¿QUÉ SON LOS DATOS PERSONALES?

Cualquier información concerniente a personas naturales, que las identifica o las hace identificables. Un ejemplo de datos personales seria: Nombre y apellido,  Número de cédula, dirección de domicilio, número de teléfono, correo electrónico y fecha de nacimiento

¿QUÉ SON LOS DATOS BIOMÉTRICOS?

Datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona natural que permitan o confirmen la identificación única de dicha persona. Un ejemplo de datos biométricos sería: la huella dactilar,  el reconocimiento facial, el iris del ojo

¿QUÉ SON LOS DATOS SENSIBLES?

Según el Artículo 4 de la Ley 81, el dato sensible se refiere a la esfera íntima de su titular, cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para este. Un ejemplo sencillo de dato sensible sería: Tu historial médico, Tu religión, Tu huella digital o reconocimiento facial. 

¿PUEDEN OBLIGARME A ENTREGAR MI DOCUMENTO DE IDENTIDAD PERSONAL PARA FOTOGRAFIARLO O ESCANEARLO, PARA OBTENER UN SERVICIO, ¿UN PRODUCTO O ACCESO A UN INMUEBLE?

Nadie puede ser obligado a entregar su documento de identidad personal para ser fotografiado o escaneado para obtener un servicio, un producto o condicionar el ingreso a un inmueble, lo que se permite es que previo consentimiento del titular del dato, pueda ser capturada para almacenamiento los datos que éste permita.

OPINIÓN No. 02-2022  de 27 de mayo de 2022 

OPINIÓN DE OFICIO 

ASUNTO:  Ilicitud de la captación de imágenes de cualquier documento de identidad personal, a través de cualquier medio, sin el consentimiento previo, inequívoco e informado de su titular. Datos Biométricos. Datos sensibles. 

TIPO DE OPINIÓN: De oficio 

ALCANCE:  Vinculante y de aplicación general a todas las instituciones públicas, inmuebles bajo el régimen de propiedad horizontal, empresas privadas y en general personas naturales o jurídicas, de derecho público o privado, lucrativas o no, que traten datos personales. 

No podrá exigirse de forma obligatoria la captación de imágenes de o sobre cualquier documento de identidad personal, a través de cualquier medio, como condición o requisito indispensable para permitir el acceso o ingreso a inmuebles bajo el régimen de propiedad horizontal, instituciones públicas, entidades descentralizadas, autónomas, semi autónomas, municipios, juntas comunales, cualquier agencias o dependencia del Estado, o de cualquiera de sus Órganos; empresas privadas y en general, personas naturales o jurídicas, de derecho público o privado, lucrativas o no, que traten datos personales, toda vez que se trata de un dato biométrico y de manera consecuente es un dato sensible.

Solo podrán ser captados y almacenados aquellos datos personales que se encuentren en el documento de identidad personal, siempre y cuando hayan sido provistos voluntariamente por su titular.

Debe contarse obligatoriamente con medios alternativos de registro, (libros de registro en formato manual o computarizado o similar), en caso de que el titular de los datos no acceda a que se capten u obtengan imágenes de su documento de identidad personal.

¿ES PERMITIDO LLAMAR A LOS TELÉFONOS PARTICULARES PARA OFRECER PRODUCTOS Y SERVICIOS, SIN HABER OBTENIDO LA INFORMACIÓN PERSONAL DEL CONTACTO CON CONSENTIMIENTO PREVIO?

A partir de la entrada en vigencia de la Ley No. 81 de 26 de marzo de 2019, todos los tratamientos que se realicen a las bases de datos personales por regla general deben mantener el consentimiento de sus titulares, salvo las excepciones que se establecen en el artículo 8 de la Ley No. 81 de 26 de marzo de 2019.

Si los datos se obtuvieren de parte de una transferencia o cesión legal de datos, el titular del dato personal debe ser debidamente informado de la transferencia de su dato personal, para que pueda ejercer en tiempo oportuno cualquiera de los derechos que le confiere la ley.

¿ANTE QUÉ AUTORIDAD DEBE EL TITULAR DEL DATO PERSONAL PRESENTAR UNA DENUNCIA POR POSIBLE VIOLACIÓN DE LOS DERECHOS QUE LE CONFIERE LA LEY NO. 81 DE 26 DE MARZO DE 2019?

