Story Transcript
Panamá, 7 de agosto de 2016.
Licenciada Angélica Maytín Justiniani Directora Nacional Autoridad Nacional de Transparencia y Acceso a la Información (ANTAI) Ciudad
Referencia: APORTES AL PROYECTO DE LEY DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL. Señora Administradora: La Asociación Panameña de Derecho de Nuevas Tecnología (APANDETEC), Asociación sin fines de lucro, con personería jurídica reconocida por el Ministerio de Gobierno y Justicia, debidamente inscrita en el Registro Público de Panamá a ficha C-19268, documento 443090, desde el 7 de marzo de 2003, conformada por profesionales especialistas en Derecho y las Nuevas Tecnologías, con el fin de contribuir al desarrollo e implementación de legislación concerniente a las tecnologías de la información y comunicación aplicadas a temas sensitivos y necesarios para el desarrollo socio-económico del país; por este medio hace formal entrega de sus aportes, sugerencias de cambios y anotaciones justificantes, al documento contentivo del anteproyecto de Ley de Protección de Datos de Carácter Personal promovido por la Autoridad Nacional de Transparencia y Acceso a la Información (ANTAI) y la Autoridad de Innovación Gubernamental (AIG). Consideramos de importancia destacar, que APANDETEC trabajó, en la discusión y revisión del proyecto de ley en mención, conjuntamente con la Comisión de Regulación e Investigación del Cibercrimen del Colegio Nacional de Abogados; al tiempo que recibimos aportes y sugerencias de profesionales del ramo, reconocidos en la región, miembros de la Federación
Iberoamericana de Asociaciones de Derecho en Informática, federación que aglutina abogados de Latinoamérica, España y Portugal. En consecuencia, tomando como base el proyecto presentado y buscando un eficiente desarrollo de la legislación y reglamentación técnica sobre la materia, APANDETEC toma la iniciativa de presentar, para consideración de ANTAI, AIG y la sociedad civil, un documento en el que, además de revisar y adecuar a la realidad nacional los artículos de la propuesta original, se ha incluido todo el tema concerniente a Almacenamiento Tecnológico, hasta la fecha regulado por la Ley No. 51 de 22 de julio de 2008, considerando que es materia de pertenencia a esta ley, y por consiguiente, debe ser sustraído de aquel cuerpo legal y ser incorporado en esta propuesta legislativa sobre la Protección de Datos de Carácter Personal; al igual que incluimos un capítulo contentivo de las infracciones y sanciones, ya que en cumplimiento a los principios del debido proceso, no puede imponerse sanción sin ley previa que determine la infracción. Es oportuno mencionar que, para presentar una propuesta viable y en perfecta armonía con el resto de la legislación vigente, se realizaron revisiones a otras leyes especiales que pudiesen tener algún tipo de relación con los temas abordado por este anteproyecto de ley, entre ellas:
Ley No. 51 de 22 de julio de 2008, Que define y regula los documentos electrónicos y las firmas electrónicas y la prestación de servicios de almacenamiento tecnológico de documentos y de certificación de firmas electrónicas y adopta otras disposiciones para el desarrollo del comercio electrónico, modificada por la Ley 82 de 9 de noviembre de 2012. Ley 83 de 9 de noviembre de 2012 Que regula el uso de medios electrónicos para los trámites gubernamentales y modifica la Ley 65 de 2009, que crea la Autoridad Nacional de Innovación Gubernamental. Ley N° 51 de 18 de Septiembre de 2009 que dicta Normas para la Conservación, la Protección y el Suministro de Datos de Usuarios de los Servicios de Telecomunicaciones y adopta otras disposiciones. Ley N° 68 de 20 de noviembre de 2003 Que regula los derechos y obligaciones de los pacientes, en materia de información y de decisión libre e informada. Decreto Ejecutivo Nº 1458 de 6 de noviembre de 2012, que reglamenta la Ley No. 68 de 2003, antes citada. Ley No. 14, de 13 de abril de 2010, Que dicta medidas sobre Certificado de Información de Antecedentes Personales
Ley No. 24, de 22 de mayo de 2002, Que regula el servicio de información sobre historial de crédito de consumidores o clientes.
Como mencionamos en párrafos anteriores, el presente documento incluye la propuesta original presentada por la ANTAI y los temas aportados por APANDETEC. Para una mejor compresión de nuestra propuesta y para facilitar la localización del texto original, en distinción con los aportes presentados por APANDETEC; se indica, posterior a la numeración de cada artículo, si se trata de una modificación a un artículo existente o de la inclusión de un artículo nuevo, lo cual distinguimos en color rojo; al tiempo que hacemos anotaciones marginales a temas especiales. Esperamos que este aporte de APANDETEC a la discusión del tema de la protección de datos personales, sea acogido como punto partida para crear un marco legislativo integral en un tema de tanta importancia en la actualidad y que, a la fecha, representa una asignatura pendiente de nuestro país, incluyendo la adecuación de las normativas a la nueva realidad de la Tecnologías de la Información y la Comunicación. Quedamos a su disposición como Asociación para solventar cualquier duda o consulta, respecto del documentos remitido; y colaborar, en caso de requerirlo, con el equipo de profesionales que pertenecen a nuestro gremio, para continuar la discusión, revisión y redacción del anteproyecto que será presentado para discusión en la Asamblea Nacional. Atentamente,
Lic. Katiuska Hull Secretaria de la Junta Directiva APANDETEC
PROYECTO DE LEY QUE REGULA EL ALMACENAMIENTO TECNOLOGICO Y LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL
Capítulo I Disposiciones Generales Artículo 1. El tratamiento de los datos de carácter personal, en registros o bancos de datos que se realicen por personas naturales o jurídicas, de derecho público o privado, lucrativas o no, se sujetarán a las disposiciones de esta Ley, así como el proceso de registro y la fiscalización de los prestadores de servicios de almacenamiento tecnológico de documentos. El tratamiento y almacenamiento de datos personales se realizará bajo los principios de Legalidad; Confidencialidad; Relevancia; Caducidad de la información; Circulación restringida de la información; Utilidad y Comunicación previa de la información.
Artículo 2: (Antes 3) Para los efectos de esta Ley se entenderá por: 1. Almacenamiento de datos: Conservación o custodia de datos en un registro o repositorio de datos. 2. Banco, Registro, Base o Repositorio de Datos Personales: Conjunto ordenado de datos personales referentes a una persona identificada o identificable, cualquiera que sea la forma o modalidad de su creación u organización, que permita relacionar los datos entre sí, así como realizar todo tipo de tratamiento de los mismos. El banco, registro, base o repositorio de datos, donde reposen los datos personales, podrán ser de personas naturales o jurídicas, de derecho público o privado, lucrativas o no. 3. Bloqueo de datos: Suspensión temporal de cualquier operación de tratamiento de los datos almacenados. 4. Comunicación o transferencia de datos: Dar a conocer de cualquier forma los datos de carácter personal a personas naturales o jurídicas distintas del titular, sean determinadas o indeterminadas. 5. Consentimiento: Manifestación de la voluntad del titular de los datos mediante la cual se efectúa el tratamiento de los mismos.
Comentario [T1]: En Opinion de APANDETEC posterior al artículo de ambito de aplicación, debe ir el articulo de definiciones para la comprension de la redacción del documento completo
6. Custodio de datos: Persona natural o jurídica, de derecho público o privado, lucrativa o no, a quien compete el resguardo y conservación del banco de datos, por encargo del Responsable del Tratamiento. 7. Transmisión de datos: Exportación de los datos recolectados y almacenados de un punto a otro, intra o extra fronterizo fuera de la base de dato o repositorio de tratamiento original o primario. 8. Dato caduco: Dato que ha perdido actualidad por disposición de la Ley, por el cumplimiento de la condición o la expiración del plazo señalado para su vigencia o, si no hubiese norma expresa, por el cambio de los hechos o circunstancias que consigna. 9. Datos de acceso restringido o confidencial: Datos personales bajo responsabilidad de una persona natural o jurídica, de derecho público o privado, lucrativa o no, cuyo tratamiento será permitido para fines de la administración pública o si se cuenta con el consentimiento expreso del titular, sin perjuicio de lo dispuesto por el Capítulo V “Información Confidencial y de Acceso Restringido” contenido en la Ley 6 de 22 de enero de 2002 “Que dicta normas para la Transparencia en la Gestión Pública, establece la acción de Hábeas Data y dicta otras disposiciones”. 10. Datos de importancia crítica estatal: Información vinculada en su conjunto con los datos personales de todo ciudadano en poder de una entidad estatal, que sean de vital importancia para el funcionamiento del Estado en cualquiera de sus niveles de gobierno. 11. Dato personal disociado: Aquel dato personal que no puede asociarse al titular ni permitir, por su estructura, contenido o grado de desagregación, la identificación del mismo.
Comentario [T2]: Consideramos que aqui no se aporta una definición en si, solo se hace referencia a una consideración de otra Ley. Adicional en el contexto que se referencia esta mal, porque en esta definición se equipara a sinónimo por la “o”, mientras que la ley, si les da caracterización distinta al inidcar “y” . Por último, redacción legislativa no debe hacerse referencia a una ley, a menos que no sea para indicar una modificación o derogación como consecuencia de una nueva normativa, ya que si se usa solo como referencia, quedará caduca en el evento que la ley modificada sea derogada o modificada en sí misma. Comentario [KH3]: En consideración de APANDETEC debe buscarse una mejor definicion, porque la frase “ vital importancia” queda a interpretación subjetiva.
12. Dato personal anónimo: Dato personal disociado, recolectado sin nexo con una persona identificada o identificable que consecuentemente no pueden trazarse su procedencia u origen por lo que imposible establecer, por medios razonables, el nexo entre el mismo y el sujeto al que se refiere. 13. Datos de carácter personal o datos personales: Relativos a cualquier información concerniente a personas naturales, que las identifica o las hace identificables; contenidas en Bases o Bancos de Datos de personas naturales o jurídicas, con fines de lucro o no. 14. Datos sensibles: Aquellos datos personales que se refieren a las características físicas o morales de las personas o a hechos o circunstancias de su vida privada o intimidad, tales como los hábitos personales, el origen racial, las ideologías y opiniones políticas, las
Comentario [KH4]: En consideración de APANDETEC en el cuerpo legal debe haber una consistencia en la utilización de los términos. Debe usarse usa una u otra denominación.
creencias o convicciones religiosas, los estados de salud físicos o psíquicos y la vida sexual. 15. (NUEVO) Declaración de prácticas de almacenamiento tecnológico. Manifestación que hace un prestador de servicios de almacenamiento tecnológico de documentos, con el fin de definir los criterios que utiliza para generar y/o almacenar documentos electrónicos, los servicios que ofrece y sus limitaciones, así como las obligaciones que se compromete a cumplir en relación con la gestión de los documentos tecnológicamente almacenados 16. Eliminación o cancelación de datos: Destrucción de datos almacenados en registros o bancos de datos, cualquiera fuere el procedimiento empleado para ello. 17. Fuentes accesibles al público: Registros o recopilaciones de datos personales, públicos o privados, de acceso no restringido o reservado a los solicitantes. 18. Modificación de datos: Todo cambio en el contenido de los datos almacenados en registros o bancos de datos. 19. Organismos públicos: Personas jurídicas de derecho público, descritas y reguladas por la Constitución Política de la República. 20. Procedimiento de disociación de datos: Todo tratamiento de datos personales que impide que la información que se obtenga pueda asociarse a persona natural determinada o determinable. 21. Responsable del registro o banco de datos: Persona natural o jurídica, de derecho público o privado, lucrativa o no, a quien compete las decisiones relacionadas con el tratamiento de los datos de carácter personal. 22. Titular de los datos: Persona natural a la que se refieren los datos de carácter personal. 23. Tratamiento de datos: Cualquier operación o complejo de operaciones o procedimientos técnicos, de carácter automatizado o no, que permitan recolectar, almacenar, grabar, organizar, elaborar, seleccionar, extraer, confrontar, interconectar, disociar, comunicar, ceder, transferir, transmitir o cancelar datos de carácter personal, o utilizarlos en cualquier otra forma.
