Brechas de seguridad y deber de notificación: Comparativa entre el RGPD y la Ley 81 de Panamá

Aunque existen diferencias entre el RGPD y la Ley 81 ambas tienen el mismo objetivo / Canva
Opinión
Aunque existen diferencias entre el RGPD y la Ley 81 ambas tienen el mismo objetivo / Canva

05/03/2025
Por
Alexandra Guzmán*

Compartir en RRSS

X
Para recibir nuestro boletín diario,
¡suscríbete aquí!
Una de las principales diferencias entre el RGPD y la Ley 81 radica en el deber de notificación a las autoridades y a los titulares de los datos afectados.
Fecha de publicación: 05/03/2025
Etiquetas: Perfil Plus, protección de datos, Opinión, RGPD

La protección de los datos personales es una prioridad global en un mundo cada vez más digitalizado, donde las violaciones de seguridad son una amenaza constante para la privacidad de los individuos. En este contexto, la implementación de normativas que regulen cómo deben manejarse estas brechas de seguridad es esencial. El Reglamento General de Protección de Datos (RGPD) de la Unión Europea y la Ley 81 de 2019 de Panamá (Ley 81) con su reglamentación son dos marcos legales diseñados para proteger los datos personales, pero presentan diferencias clave en sus enfoques respecto al deber de notificación de las brechas de seguridad. Este artículo examina esas diferencias y reflexiona sobre sus implicaciones, especialmente en el contexto latinoamericano.

Definición de brecha de seguridad: Un enfoque común con matices

El RGPD establece que una brecha de seguridad de los datos personales es un incidente que cause la destrucción, pérdida, alteración accidental o ilícita de los datos personales tratados por un responsable, o bien el acceso no autorizado a los mismos. Este enfoque es claro y abarca una amplia gama de incidentes, desde los fallos técnicos hasta los ciberataques más complejos.

Por su parte, la Ley 81 define una violación de seguridad como cualquier daño, pérdida, alteración, destrucción, acceso no autorizado, o uso ilícito de los datos personales, que ocurra de forma accidental o deliberada, y que represente un riesgo para la protección de los datos. Aunque ambas normativas abordan el concepto de brecha de seguridad de manera similar, la Ley 81 introduce una distinción importante: la evaluación del riesgo. Según lo establecido por la legislación panameña, una brecha debe ser notificada sólo si se considera que representa un riesgo para los datos personales involucrados, lo que sugiere una valoración subjetiva sobre el impacto del incidente.

No te pierdas: Desafíos en la protección de las marcas comerciales en el entorno digital

Sin embargo, en la práctica, la postura adoptada por la Autoridad es que toda brecha de seguridad, independientemente de la valoración del riesgo, debe ser notificada. Esta interpretación ha llevado a que las empresas y responsables del tratamiento en Panamá deban reportar todas las violaciones de seguridad, aunque no impliquen un riesgo significativo para los derechos de los individuos. De este modo, aunque la legislación establece un marco para la valoración del riesgo, la práctica actual se aleja de este principio, lo que genera una obligación de notificación más amplia y menos sujeta a evaluación de riesgo.

Notificación de brechas: El debate del riesgo y la notificación inmediata

Una de las principales diferencias entre el RGPD y la Ley 81 radica en el deber de notificación a las autoridades y a los titulares de los datos afectados. El artículo 33 del RGPD establece que el responsable del tratamiento debe notificar a la autoridad de control competente dentro de las 72 horas siguientes a la detección de una brecha de datos personales, siempre que exista un riesgo para los derechos y libertades de los individuos afectados. Esta obligación de notificación a la autoridad está condicionada a una evaluación del riesgo que implique un impacto significativo en los derechos de las personas.

Además, según el artículo 34 del RGPD, si el riesgo es alto, el responsable del tratamiento debe notificar la brecha a los titulares de los datos afectados. Sin embargo, si el riesgo es bajo, el RGPD no exige dicha notificación, permitiendo una mayor flexibilidad en la aplicación.

Para leer: ¿Funciona un perfil de red social como un activo inmobiliario para un influencer?

En contraste, la Ley 81 establece que cualquier violación de seguridad, independientemente del nivel de riesgo, debe ser notificada tanto a la Autoridad como a los titulares de los datos afectados. La Autoridad panameña ha adoptado una postura más rígida en cuanto a la obligación de notificar, sin dejar margen para la evaluación del riesgo, lo que implica que todas las brechas deben ser reportadas de inmediato.

Este enfoque en Panamá busca asegurar que no se omita ninguna brecha, pero también puede generar un volumen elevado de notificaciones, muchas de las cuales podrían no representar un riesgo real para los derechos de los afectados. En cambio, el RGPD ofrece una respuesta más matizada, permitiendo a los responsables de tratamiento evaluar el riesgo y tomar decisiones basadas en la gravedad de la brecha.

