Sondeo alerta que en Panamá las empresas no se preparan para cumplir la ley de protección de datos

(Ciudad de Panamá-ANPanamá) En Panamá menos de la mitad de las empresas encuestadas por la firma RISCCO de seguridad de información reconocieron que tienen poca preparación y conocimiento de la ley de protección de datos personales, aprobada en 2019 y que entrará en vigor a partir de marzo de 2021, que establece los principios, derechos, obligaciones y procedimientos que regulan el tratamiento de datos de carácter personal.

“Esta ley aplica a todos los datos personales de nacionales y extranjeros cuyas bases de datos se encuentren en Panamá o que el responsable del tratamiento de esos datos esté domiciliado en el país”, advirtió la firma panameña en su informe del sondeo, propuesto a 465 ejecutivos, pero que solo 121 contestaron.

Entre los resultados del sondeo, el 18% informó de que con relación a esta Ley, su organización ha realizado un "Gap Analysis" y plan de trabajo para cumplir con la misma.  Sin embargo, un 35% está trabajando en eso, pero un 47% no está preparado.

De los encuestados el 41% conoce parcialmente cuál será el impacto en su organización cumplir con la Ley No. 81 de Protección de Datos Personales, mientras un 29% no tiene conocimiento.

Solamente el 30% de los encuestados si sabe del impacto en su empresa para poder cumplir con la ley.

El 75% de los participantes está claro en que cumplir con la Ley requerirá crear-mejorar políticas, procesos, procedimientos, así como también, tener personal de planta para lidiar con los requerimientos establecidos en la Ley.

“A nueve meses de haber sido promulgada la Ley, los resultados del sondeo evidencian poco avance en trabajar en su cumplimiento.   Aunque la fecha en que entrará en vigencia pareciera distante (marzo de 2021), lo cierto es que con el día a día de las organizaciones y la dedicación que se requiere para cumplir con la Ley, quince meses, no es un tiempo holgado,” advirtió Antonio Ayala I., vicepresidente ejecutivo y fundador de RISCCO.

Por otro lado, el gerente sénior de la empresa, Raúl Lezcano, agregó que “hay que sumarle que la Autoridad Nacional de Transparencia y Acceso a la Información, no ha reglamentado la Ley.  Las organizaciones no deben esperar que se emita la reglamentación, ya que hacerlo es la antesala a no cumplir con la Ley en marzo de 2021. Los ciudadanos y la presión que ejercen en los reguladores, deja poco espacio a las organizaciones para maniobrar sobre si deben cumplir o no con la Ley de forma efectiva”.

El 47% de los consultados pertenece al sector Finanzas (Bancos, seguros, valores), el 10% a comercio, industria y salud, el 12% a gobierno, el 7% Telecomunicaciones, Logística, Energía, Construcción, Tecnología e Industria, mientras que el 24% pertenece a otros sectores no especificados.

El cumplimiento de esta ley “representa un cambio de cultura, elaboración de políticas-procedimientos y sensibilización en la organización, que son algunos de los elementos necesarios para cumplir con la Ley.  Aunque muchas organizaciones asignan este proyecto al área de tecnología de información y/o seguridad, hacerlo, es el primer error al tratar de estar en cumplimiento con la Ley”.

RISCCO, una empresa panameña independiente y dedicada de manera exclusiva a la consultoría en riesgo tecnológico, peritajes informáticos, seguridad de información y auditoría interna, realizó un sondeo sobre este tema entre el 7 y 13 de diciembre pasado. 

Los expertos recordaron que a la fecha de este sondeo, 230.000.000 millones de dólares, es la multa más alta, impuesta a la aerolínea British Airways por la Oficina del Comisionado de Información de Reino Unido (ICO, por sus siglas en inglés, la agencia de protección de datos y transparencia) desde la adopción de GDPR en 2018.

“Si bien es cierto que las multas contenidas en la Ley No. 81 (https://www.gacetaoficial.gob.pa/pdfTemp/28743_A/GacetaNo_28743a_20190329.pdf) son irrisorias al compararlas con otras latitudes, sería poco serio apalancarse en tal hecho y no ver el costo a la imagen corporativa que tendría un evento adverso como la fuga, copia o hurto de una base de datos, que contenga datos personales”, apuntó Lezcano.

La ley habla de multas, pero no fija su monto.