Artículo 3. (Antes párrafo 2, art. 1) Toda persona puede efectuar el tratamiento y el almacenamiento de datos personales, siempre que lo haga de manera concordante con esta Ley y para los fines permitidos en el ordenamiento jurídico. En todo caso deberá respetar el
pleno ejercicio de los derechos fundamentales de los titulares de los datos y de las facultades que esta la Ley les reconoce.
Artículo 4. (Antes 2) Las bases de datos y los repositorios que se encuentren en el territorio de la República de Panamá, que alojen datos personales, quedan sujetos a las normas establecidas en la presente Ley, y demás Leyes de la República de Panamá, al igual que toda reglamentación técnica que expida la autoridad competente.
Artículo 5. (Antes párrafos 2 y 3, art. 2) Las entidades de derecho público, así como aquellas que siendo de carácter privado tengan bases de datos y/o repositorios que contengan datos de importancia crítica estatal, deberán mantener dicha información dentro de los límites de la República de Panamá y serán únicamente sujetos a la legislación panameña. Toda organización de carácter público, o privado, que tenga información crítica estatal y/o información sensitiva sobre personas, naturales o jurídicas, deberá proporcionar los niveles de protección y seguridad adecuados en el tratamiento, almacenamiento, transmisión y transferencia de dichos datos. Las transferencias de datos personales de naturaleza confidencial, sensibles, o restringidos, sólo serán posibles con empresas responsables de bases de datos y/o repositorios, o custodios de los mismos, en países que tengan estándares de protección sustancialmente comparables a los de la presente Ley.
Artículo 6. (Antes 4. Nota: se invirtió la posición de los párrafos para mejor comprensión) El titular tiene el derecho a que sus datos personales no sean utilizados con fines de publicidad, mercadeo, investigación o encuestas, y podrá oponerse al uso no autorizado de sus datos personales, con las consecuentes responsabilidades civiles y penales. En toda recolección de datos personales realizada a través de encuestas, estudios de mercado o sondeos de opinión pública u otros instrumentos semejantes, sin perjuicio de los demás derechos y obligaciones que esta Ley regula, se deberá informar a las personas del carácter no obligatorio o facultativo de las respuestas y el propósito para el cual se está solicitando la información. La comunicación de sus resultados debe omitir las señas que puedan permitir la identificación de las personas consultadas.
Comentario [KH5]: En consideración de APANDETEC debe utilizarse “la Ley” y no ésta ley, ya que existen otras leyes que regulan sobre la materia y se estaría abstrayendo las otras normativas legales.
Comentario [KH6]: En Consideracion de APANDETEC, debe incluirse un articulo sobre la base de datos en la nube. En este sentido lo que se busca no es normar sobre la jurisdicion de la base de datos sino del control de la informacion de la base de datos (responsable del registro o banco de datos, si el mismo tiene presencia jurídica en Panamá)
Comentario [KH7]: En consideración de APANDETEC, esta equivalencia procede en cuanto a Firma Electrónica, pero en el tema que nos ocupa, el estandar para el intercambio de información debe fundamentarse en un tratado o convenio de intercambio de información con el pais. Como referencia se puede ver el tema de procedimiento para el intercambio de informacion tributaria
Artículo 7. (Antes 5) El uso o tratamiento de los datos personales sólo puede efectuarse cuando esta Ley u otras disposiciones legales lo autoricen o el titular consienta de manera previa, inequívoca y expresamente en ello. La persona que autoriza, debe ser debidamente informada respecto del propósito del almacenamiento de sus datos personales y su posible uso. La autorización debe constar por escrito y la misma puede ser revocada, aunque sin efecto retroactivo, lo que también deberá hacerse por escrito. En los casos en que exista recolección o tratamiento de datos personales de menores de edad, el consentimiento debe ser entregado por la persona que ejerce la patria potestad o tutela; y en todo caso, la información deberá ser tratada como dato confidencial, sin perjuicio de lo dispuesto en leyes especiales.
Comentario [T8]: Es importante distinguir que puede existir tratamiento único o tratamiento variado de la información. Por lo que se debe establecer claramente los fines para la recolección o el tratamiento de los datos personales, explicado con antelación en el caso que se den estos supuestos.
Las personas jurídicas privadas que por su actividad recolecten y/o almacenen datos personales para su el uso exclusivo, de sus asociados y de las entidades a que están afiliadas, con fines estadísticos, de tarificación u otros fines determinados en las leyes especiales que regulen su actividad, al momento de solicitar los datos personales deberán indicar el uso específico y tratamiento que recibirán dichos datos. En los supuestos contemplados en el presente artículo, el titular de los datos podrá ejercer el derecho de acceso sin cargo alguno. Igualmente el titular de un dato o sus herederos, en caso que el titular del dato haya fallecido, podrán en cualquier momento, solicitar la modificación, eliminación o bloqueo de sus datos personales de los repositorios de datos a los que se refiere el presente artículo. Las entidades privadas a que se refieren este artículo tendrán, accesibles al público, manuales de procedimientos en los que se establezcan claramente los procedimientos para que los titulares de los datos puedan ejercer el derecho de acceso, modificación, eliminación o bloqueo de sus datos personales.
Artículo 8. (Antes párrafo 2, art. 5) No se requerirá autorización para recolectar datos personales que provengan de fuentes accesibles al público, pero su uso, tratamiento y almacenamiento sí requerirá del permiso de los titulares de dichos datos, salvo aquellos que se contengan en listados relativos a una categoría de personas que se limiten a indicar antecedentes tales como la pertenencia del individuo a ese grupo, su profesión o actividad, sus títulos educativos, dirección o fecha de nacimiento, con fines estadísticos. Tampoco se requerirá autorización para recolectar datos personales en aquellos casos en que los datos se recojan para el ejercicio de las funciones propias de la Administración Pública en el ámbito de sus competencias.
Comentario [T9]: Establecer los procedimientos para hacer efectivos los derechos de modificación, eliminación o bloqueo de los datos personales, que obren en poder tanto de personas naturales o jurídicas, del sector privado como público. Toda vez que el Proyecto de Ley establece que a petición de parte podrá solicitarse la eliminación o cancelación de los datos personales, así como su modificación, pero es omisa en relación a establecer el procedimiento para su realización.
Artículo 9. (Antes 6) El responsable del registro, repositorio o base de datos personales podrá establecer un procedimiento automatizado de transmisión, siempre que se protejan los derechos de los titulares y la transmisión guarde relación con las tareas y finalidades de los organismos participantes. El procedimiento automatizado de transmisión deberá cumplir con requisitos mínimos establecidos por la Autoridad de Transparencia y Acceso a la Información (ANTAI) para ser aprobado previamente a su utilización. La Autoridad de Transparencia y Acceso a la Información (ANTAI), en coordinación con la Autoridad Nacional para la Innovación Gubernamental (AIG), fiscalizarán el cumplimiento de esta disposición.
Artículo 10. (Antes párrafos 3, 4 y 5, art. 6) Todo requerimiento de datos personales ante un responsable de un repositorio o banco de datos deberá, al menos contener: a) La individualización del requirente. b) El motivo y el propósito del requerimiento. c) Los datos que se requiere que sean transmitidos. d) El tiempo máximos que el requirente utilizará los datos y la forma como serán destruidos una vez terminado su uso. La admisibilidad del requerimiento será evaluada por quien sea responsable de la base de datos que recibe la solicitud, quien podrá negar el acceso a los datos solicitados. La responsabilidad por el uso de los datos obtenidos por dicha petición sólo será responsable de quien haya hecho la petición, salvo que se demuestre que el custodio o responsable de dichos datos no actuó con la diligencia de un buen padre de familia. Quien haya requerido los datos sólo podrá utilizar los datos personales para los fines que motivaron la transmisión. No se aplicará lo dispuesto en este artículo, cuando se trate de datos personales que sean de acceso público en general. Esta disposición tampoco es aplicable cuando se transmiten datos personales a organizaciones internacionales, en cumplimiento de lo dispuesto en los tratados y convenios vigentes ratificados por la República de Panamá.
Comentario [KH10]: En consideración de APANDETEC, debe contemplarse un protocolo de transmisión de datos, los cuales debe establecerse en los reglamentos tecnicos que deben crearse en función de la presentre ley.
Artículo 11. (Antes 7) De oficio o a petición de parte, deberán ser eliminados o cancelados los datos personales, cuando su almacenamiento carezca de fundamento legal o cuando hayan caducado. Los datos deberán ser modificados cuando sean erróneos, inexactos, equívocos o incompletos, dentro de las 48 horas hábiles siguientes a la solicitud de modificación. Quien sea responsable del banco o repositorio de datos y/o de la base de datos personales podrá proceder a la eliminación, modificación o bloqueo de los datos, en su caso, sin necesidad de requerimiento del titular, cuando tenga pruebas de la inexactitud de dichos datos. Se bloquearán los datos personales cuya exactitud no pueda ser establecida o cuya vigencia sea dudosa y respecto de los cuales no corresponda la cancelación.
Artículo 12. (Antes 8) Las personas que laboren o incidan en el tratamiento de datos personales, tanto en organismos públicos como privados, están obligadas a guardar confidencialidad sobre los mismos, cuando provengan o hayan sido recolectados de fuentes no accesibles al público, así como sobre los demás datos y antecedentes relacionados con la base de datos, obligación que no cesa por haber terminado sus actividades en ese campo.
Artículo 13. (Antes 9) En caso de que el tratamiento de datos personales se efectúe por mandato, se aplicarán las reglas generales, en las cuales se dejará constancia, entre otros, que el mismo sea otorgado por escrito, estableciendo las condiciones de la utilización de los datos personales. El mandatario deberá respetar esas estipulaciones en el cumplimiento de su encargo.
Artículo 14. (Antes 10) Los datos personales deben utilizarse sólo para los fines para los cuales hubieren sido autorizados al momento de su recolección, salvo las excepciones que señala la Ley debiendo esa finalidad ser determinada, explícita y lícita, o que provengan o se hayan recolectado de fuentes accesibles al público.
En todo caso, la información debe ser exacta, actualizada y responderá con veracidad a la situación actual del titular de los datos personales.
Comentario [KH11]: En consideración de APANDETEC, en el desarrollo de los reglamentos técnicos debe incluirse que el responsable de la base de datos o repositorio, debe firmar acuerdo de confidencialidad, con sus trabajadores , e incluir un modelo.
Comentario [T12]: Aunque la recoleción sea de fuente accesible al publico, la finalidad deberá ser siendo licita, asi que es inecesario el ultimo renglón del párrafo.
Artículo 15. (Antes 11) Se prohíbe la realización de todo tipo de pronósticos o evaluaciones de riesgo que no estén basadas únicamente en información objetiva relativa a las morosidades o reclamaciones de las personas naturales de las cuales se informa. La infracción a esta prohibición obligará a la eliminación inmediata de dicha información por parte del responsable de la base de datos y dará lugar a la indemnización de perjuicios que corresponda.
Artículo 16. (Antes 12) No pueden ser objeto de tratamiento los datos sensibles, salvo cuando la Ley lo autorice, exista consentimiento del titular. o sean datos necesarios para la determinación u otorgamiento de beneficios de salud que correspondan a sus titulares.
