>
Política de privacidad · Ley 81 de 2019 + Decreto Ejecutivo 285/2021 + GDPR cuando aplique

Política de Privacidad

Email Marketing Panamá trata datos personales de visitantes del sitio web, prospectos comerciales, clientes activos, audiencias profesionales B2B verificadas, y suscriptores finales que reciben campañas remitidas por nuestros clientes a través de nuestra infraestructura. Esta política documenta qué datos tratamos, con qué finalidad, sobre qué base legal, durante cuánto tiempo, con qué destinatarios, y cómo el titular puede ejercer los derechos que la Ley 81 de 26 de marzo de 2019 sobre Protección de Datos Personales de la República de Panamá le reconoce. Cuando el titular reside en la Unión Europea, los derechos del Reglamento UE 2016/679 (RGPD) aplican adicionalmente y se documentan donde corresponde. La política está estructurada en 14 secciones para cumplir con el principio de transparencia del artículo 2 de la Ley 81 y con el artículo 13 RGPD cuando aplica.

Vigencia9 de mayo de 2026
Última actualización9 de mayo de 2026
Versiónv1.0
Autoridad de controlANTAI Panamá
Idioma vinculanteEspañol (Panamá)
01 · Responsable

Responsable del tratamiento

El responsable del tratamiento de los datos personales recogidos a través de este sitio web y de los servicios prestados por Email Marketing Panamá es la siguiente entidad. La identificación detallada del operador, su domicilio y régimen societario están publicados en aviso-legal.html.

Responsable
Email Marketing Panamá · Sociedad anónima panameña
Domicilio
Atrium Tower, piso 15, Calle 54, Obarrio, Ciudad de Panamá
Contacto general
[email protected] · +507 832-5511
Contacto privacidad
[email protected] con asunto [DPO]
Autoridad de control
ANTAI · Autoridad Nacional de Transparencia y Acceso a la Información
Avenida del Prado, Edificio 713, Balboa, Ancón, Panamá
Teléfono: (507) 527-9270 al 74
antai.gob.pa
02 · Categorías

Categorías de titulares y datos tratados

Email Marketing Panamá trata datos de cinco categorías de titulares con bases legales y finalidades distintas. La separación de categorías es relevante porque el régimen legal aplicable difiere según el tipo de relación con el titular.

2.1 · Visitantes del sitio web

Personas que acceden al sitio emailmarketingpanama.com sin completar formularios. Datos tratados: dirección IP, identificador del navegador (user-agent), idioma del navegador, país aproximado por geolocalización IP, páginas visitadas, tiempo de permanencia, fuente de referencia (referrer), datos de cookies técnicas estrictamente necesarias. Estos datos se tratan en formato agregado y anonimizado para análisis de tráfico, sin identificación individual.

2.2 · Prospectos comerciales

Personas que completan formularios de contacto comercial, descarga de recursos, solicitud de discovery call o suscripción al newsletter. Datos tratados: nombre completo, correo electrónico corporativo, empresa, cargo, teléfono (opcional), país, mensaje libre, IP de origen del formulario, marca temporal del envío. Se trata adicionalmente la fuente de captación (campaña de marketing, búsqueda orgánica, referencia directa) para atribución.

2.3 · Clientes activos con contrato vigente

Personas naturales (en su rol comercial) o representantes legales de personas jurídicas con contrato de servicio vigente. Datos tratados: identificación completa según contrato, datos fiscales, datos de facturación, datos bancarios para pago, datos de los usuarios técnicos asignados a la cuenta del servicio, registros de uso de la plataforma, comunicaciones de soporte técnico, registros de incidentes y resolución, registros de aceptación de términos contractuales. Se trata adicionalmente metadatos operativos (IP de acceso, sesiones, acciones realizadas en la plataforma) para auditoría y seguridad.

2.4 · Audiencias profesionales B2B verificadas

Datos profesionales públicamente disponibles de tomadores de decisión B2B en Latinoamérica, recolectados de fuentes públicas legítimas (registros mercantiles, publicaciones profesionales, portales corporativos, redes sociales profesionales públicas) para fines de marketing B2B legítimo conforme a la base de licitud específica del artículo 7.2 de la Ley 81 (interés legítimo del responsable + ausencia de prevalencia de derechos del titular). Datos tratados: nombre profesional, cargo profesional, empresa, sector, correo electrónico corporativo (no personal), tamaño de empresa, ubicación geográfica de la empresa, idioma comercial. La sección 5 de esta política explica la base legal aplicable a esta categoría con detalle.