La Autoridad Nacional de Transparencia y Acceso a la Información mediante la Dirección de Datos Personales es la que mantiene la facultad de realizar las investigaciones e imponer las sanciones a las personas naturales y/o jurídicas, que vulneren el contenido de la Ley No. 81 de 26 de marzo de 2019.

MEDIOS PARA PRESENTAR UNA DENUNCIA EN PROTECCIÓN DE DATOS PERSONALES

Los titulares de datos personales que requieran presentar una denuncia ante esta Autoridad disponen de los siguientes medios:

  1. A través del sitio web oficial de la Autoridad Nacional de Transparencia y Acceso a la Información, en su página principal se encuentra la opción ANTAI Smart CID.
  2. Enviando la denuncia formal por escrito al correo de la Dirección de Protección de Datos Personales: protecciondedatos@antai.gob.pa.
  3. De forma presencial entregando la denuncia formal por escrito, en la sede principal ubicada en Ave. del Prado, Edificio 713, Balboa, Ancón, Panamá. 

Es oportuno precisar que la Ley No. 81 de 2019 tiene un carácter personalísimo, por cuanto los derechos que reconoce corresponden directamente al titular de los datos personales. En consecuencia, cuando una persona considere que sus datos personales han sido afectados, puede incoar la denuncia correspondiente ante esta Autoridad. Tratándose de datos personales de menores de edad, la denuncia podrá ser presentada por sus padres, madres, tutores, representantes legales o acudientes, en protección de los derechos del menor.

FORMALIDADES PARA PRESENTAR LA DENUNCIA:

En cuanto a las formalidades requeridas, podemos indicarle que no existe la obligatoriedad de que la denuncia se presente de manera presencial.  En ese sentido, la Ley No. 38 de 31 de julio de 2000 de Procedimiento Administrativo, en su artículo 77, establece: “la presentación de las denuncias y quejas ante la Administración Pública no requiere de formalidades especiales o estrictas, por lo que podrán presentarse en forma verbal (en cuyo caso se levantará la correspondiente acta que firmará la persona querellante o denunciante), en forma escrita, por telegrama, mediante fax y cualquier otro medio idóneo para hacer de conocimiento de la Administración Pública los hechos y las razones que las originaron”.

Igualmente, las denuncias administrativas no requieren para su presentación y seguimiento de la intervención de un abogado que realice el trámite, puede ser el titular de los datos personales, como lo establece el artículo 21 del Decreto Ejecutivo No. 285 de 28 de mayo de 2021; sin embargo, debe incluir toda la información de contacto del denunciante (nombre completo, cédula, domicilio completo, teléfono, correo electrónico); una narración detallada de los hechos;  toda la información que disponga de la persona a denunciar y acompañar las pruebas en caso de tenerlas o indicar dónde puedan ser recabadas.

PLAZOS DE ATENCIÓN DE LOS DERECHOS ARCO

  • Derecho de Acceso: la Ley No. 81 de 2019 (artículo 16) establece un plazo máximo de diez (10) días hábiles para proporcionar al titular la información solicitada.
  • Derecho de Rectificación: conforme al artículo 17 de la misma Ley, debe ejecutarse en un término no mayor de cinco (5) días hábiles desde la solicitud.
  • Derecho de Cancelación: establece un plazo máximo de diez (10) días hábiles para proporcionar al titular la información solicitada.
  • Derecho de Portabilidad: Diez (10) días hábiles para proporcionar al titular la información solicitada.
  • Derecho de Oposición: es de efecto inmediato, por lo que el responsable debe cesar el tratamiento desde el momento de la solicitud, salvo que concurran motivos legítimos imperiosos o que sea necesario para la formulación, ejercicio o defensa de reclamaciones.

Teniendo en cuenta lo anterior, el responsable del tratamiento tiene que cumplir con el deber de informar sobre el propósito y las finalidades del tratamiento de los datos personales, así como también el tiempo de conservación de la información y medios disponibles para ejercer los derechos ARCO. 

El titular de los datos personales puede ejercer sus derechos ARCO y el responsable del tratamiento de los datos personales deberá dar respuesta al ejercicio de los derechos, incluso cuando no mantengan datos almacenados relacionados al solicitante.

DERECHO DE SER INFORMADOS:

Los ciudadanos tienen el derecho de conocer y controlar sus datos personales, quién los utiliza y para qué propósito. Los titulares pueden solicitar que se les informe sobre sus datos, corregir información que sean incorrectos, irrelevantes, incompletos, desfasados, inexactos, falsos o impertinentes y asegurar su confidencialidad.

