras enunciadas aparecen desarrolladas posteriormente en el artículo 7 para el responsable del tratamiento, en el artículo 14 para el custodio de la base de datos y en artículo 24 para ambas figuras respectivamente.
  • Se dispone en el artículo 5 sobre la territorialidad de las bases de datos que se encuentren radicadas en el territorio de la República de Panamá o cuando el responsable del tratamiento este domiciliado en territorio panameño.
  • La ley desarrolla las situaciones en las cuales es viable la realización del tratamiento de datos personales, para lo cual requiere del cumplimiento de una serie de condiciones recogidas en el artículo 6.
  • Las situaciones en las cuales no se requiere autorización para la realización del tratamiento de datos personales son explayadas en el artículo 8 de la ley.
  • En el artículo 9, se instaura el deber de confidencialidad para las personas que tengan acceso o estén involucradas en el tratamiento de datos personales, deber de exigible cumplimiento tanto para organismos públicos como privados.
  • Las situaciones en las cuales el tratamiento de datos personales se realice atendiendo a la figura del mandato son expuestas en el artículo 10.
  • En el artículo 11 se desarrolla el principio de finalidad, licitud, exactitud aplicable a la protección de datos personales.
  • Como regla general se establece en el artículo 13, que los datos sensibles no pueden ser objeto de transferencia. No obstante lo anterior, las excepciones a dicha regla fueron a su vez incluidas en el mencionado artículo de la Ley No. 81 de 2019.
  • Se desarrollan los derechos ARCO (acceso, rectificación, cancelación, oposición y portabilidad) son explicados en el contenido del artículo 15.
  • Se fijan plazos de tiempo en el artículo 16, para recibir respuesta al ejercitar el titular de los datos sus derechos ARCO. Por ejemplo, el titular de los datos al ejercitar su derecho de acceso ante el responsable del tratamiento debe recibir respuesta a su petición en un plazo no mayor de 10 días hábiles. En tanto para modificar datos erróneos, inexactos, equívocos o incompletos deberá hacerse dentro de los cinco días hábiles siguientes a la solicitud de modificación de conformidad con la redacción del artículo 17.
  • En el artículo 18, se le dotan al titular de los datos de los mecanismos de actuación para el correcto ejercicio de sus derechos ARCO. Por consiguiente, el titular debe acudir en primera instancia ante el responsable del tratamiento sea un ente público o privado y este debe responder la solicitud del titular de los datos. De no mediar respuesta a la solicitud del titular de los datos por parte del responsable del tratamiento, entonces el titular puede concurrir ante la ANTAI.
  • El derecho a no ser objeto de decisiones individualizadas como consecuencia de la realización de un tratamiento de datos personales es desarrollado en el artículo 19 de la norma en referencia.
  • El artículo 20 contempla la autorización para el tratamiento de datos personales que se efectúe en establecimientos de salud públicos o privados.
  • De conformidad con el contenido del artículo 21, el ejercicio de los derechos ARCO no puede estar limitado mediante ningún acto o convenio entre las partes y de existir dicho acto de limitación se declara nulo.
  • Se dispone como regla general que los responsables de los tratamientos solo podrán transmitir información cuando tengan el consentimiento previo, informado e inequívoco del titular de los datos (artículo 25).
  • Los operadores que gestionen redes públicas o que presten servicios de comunicación tienen el deber de garantizar la protección de los datos personales que manejen (artículo 26).
  • Transcurridos siete años desde que se extingue la obligación legal de conservar los datos, ni el responsable del tratamiento ni el custodio pueden transferir o comunicar dichos datos que se relacionen con una persona identificada o identificable (artículo 28).
  • Las entidades públicas que sometan a tratamiento datos personales relativos a condenas por delitos, infracciones administrativas o faltas disciplinarias no podrán comunicarlo, una vez prescrita la acción penal o administrativa o cumplida o prescrita la sanción o la pena salvo autorización expresa por el titular de los datos (artículo 30).
  • De conformidad con el artículo 31, se dispone que los responsables y/o custodios de las bases de datos que transfieran datos personales almacenados en bases de datos a terceros llevarán un registro de estas y las mismas deberán estar a disposición de la ANTAI.
  • Se establecen en el artículo 33, algunos lineamientos o condiciones para la realización de transferencia de datos personales.
  • A través del Capítulo IV, se crea el Consejo de Protección de Datos Personales (artículo 34) y se enuncian los miembros que lo conformarán (artículo 35). Igualmente, se listan las facultades con las que cuenta dicho consejo.
  • En el Capítulo V de la ley, denominado Responsabilidad por las Infracciones se dispone que la ANTAI es el ente que fijará los montos por las sanciones aplicables a las respectivas faltas tomando en consideración la gravedad de las mismas. El rango de dichas multas de conformidad con el artículo 36, es de mil (US$ 1,000.00) a (US$10,000.00) balboas.
  • Se dispone en el artículo 37, que el responsable del tratamiento de datos personales deberá indemnizar el daño patrimonial y/o moral que causara el tratamiento indebido de datos.
  • Se realiza una clasificación de las infracciones y sanciones en leves, graves o muy graves en el Capítulo VI de la ley y se detallan en qué consisten cada una de dichas categorías (artículos 38-41).
  • En las Disposiciones Finales de la ley contenidas en el Capítulo VII se dispone que la ley comenzará a regir a los dos años de su promulgación es decir, para el año 2021 (artículo 47).

Aunado al despliegue realizado sobre el contenido de los temas abarcados por la Ley No. 81 de 26 de marzo de 2019, hemos de enunciar que entre las medidas o acciones actuales y reales de protección de los datos personales tenemos que en el caso de bases de datos manejadas por tanto entes públicos o gubernamentales, como entes privados, el titular de los datos puede concurrir ante los entes que estén manejando su información sea por ejemplo, Autoridad Panameña de Crédito, entidades bancarias, clínicas y hospitales a ejercitar sus derechos ARCO. En el caso que el titular de los datos no logre una tutela-protección-respeto, efectiva de sus derechos ARCO puede hacer uso de un recurso de amparo de garantías constitucionales basado en el hecho de que la autodeterminación informativa o libertad informática es un derecho fundamental amparado en la Constitución Política de la República de Panamá.

Por otro lado, y considerando que aún la Ley No. 81 de 2019, no ha empezado a regir, es necesario que se organicen jornadas, campañas, actividades, talleres de instrucción, educación y capacitación para la población en general y sus diversos grupos (empresarios, médicos, banqueros, familias, adolescentes, infantes), a través de diferentes medios de comunicación, tendentes por un lado a instruir, pero sobre todo a crear conciencia de lo relevante que es cuidar nuestra información personal, partiendo de la premisa de que la información es poder y que una vez la información personal es liberada por nosotros, desconocemos los destinos exactos de la misma y el uso que se les dará. En virtud de lo anterior, con la finalidad de reducir las irrupciones no deseadas en nuestra vida privada, debemos ser ciudadanos responsables y cuestionar sobre los destinos de nuestra información la cual es proporcionada para la realización de nuestras actividades diarias tanto en el mundo real como en el mundo virtual o digital.