El pasado 26 de marzo, veía la luz la Ley 81 sobre protección de datos personales aprobada por la Asamblea Nacional de Panamá y publicada en la Gaceta Oficial Digital el 29 de marzo. Con esta Ley, Panamá entra en la lista de países con regulación propia en protección de datos personales y aspira a ganar en competitividad en la prestación de sus servicios y en la defensa del derecho fundamental a la protección de los datos personales de las personas naturales. Conforme a su artículo 47, esta ley comenzará a regir a los dos años de su promulgación, 29 de marzo de 2021.
Hasta ese momento, abogados, profesionales del sector, organismos y entidades públicas y privadas se están preparando para conocer la norma y su aplicación además del ente regulador, la Autoridad Nacional de Transparencia y Acceso a la información (ANTAI, por sus siglas) está estudiando, redactando y preparando la aprobación de su desarrollo reglamentario; desarrollo muy necesario y donde el ente regulador debería ser capaz de encontrar la manera de acercar la Ley a los estándares internacionales e iberoamericanos en la materia.
Los “Estándares de Protección de Datos de los Estados Iberoamericanos”, aprobados el 20 de junio de 2017, en el marco del XV Encuentro Iberoamericano de Protección de Datos, la Red Iberoamericana de Protección de Datos (RIPD) dando cumplimiento así a un objetivo largamente anhelado por todas las entidades integrantes de la misma, así como a uno de los acuerdos adoptados en la XXV Cumbre Iberoamericana de Jefes de Estado y de Gobierno, celebrada el 28 y 29 de octubre de 2016 en Colombia, relacionado con solicitar a la RIPD la elaboración de una propuesta para la cooperación efectiva relacionada con la protección de datos personales y privacidad.
Entre los objetivos de los Estándares Iberoamericanos, se destacan los siguientes:
- Establecer un conjunto de principios y derechos comunes de protección de datos personales que los Estados Iberoamericanos puedan adoptar y desarrollar en su legislación nacional, con la finalidad de contar con reglas homogéneas en la región.
- Garantizar el efectivo ejercicio y tutela del derecho a la protección de datos personales de cualquier persona física en los Estados Iberoamericanos, mediante el establecimiento de reglas comunes que aseguren el debido tratamiento de sus datos personales.
- Facilitar el flujo de los datos personales entre los Estados Iberoamericanos y más allá de sus fronteras, con la finalidad de coadyuvar al crecimiento económico y social de la región.
- Favorecer la cooperación internacional entre las autoridades de control de los Estados Iberoamericanos, con otras autoridades de control no pertenecientes a la región y autoridades y organismos internacionales en la materia.
Reclaman así la necesidad de buscar una armonización normativa en materia de figuras; principios de actuación; derechos de los titulares de los datos y procedimientos. Desde esta perspectiva vamos a guiar nuestro análisis de la ley panameña con la finalidad de tratar de arrojar luz en el camino.
En este contexto normativo donde se busca la armonización -no sólo de los países iberoamericanos, sino a nivel internacional-, vamos a fijar la vista en la Ley 81 que se compone de 47 artículos distribuidos en VII Capítulo dedicados a: Disposiciones Generales (artículos 1 a 14); Derechos de los Titulares de Datos Personales (artículos 15 a 24); Utilización de datos personales (artículos 25 a 33); Consejo de Protección de Datos Personales (artículos 34 y 35); Responsabilidad por las infracciones (artículos 36 y 37); Infracciones y sanciones (artículos 38 a 43) y Disposiciones finales (artículos 44 a 47). La distribución de contenidos en la Ley 81, un tanto dispersa, hace necesaria una lectura completa e integradora de la ley para conocer el régimen aplicable a cada cuestión que se aborda en la misma.
Al analizar su contenido, encontramos entre sus disposiciones generales, la descripción del objeto de la ley que es establecer los principios, derechos, obligaciones y procedimientos que regulan el tratamiento de los datos personales que lleven a cabo las personas naturales o jurídicas, tanto de derecho público como privado. El ámbito territorial de aplicación alcanza a las bases de datos que se encuentren en territorio panameño y al responsable del tratamiento que esté domiciliado en Panamá.
Los principios generales en los que se debe basar el tratamiento, conforme a esta norma, son:
- Principio de lealtad en la recogida de datos de forma que no se utilice engaño o falsedad o medios fraudulentos, desleales o ilícitos; si partimos del hecho de que la protección de los datos personales deriva de un poder de disposición del titular de los datos sobre los mismos, este principio nos lleva a la necesidad de observar reglas relacionadas con la información debida en la recogida y tratamiento de los datos, la necesidad de que exista una base legítima del tratamiento, como veremos después y un tratamiento transparente hacia el titular de los datos.