DERECHO DE NO SER OBJETO DE DECISIONES AUTOMATIZADAS

El titular de los datos personales tiene derecho a no ser sujeto de una decisión basada únicamente en el tratamiento automatizado de sus datos personales, que produzca efectos jurídicos negativos o le produzca un detrimento a un derecho, cuyo objeto sea evaluar determinados aspectos de su personalidad, estado de salud, rendimiento laboral, crédito, fiabilidad, conducta, características o personalidad, entre otros. No obstante, dicha decisión será posible cuando:

  1. El titular de los datos personales la haya consentido.
  2. Sea necesaria para celebrar o dar cumplimiento a un contrato o relación jurídica entre el responsable del tratamiento y el titular de los datos personales.
  3. Sea autorizada por leyes especiales o las normativas que las desarrollen.

RECOLECCIÓN DE DATOS PERSONALES:

Los datos personales deben ser recolectados con fines determinados y no ser tratados posteriormente para fines incompatibles o distintos para los cuales se solicitaron.

En este sentido, la Ley No. 81 de 26 de marzo de 2019, establece en su artículo 6, numeral 1, lo siguiente:

Artículo 6. El tratamiento de datos personales solo podrá realizarse cuando se cumplan al menos una de las condiciones siguientes:

  1. Que se obtenga el consentimiento del titular de los datos.

Los responsables del tratamiento deben implementar los mecanismos necesarios para acreditar el cumplimiento del artículo 6 de la Ley No. 81 de 2019, es decir, desde su recogida hasta su destrucción, cumpliendo con los protocolos, procedimientos y principios que la propia ley establece, efectuando un tratamiento que puede considerarse legítimo.

Teniendo en cuenta lo anterior, el responsable del tratamiento tiene que cumplir con el deber de informar sobre el propósito y las finalidades del tratamiento de los datos personales, así como también el tiempo de conservación de la información y medios disponibles para ejercer los derechos ARCO.

INSTALACIÓN DE SISTEMAS DE VIDEOVIGILANCIA:

La instalación y utilización de sistemas de videovigilancia en áreas comunes de propiedades horizontales, tales como lobbies o pasillos por piso, puede considerarse jurídicamente viable, siempre que su implementación se realice con estricto apego a los principios y obligaciones establecidos en la Ley No. 81 de 2019 y su reglamentación contenida en el Decreto Ejecutivo No. 285 de 2021.

La administración del inmueble, en su calidad de responsable del tratamiento de las imágenes captadas mediante el sistema de videovigilancia, deberá garantizar que dicho tratamiento se realice conforme a los principios de licitud, finalidad, proporcionalidad, seguridad de los datos y transparencia, establecidos en la Ley No. 81 de 2019 y su reglamentación contenida en el Decreto Ejecutivo No. 285 de 2021.

En cuanto a la señalización de las áreas videovigiladas, si bien la normativa vigente no establece de manera expresa la obligación de colocar avisos o carteles informativos, esta Dirección ha recomendado, en aras de promover el cumplimiento de los principios de información y transparencia previstos en la Ley, la adopción de medidas que permitan a las personas conocer que se encuentran en un área sometida a videovigilancia.

En tal sentido, se recomienda que:

  • Cada acceso a una zona videovigilada cuente con avisos visibles, con contraste suficiente respecto al fondo y con información clara sobre la existencia del sistema de videovigilancia, conforme a lo dispuesto en los artículos 14 y 15 de la Ley No. 81 de 2019.

Dichos avisos incluyan, como mínimo:

  • La identidad y datos de contacto del responsable del tratamiento.
  • La finalidad del sistema de videovigilancia.
  • Los derechos que asisten a los titulares de los datos (acceso, rectificación, cancelación, oposición y portabilidad).
  • La ubicación o forma de acceso a la política de tratamiento de datos personales aplicable.

Adicionalmente, se recomienda que la administración del inmueble disponga de un documento informativo más detallado sobre el sistema de videovigilancia, accesible por medios físicos o digitales, en el que se describan los aspectos técnicos y legales relacionados con el tratamiento de las imágenes captadas, incluyendo los protocolos de acceso, conservación y custodia de las grabaciones.

