Mapa de Cumplimiento: Ley 81 de Panamá artículo por artículo contra controles técnicos

16 artículos, 5 categorías, 13 tipos de controles. Mapa visual descargable que conecta cada requerimiento de la Ley 81 con los controles técnicos que tu empresa necesita.

Mapa de cumplimiento mostrando 5 categorías de la Ley 81 de Panamá contra controles técnicos

(Lea también: protección de datos en LATAM)

Pasé semanas analizando la Ley 81 de Protección de Datos Personales de Panamá artículo por artículo, cruzando cada requerimiento legal contra los controles técnicos que realmente se necesitan para cumplir.

El resultado: 16 artículos clave se agrupan en 5 categorías de cumplimiento, cubiertas por 13 tipos distintos de controles técnicos.

Lo que encontré no debería sorprender a nadie — pero lo hace: la mayoría de las empresas invierten fuerte en una o dos categorías (generalmente seguridad perimetral y algo de consentimiento) y dejan las otras tres en una zona gris peligrosa.

Este mapa no es teórico. Está basado en el texto legal vigente y aplica prácticamente idéntico a Colombia (Ley 1581), Costa Rica (Ley 8968), Chile (Ley 21.719) y Ecuador (LOPDP).

Las 5 categorías que toda regulación de datos exige

Antes de entrar al detalle artículo por artículo, es importante entender el marco general. Todas las regulaciones de protección de datos en Latinoamérica convergen en cinco áreas fundamentales. No importa si estás en Panamá, Colombia o Chile — el regulador va a evaluar tu empresa en estas cinco dimensiones.


1. Derechos del Titular

Lo que exige la ley: Que el ciudadano pueda ejercer control real sobre sus datos personales — acceso, corrección, eliminación, oposición y portabilidad.

Artículos aplicables:

  • Art. 15 — Acceso, rectificación, cancelación, oposición, portabilidad (derechos ARCO)
  • Art. 16 — Plazos para responder solicitudes del titular
  • Art. 17 — Modificación o bloqueo por inexactitud
  • Art. 18 — Recurso ante ANTAI por falta de respuesta
  • Art. 19 — Decisiones automatizadas

Controles técnicos necesarios:

  • Gestión de identidades y accesos (IAM) — para saber quién es el titular y qué datos tiene tu organización sobre esa persona
  • Plataformas de visibilidad y cumplimiento — para rastrear dónde están los datos y responder solicitudes dentro de los plazos legales

La realidad: Muchas empresas no tienen un inventario claro de qué datos personales manejan ni dónde residen. Cuando un titular ejerce sus derechos, el equipo descubre que la información está dispersa en 5 sistemas diferentes sin trazabilidad.


2. Seguridad y Confidencialidad

Lo que exige la ley: Controles técnicos demostrables que protejan los datos personales contra acceso no autorizado, filtración o manipulación.

Artículos aplicables:

  • Art. 2 — Principio de seguridad de los datos
  • Art. 9 — Confidencialidad en tratamiento de datos
  • Art. 20 — Protección especial de datos de salud
  • Art. 21 — Los derechos son irrenunciables

Controles técnicos necesarios:

  • Protección de datos en tránsito y perimetral
  • Control de accesos privilegiados (PAM)
  • Tokenización y enmascaramiento de datos sensibles
  • Microsegmentación de red
  • Gobernanza y protección en entornos multicloud
  • Pentesting automatizado y validación de controles
  • Protección de APIs
  • Verificación biométrica de identidad

La realidad: Esta es la categoría donde más invierten las empresas — y aun así, la mayoría se concentra en el perímetro (firewalls, antivirus) sin cubrir accesos privilegiados, APIs expuestas o datos sensibles sin tokenizar. El regulador no pregunta si tienes firewall. Pregunta si puedes demostrar que tus controles cubren todo el ciclo de vida del dato.


3. Consentimiento y Uso Autorizado

Lo que exige la ley: Que cada uso de datos personales esté respaldado por consentimiento documentable, específico y revocable.

Artículos aplicables:

  • Art. 6 — Requisitos para tratamiento legal de datos
  • Art. 11 — Uso solo para fines autorizados
  • Art. 27 — Política de privacidad en recolección digital

Controles técnicos necesarios:

  • Verificación de identidad del titular
  • Gestión de identidades y accesos (IAM)
  • Monitoreo de uso autorizado de datos
  • Concientización y capacitación en privacidad
  • Seguridad de APIs y visibilidad de exposición

La realidad: Un checkbox de "acepto términos y condiciones" no es consentimiento informado. La ley exige que el titular entienda exactamente para qué se usarán sus datos, que pueda revocar ese consentimiento, y que tu empresa pueda demostrar que lo obtuvo de forma válida.


4. Control de Transferencias

Lo que exige la ley: Garantías técnicas verificables cuando los datos personales cruzan fronteras — incluyendo transferencias a proveedores cloud en otros países.

