Leyes de Privacidad de Datos de Panamá: Guía de Cumplimiento de la Ley 81 y el Decreto Ejecutivo 285

Leyes de Privacidad de Datos de Panamá: Ley 81, Decreto Ejecutivo 285 y Supervisión de la ANTAI
La norma principal de protección de datos de Panamá es la Ley 81 del 26 de marzo de 2019 (Ley 81 de Protección de Datos Personales), complementada por el Decreto Ejecutivo 285 del 28 de mayo de 2021. Ambos instrumentos entraron en vigencia el 29 de marzo de 2021. La Autoridad Nacional de Transparencia y Acceso a la Información (ANTAI) supervisa el cumplimiento, investiga denuncias e impone sanciones. Para conocer las reglas de consentimiento para grabaciones en Panamá, consulte leyes de grabación en Panamá.
Información verificada por última vez el 19 de mayo de 2026. Este artículo no ha sido revisado por un abogado panameño autorizado.
Alcance jurisdiccional: Este artículo aborda el marco nacional de protección de datos de Panamá conforme a la Ley 81 de 2019 y el Decreto Ejecutivo 285 de 2021, incluyendo los fundamentos constitucionales, la supervisión de la ANTAI y las normas sectoriales para banca, seguros y crédito. No aborda en detalle la ley de secreto bancario de Panamá; para las reglas de la ley de grabación, consulte leyes de grabación en Panamá.
Respuesta rápida: ¿qué regula los datos personales en Panamá?
El régimen de protección de datos de Panamá descansa sobre tres niveles interrelacionados. A nivel constitucional, los artículos 29, 42, 43 y 44 de la Constitución Política de la República de Panamá protegen la privacidad, garantizan el acceso a los datos personales en registros públicos y privados, y crean la acción de habeas data. A nivel legal, la Ley 81 del 26 de marzo de 2019 establece los principios, derechos, obligaciones y procedimientos que rigen el tratamiento de datos personales por cualquier persona natural, entidad jurídica u organismo público que opere en Panamá. A nivel reglamentario, el Decreto Ejecutivo 285 del 28 de mayo de 2021 provee el reglamento operativo: procedimientos de registro, plazos de notificación de brechas, flujos de solicitudes de los titulares de datos, mecanismos de transferencia internacional y procedimientos sancionatorios. La ANTAI, a través de su Dirección de Datos Personales, es la única autoridad de supervisión. El balboa está fijado 1:1 con el dólar estadounidense, por lo que todas las multas y umbrales citados a continuación se traducen directamente a USD.
Fundamentos constitucionales y habeas data
La Constitución de Panamá (reformada hasta 2004) contiene cuatro disposiciones que sustentan directamente la protección de datos.
El artículo 29 declara la inviolabilidad de la correspondencia y los documentos privados. Prohíbe la interceptación o grabación de comunicaciones privadas sin orden judicial, y extiende esta protección a las comunicaciones digitales y electrónicas. Esta disposición es la fuente constitucional de la regla de consentimiento de todas las partes de Panamá para las conversaciones privadas, y se sitúa en la intersección entre la ley de grabación y la protección de datos.
El artículo 42 otorga a toda persona el derecho de acceder a su información personal contenida en bancos de datos o registros públicos o privados, de solicitar la corrección y protección de esa información, y de solicitar su eliminación en las condiciones que establezca la ley. Especifica que dicha información solo puede recopilarse para fines específicos, con el consentimiento del titular o por orden de autoridad competente.
El artículo 43 otorga acceso a la información de interés general contenida en bases de datos administradas por servidores públicos o por personas privadas que prestan servicios públicos.
El artículo 44 crea el recurso constitucional de habeas data (acción de habeas data). Cualquier persona puede presentar este recurso para hacer valer sus derechos de acceso a datos personales en registros oficiales o privados, y para exigir la corrección, actualización, rectificación, eliminación o protección de dichos datos. La acción de habeas data opera como una garantía constitucional independiente y complementaria al procedimiento de denuncia administrativa ante la ANTAI.
"Toda persona podrá interponer una acción de habeas data con el objeto de garantizar el derecho de acceso a su información personal recopilada en bancos de datos o registros oficiales o privados."
- Constitución Política de la República de Panamá, artículo 44
Panamá también ratificó la Convención Americana sobre Derechos Humanos, cuyo artículo 11 prohíbe la injerencia arbitraria en la vida privada, la familia, el domicilio o la correspondencia. Esta obligación de tratado refuerza el marco constitucional interno.
