Sin Libro

Esta Ley tiene por objeto establecer los principios, derechos, obligaciones y procedimientos que regulan la protección de datos personales, considerando su interrelación con la vida privada y demás derechos y libertades fundamentales de los ciudadanos, por parte de las personas naturales o jurídicas, de derecho público o privado, lucrativas o no, que traten datos personales en los términos previstos en esta Ley.

Toda persona, natural o jurídica, de derecho público o privado, lucrativa o no, puede efectuar el tratamiento de datos personales, siempre que lo haga con arreglo a la presente Ley y para los fines permitidos en el ordenamiento jurídico.

En todo caso, deberá respetar el pleno ejercicio de los derechos fundamentales de los titulares de los datos y de las facultades que esta Ley les reconoce.

Los principios generales en los cuales se inspiran y rigen la protección de datos de carácter personal, en cuanto a la interpretación y aplicación de la normativa, son:

1. Principio de lealtad: los datos personales deberán recabarse sin engaño o falsedad y sin utilizar medios fraudulentos, desleales o ilícitos.

2. Principio de finalidad: los datos personales deben ser recolectados con fines determinados y no ser tratados posteriormente para fines incompatibles o distintos para los cuales se solicitaron, ni conservarse por tiempo mayor del necesario para los fines de tratamiento.

3. Principio de proporcionalidad: solo deberán ser solicitados aquellos datos adecuados, pertinentes y limitados al mínimo necesario en relación con la finalidad para la que son requeridos.

4. Principio de veracidad y exactitud: los datos de carácter personal serán exactos y puestos al día de manera que respondan con veracidad a la situación actual del propietario del dato.

5. Principio de seguridad de los datos: los responsables del tratamiento de los datos personales deberán adoptar las medidas de índole técnica y organizativa necesarias para garantizar la seguridad de los datos bajo su custodia, principalmente cuando se trate de datos considerados sensibles, e informar al titular, lo más pronto posible, cuando los datos hayan sido sustraídos sin autorización o haya indicios suficientes de que su seguridad ha sido vulnerada.

6. Principio de transparencia: toda información o comunicación al titular de los datos personales relativa al tratamiento de estos deberá ser en lenguaje sencillo y claro, y

7. Principio de confidencialidad: todas las personas que intervengan en el tratamiento de datos personales están obligadas a guardar secreto o confidencialidad respecto de estos, incluso cuando hayan finalizado su relación con el titular o responsable del tratamiento de datos, impidiendo el acceso o uso no autorizado.

8. Principio de licitud: para que el tratamiento de un dato personal sea licito, deberá ser recolectado y tratado con el consentimiento previo, informado e inequívoco del titular del dato o por fundamento legal.

9. Principio de portabilidad: el titular de los datos tiene derecho a obtener de parte del responsable del tratamiento una copia de los datos personales de manera estructurada en un formato genérico y de uso común.

Se exceptúan del ámbito de esta Ley aquellos tratamientos que expresamente se encuentren regulados por leyes especiales o por las normativas que las desarrollen, además de los tratamientos de datos personales siguientes:

1. Los que realice una persona natural para actividades exclusivamente personales o domésticas.

2. Los que realicen autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales.

3. Los que se efectúen para el análisis de inteligencia financiera y relativos a la seguridad nacional de conformidad con las legislaciones, tratados o convenios internacionales que regulen estas materias.

4. Cuando se trate de tratamiento de datos relacionados con organismos internacionales, en cumplimiento de lo dispuesto en los tratados y convenios vigentes ratificados por la República de Panamá.

5. Los resultantes de información obtenida mediante un procedimiento previo de disociación o anonimización, de manera que el resultado no pueda asociarse al titular de los datos personales.

Para los efectos de esta Ley, los términos siguientes se entenderán así:

1. Almacenamiento de datos. Conservación o custodia de datos en una base de datos establecida en cualquier medio provisto, incluido el de las Tecnologías de la Información y la Comunicación (TICs).

