Auditoría puntual · Reporte ANTAI-ready · 14 días entrega

Auditoría legal de tu base de datos. Te decimos hoy qué te encontraría ANTAI mañana.

Diagnóstico independiente de tu base panameña: cómo se construyó, cómo se mantiene, qué consentimiento real existe, qué derechos ARCO podrías cumplir si te llegara una solicitud, qué documentación entregarías si ANTAI te audita el lunes. Reporte técnico-legal entregable. Sin lenguaje vago. Con score de riesgo accionable.

Multa actual$1K-$10K
Multa propuesta 2026$100K
Principios verificables9
Plazo respuesta ARCO10días
La realidad del enforcement

ANTAI ya está sancionando. Las multas reales son públicas.

La Ley 81 de Protección de Datos Personales entró en vigor el 29 de marzo de 2021. El Decreto Ejecutivo 285 la reglamentó dos meses después, el 28 de mayo del mismo año. Desde entonces, la Autoridad Nacional de Transparencia y Acceso a la Información, ANTAI, recibió competencia para tramitar denuncias y sancionar. El programa de sensibilización ha capacitado a más de treinta sectores, lo cual significa una cosa simple: la fiscalización ya no es teórica.

Estos son tres expedientes públicos documentados en prensa local. Los montos parecen bajos comparados con las cifras europeas de GDPR, pero el cuadro cambia rápido si se considera el costo reputacional adicional y la reforma propuesta en enero de 2026 que multiplica las multas por diez.

2022 · Caso público $1,000

Medio digital sancionado por divulgar un certificado de matrimonio sin autorización del titular.

Fuente: La Estrella de Panamá
2023 · Caso público $4,000

Diario local multado por publicar la fotografía de un funcionario público sin consentimiento expreso para ese uso.

Fuente: La Estrella de Panamá
2026 · Anteproyecto $100,000

Anteproyecto presentado en enero 2026 propone elevar el techo de multas hasta cien mil balboas, diez veces el actual, sumando capacidad sancionatoria contra responsables del tratamiento que reincidan dentro del mismo periodo fiscal o que afecten datos sensibles de menores de edad bajo agravante específico de la propuesta.

Fuente: sucre.net · análisis legal

El otro vector que cambió la conversación es el alcance extraterritorial. La ley aplica a empresas extranjeras que tratan datos de panameños o que tienen domicilio en Panamá. Para un retailer regional con clientes panameños, una agencia de marketing internacional con bases multipaís, o un SaaS que lista usuarios panameños, el cumplimiento ya no es opcional: el regulador local tiene jurisdicción.

Más importante para el sector banca, salud y legal: la Ley 81 se aplica supletoriamente cuando la ley sectorial no tipifica una sanción específica. Eso significa que un banco puede ser sancionado por la Superintendencia bajo su normativa propia y, paralelamente, por ANTAI bajo Ley 81 si los principios generales no fueron respetados. El doble flanco regulatorio es real.

Calculadora interactiva

¿Cuál es el riesgo real de tu base hoy?

Estimación basada en cinco variables observadas en auditorías reales 2024-2026. No reemplaza una auditoría formal pero da un orden de magnitud útil para priorizar decisiones.

Risk score · Ley 81

Ajustá las cinco variables. El score se recalcula en tiempo real.

Cálculo en vivo
Tamaño de tu base
Antigüedad promedio
Origen mayoritario
Sector principal
Estado del registro de bases ante ANTAI
0
Score / 100
Riesgo bajo

Tu base está en buena forma para auditoría puntual.

Exposición actual $1,000 multa
Exposición reforma 2026 $10,000 multa
Tier auditoría sugerido Express · $890
Tiempo remediación 2 — 4 semanas

Score bajo no es cero. Aún con consentimiento limpio, la documentación formal y el registro ANTAI vigente requieren mantenimiento continuo.

Modelo de scoring basado en 60+ auditorías reales 2024-2026, ponderado por gravedad de gap detectado. Estimación orientativa, no diagnóstico formal.

Qué verifica la auditoría

Los nueve principios de la Ley 81, evaluados con evidencia técnica.

La Ley 81 establece nueve principios generales que rigen el tratamiento de datos personales. La auditoría no se queda en lectura jurídica de qué dice cada uno: traduce cada principio a evidencia técnica concreta que se puede verificar en la base, en el sistema, o en la documentación del cliente. Eso es lo que habilita armar un reporte que aguante examen ante ANTAI.