Ley 81 de 2019: alcance, definiciones y principios
La Ley 81 se aplica al tratamiento de datos personales realizado dentro del territorio panameño, y a los responsables del tratamiento establecidos en Panamá aun cuando el tratamiento ocurra fuera del país. El Decreto Ejecutivo 285 amplió aún más el alcance territorial: la Ley 81 también se aplica a los responsables que traten datos personales a través de internet u otros canales electrónicos o digitales en relación con actividades comerciales dirigidas al mercado panameño. Esta cláusula extraterritorial refleja el criterio de orientación del RGPD y significa que las empresas extranjeras que atienden a consumidores panameños deben evaluar su exposición.
Definiciones centrales
Datos personales: cualquier información concerniente a una persona natural identificada o identificable.
Datos sensibles: datos que pertenecen a la "esfera íntima" del titular y cuyo uso ilícito podría dar lugar a discriminación o riesgo grave. Las categorías de la ley incluyen el origen racial o étnico; las creencias religiosas, filosóficas o morales; la afiliación sindical; las opiniones políticas; la información de salud; la orientación sexual o vida sexual; los datos biométricos; y los datos genéticos.
Responsable del tratamiento: la persona natural o jurídica, pública o privada, que decide las finalidades y medios del tratamiento de datos.
Encargado del tratamiento: la persona natural o jurídica que trata datos personales por cuenta del responsable. La Ley 81 exige un contrato escrito entre el responsable y cualquier encargado que especifique las obligaciones de seguridad, el alcance del tratamiento autorizado y los deberes de confidencialidad.
Titular de los datos: la persona natural a la que se refieren los datos personales.
Base de datos: cualquier conjunto organizado de datos personales, independientemente del soporte (digital o físico).
Los ocho principios
La Ley 81 establece ocho principios fundamentales vinculantes para todos los responsables del tratamiento:
| Principio | Contenido |
|---|---|
| Legalidad | El tratamiento debe tener una base jurídica reconocida por la Ley 81 |
| Consentimiento | El tratamiento requiere consentimiento previo, informado, expreso e inequívoco, salvo que aplique una excepción |
| Limitación de la finalidad | Los datos se recopilan para fines específicos, explícitos y legítimos; sin uso secundario incompatible |
| Calidad de los datos | Los datos deben ser exactos, completos y mantenerse actualizados |
| Seguridad | Los responsables deben adoptar medidas técnicas y organizativas apropiadas |
| Transparencia | Los titulares deben ser informados de las actividades de tratamiento |
| Responsabilidad | Los responsables son responsables del cumplimiento y deben poder demostrarlo |
| Lealtad | Los datos deben tratarse de buena fe, respetando las expectativas razonables de los titulares |
El incumplimiento de cualquier principio constituye una infracción sancionable ante la ANTAI bajo el marco sancionatorio de tres niveles descrito más adelante.
Bases jurídicas para el tratamiento
La Ley 81 reconoce seis bases jurídicas sobre las cuales pueden tratarse datos personales sin infringir la ley.
Consentimiento: la base predeterminada. El consentimiento debe ser previo (obtenido antes de iniciar el tratamiento), informado (se ha comunicado al titular la identidad del responsable, las finalidades del tratamiento, los tipos de datos involucrados y sus derechos ARCO), expreso (el silencio o la inacción no constituyen consentimiento) e inequívoco (sin ambigüedad sobre la intención del titular). Los responsables deben poder demostrar que se obtuvo un consentimiento válido; la carga de la prueba recae en el responsable.
Necesidad contractual: el tratamiento es necesario para la ejecución de un contrato del que el titular es parte, o para tomar medidas a su solicitud antes de celebrar el contrato.
Obligación legal: el tratamiento es necesario para cumplir con una obligación legal aplicable al responsable conforme al derecho panameño.
Intereses vitales: el tratamiento es necesario para proteger los intereses vitales del titular o de otra persona natural cuando el titular esté física o legalmente incapacitado para otorgar su consentimiento.
Autoridad pública: el tratamiento es necesario para el ejercicio de una autoridad oficial conferida al responsable, incluidas las entidades públicas que actúan dentro de sus competencias legales.