2. Base de datos. Conjunto ordenado de datos de cualquier naturaleza, cualquiera que sea la forma o modalidad de su creación, organización o almacenamiento, que permite relacionar los datos entre sí, así como realizar cualquier tipo de tratamiento o transmisión de estos por parte de su custodia.

3. Bloqueo de datos. Restricción temporal de cualquier acceso o tratamiento de los datos almacenados.

4. Consentimiento. Manifestación de la voluntad del titular de los datos, mediante la cual se efectúa el tratamiento de estos.

5. Custodio de la base de datos. Persona natural o jurídica, de derecho público o privado, lucrativa o no, que actúa a nombre y por cuenta del responsable del tratamiento y le compete la custodia y conservación de la base de datos.

6. Datos confidenciales. Aquellos datos que por su naturaleza no deben ser de conocimiento público o de terceros no autorizados, incluyendo aquellos que estén protegidos por ley, por acuerdos de confidencialidad o no divulgación, a fin de salvaguardar información. En los casos de la Administración Pública, son aquellos datos cuyo tratamiento está limitado para fines de esta Administración o si se cuenta con el consentimiento expreso del titular, sin perjuicio de lo dispuesto por leyes especiales o por las normativas que las desarrollen. Los datos confidenciales siempre serán de acceso restringido.

7. Dato anónimo. Aquel dato cuya identidad no puede ser establecida por medios razonables o el nexo entre este y la persona natural a la que se refiere.

8. Dato caduco. Aquel dato que ha perdido actualidad por disposición de la ley, por el cumplimiento de la condición o la expiración del plazo señalado para su vigencia o, si no hubiera norma expresa, por el cambio de los hechos o circunstancias que consigna.

9. Dato personal. Cualquier información concerniente a personas naturales, que las identifica o las hace identificables.

10. Dato disociado. Aquel dato que no puede asociarse al titular ni permitir por su estructura, contenido o grado de desagregación la identificación de la persona, sea esta natural.

11. Dato sensible. Aquel que se refiera a la esfera íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para este. De manera enunciativa, se consideran sensibles los datos personales que puedan revelar aspectos como origen racial o étnico; creencias o convicciones religiosas, filosóficas y morales; afiliación sindical; opiniones políticas; datos relativos a la salud, a la vida, a la preferencia u orientación sexual, datos genéticos o datos biométricos, entre otros, sujetos a regulación y dirigidos a identificar de manera unívoca a una persona natural.

12. Eliminación o cancelación de datos. Suprimir o borrar de forma permanente los datos almacenados en bases de datos, cualquiera que sea el procedimiento empleado para ello.

13. Ficha técnica. Documento que contiene los registros, protocolos y reglas, relacionados al almacenamiento y tratamiento de los datos personales.

14. Fuente accesible. Bases de datos que no sean de acceso restringido o contengan reserva alguna a consultas, o que sean de acceso público, como las publicaciones estatales de carácter oficial, los medios de comunicación, los directorios telefónicos y la lista de personas que pertenecen a un grupo de profesionales que contengan únicamente nombre, título o profesión, actividad, dirección laboral o comercial, al igual que información que indique su pertenencia a organismos.

15. Modificación de datos. Todo cambio en el contenido de los datos almacenados en bases de datos.

16. Procedimiento de disociación o anonimización. Todo tratamiento de datos que impide que la información disponible en la base de datos pueda asociarse a persona natural determinada o determinable.

17. Responsable del tratamiento de los datos. Persona natural o jurídica, de derecho público o privado, lucrativa o no, que le corresponde las decisiones relacionadas con el tratamiento de los datos y que determina los fines, medios y alcance, así como cuestiones relacionadas a estos.

18. Titular de los datos. Persona natural a la que se refieren los datos.

19. Transferencia de datos. Dar a conocer, divulgar, comunicar, intercambiar y/o transmitir, de cualquier forma y por cualquier medio, de un punto a otro, intra o extrafronterizo, los datos a personas naturales o jurídicas distintas del titular, ya sean determinadas o indeterminadas.

