INTRODUCCIÓN A LEY DE PROTECCIÓN DE DATOS: ¿QUÉ DEBO CONOCER?

Angel Garay y Eduardo De La Espriella

La Ley de Protección de Datos Personales es un logro reciente en el ordenamiento positivo de nuestro país, la cual tiene como objetivo principal, brindar un mayor alcance en la tutela efectiva de derechos humanos de tercera generación. Por ello, para comprender esa tutela es necesario adentrarse en los aspectos generales y básicos que esta ley contempla, y que sólo de esa manera sabremos qué derechos subjetivos podemos ejercer ante aquellos que tratan nuestros datos y evitar cualquier menoscabo a la libertad de decidir cómo nos autodeterminamos, y qué específicamente permitimos compartir en la dimensión informática. 

ANTECEDENTES EN PANAMÁ 

A partir de la Ley No. 6 de 22 de enero de 2002 publicada en Gaceta Oficial No. 24,476, nuestro país abrió el camino para la adopción de normas que regulan derechos de los ciudadanos frente al manejo de la información y datos, que en la doctrina se ha llamado como el “derecho a la autodeterminación informática”; que a su vez ha dado paso al establecimiento de garantías que permitan el ejercicio íntegro y sin menoscabo de aquellas actividades que requieran el uso, transferencia, tratamiento y actividades parecidas de datos personales. 

En materia jurisprudencial, desde 2014 la Corte Suprema de Justicia de Panamá en contestación de acciones de Habeas Data ha señalado que la Ley No. 6 de 22 de enero de 2002 -que introduce esta acción- se distingue por la existencia de dos modalidades, la primera, “Habeas Data Propio” que tutela el derecho a la autodeterminación informativa. 

Citando las palabras de la Corte en Sentencia de 29 de agosto de 2014: “El derecho a la autodeterminación informativa surge como un derecho humano de tercera generación (producto del derecho a la privacidad) encaminado a la protección de la persona como consecuencia de la información contenida en registros informatizados o bancos de datos que le conciernen, y su determinación fue acuñada por el Tribunal Constitucional alemán en 1983”.[1] (Lo subrayado y en negrita es nuestro). 

El Instituto Panameño de Derecho y Nuevas Tecnología (IPANDETEC) realizó una cronología de los pasos preparatorios en cuanto al desarrollo de nuestro marco normativo, el cual nace de la creciente importancia de la privacidad y protección de datos personales planteada por la OEA en el año 2013 en el Consejo Permanente “Comparative Study: Data Protection in the Americas”.  Sumado a la resolución No. 68/167 del año 2014 emitida por la Asamblea General de las Naciones Unidad donde se insta a los Estados al: respeto y protección al derecho a la privacidad, incluso en el contexto de las comunicaciones digitales a modo de examinar los procedimientos, practicas y legislaciones relativas a la vigilancia y la interceptación de comunicaciones como la recopilación de datos personales. 

Un año importante fue el 2016 donde se realizó la consulta pública abierta del anteproyecto de ley de protección de datos, la cual fue iniciada por la Autoridad Nacional Para La Innovación Gubernamental (AIG) y la Autoridad Nacional de Transparencia y Acceso a la Información (ANTAI). 

El año siguiente la directora de ANTAI presenta ante el gabinete de gobierno el proyecto de Ley de Protección de Datos para su posterior presentación ante la Asamblea Nacional de la mano del ministro de la Presidencia de ese periodo. 

En ese mismo año la Comisión de Gobierno, Justicia y Asuntos Constitucionales de la Asamblea Nacional decide crear una subcomisión para buscar mayor consenso con respecto al proyecto de Ley de Protección de Datos de carácter personal (siendo el proyecto de ley no. 463). 

En el año 2018, la subcomisión presenta un informe en cuanto a la revisión del proyecto, el cual termina devolviéndose al Ejecutivo para cambios y correcciones pertinentes. 