2.5 · Suscriptores finales receptores de campañas de clientes

Personas que han dado consentimiento a un cliente de Email Marketing Panamá para recibir campañas de email marketing remitidas a través de nuestra infraestructura. En esta relación, Email Marketing Panamá actúa como encargado del tratamiento y no como responsable. El responsable del tratamiento es el cliente que captó el consentimiento. Datos tratados (en calidad de encargado, por instrucción del cliente): correo electrónico, eventuales datos de personalización (nombre, segmento), historial de aperturas y clics en campañas remitidas, estado de suscripción (activo, baja, queja). El régimen contractual de encargo de tratamiento se documenta en el Acuerdo de Encargo del Tratamiento (DPA) suscrito con cada cliente conforme al artículo 28 RGPD y al artículo 24 del Decreto Ejecutivo 285/2021 que reglamenta la Ley 81.

03 · Finalidades

Finalidades del tratamiento

Cada categoría de datos se trata para finalidades específicas, expresamente determinadas y legítimas conforme al principio de finalidad del artículo 2 de la Ley 81. Email Marketing Panamá no trata datos para finalidades distintas a las publicadas en esta política. Si en algún momento futuro se incorpora una finalidad nueva, se notificará al titular y se solicitará nuevo consentimiento cuando la base legal lo requiera.

Categoría de titular Finalidades del tratamiento Base de licitud
Visitantes del sitio Análisis de tráfico agregado · prevención de fraude y abuso · seguridad técnica del sitio · cumplimiento de obligaciones legales aplicables Interés legítimo del responsable (art. 7.2 Ley 81)
Prospectos comerciales Atender la solicitud de información · enviar la información solicitada · realizar el discovery call cuando aplique · enviar newsletter cuando se haya suscrito · medir efectividad de campañas de marketing propias Consentimiento explícito al completar el formulario (art. 7.1 Ley 81)
Clientes activos Ejecutar el contrato de servicios · facturación · soporte técnico · gestión de cuenta · cumplimiento de obligaciones fiscales y contables · resolución de incidentes y disputas · auditoría y seguridad · comunicaciones operativas críticas Ejecución de contrato (art. 7.3 Ley 81) · cumplimiento legal aplicable
Audiencias B2B Marketing B2B segmentado · promoción de servicios profesionales · contacto comercial profesional dentro del marco normativo Interés legítimo del responsable (art. 7.2 Ley 81) sobre datos profesionales · ver sección 5
Suscriptores de campañas Procesar y entregar campañas remitidas por el cliente conforme a sus instrucciones · gestionar bajas y quejas · medir entregabilidad y engagement Consentimiento del titular ante el cliente (responsable es el cliente; EMP es encargado)
04 · Legitimación

Base de licitud · consentimiento, contrato, interés legítimo

El artículo 7 de la Ley 81 de 2019 y el artículo 17 del Decreto Ejecutivo 285/2021 establecen las condiciones de licitud para el tratamiento de datos personales. Email Marketing Panamá utiliza tres bases legales distintas según la categoría de tratamiento: consentimiento explícito del titular, ejecución de contrato, e interés legítimo del responsable. Cada base legal tiene requisitos formales distintos y un alcance específico.

4.1 · Consentimiento explícito (art. 7.1 Ley 81)

El consentimiento se obtiene de forma libre, específica, informada e inequívoca antes del inicio del tratamiento. El titular acepta el tratamiento con manifestación afirmativa expresa (marcar casilla, completar formulario, hacer clic en confirmación). El consentimiento puede revocarse en cualquier momento sin efecto retroactivo, escribiendo al correo de privacidad. La revocación no afecta la licitud del tratamiento previo a la revocación. La trazabilidad del consentimiento se conserva mediante registro electrónico que documenta la marca temporal, la fuente del consentimiento y el contenido informativo presentado al titular en el momento del consentimiento.

4.2 · Ejecución de contrato (art. 7.3 Ley 81)

El tratamiento es necesario para la ejecución del contrato de servicios suscrito entre el cliente y Email Marketing Panamá, o para tomar medidas precontractuales a petición del cliente. Esta base legal cubre datos identificativos, datos de facturación, datos de cuenta de usuario, datos operativos del servicio. La negativa a proporcionar estos datos impide la ejecución del contrato. El tratamiento se mantiene durante la vigencia del contrato y los plazos de conservación posteriores establecidos en la sección 6.