20. Tratamiento de datos. Cualquier operación o complejo de operaciones o procedimientos técnicos, de carácter automatizado o no, que permita recolectar, almacenar, grabar, organizar, elaborar, seleccionar, extraer, confrontar, interconectar, asociar, disociar, comunicar, ceder, intercambiar, transferir, transmitir o cancelar datos, o utilizarlos en cualquier otra forma.

Las bases de datos que se encuentren en el territorio de la República de Panamá, que almacenen o contengan datos personales de nacionales o extranjeros o que el responsable del tratamiento de los datos esté domiciliado en el país quedan sujetas a las normas establecidas en esta Ley o su reglamentación. Se excluye de esta normativa la base de datos de sujetos regulados por leyes especiales, siempre que estas leyes que lo regulan o su normativa que las desarrollan establezcan estándares técnicos mínimos necesarios para la correcta protección y tratamiento de datos personales, conforme a lo establecido en esta Ley. El almacenamiento o transferencia de datos personales originados o almacenados dentro de la República de Panamá que sean confidenciales, sensibles o restringidos, que reciban un tratamiento transfronterizo, será permitido siempre que el responsable del almacenamiento de esos datos o el custodio de estos cumpla con los estándares de protección de datos personales exigidos por esta Ley, o pueda demostrar que cumple con los estándares y normas de protección de datos personales iguales o superiores a los exigidos por la presente Ley. Se exceptúan para efectos del requerimiento que trata el párrafo anterior, los casos siguientes:

1. Cuando el titular haya otorgado su consentimiento para la transferencia.

2. Cuando la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar por el interesado o en interés de este.

3. Cuando se trate de transferencias bancarias, dinerarias y bursátiles del mercado de valores.

4. Cuando se trate de información cuya transmisión sea requerida por ello en cumplimiento de tratados internacionales ratificados por la República de Panamá. En cualquiera de los casos, el tratamiento o transferencia de datos personales que se realice a través de Internet o cualquier otro medio de comunicación electrónica, digital o física, el custodio de la base de datos y/o el responsable por el tratamiento deberá cumplir con los estándares, normas, certificaciones, protocolos, medidas técnicas y de gestión informática adecuados para preservar la seguridad en sus sistemas o redes, o en la prestación de sus servicios, con el fin de garantizar los niveles de protección de los datos personales tal cual lo establece esta Ley y su reglamentación, así como las certificaciones, protocolos, estándares y otras medidas que se establezcan.

El tratamiento de datos personales solo podrá realizarse cuando se cumplan al menos una de las condiciones siguientes:

1. Que se obtenga el consentimiento del titular de los datos.

2. Que el tratamiento de los datos sea necesario para la ejecución de una obligación contractual, siempre que el titular de los datos sea parte.

3. Que el tratamiento sea necesario para el cumplimiento de una obligación legal para la cual el responsable de los datos esté sujeto.

4. Que el tratamiento de los datos personales esté autorizado por una ley especial o las normativas que las desarrollen. La persona que consienta dicho tratamiento debe ser debidamente informada respecto del propósito del uso de sus datos personales. El consentimiento podrá obtenerse de forma que permita su trazabilidad mediante documentación, ya sea electrónica o mediante cualquier otro mecanismo que resulte adecuado al medio de que se trate el caso y podrá ser revocado, sin efecto retroactivo.

El responsable del tratamiento de datos personales contenidos en bases de datos establecerá los protocolos, procesos y procedimientos de gestión y transferencia segura, protegiendo los derechos de los titulares sobre sus datos bajo los preceptos de esta Ley.

Lo anterior será fiscalizado y supervisado por la Autoridad Nacional de Transparencia y Acceso a la Información, con el apoyo de la Autoridad Nacional para la Innovación Gubernamental, cuando se trate de aspectos relacionados a las Tecnologías de la Información y la Comunicación (TICs).

Los requerimientos mínimos que deben contener las políticas de privacidad, los protocolos, los procesos y los procedimientos de tratamiento y transferencia segura que deberá cumplir el responsable del tratamiento de datos serán emitidos por el regulador de cada sector bajo conforme a esta Ley.

2. Los que se recolecten dentro del ejercicio de las funciones propias de la Administración Pública en el ámbito de sus competencias.