Artículo 17. (Antes 13) El responsable o custodio de los registros, repositorios o bases de datos, públicos o privados, con o sin fines de lucro, que almacenen datos personales, deberá cuidar de ellos con la debida diligencia, haciéndose responsable de los daños, o perjuicios ocasionados. En el almacenamiento, cuya administración y transmisión de los datos personales se realice a través del internet o cualquier otro medio de comunicaciones electrónicas, los responsables del tratamiento o el custodio del registro o repositorio o base de datos, deberán cumplir con las medidas técnicas y de gestiones informáticas adecuadas para preservar la seguridad en su red o en la prestación de sus servicios, con el fin de garantizar los niveles de protección de los datos personales que sean exigidos por la ley en esta materia, así como las certificaciones que se establezcan en la reglamentación.
Artículo 18: (Nuevo) Las medidas de seguridad exigibles para el tratamientos de datos personales se clasifican en tres niveles atendiendo a la naturaleza de la información tratada, en relación con la menor o mayor necesidad de garantizar la confidencialidad y la integridad de la información. NIVEL BÁSICO. Correspondiente a los datos personales de carácter general NIVEL MEDIO. Correspondiente a los datos relativos a la comisión de infracciones administrativas o penales. NIVEL ALTO: correspondiente a los datos que contengan rasgos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual. Los recabados con fines policiales sin consentimiento de las personas afectadas.
Comentario [KH13]: Al exponer que el dato sensible solo puede ser tratado por disposición de ley o autoización del titular, cumple con los principios sobre tratameinto de dato personal. La última parte del artículo, aparte que es contraría lo dispuesto en el artículo 15 del proyecto de Ley, abre una ventana para que las entidades de seguro usen los datos personales sencibles en discriminación, lo que es contrarío a la protección del dueño del dato.
Comentario [KH14]: El almacenamiento no se hace en internet, si la administración y transmisión.
Capítulo II De los Derechos de los Titulares de Datos Personales
Artículo 19. (Antes 14) Toda persona tiene derecho a exigir a quien sea responsable de un repositorio o de una base de datos personales, que se dedique en forma pública o privada al tratamiento de datos personales, a que se le suministre información sobre los datos relativos a su persona, procedencia y destinatario, el propósito del almacenamiento y la individualización de las personas u organismos a los cuales sus datos personales son transmitidos regularmente. En caso de que se acredite que los datos personales sean erróneos, inexactos, equívocos o incompletos, tendrá derecho a que se modifiquen, actualicen, corrijan o eliminen. Sin perjuicio de las excepciones legales, podrá además exigir que se eliminen, en caso de que su almacenamiento carezca de fundamento legal o cuando estuvieren caducos. Igual exigencia de eliminación, o la de bloqueo de los datos personales, en su caso, podrá hacer cuando haya proporcionado voluntariamente sus datos personales o ellos se usen para comunicaciones comerciales y no desee continuar figurando en el registro respectivo, sea de modo definitivo o temporal. En el caso de los incisos anteriores, la información, modificación o eliminación de los datos personales será absolutamente gratuita, debiendo proporcionarse, además, a solicitud del titular, copia del registro modificado en la parte pertinente. Si se efectuasen nuevas modificaciones o eliminaciones de datos, el titular podrá, asimismo, obtener sin costo copia del registro actualizado, siempre que hayan transcurrido al menos cuatro (4) meses desde la anterior oportunidad en que hizo uso de este derecho. El derecho a obtener copia gratuita sólo podrá ejercerse personalmente.
Artículo 20. (Antes 15) Las personas tienen derecho a no verse sometidas a una decisión con efectos jurídicos que les afecte de manera significativa, basada en un tratamiento automatizado de datos, destinado a evaluar determinados aspectos de su personalidad, estado de salud, rendimiento laboral, crédito, fiabilidad, conducta, características o personalidad, entre otros.
Artículo 21. (Antes 16) Los establecimientos de salud públicos o privados y los profesionales vinculados a las ciencias de la salud, pueden recolectar y procesar los datos personales relativos a la salud física o mental de los pacientes que acudan a los mismos o que estén o hubieren
Comentario [KH15]: Consideramos que debe mejorarse la redacción para dejar claro que el término cuatro meses es solo para ejercer el derecho de pedir copia gratuita, no para las modificaciones que deben poder hacerse en cualquier tiempo. Adicional se debe poder ejercerse por otros medios no solo personalmente
estado bajo tratamiento de aquéllos, respetando los principios del secreto profesional y lo establecido en la presente Ley y en Leyes especiales que regulan esta materia. Artículo 22. (Antes 17) El derecho de las personas de acceso, revocación, cancelación y oposición de sus datos personales no puede ser limitado mediante ningún acto o convenio entre partes.
Comentario [KH16]: Homologar toda la terminología del documento, al estándar internacional. En este sentido se conocen como derechos ARCO (acceso, revocación, cancelación y oposión)
Artículo 23. (Antes 18) Si los datos personales se encuentran almacenados en un repositorio o una base de datos a la cual tienen acceso diversos organismos, el titular de los datos puede requerir información a cualquiera de ellos.
Artículo 24. (Antes 19) No obstante lo dispuesto en este Capítulo, no podrá solicitarse información, modificación, cancelación o bloqueo de datos personales cuando ello impida o entorpezca el debido cumplimiento de las funciones fiscalizadoras del organismo público requerido, o afecte la confidencialidad establecida en disposiciones legales o reglamentarias, la seguridad del Estado o el interés nacional. Tampoco podrá pedirse la modificación, cancelación o bloqueo de datos personales almacenados por mandato legal, fuera de los casos contemplados en la Ley respectiva.
Artículo 25. (Antes 20) Si el responsable del registro y/o del banco o repositorio de datos personales no se pronuncia sobre la solicitud del titular de datos personales dentro de cuarenta y ocho (48) horas, o la niegue por una causa distinta de la seguridad del Estado o el interés nacional, el titular de los datos personales tendrá derecho a recurrir a la Autoridad Nacional de Transparencia y Acceso a la Información (ANTAI), quien es el organismo competente para el cumplimiento de las obligaciones contenidas en la presente Ley; lo anterior sin perjuicio de lo establecido en leyes especiales. La ANTAI reglamentará el procedimiento correspondiente para atender las denuncias por violaciones al plazo establecido en este artículo. En todo caso, el plazo para la audiencia en la que se escuchará al denunciante y a la entidad de carácter público o privado denunciada no podrá ser mayor a quince (15) días hábiles. La decisión sobre la denuncia deberá ser enunciada en un plazo no mayor de 5 días hábiles después de realizada la audiencia.
Comentario [T17]: Igual que en el artículo anterior recomendamos el cambio a la terminología de los Derechos ARCO. Comentario [T18]: El término interés nacional es muy amplio y subjetivo en este artículo
Comentario [T19]: Estandarizado al termino establecido con anterioridad
Comentario [jat20]: La competencia se determina al principio de la Ley.
La ANTAI está facultada para solicitar la información necesaria y efectuar verificaciones, a fin de realizar las investigaciones administrativas relacionadas exclusivamente, y en cada caso, con la queja presentada.
Artículo 26. (Antes parágrafo 3, artículo 20) La ANTAI estará facultada para sancionar a la persona natural o jurídica, propietaria o responsable del manejo o administración de bases de datos que, por razón de la investigación de las quejas que se le presenten, se les compruebe que han infringido los derechos del titular de los datos personales. Los montos de las sanciones, se fijarán en base a la gravedad del perjuicio causado o que pueda causarse e irán aumentando en base a la reincidencia. Las sanciones pecuniarias que imponga la ANTAI, en el ejercicio de las facultades establecidas en esta Ley, deberán ser pagadas dentro de los diez (10) días hábiles siguientes a la notificación la sanción. Las multas no pagadas dentro del término antes señalado se remitirán a la Dirección General de Ingresos (DGI) del Ministerio de Economía y Finanzas, para esta realice el cobro de dichas sanciones.
Artículo 27. (Antes 21). Los responsables o custodios de bases de datos deberán entregar a las autoridades competentes la información sobre datos personales que sea solicitada con motivo de investigaciones judiciales, del Ministerio Público o administrativas en curso, que adelanten las autoridades competentes.
Comentario [KH21]: Las sanciones deben estar en la ley y no en la reglamentacion.
Comentario [KH22]: Debe crearse la jurisdiccion coactiva para la ANTAI en esta ley, o modificando la ley de creación, ya que como viene propuesto esta parte del artículo es improcedente, ya que está sanción no es impuesto, ni tasa para ser delegada a la DGI
Capítulo III De la utilización de Datos Personales relativos a Obligaciones de Carácter Comercial
Artículo 28. (Antes 22). Los responsables de los registros, repositorios o bases de datos personales de carácter comercial, sólo podrán comunicar o transmitir información que verse sobre obligaciones de carácter económico, financiero, bancario o comercial, salvo las excepciones contempladas en leyes especiales. Se exceptúa también, la información relacionada con los créditos concedidos por el Banco de Desarrollo Agropecuario a sus usuarios, la información relacionada con obligaciones de carácter
Comentario [KH23]: Ver ley de APC
Comentario [T24]: No entendemos esta excepción. Si la misma deriva de la especialidad en la condiciones crediticia de esta institución, entra dentro del marco de layes especiales y no debe indicarse aquí.
económico, financiero, bancario o comercial, en cuanto hayan sido re-pactadas, renegociadas o renovadas, o cuando éstas se encuentren con alguna modalidad pendiente.
Artículo 29. (Antes 23). Los operadores de telecomunicaciones que exploten redes públicas o que presten servicios de comunicaciones electrónicas disponibles al público deberán garantizar, en el ejercicio de su actividad, la protección de los datos personales conforme a la presente Ley, y las leyes especiales que rigen la materia. Sin perjuicio de lo dispuesto en la Ley 51 del 18 de septiembre de 2009, que dicta normas para la conservación, la protección y el suministro de datos de usuarios de los servicios de telecomunicaciones. Asimismo, deberán adoptar las medidas técnicas y de gestiones adecuadas para preservar la seguridad en la explotación de su red o en la prestación de sus servicios, con el fin de garantizar sus niveles de protección de los datos personales que sean exigidos por la reglamentación de esta Ley en esta materia. En caso de que exista un riesgo particular de violación de la seguridad de la red pública de comunicaciones electrónicas, el operador que explote dicha red o preste el servicio de comunicaciones electrónicas, informará a los abonados sobre dicho riesgo y sobre las medidas a adoptar. La regulación contenida en esta Ley, se entiende sin perjuicio de lo previsto en las normas especiales sobre telecomunicaciones relacionadas con la seguridad pública y la defensa nacional. En el caso de que la recolección de la información se realice a través del internet, las obligaciones indicadas en la presente Ley se completarán mediante la presentación al interesado de las “Políticas de Privacidad” y/o “Condiciones de Servicio”, accesibles a través de enlaces.
Artículo 30. (Antes 24) En ningún caso puede transferirse o comunicarse los datos a que se refieren los artículos anteriores, que se relacionen con una persona identificada o identificable, luego de transcurridos cinco (5) años desde que la respectiva obligación se hizo exigible, salvo que en legislación especial se establezcan otros plazos. Tampoco se podrá continuar comunicando los datos personales relativos a dicha obligación, después de haber sido extinguida por pago u otro modo legal, salvo que el titular de los datos personales solicite lo contrario.