Datos de acceso público: los datos han sido hechos manifiestamente públicos por el propio titular.
La ley panameña no incluye una base autónoma de "interés legítimo" comparable al artículo 6(1)(f) del RGPD. Las organizaciones que se basan en el interés legítimo en sus operaciones europeas deben identificar una base alternativa al tratar datos sujetos a la jurisdicción panameña.
Datos sensibles: estándares más estrictos
El tratamiento de datos sensibles requiere, como regla general, el consentimiento explícito por escrito. El consentimiento escrito debe identificar claramente la naturaleza sensible de los datos y las finalidades específicas para las que se tratarán. Las excepciones son limitadas: el tratamiento sin consentimiento escrito solo se permite cuando lo exige la ley, para proteger los intereses vitales del titular, cuando el titular haya hecho públicos los datos de manera manifiesta, o cuando el tratamiento sea necesario para procedimientos legales en los que el titular sea parte.
La ANTAI: la autoridad de supervisión
La Autoridad Nacional de Transparencia y Acceso a la Información fue creada por la Ley 6 de 2002 para supervisar la transparencia y el acceso a la información pública. La Ley 81 de 2019 amplió el mandato de la ANTAI para incluir la protección de datos personales, y el Decreto Ejecutivo 285 de 2021 estableció una Dirección de Datos Personales dedicada dentro de la ANTAI.
Facultades y funciones
La Dirección de Datos Personales de la ANTAI cuenta con las siguientes facultades bajo la Ley 81 y el Decreto 285:
- Recibir, investigar y resolver denuncias presentadas por los titulares de datos
- Iniciar investigaciones y auditorías de oficio a responsables y encargados del tratamiento
- Emitir resoluciones vinculantes, notas orientativas y opiniones sobre cuestiones de cumplimiento
- Evaluar si los países extranjeros ofrecen una protección de datos adecuada para efectos de transferencia internacional
- Ordenar medidas correctivas e imponer sanciones administrativas
- Promover la concientización pública sobre los derechos de protección de datos
- Coordinar con reguladores sectoriales (Superintendencia de Bancos, Superintendencia de Seguros, regulador de telecomunicaciones) en normas específicas de cada sector
Procedimiento de denuncia ante la ANTAI
Un titular de datos que considere que se han vulnerado sus derechos bajo la Ley 81 puede presentar una denuncia ante la ANTAI. La hoja de ruta procesal del Decreto 285 exige que la ANTAI reciba la denuncia, notifique al responsable, le otorgue la oportunidad de responder y luego emita una resolución. Si se determina una infracción, la ANTAI ordena la acción correctiva y puede imponer sanciones. Se garantiza el debido proceso a los responsables en todo momento. Los titulares insatisfechos con la resolución de la ANTAI pueden apelar ante los tribunales contencioso-administrativos.
Registro de bases de datos
La Ley 81 exige que los responsables del tratamiento registren sus bases de datos ante la ANTAI. El registro debe incluir: la identidad y los datos de contacto del responsable; las categorías de datos personales tratados; las finalidades del tratamiento; los terceros a quienes se divulgan los datos; y cualquier transferencia internacional planificada. La falta de registro constituye en sí misma una infracción sancionable. La ANTAI mantiene el registro y publica orientación sobre el proceso de inscripción en su sitio web, antai.gob.pa.
Derechos de los titulares de datos (ARCO más portabilidad)
La Ley 81 otorga cinco derechos a los titulares de datos, exigibles mediante denuncia ante la ANTAI o mediante acción de habeas data ante los tribunales.
Derecho de acceso
Un titular puede solicitar confirmación de si sus datos personales están siendo tratados y, en caso afirmativo, obtener una copia de dichos datos junto con información sobre las finalidades del tratamiento, las categorías de datos involucradas y los destinatarios de los datos. El responsable debe responder dentro de 15 días hábiles desde la recepción de una solicitud válida.
Derecho de rectificación
Un titular puede solicitar la corrección de datos personales inexactos, incompletos o desactualizados. El responsable debe realizar la corrección dentro de 10 días hábiles. Los datos corregidos deben comunicarse a cualquier tercero al que se le hayan divulgado previamente.