3. Los de carácter económico, financiero, bancario o comercial que cuenten con el consentimiento previo.

4. Los que se contengan en listas relativas a una categoría de personas que se limiten a indicar antecedentes, como la pertenencia de la persona natural a una organización, su profesión o actividad, sus títulos educativos, dirección o fecha de nacimiento.

5. Los que son necesarios dentro de una relación comercial establecida, ya sea para la atención directa, comercialización o venta de los bienes o servicios pactados.

6. El tratamiento de datos personales que realicen organizaciones privadas para el uso exclusivo de sus asociados y de las entidades a que están afiliadas, con fines estadísticos, de tarificación u otros de beneficio general de aquellos.

7. Los casos de urgencia médica o sanitaria.

8. El tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos.

9. El tratamiento que sea necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un menor de edad o una persona con discapacidad. Cuando el consentimiento se refiera a datos personales sensibles de salud, el consentimiento será previo, irrefutable y expreso. En los supuestos previstos en el presente artículo, el titular de los datos podrá ejercer el derecho de acceso a sus datos personales sin cargo alguno. El titular podrá, en cualquier momento, solicitar la modificación, eliminación o bloqueo de sus datos personales de las bases de datos a los que se refiere este artículo. Lo anterior se entiende, sin perjuicio de lo que dispongan leyes especiales.

Las personas que tengan acceso o estén involucradas en el tratamiento de datos personales, tanto en organismos públicos como privados, están obligadas a guardar confidencialidad sobre estos cuando provengan o hayan sido recolectados de fuentes que no sean de dominio o acceso al público, así como sobre los demás datos y antecedentes relacionados con la base de datos, obligación que no cesa por haber terminado sus actividades en ese ámbito.

En caso de que el tratamiento de datos personales se efectúe por mandato, se aplicarán las reglas generales, en las cuales se dejará constancia, entre otros, que el consentimiento sea otorgado por escrito o de forma electrónica, siempre que exista certeza de su otorgamiento, estableciendo las condiciones para el tratamiento o la utilización de los datos personales.

El mandatario deberá respetar esas estipulaciones en el cumplimiento de su encargo.

Los datos personales deben utilizarse para los fines determinados, explícitos y licitos para los cuales hubieran sido autorizados al momento de su recolección.

Para cualquier otro uso que quiera darse a estos datos personales será necesario obtener el consentimiento del titular, que exista una ley especial que permita dicho tratamiento o que sea necesario para el cumplimiento de una obligación contractual, donde el propietario de los datos sea parte, así como cuando sea requerido por una entidad pública en el ejercicio de sus funciones legales o por orden judicial.

En el caso de tratamiento posterior de los datos con fines de investigación, estudios o encuestas o conocimientos de interés público, no será necesario el consentimiento del titular de los datos, siempre que estos sean anonimizados por el responsable de su custodia o tratamiento.

La comunicación de sus resultados debe omitir las señas que puedan permitir la identificación de las personas consultadas.

Los datos sensibles no pueden ser objeto de transferencia, excepto en los casos siguientes:

1. Cuando el titular haya dado su autorización explícita, salvo en los casos que por ley no sea requerido el otorgamiento de dicha autorización.

2. Cuando sea necesario para salvaguardar la vida del titular y este se encuentre física o jurídicamente incapacitado. En estos casos, los acudientes, curadores o quienes tengan la tutela deben dar la autorización.

3. Cuando se refiera a datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso con autorización judicial competente.

4. Cuando tenga una finalidad histórica, estadística o científica. En este caso, deberán adoptarse las medidas conducentes a disociar la identidad de los titulares.

El custodio de la base de datos regulado por esta Ley, por encargo o mandato del responsable del tratamiento de los datos personales, así como todo aquel que tenga acceso a los datos personales por razón de su relación a nivel jerárquico, deberá cuidar de estos con la debida diligencia, ya que será igualmente responsable por aquellos daños o perjuicios ocasionados que le sean exigibles.