Artículo 31. (Antes 25) La extinción de estas obligaciones por pago o cualquier otro modo, no producen la caducidad o la pérdida de fundamento legal de los datos respectivos para los
Comentario [KH25]: Debe llevarse al espiritu la parte de deuda pendiente, no debe darse la información para todos tipo de intercambio entre los agentes de comercios, ya que se da actualmente la venta de base de datos de carácter económico para ofertas publicitarias y demás.
Comentario [KH26]: . No poner le numero de la ley porque si se modifica pierde vigencia. Debe ponerse en la legislaciones especial sobre la materia.
Comentario [T27]: Las personas físicas pueden ser asociadas e identificadas incluso por “cookies” u otros identificadores. Lo que puede dejar huellas que al ser combinadas con identificadores únicos y otros datos recibidos por los servidores pueden ser empleadas para su identificación. Se sugiere incorporar al texto características especiales en torno al empleo de estas en los datos personales que sean tratados, recolectados por medio de Internet
efectos del artículo 16, mientras estén pendientes los plazos que establece el artículo precedente. En este caso el acreedor deberá notificar, dentro de los cinco (5) días hábiles siguientes a la fecha de la extinción legal de la obligación al responsable del registro o repositorio de datos para que actualice la información. La actualización de los datos deberá hacerse dentro de los siguientes cinco (5) días hábiles a la notificación hecha por el deudor. En los casos en que el acreedor no cumpla con la obligación establecida en este artículo, el deudor podrá requerir directamente de tal hecho al responsable del registro o banco de datos accesible al público que en su oportunidad comunicó el reclamo o la morosidad, a fin de que consigne el nuevo dato que corresponda a más tardar dentro de las siguientes cuarenta y ocho horas (48) a la notificación.
Artículo 32. (Antes párrafos 3 y 4, art. 25) Quienes efectúen el tratamiento de datos personales provenientes o recolectados de la aludida fuente accesible al público, deberán modificar los datos dentro de los plazos establecidos en el artículo anterior cuando hayan sido informados de la extinción de la obligación. Si no les fuera posible, bloquearán los datos del respectivo titular hasta que esté actualizada la información.
Capítulo IV Del Tratamiento de Datos Personales por los Organismos Públicos
Artículo 33. (Antes 26). El tratamiento de datos personales por parte de un organismo público, sólo podrá efectuarse respecto de las materias de su competencia y con sujeción a la legislación vigente. En esas condiciones, no necesitará el consentimiento del titular.
Artículo 34. (Antes 27). Los organismos públicos que sometan a tratamiento datos personales relativos a condenas por delitos, infracciones administrativas o faltas disciplinarias; no podrán comunicarlos una vez prescrita la acción penal o administrativa, o cumplida o prescrita la sanción o la pena, cuando la condena haya sido producto de una acción culposa. Exceptúese los casos en que esa información les sea solicitada por los tribunales de Justicia u otros organismos públicos dentro del ámbito de su competencia, quienes deberán guardar respecto de ella la debida reserva o secreto y, en todo caso, les será aplicable lo dispuesto en los artículos 7, 11, 15 y 23.
Comentario [KH28]: Ver lo que dice la Ley 6 de 2002, ya que esto es un dato confidencial.
La ANTAI reglamentará la publicación de datos personales aplicables a los servidores públicos, que corresponderán a los mínimos requeridos para los propósitos de transparencia de la información.
Artículo 35. (Antes 28). Las personas naturales o jurídicas, de derecho público o privado, lucrativas o no, que tengan bases de datos que transmitan, transfieran, traspasen, vendan, o intercambien datos personales almacenados en bases de datos a terceros, llevarán un registro de las mismas, las cuales deberán estar a disposición de la ANTAI, en caso de que ésta lo requiera. En la inscripción constará, respecto de cada una de esas bases de datos, la identificación de las mismas y el responsable de éstas, naturaleza de los datos personales que contiene, el fundamento jurídico de su existencia, procedimientos de obtención y tratamiento de los datos, destino de los datos y personas naturales o jurídicas a las que pueden ser transmitidos, descripción del universo de personas que comprende, medidas de seguridad y descripción técnica de la base de datos, forma y condiciones en que las personas pueden acceder a los datos referidos a ellas, y los procedimientos a realizar para la rectificación, actualización de los datos, tiempo de conservación de los datos y cualquier cambio de los elementos indicados dentro de los quince (15) días hábiles desde que se inicie dicha actividad. Sólo pueden ser capturados para almacenamiento, los siguientes datos provenientes de la cédula de identidad personal que provea el ciudadano: nombre completo, número de cédula, validación de la identidad o firma electrónica, como constancia para el seguimiento de transacciones debidamente autorizadas.
Capítulo V Almacenamiento Tecnológico de Documentos Artículo 36. (Nuevo) El cumplimiento de la obligación de conservar documentos, registros o informaciones en documentos electrónicos, se podrá realizar por cuenta propia o a través de terceros. Toda persona natural o jurídica, nacional o extranjera, que realice de almacenamiento tecnológico de documentos de terceros, deberá registrarse ante la ANTAI, como prestador de servicios de almacenamiento tecnológico de documentos.
Comentario [T29]: Todo este capitulo fue introducido como consideración que el mismo debe ser llevado por la ANTAI, y sustraerse de la jurisdicción de la DGCE del MICI, toda vez que el almacenamiento tecnológico de documentos esta íntimamente ligado con el tema de la protección de datos personales.
Las personas jurídicas y naturales que realicen por cuenta propia el almacenamiento tecnológico de documentos con el interés de que dichos documentos tecnológicamente almacenados tengan el valor legal otorgado por esta Ley, deberán cumplir con los requisitos mínimos establecidos en este título y los reglamentos técnicos que emita la ANTAI. Cuando los documentos contengan datos o información sensible a los intereses de terceros, quienes realicen el almacenamiento tecnológico de documentos deberán obtener una aprobación o autorización de dichos terceros, para su conservación.
Artículo 37. (Nuevo) Cuando la ley requiera que ciertos documentos, registros o información sean presentados y conservados en su forma original, ese requisito quedará satisfecho con un documento electrónico, si: 1. Existe alguna garantía confiable de que se ha conservado la integridad de la información, a partir del momento en que se generó por primera vez en su forma definitiva como documento electrónico; 2. Dicha información puede ser presentada a la persona que se deba presentar; 3. Se conserva, de haber alguno, todo dato que permita determinar el origen, el destino del documento electrónico, la fecha y la hora en que fue enviado o recibido. Lo dispuesto en este artículo se aplicará tanto si el requisito en él previsto constituye una obligación, como si la ley simplemente prevé consecuencias en el caso de que la información no conste en su forma original.
Artículo 38. (Nuevo) Los documentos almacenados tecnológicamente conforme a esta Ley, sus películas, reproducciones y certificaciones, debidamente autenticados, tendrán el mismo valor jurídico que los documentos originales, se someterán al régimen legal de los originales y podrán ser impugnados de la misma manera que éstos.
Artículo 39. (Nuevo) Al someterse el documento a almacenamiento tecnológico, éste deberá quedar conservado en un medio de almacenamiento tecnológico adecuado. El procedimiento utilizado para el almacenamiento tecnológico deberá garantizar:
1. Que los documentos queden sean almacenados en forma nítida, íntegra y con absoluta fidelidad; 2. La conservación del documento original por el tiempo que señale esta Ley y sus reglamentos; 3. Que pueda determinarse con precisión la fecha, y la hora en las que un documento fue almacenado tecnológicamente; 4. La recuperación del documento electrónico; 5. Que cumple con los reglamentos técnicos establecidos por la DGCE. La omisión de cualquiera de estos requisitos, así como la alteración o adulteración, que afecten la integridad del soporte o documento electrónico en el que la información ha sido almacenada, harán perder el valor legal que esta ley otorga a los documentos almacenados tecnológicamente.
Artículo 40. (Nuevo) Toda persona natural o jurídica que realice el almacenamiento tecnológico para terceros, redactará una declaración de prácticas de almacenamiento tecnológico de documentos, en la que detallará, dentro del marco de esta Ley y de sus reglamentos, al menos la siguiente información: 1.
Las obligaciones que se comprometen a cumplir en relación con la gestión de documentos almacenados tecnológicamente;
2.
Las condiciones aplicables a la solicitud, conversión y almacenamiento documentos electrónicos;
3.
Las medidas de seguridad técnica y organizativa;
4.
Resultado obtenido de la última evaluación o auditoría del sistema de almacenamiento tecnológico de documentos;
5.
Límites de responsabilidad para realizar el almacenamiento tecnológico de documentos;
6.
Lista de normas y procedimientos de almacenamiento tecnológico de documentos;
7.
Si su registro ante la ANTAI ha sido revocado o suspendido, o si la DGCE le ha impuesto alguna sanción. Se deberá incluir la fecha de la revocación, de la suspensión, o de la sanción y los motivos de ésta
8.
Cualquier otra información que la ANTAI solicite mediante reglamento.
La declaración de prácticas de almacenamiento tecnológico de documentos estará disponible al público de manera fácilmente accesible, al menos por vía electrónica y de forma gratuita. La declaración de prácticas de almacenamiento tecnológico de documentos deberá publicarse, además, en el repositorio que la ANTAI designe para tal efecto.
Artículo 41. (Nuevo) Las películas, reproducciones, microfichas, discos o certificaciones que han resultado de la utilización de algún sistema de almacenamiento tecnológico permitido por esta Ley, serán autenticados por el jefe del archivo u oficina, pública o privada, que ostenta la custodia.
Artículo 42. (Nuevo) Los originales de los documentos sujetos al sistema de almacenamiento tecnológico, deberán reposar en los archivos de la persona que los expidió o de la persona a la que se les hayan entregado para su custodia, dentro o fuera de la República de Panamá hasta que puedan ser depurados de acuerdo con las reglas técnicas, que para tal efecto reglamente el Órgano Ejecutivo.
Artículo 43. (Nuevo) El Estado hará uso del almacenamiento tecnológico de documentos en su ámbito interno y en su relación con los particulares de acuerdo con lo establecido en la presente Ley y con las condiciones que se fijen reglamentariamente en cada uno de sus poderes. El Estado podrá contratar los servicios de cualquier prestador de servicios de almacenamiento tecnológico de documentos que cumpla con las condiciones técnicas y legales establecidas en esta ley y sus reglamentos.
Artículo 44. (Nuevo) Los documentos tecnológicamente almacenados por prestadores extranjeros de servicios de almacenamiento tecnológico de documentos, podrán ser reconocidos en los mismos términos y condiciones exigidos por esta Ley cuando: 1. Tales documentos sean reconocidos en virtud de acuerdos con otros países, ya sean bilaterales o multilaterales, o efectuados en el marco de organizaciones internacionales de las que Panamá sea parte.
2. Tales documentos sean almacenados tecnológicamente por prestadores de servicios de almacenamiento tecnológico de documentos, debidamente avalados en su país de origen, por instituciones homólogas a la ANTAI y que requieren para su reconocimiento estándares que garanticen la seguridad en almacenamiento tecnológico de documentos. 3. Se acredite que tales documentos electrónicos hayan sido cotejados con sus originales, en el país en que hayan sido emitidos, por el cónsul de la Panamá o de una nación amiga, o por cualquier autoridad con capacidad de dar fe pública. 4.
Se acredite que tales documentos fueron emitidos por un prestador de servicios de almacenamiento tecnológico que cumple con los estándares mínimos requeridos para un prestador de servicios de certificación de firmas electrónicas registrado en la ANTAI.
Artículo 45. (Nuevo) Todo prestador de servicios de almacenamiento tecnológico de documentos que brinde servicios a terceros, quedará sujeto a las facultades de supervisión y control de la ANTAI, para los efectos de velar por el cumplimiento de las obligaciones correspondientes que establece esta Ley y sus reglamentos.