Artículos aplicables:

  • Art. 5 — Condiciones para transferencia desde Panamá
  • Art. 25 — Consentimiento informado para transferencias
  • Art. 33 — Casos permitidos para transferencia internacional

Controles técnicos necesarios:

  • Control de flujo y transferencias de datos
  • Gobernanza de datos en entornos multicloud
  • Protección de datos en tránsito (cifrado)

La realidad: Si tu empresa usa servicios cloud con data centers fuera de Panamá (y prácticamente todas lo hacen), esta categoría te aplica directamente. No basta con que el proveedor cloud tenga certificaciones — tu empresa necesita demostrar que implementó controles propios sobre esas transferencias.


5. Prevención de Infracciones

Lo que exige la ley: Capacidad demostrable de prevenir, detectar y responder a incidentes de seguridad que afecten datos personales.

Artículos aplicables:

  • Art. 36–43 — Sanciones y clasificación de infracciones (leves, graves, muy graves)

Controles técnicos necesarios:

  • Visibilidad, análisis de riesgos y monitoreo de cumplimiento
  • Pentesting automatizado y detección de vulnerabilidades
  • Simulación de ataques (BAS) para validar controles

La realidad: El Decreto 285 (reglamentario de la Ley 81) establece obligaciones específicas sobre gestión de incidentes con plazos de notificación, cifrado obligatorio, políticas de respaldo documentadas y designación de un Oficial de Protección de Datos. Lo que antes era "buena práctica" ahora es verificable.


El panorama completo: 16 artículos, 5 categorías, 13 controles

Cuando mapeas todo junto, el patrón es claro:

Categoría Artículos Tipos de control
Derechos del Titular 5 (Art. 15–19) 2
Seguridad y Confidencialidad 4 (Art. 2, 9, 20, 21) 8
Consentimiento y Uso Autorizado 3 (Art. 6, 11, 27) 5
Control de Transferencias 3 (Art. 5, 25, 33) 3
Prevención de Infracciones 1 bloque (Art. 36–43) 3

La categoría de Seguridad es la más densa en controles técnicos (8 tipos), pero las empresas que solo cubren esta categoría están dejando descubiertas 4 de 5 áreas que el regulador evalúa.

Esto no es solo Panamá

El framework de 5 categorías aplica prácticamente idéntico en toda la región:

  • Colombia (Ley 1581 de 2012) — mismos principios ARCO, SIC como regulador activo
  • Costa Rica (Ley 8968 de 2011) — requiere DPO, consentimiento documentado
  • Chile (Ley 21.719 de 2024) — la más moderna de LATAM, en plena implementación
  • Ecuador (LOPDP de 2021) — empresas en fase activa de cumplimiento

Si tu empresa opera en más de un país de la región, la buena noticia es que un framework de cumplimiento bien diseñado para una jurisdicción cubre el 80-90% de las demás.


¿Cómo saber en qué categorías está fuerte tu empresa?

Una evaluación inicial no tiene que ser compleja. Responde estas preguntas para cada categoría:

  1. Derechos del Titular — ¿Puedes responder una solicitud de acceso o eliminación de datos en los plazos legales? ¿Sabes dónde están todos los datos de un titular?
  2. Seguridad — ¿Tienes controles documentados más allá del perímetro? ¿Accesos privilegiados, APIs, datos sensibles tokenizados?
  3. Consentimiento — ¿Puedes demostrar cómo obtuviste el consentimiento de cada titular y para qué uso específico?
  4. Transferencias — ¿Sabes a qué jurisdicciones se transfieren los datos de tus clientes? ¿Tienes controles propios sobre esas transferencias?
  5. Prevención — ¿Tienes un proceso documentado de gestión de incidentes? ¿Evidencia de pentesting o validación de controles?

Si la respuesta es "no estoy seguro" en tres o más categorías, hay trabajo por hacer.


Preguntas frecuentes

¿La Ley 81 aplica a todas las empresas en Panamá?

Aplica a toda persona natural o jurídica que realice tratamiento de datos personales en Panamá, sin importar el tamaño de la empresa. Si manejas datos de clientes, empleados o proveedores, te aplica.

¿Qué pasa si mi empresa solo opera en Panamá pero usa servicios cloud en otros países?

Los artículos 5, 25 y 33 regulan específicamente las transferencias internacionales. Si tus datos residen en data centers fuera de Panamá, necesitas controles de transferencia verificables.

¿El Decreto 285 agrega obligaciones nuevas o solo reglamenta la Ley 81?

Reglamenta la ley existente, pero al hacerlo establece obligaciones técnicas específicas que antes eran interpretativas: cifrado obligatorio, gestión de incidentes con plazos, respaldos documentados, y designación de un Oficial de Protección de Datos.

¿Puedo usar este mismo framework para cumplir con las regulaciones de Colombia o Chile?

Sí. Las 5 categorías son comunes a todas las regulaciones de la región. Un framework diseñado para la Ley 81 cubre el 80-90% de los requerimientos de Colombia (Ley 1581), Costa Rica (Ley 8968), Chile (Ley 21.719) y Ecuador (LOPDP). Los ajustes son menores y específicos a cada jurisdicción.

¿Quiere evaluar su postura de cumplimiento?

Conversemos sin compromiso sobre dónde está su empresa frente a las regulaciones de protección de datos.

Agendar conversación