El sector de pagos digitales en Panamá experimenta un crecimiento acelerado, posicionando al país como el cuarto en adopción de estas tecnologías en Latinoamérica. Sin embargo, este crecimiento viene acompañado de un marco regulatorio cada vez más estructurado que los líderes empresariales deben conocer a fondo. 

Aquí abordaremos los aspectos fundamentales que todo decisor en e-commerce o fintech debe comprender para operar con éxito en el mercado panameño. Pasando por la ley de protección de datos y el registro obligatorio para emisores de medios de pago o dinero electrónico, hasta el cumplimiento para Anti-Lavado de Dinero (AML, por sus siglas en inglés). ¡Empecemos!

Ley de protección de datos en Panamá: Pilar de confianza para pagos digitales

La Ley de Protección de Datos en Panamá, promulgada en 2019 y reglamentada mediante el Decreto Ejecutivo 285 de 2021, establece los fundamentos para el manejo responsable de información personal en el entorno digital. Esta normativa impacta directamente en la operación de servicios financieros digitales.

La Ley 81 de 2019 sobre protección de datos personales, conocida comúnmente como la ley 81 en Panamá, junto con su reglamentación mediante el Decreto Ejecutivo 285 de 2021, establece las reglas que deben seguir las empresas al manejar información personal en el país. 

Su base está en el derecho constitucional a la privacidad y en estándares internacionales, lo que asegura un marco sólido y actual para la protección de los datos. Con este fundamento, exige que las empresas traten la información de forma transparente, responsable y únicamente para los fines autorizados. 

Para orientar este cumplimiento, la normativa se apoya en principios como la seguridad, la confidencialidad, la proporcionalidad y la finalidad legítima.

Y a partir de estos principios, define varios conceptos esenciales que sirven como guía para entender cómo debe manejarse la información dentro de cualquier organización. Entre ellos destacan:

• Dato personal: información que permite identificar o hacer identificable a una persona natural.
• Datos sensibles: información más delicada, como datos de salud, creencias religiosas, orientación sexual o datos biométricos, cuyo uso indebido podría generar discriminación o riesgos.
• Tratamiento de datos: cualquier acción que la empresa realice con la información, desde recolectarla hasta almacenarla, organizarla o compartirla cuando corresponda.
• Responsable del tratamiento: persona o entidad que define cómo y para qué se usarán los datos personales.
• Custodio de la base de datos: quien administra y protege los datos siguiendo las instrucciones del responsable, garantizando que se manejen de forma segura.

Por otro lado, la ley excluye ciertos tratamientos como actividades personales o domésticas, así como los relacionados con investigación penal, inteligencia financiera, seguridad nacional u organismos internacionales bajo tratados vigentes. 

También permite transferencias derivadas de obligaciones en tratados ratificados por Panamá y, para fines científicos, estadísticos o históricos, autoriza el tratamiento transfronterizo cuando los datos hayan sido previamente disociados, de modo que ya no puedan vincularse a una persona natural.

Sin embargo, esta normativa se ha vuelto especialmente relevante para negocios que operan en entornos digitales, como e-commerce, fintech y servicios de pago, donde la seguridad y la confianza del usuario son fundamentales. 

Veamos entonces de qué manera impacta la ley 81 de Panamá a la operación de estos servicios.

¿Quién debe cumplir?

Los pasos para iniciar un negocio bajo la modalidad de sociedad de emprendimiento en Panamá, se han simplificado de forma notable, reduciendo costos y trámites frente a las sociedades tradicionales. Para formalizarte, debes cumplir con los siguientes puntos clave:

La normativa aplica a todas las empresas que:

La Ley de protección de datos en Panamá establece que deben cumplir todas las empresas que:

• Manejan datos personales almacenados en territorio panameño

• Están domiciliadas en Panamá

• Dirigen sus actividades comerciales al mercado panameño

Para el sector fintech y de pagos digitales, esto significa una cobertura prácticamente universal de sus operaciones en el país.

Obligaciones fundamentales para empresas

El consentimiento informado es la base de esta regulación, lo que exige que toda recopilación y procesamiento de datos personales cuente con autorización explícita del usuario. Sin esta validación, cualquier manejo de información podría considerarse una infracción. Además, solo pueden pedirse los datos mínimos necesarios para cumplir la finalidad.

De igual manera, cumplir con la Ley de protección de datos en Panamá implica aplicar medidas robustas de seguridad, Las empresas deben garantizar la seguridad de los datos, mediante medidas robustas como cifrado, tokenización y certificaciones PCI-DSS, protegiendo así la información sensible de pagos y reduciendo riesgos de fraude.

La normativa también impone la garantía de los derechos ARCO (Acceso, Rectificación, Cancelación y Oposición), asegurando que los usuarios puedan ejercer control efectivo sobre su información personal y solicitar modificaciones o eliminación de sus datos cuando lo requieran.

Además de los derechos ARCO, la ley garantiza la portabilidad de los datos, permitiendo al titular solicitar la transferencia de su información a otro proveedor cuando sea aplicable.

Por último, si la empresa realiza transferencias de datos fuera de Panamá, deberá cumplir con regulaciones específicas que exigen protocolos adicionales de seguridad y validación legal.