Sección I Registro y la prestación de servicios de almacenamiento tecnológico de documentos a terceros
Artículo 46. (Nuevo) Para solicitar el registro, el prestador de servicios de almacenamiento tecnológico de documentos deberá pagar una tasa a la ANTAI, cuyo monto y procedimiento de pago será determinado por reglamento. Hasta que no haya sido dictado el reglamento, se establece que la tasa de registro será de mil balboas con 00/100 (B/.1,000.00). Una vez presentada toda la documentación establecida para obtener el registro, la ANTAI dispondrá del término de noventa (90) días para emitir concepto. De no efectuar ningún pronunciamiento al respecto, se entenderá que ha emitido concepto favorable y deberá procederse con el registro. Cumplidos todos los requisitos, el prestador de servicios de almacenamiento tecnológico de documentos será inscrito en un registro que llevará la ANTAI, el cual será de carácter público. El prestador de servicios de almacenamiento tecnológico de documentos tendrá la obligación de informar a la ANTAI de cualquier modificación de las condiciones que permitieron su registro.
Artículo 47. (Nuevo) Los prestadores de servicios de almacenamiento tecnológico de documentos podrán realizar las siguientes actividades: 1. Ofrecer los servicios de procesamiento y almacenamiento tecnológico de documentos; 2. Ofrecer los servicios de archivo y conservación de documentos almacenados tecnológicamente; 3. Cualquier otra actividad complementaria, relacionada con el almacenamiento tecnológico de documentos.
Artículo 48. (Nuevo) Además de las condiciones mínimas establecidas en el artículo 39 para el almacenamiento tecnológico de documentos, el prestador de servicios de almacenamiento tecnológico de documentos deberá realizar su actividad con la diligencia de un buen padre de familia y cumplir, por lo menos, las siguientes obligaciones: 1. Emplear personal calificado, con los conocimientos y experiencia necesarios para la prestación de los servicios de almacenamiento tecnológico de documentos ofrecidos, y los procedimientos de seguridad y de gestión adecuados; 2. Contar con sistemas confiables y productos que estén protegidos contra toda alteración y que garanticen un alto grado de seguridad técnica y, en su caso, criptográfica de los procesos de almacenamiento tecnológico de documentos que sirven de soporte; 3. Garantizar la protección, confidencialidad y debido uso de la información suministrada por el usuario del servicio; 4. Contar con un plan de contingencia que garantice la prestación continua de sus servicios; 5. Permitir y facilitar la realización de las evaluaciones técnicas que ordene la ANTAI. 6. Elaborar los reglamentos que definen las relaciones con los usuarios y la forma de prestación del servicio. 7. Conservar registrada, por cualquier medio seguro, toda información y documentación relativa al almacenamiento tecnológico de un documento y las declaraciones de prácticas de almacenamiento tecnológico de documentos vigentes de cada momento, al menos durante el plazo en años que la legislación vigente establezca que los documentos deban ser conservados. Para los efectos de esta Ley, el plazo que debe permanecer almacenado el
documento empezará a contarse desde el momento en que el documento fue almacenado tecnológicamente, de manera que pueda verificarse las firmas efectuadas con él. 8. Utilizar sistemas confiables para almacenar documentos electrónicos que permitan comprobar su autenticidad e impedir que personas no autorizadas alteren los datos, restrinjan su accesibilidad en los supuestos o a las personas que el usuario haya indicado y permitan detectar cualquier cambio que afecte a estas condiciones de seguridad; 9. Contratar una póliza de responsabilidad civil contractual y extracontractual, para afrontar el riesgo de la responsabilidad por daños y perjuicios que pueda ocasionar en el ejercicio de sus actividades. El monto de esta póliza será fijado por la ANTAI mediante resolución, pero en ningún caso podrá ser menor que el monto máximo de las multas que puede imponer la ANTAI.
Artículo 49. (Nuevo) Con el fin de comprobar el cumplimiento de las obligaciones de los prestadores de servicios de almacenamiento tecnológico de documentos, una vez al año, por los menos, la ANTAI realizará una evaluación técnica, a las instalaciones del prestador de servicios de almacenamiento tecnológico de documentos. La ANTAI evaluará el desempeño del prestador, y ejercerá la facultad inspectora sobre éste y podrá, a tal efecto, requerir información y, de ser necesario, recomendará las medidas pertinentes que deben ser atendidas por los prestadores de servicios de almacenamiento tecnológico de documentos, para la prestación del servicio de conformidad con las exigencias legales y reglamentarias. Sin perjuicio de lo que dispone el presente artículo, la ANTAI podrá autorizar a otras entidades privadas o públicas, de conformidad con el reglamento respectivo, a realizar la evaluación técnica. Si como resultado de la evaluación se establece que el prestador de servicios de almacenamiento tecnológico de documentos ha cometido alguna infracción a la presente Ley, en el desempeño de sus operaciones, la ANTAI deberá imponer la sanción correspondiente. Parágrafo: Hasta que no se haya dictado el reglamento respectivo, se establece una tasa anual de supervisión técnica a los prestadores de servicios de almacenamiento tecnológico, por la suma de mil balboas con 00/100 (B/.1000.00), la cual será utilizada para sufragar los costos de supervisión establecidos en esta ley y sus reglamentos. En el caso de conflictos de intereses, la ANTAI deberá designar otro supervisor.
Artículo 50. (Nuevo) Salvo acuerdo entre las partes, el prestador de servicios de almacenamiento tecnológico de documentos podrá dar por terminado el acuerdo de vinculación con el usuario, dando un preaviso no menor de noventa (90) días. Vencido este término, el prestador de servicios de almacenamiento tecnológico de documentos entregará al usuario o a la persona, natural o jurídica, que este designe para reemplazar al prestador de servicios, los documentos del usuario que este tenga en su poder. Igualmente, el usuario podrá dar por terminado el acuerdo de vinculación con el prestador de servicios de almacenamiento tecnológico de documentos, de servicios de almacenamiento tecnológico de documentos
Artículo 51. (Nuevo) Todo prestador de servicios de almacenamiento tecnológico de documentos que vaya a cesar en su actividad, deberá comunicarlo a la ANTAI y a cada usuario, con no menos de noventa (90) días de anticipación a la fecha de la cesación efectiva de actividades. Con el consentimiento expreso del usuario, los documentos que el prestador de servicio tenga al momento de cesar actividades, podrán ser transferidos a otro prestador de servicios de almacenamiento tecnológico de documentos que los asuma, o ser entregados a su propietario. El prestador de servicios de almacenamiento tecnológico de documentos, deberá comunicar a la ANTAI, con no menos de cuarenta y cinco (45) días de anticipación al cese de su actividad, el destino que vaya a dar a los documentos bajo su custodia, especificando, en su caso, si va a transferir los documentos tecnológicamente almacenados a otro prestador de servicios de almacenamiento tecnológico de documentos o si va a entregarlos a su propietario.
Artículo 52. (Nuevo) El prestador de servicios de almacenamiento tecnológico de documentos responderá por los daños y perjuicios que causen a cualquier persona por el incumplimiento de las obligaciones que imponen esta Ley, sus reglamentos y las resoluciones que emita la ANTAI. En todo caso, corresponderá al prestador de servicios de almacenamiento tecnológico de documentos demostrar que actuó con la diligencia profesional que le es exigible. De manera particular, el prestador de servicios de almacenamiento tecnológico de documentos responderá de los perjuicios que se causen al usuario o a terceros de buena fe, por la falta o el retraso en la actualización de sus equipos y programas.
El prestador de servicios de almacenamiento tecnológico de documentos, asumirá toda la responsabilidad frente a terceros por la actuación de las personas en las que deleguen la ejecución de alguna de las funciones necesarias para la prestación de servicios que brinda.
Artículo 53. (Nuevo) El prestador de servicios de almacenamiento tecnológico de documentos, no será responsable de los daños o perjuicios ocasionados al usuario o a terceros de buena fe, si ocurre alguno de los siguientes supuestos: 1. Negligencia del usuario en la conservación de los documentos originales durante el tiempo establecido para conservar los documentos originales; 2. Cuando el destinatario de los documentos tecnológicamente almacenados actúa de forma negligente en su conservación.
Capítulo VI De la Responsabilidad por las Infracciones a esta Ley
Artículo 54. (Antes 32). Las personas naturales, jurídicas o los organismos públicos o particulares, responsables de la base de datos personales, deberán indemnizar el daño patrimonial y/o moral que causaran por el tratamiento indebido de los datos personales, sin perjuicio de proceder a eliminar, modificar o bloquear los datos personales de acuerdo a lo requerido por el titular o, en su caso, lo ordenado por los tribunales de justicia. La acción consiguiente podrá interponerse conjuntamente con la reclamación destinada a establecer la infracción, sin perjuicio de las responsabilidades a que hubiese lugar, de conformidad con lo establecido en el Código Penal.
Artículo 55. (Nuevo) Quienes presten servicios de almacenamiento tecnológico de documentos registrados ante la ANTAI y quienes realicen almacenamiento tecnológico por cuenta propia e incurran en cualquier alteración o adulteración de datos personales, información o de cualquier medio de almacenamiento, antes, durante o después de la fecha en que los datos personales, la información o el medio de almacenamiento hayan sido puestos bajo su responsabilidad, responderán penalmente por su actuación y quedarán sujetas a las
sanciones tipificadas Código Penal, relativas a los Delitos contra la Fe Pública, sin perjuicio de la responsabilidad civil o administrativa que pudiera corresponderles.
Artículo 56. (Nuevo) Los prestadores de servicios de almacenamiento tecnológico de documentos registrados ante la ANTAI y los que realicen almacenamiento tecnológico por cuenta propia, están sujetos al régimen sancionador establecido en este Capítulo y deberán cumplir las disposiciones establecidas en esta Ley y sus reglamentos para sus respectivas actividades
Artículo 57. (Nuevo) Las infracciones a los preceptos establecidos en la presente Ley, se clasificaran en leves, graves y muy graves. 1. Se consideran leves, aquellas infracciones a las disposiciones de esta Ley como consecuencia del incumplimiento de las obligaciones señaladas en ésta, cuando no hayan ocasionado perjuicios económicos a terceros. Cuando la solicitud de información mencionada en el artículo 24 no es atendida en el plazo establecido en el citado artículo. Cuando los responsables de Bancos, repositorios y/o bases de datos no cumplan con la obligación de mantener el registro actualizado a que se refiere el artículo 34.
2. Se consideran infracciones graves: a. El incumplimiento de alguna de las obligaciones establecidas en los artículos 4, 6, 9, 10, 11, 13, 14, 17, 18, 19, 26, 27, 28, 29, 30, 31 y 56, cuando una resolución judicial establezca que se han ocasionado perjuicios económicos inferiores a veinticinco mil balboas (B/.25,000.00); b. Reincidencia en infracción de los artículos 21, 22, 24, aunque no se creen daños y perjuicios y sin importar que la infracción se cometa a personas distintas; c. Cuando la solicitud de información hecha por ANTAI, a que se refiere el artículo 24, no sea atendida dentro de los términos establecidos en el citado artículo. d. Cuando un funcionario público que incumpla la prohibición establecida en el artículo 32. e. Cuando los responsables de bancos, repositorios y/o bases de datos sean reincidentes
en el incumplimiento de la obligación de mantener el registro actualizado a que se refiere el artículo 34 y cuando no permitan el acceso de ANTAI a dicho registro, tal como lo indica el mismo artículo 34 f. Almacenar tecnológicamente un documento sin realizar todas las declaraciones previas indicadas en el artículo 55, en los casos en que no constituya una infracción muy grave; g. El incumplimiento, por parte de los prestadores los prestadores de servicios de almacenamiento tecnológico de documentos, de las obligaciones establecidas en el artículo 59 respecto al cese de su actividad; h. La resistencia, obstrucción, excusa, o negativa injustificada a la actuación inspectora de la ANTAI, así como la falta o deficiente presentación de la información solicitada por la ANTAI en su función de supervisión y control; i.