Cultura de notificación y supervisión

El enfoque del RGPD ha dado lugar a una mayor cultura de notificación en Europa. Las empresas están habituadas a reportar brechas de seguridad debido a la claridad de las normas y las sanciones severas que acompañan el incumplimiento, que pueden llegar hasta el 4% de la facturación global anual de la empresa. Este régimen sancionador ha fomentado una mayor diligencia en la detección y notificación de incidentes.

Sugerimos: ¿Cómo está dando forma la IA a las agencias de publicidad y a los creadores de contenidos?

En Panamá, sin embargo, la cultura de reporte aún está en formación. Aunque la Ley 81 fue promulgada en 2019 y está en proceso de implementación, la cantidad de brechas notificadas anualmente sigue siendo baja, lo que puede reflejar una falta de conciencia o, en algunos casos, una interpretación flexible del concepto de “riesgo”. La Autoridad encargada de supervisar el cumplimiento de la ley, está fortaleciendo su capacidad de supervisión, pero aún enfrenta desafíos en cuanto a recursos y alcance.

Sanciones por incumplimiento: Diferencias clave

El RGPD establece sanciones severas por el incumplimiento de la notificación de brechas de seguridad. Las multas pueden alcanzar hasta el 4% de la facturación global anual de la empresa o 20 millones de euros, lo que subraya la importancia de cumplir con las obligaciones de notificación.

En contraste, las sanciones por incumplimiento de la Ley 81 son considerablemente menores. En caso de que un responsable del tratamiento no notifique adecuadamente una brecha de seguridad, puede enfrentarse a una citación ante la Autoridad o, en su caso, a una multa que varía entre 1,000 y 10,000 dólares, dependiendo de la naturaleza del incumplimiento. Estas sanciones, aunque proporcionales y ajustadas a la gravedad del caso, son mucho más bajas en comparación con las que prevé el RGPD, lo que podría reducir el efecto disuasorio frente a un incumplimiento en el reporte de brechas de seguridad.

De interés: La advertencia de la integridad y seguridad de los datos

Implicaciones para las empresas en América Latina

Para las empresas en América Latina, y en particular en Panamá, entender las diferencias entre el RGPD y la Ley 81 es crucial para el cumplimiento normativo. La Ley 81, aunque alinea al país con las mejores prácticas internacionales, presenta ciertos desafíos prácticos, como la obligación de notificar todas las brechas sin distinción de riesgo. Esto puede generar una carga administrativa significativa para las empresas, que deben estar preparadas para cumplir con estas obligaciones de notificación de manera eficiente y oportuna.

Además, las empresas en Panamá no tienen la obligación de designar un Delegado de Protección de Datos, como lo exige el RGPD para ciertas organizaciones, lo que podría dificultar la gestión de la protección de datos, especialmente para aquellas empresas que no cuentan con un equipo especializado en privacidad y seguridad.

Reflexión final: Un enfoque proactivo hacia la protección de datos

A medida que Panamá y otros países latinoamericanos refuerzan sus marcos normativos sobre protección de datos, es esencial que las empresas adopten un enfoque proactivo en la gestión de brechas de seguridad. Si bien la Ley 81 obliga la notificación de todas las brechas, las empresas deben ir más allá del simple cumplimiento y trabajar en la implementación de medidas preventivas y en la creación de una cultura organizacional que valore la seguridad de los datos personales.

En conclusión, aunque existen diferencias entre el RGPD y la Ley 81, ambas normativas buscan el mismo objetivo: garantizar la protección de los datos personales. A medida que el marco regulatorio de Panamá evoluciona, es probable que la implementación de procedimientos más detallados y específicos en relación con la notificación de brechas de seguridad fortalezca aún más el cumplimiento y la protección de los derechos de los individuos.

*Asociada de Chanis Legal.

Add new comment

About text formats

HTML Restringido

  • Allowed HTML tags: <a href hreflang> <em> <strong> <cite> <blockquote cite> <code> <ul type> <ol start type> <li> <dl> <dt> <dd> <h2 id> <h3 id> <h4 id> <h5 id> <h6 id>
  • Lines and paragraphs break automatically.
  • Web page addresses and email addresses turn into links automatically.

© El contenido de LexLatin, incluyendo todas sus imágenes, ilustraciones, diseños, fotografías, videos, íconos y material escrito, está protegido por derechos de autor, marcas y demás derechos de la propiedad intelectual, y es publicado para sus suscriptores y lectores con propósitos informativos únicamente. No se permite la reproducción, modificación, copia, distribución, reedición, transmisión, proyección o explotación de cualquier forma de los materiales o contenido publicado por LexLatin, a menos que el interesado obtenga la autorización escrita de LexLatin.