- Principio de finalidad: esto exige limitar el tratamiento y la conservación de los datos única y exclusivamente conforme a la finalidad para la que se han recogido. De esta forma, el momento de definir la finalidad del tratamiento es decisivo, primero, porque se exige que la finalidad sea determinada, explícita y lícita y segundo, porque conforme a esa definición, estaremos delimitando el tratamiento de datos que vamos a poder realizar de forma legítima; es así el permiso de tratamiento. El último párrafo del artículo 6 se refiere a la obligación de informar respecto del propósito del uso de los datos personales.
Que la finalidad descrita al titular de los datos delimita el tratamiento se vuelve a poner de manifiesto en el artículo 11, cuando se indica que, si se quiere dar otro uso a los datos, será necesario reunir alguna de las siguientes condiciones: obtener el consentimiento, que lo permita una ley, que sea necesario para cumplir una obligación contractual, que sea requerido por una entidad pública en el ejercicio de sus funciones legales o por orden judicial.
- Principio de proporcionalidad o minimización de los datos, esto es, que sólo sean pedidos los datos que sean adecuados y pertinentes conforme a la finalidad para la que van a ser utilizados; de nuevo, esto nos exige una reflexión previa sobre qué tratamientos se quiere realizar y, para ello, qué datos se necesita solicitar.
- Principio de veracidad y exactitud de los datos personales de forma que respondan a la situación actual del propietario del dato; lo que reclama adoptar procedimientos de control continuo que nos permitan mantener la veracidad y exactitud de los datos.
- Principio de seguridad de los datos: que implica garantizar la seguridad aplicando medidas de índole técnica y organizativa, así como poner en conocimiento del titular de los datos la sustracción de estos o la vulneración de su seguridad.
- Principio de transparencia en toda comunicación o información que se facilite al titular en el tratamiento de sus datos, en particular, en relación con los derechos que le asisten.
- Principio de confidencialidad de los datos por parte de todas aquellas personas que intervengan en el tratamiento de los datos durante y después de la relación.
- Principio de licitud del tratamiento, donde, en un primer momento, la Ley parece reconocer el consentimiento o el fundamento legal como las únicas bases legítimas para el tratamiento de los datos, y cuando esto no es así, después, donde en el artículo 6 se describen las condiciones para realizar el tratamiento legítimo de los datos y se refiere a la necesidad de cumplir al menos una de las siguientes condiciones:
- consentimiento, definido como la manifestación de la voluntad del titular de los datos, que deberá otorgarse de forma que sea ‘trazable’; para las transferencias de datos, sean nacionales o transfronterizas, se habla en la Ley 81 de consentimiento previo, informado e inequívoco, salvo excepciones legales;
- la ejecución de una obligación contractual;
- el cumplimiento de una obligación legal, o
- una autorización por ley especial para el tratamiento de los datos.
Además, conforme al artículo 8, no será necesaria la autorización previa del titular de los datos cuando los datos provengan de fuentes de dominio público o sean accesibles en medios públicos; o se traten en el ejercicio de las funciones del ámbito de competencia de las administraciones públicas; listas de miembros de una organización, de profesionales o de una actividad; sean necesarios para el desarrollo de una relación comercial; se usen en el ámbito de organizaciones privadas en su relación con sus asociados; en casos de urgencia médica; para fines históricos, estadísticos o científicos; para la satisfacción de intereses legítimos.
Para el tratamiento de los datos sensibles se exige que el consentimiento sea explícito, salvo ley en contra; que sea necesario para la salvaguarda de la vida del titular y éste se encuentre incapacitado jurídicamente; o necesario para el reconocimiento, ejercicio y defensa de un derecho en un proceso judicial o que tenga finalidad histórica, estadística o científica y que haya sido debidamente disociado.
Respecto de las transferencias de datos o movimientos nacionales o transfronterizos de datos, conforme al artículo 25, se basan en el consentimiento como única base de legitimación salvo excepción legal o ley especial que las regule.
En cuanto al tratamiento de datos transfronterizo, en el artículo 33, se establecen como bases de legitimación:
- un estándar o normas de protección de datos iguales o superiores a los exigidos por la norma panameña;el consentimiento;
- la celebración o ejecución de un contrato;
- las transferencias bancarias, dinerarias y bursátiles del mercado de valores y la existencia de un tratado internacional.
- Principio de portabilidad como el derecho a obtener una copia de los datos de forma estructurada y en un formato genérico y de uso común.
