Desde el 28 de mayo de 2021, cuando el Decreto Ejecutivo 285 reglamentó la Ley 81 de 2019, la protección de datos personales en Panamá dejó de ser una declaración de principios y pasó a ser una lista de obligaciones verificables. La autoridad —la ANTAI (Autoridad Nacional de Transparencia y Acceso a la Información)— no solo atiende denuncias: puede hacer auditorías de oficio, y su régimen sancionador va de multas de B/.1,000 a B/.10,000 (el monto lo fija la ANTAI), más advertencias, cierre del registro o suspensión de la actividad de tratamiento. Para una fintech o cualquier empresa que vive de sus datos, la suspensión duele bastante más que la multa.
La pregunta que escuchamos de líderes de datos y compliance en Panamá no es "¿qué dice la ley?" —eso ya lo tienen resumido sus abogados—, sino "¿cómo produzco y mantengo la evidencia que la ley pide, sin que se me desactualice cada trimestre?". Este artículo responde eso.
Lo que la Ley 81 exige, traducido a artefactos
Leída con ojos de ingeniería, la Ley 81 y su reglamento piden cosas concretas, no intenciones:
1. Un RAT — Registro de Actividades de Tratamiento — de responsable y encargado. El reglamento exige que tanto el responsable del tratamiento como el encargado mantengan un registro que describa los tipos de datos recolectados, las finalidades del tratamiento, las categorías de destinatarios y los períodos de conservación. Ese "y encargado" importa: si procesas datos por cuenta de otros —cosa habitual en tecnología, BPO o servicios financieros—, la obligación también es tuya.
2. Un inventario de bases de datos disponible para la ANTAI a requerimiento. No es un documento que se entrega una vez: es un registro que debe poder presentarse cuando la autoridad lo pida. Junto con esto, la norma exige identificar a las personas que ingresan datos dentro de 15 días hábiles desde que inicia esa actividad. Quince días hábiles es un plazo operativo, no jurídico: solo se cumple si el alta de un nuevo "ingresador" dispara un proceso, no un recordatorio mental.
3. Medidas de seguridad técnicas y organizativas adecuadas. La seguridad es uno de los principios explícitos de la ley, junto con lealtad, finalidad, proporcionalidad, veracidad y transparencia — y el consentimiento previo y los derechos ARCO como columna vertebral.
4. Transferencias internacionales documentadas. El Decreto 285 permite usar SaaS y nube desde el extranjero —no hay mandato de localización— siempre que exista una salvaguarda: país con nivel adecuado, cláusulas contractuales tipo (SCC), normas corporativas vinculantes (BCR), consentimiento o necesidad contractual. Y exige documentar por escrito el registro de las bases transferidas a terceros.
Una nota de honestidad: a diferencia de otros marcos de la región, en las fuentes públicas que hemos revisado no encontramos una evaluación de impacto (EIPD/DPIA) obligatoria explícita en el régimen panameño. Antes de descartarla —o de asumirla—, conviene validar el texto del Decreto 285 con asesoría legal panameña. Lo mismo aplica si operas en sector financiero: las reglas de la Superintendencia de Bancos sobre nube y tercerización tecnológica merecen su propia revisión.
Por qué el Excel de cumplimiento caduca
La mayoría de las organizaciones resuelve esta lista una vez: un consultor levanta el inventario, el abogado redacta el RAT, todo queda en un Excel y un PDF, y el proyecto se cierra. Seis meses después, ese Excel describe una empresa que ya no existe.
Porque los datos se mueven más rápido que los documentos. Se lanza un producto nuevo y aparece una finalidad que el RAT no registra. Marketing contrata una herramienta SaaS y nace una transferencia internacional sin salvaguarda documentada. Se integra un CRM y ahora hay veinte personas nuevas ingresando datos — y el plazo de 15 días hábiles corre sin que nadie lo sepa. Cuando la ANTAI pida el inventario "a requerimiento", lo que tienes es una foto vieja.