4.3 · Interés legítimo del responsable (art. 7.2 Ley 81)

El tratamiento es necesario para la satisfacción de un interés legítimo del responsable o de un tercero, siempre que sobre dicho interés no prevalezcan los derechos y libertades fundamentales del titular. Email Marketing Panamá usa esta base para tres tratamientos específicos: análisis de tráfico web agregado y anonimizado para mejora del sitio; tratamiento de audiencias profesionales B2B verificadas (ver sección 5); tratamiento de metadatos operativos de clientes activos (logs de acceso, registros de seguridad, auditoría) más allá de la estricta ejecución contractual. En cada caso se ha realizado evaluación de balance entre el interés legítimo y los derechos del titular, conforme a las directrices del artículo 32 del Decreto 285/2021. El titular puede oponerse al tratamiento basado en interés legítimo escribiendo al correo de privacidad.

05 · Audiencias B2B

Audiencias profesionales B2B verificadas · base legal específica

Email Marketing Panamá mantiene un repositorio de datos profesionales B2B de tomadores de decisión en Latinoamérica, recolectados de fuentes públicas y utilizados para campañas de marketing profesional propias y ofertados a clientes mediante segmentación. La base legal de este tratamiento merece explicación específica porque genera preguntas frecuentes y porque el régimen legal aplicable es estricto.

5.1 · Naturaleza de los datos tratados

Los datos del repositorio B2B son datos profesionales, no datos personales del titular en su esfera privada. Concretamente: nombre profesional con cargo, empresa, correo electrónico corporativo (no personal), sector económico, tamaño de empresa, ubicación geográfica de la empresa, idioma comercial. El repositorio no abarca: direcciones particulares, teléfonos personales, correos electrónicos personales (gmail, hotmail, yahoo, etc. usados a título particular), datos sensibles (origen racial o étnico, opiniones políticas, convicciones religiosas, afiliación sindical, datos de salud, datos biométricos, datos de orientación sexual), datos económicos privados del titular.

5.2 · Fuentes de obtención

Los datos profesionales se obtienen exclusivamente de fuentes públicas y legítimas: Registro Público de Panamá y registros mercantiles equivalentes en otros países latinoamericanos; Cámaras de Comercio y asociaciones empresariales con publicación abierta de directorios; portales corporativos donde la empresa publica directamente los datos del cargo; redes sociales profesionales públicas (LinkedIn) donde el titular ha optado por publicar su información en modo público profesional; publicaciones especializadas, ferias, congresos y eventos sectoriales con publicación de listas de asistentes profesionales; bases de datos profesionales licenciadas de proveedores con título suficiente.

5.3 · Base legal · interés legítimo del responsable (art. 7.2 Ley 81)

El tratamiento de datos profesionales B2B se ampara en el interés legítimo del responsable conforme al artículo 7.2 de la Ley 81. La evaluación de balance entre interés legítimo y derechos del titular ha considerado: la naturaleza estrictamente profesional de los datos (no esfera privada); la expectativa razonable del titular de recibir comunicación profesional en su correo corporativo dentro de su sector; la finalidad de marketing B2B legítimo y conforme a buenas prácticas comerciales del sector; la posibilidad clara y siempre disponible de oponerse al tratamiento mediante mecanismo de baja en cada comunicación. La evaluación de balance documentada está disponible para consulta de la autoridad de control (ANTAI) o del titular escribiendo al correo de privacidad con asunto "[DPO Balance Test]".

5.4 · Mecanismo de oposición y baja

Cada comunicación remitida sobre la base de interés legítimo a un titular del repositorio B2B expone un mecanismo claro y operativo de oposición al tratamiento (enlace de baja directo). La oposición es efectiva en plazo máximo de 5 días hábiles desde la solicitud. Adicionalmente, el titular puede oponerse al tratamiento de su perfil en el repositorio escribiendo a [email protected] con asunto "[BAJA REPOSITORIO B2B]"; en ese caso, su perfil se elimina del repositorio y se incorpora a una lista de supresión permanente que impide la reincorporación futura desde nuevas fuentes.