Derecho de cancelación o eliminación
Un titular puede solicitar la eliminación de sus datos personales cuando: los datos ya no sean necesarios para la finalidad para la que fueron recopilados; se haya retirado el consentimiento y no exista otra base jurídica; los datos se hayan recopilado ilícitamente; o una obligación legal exija su eliminación. El responsable debe actuar dentro de 10 días hábiles. Los datos sujetos a requisitos legales de conservación no pueden eliminarse durante el período de retención obligatorio, pero deben bloquearse para impedir su tratamiento activo posterior.
Derecho de oposición
Un titular puede oponerse al tratamiento incluso cuando este sea por lo demás lícito, si tiene motivos legítimos relacionados con su situación particular. Los responsables deben cesar el tratamiento salvo que puedan demostrar motivos legítimos imperiosos que prevalezcan sobre los intereses del titular.
Derecho a la portabilidad de datos
Los titulares pueden solicitar sus datos personales en un formato estructurado y de uso común, y que se transfieran directamente a otro responsable. Este derecho se aplica cuando el tratamiento se basa en el consentimiento o la necesidad contractual y se realiza por medios automatizados.
Ejercicio de los derechos y escalamiento ante la ANTAI
Los cinco derechos se ejercen mediante la presentación de una solicitud escrita directamente al responsable del tratamiento. Si el responsable no responde dentro del plazo aplicable, responde de manera inadecuada o rechaza la solicitud, el titular puede presentar una denuncia ante la ANTAI o promover una acción de habeas data ante los tribunales. El procedimiento de denuncia de la ANTAI es gratuito.
El consentimiento en detalle
El consentimiento es el mecanismo central bajo la Ley 81, y el Decreto 285 desarrolla sus requisitos.
Previo: el consentimiento debe obtenerse antes de iniciar cualquier tratamiento. El consentimiento retroactivo no es válido.
Informado: el responsable debe revelar, como mínimo: la identidad y los datos de contacto del responsable; las finalidades y la base jurídica del tratamiento; las categorías de datos que se recopilarán; los derechos del titular; cualquier transferencia a terceros; y si los datos se transferirán fuera de Panamá y las salvaguardas vigentes.
Expreso: el consentimiento no puede inferirse del silencio, de casillas premarcadas o de la inacción. El titular debe realizar un acto positivo y afirmativo.
Inequívoco: no debe existir duda razonable sobre la intención del titular. El consentimiento agrupado (donde el acuerdo a una cosa se trata como consentimiento a un tratamiento no relacionado) resulta problemático bajo este estándar.
Revocable: los titulares pueden retirar su consentimiento en cualquier momento. La revocación no afecta la licitud del tratamiento realizado antes de esta. Los responsables deben proporcionar un mecanismo de revocación tan sencillo como el mecanismo para otorgar el consentimiento.
Documentado: los responsables deben conservar evidencia del consentimiento, incluida la fecha, la información proporcionada al titular y el mecanismo mediante el cual se expresó el consentimiento. Esta documentación es la prueba principal en cualquier procedimiento sancionatorio de la ANTAI.
Notificación de brechas de seguridad
El Decreto Ejecutivo 285 establece las obligaciones de notificación de brechas de Panamá. Cuando un responsable tenga conocimiento de una brecha de seguridad que probablemente resulte en un riesgo alto para los derechos y libertades de los titulares, debe notificar tanto a la ANTAI como a los titulares afectados.
Plazo: la notificación a la ANTAI debe realizarse dentro de 72 horas desde que se tenga conocimiento de la brecha. Cuando la notificación dentro de las 72 horas no sea posible, esta debe explicar el motivo del retraso.
Contenido de la notificación a la ANTAI: la naturaleza de la brecha; las categorías de datos personales afectados; el número aproximado de titulares afectados; las consecuencias probables de la brecha; las medidas adoptadas o propuestas para abordarla y mitigar sus efectos; y el nombre y los datos de contacto del oficial de protección de datos u otro punto de contacto.
Notificación a los titulares: cuando la brecha probablemente resulte en un riesgo alto para los derechos y libertades de los titulares, el responsable también debe notificar a las personas afectadas en un lenguaje claro y sencillo, sin demora indebida, describiendo la naturaleza de la brecha y las medidas que pueden tomar para protegerse.
Una brecha que probablemente no resulte en un riesgo alto para los titulares no requiere notificación a estos, pero debe documentarse internamente en el registro de actividades de tratamiento del responsable e informarse a la ANTAI.