El incumplimiento de las resoluciones y reglamentos dictados por la ANTAI.
3. Se consideran infracciones muy graves: a. Incumplir las obligaciones establecidas en los artículos 5, 7, 8, 12, 15, 16, 19, 20 y 33 de esta ley b. Cuando un funcionario público reincida en incumplir la prohibición establecida en el artículo 32. c. La comisión de cualquiera de las faltas señaladas como graves señaladas en el acápite 2 de este artículo, cuando se haya causado perjuicios económicos a sus usuarios o a terceros, iguales o superiores a veinticinco mil balboas (B/.25,000.00) o cuando la seguridad de los servicios de almacenamiento tecnológico de documentos se hubiera visto gravemente afectada.
Artículo 58. (Nuevo). Sin perjuicio de la condena por daños y perjuicios ocasionados los responsables de los bancos, repositorios y bases de datos, por la comisión de las infracciones recogidas en el artículo anterior, se impondrán las siguientes sanciones: 1. Infracciones leves: multa de mil balboas (B/.1000.00) hasta cinco balboas (B/.5,000.00); 2. Infracciones graves: multa de cinco mil un balboas (B/.5,001.00) hasta veinticinco mil balboas (B/.25,000.00); 3. Infracciones muy graves: Multa de veinticinco mil un balboas (B/.25,001.00) hasta cincuenta mil balboas (B/.50,000.00).
Cuando se trate de prestadores de servicios de almacenamiento tecnológico de documentos y/o de prestadores de servicios de internet que realicen almacenamiento temporal de datos personales, las sanciones serán: 1. Infracciones leves: multa de diez mil balboas (B/.10,000.00) hasta cincuenta mil balboas (B/.50,000.00); 2. Infracciones graves: multa de cincuenta mil un balboas (B/.50,001.00) hasta cien mil balboas (B/.100,000.00); 3. Infracciones muy graves: Multa de cien mil un balboas (B/.100,001.00) hasta doscientos cincuenta mil balboas (B/.250,000.00).
Cuando se trate de personas naturales o jurídicas que realicen el almacenamiento tecnológico por cuenta propia, las sanciones pecuniarias serán establecidas en base al diez por ciento (10%) de las sumas mínimas y máximas establecidas en este artículo.
Artículo 59. (Nuevo).La reiteración en el plazo de cinco (5) años, de dos o más infracciones muy graves, sancionadas con carácter firme, dará lugar a la prohibición de la prestación de servicios de almacenamiento tecnológico de documentos en la República de Panamá, durante un plazo máximo de dos (2) años. La comisión de una infracción muy grave, una vez levantada la prohibición a que hace referencia este parágrafo, conllevará la prohibición definitiva de la prestación de servicios de almacenamiento tecnológico de documentos.
Artículo 60. (Nuevo).Una vez que la resolución que impone una sanción está en firme, ésta deberá ser publicada a través de la página Web de la ANTAI. En el caso de sanciones graves y muy graves, a costa del sancionado, se publicará la resolución sancionadora en dos periódicos de difusión nacional y en la página de inicio del sitio Web del prestador de servicios de de servicios de almacenamiento tecnológico de documentos o de quien lo haga por cuente propia.
Artículo 61. (Nuevo) La cuantía de las multas que se impongan dentro de los límites indicados, se graduará teniendo en cuenta lo siguiente: 1. La existencia de intencionalidad o reiteración;
2. La reincidencia, por comisión de infracciones de la misma naturaleza, sancionadas mediante resolución firme; 3. La naturaleza y cuantía de los perjuicios causados; 4. Plazo de tiempo durante el que se haya venido cometiendo la infracción; 5. El beneficio que haya reportado al infractor la comisión de la infracción; 6. Volumen de la facturación a que afecte la infracción cometida.
Artículo 62. (Nuevo) En los procesos para establecer responsabilidades por infracciones graves o muy graves podrán adoptarse medidas de carácter provisional para asegurar el cumplimiento del debido proceso y la eficacia de la resolución, así como para evitar el mantenimiento de los efectos de la conducta considerada infractora de los preceptos legales. Podrán adoptarse las siguientes medidas provisionales: 1. Advertir al público de un proceso de administrativo para determinar el nivel de responsabilidad o no del prestador de servicios de certificación ante la comisión de una falta grave o muy grave. Advertir al público de la misma forma, sobre los resultados y acciones subsecuentes de dicho proceso administrativo. 2. Suspensión temporal del registro del prestador de servicios de almacenamiento tecnológico de documentos; 3. En el caso de faltas muy graves, el aseguramiento, depósito o incautación de registros, soportes y archivos informáticos y de documentos en general, así como de aparatos y equipos informáticos de todo tipo; En la adopción y cumplimiento de las medidas a que se refiere este artículo, se respetarán, las garantías, normas y procedimientos previstos en la legislación para proteger los derechos a la intimidad personal y familiar, a la protección de los datos personales, a la libertad de expresión o a la libertad de información, cuando estos pudieran resultar afectados. Además, se respetará el principio de proporcionalidad de la medida a adoptar con los objetivos que se pretendan alcanzar en cada supuesto. En casos de urgencia y para la inmediata protección de los intereses implicados, las medidas cautelares previstas en el presente artículo podrán ser acordadas antes de la iniciación del proceso administrativo correspondiente. Las medidas deberán ser confirmadas, modificadas o levantadas en la resolución que da inicio al proceso administrativo, que deberá efectuarse
dentro de los quince (15) días siguientes a su adopción, el cual podrá ser objeto del recurso que proceda. En todo caso, dichas medidas quedarán sin efecto si no se inicia el proceso administrativo dentro del plazo establecido o cuando la resolución de inicio del proceso no confirme la continuidad de ellas.
Artículo 63. (Nuevo) La ANTAI podrá imponer multas por desacato hasta por un monto del cinco por ciento (5%) del valor de la sanción establecida, por cada día que transcurra sin cumplir las resoluciones sancionadoras que se hubiesen establecido. La multa por desacato no podrá exceder el cincuenta por ciento (50%) del valor de la sanción establecida.
Artículo 64. (Nuevo) Las resoluciones de la ANTAI podrán ser impugnadas por los interesados cuando consideren que han sido perjudicados en sus intereses legítimos o sus derechos. Contra dichas resoluciones podrá ser interpuesto el Recurso de Reconsideración ante el Director de la ANTAI. Contra las resoluciones que resuelvan un Recurso de Reconsideración, podrá ser interpuesto un Recurso de Apelación ante Ministro de Comercio e Industrias. La resolución que resuelve el Recurso de Apelación agota la vía gubernativa. EL Director de la ANTAI tendrá un plazo de sesenta (60) días para decidir el Recurso de Reconsideración interpuesto. Si en tal plazo no ha sido resuelto el Recurso, la decisión se considerará favorable al recurrente. De la misma forma, el Ministro de Comercio E Industrias dispondrá de sesenta (60) días para resolver el Recurso de Apelación. Si en tal plazo no ha sido resuelto el Recurso, la decisión se considerará favorable al recurrente.
Artículo 65. (Nuevo) Las infracciones a esta Ley y a sus reglamentos, por los prestadores de servicios de almacenamiento tecnológico de documentos o por quienes realicen el almacenamiento tecnológico por cuenta propia, prescribirán en un (1) año cuando se trate de infracciones leves; a los tres (3) años, cuando se trate de infracciones graves; y a los cinco (5) años cuando se trate de infracciones muy graves
Artículo 66. (Nuevo) El prestador de un servicio comercial a través de Internet que alberga datos proporcionados por el destinatario de este servicio no será responsable por la información almacenada a petición del destinatario cuando no tenga conocimiento efectivo de que la actividad o la información almacenada es ilícita o de que lesiona bienes o derechos de un tercero susceptibles de indemnización. Sin perjuicio de los procedimientos de detección y eliminación de contenidos de una red de comunicación que el prestador de servicios de alojamiento o almacenamiento de datos aplique en virtud de reglamentos, acuerdos voluntarios y de otros medios de conocimiento efectivo que pudieran establecerse, se entenderá que no concurren las circunstancias señaladas en el parágrafo primero, cuando una autoridad competente haya declarado la ilicitud de los datos, ordenado su eliminación de una red de comunicación o que se imposibilite el acceso a los mismos, o se hubiera declarado la existencia de la lesión, y el prestador conociera la correspondiente resolución y el prestador de servicios actúe con diligencia para suprimir o inutilizar el enlace correspondiente La exención de responsabilidad establecida en este artículo no operará en el supuesto de que el destinatario del servicio actúe bajo la dirección, autoridad o control del prestador servicios de alojamiento o almacenamiento de datos. La acción consiguiente podrá interponerse conjuntamente con la reclamación destinada a establecer la infracción, sin perjuicio de las responsabilidades a que hubiese lugar, de conformidad con lo establecido en el Código Penal.
Artículo 67. (Nuevo) Las personas que incurran en cualquier alteración o adulteración de las películas, microfichas, discos o certificaciones, antes, durante o después de la fecha de reproducción del documento respectivo, responderán penalmente por su actuación y quedarán sujetas a las sanciones tipificadas Código Penal, relativas a los Delitos contra la Fe Pública, sin perjuicio de la responsabilidad civil o administrativa que pudiera corresponderles.
Artículo 68. (Nuevo) Los prestadores de servicios de almacenamiento tecnológico de documentos registrados ante la ANTAI y los que realicen almacenamiento tecnológico por cuenta propia, están sujetos al régimen sancionador establecido en este Título y deberán cumplir las disposiciones establecidas en esta Ley y sus reglamentos para sus respectivas actividades
Artículo 69. (Nuevo) En los procesos para establecer responsabilidades por infracciones graves o muy graves podrán adoptarse medidas de carácter provisional para asegurar el cumplimiento del debido proceso y la eficacia de la resolución, así como para evitar el mantenimiento de los efectos de la conducta considerada infractora de los preceptos legales. Podrán adoptarse las siguientes medidas provisionales: 1. Advertir al público de un proceso de administrativo para determinar el nivel de responsabilidad o no del prestador de servicios de certificación ante la comisión de una falta grave o muy grave. Advertir al público de la misma forma, sobre los resultados y acciones subsecuentes de dicho proceso administrativo. 2. Suspensión temporal del registro del prestador de servicios de almacenamiento tecnológico de documentos; 3. En el caso de faltas muy graces, el aseguramiento, depósito o incautación de registros, soportes y archivos informáticos y de documentos en general, así como de aparatos y equipos informáticos de todo tipo;
En la adopción y cumplimiento de las medidas a que se refiere este artículo, se respetarán, las garantías, normas y procedimientos previstos en la legislación para proteger los derechos a la intimidad personal y familiar, a la protección de los datos personales, a la libertad de expresión o a la libertad de información, cuando estos pudieran resultar afectados. Además, se respetará el principio de proporcionalidad de la medida a adoptar con los objetivos que se pretendan alcanzar en cada supuesto. En casos de urgencia y para la inmediata protección de los intereses implicados, las medidas cautelares previstas en el presente artículo podrán ser acordadas antes de la iniciación del proceso administrativo correspondiente. Las medidas deberán ser confirmadas, modificadas o levantadas en la resolución que da inicio al proceso administrativo, que deberá efectuarse dentro de los quince (15) días siguientes a su adopción, el cual podrá ser objeto del recurso que proceda. En todo caso, dichas medidas quedarán sin efecto si no se inicia el proceso administrativo dentro del plazo establecido o cuando la resolución de inicio del proceso no confirme la continuidad de ellas.
