Al ser una firma que siempre está al tanto de los cambios y la innovación, Signature Regional Law Group, analiza que con la implementación y entrada en vigor este año, de la Ley 81 sobre Protección de Datos Personales y su correspondiente reglamento, arranca para Panamá una nueva etapa, no exenta de tropiezos y dificultades, más sin embargo se vislumbra un futuro prometedor, lleno de retos y oportunidades para aquellos que lleguen a comprender su alcance y finalidad y sepan aprovecharlo.

Seamos realistas, adecuar una entidad a nuevos estándares de calidad, que impliquen posiblemente un cambio organizacional profundo en la manera de cómo se han venido haciendo las cosas, no es tarea fácil. Se necesita, primeramente, por parte de los organismos de dirección de la empresa, un alto nivel de compromiso con el proyecto, estar dispuestos a derribar paradigmas y a invertir seguramente algunas horas de su tiempo, para trazar y definir cuál es la estrategia más idónea para alcanzar su objetivo y que éste se ajuste de la mejor manera a las necesidades de la organización. 

Ningún proyecto, por bien diseñado que se encuentre en papel, podrá ser implementado con éxito en la práctica, si la alta dirección estratégica no lo hace suyo, cree en él y tiene la capacidad de “convencer” a las diferentes jefaturas y empleados, de la importancia y necesidad de cambiar en lo interno para poder satisfacer las necesidades y exigencias externas.

Cada una de las partes intervinientes en la ley de protección de datos, está llamada a cumplir con un papel en este nuevo entramado y como ya se ha dicho, es imperativo prepararse para ello.

A continuación, detallamos algunos puntos relativos a las actividades a desarrollar por parte de los diversos actores que integran el andamiaje legal de la protección de datos personales en Panamá.

