Ley 81 de protección de datos en Panamá: la lista mínima para tu empresa

Una ley que ya te aplica, aunque no la hayas leído

Si tu empresa guarda el nombre, la cédula, el correo, el teléfono o el historial de compras de un cliente, o la planilla y los datos de tus empleados, entonces ya estás dentro del alcance de la Ley 81 de 26 de marzo de 2019 sobre protección de datos personales. No es una norma para bancos o multinacionales solamente. Aplica a cualquier persona natural o jurídica que recolecte y trate datos personales en Panamá, y eso incluye a la ferretería del barrio, a la clínica dental, a la cooperativa y al negocio que vende por Instagram.

La ley se aprobó en 2019, pero su exigibilidad real empezó el 29 de marzo de 2021, y desde el 28 de mayo de ese mismo año cuenta con su reglamento, el Decreto Ejecutivo 285 de 2021, que desarrolla en detalle cómo se cumplen las obligaciones. La autoridad encargada de vigilar todo esto es la ANTAI, la Autoridad Nacional de Transparencia y Acceso a la Información, que puede investigar quejas, hacer auditorías de oficio e imponer sanciones. Conviene entonces dejar de pensar en la Ley 81 como un tema legal lejano y empezar a tratarla como lo que es: una lista mínima de cosas que tu empresa debe tener en orden.

Los datos personales son más de los que crees

Antes de hablar de obligaciones vale la pena aclarar de qué estamos hablando. Un dato personal es cualquier información que identifique o permita identificar a una persona, y eso va mucho más allá del nombre. Una dirección de correo, un número de teléfono, una placa, una foto, una huella, la ubicación o incluso una combinación de datos que por separado parecen inofensivos pero juntos señalan a alguien concreto, todo eso es dato personal.

Dentro de ese universo hay una categoría que la ley protege con especial dureza: los datos sensibles. Son los que revelan origen racial o étnico, creencias religiosas o filosóficas, afiliación política o sindical, estado de salud, vida sexual o datos biométricos y genéticos. Si tu negocio maneja información de salud de pacientes, o tu sistema de marcación usa huella dactilar para el control de asistencia, estás tratando datos sensibles y el estándar que se te exige es más alto, normalmente con consentimiento expreso y por escrito del titular salvo que aplique una excepción legal específica.

Los principios que rigen todo tratamiento

La Ley 81 no se limita a decir qué puedes y qué no puedes hacer con una lista de prohibiciones. Establece principios que ordenan cualquier tratamiento de datos de principio a fin, y entenderlos te ahorra tener que memorizar reglas sueltas.

El primero y más conocido es el del consentimiento. Por regla general, para que el tratamiento de un dato sea lícito debe haberse recolectado con el consentimiento previo e informado de su titular, es decir, la persona supo para qué le pedías el dato y aceptó. De ahí se desprende el principio de finalidad: los datos se recogen para un propósito concreto y legítimo, y no puedes después usarlos para algo distinto sin volver a pedir permiso. Si pediste el correo de un cliente para enviarle su factura, ese correo no es automáticamente tuyo para venderle promociones de un tercero.

Conectado con lo anterior está el principio de proporcionalidad, que dicta que solo debes pedir y guardar los datos que realmente necesitas para esa finalidad, ni uno más. Pedir la cédula completa, el estado civil y el salario para suscribir a alguien a un boletín es desproporcionado. La veracidad obliga a que los datos estén actualizados y sean exactos, y por eso el titular tiene derecho a corregirlos. La confidencialidad exige que quienes tratan los datos guarden reserva incluso después de terminada la relación, y la seguridad, que es quizá el principio con más peso técnico, obliga a proteger los datos con medidas razonables contra pérdida, acceso no autorizado, alteración o divulgación. Almacenar datos sin condiciones de seguridad es precisamente una de las conductas que la ley sanciona.

Los derechos que tu empresa debe poder atender

Del lado del cliente o del empleado, la ley reconoce un conjunto de derechos que en la región se conocen como derechos ARCO, por sus iniciales: acceso, rectificación, cancelación y oposición, a los que la Ley 81 suma la portabilidad. El acceso permite a la persona saber qué datos suyos tienes y cómo los usas. La rectificación le permite exigir que corrijas un dato equivocado o desactualizado. La cancelación le permite pedir que elimines sus datos cuando ya no son necesarios o cuando retira su consentimiento. La oposición le permite negarse a que sus datos se usen para ciertos fines, como el marketing. Y la portabilidad le permite pedir que le entregues sus datos en un formato que pueda llevarse a otro proveedor.