Cumplimiento sectorial: el tratamiento de audiencias B2B se realiza adicionalmente conforme a las buenas prácticas sectoriales recogidas en los códigos de conducta de la industria de email marketing (M3AAWG, Sender Score, prácticas Google/Microsoft/Yahoo) y a los requisitos específicos del Reglamento UE 2016/679 cuando el titular reside en la Unión Europea. La sección 8 documenta el régimen de transferencias internacionales aplicable.
06 · Conservación

Plazos de conservación

Los datos personales se conservan durante el tiempo estrictamente necesario para cumplir con la finalidad del tratamiento, las obligaciones legales aplicables y la prescripción de las acciones derivadas de la relación contractual. Cumplido el plazo, los datos se suprimen, anonimizan o disocian de modo que no permitan la reidentificación del titular.

Categoría de datos Plazo de conservación Fundamento
Logs servidor web 30 días desde generación Seguridad operacional, anonimización para analítica posterior
Datos de prospectos comerciales 24 meses desde último contacto Atender solicitudes de seguimiento comercial, salvo revocación
Datos contractuales clientes 5 años desde fin del contrato Plazo de prescripción contractual + obligaciones tributarias panameñas (Código Fiscal art. 19)
Facturas y datos fiscales 5 años desde emisión Obligación tributaria (Código Fiscal de Panamá)
Comunicaciones de soporte 3 años desde cierre del ticket Auditoría operacional y resolución de disputas
Logs de acceso a plataforma 12 meses desde generación Seguridad y auditoría según normas ISO 27001
Repositorio audiencias B2B Hasta oposición del titular o desactualización (~24 meses sin verificación) Mantenimiento de calidad del repositorio + principio de exactitud
Datos de campañas (encargado) Según instrucción del cliente · plazo máximo 24 meses tras fin de servicio Acuerdo de encargo de tratamiento con cliente
Lista supresión permanente Indefinido Prevenir reincorporación de titulares que ejercieron oposición
07 · Destinatarios

Destinatarios y encargados de tratamiento

Los datos personales tratados por Email Marketing Panamá no se ceden a terceros con finalidad comercial bajo ninguna circunstancia. Los datos pueden ser comunicados a las siguientes categorías de destinatarios y exclusivamente para las finalidades indicadas, conforme al principio de finalidad del artículo 2 de la Ley 81.

7.1 · Encargados de tratamiento

Email Marketing Panamá utiliza encargados de tratamiento (proveedores tecnológicos que tratan datos por cuenta del responsable) bajo Acuerdo de Encargo del Tratamiento conforme al artículo 24 del Decreto 285/2021 y al artículo 28 RGPD cuando aplica. Las categorías de encargados son:

  • Proveedores de infraestructura cloud: alojamiento de servidores, almacenamiento de bases de datos operativas, redundancia y backup. Domiciliados en jurisdicciones con régimen adecuado de protección de datos (Estados Unidos bajo Data Privacy Framework, Unión Europea, países con decisión de adecuación).
  • Proveedores de servicios de pago: procesamiento de pagos con tarjeta y transferencias bancarias. PCI-DSS Nivel 1 o equivalente. EMP no almacena ni accede a datos completos de tarjetas; el tratamiento se realiza en infraestructura del proveedor de pago.
  • Proveedores de comunicación operativa: envío de notificaciones transaccionales (alta de cuenta, recuperación de contraseña, alertas operativas). Tratamiento limitado a estricta ejecución de la comunicación instruida.
  • Proveedores de monitoreo y analítica: herramientas de monitoreo de infraestructura, observabilidad de plataforma, analítica web agregada y anonimizada.
  • Asesores externos: auditoría legal, contable, fiscal sujeta a obligación de confidencialidad profesional.

La lista detallada de encargados de tratamiento concretos está disponible para clientes activos en el Acuerdo de Encargo del Tratamiento (DPA) suscrito con cada cliente, y para el titular escribiendo al correo de privacidad con asunto "[DPO Lista Encargados]".

7.2 · Cesiones por obligación legal

Email Marketing Panamá puede comunicar datos personales a autoridades competentes cuando exista obligación legal de cesión: requerimiento judicial debidamente motivado de tribunales panameños, requerimiento de la ANTAI conforme al artículo 28 del Decreto 285/2021, requerimientos tributarios de la Dirección General de Ingresos (DGI), requerimientos de inteligencia financiera del Ministerio de Economía y Finanzas en casos previstos por ley. La cesión se realiza dentro del estricto alcance del requerimiento y se notifica al titular salvo prohibición legal expresa de notificación.