Artículo 70. (Nuevo) La ANTAI podrá imponer multas por desacato hasta por un monto del cinco por ciento (5%) del valor de la sanción establecida, por cada día que transcurra sin
cumplir las resoluciones sancionadoras que se hubiesen establecido. La multa por desacato no podrá exceder el cincuenta por ciento (50%) del valor de la sanción establecida.
Artículo 71. (Nuevo) Las resoluciones de la ANTAI podrán ser impugnadas por los interesados cuando consideren que han sido perjudicados en sus intereses legítimos o sus derechos. Contra dichas resoluciones podrá ser interpuesto el Recurso de Reconsideración ante el Director de la ANTAI. Contra las resoluciones que resuelvan un Recurso de Reconsideración, podrá ser interpuesto un Recurso de Apelación ante Ministro de Comercio e Industrias. La resolución que resuelve el Recurso de Apelación agota la vía gubernativa. EL Director de la ANTAI tendrá un plazo de sesenta (60) días para decidir el Recurso de Reconsideración interpuesto. Si en tal plazo no ha sido resuelto el Recurso, la decisión se considerará favorable al recurrente. De la misma forma, el Ministro de Comercio E Industrias dispondrá de sesenta (60) días para resolver el Recurso de Apelación. Si en tal plazo no ha sido resuelto el Recurso, la decisión se considerará favorable al recurrente.
Artículo 72. (Nuevo) Las infracciones a esta Ley y a sus reglamentos, por los prestadores de servicios de almacenamiento tecnológico de documentos o por quienes realicen el almacenamiento tecnológico por cuenta propia, prescribirán en un (1) año cuando se trate de infracciones leves; a los tres (3) años, cuando se trate de infracciones graves; y a los cinco (5) años cuando se trate de infracciones muy graves
Capítulo VII Disposiciones Finales
Artículo 73. (Antes 33) Los titulares de los datos personales registrados en bases de datos creados con anterioridad a la entrada en vigencia de la presente Ley, tendrán los derechos que ésta les confiere.
Artículo 74. (Antes 29). La Autoridad Nacional de Transparencia y Acceso a la Información (ANTAI), contará con los recursos presupuestarios y financieros para el debido cumplimiento de las funciones que se le atribuyen mediante esta Ley, los cuales le serán asignados de conformidad con las normas vigente en materia presupuestaria.
Artículo 75. (Antes 30). Se crea una Comisión para la Implementación de la presente Ley, la cual estará conformada de la siguiente manera: a) El Ministro de Comercio e Industrias, o a quien éste delegue, y quien la presidirá. b) El Administrador General de la Autoridad Nacional para la Innovación Gubernamental (AIG), o a quien éste delegue. c) El Administrador General de la Autoridad de Protección al Consumidor y Defensa de la Competencia (ACODECO), o a quien éste delegue. d) Un representante del Consejo Nacional de la Empresa Privada (CONEP). e) El Defensor del Pueblo, o a quien éste delegue. f) El Administrador General de la ANTAI, o a quien éste delegue, y quien ejercerá la Secretaría de la misma. g) El Magistrado Presidente del Tribunal Electoral, o a quién este delegue Los representantes del Consejo Nacional de la Empresa Privada (CONEP), serán designados por la Junta Directiva de estas organizaciones, por un período de dos (2) años, con sus respectivos suplentes.
Artículo 76. (Antes 31). La Comisión tendrá las siguientes facultades: a) Asesorar a la ANTAI en materia de Protección de Datos Personales, recomendar acciones y reglamentos. b) Analizar los temas y casos que le sean presentados para consulta y brindar sus recomendaciones. c) Desarrollar su Reglamento.
Comentario [T30]: El TE maneja la base de datos más importante del país.
Artículo 77. (Antes parágrafo art. 5) Las personas naturales o jurídicas, de derecho público o privado, lucrativas o no, responsables del tratamiento de los datos contarán con un plazo de seis (6) meses, a partir de la promulgación de la presente Ley, para cumplir con lo dispuesto en el artículo 7 de esta Ley.
Artículo 78. (Antes 2 párrafo artículo 34) Los organismos públicos que tuvieren a su cargo bases de datos personales deberán, remitir los antecedentes a que se refiere esta Ley, dentro del plazo que fije el reglamento respectivo.
Artículo 79. (Nuevo) Se modifica el numeral 2 del artículo 4 de la Ley No. 30 de 2009, el cual quedará así: Artículo 4. La Autoridad tendrá los siguientes objetivos: … 2. Ser organismo rector en materia de derecho de petición y acceso a la información pública, transparencia, ética y prevención contra la corrupción a nivel gubernamental y la protección de datos personales dentro del territorio de la República de Panamá.
Artículo 80. (Nuevo) Se adiciona el numeral 20 del artículo 4 de la Ley No. 30 de 2009, el cual quedará así: Artículo 4. La Autoridad tendrá los siguientes objetivos: … 20. Promulgar e implementar las políticas de protección de datos personales y almacenamiento tecnológico de documentos.
Artículo 81. (Nuevo) Se modifican los numerales 17 y 35 del artículo 6 de la Ley No. 30 de 2009, los cuales quedarán así: Artículo 6. La Autoridad tendrá las siguientes atribuciones y facultades: …
17. Velar por la debida reserva y protección de información en poder del Estado que conforme a la Constitución Política y a la Ley de Transparencia tengan carácter de información confidencial, información de acceso restringido y datos personales. … 35. Velar por la debida reserva y protección de datos personales dentro del territorio de la República de Panamá.
Artículo 82. (Nuevo) Se adicionan los numerales 36 y 37 al artículo 6 de la Ley No. 30 de 2009, los cuales quedarán así: Artículo 6. La Autoridad tendrá las siguientes atribuciones y facultades: … 36. Promulgar e implementar las políticas para el registro y fiscalización de prestadores de servicio de almacenamiento tecnológico de documentos. 37. Ejecutar las demás atribuciones y funciones que le señale esta Ley.
Artículo 83. (Nuevo) Se modifica el artículo 1 de la Ley No. 51 de 2008, los cuales quedarán así: Artículo 1. Objeto. Esta Ley establece el marco regulador para la creación, utilización de firmas electrónicas, así como el proceso de registro y la fiscalización de los prestadores de servicios de certificación de firmas electrónicas en el territorio de la República de Panamá. Además, establece el marco regulador para algunos actos de comercio realizados a través de Internet, principalmente en lo referente a la información previa y posterior a la celebración de contratos electrónicos y a las condiciones relativas a la validez y eficacia de dichos contratos; las obligaciones y responsabilidades de los prestadores de servicios comerciales a través de Internet, incluidos los que actúan como intermediarios en la transmisión de contenidos por las redes de comunicación; el intercambio de información y documentación comercial por vía electrónica, incluidas las ofertas, las promociones y los concursos; y el régimen sancionador aplicable a los prestadores de servicios comerciales a través de medios electrónicos.
Artículo 84. (Nuevo) Se modifica el artículo 2 de la Ley No. 51 de 2008, el cual quedará así:
Comentario [T31]: Se debe modificar toda vez que se eliminan los temas de almacenamiento tecnológico.
Artículo 2. Definiciones. Para los efectos de la presente Ley, los siguientes términos se definen así: 1.
Certificado Electrónico. Documento electrónico expedido por un prestador de servicios de certificación de firmas electrónicas, que vincula los datos de verificación de una firma electrónica a un firmante y confirma su identidad.
2.
Certificado electrónico calificado. Certificado electrónico expedido por un prestador de servicios de certificación registrado ante la ANTAI, que cumple los requisitos establecidos en esta Ley en cuanto a la comprobación de la identidad de los firmantes, y a la fiabilidad y a las garantías de los servicios de certificación ofrecidos por el prestador de servicios de certificación que lo genera.
3.
Códigos de conducta. Declaración formal de los valores, la ética y las prácticas empresariales de una persona o de un grupo de personas, naturales o jurídicas, en la que se presentan políticas y directrices, preestablecidas y aplicables a determinadas situaciones, con la finalidad de facilitar las relaciones entre las autoridades, los prestadores de servicios y los usuarios o destinatarios.
4.
Comercio Electrónico. Toda forma de transacción o intercambio de información con fines comerciales en la que las partes interactúan utilizando Internet, en lugar de hacerlo por intercambio o contacto físico directo.
5.
Consumidor. Persona natural o jurídica que adquiere de un proveedor bienes o servicios finales de cualquier naturaleza.
6.
Datos de creación de firma electrónica. Son los datos únicos, como códigos o claves criptográficas, que se utiliza para verificar la firma electrónica.
7.
Datos de verificación de firma electrónica. Son los datos, como códigos o claves criptográficas, que se utilizan para verificar la firma electrónica.
8.
Declaración de prácticas de certificación. Manifestación que hace un prestador de servicios de certificación, con el fin de definir los criterios que utiliza para generar y administrar certificados electrónicos, los servicios que ofrece y sus limitaciones, así como las obligaciones que se compromete a cumplir en relación con la gestión de los datos de creación y verificación de firma electrónica y de certificado electrónico.
9.
Destinatario. Persona natural o jurídica: a. Que ha sido designada por el iniciador para recibir el mensaje, pero que no está actuando a título de intermediario con respecto a ese mensaje;
b. A quien va dirigido o destinado un servicio comercial a través de medios electrónicos. 10. DGEC. Siglas correspondientes a la Dirección General de Comercio Electrónico, del Ministerio de Comercio e Industria. 11. DGI. Siglas correspondientes a la Dirección General de Ingresos. 12. Dispositivo seguro de creación de firma electrónica. Programa o sistema informático que sirve para aplicar los datos de creación de una firma electrónica. 13. Dispositivo de verificación de firma electrónica. Programa o sistema informático que sirve para aplicar los datos de verificación de una firma electrónica. 14. Documento. Escritos, escrituras, certificaciones, copias, impresos, planos, dibujos, cintas, cuadros, fotografías, radiografías, discos, grabaciones magnetofónicas, boletos, contraseñas, cupones, etiquetas, sellos, telegramas, radiogramas y, en general, todo objeto mueble que tenga carácter representativo o declarativo de un hecho, una imagen, un sonido o una idea 15. Documento electrónico. Toda representación electrónica que da testimonio de un hecho, una imagen, un sonido o una idea. 16. Factura electrónica. Documento electrónico mediante el cual se deja constancia de la realización de la venta de bienes o de la prestación de servicios por parte de un prestador de servicios comerciales por medios electrónicos y que, a la vez, permite dar validez tributaria a operaciones comerciales efectuadas. 17. Firmante. Persona que posee un dispositivo de creación de firma y que actúa en nombre propio o en nombre de una persona natural o jurídica a la que representa. 18. Firma electrónica. Conjunto de sonidos, símbolos o datos vinculados con un documento electrónico, que ha sido adoptado o utilizado por una persona con la intención precisa de identificarse y aceptar o adherirse al contenido de un documento electrónico. 19. Firma electrónica calificada. Es la firma electrónica cuya validez es respaldada por un certificado electrónico calificado, emitido por un prestador de servicios de certificación registrado ante la ANTAI, que: a. Permite identificar al firmante y detectar cualquier cambio posterior de los datos firmados. b. Está vinculada al firmante de manera única y a los datos a que se refiere.
