Multas de hasta B/.100,000 por Datos Personales en Panamá (Ley 81)
Si tu empresa en Panamá maneja datos de clientes —nombre, cédula, correo, teléfono, historial de compras o cualquier información que identifique a una persona— estás sujeto a la Ley 81 de 2019 de Protección de Datos Personales. Y desde 2024, la Autoridad Nacional de Transparencia y Acceso a la Información (ANTAI) comenzó a aplicar sanciones que pueden alcanzar los B/.100,000.00 por infracción.
Este no es un tema solo para abogados o grandes corporaciones. Cualquier negocio panameño —desde una tienda de ropa con base de datos de clientes hasta un consultorio médico con expedientes digitales— debe cumplir con esta ley o enfrentarse a multas significativas, daño reputacional y pérdida de confianza de sus clientes.
🚨 Alerta: Multas Activas desde 2024
La ANTAI ya está sancionando empresas. Estos son los rangos de multas vigentes:
- ⚠️ Infracciones Leves: De B/.1,000 a B/.10,000
- ⚠️ Infracciones Graves: De B/.10,001 a B/.50,000
- 🔴 Infracciones Muy Graves: De B/.50,001 a B/.100,000
¿Qué es la Ley 81 de 2019 y por qué te afecta?
La Ley 81 del 26 de marzo de 2019 establece los principios, derechos, obligaciones y procedimientos para la protección de datos personales en Panamá. Fue inspirada en regulaciones internacionales como el GDPR europeo y busca garantizar que los ciudadanos tengan control sobre su información personal.
La ley aplica a:
- Toda empresa que recopile, almacene o procese datos personales de personas en Panamá
- Bases de datos físicas y digitales (Excel, CRM, sistemas de facturación, etc.)
- Empresas extranjeras que ofrezcan bienes o servicios a personas en territorio panameño
- Profesionales independientes (médicos, abogados, contadores) con archivos de clientes
📋 ¿Qué son "Datos Personales"?
Cualquier información que identifique o pueda identificar a una persona física:
- • Nombre completo
- • Cédula de identidad
- • Dirección física
- • Correo electrónico
- • Número de teléfono
- • Fotografías
- • Datos bancarios
- • Historial médico
- • Geolocalización
- • IP y cookies
Tipos de Infracciones y Sus Multas
La ley clasifica las infracciones en tres categorías, cada una con su rango de sanciones económicas:
Infracciones Leves (B/.1,000 - B/.10,000)
- ▸ No atender solicitudes de acceso, rectificación o cancelación de datos en tiempo y forma
- ▸ No informar al titular sobre el tratamiento de sus datos cuando lo solicite
- ▸ Recopilar datos sin informar claramente sobre su uso
- ▸ No mantener actualizada la información de contacto del responsable de datos
Infracciones Graves (B/.10,001 - B/.50,000)
- ▸ Tratar datos personales sin el consentimiento del titular
- ▸ No implementar medidas de seguridad adecuadas para proteger los datos
- ▸ Transferir datos a terceros sin autorización del titular
- ▸ No notificar brechas de seguridad a la ANTAI y a los afectados
- ▸ Reincidencia en infracciones leves
Infracciones Muy Graves (B/.50,001 - B/.100,000)
- ▸ Tratar datos sensibles sin consentimiento expreso (salud, religión, orientación sexual, afiliación política, datos biométricos)
- ▸ Crear bases de datos con información obtenida de manera ilícita o fraudulenta
- ▸ Transferir datos personales a países sin nivel adecuado de protección sin garantías
- ▸ Obstruir las investigaciones de la ANTAI
- ▸ Reincidencia en infracciones graves
💡 Ejemplo Real de Riesgo
Imagina que tu tienda online sufre un hackeo y se filtran los datos de 5,000 clientes (nombres, correos, direcciones). Si no tenías medidas de seguridad adecuadas Y no notificaste a la ANTAI dentro de las 72 horas, podrías enfrentar una multa de hasta B/.50,000 por la falta de seguridad, más otra multa por no notificar. Total potencial: B/.100,000.