7.3 · Posición frente a CLOUD Act y FISA estadounidenses

Email Marketing Panamá opera infraestructura principal bajo jurisdicción panameña. Los datos almacenados en infraestructura panameña no están sujetos al CLOUD Act estadounidense ni a las órdenes FISA Section 702 que afectan a operadores estadounidenses. Cuando se utilicen encargados domiciliados en Estados Unidos para funciones específicas (CDN, monitoreo, redundancia), la transferencia se realiza conforme a las garantías documentadas en la sección 8.

08 · Transferencias internacionales

Transferencias internacionales de datos

Cuando el tratamiento implica transferencia de datos personales fuera del territorio panameño, la transferencia se realiza con las garantías exigidas por el artículo 23 del Decreto Ejecutivo 285/2021 que reglamenta la Ley 81. Las garantías aplicables varían según la jurisdicción de destino.

8.1 · Transferencias a países con régimen adecuado

Las transferencias a Estados miembros de la Unión Europea, Espacio Económico Europeo y países con decisión de adecuación reconocida (Argentina, Uruguay, Andorra, Israel, Suiza, Reino Unido, Nueva Zelanda, Japón, Canadá comercial, Corea del Sur) se realizan sin restricciones adicionales conforme al artículo 23.1 del Decreto 285/2021.

8.2 · Transferencias a Estados Unidos

Las transferencias a encargados domiciliados en Estados Unidos se realizan conforme al EU-US Data Privacy Framework cuando el encargado está adherido (verificable en el registro público del programa) o, en su defecto, mediante Cláusulas Contractuales Tipo (CCT) suscritas conforme al artículo 23.3 del Decreto 285/2021. Adicionalmente se aplican medidas suplementarias técnicas (cifrado en tránsito y en reposo, segregación de claves) cuando los datos transferidos pudieran estar sujetos a requerimientos masivos bajo FISA Section 702.

8.3 · Transferencias a otros países

Las transferencias a países sin régimen adecuado y sin instrumento equivalente al DPF se realizan únicamente con consentimiento expreso e informado del titular, o cuando exista justificación específica del artículo 23.4 del Decreto 285/2021 (ejecución de contrato a petición del titular, salvaguarda de interés vital, etc.). En estos casos, la información sobre la transferencia se entrega al titular antes de la misma con identificación del país de destino y de las garantías aplicables.

09 · Seguridad

Medidas técnicas y organizativas de seguridad

Email Marketing Panamá adopta medidas técnicas y organizativas para proteger los datos personales contra acceso no autorizado, alteración, pérdida, destrucción o tratamiento ilícito conforme al principio de seguridad del artículo 2 de la Ley 81 y al artículo 30 del Decreto 285/2021. Las medidas implementadas siguen el estándar ISO 27001 y se revisan anualmente como parte del programa interno de gestión de riesgos.

9.1 · Medidas técnicas

  • Cifrado en tránsito: TLS 1.3 obligatorio en todas las conexiones, certificados X.509 emitidos por autoridades de certificación reconocidas, HSTS activo, política mínima TLS 1.2 con configuración Mozilla Modern.
  • Cifrado en reposo: AES-256 en bases de datos, almacenamiento de objetos, backups y replicas.
  • Gestión de claves: rotación periódica, almacenamiento separado del cifrado, acceso restringido por principio de mínimo privilegio.
  • Autenticación reforzada: doble factor obligatorio para acceso administrativo a infraestructura, contraseñas conforme a guía NIST 800-63B, sesiones con expiración corta.
  • Segregación de redes: infraestructura productiva aislada de redes corporativas, segmentación por capas según función, firewalls de aplicación.
  • Monitorización continua: SIEM con alertas en tiempo real, registro de accesos, detección de anomalías de comportamiento, retención de logs 12 meses.
  • Backups: copias de seguridad diarias con retención escalonada (diaria 7 días, semanal 4 semanas, mensual 12 meses), pruebas de restauración trimestrales.
  • Gestión de vulnerabilidades: escaneo automático de dependencias, parcheo coordinado, pentest anual por terceros.

