Por: Lic. Raúl Ricardo Ramsay Ibarra
El pasado 10 de septiembre la Autoridad Nacional de Transparencia y Acceso a la Información (ANTAI) en conjunto con la Autoridad Nacional para la Innovación Gubernamental (AIG) publicaron una nueva versión del Proyecto de Ley para la Protección de Datos de Carácter Personal. En esta nueva versión, se agregaron componentes fundamentados en sugerencias recibidas por las autoridades previamente listadas como patrocinadoras del proyecto, además de organizaciones de la sociedad civil interesada en el tema a lo largo de distintos eventos, foros o consultas.
¿Qué persigue esta ley?
El espíritu de la Ley es proteger la información de las personas, con el interés de cumplir con lo que ordena la Constitución política panameña en cuanto a la privacidad de las mismas. Las siguientes definiciones consideramos son las más importantes dentro del proyecto de ordenamiento jurídico:
- Almacenamiento de Datos: Conservación o custodia de datos en una Base de Datos, establecida en cualquier medio provisto por las tecnologías de la información y la comunicación (TIC).
- Dato Personal: Es cualquier información concerniente a personas naturales, que las identifica o las hace identificables.
- Custodio de la Base de Datos: Persona Natural o jurídica, de derecho público o privado, lucrativa o no, a quien compete la custodia y conservación de la Base de Datos, por encargo del Responsable del Tratamiento..
Es importante resaltar que según el proyecto de Ley, todas las bases de datos que se encuentren en el territorio de la República de Panamá, quedarán sujetas a esta ley, sin establecer el motivo ni el uso de la Base de Datos.
Algunos entendidos en la materia consideran definiciones similares como definiciones demasiado amplias que podrían afectar o abarcar mayor información o datos de los que debería velar una ley de este tipo.
¿Quiénes estarían obligados por esta Ley de Protección de Datos de Carácter Personal?
Cualquier empresa que tenga, ya sea para uso propio o para la venta, una base de datos que contenga datos personales. Fundamentado en esta premisa, consideramos que esto aplica a las siguientes plataformas:
- Customer Relationship Management (CRM)
- Envío de Newsletter
- Programa de Lealtad
- Análisis de datos relacionados con el tráfico de sitios web
- Sistema Enterprise Resource Planning (ERP)
- Cualquier servicio basado en la Nube
¿Qué deben hacer estas empresas para reducir el riesgo legal de incumplir esta ley en caso de ser aprobada?
El documento que hemos podido analizar, establece que las empresas deben adoptar todos los pasos necesarios para asegurarse que los datos serán protegidos en forma consistente, lo que para nosotros se transforma en:
- Reforzar sus medidas de seguridad para impedir el acceso de intrusos a sus servidores o infraestructura de IT.
- Establecer políticas de manejo de la información y códigos de conducta para las personas que estarán administrando estos datos, adoptando estándares internacionales como lo es ISO 27001.
- Actualizar los términos y condiciones del servicio que están brindando y comunicarlo a sus clientes.
- Abstenerse de comerciar o traspasar bases de datos que contengan datos personales a terceros.
Cualquier daño que pueda ser causado a una persona debido al incumplimiento de esta ley, podría convertir al titular de la Base de Datos en responsable tanto civil como penal.
La aprobación de esta ley requerirá educación para el sector TIC por varios aspectos, a saber:
- Preocuparse por asegurar sus bases de datos de uso interno como herramienta del negocio.
- Desarrollar aplicaciones de IT que no comprometan o pongan en riesgo los datos de los usuarios finales.
- Establecer un límite a la responsabilidad para con los clientes finales por daños producto del mal manejo de datos de carácter
¿Cuál es la experiencia en países o regiones con leyes restrictivas?
Coinciden varios estudiosos de la materia, que en muchas países o regiones en los cuales existen leyes o normativas restrictivas en el tema de Protección de Datos, se ha disminuido el emprendimiento o se han mudado empresas de estos países buscando locaciones con legislación que cuente con restricciones mínimas, como lo es Estados Unidos. [1] [2] [3]
Es importante resaltar que los marcos de referencia para esta normativa son los ordenamientos jurídicos de la Comunidad Europea siendo uno de los más restrictivos y el Norteamericano, que más que prohibir todo y establecer excepciones, adoptaron una modalidad totalmente contraria. Ellos establecen claramente que no se pude hacer con los datos personales, permitiendo el resto de las acciones, además de no contar con una autoridad o agencia exclusiva para ver el tema.
Estaremos pendientes de las novedades en este tema, que tiene como fundamento la Declaración de Principios, la Comisión Interamericana de Derechos Humanos, que tiene como tercer principio que “toda persona tiene derecho a acceder a la información sobre sí misma o sus bienes en forma expedita y no onerosa, ya esté contenida en bases de datos, registros públicos o privados y, en el caso de que fuere necesario, actualizarla, rectificar y/o enmendarla”, mismo derecho reconocido por la Convención Americana sobre Derechos Humanos en sus artículo 13.2 y 11, en que protege el derecho a la privacidad, la honra y la reputación de las personas.