Sin Título

El derecho del titular de los datos personales al acceso, revocacion, cancelacion, oposicion o bloqueo de sus datos no puede ser limitado mediante ningun acto o convenio entre partes, en cuyo caso se declarara nulo el acto de limitacion.

Si los datos personales se encuentran almacenados en una base de datos que se alimente de datos provistos por diversos organismos, el titular podra requerir informacion a cualquiera de los responsables de datos que suministran la informacion.

Tampoco podrá pedirse la rectificación, cancelación o bloqueo de datos personales almacenados por mandato legal fuera de los casos establecidos en leyes especiales que les aplique.

Los responsables o custodios de bases de datos deberán entregar a las autoridades judiciales competentes la información relacionada al almacenamiento o transferencia de datos personales que sea debidamente solicitada para el aseguramiento del cumplimiento de la ley.

En cualquier caso, la solicitud tendrá que estar debidamente proporcionada, no admitiéndose en ningún caso solicitudes masivas de información sobre datos personales.

En todo caso, dicha solicitud deberá ir dirigida al responsable del tratamiento o al titular de los datos, que es el único que puede responderla, ordenando en su caso al responsable del tratamiento o quien lo tuviera por mandato o encargo de dicho responsable que entregue los datos a la autoridad judicial competente.

Los responsables del tratamiento de datos solo podrán transferir información sobre estos cuando cuenten con el consentimiento previo, informado e inequívoco del titular, salvo las excepciones establecidas en esta Ley o en las leyes especiales.

Los operadores que gestionen redes públicas o que presten servicios de comunicación disponibles al público deberán garantizar en el ejercicio de su actividad la protección de los datos personales conforme a esta Ley y la normativa que la desarrolle.

Asimismo, deberán adoptar las medidas técnicas y de gestión adecuada para preservar la seguridad en la explotación de la red o en la prestación de los servicios, con el fin de garantizar los niveles de protección de los datos personales que sean exigidos mediante esta Ley y su reglamentación, así como las certificaciones, protocolos, estándares y otras medidas que establezcan las autoridades respectivas.

En caso de que exista una afectación particular de violación de la seguridad de la red pública de comunicaciones, el operador que gestione dicha red o preste el servicio de comunicaciones informará a los titularés sobre dicha afectación y sobre las medidas a adoptar.

La regulación dispuesta en esta Ley se entiende sin perjuicio de lo previsto en las normas especiales sobre telecomunicaciones, relacionadas con la seguridad pública y la defensa nacional.

tal forma que se distinga claramente de los demas, de forma comprensible y de facil acceso, utilizando un lenguaje claro y sencillo, que no sera vinculante en ninguna parte de la declaracion que constituya infraccion de esta Ley y su reglamentacion.

En ningun caso el responsable del tratamiento de datos personales y/o el custodio de la base de datos pueden transferir o comunicar los datos que se relacionen con una persona identificada o identificable, despues de transcurridos siete anos desde que se extinguió la obligacion legal de conservarla, salvo que el titular de los datos personales expresamente solicite lo contrario.

El tratamiento de datos personales por parte de una entidad publica, solo podrá efectuarse respecto de las materias de su competencia y con sujeccion a lo establecido en esta Ley.

Las entidades publicas que sometan a tratamiento datos personales relativos a condenas por delitos, infracciones administrativas o faltas disciplinarias no podran comunicarlos, una vez prescrita la accion penal o administrativa o cumplida o prescrita la sanción o la pena, salvo autorizacion expresa por el titular del dato.

Se exceptuan los casos en que esa información les sea solicitada por los tribunales de justicia competentes u otros organismos publicos dentro del ambito de su competencia, que deberan guardar respecto de ella la debida reserva o confidencialidad y les sera aplicable lo dispuesto en los articulos 11 y 20.

Los responsables y/o custodios de bases de datos que transfieran datos personales almacenados en bases de datos a terceros llevaran un registro de estas y deberan estar a disposicion de la Autoridad Nacional de Transparencia y Acceso a la Informacion en caso de que esta lo requiera para cumplir con las facultades que le otorga esta Ley.

En el registro al que se refiere el parrafo anterior constará, respecto de cada una de esas bases de datos, la identificacion de estas y el responsable de estas, la naturaleza de los datos personales que contiene, el fundamento juridico de su existencia, los procedimientos de obtencion y tratamiento de los datos, el destino de los datos y las personas naturales o juridicas a las que pueden ser transferidos, la descripcion del universo de personas que comprende, las medidas de seguridad, los protocolos y la descripcion tecnica de la base de datos, la forma y condiciones en que las personas pueden recibir o acceder a los datos referidos a ellas, los procedimientos a realizar para la rectificacion, la actualizacion de los datos, el tiempo de conservacion de los datos y cualquier cambio de los elementos indicados, asi como la identificacion y periodo de todas las personas que han ingresado a los datos personales dentro de los quince dias habiles desde que se inicie dicha actividad.

Solo pueden ser capturados para almacenamiento los datos obtenidos del documento de identidad personal que provea su titular.

En una solicitud de transferencia de datos personales, mediante el uso de una red digital o de cualquier otro medio, deberá dejarse constancia de:

1. La individualización del requirente.

2. El motivo y el propósito del requerimiento.

3. Los datos que se requiere que sean trasferidos.

4. La notificación a los titulares de los datos personales que integran el requerimiento, el motivo y el nuevo responsable de la información, salvo consentimiento previo por parte del titular.

5. El tiempo máximo que el requirente utilizará los datos y la forma como serán destruidos una vez terminado su uso. Se exceptúan de estos requerimientos los procesos internos del responsable del tratamiento de los datos.