Se reconocen como derechos irrenunciables básicos los derechos que tienen los titulares de datos personales, sin perjuicio de cualquier otro derecho reconocido en esta Ley:

1. Derecho de acceso: permite al titular obtener sus datos personales que se encuentren almacenados o sujetos a tratamiento en bases de datos de instituciones públicas o privadas, además de conocer el origen y la finalidad para los cuales han sido recabados.

2. Derecho de rectificación: permite al titular solicitar la corrección de sus datos personales que sean incorrectos, irrelevantes, incompletos, desfasados, inexactos, falsos o impertinentes.

3. Derecho de cancelación: permite al titular solicitar la eliminación de sus datos personales incorrectos, irrelevantes, incompletos, desfasados, inexactos, falsos o impertinentes.

4. Derecho de oposición: permite al titular, por motivos fundados y legítimos relacionados con una situación en particular, negarse a proporcionar sus datos personales o a que sean objeto de determinado tratamiento, así como a revocar su consentimiento.

5. Derecho de portabilidad: derecho a obtener una copia de los datos personales de manera estructurada, en un formato genérico y de uso común, que permita ser operado por distintos sistemas y/o transmitirlos a otro responsable, cuando: a. El titular haya entregado sus datos directamente al responsable. b. Sea un volumen relevante de datos, tratados de forma automatizada. c. El titular haya dado su consentimiento para el tratamiento o se requiera para la ejecución o el cumplimiento de un contrato. En todo momento, el titular de los datos personales podrá ejercer estos derechos, los cuales son irrenunciables, salvo las excepciones establecidas en leyes especiales.

El titular de datos personales o quien lo represente podrá solicitar su información a los responsables del tratamiento de datos, la cual deberá ser proporcionada en un plazo no mayor de diez días hábiles, a partir de la fecha de presentación de dicha solicitud.

Sin perjuicio de las excepciones legales, el titular tendrá, además, derecho a exigir que se eliminen sus datos personales cuando su almacenamiento carezca de fundamento legal, cuando no hayan sido expresamente autorizados o cuando estuvieran caducos.

El suministro de información, la modificación, bloqueo o la eliminación de los datos personales será absolutamente gratuito y deberá proporcionarse, a solicitud del titular de los datos o quien lo represente, constancia de la base de datos actualizada en lo concerniente.

carce de fundamento legal, sin perjuicio de lo dispuesto en leyes especiales que regulen materias especificas.

Si el responsable de la base de datos personales no se pronuncia sobre la solicitud del titular de datos personales dentro de los terminos establecidos, el titular de los datos personales tendra derecho a recurrir a la Autoridad Nacional de Transparencia y Acceso a la Informacion.

En caso de sujetos regulados por leyes especiales, el ciudadano debera acudir a la autoridad reguladora y, a falta de respuesta de esta, debera recurrir a la Autoridad Nacional de Transparencia y Acceso a la Informacion.

La Autoridad Nacional de Transparencia y Acceso a la Informacion esta facultada para solicitar la informacion necesaria y efectuar verificaciones a fin de realizar las investigaciones administrativas relacionadas exclusivamente y en cada caso con la queja o denuncia presentada.

El titular de los datos personales tiene derecho a no ser sujeto de una decision basada unicamente en el tratamiento automatizado de sus datos personales, que produzca efectos juridicos negativos o le produzca un detimiento a un derecho, cuyo objeto sea evaluar determinados aspectos de su personalidad, estado de salud, rendimiento laboral, credito, fiabilidad, conducta, caracteristicas o personalidad, entre otros. No obstante, dicha decision sera posible cuando:

1. El titular de los datos personales la haya consentido.

2. Sea necesaria para celebrar o dar cumplimento a un contrato o relacion juridica entre el responsable del tratamiento y el titular de los datos personales.

3. Sea autorizada por leyes especiales o las normativas que las desarrollen.

Los establecimientos de salud publicos o privados y los profesionales de la medicina pueden recolectar y procesar los datos personales relativos a la salud fisica o mental de los titulares que como pacientes acudan a estos o que esten o hubieran estado bajo su tratamiento, respetando los principios del secreto profesional y lo establecido en la presente Ley o en leyes especiales que regulen dicha materia.