La protección de datos personales se ubica dentro del campo de estudio del Derecho Informático. Se trata de la garantía o la facultad de control de la propia información frente a su tratamiento automatizado o no, es decir, no sólo a aquella información albergada en sistemas computacionales, sino en cualquier soporte que permita su utilización: almacenamiento, organización y acceso. En algunos países la protección de datos encuentra reconocimiento constitucional, como derecho humano y en otros simplemente legal.
Con la promulgación de la Ley No. 81 de protección de datos personales, la República de Panamá tiene como objetivo establecer los principios, derechos, obligaciones y procedimientos que regulan la protección de datos personales.
¿Ley 81 en las empresas panameñas?
La privacidad se ha convertido en una prioridad para todas las empresas. Por ello, es importante que las organizaciones de todo tipo, ya sean grandes corporaciones o pymes, examinen su situación en cuanto a la protección de datos personales, pues están en juego factores como la confianza de los clientes o la competitividad.
¿Tengo que cumplir?
La normativa contempla la relación de este tratamiento con la vida privada, con los derechos y libertades fundamentales de cualquier ciudadano panameño frente a cualquier ente de índole público o privado, de personas naturales o jurídicas y con o sin ánimo de lucro que vayan a procesar datos de carácter personal según los términos fijados por esta nueva Ley. El Artículo 5, recoge que todas las bases de datos que contengan información de carácter personal, bien sea de nacionales o de extranjeros, que se encuentren dentro del territorio de la República de Panamá o cuyo responsable del tratamiento de esos datos esté domiciliado en el país, quedan sujetos a los preceptos legales establecidos en esta Ley.
¿Qué pasa si no cumplo?
Cualquier ciudadano panameño tiene derecho a presentar reclamaciones de forma individual o colectiva si considera que el tratamiento de sus datos personales vulnera lo establecido en la ley. También, al ser la privacidad un derecho fundamental, tendrá derecho a la tutela judicial efectiva y a la indemnización por los daños y perjuicios sufridos a consecuencia de una infracción. Las autoridades podrán investigar y corregir las infracciones. Para ello estarán en disposición de ordenar al responsable o al encargado que facilite información, lleve a cabo auditorías u obtenga acceso a los datos, locales y equipos.
Las sanciones por infracción podrán ir, desde advertencias si la infracción es posible, apercibimientos y limitaciones temporales, hasta prohibir el tratamiento, ordenar supresión de datos e imponer multas.
Recuerda: la protección de datos personales de tus clientes, usuarios, colaboradores o empleados según la Ley 81 no sólo sirve para evitar las sanciones, sino que es además un importante factor de competitividad y fidelización.
¿Cómo cumplo?
Para cumplir con la Ley 81 tienes que garantizar los derechos y libertades de las personas desde la misma definición del tratamiento de sus datos personales. Para ello:
Identifica: si haces tratamientos de alto riesgo, con datos especialmente protegidos o a gran escala. Si consideras que no son tratamientos de alto riesgo, deberás justificar tu decisión.
Garantiza: los derechos y libertades de los individuos con respecto a sus datos personales:
Informándoles: de forma visible, accesible, sencilla y transparente sobre el tratamiento de sus datos.
Consentimiento: obteniendo de ellos el consentimiento inequívoco o expreso según las categorías de datos del tratamiento; Recuerda: ya no es válido el consentimiento tácito, es decir basado en inacción u omisión. permitiéndoles ejercitar sus derechos de forma sencilla, transparente, y en los plazos previstos; notificándoles en caso de violaciones de seguridad que pudieran afectarles.
Evaluación de riesgos: para establecer las medidas técnicas y organizativas necesarias para garantizar el nivel de seguridad adecuado al riesgo existente.
Para comenzar con el análisis de riesgos de privacidad debemos:
- Identificar todas las fuentes de datos personales de nuestros tratamientos, catalogar todos los agentes responsables y los tipos de operaciones que se hacen con esos datos durante todo su ciclo de vida: captura, clasificación y almacenamiento, uso, cesión o transferencia y destrucción.
- Ser exhaustivos con los datos que se recogen: ¿dónde se almacenan?, ¿durante cuánto tiempo?, ¿en un fichero o en una base de datos?, ¿en qué equipos? ¿siguen los principios del tratamiento de la Ley 81?
- Hacer un diagrama de flujo de datos del tratamiento, es decir desde que se recogen hasta que se utilizan o desechan con las transformaciones intermedias.