Una vez adecuado el proyecto, se presenta nuevamente a la Asamblea Nacional, donde el 10 de octubre de 2018 los diputados de la Comisión de Gobierno, Justicia y Asuntos Constitucionales lo aprueban en primer debate, el 23 de octubre se aprueba en segundo debate, el 24 en tercer debate, y el 29 de marzo de 2019 el Presidente de la República sanciona la Ley 81 Sobre la protección de datos personales, publicada en Gaceta Oficial No. 28743-A del 29 de marzo 2019. La Ley 81 estableció una vacatio legis de dos años para su entrada en vigencia. 

Conceptos en General              

Conocer el vocabulario utilizado en las legislaciones de protección de datos es algo esencial para entender de manera completa la legislación. La ley de protección de datos personales de Panamá, al igual que la mayoría de las otras legislaciones del tema, cuenta con un glosario al principio para ayudar con su entendimiento. A continuación, se mencionan algunas palabras cuyas definiciones son clave para el entendimiento completo de la ley. 

Consentimiento: entendido como la “manifestación de la voluntad del titular de los datos” para que se pueda hacer el tratamiento de estos. 

Titular de los Datos: es la persona natural a la cual los datos se refieren. 

Responsable del Tratamiento de los Datos: Es la persona natural o jurídica encargada de “las decisiones relacionadas con el tratamiento de los datos”. 

Tratamiento de los Datos: término clave que engloba todas las operaciones y procedimientos técnicos a los cuales son expuestos los datos. Dentro de esta definición se hizo la conveniente y necesaria inclusión de declarar que dichos procedimientos pueden ser automatizados o no. 

Dato Sensible: este es el dato que se refiere a la “esfera íntima de su titular” y que su mala utilización puede resultar en discriminación o graves riesgos para el titular. Esta es otra definición clave dentro de esta ley que incluye los datos personales y modernos como lo son los genéticos y biométricos. 

Dato personal: se define como dato personal cualquier información del titular que lo hace “identificable”. 

PRINCIPIOS 

Es necesario entender que los datos personales cuentan con un ciclo de vida para el objetivo que buscan servir por lo que durante el proceso de recogida hasta el último deben contar con un marco que rija su uso, y que su aplicación sea general sin lugar a la arbitrariedad o solicitudes posteriores que busquen pasar de lo necesario, de allí la necesidad de consagrar unos principios claros. 

La Ley 81 del 26 de marzo de 2019 publicada en gaceta No.28743-A “sobre la protección de datos” (en adelante “Ley de Protección de Datos”) en su artículo 2 establece nueve principios generales en que se inspiran y rigen la protección de datos personales, que son necesarios para poder interpretar y aplicar dicha materia a la realidad. 