9.2 · Medidas organizativas

  • Política de seguridad de la información aprobada por dirección y revisada anualmente.
  • Programa de formación en seguridad y protección de datos para todo el personal con renovación anual.
  • Acuerdos de confidencialidad suscritos por todo el personal con acceso a datos personales y por todos los encargados de tratamiento.
  • Control de acceso basado en roles, principio de mínimo privilegio, revisión trimestral de permisos vigentes, revocación inmediata al cese de relación laboral.
  • Plan de respuesta a incidentes documentado, con simulacros semestrales y revisión post-incidente.
  • Auditoría interna de cumplimiento de Ley 81 con periodicidad anual y reporte a dirección.
  • Evaluación de impacto en protección de datos (PIA) para tratamientos nuevos o modificaciones significativas, conforme al artículo 31 del Decreto 285/2021.
10 · Derechos del titular

Derechos del titular · ARCO + portabilidad + oposición

El artículo 17 de la Ley 81 reconoce al titular cinco derechos fundamentales sobre sus datos personales. Estos derechos pueden ejercerse en cualquier momento, de forma gratuita y sin necesidad de motivar la solicitud, escribiendo a [email protected] con asunto [DPO]. La identidad del solicitante se verifica antes de atender la solicitud para evitar suplantación. El plazo máximo de respuesta es de 10 días naturales conforme al artículo 19 de la Ley 81.

ART. 17 LEY 81

Derecho de acceso

Obtener confirmación sobre si EMP trata datos personales del titular, qué datos concretos, con qué finalidad, durante cuánto tiempo, con qué destinatarios y origen de los datos. La respuesta entrega los datos en formato legible.

ART. 17 LEY 81

Derecho de rectificación

Solicitar la corrección de datos inexactos o incompletos. La rectificación es efectiva en un plazo máximo de 10 días naturales y se notifica a los destinatarios a quienes se hubieran comunicado los datos incorrectos.

ART. 17 LEY 81

Derecho de cancelación

Solicitar la supresión de los datos cuando ya no sean necesarios para la finalidad, cuando se haya revocado el consentimiento, cuando exista oposición justificada, o cuando los datos hayan sido tratados ilícitamente.

ART. 17 LEY 81

Derecho de oposición

Oponerse al tratamiento basado en interés legítimo del responsable, particularmente para fines de marketing directo. La oposición a marketing directo es siempre prioritaria y efectiva sin necesidad de motivación.

ART. 17 LEY 81

Derecho de portabilidad

Recibir los datos personales facilitados al responsable en formato estructurado, de uso común y lectura mecánica (CSV o JSON estándar), con posibilidad de transmitirlos a otro responsable cuando sea técnicamente posible.

CONST. ART. 44

Hábeas data

Acción constitucional ante la jurisdicción competente para garantizar el acceso a información personal recabada en bancos de datos o registros oficiales, conforme al artículo 44 de la Constitución de Panamá.

10.1 · Procedimiento de ejercicio

Para ejercer cualquiera de los derechos anteriores, el titular envía un correo a [email protected] con asunto "[DPO]" indicando: nombre completo del titular, derecho que se ejerce, datos concretos sobre los que se ejerce el derecho, copia legible de documento de identidad para verificación de identidad. EMP responde en plazo máximo de 10 días naturales con la información solicitada o con el motivo justificado de denegación cuando aplique. La respuesta se entrega por el mismo canal de la solicitud o por canal alternativo seguro a petición del titular.

10.2 · Reclamación ante la autoridad de control

Si el titular considera que la respuesta no es satisfactoria o que sus derechos han sido vulnerados, puede presentar reclamación ante la ANTAI (Autoridad Nacional de Transparencia y Acceso a la Información), Avenida del Prado, Edificio 713, Balboa, Ancón, Panamá; teléfono (507) 527-9270 al 74; sitio antai.gob.pa. La ANTAI es la autoridad de control en materia de protección de datos personales conforme al artículo 33 de la Ley 81.

10.3 · Derechos adicionales bajo RGPD para titulares en la UE

Cuando el titular reside en la Unión Europea o el tratamiento entra en el ámbito territorial del Reglamento UE 2016/679, el titular dispone adicionalmente del derecho de limitación del tratamiento (art. 18 RGPD) y del derecho a no ser objeto de decisiones basadas únicamente en tratamiento automatizado, incluida la elaboración de perfiles, que produzcan efectos jurídicos significativos (art. 22 RGPD). EMP no realiza decisiones automatizadas con efectos jurídicos significativos sobre titulares; las decisiones comerciales relevantes son siempre revisadas por personas. La autoridad de control competente para titulares en la UE es la del país de residencia habitual del titular.

