El Artículo 42 de la Constitución Nacional panameña incluye algunos aspectos generales, además de ciertos derechos y deberes, relacionados con la accesibilidad, almacenamiento y protección de los datos. Sin embargo, tanto la Ley 81 como su Reglamento, pormenorizan toda la normativa aplicable en esa materia.
El 28 de mayo del año 2021 entró en vigor el Decreto Ejecutivo No. 285 que es un instrumento legal con el que se reglamenta la Ley 81 del 26 de marzo de 2019 donde quedaron establecidos los lineamientos de carácter obligatorio para la Protección de Datos Personales.
Y ¿qué son los datos personales? En pocas palabras sería toda información relacionada con las personas, que las identifique o haga posible su identificación.
De acuerdo con algunas opiniones, este instrumento regulador propició un cambio drástico en la manera como las entidades bancarias, financieras y hasta legales, habían manejado, hasta ese momento, la data personal de sus clientes. Y un ejemplo claro, es el hecho de que, a partir de su entrada en vigencia, para que sea legal el tratamiento de algún dato personal, se debe tener el consentimiento expreso del titular, durante la recolección y tratamiento del mismo. Y no queda allí, pues también tiene el derecho a conocer el uso al que estará destinada su información.
A continuación, veremos más de lo que contiene el Decreto 285 a lo largo de sus 65 artículos.
Vamos a conocer el ámbito de aplicación del Decreto 285
La Ley 81 y su reglamentación, establecida en el Decreto 285 es bastante amplia en su ámbito de aplicación. Sin embargo, deja claro que, aunque existan leyes especiales, la Ley de protección de datos y su reglamentación se consideran como régimen general. Es decir, las leyes especiales pasan a un estatus de complementariedad, respecto a ambas normativas.
Este par de normas rigen tres grandes ámbitos vinculados al resguardo de datos personales:
- El del titular con respecto al destinatario y a sus empleados.
- Lo relacionado a la protección de información en manos del destinatario y que pueden llegar a ser suministrados a proveedores, custodios o, incluso, socios o aliados de ese destinatario.
- Por último, aquellos aspectos vinculados a políticas o gobierno organizacional (puertas adentro del destinatario).
De igual manera este par de regulaciones se aplica en:
- Bases de datos contenedoras de información personal, sea de panameños o extranjeros que se localicen dentro del territorio de la República de Panamá.
- Quien sea el responsable de tratar los datos y que tenga su domicilio en el país.
- El tratamiento de la información cuyo origen o almacenamiento se ubique en el territorio panameño. También aplica al tratamiento de la data efectuado como parte de una actividad comercial, a través de la Internet u otros medios electrónicos/digitales, y relacionados con actividades que apuntan al mercado panameño.
Por otra parte, el Decreto contempla casos, como aquellos en los cuales no será requerida una autorización para tratar datos personales, es decir: cuando las fuentes sean de dominio público o son recolectados por la Administración Pública; aquellos de carácter bancario, financiero o económico que cuentan con un consentimiento previo; los listados de personas en organizaciones; los que se incluyen dentro de una relación comercial ya establecida; los que se requieren en caso de una urgencia médica o sanitaria; y aquellos para fines científicos, históricos o de estadística.
Responsabilidades de los involucrados según el Decreto 285
Es importante tener claridad respecto a quiénes son los involucrados como “actores” en el tratamiento de la data personal y sus respectivas responsabilidades.
Entre los involucrados están: el titular o ciudadano a quien está referida la información; el responsable del tratamiento de datos, es decir, quien decide el uso, los medios y el alcance del tratamiento de la data; el custodio de la base de datos que es quien actúa por cuenta del responsable del tratamiento de datos y tiene la obligación de resguardar la base de datos; el oficial de Protección de Datos Personales (Artículos 43 y 44) o funcionario que sirve en la unidad de enlace; las entidades de carácter público; entidades privadas que pueden designar a alguien que suscriba junto al responsable del tratamiento o resguardo de los datos; el destinatario (persona o entidad) a quien será transferida la información personal; y el exportador, aquella persona natural o jurídica, con domicilio en Panamá, que realice la transferencia de los datos personales fuera de las fronteras del país (este último aspecto está muy bien descrito en el Artículo 51 del Decreto) .
De igual manera, el Reglamento incorpora obligaciones para las partes, como son: las medidas organizativas que deberían ponerse en práctica; lo que deben contener las comunicaciones dirigidas al titular de la información; describe los requerimientos y protocolos a seguir para gestionar la autorización del titular y aquellos que aplican para el ejercicio de los derechos concedidos por la Ley PDP; la ficha técnica que necesita llevar el responsable del tratamiento de datos o el custodio; el registro de las bases de datos que se han transferido a terceros; el modelo de contratación para el Custodio de Base de Datos; y las Sanciones, garantías y publicidad. Los Artículos del 32 al 36 detallan muy bien los aspectos mencionados y, en el Artículo 37, se tratan las notificaciones y documentación necesarios, en casos de violaciones de seguridad.
Condiciones establecidas para el consentimiento y tratamiento de los datos personales
De acuerdo con este Reglamento para que haya consentimiento legal, éste debe ser informado, no puede dejar lugar a dudas, debe estar precedido por la información estipulada en la norma y debe conseguirse de tal manera que se facilite su trazabilidad. Ahora bien, en caso de ser retirado dicho consentimiento, esto no afectará la legalidad del tratamiento que tuvo como fundamento el consentimiento antes de ser revocado, remitiéndose a las excepciones previstas en la Ley que abarca todos esos casos en los que no sea de esa manera.
En lo que respecta a las condiciones para poder proceder al tratamiento de los datos está desarrollado ampliamente en el Decreto 285, sumándose a las que fueron previstas en la Ley. Por ejemplo, cuando el tratamiento se realice para proteger el interés vital del titular u otra persona natural; cuando sea requerido por alguna entidad pública que está ejerciendo sus funciones legales; y cuando se necesite para cubrir el interés legítimo del responsable de dicho tratamiento.
En cuanto a infracciones y sanciones
El reglamento también ofrece más detalles sobre las infracciones y sanciones previstas en la Ley de 2019 incorporando criterios que dan más claridad. A su vez, regula su prescripción y los criterios de graduación de las sanciones (Artículo 62), entre los que podríamos mencionar:
- Intencionalidad
- Reincidencia
- Naturaleza y costo de los daños ocasionados.
- Tiempo durante el cual se estuvo desarrollado la infracción.
- Impacto en los derechos de personas menores de edad.
- Pronta adopción de medidas correctivas.
- Proporcionalidad existente entre la gravedad de la falta y la intensidad de la sanción aplicada.
Es mucho lo que queda por conocer del Decreto 285. Esto ha sido solo una introducción que puede brindar una buena idea del contenido general de este reglamento y su correcta aplicación.
.
Licda. Yolany L. Rodríguez A.
CEO & CMO – Chief Marketing Officer
PHPASS
www.phpass.app