El problema no es haber hecho el Excel. El problema es tratar como documento estático algo que la ley diseñó como registro vivo. "Disponible a requerimiento" y "15 días hábiles" no describen un entregable: describen una operación.
Cómo un programa de gobierno mantiene cada artefacto vivo
Aquí es donde entra el gobierno de datos — no como una herramienta que se compra, sino como un programa que se opera. Con marcos como DAMA-DMBOK y DCAM, cada obligación de la Ley 81 se mapea a una capacidad que la produce y la mantiene:
- El inventario de bases de datos deja de ser una hoja de cálculo y pasa a ser un catálogo de datos: un mapa vivo de sistemas, bases y tablas que se actualiza cuando la arquitectura cambia, no cuando alguien se acuerda. La herramienta concreta depende de tu infraestructura — el catálogo nativo de tu nube o un catálogo open-source como OpenMetadata cumplen el mismo rol.
- Los tipos de datos del RAT salen de la clasificación: etiquetar dónde vive la información personal en todos los sistemas — no solo donde "debería" estar. Sin clasificación, el RAT describe lo que crees tener, no lo que tienes.
- Las categorías de destinatarios y las transferencias salen del linaje: saber qué sistema alimenta a cuál, qué datos cruzan la frontera y hacia qué tercero. El registro escrito de bases transferidas que exige el Decreto 285 es, en la práctica, una vista del linaje.
- Los períodos de conservación se sostienen con políticas de ciclo de vida: retención y eliminación demostrables por conjunto de datos, no una promesa en un PDF.
- El principio de veracidad se sostiene con calidad de datos: reglas automáticas que detectan datos desactualizados o inconsistentes antes que el titular — o la autoridad.
- El control de quién ingresa datos se sostiene con ownership y procesos: cada base tiene un responsable con nombre y rol, y el alta de un nuevo usuario que carga datos dispara un flujo que lo registra dentro del plazo. Es la diferencia entre un proceso y una buena intención.
El resultado: cuando la ANTAI requiera el inventario, no se arma una fuerza de tarea de dos semanas. Se exporta lo que ya existe.
Lo que la tecnología no resuelve sola
Seríamos deshonestos si dijéramos que un catálogo resuelve la Ley 81. No lo hace, por tres razones:
Proceso. Ninguna herramienta sabe que nació una finalidad nueva si nadie diseñó el momento en que producto, legal y datos se hablan. El RAT se mantiene vivo con un flujo de trabajo, y ese flujo lo diseñan personas.
Cultura. El ownership funciona cuando los dueños de datos aceptan el rol y responden — eso es organización y capacitación, no configuración. Un catálogo con owners que nadie reconoce es el mismo Excel con mejor interfaz.
Asesoría legal. El formato exacto que la ANTAI espera, la interpretación de plazos y la existencia o no de obligaciones adicionales (como la evaluación de impacto) son terreno de un abogado de protección de datos panameño. Nuestro trabajo es que, cuando ese abogado pida la evidencia, exista y esté al día — no reemplazarlo.
Por eso hablamos de programa y no de proyecto: como en Chile y Brasil, lo que la autoridad fiscaliza no son intenciones sino evidencia operativa. Data First también es la estrategia de cumplimiento en Panamá.
Por dónde empezar
Antes de comprar nada y antes de redactar nada: saber dónde estás parado. ¿Qué bases de datos existen y cuáles tienen dueño? ¿Dónde vive la información personal? ¿Qué le mostrarías a la ANTAI si el requerimiento llegara mañana?
Una evaluación de madurez de datos responde exactamente eso: qué tienes gobernado, qué está huérfano y cuál es el camino más corto —sin sobre-ingeniería— para que la evidencia que pide la Ley 81 exista y se mantenga sola.
Fuentes: ANTAI — Reglamentación de la Ley 81 · Decreto Ejecutivo 285 de 2021 (vLex) · RSM Panamá — Ley 81 de Protección de Datos Personales · Icaza — Memo de Protección de Datos en Panamá