11 · DPO

Oficial de Protección de Datos (DPO)

El artículo 35 del Decreto Ejecutivo 285/2021 que reglamenta la Ley 81 establece la figura del Oficial de Protección de Datos Personales (Data Protection Officer, DPO) como responsable interno del cumplimiento del régimen de protección de datos. EMP ha designado un DPO con funciones específicas conforme al artículo 36 del Decreto 285/2021.

Cargo
Oficial de Protección de Datos (DPO)
Canal de contacto
[email protected] con asunto [DPO]
Plazo de respuesta
10 días naturales conforme art. 19 Ley 81
Funciones
Asesorar a EMP sobre obligaciones de protección de datos · supervisar cumplimiento interno · cooperar con ANTAI · atender consultas y reclamaciones de titulares · participar en evaluaciones de impacto (PIA) · formar al personal interno
12 · Brechas

Notificación de brechas de seguridad

El artículo 30 del Decreto Ejecutivo 285/2021 obliga al responsable del tratamiento a notificar las brechas de seguridad de datos personales a la ANTAI y, cuando exista riesgo alto para los derechos y libertades del titular, también al titular afectado. EMP cumple con esta obligación dentro de los plazos máximos siguientes:

  • Notificación a ANTAI: dentro de las 72 horas siguientes a que EMP tenga constancia de la brecha, incluso cuando la información completa sobre la brecha aún no esté disponible. La notificación inicial puede actualizarse posteriormente con información complementaria.
  • Notificación al titular afectado: sin dilación indebida cuando la brecha entrañe riesgo alto para los derechos y libertades del titular. La notificación describe la naturaleza de la brecha, las categorías y número aproximado de titulares afectados, las consecuencias probables, las medidas adoptadas, el contacto del DPO para más información.
  • Documentación interna: EMP mantiene registro interno de todas las brechas (también las que no requieren notificación) con análisis de causa raíz, medidas correctivas y lecciones aprendidas, conforme a estándares ISO 27001.
13 · Menores

Datos de menores de edad

Email Marketing Panamá presta servicios profesionales B2B y no orienta sus servicios a menores de edad ni recoge intencionalmente datos personales de menores. Los formularios del sitio están dirigidos a profesionales adultos en su rol comercial. Si EMP tuviera constancia del tratamiento de datos de un menor de edad sin el consentimiento parental requerido por el artículo 13 del Decreto Ejecutivo 285/2021, los datos serían suprimidos sin demora indebida.

Los responsables legales de un menor que detecten que EMP trata datos de su hijo/a sin el consentimiento adecuado pueden solicitar la supresión inmediata escribiendo a [email protected] con asunto [DPO MENOR]. La solicitud se atenderá en plazo máximo de 5 días naturales con prioridad sobre el procedimiento general.

14 · Actualizaciones

Actualizaciones de esta política

Esta Política de Privacidad puede ser actualizada para reflejar cambios normativos, ajustes operativos del servicio, decisiones administrativas internas o resoluciones de la ANTAI que afecten al régimen aplicable. Las actualizaciones entran en vigor desde su publicación en el Sitio. La fecha de última actualización aparece al inicio del documento.

Cuando las actualizaciones afecten elementos sustanciales del tratamiento (finalidades nuevas, base legal modificada, encargados nuevos relevantes, plazos de conservación ampliados, transferencias internacionales nuevas), EMP notifica el cambio al titular con antelación razonable mediante: aviso destacado en la página principal del Sitio durante 30 días naturales, comunicación por correo electrónico a clientes activos con contrato vigente, comunicación específica a titulares cuyo consentimiento concreto se vea afectado.

El historial de versiones de esta política se conserva internamente y está disponible para consulta de la autoridad de control y, a petición justificada, del titular afectado por cambios específicos.

¿Necesitas ejercer un derecho o consultar al DPO? Escribí a [email protected] con asunto [DPO]. Respuesta en 10 días naturales.

Documento publicado el 9 de mayo de 2026 · Versión 1.0 · Idioma vinculante: español (Panamá) · Régimen aplicable: Ley 81 de 2019 + Decreto Ejecutivo 285/2021 + GDPR cuando aplique