Los 8 Derechos que Tus Clientes Pueden Exigir (ARCO+)
La Ley 81 otorga a los ciudadanos panameños derechos específicos sobre sus datos. Tu empresa debe tener mecanismos para atenderlos:
Acceso
El cliente puede solicitar saber qué datos tienes de él y cómo los usas.
Rectificación
Puede pedir que corrijas datos inexactos o incompletos.
Cancelación
Puede solicitar que elimines sus datos cuando ya no sean necesarios.
Oposición
Puede oponerse al tratamiento de sus datos para fines específicos (ej: marketing).
Portabilidad
Puede solicitar sus datos en formato estructurado para llevarlos a otro proveedor.
Limitación
Puede pedir que limites el uso de sus datos mientras se resuelve una disputa.
⏰ Tiempo de Respuesta: Tienes 10 días hábiles para responder a cualquier solicitud ARCO. No hacerlo es una infracción leve (hasta B/.10,000).
Checklist: ¿Tu Empresa Cumple con la Ley 81?
Usa esta lista para evaluar tu nivel de cumplimiento actual:
📝 Evaluación Rápida de Cumplimiento
¿Tienes una Política de Privacidad publicada y accesible?
Debe estar en tu sitio web, contratos y formularios
¿Obtienes consentimiento explícito antes de recopilar datos?
Checkbox, firma o aceptación clara (no casillas pre-marcadas)
¿Tienes un proceso para atender solicitudes ARCO?
Correo dedicado, formulario o procedimiento documentado
¿Tus bases de datos están protegidas con medidas de seguridad?
Cifrado, contraseñas seguras, acceso restringido, backups
¿Has designado un Responsable de Protección de Datos?
Obligatorio si manejas datos sensibles o gran volumen
¿Tienes un plan de respuesta ante brechas de seguridad?
Notificación a ANTAI en 72 horas + aviso a afectados
¿Tus empleados están capacitados en protección de datos?
Conocen qué pueden y qué no pueden hacer con la información
¿Eliminas datos cuando ya no son necesarios?
Política de retención definida y ejecutada
Resultados:
- ✅ 7-8 marcados: Buen nivel de cumplimiento
- ⚠️ 4-6 marcados: Riesgo moderado, actúa pronto
- 🔴 0-3 marcados: Alto riesgo de multas
¿Necesitas ayuda para cumplir con la Ley 81?
En Xerberuz podemos ayudarte a implementar las medidas técnicas necesarias: sistemas seguros de gestión de datos, formularios de consentimiento, políticas de privacidad para tu sitio web y automatizaciones para gestionar solicitudes ARCO.
Medidas Técnicas Mínimas que Debes Implementar
La ley exige implementar medidas de seguridad "apropiadas". Aunque no especifica tecnologías exactas, estas son las prácticas estándar que deberías tener:
Cifrado de Datos
Bases de datos cifradas en reposo y en tránsito (HTTPS obligatorio). Usa algoritmos modernos como AES-256.
Control de Acceso
Solo personal autorizado accede a datos personales. Implementa roles y permisos, autenticación de dos factores (2FA).
Registros de Auditoría
Logs de quién accedió a qué datos y cuándo. Esencial para demostrar cumplimiento ante una inspección.
Backups Seguros
Copias de seguridad cifradas y almacenadas en ubicación separada. Prueba regularmente la restauración.
Firewall y Antivirus
Protección perimetral actualizada. Si usas servicios cloud (AWS, Google Cloud), aprovecha sus herramientas de seguridad.
Eliminación Segura
Proceso para borrar datos de forma irrecuperable cuando ya no son necesarios o el cliente lo solicita.
Sectores con Mayor Riesgo en Panamá
Algunos sectores manejan datos más sensibles y están bajo mayor escrutinio:
| Sector | Datos que Manejan | Nivel de Riesgo |
|---|---|---|
| 🏥 Salud | Historial médico, diagnósticos, tratamientos | MUY ALTO |
| 🏦 Financiero | Cuentas bancarias, ingresos, deudas | MUY ALTO |
| ⚖️ Legal | Casos judiciales, antecedentes, documentos | MUY ALTO |
| 🎓 Educación | Expedientes de menores, calificaciones | ALTO |
| 🛒 E-commerce | Direcciones, tarjetas, historial de compras | ALTO |
| 🏨 Hotelería | Pasaportes, preferencias, tarjetas | MODERADO |
| 🍽️ Restaurantes | Reservas, contactos, preferencias | MODERADO |
Pasos Inmediatos para Proteger tu Empresa
Si aún no has tomado acción, estos son los pasos prioritarios:
Realiza un Inventario de Datos
Identifica qué datos personales recopilas, dónde los almacenas, quién tiene acceso y para qué los usas. No puedes proteger lo que no conoces.
