Ley 81 de Panamá: protección de datos personales
La Ley Nº 81 de Panamá, promulgada el 26 de marzo de 2019, establece el marco legal para la protección de datos de personas naturales tratados en territorio panameño. Define los derechos de los titulares y las obligaciones de los controladores de datos, convirtiéndose en el referente normativo que toda empresa u organización que maneje datos de ciudadanos panameños debe conocer y cumplir.
¿Qué es la Ley Nº 81 de Panamá?
La Ley Nº 81 de 26-03-2019 protege los datos de personas naturales que son tratados en Panamá, independientemente de que el controlador esté domiciliado dentro o fuera del país. Establece los derechos de los titulares —acceso, rectificación, cancelación y oposición— y define las obligaciones que los controladores de datos deben cumplir para garantizar un tratamiento lícito, leal y transparente.
Entre los principios que sustenta la ley se encuentran la finalidad del tratamiento, la proporcionalidad en la recopilación de datos, la seguridad en el almacenamiento y la confidencialidad frente a terceros no autorizados. Las empresas que procesan datos de personas naturales en Panamá deben contar con bases legales para el tratamiento, respetar los plazos de conservación y atender oportunamente las solicitudes de ejercicio de derechos.
El incumplimiento de las obligaciones establecidas puede acarrear sanciones administrativas. Implementar una cultura de ciberseguridad sólida dentro de la organización es un paso indispensable para garantizar el cumplimiento continuo de la ley, ya que la protección de datos no es un proyecto puntual sino un proceso permanente.
Prioridades Estratégicas SBP 2024–2026
La Superintendencia de Bancos de Panamá (SBP) ha definido cuatro prioridades estratégicas para el período 2024–2026 que refuerzan el entorno normativo de la Ley 81 en el sector financiero:
- Fortalecimiento de la ciberseguridad: elevar las capacidades de defensa digital de las entidades supervisadas frente a amenazas cada vez más sofisticadas.
- Consolidación de capacidades SupTech: adoptar tecnología supervisora para mejorar la detección temprana de riesgos y la eficiencia regulatoria.
- Preservación de la confianza en el Centro Bancario Internacional: mantener la estabilidad y reputación del sistema financiero panameño como referente regional.
- Garantía de resiliencia del sistema financiero: asegurar que las entidades puedan responder y recuperarse ante incidentes de seguridad sin afectar la continuidad de los servicios.
Estas prioridades impactan directamente a cualquier empresa del sector financiero que opere en Panamá y que gestione datos personales de sus clientes. La ciberseguridad deja de ser opcional y se convierte en un requisito estratégico alineado con los objetivos supervisores de la SBP.
Acuerdo inter-institucional para ciberseguridad
Panamá ha formalizado un acuerdo inter-institucional de ciberseguridad entre la Superintendencia de Bancos y la Autoridad de Innovación Gubernamental (AIG). Este acuerdo tiene tres objetivos principales:
- Expansión de fuentes de información: integrar más fuentes de inteligencia de amenazas para enriquecer la visibilidad sobre el panorama de riesgos cibernéticos que enfrentan las entidades financieras.
- Identificación oportuna de riesgos y vulnerabilidades: establecer mecanismos de detección temprana que permitan anticipar incidentes antes de que se materialicen en brechas de seguridad.
- Mejora del intercambio de información sobre incidentes de seguridad digital: crear canales de comunicación formales entre instituciones para compartir información sobre amenazas y respuestas de forma oportuna y coordinada.
Este acuerdo refuerza la necesidad de que las organizaciones que operan en Panamá cuenten con procesos de gestión de vulnerabilidades maduros, capaces de alimentar con datos reales los mecanismos de intercambio de información que la SBP y la AIG están construyendo.
Qué deben cumplir las empresas que operan en Panamá
Las organizaciones que tratan datos de personas naturales en Panamá deben atender al menos los siguientes puntos derivados de la Ley 81:
- Identificar y documentar todas las bases legales bajo las cuales procesan datos personales.
- Implementar medidas técnicas y organizativas de seguridad proporcionales al riesgo del tratamiento.
- Establecer procedimientos internos para atender solicitudes de acceso, rectificación, cancelación u oposición dentro de los plazos legales.
- Notificar a las autoridades competentes en caso de violaciones de seguridad que comprometan datos personales.
- Revisar contratos con proveedores que actúen como encargados del tratamiento para garantizar que cumplan con las mismas obligaciones de protección.
Para el sector financiero, estas obligaciones se superponen con los requerimientos de la SBP, que exige alineación con sus prioridades estratégicas y con los mecanismos inter-institucionales de ciberseguridad. El NIST Cybersecurity Framework proporciona una estructura reconocida internacionalmente que facilita la alineación con estos requerimientos regulatorios.
Para las entidades del sector financiero, la Ley 81 se complementa con los acuerdos específicos de la SBP. El Acuerdo SBP 001-2022 detalla las obligaciones de protección de datos personales y notificación de violaciones de seguridad que aplican a los bancos panameños.
¿Tu organización opera en Panamá y necesita alinear sus controles de seguridad con la Ley 81 y las directrices de la SBP? Contáctanos para conocer cómo podemos acompañarte en el proceso de cumplimiento desde una perspectiva técnica y operativa.