El pasado 24 de octubre de 2018 la Asamblea Nacional aprobó en tercer debate el Proyecto de Ley 665 “Sobre Protección de Datos Personales” para asegurar el respeto y la protección de los datos personales contenidos en bases de datos ubicadas dentro o fuera del territorio nacional.

El Proyecto, que supone un complemento a las legislaciones especiales que crean y reglamentan las bases de datos personales, contempla los siguientes aspectos:

Ámbito de aplicación y excepciones

El Proyecto de Ley será aplicable a todas aquellas bases de datos que se encuentren dentro de Panamá o cuyo responsable se encuentre domiciliado en Panamá y almacenen datos, ya sea de nacionales o de extranjeros. A estos efectos, la norma define al responsable del tratamiento de los datos como aquella persona natural o jurídica, de derecho público o privado, lucrativa o no, a quien le corresponda las decisiones relacionadas con el tratamiento de los datos y que determine las cuestiones relacionadas a éstos.

La ley exceptúa de su ámbito de aplicación, además de aquellos tratamientos de datos que expresamente se encuentren regulados por leyes especiales, los siguientes:

• Tratamientos de datos que realicen una persona natural para actividades exclusivamente personales o domésticas
• Tratamientos de datos realizados por autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales
• Tratamientos de datos que se efectúen para el análisis de inteligencia financiera y relativos a la seguridad nacional
• Tratamiento de datos relacionados con organismos internacionales
• Tratamientos de datos resultantes de información obtenida mediante un procedimiento previo de anonimización, de manera que el resultado no puede asociarse al titular de los datos personales

Principios Generales

• Principio de lealtad: los datos personales deben ser recabados sin engaño o falsedad.
• Principio de finalidad: los datos deberán ser recolectados con fines determinados y no utilizadas para fines incompatibles a los que fueron solicitados.
• Principio de proporcionalidad: los datos solicitados deberán ser adecuados, pertinentes y limitados al mínimo necesario para la finalidad que se requiere.
• Principio de veracidad y exactitud: los datos deben ser exactos y puestos al día de manera que respondan con veracidad a la situación actual de su titular.
• Principio de seguridad de los datos: se deberán adoptar medidas de índole técnica y organizativa para garantizar la seguridad de los datos, principalmente de los datos sensibles.
• Principio de transparencia: la información proporcionada al titular de los datos deberá ser sencilla y clara.
• Principio de confidencialidad: los responsables del tratamiento de datos personales deberán mantener la confidencialidad de los datos.
• Principio de licitud: los datos deberán ser recolectados con previo consentimiento del titular, o con una base legal.
• Principio de portabilidad: el titular tiene derecho a obtener por parte del responsable del tratamiento de datos una copia de sus datos personales, de manera estructurada, en un formato genérico y de uso común.

Derechos de los titulares de datos personales

Al igual que la normativa internacional en materia de protección de datos personales, la nueva legislación panameña reconoce a los titulares los derechos de acceso, rectificación, cancelación, oposición y de portabilidad. Adicionalmente, el Proyecto dispone que el titular tiene derecho a no ser sujeto de una decisión basada únicamente en el tratamiento automatizado de sus datos personales y se prohíbe la limitación del derecho al bloqueo de sus datos.

Requisitos para el tratamiento de datos personales

El tratamiento de datos personales sólo puede realizarse cuando se cumplan al menos alguna de las siguientes condiciones:

• Que se obtenga el consentimiento del titular del dato.
• Que el tratamiento del dato sea necesario para la ejecución de una obligación contractual, siempre que el titular de los datos sea parte.
• Que el tratamiento sea necesario para el cumplimiento de una obligación legal, a la cual el responsable de los datos esté sujeto.
• Que el tratamiento de los datos personales esté autorizado por una ley especial

Transferencias de datos

La norma permite la transferencia de datos personales siempre y cuando se cumplan ciertas condiciones como: contar con el consentimiento del titular de los datos, que el país receptor de los proporcione un nivel de protección equivalente o superior, que el responsable del tratamiento que transfiere los datos y el destinatario adopten mecanismos de autorregulación vinculante, o que se realice en el marco de cláusulas contractuales que contengan mecanismos de protección de los datos personales,  entre otros.

Sanciones

La Autoridad Nacional de Transparencia y Accesos a la Información (Antai) fijará las cantidades de las sanciones aplicables a las faltas, de acuerdo a su gravedad, desde $1,000.00 hasta $10,000.00.

Las infracciones, clasificadas en leves, graves o muy graves, serán sancionadas de la siguiente manera:

• Falta Leve: citación ante la Antai con relación a registros
• Faltas graves: multas según su proporcionalidad
• Faltas muy graves:
  • Clausura de los registros de la base de datos, sin perjuicio de la multa correspondiente.
  • Suspensión e inhabilitación de la actividad de almacenamiento y/o tratamiento de datos personales de forma temporal o permanente, sin perjuicio de la multa correspondiente.

Otras consideraciones

El Proyecto reconoce a la Autoridad Nacional de Transparencia y Acceso a la Información como ente regulador, quien, con el apoyo de la Autoridad Nacional para la Innovación Gubernamental será la encargada de fiscalizar y supervisar los aspectos relacionados dentro de esta norma a la Tecnologías de la Información y la Comunicación (TICs).

Por último, la normativa dispone que entrará en vigor a los dos años de su promulgación, otorgando así un periodo de transición a las entidades para que puedan adaptarse a los requerimientos del ente regulador.