Los sujetos obligados a cumplir esta ley son todas las personas naturales o jurídicas, de derecho público o privado, y lucrativas o no. Las entidades de derecho público sólo podrán efectuar tratamientos respecto de las materias de su competencia. Entre las obligaciones y deberes que se describen para estos sujetos, denominados en esta norma como responsable del tratamiento y custodio, encontramos las generales de establecer protocolos, procesos y procedimientos de gestión y transferencia seguro; proteger los derechos de los titulares de los datos; el deber de confidencialidad; el deber de seguridad de los datos; y, dentro de todas ellas, queremos referirnos a algunas de estas por su particularidad:
- deber de conservación de los datos por el tiempo limitado, estableciendo un plazo máximo de 7 años como límite para transferir o comunicar datos una vez extinguida la obligación legal de conservación;
- registro de bases de datos donde deberán recogerse:
- la identificación de las bases de datos;
- el responsable;
- la naturaleza de los datos que contiene;
- el fundamento jurídico de su existencia;
- los procedimientos de recogida y tratamiento de los datos;
- el destino de los datos; las personas naturales o jurídicas a las que pueden ser transferidos;
- la descripción del universo de personas que comprende;
- las medidas de seguridad; los protocolos y la descripción técnica de la base de datos;
- la forma y las condiciones en que las personas pueden recibir o acceder a los datos referidos a ellas;
- los procedimientos a realizar para la rectificación, la actualización de los datos, el tiempo de conservación de los datos y cualquier cambio a los elementos indicados, así como la identificación y periodo de todas las personas que han ingresado a los datos personales dentro de los 15 días hábiles desde que se inicie dicha actividad;
- transferencias de datos: se establece la necesidad de que, para toda transferencia, quede constancia de:
- quién la pide o a quién se transfieren los datos;
- el motivo o propósito de la petición;
- los datos que se piden;
- la notificación de la transferencia, de su motivo y destinatario a los titulares de los datos salvo consentimiento previo;
- el tiempo máximo que el destinatario utilizará los datos y
- la forma en que serán posteriormente destruidos.
Los derechos que se reconocen a los titulares de los datos son los de acceso, rectificación, cancelación, oposición, portabilidad y no ser sometido a decisiones basadas únicamente en el tratamiento automatizado de los datos. También se reconocen el derecho a la tutela judicial y el derecho a reclamar la tutela de sus derechos ante la autoridad de control, la ANTAI.
La autoridad de control es la entidad competente para sancionar los incumplimientos de esta Ley. Sus decisiones serán recurribles ante la Dirección de Protección de Datos y en apelación ante la Dirección General de ANTAI.
Conclusiones
Una vez recorrido el contenido de esta Ley, la primera conclusión a la que llego es que el desarrollo reglamentario se hace muy necesario para su aplicación práctica. Como he querido poner de manifiesto en mis comentarios, hace falta un poco de orden en algunas cuestiones que se hallan dispersas en el articulado de la norma y que pueden llegar a confundir al responsable o custodio que se proponga cumplirla. Véase por ejemplo las condiciones de legitimación del tratamiento de los datos.
En segundo lugar, diré que se mencionan muchas instituciones tradicionales y más novedosas en materia que necesitan de desarrollo reglamentario para poder abordarse, véase, por ejemplo: relación que regula el tratamiento de los datos por el custodio por cuenta del responsable; seguridad de los datos y conforme a qué criterio adoptar esas medidas técnicas y organizativas; el confuso plazo de 7 años del artículo 28 conforme al que los datos pueden conservarse hasta 7 años después de extinguida la obligación legal de conservarse; el contenido del deber de información, se nos exige informar al titular de los datos, pero no se indica de qué se debe informar al interesado; se exige un consentimiento explícito para el tratamiento de datos sensibles, pero no se indica qué se entiende por ‘explícito.’
Como es el caso que nos ocupa en Panamá, cuando un país decide actualizarse en una materia como es la privacidad, donde otros países llevan décadas aplicando una regulación en esta materia y, lo que es más importante, aprendiendo de los errores cometidos y adoptando mejoras que hacen más posible el cumplimiento, aminoran la carga burocrática de los responsables y custodios y ofrecen nuevos medios y poderes de investigación, correctivos o consultivos a la autoridad de control, la conclusión es clara: Panamá está regulando en una materia para ser aplicada a un mundo global, donde hay otros modelos de privacidad testados y renovados, aprovechen para seguirlos, sin perder su identidad y, a la vez, disfrutando de la ventaja que el momento elegido para legislar les ha brindado.