1. AUTORIDAD COMPETENTE: La Autoridad Nacional de Transparencia y Acceso a la Información ha sido designada por ley como regulador de la materia, teniendo al Consejo de Protección de Datos Personales como organismo asesor. Como primer pilar en la implementación de este nuevo marco legal, ANTAI deberá evaluar, planificar y diseñar su funcionamiento interno para determinar si la estructura organizacional le permite dar cumplimiento a sus obligaciones y responsabilidades. A la fecha, el rostro visible y vocero de la institución ha sido el director de Cooperación Técnica Internacional quien, a través de diversos medios, se ha encargado de dar a conocer la normativa vigente y aclarar dudas sobre su implementación. Si observamos el Organigrama General Institucional (con datos actualizados al 15 de julio en la página web institucional) se encuentra debajo de la Dirección General, dentro de un nivel asesor. El nivel operativo de la Institución está compuesto de dos Direcciones, la Dirección de Transparencia y la Dirección de Acceso a la Información. A nuestro criterio, ninguna de las dos Direcciones sería idónea para atender las responsabilidades de este Ley, ya que si bien, la Transparencia y Acceso a la Información, son derechos fundamentales complementarios a la Protección de Datos Personales, los principios a que responden son distintos: así, la Transparencia y Acceso a la información responden fundamentalmente al principio de máxima publicidad, la Protección de Datos atiende al principio de minimización de datos. Es así como corresponderá a las autoridades de la Institución, evaluar la conveniencia de crear una tercera Dirección de Protección de Datos Personales a nivel Operativo, que se encargue de atender las diversas solicitudes, reclamos y dudas que pudieren llegar por parte de los sujetos obligados y beneficiados. Además de crear la estructura organizativa adecuada, ANTAI debe invertir en el recurso humano y tecnológico necesario para brindar un servicio de calidad. Los acercamientos con instituciones de apoyo, que trabajan la materia de Protección de Datos Personales a nivel latinoamericano, podría resultar en un un gran aporte, así como formalizar convenios de cooperación con Instituciones reguladoras de Protección de Datos de Iberoamérica. Con las herramientas y conocimientos necesarios a lo interno, otra labor importantísima que la ANTAI debe desarrollar es dar a conocer, concienciar, educar y promover los principios, derechos y obligaciones establecidos en la ley. Para ello, debe buscar los canales de acercamiento más adecuados. Frente a los obligados a cumplir con la ley de Protección de Datos Personales, la Autoridad debe si bien, actuar con firmeza ante los incumplimientos que pudieran producirse, más siempre tener en cuenta que el conocer, adecuar y atender estas nuevas responsabilidades, conllevan un periodo de aprendizaje. Las relaciones con los sujetos obligados deben ser, antes que inquisitivas, colaborativas y preventivas. Con respecto a los titulares de los datos y verdaderos dueños de la información personal, ANTAI debe procurar capacitarlos, empoderarlos y dotarlos de las herramientas necesarias para que el derecho fundamental a la Protección de Datos Personales no sea letra muerta, sino un verdadero mecanismo de defensa y protección frente a los riesgos y amenazas de esta era digital. Finalmente, alcanzado un nivel de madurez y certidumbre en la materia, ANTAI podría promover ante la Comisión de las Comunidades Europeas, se declare que Panamá garantiza un nivel adecuado de protección de los datos personales transferidos desde la Unión Europea y con esto lograr, por un lado, facilitar las transferencias internacionales de datos entre Europa y Panamá; y por otro, abrir nuevas oportunidades de negocio para empresas del viejo continente que quieran asentarse en territorio panameño y tratar información de ciudadanos europeos con la garantía que estos serán manejados de forma lícita, leal y transparente. 
2.  PERSONAS QUE TRATAN DATOS PERSONALES: Sean personas naturales o jurídicas, de derecho público o privado, lucrativas o no, de acuerdo con el artículo 1 de la Ley 81 Sobre Protección de Datos Personales, éstas podrán efectuar tratamientos, siempre que lo hagan con arreglo a lo establecido en dicha ley, para los fines permitidos en el ordenamiento jurídico, respetando el pleno ejercicio de los derechos fundamentales de los titulares de los datos y las facultades allí reconocidas. Trabajar con arreglo a lo establecido en la ley requerirá en primer lugar, que los sujetos obligados se informen de cuáles son sus responsabilidades, derechos, obligaciones y prohibiciones. Conocido esto, se precisará realizar una evaluación interna de la organización, que permita identificar eventuales problemas y anticiparse a dificultades futuras y tomar las mejores decisiones. Es decir, realizar una gestión de riesgos, que traze las acciones preventivas, correctivas y mitigadoras correspondientes, las cuales deberán aplicarse al interior de la organización. La gestión de riesgos, deberá contener entre sus productos, al menos los mecanismos establecidos en el artículo 33 de la Ley 81 para acreditar el cumplimiento de los principios y obligaciones establecidos en la misma, generando una ficha técnica que contenga los protocolos, procesos y procedimientos de gestión y transferencia segura de los datos, siendo que su cumplimiento podrá ser fiscalizado por la autoridad de control. Finalizada la evaluación deberá iniciarse el proceso de inducción al personal, capacitándose en la materia, realizando además todas las gestiones para una eficaz aplicación de lo obtenido en el proceso de evaluación. Invertir en tecnología y herramientas de ayuda para realizar los tratamientos de datos siempre es una buena idea; en el mercado existen diversos tipos, algunos de ellos gratuitos y disponibles en la red. Es importante mencionar, que de acuerdo con el artículo 42 del Reglamento de la Ley 81, para todo el sector público, el oficial de Información será también el oficial de Protección de Datos Personales. En el caso de las entidades privadas, aun y cuando no es obligatorio designar un oficial de protección de datos, sería importante evaluar la conveniencia de contar con uno, ya que la autoridad de control lo tomará en cuenta como criterio de evaluación de sanciones, debiendo notificar de manera expresa a ANTAI, de dicho nombramiento. Finalmente, luego de la inversión realizada en tiempo, recurso humano y dinero, es momento de que estos frutos den réditos, mejorando la reputación e imagen corporativa, dando a conocer el firme compromiso que la entidad tiene con sus clientes y el riguroso cuidado de cómo maneja sus datos.  
3. TITULARES DE LOS DATOS: De acuerdo con la Ley 81 y su reglamento, son sujetos protegidos todas las personas naturales, siempre que los datos tratados los identifiquen o los hagan identificables. Las personas deben conocer cuál es la importancia de proteger su información personal, para evitar que la misma sea utilizada con una finalidad distinta para la cual se proporcionaron, evitando así verse afectados en otros derechos y libertades. Además de ello, es necesario saber a quién recurrir ante un incumplimiento. Pero principalmente, hay que tomar conciencia, que el primer responsable de nuestros datos somos nosotros mismos. ¿Cómo hacerlo? De diversas maneras, revisando las opciones de privacidad en las redes sociales, teniendo cautela con quien compartimos información en la red, revisar los permisos de las aplicaciones que instalamos en nuestros dispositivos electrónicos, utilizar contraseñas de seguridad robustas y cambiarlas regularmente, entre otros.

En Signature Regional Law Group contamos con un grupo de especialistas en la materia, listos a acompañar a nuestros clientes en todo el proceso de adecuación e implementación de la nueva normativa legal, garantizando de esta manera, un eficaz cumplimiento de las obligaciones que ésta trae, evitando así ser sujeto a sanciones por parte de la Autoridad de Control.

---

Autor: Fernando Arguello
Signature El Salvador
Perfil