Este 28 de mayo, el Ministerio de la Presidencia de Panamá publicó el Decreto Ejecutivo Nº 285 que reglamenta la Ley de Protección de Datos Personales (Ley 81 de 2019). Este reglamento, de acuerdo con Mariela I. de la Guardia, socia de Icaza, González-Ruiz & Alemán, regula incluso algunos temas que no fueron incluidos en la ley, como la designación de un oficial de protección de datos y la creación de un registro de bases de datos cuando estas se transfieran a terceros, además de las prescripciones de las acciones y las sanciones.
👥 Conoce cómo las firmas latinoamericanas planean organizar los espacios de trabajo para que los abogados se motiven a regresar. ¿Dónde? En el próximo Debate LexLatin, el 24 de junio. ¡Regístrate!
Por su parte, Adolfo González-Ruiz, asociado sénior también de Icaza, González-Ruiz & Alemán, refiere que es una norma que se adapta al contexto, considerando que la protección de datos es un tema cambiante y que la ley fue promulgada en 2019.
"Algunos aspectos, como los principios de proporcionalidad y finalidad, los consideramos vanguardistas, pues no se puede solicitar información innecesaria y solo se pueden recabar datos para fines específicos".
Desde 2008 Panamá ha perfilado su derecho de protección de datos al ámbito web. ¿Cómo se mejora el marco con esta nueva reglamentación?
Mariela de la Guardia. Con la entrada en vigencia de la Ley 81 y su reglamento se amplía la normativa, abarcando toda la información que mantienen las empresas en sus bases de datos.
Es importante revisar las disposiciones sobre el control de las categorías de la información y los consentimientos que otorguen los titulares de los datos personales. Esta norma probablemente cambiará la mentalidad de los titulares de datos para ser más conscientes de la información que entregan y que puede ser transferida a terceros.
¿En qué consisten las sanciones?
Adolfo González-Ruiz. Las sanciones se aplican de acuerdo con las faltas y van desde 1.000 dólares a 10.000 dólares. Esto sin perjuicio de otras acciones que pueda ejecutar la Autoridad Nacional de Transparencia y Acceso a la Información, tales como la clausura de los registros de la base de datos, la suspensión e inhabilitación de la actividad de almacenamiento o tratamiento de datos personales de forma temporal o permanente.
Además de las sanciones, los tribunales competentes pueden conocer las demandas que se presenten contra los responsables del tratamiento de los datos personales, así como las reclamaciones por los daños y perjuicios causados. El responsable de encontrarse culpable deberá indemnizar el daño patrimonial y moral que se ocasione por el tratamiento indebido de los datos.
¿Cuáles son los puntos más difíciles de cumplir?, ¿en qué disposiciones cree que las empresas tengan ciertos problemas para ejecutarlas?
Mariela de la Guardia. Dentro de todas las obligaciones vinculantes establecidas por ley, podemos detallar que las disposiciones más difíciles de cumplir serán la obtención del consentimiento y las formalidades que deben cumplir los responsables del tratamiento de los datos personales y el custodio de la base de datos. La información es muy cambiante y tienen la obligación de mantener la base de datos categorizada y actualizada, esto es un desafío grande para una organización.
Se sugiere que asignen recursos para poder cumplir con la normativa y, sobre todo, para evitar un ciberataque.
¿Cuáles son sus recomendaciones para que las empresas se adecúen a la nueva normativa?, ¿qué debe tener el servidor que contraten?
Adolfo González-Ruiz. Las empresas deben determinar cuál será el recorrido de la información y luego buscar las herramientas que las apoyen a cumplir con la normativa vigente. Asimismo, tendrán que asignar un presupuesto para adecuarse, ya que estas herramientas representan un alto costo para la organización.
¿Qué le recomienda a las pequeñas y medianas empresas (pymes) para que adopten esta normativa?
Mariela de la Guardia. Lamentablemente, tanto la ley como el reglamento contienen disposiciones que no favorecen a las pymes, es una regulación exigente. Incluso las grandes organizaciones, con todos sus equipos, procedimientos, servidores y seguridad tendrán que hacer un trabajo importante de protocolos, procesos, mecanismos de autorregulación, capacitaciones rutinarias, análisis y auditorías, entre otros, para cumplir con la nueva norma.
Es recomendable para todas las empresas:
- Documentar el consentimiento que reciban de los titulares para tener el soporte (autorización).
- Solicitar únicamente la información relevante para los fines que son recabados.
- Disminuir en la medida de lo posible los riesgos, limitando los accesos, utilizando herramientas gratuitas que no generen altos costos.
- Documentar todo el recorrido de la data y asignar al personal dentro de la empresa para que se haga cargo de los accesos, pero determinando sus límites.
¡Nuevo! Descarga el ebook Razón + Inteligencia Emocional = La fórmula que todo abogado debe dominar
}
Add new comment