13. Que se realice en el marco de cláusulas contractuales que contengan mecanismos de protección de los datos personales acordes con las disposiciones previstas en la presente Ley, siempre que el titular sea parte.

En todos los casos, el responsable del tratamiento que transfiere los datos y el receptor de los datos personales serán responsables por la licitud del tratamiento de los datos transferidos.

Se crea el Consejo de Protección de Datos Personales como ente consultivo en la materia que regula la presente Ley, que estará conformado por:

1. El ministro de Comercio e Industrias o quien este delegue, quien la presidirá.

2. El administrador general de la Autoridad de Protección al Consumidor y Defensa de la Competencia o quien este delegue.

3. El director general de Autoridad Nacional de Transparencia y Acceso a la Información o quien este delegue, quien ejercerá la Secretaría de esta.

4. El defensor del pueblo o quien este delegue.

5. Un representante del Consejo Nacional de la Empresa Privada.

6. Un representante del Colegio Nacional de Abogados.

7. Un representante de la Asociación Bancaria de Panamá.

8. Un representante del Tribunal Electoral.

9. Un representante de la Cámara de Comercio, Industrias y Agricultura de Panamá. Los representantes del Consejo Nacional de la Empresa Privada, del Colegio Nacional de Abogados, la Asociación Bancaria de Panamá y la Cámara de Comercio, Industrias y Agricultura de Panamá, así como sus respectivos suplentes, serán designados por su Junta Directiva por un periodo de dos años. El administrador general de la Autoridad Nacional para la Innovación Gubernamental o quien este delegue, participará en las reuniones del Consejo de Protección de Datos Personales como asesor técnico y tendrá derecho a voz.

El Consejo de Protección de Datos Personales tendrá las facultades siguientes:

1. Asesorar a la Autoridad Nacional de Transparencia y Acceso a la Información en materia de protección de datos personales, recomendar acciones y reglamentos.

2. Recomendar políticas públicas relacionadas con esta materia.

3. Evaluar casos que le sean presentados para consulta y brindar sus recomendaciones.

4. Desarrollar su reglamento interno.

de la base de datos, que por razón de la investigación de las quejas o denuncias que se les presenten y se les compruebe que han infringido los derechos del titular de los datos personales.

Las decisiones de la Dirección competente para esta materia dentro de la Autoridad Nacional de Transparencia y Acceso a la Información serán impugnables mediante recurso de reconsideración ante esta Dirección y de apelación que se interpondrá ante el director general de la Autoridad Nacional de Transparencia y Acceso a la Información como segunda instancia, los cuales se sustentarán en un término de cinco días, a partir del día siguiente hábil después de su notificación.

Aquellos casos de queja que se presenten ante los entes reguladores, en los que se realicen tratamientos de datos que se encuentren regulados por leyes especiales y que no se encuentren las sanciones a las faltas cometidas en dichas leyes expresamente tipificadas, el regulador a quien se le interponga la queja deberá aplicar supletoriamente las sanciones establecidas en esta Ley.

La Autoridad Nacional de Transparencia y Acceso a la Información fijará los montos de las sanciones aplicables a las respectivas faltas, acordes a la gravedad de las faltas, que se establecerán desde mil balboas (B/.1000.00) hasta diez mil balboas (B/.10000.00), así como reglamentará el procedimiento correspondiente.

Las sanciones pecuniarias que imponga la Autoridad Nacional de Transparencia y Acceso a la Información en el ejercicio de las facultades establecidas en esta Ley que no hayan sido pagadas en el término concedido, se remitirán para su cobro a la Dirección General de Ingresos del Ministerio de Economía y Finanzas.

El responsable del tratamiento de los datos personales deberá indemnizar el daño patrimonial y/o moral que causará por el tratamiento indebido de estos, de conformidad con lo establecido en esta Ley o en el ordenamiento legal vigente.

Los tribunales de justicia conocerán de las demandas que se presenten contra los responsables del tratamiento de los datos personales, así como sobre las reclamaciones por daños y perjuicios causados.

Las infracciones a esta Ley se califican en leves, graves o muy graves.

Se considera infracción leve:

1. No remitir y/o informar a la Autoridad Nacional de Transparencia y Acceso a la Información dentro de los plazos requeridos la información de lo ordenado en esta Ley, su reglamentación o cualquier otra disposición normativa.

Se consideran infracciones graves:

1. Efectuar el tratamiento de datos personales sin haber obtenido el consentimiento de su titular, según el procedimiento indicado por esta Ley, su reglamentación o cualquier otra disposición normativa que se refiera a la presente Ley.

2. Infringir los principios y garantías establecidos en la presente Ley o en su reglamentación.

3. Infringir el compromiso de confidencialidad relacionado al tratamiento de los datos personales.

4. Restringir o entorpecer la aplicación de los derechos de acceso, rectificación, cancelación y oposición.

5. Incumplir el deber de informar al titular afectado acerca del tratamiento de sus datos personales, cuando los datos no hayan sido obtenidos del propio titular.

6. Almacenar o archivar datos personales sin contar con las adecuadas condiciones de seguridad que esta Ley o su reglamento disponga.

7. Not atender la reiteración de los requerimientos u observaciones formalmente notificados, o no proporcionar la documentación o información formalmente solicitada por la Autoridad Nacional de Transparencia y Acceso a la Información.

8. Entorpecer o no cooperar con la Autoridad Nacional de Transparencia y Acceso a la Información al momento en que esta ejerza su función de inspección.