En consecuencia, si el sistema de videovigilancia instalado en las áreas comunes de la propiedad horizontal se utiliza exclusivamente con fines de seguridad, y se adoptan las medidas anteriormente descritas para informar a los residentes y visitantes sobre su funcionamiento, así como para proteger los derechos de los titulares de los datos, no se configuraría una infracción a la normativa vigente, siempre que se garantice en todo momento la confidencialidad, seguridad e integridad de la información recolectada.

En este contexto, es dable precisar que tratándose de una propiedad horizontal, la Ley No. 284 de 14 de febrero 2022, sobre el régimen de propiedad horizontal, establece en su artículo 57, numeral 10, lo siguiente:

El propietario tendrá como mínimo los siguientes derechos:

  1. Recibir información relativa a la propiedad horizontal por parte de la Junta Directiva y/o del administrador en los plazos establecidos en la presente Ley y cuando sea necesario.
  2. Presentar peticiones ante la Junta Directiva o ante el administrador, y recibir una pronta respuesta y/o solución sobre esta.
  3. Al uso, goce y disfrute de las áreas comunes y privativas, sin más limitaciones que las establecidas en esta Ley, su reglamentación, el Reglamento de Copropiedad y Reglamento de Uso.
  4. Recibir una copia física y/o digital por parte de la Junta Directiva y/o el administrador del Reglamento de Copropiedad y del Reglamento de Uso. En el caso de requerir copias adicionales, serán a costas del propietario.
  5. Participar con voz dentro de las reuniones de la Asamblea de Propietarios y ejercer su derecho a voto siempre que se encuentre habilitado para ello.
  6. Recibir copia de las actas de Asamblea de Propietarios y certificaciones de actas de Junta Directiva por temas relacionados con su unidad inmobiliaria o las áreas comunes del inmueble, cuando así lo solicite.
  7. Recibir las certificaciones de paz y salvo en un plazo no mayor de tres días calendario, cuando así lo solicite.
  8. Recibir un trato digno y respetuoso por parte de los demás propietarios y/o residentes, personal de la administración y demás personas relacionadas con el funcionamiento de la propiedad horizontal.
  9. Formar parte de la Junta Directiva o de algún comité de apoyo de la propiedad horizontal.
  10. Recibir trato confidencial en los asuntos que se refieran a su vida privada o intimidad. La administración deberá asegurar que el manejo de las herramientas tecnológicas de seguridad, las imágenes e información obtenidas a través de estos medios, deban ser entregadas solo por requerimiento de las autoridades competentes o del propietario afectado, por actos de dolo, culpa o negligencia cometidos en contra de la ley y/o el Reglamento de Copropiedad o uso del bien inmueble”.
  11. Cualquier otro que le otorgue la presente Ley y su reglamentación.

Por tanto, corresponde a la Administración de los P.H. residenciales la instalación de protocolos de mantenimiento, funcionamiento y medidas de seguridad de los sistemas de videovigilancia, aprobados por la asamblea de propietarios, los cuales deben limitarse a las áreas comunes o de acceso y deben colocarse de manera visible carteles informativos en cada una de las cámaras instaladas.

CONDICIONES DE LICITUD NECESARIAS PARA EFECTUAR TRATAMIENTOS DE DATOS PERSONALES

El artículo 6 de la Ley No. 81 de 26 de marzo de 2019, establece lo siguiente:

Artículo 6.  El tratamiento de datos personales solo podrá realizarse cuando se cumplan al menos una de las condiciones siguientes:

  1. Que se obtenga el consentimiento del titular de los datos.
  2. Que el tratamiento de los datos sea necesario para la ejecución de una obligación contractual, siempre que el titular de los datos sea parte.
  3. Que el tratamiento sea necesario para el cumplimiento de una obligación legal para la cual el responsable de los datos esté sujeto.
  4. Que el tratamiento de los datos personales esté autorizado por una ley especial o las normativas que las desarrollan.

La persona que consienta dicho tratamiento debe ser debidamente informada respecto del propósito del uso de sus datos personales.  El consentimiento podrá obtenerse de forma que permita su trazabilidad mediante documentación, ya sea electrónica o mediante cualquier otro mecanismo que resulte adecuado al medio de que se trate el caso y podrá ser revocado, sin efecto retroactivo.” (el subrayado es nuestro).

En consecuencia, para que el titular proporcione su información personal contenida en documentos de identidad, tales como cédula o licencia de conducir, debe existir alguna de las condiciones descritas en el precitado artículo, siendo la principal el consentimiento previo, inequívoco e informado.

