Express
Bases bajo 50K registros · audit puntual.
- Diagnóstico de los 9 principios
- Evaluación capacidad ARCO
- Reporte ejecutivo + técnico
- Gap analysis con priorización
- Entrega 14 días
- NDA bilateral firmado
Diagnóstico independiente de tu base panameña: cómo se construyó, cómo se mantiene, qué consentimiento real existe, qué derechos ARCO podrías cumplir si te llegara una solicitud, qué documentación entregarías si ANTAI te audita el lunes. Reporte técnico-legal entregable. Sin lenguaje vago. Con score de riesgo accionable.
La Ley 81 de Protección de Datos Personales entró en vigor el 29 de marzo de 2021. El Decreto Ejecutivo 285 la reglamentó dos meses después, el 28 de mayo del mismo año. Desde entonces, la Autoridad Nacional de Transparencia y Acceso a la Información, ANTAI, recibió competencia para tramitar denuncias y sancionar. El programa de sensibilización ha capacitado a más de treinta sectores, lo cual significa una cosa simple: la fiscalización ya no es teórica.
Estos son tres expedientes públicos documentados en prensa local. Los montos parecen bajos comparados con las cifras europeas de GDPR, pero el cuadro cambia rápido si se considera el costo reputacional adicional y la reforma propuesta en enero de 2026 que multiplica las multas por diez.
Medio digital sancionado por divulgar un certificado de matrimonio sin autorización del titular.
Fuente: La Estrella de PanamáDiario local multado por publicar la fotografía de un funcionario público sin consentimiento expreso para ese uso.
Fuente: La Estrella de PanamáAnteproyecto presentado en enero 2026 propone elevar el techo de multas hasta cien mil balboas, diez veces el actual, sumando capacidad sancionatoria contra responsables del tratamiento que reincidan dentro del mismo periodo fiscal o que afecten datos sensibles de menores de edad bajo agravante específico de la propuesta.
Fuente: sucre.net · análisis legalEl otro vector que cambió la conversación es el alcance extraterritorial. La ley aplica a empresas extranjeras que tratan datos de panameños o que tienen domicilio en Panamá. Para un retailer regional con clientes panameños, una agencia de marketing internacional con bases multipaís, o un SaaS que lista usuarios panameños, el cumplimiento ya no es opcional: el regulador local tiene jurisdicción.
Más importante para el sector banca, salud y legal: la Ley 81 se aplica supletoriamente cuando la ley sectorial no tipifica una sanción específica. Eso significa que un banco puede ser sancionado por la Superintendencia bajo su normativa propia y, paralelamente, por ANTAI bajo Ley 81 si los principios generales no fueron respetados. El doble flanco regulatorio es real.
Estimación basada en cinco variables observadas en auditorías reales 2024-2026. No reemplaza una auditoría formal pero da un orden de magnitud útil para priorizar decisiones.
Ajustá las cinco variables. El score se recalcula en tiempo real.
Score bajo no es cero. Aún con consentimiento limpio, la documentación formal y el registro ANTAI vigente requieren mantenimiento continuo.
Modelo de scoring basado en 60+ auditorías reales 2024-2026, ponderado por gravedad de gap detectado. Estimación orientativa, no diagnóstico formal.
La Ley 81 establece nueve principios generales que rigen el tratamiento de datos personales. La auditoría no se queda en lectura jurídica de qué dice cada uno: traduce cada principio a evidencia técnica concreta que se puede verificar en la base, en el sistema, o en la documentación del cliente. Eso es lo que habilita armar un reporte que aguante examen ante ANTAI.
| # | Principio | Qué exige | Evidencia que verificamos |
|---|---|---|---|
| 01 | Licitud | Tratamiento debe basarse en consentimiento previo, contrato, obligación legal o ley especial. | Logs de opt-in + base legal documentada |
| 02 | Lealtad | El responsable no puede usar prácticas engañosas para obtener datos. | Auditoría UX de formularios y check-boxes |
| 03 | Finalidad | Datos solo se tratan para el propósito específico declarado al titular. | Política de privacidad vs uso real verificado |
| 04 | Proporcionalidad | No se piden más datos de los necesarios para la finalidad. | Inventario de campos vs justificación |
| 05 | Veracidad y exactitud | Datos deben ser exactos, actuales y completos. | Procedimiento de actualización + última verificación |
| 06 | Seguridad | Medidas técnicas y organizativas adecuadas al riesgo. | Encriptación at-rest + in-transit + access logs |
| 07 | Transparencia | Información clara al titular sobre qué se hace con sus datos. | Política privacidad accesible y comprensible |
| 08 | Confidencialidad | Deber de secreto incluso después de finalizada la relación. | NDA firmados con personal + sub-procesadores |
| 09 | Portabilidad | Titular puede obtener copia estructurada de sus datos en formato común. | Procedimiento export + formato JSON o CSV |
A esos nueve principios se suman los cinco derechos ARCO + portabilidad que la ley reconoce a cada titular: acceso, rectificación, cancelación, oposición y portabilidad. La auditoría verifica que la organización tenga capacidad operativa real de responder a una solicitud ARCO dentro del plazo legal de diez días hábiles, lo cual implica procedimiento documentado, responsable nombrado, formato de respuesta probado y sistema técnico que permita ejecutar la operación sin destruir integridad referencial de otros datos.
