La ley 81 del 26 de marzo de 2019 “Sobre Protección de Datos Personales” entrará en vigencia, según su artículo 47, a los dos años de su promulgación. Es decir, hoy lunes 29 de marzo, ya que la Ley fue promulgada, o sea publicada en la Gaceta Oficial, el 29 de marzo del 2019.
La intención de la norma es la de actualizar el marco jurídico de la protección de los datos personales en manos de terceros, incluyendo a la empresa privada, a los organismos estatales y a entes sin fines de lucro
La Ley reconoce que los datos son propiedad de su titular, y que toda transacción, manipulación, tratamiento, divulgación o intercambio de estos deben estar sujetos al consentimiento del afectado, salvo las excepciones que establece la propia Ley y otras normas especializadas.
Esto es un avance significativo para Panamá y constituye un paso importante para la recuperación de la intimidad y la privacidad en la era digital. Aunque el texto de la Ley parece predominantemente dirigido a entidades con sistemas telemáticos o una gestión digitalizada de su información, en realidad los principios le son aplicables a una amplísima gama de otros sectores, siempre y cuando sus bases de datos, repositorios o archivos, se encuentren en Panamá
Esa es quizás la mayor debilidad de la Ley 81 de 2019, su territorialidad. En la sociedad de la información, los grandes gigantes tecnológicos gestores del comercio electrónico y de las mega redes sociales no tienen su base de datos en Panamá. Su tratamiento de los datos personales, búsquedas, compras, gustos u opiniones son objeto del más variopinto tráfico mercantil
Estos gigantes quedaron excluidos del alcance de esta Ley. Habría sido muy importante codificar los principios normativos de la protección de datos personales y hacerlos aplicables a todos estos portales, servicios y redes, que hacen negocios con los panameños y los datos de sus clientes en el istmo.
Los principios de la protección de datos
El artículo 2 de la Ley 81, establece nueve principios aplicables a la protección de datos personales: Principio de lealtad, de finalidad, de proporcionalidad, de veracidad y exactitud, seguridad de los datos, transparencia, confidencialidad, licitud y el de portabilidad.
Aunque los nombres no siempre corresponden con el contenido del principio, en términos generales cada persona natural es dueña de su información personal, que solo puede ser compartida por medio de un consentimiento previo para fines lícitos y con propósitos claramente explicados a la persona.
Por su parte, el artículo 8 establece nueve excepciones al principio de autorización o consentimiento previo para el tratamiento de datos personales
Estas se podrían clasificar de la siguiente forma: Aquella información que es de dominio público; las que sean del ámbito de competencia de la entidad que las gestiona; las relacionadas con transacciones económicas, bancarias y financieras; las indicativas sobre datos generales de la persona; las necesarias para una relación comercial; aquellas que usadas por organizaciones privadas para uso estadístico o tarifario; las relativas a emergencias médicas y sanitarias; las vinculadas a fines históricos, estadísticos o científicos; y aquellas relacionadas con otros intereses prioritarios, como los relativos con los menores de edad y personas con discapacidad, por ejemplo.
Contradicciones y ambigüedades de una norma
La Ley 81 del 2019 no impacta a la administración de justicia, a las investigaciones penales o administrativas, o a la actividad regulatoria del Estado. Tampoco impacta en los mandatos de la Ley 6 de 2002 de Transparencia y Acceso a la Información. Sin embargo, carga con algunos mandatos controversiales.
Por ejemplo, la amplitud de ciertos conceptos contenidos en la norma pueden ser causa de abusos, conflictos y hasta pueden degenerar en una amenaza a la libertad de expresión. Así tenemos, que el artículo 15 cuenta con dos numerales muy amplios y confusos: “Artículo 15. Se reconocen como derechos irrenunciables básicos los derechos que tienen los titulares de datos personales, sin perjuicio de cualquier otro derecho reconocido en esta Ley:
[...] 2. Derecho de rectificación: permite al titular solicitar la corrección de sus datos personales que sean incorrectos, irrelevantes, incompletos, desfasados, inexactos, falsos o impertinentes.