• Lealtad: el titular del derecho por regla general debe tener pleno consentimiento y conocimiento del lugar donde se tratan sus datos, y el acto de recabarlos de forma desleal o ilícita es un vicio que anula ese consentimiento porque media el fraude de por medio. ¿Cuál es el problema de no tener una trata legítima ni leal de datos? La venta y transferencia de datos obtenidas de forma fraudulenta que se suma al uso de esos mismos de manera inesperada y por terceros que el titular no autorizó para su manejo.
• Finalidad: que los datos recolectados inicialmente cumplan con el propósito específico, legítimo y determinado que fue sustentando inicialmente para su recolección, y adicional, que en caso de tratamiento posterior el mismo por regla debe ser compatible con la razón inicial. De aquí deriva también la necesidad de un consentimiento adicional por parte del titular. ¿De qué busca proteger este principio? del mal uso de nuestros datos, la idea de la finalidad es cumplir con un propósito claro y entendible.
•  Proporcionalidad: nuestra ley señala que la solicitud de datos debe ser pertinente y adecuada a lo necesario para la finalidad requerida. A este principio se le conoce también como “principio de minimización”. El objetivo de este principio es lograr una meta legítima con el menor grado de intrusión en los datos del titular, así como que los datos solicitados sean los relevantes y necesarios para el cometido.
• Veracidad y exactitud: esta es otra cara de la pertinencia de los datos recabados. Como bien señala el artículo 5, literal d del Convenio 108[EADD1] de Estrasburgo realizado el 28 de enero de 1981, Para la Protección de las personas con respecto al tratamiento automatizado de datos de carácter personal: “Los datos personales sometidos a tratamiento automatizado deben ser exactos y, de ser necesario, actualizados”. De esta manera se asegura la correlación y concordancia entre la dimensión interna de la persona con a la dimensión externa contenida en los soportes informáticos.
• Seguridad de datos: se refiere a la necesidad de tener medidas de índole técnico y administrativo que garanticen la confidencialidad e integridad de los datos. ¿Qué se evita con ello? la posibilidad de intromisión de quienes sean ajenos para conocer los mismos, su alteración, pérdida o menoscabo de cualquier forma.
• Transparencia: este principio permite al titular tener la confianza y seguridad que la información que consintió está llevando el curso de vida ideal.
• Confidencialidad: obliga a quienes están encargados de las bases de datos y su tratamiento a garantizar la reserva de dicha información, la cual no puede ser de conocimiento de quienes no están autorizados a conocerla.
• Licitud: implica que para que el tratamiento de un dato personal sea lícito, el mismo tiene que cumplir con requisitos que incluyen que su recolección y tratamiento debe contar con consentimiento informado y claro previo del titular o bien si el dato es recabado para la satisfacción de un fundamento legal.
• Portabilidad: es la transferibilidad de datos al titular, este principio ayuda a tener una constancia exigible al responsable del tratamiento de datos copia de los datos personales tratados en un formato estructurado, genérico y de uso común, es decir, un formato utilizable. ¿Qué evitamos con ello? el descontrol de la información que hemos consentido tratar o compartir, adicional nos facilita el cambiar de producto o servicio.

 Derechos de los titulares 

La ley contempla una serie de derechos y obligaciones por parte de los titulares de los datos, pero, en su Capítulo II se establecen los Derechos de los Titulares de Datos Personales (los conocido derechos ARCO), el artículo 15 de la ley establece que:   Se reconocen como derechos irrenunciables básicos los derechos que tienen los titulares de datos personales, sin perjuicio de cualquier otro derecho reconocido en la ley. (y por supuesto en cualquier otro instrumento internacional que Panamá haya acatado).  El paréntesis es nuestro.   

1)  Derecho de Acceso (Art. 15 numeral 1): Este derecho permite al titular obtener los datos que se encuentren almacenados o en tratamiento de bases de datos de instituciones públicas o privadas, así como conocer su origen y cuál es la finalidad para la que fueron recabados.   

2)  Derecho de Rectificación (Art. 15 numeral 2): La facultad del titular de solicitar la corrección de datos personales por ser incorrectos, inexactos, incompletos, desfasados, impertinentes o irrelevantes   

3)  Derecho de Cancelación (Art. 15 numeral 3): Señala la facultad del titular de eliminar sus datos personales incorrectos, inexactos, incompletos, desfasados, irrelevantes o impertinentes.   

4)  Derecho de Oposición (Art. 15 numeral 4): Permite al titular, por motivos fundados y legítimos, negarse a proporcionar sus datos personales o a que sean objetos de tratamiento, así como revocar su consentimiento   

5)  Derecho de Portabilidad (Art. 15 numeral 5): Señala el derecho a obtener una copia de los datos personales de forma estructurada, en un formato genérico y de uso común, que permita ser operado por distintos sistemas bajo ciertas circunstancias 

Infracciones y Sanciones 

En esta ley también se incluyen los diversos tipos de infracciones y sanciones. Estas están expuestas en el sexto capítulo. Las infracciones están categorizadas en las siguientes tres categorías: infracciones leves, infracciones graves e infracciones muy graves. 

Las faltas leves se sancionarán con una “citación ante la Autoridad Nacional de Transparencia y Acceso a la Información con relación a registros o atender multas.”. Las faltas graves serán sancionadas con multas dependiendo de su proporcionalidad. Por último, las faltas muy graves serán sancionadas con la clausura de los registros de la base de datos y la “suspensión e inhabilitación de la actividad de almacenamiento y/o tratamiento de datos personales de forma temporal o permanente.”. 