Lo importante aquí no es solo conocer estos derechos, sino tener un canal real para atenderlos. Cuando un cliente te escriba pidiendo que borres sus datos o que le digas qué guardas de él, tu empresa debe poder responder en un plazo razonable y, como regla, de forma gratuita. Restringir o ignorar estos derechos no es un descuido sin consecuencias: la propia ley lo califica como una infracción grave. Si hoy no sabrías cómo encontrar todos los datos de un solo cliente regados entre un Excel, un sistema de facturación y un grupo de WhatsApp, ese es justamente el problema que la ley te pide resolver.

El papel de la ANTAI

La ANTAI es la autoridad de control de protección de datos en Panamá. Es el organismo responsable de supervisar, implementar y velar por el cumplimiento de la Ley 81 y su reglamento en todo el territorio nacional, con la salvedad de los sectores que tienen su propia autoridad reguladora especial, como ocurre con ciertos regulados financieros. La ANTAI recibe y tramita quejas de los titulares, puede realizar auditorías de oficio sin que medie denuncia y tiene la facultad de imponer las sanciones que la ley contempla. En otras palabras, no necesitas que un cliente molesto te demande para terminar bajo su lupa; la autoridad puede tocar tu puerta por iniciativa propia.

La lista mínima que tu empresa debería tener

Aterrizando todo esto a una pyme panameña, hay un piso de cumplimiento por debajo del cual no deberías estar. Lo primero es una política de privacidad clara y accesible, que explique a tus clientes y empleados qué datos recolectas, para qué los usas, con quién los compartes y cómo pueden ejercer sus derechos. No tiene que ser un documento de abogados ilegible; tiene que ser honesto y comprensible. Lo segundo es identificar la base legal de cada tratamiento, es decir, tener claro por qué estás autorizado a manejar cada dato, que en la mayoría de los casos será el consentimiento del titular, pero también puede ser el cumplimiento de un contrato o una obligación legal, como guardar la planilla por exigencias laborales.

Lo tercero es una gestión real del consentimiento, lo que significa que cuando pides un dato dejes constancia de que la persona aceptó y de para qué aceptó, y que tengas forma de respetar cuando alguien retira ese consentimiento. Un casillero de aceptación en tu formulario web o una cláusula firmada al ingresar a la empresa son ejemplos concretos. Lo cuarto, y donde más empresas fallan, es la seguridad de los datos: contraseñas que no se comparten, accesos limitados a quien de verdad necesita los datos, copias de respaldo, y sistemas que cifran la información sensible en lugar de dejarla en una hoja de cálculo abierta en un escritorio compartido. Y lo quinto es tener definido qué haces si ocurre una brecha, porque la ley contempla el deber de notificar las violaciones de seguridad, y conviene saber a quién avisas y cómo antes de que el incidente ocurra.

Lo que arriesgas si la ignoras

La tentación de posponer todo esto se desvanece cuando uno mira las consecuencias. La Ley 81 clasifica las infracciones en leves, graves y muy graves, y faculta a la ANTAI a imponer multas que, según se ha reportado, pueden ir desde alrededor de mil balboas hasta diez mil balboas, dependiendo de la gravedad y la reincidencia. Tratar datos sin consentimiento, infringir los principios de la ley, vulnerar la confidencialidad, restringir los derechos ARCO o guardar datos sin condiciones de seguridad caen entre las infracciones graves. Y más allá de la multa, la autoridad puede ordenar la clausura del registro de la base de datos o incluso la suspensión de la actividad de tratamiento, lo que para muchos negocios equivale a parar la operación.

A eso hay que sumarle el costo que no aparece en ninguna ley: la confianza. Una filtración de datos de tus clientes, una multa publicada o un trámite de queja que se viralice golpean la reputación de una pyme mucho más fuerte que la sanción económica.

Privacidad por diseño, desde la primera línea de código

La buena noticia es que cumplir con la Ley 81 deja de ser una carga cuando la privacidad se construye dentro de tus sistemas en vez de pegarse encima al final. En sof-IA desarrollamos software a la medida con privacidad por diseño, lo que significa que el consentimiento, el control de accesos, el registro de quién ve qué y la capacidad de atender una solicitud de acceso o de borrado vienen incorporados desde el primer momento, no como un parche posterior. Si estás repensando cómo tu empresa guarda y usa los datos de tus clientes, conversemos: es más fácil hacerlo bien desde el principio que corregirlo bajo presión.