Oficial de protección de datos
El Decreto 285 crea la figura del Oficial de Protección de Datos (DPO) en Panamá. La designación del DPO no es universalmente obligatoria para el sector privado bajo la Ley 81 tal como está vigente; sin embargo, el Decreto 285 especifica que el hecho de que una organización haya designado un DPO es un factor que la ANTAI considera al determinar el grado y la severidad de las sanciones. En la práctica, se recomienda encarecidamente a las organizaciones que tratan grandes volúmenes de datos personales o manejan datos sensibles que designen un DPO.
Para el sector de seguros, el Reglamento de Seguros 5-2025 (promulgado el 5 de agosto de 2025) hizo obligatoria la designación de un DPO para todas las entidades de seguros reguladas, incluidas las compañías de seguros, reaseguradoras, corredores y agentes de ventas.
Las funciones del DPO incluyen: supervisar el cumplimiento de la Ley 81 y el Decreto 285; asesorar sobre evaluaciones de impacto de protección de datos; servir como punto de contacto con la ANTAI; y sensibilizar y capacitar al personal. El DPO debe reportar directamente al nivel gerencial más alto de la organización.
Evaluaciones de impacto de protección de datos
La Ley 81 y el Decreto 285 facultan a la ANTAI para ordenar una evaluación de impacto de protección de datos (EIPD) cuando el tratamiento presente riesgos graves para los datos personales, particularmente cuando estén involucradas nuevas tecnologías. La EIPD debe incluir, como mínimo:
- Una descripción del tipo de datos recopilados y la metodología de recopilación
- Un análisis de las finalidades y la necesidad del tratamiento
- Las medidas técnicas y organizativas de seguridad implementadas
- Una evaluación de los riesgos para los derechos de los titulares y las medidas de mitigación adoptadas
La ANTAI puede solicitar que las organizaciones publiquen sus informes de EIPD y puede sugerir la adopción de normas o prácticas específicas. Las organizaciones que realicen tratamientos a gran escala de datos sensibles, perfilamiento sistemático o el despliegue de tecnologías de rastreo novedosas deberían realizar una EIPD de manera proactiva, independientemente de si la ANTAI la ha ordenado específicamente.
Transferencias internacionales de datos
La Ley 81 utiliza un modelo basado en adecuación para las transferencias internacionales de datos, comparable al capítulo V del RGPD.
Determinaciones de adecuación
Los datos personales pueden transferirse libremente a países que la ANTAI haya determinado que ofrecen un nivel adecuado de protección de datos. Al evaluar la adecuación, la ANTAI considera: el marco jurídico del país receptor; la existencia de una autoridad de supervisión independiente con facultades efectivas de aplicación; y la disponibilidad de recursos judiciales para los titulares de datos. La ANTAI mantiene la lista de países adecuados y la actualiza periódicamente.
Mecanismos de transferencia sin adecuación
Cuando el país de destino carece de una determinación de adecuación de la ANTAI, las transferencias solo pueden realizarse si existe una de las siguientes salvaguardas:
| Mecanismo | Requisitos |
|---|---|
| Consentimiento expreso | Se informa al titular del país de destino y de la ausencia de adecuación, y otorga consentimiento expreso para esa transferencia específica |
| Necesidad contractual | Transferencia necesaria para un contrato entre el titular y el responsable, o para un contrato en interés del titular |
| Interés público importante | Transferencia necesaria por razones imperiosas de interés público reconocidas por el derecho panameño |
| Reclamaciones legales | Transferencia necesaria para el establecimiento, ejercicio o defensa de reclamaciones legales |
| Cláusulas contractuales estándar | Cláusulas aprobadas por la ANTAI incorporadas al acuerdo de transferencia |
| Normas corporativas vinculantes | Normas internas aprobadas por la ANTAI para transferencias intragrupo |
| Garantías adecuadas | Otras salvaguardas aprobadas por la ANTAI que ofrezcan protección equivalente |
Las organizaciones que utilicen cláusulas contractuales estándar deben usar o adaptar cláusulas que la ANTAI haya aprobado, y no simplemente adoptar cláusulas contractuales tipo de estilo europeo sin revisión de la ANTAI, ya que se requiere su aprobación para que el mecanismo sea válido bajo el derecho panameño.