De ser necesario, la Autoridad Nacional de Transparencia y Acceso a la Información puede tener el apoyo de la Fuerza Pública. Como ya fue mencionado, las sanciones que indica esta ley, a comparación con las legislaciones de otros países y específicamente la del GDPR, son menos severas de lo común. 

CONSIDERACIÓN FINAL 

Así como la tecnología avanza y se perfecciona, el derecho debe hacerlo igualmente. No podemos ser ajenos a los nuevos supuestos que pueden vulnerar la vida cotidiana, la seguridad y sobre todo la intimidad de las personas en su dimensión informática, por ello esta ley supone el segundo paso claro y fijo para tener una tutela eficaz de los derechos humanos de tercera generación enfocados en la autodeterminación informática y privacidad. 

Uno de los retos más importantes es robustecer las instituciones encargadas de velar por su cumplimiento y trata de datos como también hacer de conocimiento reiterativo a la ciudadanía de los derechos y obligaciones que tienen frente a esta materia. 

Con el Decreto Ejecutivo No. 285 del 28 de mayo de 2021 publicado en Gaceta Oficial No. 29296-A queda reglamentada la Ley 81 de 2019 referente a la protección de datos personales lo que se convierte en el tercer paso importante que da nuestro país a la modernización. 

Es necesario que como ciudadanos conozcamos que esta es una realidad ineludible y que la vulneración a nuestra dimensión privada es más común de lo que parece, y que aun cuando su afectación sea invisible no la hace menos dañina para nuestra seguridad jurídica y bienestar, por lo que conocer un poco de los derechos, obligaciones y responsabilidades de todos los actores es lo único que garantiza vivir en plena dignidad en una época tan interrelacionada con la tecnología y la información extensiva que en ella se recoge.  

Fuentes

• Hernández, L. “Ley De Protección De Datos Personales En Panamá.” A Definitivas, 21 Ene. 2021, adefinitivas.com/ademas/ley-de-proteccion-de-datos-personales-en-panama-lia-p-hernandez-perez/.
• Bojalil, P. “Despuntan Las Reformas En Materia De Protección De Datos En América Latina.” Abierto Al Público, 6 Ene. 2020, blogs.iadb.org/conocimiento-abierto/es/proteccion-de-datos-gdpr-america-latina/.
• Bhatia, Punit. “GDPR Summary: Overview of 10 Key Requirements.” EUGDPRAcademy, 16 Oct. 2020, advisera.com/eugdpracademy/knowledgebase/a-summary-of-10-key-gdpr-requirements/.
• “Adequacy Decisions.” European Commission - European Commission, 30 Mar. 2021, ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en.
• Privacy International. Guía para Involucrarse en Políticas Públicas de Protección de Datos/Principios de Protección de datos. (S/F). recuperado de: https://privacyinternational.org/sites/default/files/2018-11/Parte%203%20-%20Principios%20de%20Proteccio%CC%81n%20de%20Datos_web.pdf
• OSTEC. Principios de la (LOPD) Ley de Protección de Datos: terminología y práctica. (27 de junio de 2019). Recuperado de: https://ostec.blog/es/generico/principios-de-la-lopd/
• García González, A. “La protección de datos personales: derecho fundamental del siglo XXI. Un estudio comparado”. 20 de abril de 2007. Recuperado de: http://www.scielo.org.mx/scielo.php?script=sci_arttext&pid=S0041-86332007000300003
• IPANDETEC. “Cronología de un Proyecto de Ley de Protección de Datos en Panamá”. Recuperado de: https://www.ipandetec.org/2018/01/29/cronologia-de-un-proyecto-de-ley-de-proteccion-de-datos-en-panama/
• Ricardo Fuller Yero vs directora de Informática del Órgano Judicial de Panamá. (29 de agosto de 2014). Entrada 40-13. Pleno de la Corte Suprema de Justicia, magistrado ponente José Eduardo Ayú Prado. Recuperado de: https://search.popularis.app/case/20140829_40-13?q=proteccion%20de%20datos