RESPONSABLE DEL TRATAMIENTO DEL DATO PERSONAL

El responsable de tratamiento de los datos personales es definido en el artículo 4, numeral 17 de la Ley No. 81 de 2019, como: “Persona natural o jurídica, de derecho público o privado, lucrativa o no, que le corresponde las decisiones relacionadas con el tratamiento de los datos y que determina los fines, medios y alcance, así como cuestiones relacionadas a estos”.

EL OFICIAL DE PROTECCIÓN DE DATOS PERSONALES

El Decreto Ejecutivo No. 285 de 28 de mayo de 2021 menciona que la implementación del Oficial de Protección de Datos Personales es una buena práctica y no una obligación general para entidades privadas y obligatorio para las entidades públicas.

El Artículo 42 – Oficial de protección de datos,  establece:

El oficial de información, que desarrolla la ley 33 de 2013, será también para los efectos de la ley 81 de 2019, y el presente decreto, el oficial de protección de datos personales, para el sector público. Las entidades privadas, podrán designar un oficial de protección de datos, que podrá ser personal laboral o profesional con contrato de servicios, suscrito con el responsable del tratamiento o el custodio de la base de datos.  La designación de un Oficial de Protección de Datos Personales para el sector privado no es obligatoria, no obstante, si fuera el caso, la autoridad de control la tomará en cuenta como criterio para la graduación de las sanciones. 

El Artículo 43 – Perfil del oficial de protección de datos, establece:

Para ser oficial de protección de datos se requiere una experiencia profesional previa en la materia y el conocimiento del sector de actividad de la entidad pública o privada en la que ejercerá sus funciones. La designación del oficial de protección de datos personales se estimará válida por parte de la autoridad de control, sólo cuando el responsable del tratamiento o el custodio de la base de datos lo notifique formalmente y de manera expresa. Lo mismo ocurrirá en el caso de que dicha designación sea revocada. La autoridad de control, llevará un registro de los oficiales de protección de datos y podrá organizar capacitaciones dirigidas a fortalecer sus funciones.

El Artículo 44 – Desempeño y funciones del oficial de protección de datos, establece:

El oficial de protección de datos desempeñará sus funciones con independencia, siendo obligación del responsable del tratamiento o del custodio de la base de datos garantizar esta independencia y evitar cualquier conflicto de interés. Debe tener una interlocución directa con la dirección u órgano de toma de decisión de la entidad a la que representa en esta materia y se le deberán proporcionar los medios necesarios para que pueda cumplir su misión.

FUNCIONES DEL OFICIAL DE PROTECCIÓN DE DATOS PERSONALES 

  1. Participar en tiempo y forma en las cuestiones referidas a la protección de datos personales.
  2. Informar y asesorar al responsable del tratamiento o al custodio de la base de datos en las cuestiones relacionadas con el cumplimiento de la Ley No. 81 de 2019, del Decreto No. 285 de 28 de mayo de 2021 o de cualquier disposición legal aplicable en cada caso.
  3. Supervisar el cumplimiento de la normativa.  Para ello podrá examinar, a solicitud del responsable del tratamiento o del custodio de la base de datos o por iniciativa propia, tratamientos de datos personales que se estén llevando a cabo y realizar recomendaciones para la adopción de medidas correctoras necesarias cuando los tratamientos analizados no sean conformes con la normativa aplicable.
  4. Promover la capacitación de las personas que asuman tareas relacionadas con el tratamiento de datos personales.
  5. Cooperar con la autoridad de control.
  6. Ser la unidad de enlace con la autoridad de control.
  7. Asesorar al responsable del tratamiento o custodio de la base de datos en la respuesta a los requerimientos u observaciones formalmente notificados por la autoridad de control.
  8. Ser la unidad de enlace con los titulares de los datos para las cuestiones relativas al tratamiento de los datos y a sus derechos.

LÍMITE DE LA RESPONSABILIDAD DEL OFICIAL DE PROTECCIÓN DE DATOS PERSONALES.

El artículo 45 de la Ley No. 81 de 26 de marzo de 2019, establece lo siguiente:

El oficial de protección de datos personales no tendrá la consideración de responsable del tratamiento o custodio de la base de datos por prestar sus servicios en la entidad correspondiente.

CONTACTENOS

(+507) 527-9270

(+507) 527-9274