Interacción con datos financieros y el secreto bancario
Las transferencias internacionales de datos personales financieros requieren cumplir tanto con las reglas de transferencia de la Ley 81 como con el marco de secreto bancario de Panamá. La Ley Bancaria de Panamá (Decreto Ley 9 de 1998, reformado por la Ley 23 de 2015) prohíbe a los bancos divulgar información de sus clientes a terceros fuera de Panamá sin la autorización específica y escrita del cliente o una orden judicial. El estándar de secreto bancario es más estricto que el estándar general de consentimiento de la Ley 81 para transferencias, por lo que las instituciones financieras deben satisfacer ambos.
Normas sectoriales que se suman a la Ley 81
Varios instrumentos regulatorios emitidos después de la entrada en vigencia de la Ley 81 crean obligaciones adicionales de protección de datos para sectores específicos.
Banca: Acuerdo 1-2022 de la Superintendencia
El 24 de febrero de 2022, la Superintendencia de Bancos de Panamá (SBP) emitió el Acuerdo 1-2022, que ofrece lineamientos específicos para la protección de datos personales tratados por los bancos establecidos en Panamá. El Acuerdo 1-2022 exige que los bancos alineen sus prácticas de tratamiento de datos con la Ley 81 y establece requisitos adicionales para la gobernanza de datos de clientes, incluidos controles de seguridad reforzados y protocolos específicos para el intercambio de datos de clientes dentro de grupos financieros. Los bancos deben cumplir tanto el Acuerdo 1-2022 como la Ley 81; cuando ambos se superponen, se aplica el estándar más estricto.
Servicios públicos: Resolución AN 1267-ADM/2023
El 14 de junio de 2023, la ANTAI emitió la Resolución AN 1267-ADM/2023, que aborda la protección de datos personales en el contexto de los servicios públicos. La resolución establece obligaciones específicas para los prestadores de servicios públicos respecto de los datos de sus clientes, incluidos requisitos de transparencia, límites de retención y procedimientos de atención de denuncias alineados con la Ley 81.
Seguros: Reglamento 5-2025
El 5 de agosto de 2025, la Superintendencia de Seguros y Reaseguros de Panamá promulgó el Reglamento de Seguros 5-2025. El reglamento se aplica a todas las compañías de seguros, reaseguradoras, corredores, ejecutivos de ventas y otras entidades reguladas que tratan datos personales de consumidores o asegurados. Los requisitos clave incluyen:
- Designación obligatoria de un Oficial de Protección de Datos dentro de la entidad regulada
- Un período de cumplimiento de 90 días calendario a partir de la fecha de vigencia del reglamento
- Requisitos reforzados de consentimiento para datos de salud y biométricos tratados en la suscripción de pólizas
- Obligaciones específicas de notificación de brechas al superintendente de seguros, además de a la ANTAI
- Límites de retención de datos alineados con el ciclo de vida del contrato de seguro
Datos crediticios: Ley 24 de 2002
La Ley 24 del 22 de mayo de 2002 regula los servicios de información sobre el historial crediticio de consumidores y clientes. Esta ley es anterior a la Ley 81 y cubre entidades como la Asociación Panameña de Crédito (APC), el principal buró de crédito privado de Panamá. La Ley 24 otorga a los consumidores derechos de acceso a sus expedientes crediticios y de solicitud de corrección de errores. La Ley 81 complementa a la Ley 24 al aplicar el marco general de derechos ARCO al tratamiento de datos crediticios; cuando ambas se superponen, las disposiciones más específicas de la Ley 24 continúan rigiendo las operaciones de los burós de crédito, y la Ley 81 llena los vacíos en materia de consentimiento, seguridad y notificación de brechas.
Sanciones y aplicación
La Dirección de Datos Personales de la ANTAI clasifica las infracciones en tres niveles y aplica sanciones proporcionales al nivel, el daño causado y la conducta del responsable.
Marco de infracciones de tres niveles
| Nivel | Ejemplos | Sanciones disponibles |
|---|---|---|
| Infracción leve | No presentar la información requerida a la ANTAI dentro del plazo; incumplimiento procesal | Citación; advertencia formal con acción correctiva obligatoria |
| Infracción grave | Tratamiento sin consentimiento válido; incumplimiento de cualquiera de los ocho principios; restricción de los derechos ARCO; no informar a los titulares; almacenamiento de datos sin seguridad adecuada; incumplimiento de los requerimientos de la ANTAI | Multa de B/.1,000 a B/.10,000 |
| Infracción muy grave | Recopilación ilícita e intencional de datos personales; infracciones graves reiteradas; incumplimiento de órdenes regulatorias de la ANTAI; transferencias internacionales no autorizadas | Suspensión (temporal o permanente) de la base de datos; inhabilitación para actividades de tratamiento; cierre de la base de datos |
Todas las multas se denominan en balboas (B/.), fijados 1:1 con el dólar estadounidense. Una multa de B/.10,000 equivale, por lo tanto, a USD 10,000. Los factores que afectan el grado de la sanción incluyen la severidad del daño, si la infracción fue intencional, si el responsable cuenta con un DPO, el historial de cumplimiento del responsable, y si el responsable cooperó con la investigación de la ANTAI.
