La Ley 81 de 26 de marzo de 2019, sobre Protección de Datos Personales, se convirtió en el marco normativo de los derechos y obligaciones derivados del tratamiento de datos en la era de la economía digital.
La Ley incluyó un periodo de gracia de dos años a fin de que los actores de la gestión de datos se prepararan para su entrada en vigencia, término que se cumplió el pasado 29 de marzo. Sin embargo, importantes cuestiones jurídicas necesitaban ser definidas y delimitadas con mayor precisión. De allí que el Decreto Ejecutivo 285 del 28 de mayo de 2021 viene a llenar esos vacíos.
La norma reglamentaria tiene 65 artículos. Desde un punto de vista de técnica jurídica, el Decreto Ejecutivo 285 es exhaustivo. Como se recordará, en la Ley 81 de 2019 se establecieron cinco derechos en la protección de datos personales: acceso, rectificación, cancelación, oposición y portabilidad.
Ninguno de estos derechos implica una afectación al ejercicio de la libertad de expresión ni a la libertad de información. No existe mandato en esta Ley ni en el Decreto Ejecutivo que haya implantado en Panamá el derecho al olvido o la obligación de los medios de comunicación y plataformas digitales a corregir, cambiar o eliminar contenidos de interés público, distinto a lo que mandata la Ley 22 de 2005. Ese no es el objetivo ni mucho menos el alcance de este marco normativo.
Como es usual en este tipo de norma, con el Decreto Ejecutivo se van llenando los vacíos normativos de una ley marco. Así, en el artículo 1 del Decreto se establece que los mandatos de la Ley 81 y los del propio Decreto Ejecutivo son condiciones “mínimas”, y que funcionarán como régimen general de esta materia.
En el artículo 2, se define que el ámbito de aplicación incluye a las bases de datos ubicadas en el territorio nacional, así como se aplica cuando el responsable del tratamiento de los datos está domiciliado en Panamá, cuando el tratamiento de datos tenga como origen o destino la República de Panamá y, finalmente, los tratamientos de datos obtenidos en el curso de actividades de internet o comercio electrónico, vinculados al mercado panameño.
Con este marco de referencia, el Decreto desarrolla de forma metódica cada uno de los aspectos referentes a la gestión de datos personales, enfocados a clarificar cómo se ejercen los derechos del titular de esos datos personales y a delimitar las responsabilidades de los distintos actores en la captación y almacenamiento de éstos.
Un ángulo débil del Decreto es el artículo 16, que obliga a los responsables del tratamiento de los datos a informar al titular sobre el uso de esa información; sin embargo, le permite comunicarlo por cualquier medio y no exactamente por el medio que la captó. Esto contrasta con la importante innovación de la revocatoria del consentimiento, instrumentalizada en el artículo 19 del Decreto. Esto permite al titular de los datos revocar su consentimiento tan fácilmente como los otorgó, sin que esta revocatoria tenga consecuencias para el titular de los datos.
Recordemos que la Ley 81 exceptuó de este mandato los datos recogidos con fines de interés público y otros, como los necesarios para el análisis crediticio que realiza la Asociación Panameña de Crédito.
El artículo 23 le da un carácter gratuito a todas las actuaciones que el titular de los datos desarrolle en ejercicio de sus derechos.
El artículo 32 da un plazo de nueve meses calendario a partir del Decreto Ejecutivo 285 para que los reguladores de los sectores de la economía aprueben los protocolos específicos de cada uno.
Una consecuencia, de los nuevos derechos del titular de los datos es que, según el artículo 33, tanto el responsable del tratamiento de los datos como el custodio de las bases de datos en las que repose la información personal, deben rendir cuentas al titular y a la autoridad.
En el artículo 34 se reitera la obligación de confidencialidad de todas las personas que participan del tratamiento de datos y la custodia de las bases de datos, enfatizando que esa responsabilidad existe aún cuando haya terminado la relación con el titular de los datos. Para hacer viable este y otros mandatos se establece en el artículo 35 un registro de bases de datos que servirá para la trazabilidad y transparencia de la gestión de datos.
El registro es una herramienta de control que permite a las autoridades identificar los responsables de las bases de datos cubiertas por esta normativa en Panamá.
El artículo 37 establece una de las obligaciones más importantes de todo este marco normativo, la de notificar inmediatamente a las autoridades y a los titulares de los datos la violación de la integridad o cualquier afectación a las bases de datos que pueda representar un riesgo a los titulares de los datos personales.
El artículo 42 ayuda a la creación de empleo en Panamá, ya que implementa el mandato de un oficial de datos personales en el sector público, que podrán ser las personas que actualmente desempeñan la función de oficial de información, según la Ley 33 de 2013. En el caso del sector privado, esto es voluntario.
Según el artículo 44, ese oficial de datos personales se asemeja al oficial de cumplimiento de los entes financieros, por lo que se evidencia la intención normativa de hacer que el sistema funcione.
Una duda que quedaba de la Ley 81 de 2019 era el tema de las transferencias de datos. Según el artículo 46, toda transferencia de datos personales debe ser documentada para mantener su trazabilidad y se mantienen los mismos deberes del responsable del tratamiento de los datos.
En materia de transferencia transfronteriza de datos, el artículo 51 contiene una protección robusta de los datos personales, incluyendo excepciones muy bien delimitadas.
El organismo rector de toda esta materia es la Dirección de Protección de Datos Personales de la Autoridad Nacional de Transparencia y Acceso a la Información, como lo reconoce el artículo 54 del Decreto Ejecutivo.
Aunque tanto esto, como el régimen de sanciones, ya aparecía en la Ley 81, lo más llamativo es la construcción de los plazos de prescripción. En el artículo 63 se regula el plazo de prescripción de la acción sancionadora: para faltas leves es de un año, para las graves es de tres año, y para las muy graves es de cinco años.
Con una claridad meridiana ausente en el Código Procesal Penal y en muchas otras normas, el artículo 64 fija el plazo de prescripción para la sanción de las infracciones en la siguiente forma: las sanciones leves vencen a los tres años, las graves a los cinco años y las muy graves son imprescriptibles.
Es curioso que en el ordenamiento jurídico panameño una infracción muy grave a los datos personales tenga mayor plazo de prescripción que el delito penal de intervenir ilegalmente las comunicaciones de las personas.
Al menos la Ley de Protección de Datos Personales y el Decreto Ejecutivo que la reglamenta demuestran que sí se puede tutelar el interés público, respetar la libertad de expresión y el derecho a la información, y proteger los datos personales. Por alguna parte se empieza.
