Ley 81 de protección de datos en Panamá: lo que tu empresa debe cumplir

La Ley 81 de 26 de marzo de 2019 estableció el marco de protección de datos personales en Panamá. Junto con su reglamento, define cómo las empresas deben recopilar, almacenar, usar y proteger la información personal de individuos. No es una ley que aplica solo a empresas de tecnología — aplica a cualquier empresa que maneje datos de personas.

¿Quién debe cumplirla?

Toda persona natural o jurídica, pública o privada, que trate datos personales en Panamá. Si tienes una base de datos de clientes, una nómina de empleados, un listado de proveedores con datos de contacto, un sistema de facturación con nombres y cédulas, o un sitio web con formulario de contacto, estás tratando datos personales y debes cumplir la ley.

Principios fundamentales

La ley establece principios que todo tratamiento de datos debe respetar. Lealtad: debes tratar los datos de forma leal y lícita. Finalidad: solo puedes usar los datos para el propósito por el cual fueron recopilados. Proporcionalidad: solo recopila lo que realmente necesitas. Veracidad: los datos deben ser correctos y actualizados. Seguridad: debes proteger los datos con medidas técnicas y organizativas adecuadas. Confidencialidad: solo las personas autorizadas deben acceder a los datos.

Derechos de los titulares

Las personas cuyos datos manejas tienen derechos que debes respetar. Acceso: pueden solicitar saber qué datos tienes de ellos. Rectificación: pueden pedir que corrijas datos incorrectos. Cancelación: pueden solicitar que elimines sus datos cuando ya no sean necesarios. Oposición: pueden oponerse al tratamiento de sus datos en ciertos casos. Portabilidad: pueden solicitar sus datos en formato electrónico.

Tu empresa debe tener un mecanismo para recibir y responder estas solicitudes dentro de los plazos legales. No tiene que ser un sistema complejo — puede ser un correo dedicado con un proceso documentado de respuesta.

Medidas de seguridad

La ley exige que implementes medidas técnicas y organizativas para proteger los datos. En la práctica, esto incluye control de acceso basado en roles, cifrado de datos sensibles, backups regulares, registros de auditoría de quién accede a qué datos, política de contraseñas, y procedimientos de respuesta ante brechas de seguridad.

¿Qué pasa si no cumples?

La Autoridad Nacional de Transparencia y Acceso a la Información (ANTAI) es el ente regulador. Las sanciones van desde amonestaciones y multas hasta la suspensión del tratamiento de datos. Más allá de las sanciones formales, una brecha de datos sin medidas de protección adecuadas puede resultar en demandas civiles y daño reputacional significativo.

Pasos concretos

Haz un inventario de qué datos personales manejas y dónde están almacenados. Documenta para qué usas cada tipo de dato. Implementa una política de privacidad accesible en tu sitio web. Establece un proceso para atender solicitudes de titulares. Revisa que tus medidas de seguridad sean adecuadas al tipo de datos que manejas. Y si manejas datos sensibles (salud, financieros, biométricos), aplica protecciones reforzadas.

No necesitas un equipo legal de diez personas para cumplir. Necesitas entender qué datos tienes, protegerlos adecuadamente, y respetar los derechos de las personas. El sentido común te lleva lejos.