No es un PDF genérico de cumplimiento. Es un documento accionable, con priorización de riesgo, costo estimado de remediación, y referencias específicas al artículo o decreto que aplica en cada caso.
El alcance se calibra después de una llamada de 30 minutos sin compromiso, donde entendemos volumen real, sector y urgencia.
Bases bajo 50K registros · audit puntual.
Hasta 250K registros · audit + remediación.
Sin límite · audit + 90 días monitoreo.
"Ya tenemos abogados internos. ¿Para qué nos sirve una auditoría externa?"
Por dos razones operativas. Primera: la auditoría externa convierte el cumplimiento en evidencia documentada por un tercero, lo cual ante ANTAI o ante un juez tiene mejor peso probatorio que la auto-declaración interna. Segunda y más práctica: los abogados internos típicamente conocen Ley 81 a nivel jurídico pero no traducen los principios a evidencia técnica verificable en la base. La auditoría es bilingüe entre legal y técnico, y ese es exactamente el ángulo donde se generan los gaps. La integridad técnica del reporte no compite con tu equipo legal, lo complementa con datos que ellos no tienen tiempo de extraer.
"Las multas son bajas. ¿Realmente vale la pena auditar ahora?"
Tres razones por las cuales auditar antes que después. Primera: enero 2026 se presentó anteproyecto que sube las multas hasta cien mil balboas, diez veces el actual. La ventana de cumplir antes que sea caro se cierra. Segunda: ANTAI ya emitió sanciones reales (mil dólares en 2022, cuatro mil en 2023) y la dirección está activa, no pasiva. Tercera y más importante para clientes regulados: el costo reputacional de una sanción pública supera muchas veces el monto de la multa. Para un banco panameño un solo expediente ANTAI puede afectar la relación con la Superintendencia de Bancos.
"Tenemos una base de hace diez años. ¿La auditoría va a destruirla?"
No. La auditoría no remueve nada por sí sola. Lo que hace es identificar qué porcentaje de la base puede defenderse con consentimiento auditable y qué porcentaje no. Las decisiones operativas (re-confirmar consentimiento vía campaña de re-opt-in, segmentar uso, archivar contactos sin defensa) las toma el cliente. Lo que sí hacemos es decir honestamente qué se puede y qué no, sin maquillar para mantener el tamaño aparente de la base. Tres de cada cuatro auditorías que hicimos terminaron con campaña de re-opt-in para preservar el subset defendible.
"Si encuentran algo mal, ¿están obligados a reportar a ANTAI?"
No. EMP es proveedor independiente, no tiene relación contractual con ANTAI ni rol de denunciante. Los hallazgos del audit son propiedad del cliente y se entregan bajo NDA bilateral. La decisión de reportar voluntariamente, remediar internamente o gestionar de otra forma el riesgo encontrado pertenece exclusivamente al cliente y a su equipo legal. Esto es una diferencia crítica con auditorías externas que tienen vínculo regulatorio (auditorías financieras Sarbanes-Oxley en USA, por ejemplo). Aquí no hay puente forzado al regulador.
"Mi empresa está fuera de Panamá pero tenemos clientes panameños. ¿Aplica?"
Sí. La Ley 81 aplica extraterritorialmente cuando se tratan datos de panameños o cuando el responsable del tratamiento está domiciliado en Panamá. Para empresas extranjeras la auditoría tiene un componente adicional: validar la legitimidad de la transferencia internacional de datos y los acuerdos contractuales con sub-procesadores fuera de Panamá. Esto trae verificación contra estándares equivalentes (GDPR para empresas europeas, CCPA para California) y diseño del flujo de respuesta ARCO desde infraestructura no panameña. Tier Profesional cubre este análisis sin costo adicional.
