El pasado 28 de mayo se publicó el Decreto Ejecutivo que reglamenta la Ley 81 de 2019 sobre Protección de Datos Personales para desarrollar las disposiciones que regulan el régimen general de protección de datos personales.

Este Decreto, publicado según lo previsto en la Ley de 2019 –que entró en vigor en marzo de 2021- y comentada en Progreso 19, ofrece las herramientas necesarias para poner en práctica protocolos y procedimientos requeridos para el tratamiento de datos conforme a la ley y clarifica el contenido de la misma estructurando su contenido.

El reglamento consta de 65 artículos que complementan a la ley, preceptos que pretenden ordenarla sistemáticamente, desarrollar ciertas cuestiones y clarificarlas:

Requisitos de información

El Decreto concreta y especifica el contenido de la información que el responsable del tratamiento deberá facilitar al titular en el caso en que los datos se obtengan directamente de este:

• Identidad y datos de contacto del responsable del tratamiento
• Finalidad o finalidades del tratamiento
• La condición que legitima el tratamiento
• Los destinatarios de los datos personales
• La intención de transferir datos personales a un tercer país
• Plazo de conservación de los datos
• Procedimientos para ejercer los derechos de acceso, rectificación, cancelación, oposición y portabilidad.
• Existencia de decisiones automatizadas (incluida la elaboración de perfiles)
• Datos de contacto del oficial del de protección de datos personales

También se establecen los plazos y la forma en que el responsable del tratamiento deberá proporcionar esta información y la obligación adicional de informar sobre la fuente de la que proceden los datos y su categoría, en los supuestos en que los datos no hayan sido obtenidos directamente del titular.

Condiciones de licitud del tratamiento

El listado de condiciones para poder proceder al tratamiento de los datos y, entre las que al menos deberá cumplirse una para ello, es ampliado en este desarrollo reglamentario. A las ya previstas en la Ley se añaden:

• Cuando el tratamiento sea necesario para proteger intereses vitales del titular de los datos o de otra persona natural
• Cuando el tratamiento sea requerido por una entidad pública en el ejercicio de sus funciones legales
• Cuando el tratamiento sea necesario para satisfacer el interés legítimo perseguido por el responsable del tratamiento

Consentimiento

El consentimiento ha de ser informado e inequívoco, debiendo ser precedido por la información que estipula la norma y deberá obtenerse de una manera que permita su trazabilidad. Para el tratamiento de datos sensibles, además deberá ser irrefutable y expreso.

El reglamento recuerda que el retiro del consentimiento no afectará a la licitud del tratamiento basada en el consentimiento previo a su revocación, remitiéndose a las excepciones previstas en la Ley que desarrolla para los casos en los que no es así.

Obligaciones del responsable del tratamiento

Con este desarrollo reglamentario se aglutinan en un solo precepto todas las obligaciones exigidas, tanto al responsable del tratamiento como al custodio de la base de datos:

• Elaborar protocolos y procesos de protección da datos personales obligatorios y exigibles al interior de la organización
• Revisar periódicamente los procedimientos de gestión y transferencias de datos
• Cumplir con normas y estándares nacionales e internacionales
• Adoptar mecanismos de autorregulación vinculantes
• Elaborar y mantener el registro de bases de datos
• Evaluar el impacto de los tratamientos de datos para garantizar la proporcionalidad y minimización de datos en el tratamiento
• Designar a un oficial de protección de datos: para el sector privado no es obligatoria; no obstante, si fuera el caso, la autoridad de control la tomará en cuenta como criterio para la graduación de sanciones
• Notificar a la autoridad de control las violaciones de seguridad de inmediato, en el momento en el que tenga conocimiento de la misma y documentarlas
• Deber de secreto o de confidencialidad

Medidas de responsabilidad para el cumplimiento

Los mecanismos de autorregulación previstos por la Ley como condición habilitante para la realización de transferencia de datos personales, son desarrollados por la norma.

En este sentido, de acuerdo con el Decreto, la autoridad de control impulsará la elaboración de mecanismos de autorregulación vinculantes para facilitar el cumplimiento de la normativa sobre protección de datos personales en los que deberá quedar consignado: el cumplimiento de los principios de tratamiento, los protocolos de información y transparencia con el titular de los datos, los procedimientos de recogida, tratamiento, transferencia y conservación de los datos; las condiciones de cumplimiento para las transferencias internacionales de datos, la atención y respuesta al ejercicio de los derechos por los titulares de los datos y las medidas técnicas y organizativas que se adopten para garantizar la seguridad en el tratamiento y transferencia de los datos.

La adhesión a un mecanismo de autorregulación vinculante supondrá una garantía de cumplimiento para el custodio de la base de datos y para las transferencias internacionales de datos.

Evaluaciones de impacto

Otra de las concreciones incluidas en el nuevo Decreto, se encuentra la elaboración de un informe de evaluación de impacto. Considerando la gravedad del riesgo que presente el tratamiento realizado, así como la novedad de la tecnología utilizada; la autoridad de control podrá ordenar la presentación de un informe de evaluación de impacto de protección de datos que contenga, al menos: una descripción de los tipos de datos recopilados, la metodología utilizada para la recopilación y garantía de seguridad de la información, y el análisis del responsable en relación con medidas, salvaguardas y mecanismos de mitigación de riesgos adoptados.

 Transferencia de datos personales

En línea con lo previsto con la Ley que desarrolla, el reglamento dispone que la solicitud de transferencias de datos ha de documentarse, para ello, el responsable del tratamiento que transfiere y el que recibe deberá dejar constancia de la solicitud y de la recepción de los datos transferidos. En este sentido, la norma exige además diversos requisitos respecto al custodio de los datos.

La norma, en concordancia con la Ley que reglamenta, permite las transferencias extrafronterizas siempre que se reúna alguna de las condiciones que exige la ley, por ejemplo: cuando el país u organización internacional receptores ofrezcan un grado de protección de datos equivalente o superior al previsto en la normativa panameña, cuando el responsable muestre garantías adecuadas de cumplimiento de los principios y derechos de titular de esta normativa, cuando exista consentimiento del titular de datos, o en el caso en que sea necesario por cuestiones sanitarias o salvaguarda del interés público.

Infracciones y sanciones

El reglamento especifica las infracciones y sanciones que prevé la Ley de 2019 e introduce criterios que las clarifican: regula su prescripción y los criterios de graduación de las sanciones.

 

Esta norma supone un paso más en la protección de datos se refiere, otro de los modelos normativos que están adoptando los estándares internacionales de la materia.