# Principio Qué exige Evidencia que verificamos
01 Licitud Tratamiento debe basarse en consentimiento previo, contrato, obligación legal o ley especial. Logs de opt-in + base legal documentada
02 Lealtad El responsable no puede usar prácticas engañosas para obtener datos. Auditoría UX de formularios y check-boxes
03 Finalidad Datos solo se tratan para el propósito específico declarado al titular. Política de privacidad vs uso real verificado
04 Proporcionalidad No se piden más datos de los necesarios para la finalidad. Inventario de campos vs justificación
05 Veracidad y exactitud Datos deben ser exactos, actuales y completos. Procedimiento de actualización + última verificación
06 Seguridad Medidas técnicas y organizativas adecuadas al riesgo. Encriptación at-rest + in-transit + access logs
07 Transparencia Información clara al titular sobre qué se hace con sus datos. Política privacidad accesible y comprensible
08 Confidencialidad Deber de secreto incluso después de finalizada la relación. NDA firmados con personal + sub-procesadores
09 Portabilidad Titular puede obtener copia estructurada de sus datos en formato común. Procedimiento export + formato JSON o CSV

A esos nueve principios se suman los cinco derechos ARCO + portabilidad que la ley reconoce a cada titular: acceso, rectificación, cancelación, oposición y portabilidad. La auditoría verifica que la organización tenga capacidad operativa real de responder a una solicitud ARCO dentro del plazo legal de diez días hábiles, lo cual implica procedimiento documentado, responsable nombrado, formato de respuesta probado y sistema técnico que permita ejecutar la operación sin destruir integridad referencial de otros datos.

Qué entregamos

El reporte tiene cuatro secciones.

No es un PDF genérico de cumplimiento. Es un documento accionable, con priorización de riesgo, costo estimado de remediación, y referencias específicas al artículo o decreto que aplica en cada caso.

Sección 01 · Resumen ejecutivo

Para el director general

  • Score de riesgo global (0-100) con interpretación
  • Top 3 hallazgos críticos en lenguaje no técnico
  • Estimación de exposición económica actual
  • Decisión recomendada (status quo / remediación urgente / overhaul)
Sección 02 · Diagnóstico técnico

Para el CTO o equipo IT

  • Evaluación de los 9 principios con evidencia adjunta
  • Inventario de campos vs justificación de cada uno
  • Procedimientos ARCO y tiempos reales medidos
  • Stack técnico actual y gaps de seguridad detectados
Sección 03 · Análisis legal

Para el área legal

  • Referencias específicas a artículos Ley 81 y DE 285
  • Riesgos de aplicación supletoria sectorial
  • Estado del registro ANTAI y observaciones
  • Plantillas de consentimiento Ley 81-compliant
Sección 04 · Plan de remediación

Para project management

  • Hallazgos priorizados por riesgo y costo
  • Cronograma sugerido en sprints semanales
  • Cuáles puede resolver tu equipo interno
  • Cuáles conviene subcontratar (a EMP o a otros)
Pricing transparente

Tres tiers según tamaño y exposición.

El alcance se calibra después de una llamada de 30 minutos sin compromiso, donde entendemos volumen real, sector y urgencia.

Express

Bases bajo 50K registros · audit puntual.

$890 USD
  • Diagnóstico de los 9 principios
  • Evaluación capacidad ARCO
  • Reporte ejecutivo + técnico
  • Gap analysis con priorización
  • Entrega 14 días
  • NDA bilateral firmado
Solicitar Express

Enterprise

Sin límite · audit + 90 días monitoreo.

$4,800+ USD
  • Todo lo del tier Profesional
  • Audit completo sin límite de tamaño
  • 90 días monitoreo post-remediación
  • Asesoría Oficial de Protección de Datos
  • Coordinación con departamento legal
  • Soporte priorizado ante citación ANTAI
Hablar Enterprise
Las dudas reales

Lo que pregunta el director jurídico en la primera llamada.

"Ya tenemos abogados internos. ¿Para qué nos sirve una auditoría externa?"