c. Ha sido creada utilizando dispositivos seguros de creación de firmas electrónicas, los cuales mantiene el firmante bajo su control exclusivo. 20. Iniciador. Toda persona que, a tenor del mensaje, haya actuado por su cuenta para enviar o generar ese mensaje antes de ser archivado, si éste es el caso, pero que no haya actuado a título intermediario con respecto a ese mensaje. 21. Intermediario. Persona que, actuando por cuenta de otra, envíe, reciba o archive un mensaje o preste algún otro servicio con respecto a él. 22. Internet. Red de computadoras que está interconectada con otras que agrupa a distintos tipos de redes usando un mismo protocolo de comunicación (IP “Internet Protocol” o cualquier otro), de acceso público y a través de la cual los usuarios pueden compartir datos, recursos, servicios e información de cualquier índole. 23. Nombre de dominio: Nombre utilizados comunmente para identificar, con un idioma accesible al público, una dirección URL (Uniform Resource Locator -en español, Localizador Uniforme de Recursos) localizable en la Internet. 24. Prestador de Servicios de Certificación. Persona jurídica que emite firmas electrónicas y los certificados electrónicos para identificar el propietario y el estatus de dichas firmas y provee otros servicios relacionados con el uso de las firmas electrónicas. 25. Prestador de Servicios de intermediación. Persona natural o jurídica que: a. Facilita el servicio de acceso a Internet. b. Trasmite datos por redes de telecomunicaciones. c. Realiza copias temporales de las páginas de Internet solicitadas por los usuarios. d. Aloja en sus propios servidores datos, aplicaciones o servicios suministrados por otros. e. Provee de instrumentos de búsqueda, acceso y recopilación de datos o de enlaces a otros sitios de Internet. 26. Prestador de Servicios Comerciales. Persona natural o jurídica que, a través de medios electrónicos y de Internet, realiza actos, operaciones o transacciones vinculados a su actividad comercial y/o relacionada con el ciclo comercial. 27. Repositorio. Sistema de almacenamiento electrónico utilizado para la generación y administración de certificados.
28. Revocar un certificado. Término utilizado para indicar que, a partir de una fecha específica, se ha cancelado definitivamente la validez del certificado que valida una firma electrónica. y en consecuencia, a partir de dicha revocación, la utilización de dicha firma no producirá efectos jurídicos, ni vinculantes. 29. Sistema confiable. Conjunto de equipos, programas de computadora y procedimientos para el procesamiento, almacenamiento y transmisión de datos utilizados en la emisión de firmas y certificados electrónicos y en los servicios relacionados con estas actividades, que: a. Posee controles suficientes para prevenir violaciones, intromisiones y accesos no autorizados al sistema. b. Provee un adecuado nivel de disponibilidad, confianza y correcta operación para las funciones que realiza y los servicios que ofrece. c. Cumple con los procedimientos y prácticas de seguridad establecidos en la legislación y, en ausencia de ésta, cumple con los estándares internacionalmente aceptados. 30. Suspender un certificado. Término utilizado para señalar que, desde una fecha determinada, se ha interrumpido temporalmente la vigencia del certificado utilizado para validar una firma electrónica, y en consecuencia, durante el tiempo que dure la suspensión, la utilización de dicha firma no produce efectos jurídicos, ni vinculantes. 31. Tercero de Confianza. Persona natural o jurídica que ha cumplido con los requisitos establecidos por la legislación y la reglamentación vigente para la prestación de un determinado servicio y que, en consecuencia, ha sido autorizada por la autoridad competente para ofrecer comercialmente dicho servicio. 32. Tecnologías de la Información y las Comunicaciones (TIC): a. Conjunto de tecnologías que permiten la adquisición, producción, almacenamiento, tratamiento, comunicación, registro y presentación de informaciones contenidas en señales de naturaleza acústica (sonidos), óptica (imágenes) o electromagnética (datos alfanuméricos), b. En el ámbito de la prestación de servicios de comercio a través de medios electrónicos, se refiere a las tecnologías de la información y comunicación que permitan transacciones comerciales o ventas a distancia por medios electrónicos.
33. WWW, World Wide Web o la Web. Sistema de comunicación utilizado para extraer elementos de información llamados "documentos" o "páginas web" a través de la Internet.
Artículo 85. (Nuevo) Se modifica el artículo 3 de la Ley No. 51 de 2008, los cuales quedarán así: Artículo 3. Interpretación, ámbito de aplicación y régimen de la prestación de servicios. Las actividades reguladas por esta Ley se someterán a los principios de libertad de prestación de servicios, libre competencia, neutralidad tecnológica, compatibilidad internacional y equivalencia funcional y se aplicarán sin perjuicio de lo dispuesto en otras normas que tengan como finalidad la protección de la salud, de la seguridad pública, de datos personales, de los intereses del consumidor, de la libre competencia y del régimen tributario aplicable a las actividades comerciales e industriales. Toda interpretación de los preceptos de esta Ley deberá guardar armonía con los principios señalados. La prestación de servicios de certificación de firmas electrónicas y de servicios de comercio a través de Internet se regirá por los mismos principios expresados en el párrafo anterior, no estará sujeta a autorización previa y se realizará en régimen de libre competencia. Sin embargo, las personas naturales o jurídicas que se dediquen a la prestación de estos servicios deberán cumplir las condiciones y los requisitos establecidos en esta Ley y sus reglamentos.
Artículo 86. (Nuevo) Se deroga el Título IV de la Ley No. 51 de 2008.
Artículo 87. (Nuevo) Se modifica 69 de la Ley No. 51 de 2008, el cual quedará así: Artículo 69. La Dirección General de Comercio Electrónico. Se crea la Dirección General de Comercio Electrónico del Ministerio de Comercio e Industrias, en adelante la DGCE, la cual será la encargada de velar por el correcto desarrollo de la prestación de servicios de certificación de firmas electrónicas, así como la utilización de Internet como medio para la prestación de servicios comerciales.
Artículo 88. (Nuevo) Se modifica el artículo 70 de la Ley No. 51 de 2009, los cuales quedarán así:
Artículo 70. Entidad reguladora. La Dirección General de Comercio Electrónico queda facultada para reglamentar, supervisar, sancionar a los prestadores de servicios de certificación de firmas electrónicas, así como registrar y/o suspender el registro, de dichos prestadores, de acuerdo con lo establecido en esta Ley y en sus disposiciones reglamentarias, a fin de garantizar que cuenten con sistemas confiables y realicen todas las acciones necesarias para la correcta prestación de los servicios relacionados con sus actividades. De igual modo, la Dirección General de Comercio Electrónico emitirá reglamentos técnicos que establecerán las condiciones técnicas mínimas que deberán cumplir personas, naturales o jurídicas, que utilicen el Internet como medio para realizar actividades comerciales.
Artículo 89. (Nuevo) Se modifica el artículo 71 de la Ley No. 51 de 2009, el cual quedará así: Artículo 71. Funciones. Entre las funciones de la Dirección General de Comercio Electrónico se encuentran las siguientes: 1.
Dictar y emitir los reglamentos, resoluciones y demás documentos técnicos que considere necesarios para el desarrollo de las materias de su competencia;
2.
Promover el registro voluntario y gratuito de empresas que realicen transacciones comerciales a través de Internet, conforme a la legislación vigentes;
3.
Registrar a los prestadores de servicios de certificación de firmas electrónicas que así lo soliciten, dentro de un término de noventa (90), contados a partir de la presentación de toda la documentación solicitada para tal fin, en la reglamentación respectiva. De no efectuar ningún pronunciamiento dentro del término señalado, se entenderá que ha emitido criterio favorable y deberá procederse con el registro solicitado;
4.
Velar por el adecuado funcionamiento y la eficiente prestación de los servicios certificación de firmas electrónicas, por parte de todo prestador de servicios registrado, así como por el cabal cumplimiento de las disposiciones legales y reglamentarias de la actividad;
5.
Velar por cumplimiento de los reglamentos técnicos emitidos para garantizar el adecuado funcionamiento y la eficiente utilización del Internet como medio para realizar comercio.
6.
Revocar o suspender el registro de prestador de servicios de firmas electrónicas y de servicios comerciales a través de Internet, en los casos que determinen la Ley y sus reglamentos;
7.
Requerir a los prestadores de servicios registrados que suministren información relacionada con sus actividades, pero únicamente cuando se refieran a los procesos que
afecten la seguridad e integridad de datos. Esta función no permitirá el acceso al contenido de documentos, mensajes, a las firmas o a los procesos utilizados, excepto mediante orden judicial; 8.
Ordenar la revocación o suspensión de firmas y certificados electrónicos, cuando el prestador de servicios de certificación de firmas electrónicas los emita sin el cumplimiento de las formalidades legales:
9.
Ordenar de oficio y mediante resolución motivada, la suspensión de la prestación de servicios comerciales a través de Internet, cuando el prestador de servicios realice éstos servicios sin el cumplimiento de los requerimientos técnicos establecidos en esta ley y sus reglamentos.
10. Imponer sanciones a los prestadores de certificación de firmas electrónicas por el incumplimiento de los requerimientos técnicos establecidos en las disposiciones legales y reglamentarias vigentes. 11. Imponer sanciones a los prestadores de servicios comerciales a través de Internet por el incumplimiento de los requerimientos técnicos establecidos en las disposiciones legales y reglamentarias vigentes. 12. Designar los repositorios en los eventos previstos en la ley y sus reglamentos; 13. Las demás funciones que determine esta Ley y sus reglamentos.
Artículo 90. (Nuevo) Se modifica el artículo 73 de la Ley No. 51 de 2009, el cual quedará así: Artículo 73. Evaluaciones técnicas. Con el fin de comprobar el cumplimiento de las obligaciones de los prestadores de servicios de certificación de firmas electrónicas y de servicios comerciales a través de Internet, la Dirección General de Comercio Electronico ejercerá la facultad inspectora sobre éstos y podrá, a tal efecto, requerir información y ordenar auditorías y/o evaluaciones técnicas, por lo menos una vez al año. La Dirección General de Comercio Electronico evaluará el desempeño de los prestadores de servicios de certificación de firmas electrónicas y de servicios comerciales a través de Internet y, de ser necesario, recomendará las medidas pertinentes que deben ser atendidas por estos para la prestación del servicio, de conformidad con las exigencias legales y reglamentarias. Sin perjuicio de lo que dispone el presente artículo, la Dirección General de Comercio Electronico podrá autorizar a otras entidades privadas o públicas, de conformidad con el reglamento respectivo, para realizar la evaluación técnica.
Si como resultado de la evaluación se establece que el prestador de servicios ha cometido alguna infracción a la presente Ley y sus reglamentos, la Dirección General de Comercio Electronico podrá imponer la sanción correspondiente.
Artículo 91. (Nuevo) Los prestadores de servicios de almacenamiento tecnológico de documentos que hayan iniciado la prestación de sus servicios con anterioridad a la entrada en vigencia de la presente Ley, deberán adecuar sus actividades a lo dispuesto en esta Ley dentro de los doce (12) meses contados a partir de la promulgación del reglamento respectivo.
Artículo 92. (Antes 34) La presente Ley comenzará a regir al año siguiente a partir de su promulgación.
Propuesto a la consideración de la asamblea Nacional, hoy __________ de __________ dos mil dieciséis (2016), por su excelencia Álvaro Alemán H., Ministro de la Presidencia, en virtud de autorización concedida por el Honorable Consejo de Gabinete, mediante la Resolución de Gabinete No. ___ de __________ de 2016.
ÁLVARO ALEMÁN H. Ministro de la Presidencia.