3. Derecho de cancelación: Permite al titular solicitar la eliminación de sus datos personales incorrectos, irrelevantes, incompletos, desfasados, inexactos, falsos o impertinentes.”[...]
Este quebradero de cabeza si no se resuelve voluntariamente entre las partes pasa a manos de la Autoridad Nacional de Transparencia y Acceso a la Información (ANTAI) y de allí seguramente a la justicia ordinaria. A su vez, el artículo 30 contiene una especie de blindaje de confidencialidad cuyos beneficiarios no son precisamente las personas más honorables de la sociedad: “Las entidades públicas que sometan a tratamiento datos personales relativos a condenas por delitos, infracciones administrativas o faltas disciplinarias no podrán comunicarlos, una vez prescrita la acción penal o administrativa o cumplida o prescrita la sanción o la pena, salvo autorización expresa por el titular del dato…”. Esta norma exceptúa a la administración de justicia de este mandato, pero la obliga a una estricta confidencialidad con estos datos.
Ese artículo desprotege a toda la sociedad, porque una escuela primaria no sabrá si está contratando a un pederasta, o un banco desconocerá que uno de sus ejecutivos es un estafador, y, peor aún, se premia a quienes aprovechando los millones de dólares saqueados al erario público se fueron del país para esperar la prescripción del delito por el que se les investigaba. Este artículo tiene un fuerte tufillo a impunidad y, por lo tanto, pareciera ser inconstitucional.
Otro mandato preocupante es el que contiene el artículo 33, que enumera las transferencias lícitas de datos que no requieren autorización previa del titular y que en su numeral 11 dice: “Que tenga por objeto la cooperación internacional entre organismos de inteligencia para la lucha contra el crimen organizado, el terrorismo, el lavado de activos, los delitos informáticos, la pornografía infantil y el narcotráfico.”. La lista de delitos es incompleta ya que dejó por fuera los delitos contra los derechos humanos, los homicidios, las violaciones, y tantos otros. Además, le da la espalda a numerosas convenciones y acuerdos internacionales firmados por el país.
Una institucionalidad en vías de desarrollo
La Ley 81 establece nuevos mandatos para la ANTAI, crea el Consejo de Protección de Datos Personales, que será presidido por el ministro de Comercio e Industrias, no por un defensor de los derechos humanos. Las sanciones que establece la Ley son esencialmente pecuniarias, pero si no las pagan, le corresponde a la Dirección General de Ingresos cobrarlas.
La Ley se quedó corta en salvaguardas a la libertad de expresión y la protección del ejercicio del periodismo. Aunque en Panamá no existe el derecho al olvido, esa especie de borrón y cuenta nueva de los corruptos y los criminales, la parte más cuestionada de esta Ley representa un paso en esa dirección.
Cuando se redactó esta norma todavía el país no había enfrentado la pandemia. El artículo 28 de la Ley 81 establece una prescripción a la posibilidad de transferir o comunicar los datos que se relacionen con una persona “identificada o identificable”, hasta siete años después de la fecha en que se extinguió la obligación legal de conservar la información. La Ley 195 de 31 de diciembre del 2020 en su artículo 5 redujo a 5 años esta obligación para el historial crediticio de las personas. Esto significa que antes de que la Ley 81 del 2019 entrara en vigencia ya había sido reformada.
La protección de datos personales es un derecho humano, su exactitud y precisión son fundamentales para la vida y el bienestar de su titular. A esta Ley le faltaron prohibiciones fundamentales como aquella de que una entidad pública o un prestador de servicios públicos no puede vender su base de datos de usuarios o clientes. El reducir esta protección a un permiso forzado en la papelería contractual, desconoce la realidad del mundo digital: lo que está en una base de datos en un país, está a un clic de estar en todas.