Por dos razones operativas. Primera: la auditoría externa convierte el cumplimiento en evidencia documentada por un tercero, lo cual ante ANTAI o ante un juez tiene mejor peso probatorio que la auto-declaración interna. Segunda y más práctica: los abogados internos típicamente conocen Ley 81 a nivel jurídico pero no traducen los principios a evidencia técnica verificable en la base. La auditoría es bilingüe entre legal y técnico, y ese es exactamente el ángulo donde se generan los gaps. La integridad técnica del reporte no compite con tu equipo legal, lo complementa con datos que ellos no tienen tiempo de extraer.

"Las multas son bajas. ¿Realmente vale la pena auditar ahora?"

Tres razones por las cuales auditar antes que después. Primera: enero 2026 se presentó anteproyecto que sube las multas hasta cien mil balboas, diez veces el actual. La ventana de cumplir antes que sea caro se cierra. Segunda: ANTAI ya emitió sanciones reales (mil dólares en 2022, cuatro mil en 2023) y la dirección está activa, no pasiva. Tercera y más importante para clientes regulados: el costo reputacional de una sanción pública supera muchas veces el monto de la multa. Para un banco panameño un solo expediente ANTAI puede afectar la relación con la Superintendencia de Bancos.

"Tenemos una base de hace diez años. ¿La auditoría va a destruirla?"

No. La auditoría no remueve nada por sí sola. Lo que hace es identificar qué porcentaje de la base puede defenderse con consentimiento auditable y qué porcentaje no. Las decisiones operativas (re-confirmar consentimiento vía campaña de re-opt-in, segmentar uso, archivar contactos sin defensa) las toma el cliente. Lo que sí hacemos es decir honestamente qué se puede y qué no, sin maquillar para mantener el tamaño aparente de la base. Tres de cada cuatro auditorías que hicimos terminaron con campaña de re-opt-in para preservar el subset defendible.

"Si encuentran algo mal, ¿están obligados a reportar a ANTAI?"

No. EMP es proveedor independiente, no tiene relación contractual con ANTAI ni rol de denunciante. Los hallazgos del audit son propiedad del cliente y se entregan bajo NDA bilateral. La decisión de reportar voluntariamente, remediar internamente o gestionar de otra forma el riesgo encontrado pertenece exclusivamente al cliente y a su equipo legal. Esto es una diferencia crítica con auditorías externas que tienen vínculo regulatorio (auditorías financieras Sarbanes-Oxley en USA, por ejemplo). Aquí no hay puente forzado al regulador.

"Mi empresa está fuera de Panamá pero tenemos clientes panameños. ¿Aplica?"

Sí. La Ley 81 aplica extraterritorialmente cuando se tratan datos de panameños o cuando el responsable del tratamiento está domiciliado en Panamá. Para empresas extranjeras la auditoría tiene un componente adicional: validar la legitimidad de la transferencia internacional de datos y los acuerdos contractuales con sub-procesadores fuera de Panamá. Esto trae verificación contra estándares equivalentes (GDPR para empresas europeas, CCPA para California) y diseño del flujo de respuesta ARCO desde infraestructura no panameña. Tier Profesional cubre este análisis sin costo adicional.

"¿Cómo distinguen ustedes de un despacho legal panameño que también ofrece esto?"

Los despachos legales panameños hacen un trabajo excelente en la dimensión jurídica. Son los que escriben los DPA, los que asesoran ante ANTAI, los que llevan litigios cuando ya hay expediente abierto. Lo que no hacen, salvo excepciones muy puntuales, es traducir los principios Ley 81 a evidencia técnica verificable en la base de datos. EMP opera bases panameñas hace dieciséis años. La auditoría se ejecuta sobre la infraestructura, no sobre el papel. Para clientes serios la combinación recomendada es: despacho legal para dimensión jurídica, EMP para auditoría técnica, sin canibalización de roles.

Preguntas frecuentes

Lo que termina de salir en la reunión técnica.

¿En qué se diferencia esta auditoría del servicio de cumplimiento Ley 81?

La auditoría es un diagnóstico puntual: foto técnica y legal de tu base de datos en un momento determinado. Identifica gaps, mide riesgo, entrega reporte. El servicio de cumplimiento Ley 81 es ongoing: implementación de DPA, registro ANTAI, formación al equipo, mantenimiento del consentimiento auditable, atención de derechos ARCO mes a mes.

La mayoría de clientes empieza con la auditoría para entender dónde está parado y después decide si contrata cumplimiento ongoing o resuelve los gaps con su equipo interno. La página de cumplimiento Ley 81 tiene los paquetes ongoing detallados.