Actividad de aplicación
La Dirección de Datos Personales de la ANTAI ha ido construyendo progresivamente su capacidad de aplicación desde que la ley entró en vigencia en marzo de 2021. La autoridad ha tramitado denuncias en los sectores de telecomunicaciones, servicios financieros y salud. La ANTAI también ha emitido orientación sobre los plazos de cumplimiento para el registro de bases de datos y la notificación de brechas. Las organizaciones en sectores con grandes volúmenes de datos de clientes no deben suponer que la relativa juventud de la ANTAI como regulador de protección de datos implica que la aplicación sea poco probable; la aplicación impulsada por denuncias está activa, y las auditorías de oficio han aumentado.
Desarrollos recientes: 2024 a 2026
El panorama de protección de datos de Panamá ha continuado evolucionando desde la entrada en vigencia de la Ley 81.
Reglamento de Seguros 5-2025 (agosto de 2025): la Superintendencia de Seguros promulgó el Reglamento 5-2025 el 5 de agosto de 2025, haciendo obligatoria la designación de un DPO para todas las entidades del sector asegurador e imponiendo obligaciones reforzadas de protección de datos en todo el sector. Las entidades reguladas tuvieron 90 días calendario desde la fecha de vigencia para cumplir.
Alineación con el Convenio de Budapest (octubre de 2024): el 10 de octubre de 2024, la Asamblea Nacional de Panamá promulgó reformas al Código Penal, al Código Procesal Penal y a la Ley 11 de 2015 sobre asistencia legal internacional en materia penal. Las reformas alinean plenamente la legislación panameña sobre ciberdelitos con el Convenio de Budapest. Los delitos nuevos y revisados incluyen la interceptación ilícita de datos, los ataques a la integridad de sistemas, el robo de identidad, el ciberacoso a menores y la difusión no consentida de material íntimo. Las reformas también establecen un capítulo dedicado a la evidencia digital que abarca la conservación, la recopilación en tiempo real y la cooperación internacional. La alineación con el Convenio de Budapest fortalece el trasfondo del derecho penal frente a las brechas de datos, al añadir posible exposición penal cuando las brechas involucran acceso o interceptación no autorizados e intencionales.
Fortalecimiento de capacidades de la ANTAI: la ANTAI ha continuado desarrollando su infraestructura de aplicación, incluida la capacitación de personal, el desarrollo de protocolos de aplicación sectorial y la participación en la Red Iberoamericana de Protección de Datos (RIPD). La participación de la ANTAI en la RIPD respalda la cooperación mutua con las autoridades de protección de datos de España, Argentina, México y otras jurisdicciones iberoamericanas.
Gobierno digital y Panamá Digital: el gobierno de Panamá ha ampliado su plataforma Panamá Digital y su infraestructura de identidad digital. Estos proyectos requieren una alineación continua con la Ley 81, particularmente en lo relativo al tratamiento de datos biométricos y registros de identidad digital, que se encuentran dentro de la categoría de datos sensibles.
Coordinación entre la ANTAI y la SBP: tras el Acuerdo 1-2022 de la SBP, la ANTAI y la Superintendencia de Bancos han mantenido coordinación en casos relacionados con datos bancarios. Las organizaciones del sector financiero deben monitorear a ambos reguladores en busca de orientación, ya que las acciones de aplicación pueden originarse de cualquiera de las dos autoridades según la naturaleza de la infracción.
Cumplimiento empresarial: pasos prácticos
Las organizaciones que operan en Panamá o que se dirigen al mercado panameño deben construir un programa de cumplimiento en torno a las siguientes obligaciones.