- Priorizar, es decir, analizar en primer lugar a los agentes involucrados en el tratamiento y las acciones problemáticas sobre los datos, es decir, aquellas que pueden tener un efecto adverso sobre la privacidad de las personas.
Revisión a externos: revisa los contratos con los encargados de tratamiento de información, si contratas servicios externos que utilicen los datos personales de tus tratamientos. Establece un proceso de verificación, evaluación y valoración de la eficacia de las medidas técnicas y organizativas que hayas aplicado.
¿Tratamiento a nivel organizativo?
Gracias a la evaluación de riesgos conoceremos mejor los tratamientos y cómo proteger la privacidad durante los mismos. A nivel organizativo, si has determinado que realizas tratamientos de alto riesgo, tendrás que:
Llevar un Registro de actividad del tratamiento
Nombrar un DPD o Delegado de protección de datos.
Realizar un Análisis de impacto del tratamiento.
En cualquier caso, para todo tipo de tratamientos, a nivel organizativo tendrás que:
Adecuar tus procedimientos y canales para informar, recabar el consentimiento, permitir el ejercicio de los derechos y notificar en caso de brecha de seguridad que afecte a la privacidad.
Revisar los contratos con los encargados del tratamiento si los tuvieras.
Poner en marcha políticas para garantizar la seguridad de los tratamientos.
Formar y concienciar a todos los empleados que intervengan en los tratamientos. Utiliza los recursos de formación y el kit de concienciación.
¿Qué medidas tecnológicas se deben implementar?
La evaluación de riesgos servirá para priorizar también las medidas tecnológicas a implantar. Revisaremos que tenemos los canales tecnológicos, incluidos aquellos canales online (las políticas de privacidad web, las cookies, las apps para móviles), adecuados para: informar, obtener el consentimiento, garantizar los derechos y notificar las posibles brechas de seguridad.
El objetivo es controlar los datos personales en todo momento, garantizar los derechos a los usuarios y además poder demostrarlo. Utilizaremos herramientas tecnológicas que permitan:
Determinar dónde están ubicados los datos, clasificarlos según su criticidad, monitorizar su uso, conocer quién accede, cuando se borran y cifrarlos cuando sea necesario. Se pueden utilizar distintas soluciones de prevención de fuga de información.
Evitar accesos no autorizados y restringir el acceso a los datos aplicando principios de mínimos privilegios mediante sistemas de gestión de identidad y Autenticación.
Tener controlados todos los dispositivos y soportes con herramientas que nos permitan hacer inventarios de los mismos y del software instalado verificando a su vez que sea legítimo y esté actualizado.
Cifrar los datos, para lo cual se utilizarán herramientas de cifrado. Recuerda: el cifrado garantiza la confidencialidad y la integridad, reduce el riesgo de sanciones y evita que tengamos que informar a los usuarios en caso de brecha de seguridad.
Realizar backups mediante instrumentos específicos de contingencia y continuidad.
Instalar y activar herramientas anti-fraude y anti-malware.
Proteger las comunicaciones tanto por cable como inalámbricas con equipos específicos, y en particular con cortafuegos, para evitar que puedan estar accesibles a terceros no autorizados. Igualmente tendremos que asegurar las comunicaciones con redes privadas virtuales o VPN u otros mecanismos que las cifren y permitan autenticar a los extremos.
Todo ello para: garantizar la confidencialidad, integridad y disponibilidad de los tratamientos y datos personales; y permitir que las autoridades puedan verificarlo.
Estás listo para tener cumplir con la Ley 81 de Panamá
Escríbenos a cfarfan@cybernuvol.com
Nuvol México
Tel. +52 55 1478 1951
Correo: info@cybernuvol.com
Dirección: Edificio City, No 11B, Blvd Manuel Avila Camacho, No 3130, Tlalnepantla, C.P 54020, CDMX
Nuvol Panamá
Tel. +507 6318 7739
Correo: cfarfan@cybernuvol.com
Dirección: Ciudad del Saber, Clayton, Panamá
Nuvol Colombia
Tel. +57 301 634 1168
Correo: info@cybernuvol.com
Dirección: Oficina We Work, Piso 5, Carrera 7 #116-50, Bogotá 110221
#Ley81Panama #LeyprotecciondedatospersonalesPanama #confidencialidad #tratamientodedatos #ANTAI #cumplimiento #seguridadinformatica #cifradodedatos #ciberseguridadPanama #Ley81medidastecnologicas #Ley81Procesos #Delegadodeprotecciondedatos #ServiciosLey81 #acompañamiento #implementación