Artículo 33

Los responsables y/o custodios de bases de datos que transfieran datos personales almacenados en bases de datos a terceros llevaran un registro de estas y deberan estar a disposicion de la Autoridad Nacional de Transparencia y Acceso a la Informacion en caso de que esta lo requiera para cumplir con las facultades que le otorga esta Ley. En el registro al que se refiere el parrafo anterior constará, respecto de cada una de esas bases de datos, la identificacion de estas y el responsable de estas, la naturaleza de los datos personales que contiene, el fundamento juridico de su existencia, los procedimientos de obtencion y tratamiento de los datos, el destino de los datos y las personas naturales o juridicas a las que pueden ser transferidos, la descripcion del universo de personas que comprende, las medidas de seguridad, los protocolos y la descripcion tecnica de la base de datos, la forma y condiciones en que las personas pueden recibir o acceder a los datos referidos a ellas, los procedimientos a realizar para la rectificacion, la actualizacion de los datos, el tiempo de conservacion de los datos y cualquier cambio de los elementos indicados, asi como la identificacion y periodo de todas las personas que han ingresado a los datos personales dentro de los quince dias habiles desde que se inicie dicha actividad. Solo pueden ser capturados para almacenamiento los datos obtenidos del documento de identidad personal que provea su titular.

En una solicitud de transferencia de datos personales, mediante el uso de una red digital o de cualquier otro medio, deberá dejarse constancia de: 1. La individualización del requirente. 2. El motivo y el propósito del requerimiento. 3. Los datos que se requiere que sean trasferidos. 4. La notificación a los titulares de los datos personales que integran el requerimiento, el motivo y el nuevo responsable de la información, salvo consentimiento previo por parte del titular. 5. El tiempo máximo que el requirente utilizará los datos y la forma como serán destruidos una vez terminado su uso. Se exceptúan de estos requerimientos los procesos internos del responsable del tratamiento de los datos.

Se crea el Consejo de Protección de Datos Personales como ente consultivo en la materia que regula la presente Ley, que estará conformado por: 1. El ministro de Comercio e Industrias o quien este delegue, quien la presidirá. 2. El administrador general de la Autoridad de Protección al Consumidor y Defensa de la Competencia o quien este delegue. 3. El director general de Autoridad Nacional de Transparencia y Acceso a la Información o quien este delegue, quien ejercerá la Secretaría de esta. 4. El defensor del pueblo o quien este delegue. 5. Un representante del Consejo Nacional de la Empresa Privada. 6. Un representante del Colegio Nacional de Abogados. 7. Un representante de la Asociación Bancaria de Panamá. 8. Un representante del Tribunal Electoral. 9. Un representante de la Cámara de Comercio, Industrias y Agricultura de Panamá. Los representantes del Consejo Nacional de la Empresa Privada, del Colegio Nacional de Abogados, la Asociación Bancaria de Panamá y la Cámara de Comercio, Industrias y Agricultura de Panamá, así como sus respectivos suplentes, serán designados por su Junta Directiva por un periodo de dos años. El administrador general de la Autoridad Nacional para la Innovación Gubernamental o quien este delegue, participará en las reuniones del Consejo de Protección de Datos Personales como asesor técnico y tendrá derecho a voz.

El Consejo de Protección de Datos Personales tendrá las facultades siguientes: 1. Asesorar a la Autoridad Nacional de Transparencia y Acceso a la Información en materia de protección de datos personales, recomendar acciones y reglamentos. 2. Recomendar políticas públicas relacionadas con esta materia. 3. Evaluar casos que le sean presentados para consulta y brindar sus recomendaciones. 4. Desarrollar su reglamento interno.