¿Qué pasa si encuentran que mi base no cumple con Ley 81?

Lo más común. Cerca de tres de cada cuatro auditorías que hicimos durante 2024-2026 encontraron gaps de consentimiento, registro ANTAI o capacidad ARCO. La auditoría no termina con el diagnóstico: el reporte trae plan de remediación priorizado por riesgo y costo. Lo crítico legal lo ponemos primero, lo marginal al final.

El cliente decide qué resolver internamente y qué subcontratar. La integridad técnica vale más que vender remediación: si tu equipo interno puede resolver el 80% de los gaps, te lo decimos así.

¿Cuánto se demora la auditoría?

Los plazos por tier son los siguientes:

  • Express: 14 días desde firma del NDA hasta entrega del reporte
  • Profesional: 21 días incluyendo fase de remediación parcial
  • Enterprise: 30 días para audit completo + 90 días posteriores de monitoreo

La auditoría arranca con sesión de descubrimiento técnico (1-2 horas vía videocall), revisión documental remota, validación técnica de cómo se almacena el consentimiento, y entrevista con responsable legal o de tecnología del cliente.

¿La auditoría es confidencial?

Sí. Firmamos NDA bilateral antes de cualquier acceso a información del cliente. Los datos personales en tu base nunca salen de tu infraestructura: la auditoría se ejecuta sobre muestras anonimizadas o sobre metadata de la base. El reporte final es propiedad del cliente.

EMP no comparte hallazgos con terceros, ni con ANTAI directamente, ni los usa como caso de estudio sin autorización expresa por escrito.

¿Qué pasa si recibo una citación de ANTAI antes de terminar la auditoría?

El plazo legal para responder ante una citación ANTAI es ajustado y la respuesta requiere documentación específica. Si recibes la citación durante la auditoría, aceleramos el cronograma para entregarte primero los documentos críticos: consentimientos auditables, registro de tratamiento, política de privacidad vigente y procedimiento de derechos ARCO.

La respuesta a la citación es responsabilidad de tu equipo legal, pero la documentación técnica que necesitan se la entregamos dentro del plazo de 5 días hábiles que la Ley 81 establece para recursos de reconsideración.

¿El reporte sirve como evidencia ante ANTAI o ante un juez?

El reporte es opinión técnica de un proveedor independiente con dieciséis años operando bases de datos panameñas. Su valor probatorio depende del contexto.

Como evidencia de buena fe ante ANTAI muestra que la organización tomó pasos diligentes para revisar su cumplimiento. Como evidencia ante un juez requiere típicamente que sea ratificado en juicio o complementado con peritaje email forense formal, servicio que tenemos por separado y que ha sido aceptado en tribunales panameños desde 2022.

¿Aplica si mi empresa está fuera de Panamá pero tengo clientes panameños?

Sí. La Ley 81 aplica extraterritorialmente cuando tratas datos de panameños o cuando el responsable del tratamiento está domiciliado en Panamá. Para empresas extranjeras la auditoría tiene un componente adicional: validar la legitimidad de la transferencia internacional de datos y los acuerdos contractuales con sub-procesadores fuera de Panamá.

Esto trae verificación contra estándares equivalentes (GDPR para empresas europeas, CCPA para California) y diseño del flujo de respuesta ARCO desde infraestructura no panameña.

¿Por qué auditar ahora si todavía las multas son bajas?

Tres razones operacionales:

  • Reforma 2026: anteproyecto sube las multas a $100,000, diez veces el máximo actual
  • ANTAI activa: ya emitió sanciones reales, la dirección no es pasiva
  • Costo reputacional: una sanción pública supera el monto de la multa para clientes regulados

Para banca, salud y legal un solo expediente ANTAI puede afectar la relación con la autoridad sectorial correspondiente.

Llamada de descubrimiento. Treinta minutos.

Antes de proponer cualquier tier hacemos llamada de 30 minutos sin compromiso para entender volumen real, sector, urgencia, exposición regulatoria y estado actual del cumplimiento. Si después de esa conversación la auditoría no tiene sentido para tú, te lo decimos. La integridad técnica vale más que cerrar un mal fit.

Sin compromiso · 30 minutos · NDA opcional · L-V 9-18 GMT-5