Actualiza tu Política de Privacidad
Debe explicar claramente qué datos recopilas, para qué, con quién los compartes, y cómo pueden ejercer sus derechos ARCO.
Implementa Consentimiento Explícito
En todos tus formularios web, contratos y puntos de recolección de datos. El silencio NO es consentimiento.
Fortalece la Seguridad Técnica
Cifrado, contraseñas fuertes, 2FA, actualizaciones de software. Un solo punto débil puede costarte B/.100,000.
Capacita a tu Equipo
El error humano es la principal causa de brechas. Todos deben saber qué pueden y qué no pueden hacer con los datos de clientes.
Crea un Plan de Respuesta a Incidentes
¿Qué harás si hay una brecha? Tienes 72 horas para notificar a la ANTAI. Ten el proceso documentado.
Preguntas Frecuentes
¿Mi pequeño negocio también debe cumplir?
Sí. La Ley 81 aplica a cualquier persona natural o jurídica que trate datos personales, sin importar el tamaño. Una tienda pequeña con una lista de clientes en Excel debe cumplir igual que un banco.
¿Qué pasa si uso servicios en la nube como Gmail o Dropbox?
Tú sigues siendo responsable de los datos. Debes asegurarte de que el proveedor cumpla con estándares de seguridad adecuados y, si está fuera de Panamá, que el país tenga nivel adecuado de protección o existan garantías contractuales.
¿Puedo enviar emails de marketing a mis clientes?
Solo si tienes su consentimiento explícito para recibir comunicaciones comerciales. Además, deben poder darse de baja fácilmente (link de "unsubscribe" obligatorio).
¿Cuánto tiempo puedo guardar los datos?
Solo mientras sean necesarios para el fin para el que fueron recopilados, o mientras exista obligación legal (ej: facturas por 5 años según el Código Fiscal). Después, deben eliminarse.
¿Qué hago si un cliente me pide eliminar sus datos?
Tienes 10 días hábiles para responder. Debes eliminar sus datos de todos tus sistemas, salvo que exista una obligación legal que te permita conservarlos (ej: datos fiscales).
Conclusión: La Protección de Datos Ya No Es Opcional
La Ley 81 de Panamá dejó de ser teoría. Con la ANTAI activamente fiscalizando y multas que pueden alcanzar los B/.100,000, proteger los datos personales de tus clientes ya no es un "nice to have" —es una obligación legal con consecuencias financieras reales.
Pero más allá de evitar multas, cumplir con la protección de datos es una ventaja competitiva. Los clientes panameños están cada vez más conscientes de su privacidad. Demostrar que tu empresa toma en serio la protección de su información genera confianza y diferenciación.
El primer paso es conocer tu situación actual. Revisa el checklist de este artículo, identifica tus brechas y comienza a cerrarlas. Si necesitas ayuda técnica para implementar sistemas seguros, automatizar procesos de cumplimiento o actualizar tu infraestructura digital, estamos aquí para ayudarte.
Protege tu Empresa Antes de que Sea Tarde
No esperes a recibir una notificación de la ANTAI. Conversemos sobre cómo podemos ayudarte a implementar las medidas técnicas necesarias para cumplir con la Ley 81.
📚 Referencias y Fuentes
- • Ley 81 de 26 de marzo de 2019 - Gaceta Oficial de Panamá
- • Autoridad Nacional de Transparencia y Acceso a la Información (ANTAI)
- • Decreto Ejecutivo No. 285 de 28 de mayo de 2021 (Reglamento de la Ley 81)
Nota: Este artículo es informativo y no constituye asesoría legal. Para casos específicos, consulta con un abogado especializado en protección de datos.