Inventario y mapeo de datos: identifique todos los datos personales tratados, la base jurídica de cada actividad de tratamiento, las categorías de datos involucradas, las ubicaciones de almacenamiento y cualquier encargado externo o transferencia internacional.
Registro de bases de datos: registre todas las bases de datos que contengan datos personales ante la ANTAI antes de iniciar el tratamiento.
Avisos de privacidad: proporcione a los titulares avisos claros y en lenguaje sencillo en el momento de la recopilación de datos. Los avisos deben cubrir la identidad del responsable, las finalidades del tratamiento, la base jurídica, los derechos ARCO y cualquier transferencia internacional.
Gestión del consentimiento: implemente mecanismos para obtener, documentar y gestionar el consentimiento. Asegúrese de que el consentimiento sea revocable y de que la revocación sea tan sencilla como otorgarlo.
Protocolos para datos sensibles: aplique controles reforzados a las categorías de datos sensibles. Exija consentimiento explícito por escrito para cualquier tratamiento de datos de salud, biométricos, genéticos, raciales u otros datos sensibles, salvo que aplique claramente una excepción legal.
Contratos con encargados: firme un acuerdo escrito de tratamiento de datos con cada encargado externo, especificando las obligaciones de seguridad, el alcance del tratamiento autorizado y los requisitos de confidencialidad.
Medidas de seguridad: implemente medidas técnicas y organizativas de seguridad apropiadas al riesgo, incluidos controles de acceso y cifrado para los datos sensibles en tránsito y en reposo.
Plan de respuesta a brechas: establezca un protocolo de detección, evaluación y notificación de brechas que permita notificar a la ANTAI dentro de las 72 horas desde su conocimiento. Mantenga registros internos de todas las brechas.
Atención de solicitudes ARCO: designe un punto de contacto para las solicitudes de los titulares e implemente un flujo de trabajo que cumpla con los plazos de 15 días hábiles (acceso) y 10 días hábiles (rectificación, cancelación, oposición).
Designación del DPO: designe un DPO, particularmente para las organizaciones que tratan grandes volúmenes de datos sensibles. Las entidades del sector asegurador deben designar un DPO conforme al Reglamento 5-2025.
Revisión de transferencias internacionales: evalúe si cada destino de transferencia de datos cuenta con una determinación de adecuación de la ANTAI. Para transferencias a países no adecuados, implemente salvaguardas aprobadas antes de transferir.
Registro de actividades de tratamiento: mantenga un registro actualizado de actividades de tratamiento como la documentación principal de cumplimiento para las auditorías de la ANTAI.
Descargo de responsabilidad
Este artículo presenta información legal general sobre el marco de protección de datos de Panamá conforme a la Ley 81 de 2019, el Decreto Ejecutivo 285 de 2021 y los instrumentos sectoriales relacionados. No constituye asesoría legal para ninguna situación específica. La información fue verificada al 19 de mayo de 2026 y refleja el estado del derecho panameño a esa fecha. Los requisitos legales cambian; consulte a un abogado autorizado para ejercer en Panamá para obtener asesoría sobre sus circunstancias particulares.
Última actualización: 2026-05-19. Las normas citadas reflejan su versión vigente al 2026-05-19.
Fuentes y referencias
- ANTAI - Autoridad Nacional de Transparencia y Acceso a la Información (sitio oficial)(antai.gob.pa).gov
- Gaceta Oficial Digital de Panamá - Ley 81 del 26 de marzo de 2019(gacetaoficial.gob.pa).gov
- Gaceta Oficial Digital de Panamá - Decreto Ejecutivo 285 del 28 de mayo de 2021(gacetaoficial.gob.pa).gov
- Constitución Política de la República de Panamá (artículos 29, 42, 43, 44)(constituteproject.org)
- Superintendencia de Bancos de Panamá - Acuerdo 1-2022(superbancos.gob.pa).gov
- Asamblea Nacional de Panamá(asamblea.gob.pa).gov
- Consejo de Europa - Alineación de la legislación panameña sobre ciberdelitos (octubre de 2024)(coe.int)
- Morgan & Morgan - Reglamento de Seguros 5-2025(morimor.com)
- Red Iberoamericana de Protección de Datos (RIPD)(redipd.org)
- DLA Piper - Leyes de Protección de Datos del Mundo: Panamá(dlapiperdataprotection.com)
- UNCTAD - Legislación de Protección de Datos y Privacidad a Nivel Mundial(unctad.org)