"¿Cómo distinguen ustedes de un despacho legal panameño que también ofrece esto?"
Los despachos legales panameños hacen un trabajo excelente en la dimensión jurídica. Son los que escriben los DPA, los que asesoran ante ANTAI, los que llevan litigios cuando ya hay expediente abierto. Lo que no hacen, salvo excepciones muy puntuales, es traducir los principios Ley 81 a evidencia técnica verificable en la base de datos. EMP opera bases panameñas hace dieciséis años. La auditoría se ejecuta sobre la infraestructura, no sobre el papel. Para clientes serios la combinación recomendada es: despacho legal para dimensión jurídica, EMP para auditoría técnica, sin canibalización de roles.
La auditoría es un diagnóstico puntual: foto técnica y legal de tu base de datos en un momento determinado. Identifica gaps, mide riesgo, entrega reporte. El servicio de cumplimiento Ley 81 es ongoing: implementación de DPA, registro ANTAI, formación al equipo, mantenimiento del consentimiento auditable, atención de derechos ARCO mes a mes.
La mayoría de clientes empieza con la auditoría para entender dónde está parado y después decide si contrata cumplimiento ongoing o resuelve los gaps con su equipo interno. La página de cumplimiento Ley 81 tiene los paquetes ongoing detallados.
Lo más común. Cerca de tres de cada cuatro auditorías que hicimos durante 2024-2026 encontraron gaps de consentimiento, registro ANTAI o capacidad ARCO. La auditoría no termina con el diagnóstico: el reporte trae plan de remediación priorizado por riesgo y costo. Lo crítico legal lo ponemos primero, lo marginal al final.
El cliente decide qué resolver internamente y qué subcontratar. La integridad técnica vale más que vender remediación: si tu equipo interno puede resolver el 80% de los gaps, te lo decimos así.
Los plazos por tier son los siguientes:
La auditoría arranca con sesión de descubrimiento técnico (1-2 horas vía videocall), revisión documental remota, validación técnica de cómo se almacena el consentimiento, y entrevista con responsable legal o de tecnología del cliente.
Sí. Firmamos NDA bilateral antes de cualquier acceso a información del cliente. Los datos personales en tu base nunca salen de tu infraestructura: la auditoría se ejecuta sobre muestras anonimizadas o sobre metadata de la base. El reporte final es propiedad del cliente.
EMP no comparte hallazgos con terceros, ni con ANTAI directamente, ni los usa como caso de estudio sin autorización expresa por escrito.
El plazo legal para responder ante una citación ANTAI es ajustado y la respuesta requiere documentación específica. Si recibes la citación durante la auditoría, aceleramos el cronograma para entregarte primero los documentos críticos: consentimientos auditables, registro de tratamiento, política de privacidad vigente y procedimiento de derechos ARCO.
La respuesta a la citación es responsabilidad de tu equipo legal, pero la documentación técnica que necesitan se la entregamos dentro del plazo de 5 días hábiles que la Ley 81 establece para recursos de reconsideración.
El reporte es opinión técnica de un proveedor independiente con dieciséis años operando bases de datos panameñas. Su valor probatorio depende del contexto.
Como evidencia de buena fe ante ANTAI muestra que la organización tomó pasos diligentes para revisar su cumplimiento. Como evidencia ante un juez requiere típicamente que sea ratificado en juicio o complementado con peritaje email forense formal, servicio que tenemos por separado y que ha sido aceptado en tribunales panameños desde 2022.
Sí. La Ley 81 aplica extraterritorialmente cuando tratas datos de panameños o cuando el responsable del tratamiento está domiciliado en Panamá. Para empresas extranjeras la auditoría tiene un componente adicional: validar la legitimidad de la transferencia internacional de datos y los acuerdos contractuales con sub-procesadores fuera de Panamá.
Esto trae verificación contra estándares equivalentes (GDPR para empresas europeas, CCPA para California) y diseño del flujo de respuesta ARCO desde infraestructura no panameña.
Tres razones operacionales:
Para banca, salud y legal un solo expediente ANTAI puede afectar la relación con la autoridad sectorial correspondiente.
Antes de proponer cualquier tier hacemos llamada de 30 minutos sin compromiso para entender volumen real, sector, urgencia, exposición regulatoria y estado actual del cumplimiento. Si después de esa conversación la auditoría no tiene sentido para tú, te lo decimos. La integridad técnica vale más que cerrar un mal fit.