Ley de Protección de Datos de Panamá: Impresiones preliminares

La tan esperada Ley de Protección de Datos Personales de Panamá fue aprobada por la Asamblea Nacional mediante Ley No. 81 del pasado 26 de marzo de 2019, y publicada en la Gaceta Oficial el viernes 20 de marzo de 2019. Pese a la larga espera, la ley entrará a regir dos años después de su promulgación, hasta el 26 de marzo de 2021. Al igual que todas las regulaciones sobre la materia en el espacio latinoamericano, la panameña tiene una marcada influencia del modelo regulatorio europeo, con la particularidad de que, al haber sido aprobada posteriormente a la aprobación en 2016 del Reglamento General de Protección de Datos de la Unión Europea (RGPD), incluye varias de sus novedades.

En cuanto al ámbito de aplicación, se establece que será aplicable a las bases de datos: 1) ubicadas en el territorio panameño que almacenen o contengan datos personales de nacionales o extranjeros, o 2) que el responsable del tratamiento de los datos esté domiciliado en Panamá. Resulta una omisión notoria que no se aplique la legislación panameña al tratamiento de los datos personales que realice en territorio panameño un encargado, o un responsable no domiciliado en Panamá en los casos en que la base de datos esté ubicada fuera del territorio panameño como sería, por ejemplo, si la base de datos está en la nube. El artículo 3 establece cinco supuestos en los que no se aplicará la Ley, algunos de ellos recogidos también en el artículo 2 del RGPD, por ejemplo, el tratamiento de datos personales por parte de personas físicas para personales o domésticos. Sin embargo, llama la atención que se excluya del ámbito de aplicación los tratamientos que se efectúen para el análisis de inteligencia financiera.  Siendo Panamá un país con servicios financieros muy desarrollados, un concepto indeterminado tan amplio como inteligencia financiera permitiría la exclusión de un considerable número de tratamientos de datos personales de los estándares de protección que pretende garantizar la legislación. El artículo 6 de la Ley regula las bases jurídicas que legitiman el tratamiento de datos personales: 1) El consentimiento, 2) La ejecución de una obligación contractual, 3) Cumplimiento de una obligación legal, 4) Tratamiento autorizado por ley especial o normativas que las desarrollan. Esta norma sigue la línea del RGPD, y resulta importante porque rompe el paradigma del tratamiento basado únicamente en el consentimiento. Se incluyen también -aunque en el artículo 8- otras bases de tratamiento contempladas en el RGPD, como el tratamiento para proteger intereses vitales (emergencia médica o sanitaria) o el interés legítimo, previa aplicación de la regla de ponderación.

Se garantizan los Derechos ARCO, ya consagrados en la mayoría de normativas de protección de datos: Acceso, Rectificación, Cancelación (ahora llamada supresión en el RGPD) y Oposición, a los cuales se confiere carácter irrenunciable. Se regula también el derecho a la portabilidad, novedad también del RGPD. Recoge la Ley el derecho del titular de los datos a no ser sujeto de decisiones automatizadas, en una formulación muy similar a la contenida en el considerando 71 y el artículo 22 del RGPD. Este derecho pretende garantizar que las personas no sean objeto de decisiones que estén basadas únicamente en el tratamiento automatizado de sus datos personales y que produzcan efectos jurídicos negativos, lo cual suele ser frecuente en la práctica de elaboración de perfiles de consumidores, por ejemplo. La Ley también establece, aunque de manera poco clara, la necesidad de que los responsables y custodios de bases de datos mantengan un registro de actividades, en el que deberán incorporar todas las transferencias de datos personales a terceros (Art. 31). Este registro de actividades de tratamiento (que no se limita a la transferencia) es una novedad del RGPD que dejó atrás la obligación que establecía la Directiva 95/46 de comunicar a las autoridades de control la existencia de bases de datos, obligación que persiste por ejemplo en la legislación costarricense, dictada, con clara influencia de la legislación española, previo a la aprobación del RGPD. Uno de los puntos en donde la legislación panameña pareciera haberse complicado innecesariamente producto de un error conceptual, es en lo relativo al encargo de datos personales. No se regula al encargado de los datos personales, es decir a aquella persona física o jurídica, que podría ser incluso una entidad pública, que realiza tratamiento de datos personales por cuenta del responsable del tratamiento. La relación responsable – encargado es sumamente frecuente en contratos de servicios, de allí que una adecuada regulación resulta esencial en cualquier normativa. No obstante lo anterior, la legislación panameña incorpora la figura del Custodio de la base de datos definiéndolo como una persona natural o jurídica, de derecho público o privado, lucrativa o no, que actúa en nombre y por cuenta del responsable del tratamiento y le compete la custodia y conservación de la base de datos. Esta definición circunscribe la figura a dos operaciones de tratamiento, la custodia y la conservación, siendo que el encargado puede realizar no sólo estos tratamientos sino otros como la recolección, consulta, eliminación, rectificación, etc. Se regula en el artículo 10 el denominado tratamiento de datos personales por mandato, sobre el cual se establece que el mandatario deberá respetar las estipulaciones de mandato en el cumplimiento de su encargo. Queda la duda de si el encargo de datos personales, bajo la legislación panameña, deberá estructurarse entonces por medio de un contrato de mandato, y no de uno de encargo, aunque el propio artículo 14 habla del deber de cuidado del custodio “por encargo o mandato” del responsable. La autoridad reguladora que asumirá la rectoría en materia de datos personales es la ya existente Autoridad Nacional de Transparencia y Acceso a la Información (ANTAI). Dicha Autoridad cuenta con independencia funcional, al resolver las denuncias que se le presenten en todas sus instancias. También la Ley contempla la creación de un Consejo de Protección de Datos Personales, aunque este tendrá una función de asesoría a ANTAI y elaboración de políticas públicas. Sin duda, en lo que la legislación panameña no siguió la inspiración del RGPD es en cuanto a la fijación de las multas derivadas del incumplimiento de sus disposiciones.

Mientras que en Europa estas multas pueden llegar a veinte millones de euros o el 4% del volumen de ingreso anual de la empresa, en Panamá la multa máxima es de diez mil balboas (equivalentes al dólar americano). Si bien las realidades económicas entre Panamá y la Unión Europea son significativas, multas tan bajas desalientan el cumplimiento, como ha sucedido en Costa Rica, en donde para muchas empresas es más barato provisionar contablemente una multa (o varias) que tomar todas las medidas necesarias para aplicar la legislación de protección de datos. En cuanto a las infracciones, la Ley prevé un elenco de faltas, leves, graves y muy graves. Se prevé también que los responsables del tratamiento deberán indemnizar en vía judicial el daño patrimonial y/o moral que causen derivado del tratamiento indebido de datos personales, y dicha indemnización no se circunscribe en la legislación al titular de los datos personales. En Centroamérica, Guatemala, El Salvador y Honduras están pendientes de aprobar legislación sobre protección de datos personales.