Tratamiento y transferencia transfronteriza de datos

El tratamiento y transferencia de datos personales fuera de Panamá solo es permitido cuando se garantiza un nivel de protección igual o superior al exigido por la Ley de 81 de Panamá

Para cumplir con estas regulaciones de privacidad, la empresa responsable debe demostrar que cuenta con medidas adecuadas de seguridad, políticas internas alineadas con la normativa panameña y controles que aseguren la confidencialidad e integridad de la información.

Sin embargo, la Ley 81 de 2019 sobre protección de datos personales contempla situaciones en las que la transferencia internacional puede realizarse sin requisitos adicionales. 

Esto ocurre cuando el titular brinda su consentimiento expreso, cuando la transferencia es necesaria para ejecutar un contrato en beneficio del usuario o cuando corresponde a operaciones bancarias, financieras o del mercado de valores. 

¿Necesitas ayuda para cumplir con estas obligaciones en tu empresa? En Veló, llevamos años ayudando a los e-commerce y fintech para operar con total seguridad y conformidad con la ley panameña. Nos especializamos en:

• Redacción y actualización de políticas de privacidad adaptadas a la normativa vigente.

• Revisión de sistemas de TI para garantizar que la infraestructura tecnológica cumpla con los más altos estándares de seguridad.

• Asesoría en transferencia de datos, asegurando conformidad con regulaciones locales e internacionales.

Programa tu asesoría

Supervisión y sanciones

La ANTAI, a través de su Dirección de Protección de Datos Personales, vigila de cerca que las empresas cumplan con la ley y las consecuencias de no acatarla pueden ser graves:

• Sanciones económicas que pueden afectar seriamente la rentabilidad del negocio.
• Posibles limitaciones en la actividad de la empresa, como la prohibición de procesar datos personales hasta corregir incumplimientos.
• Inspecciones detalladas que pueden exigir la implementación de cambios urgentes en los procesos de manejo de datos
• Pérdida de credibilidad en el mercado, afectando la relación con clientes y socios comerciales.

Sin embargo, el cumplimiento normativo no se limita a la protección de datos. Para operar legalmente en Panamá, las empresas deben cumplir con un registro clave que muchas pasan por alto.

Registro obligatorio para emisores de medios de pago

La obligación de registro ante la Superintendencia de Bancos de Panamá (SBP) es un aspecto crítico para operar como emisor de medios de pago o dinero electrónico. Te contamos de qué se trata

Entidades que requieren registro

Este requisito aplica específicamente a pasarelas y procesadores de pago, plataformas de wallets digitales, emisores de tarjetas prepago y servicios de transferencia de dinero digital. La definición abarca un espectro amplio de servicios fintech modernos, por lo que muchas startups pueden encontrarse bajo esta obligación sin saberlo.

Proceso de registro

El procedimiento requiere:

1. Presentación de solicitud formal ante la SBP

2. Documentación detallada del modelo de negocio

3. Cumplimiento de requisitos financieros (capital mínimo) y técnicos

4. Pago de una tarifa regulatoria basada en los activos de la empresa

Cabe resaltar que la omisión de este registro puede resultar en sanciones severas, exclusión de alianzas con instituciones financieras tradicionales y limitaciones significativas para el crecimiento del negocio.

Cumplimiento AML: El desafío permanente

Las regulaciones Anti-Lavado de Dinero (AML) representan uno de los mayores desafíos operativos para las empresas del sector de pagos digitales, ya que deben adaptarse continuamente a la evolución de las técnicas de lavado de dinero y a los crecientes estándares regulatorios.

Esta complejidad no solo exige actualizaciones constantes en procesos y tecnología, sino que también implica un alto costo de cumplimiento. De hecho, el gasto global en regulación AML por parte de instituciones financieras supera los USD $100.000 millones. 

Se suma también la considerable ambigüedad sobre qué servicios fintech específicos requieren determinadas medidas AML, creando incertidumbre para innovadores en el espacio.

Obligaciones legales y mejores prácticas

Un programa AML efectivo no solo debe ser sólido operativamente, sino que también debe cumplir con los requisitos legales establecidos en la normativa panameña.

• Verificación de identidad y marco regulatorio: La legislación exige que las empresas apliquen procedimientos de conocimiento del cliente (KYC) o debida diligencia al registrar usuarios y procesar transacciones de alto valor, asegurando que la identificación y documentación cumplan con los estándares exigidos por la Superintendencia de Bancos de Panamá (SBP) y la Unidad de Análisis Financiero (UAF).
• Debida diligencia del cliente reforzada: De acuerdo con la Ley 23 de 2015, las empresas deben aplicar controles adicionales a clientes de alto riesgo, incluyendo monitoreo detallado y verificación de la fuente de fondos para detectar posibles irregularidades.
• Monitoreo y reporte obligatorio: Las instituciones reguladas deben implementar sistemas de detección de transacciones sosp
• echosas y reportarlas de forma obligatoria a la UAF, cumpliendo con los plazos y formatos exigidos por la normativa vigente.
• Adaptación continua a cambios regulatorios: Las empresas deben mantener sus procesos actualizados para cumplir con nuevas disposiciones y evitar sanciones por incumplimiento. Esto implica inversión en tecnología, auditorías periódicas y capacitación de equipos para garantizar un cumplimiento eficiente.

Como ves, el cumplimiento AML no solo evita sanciones, sino que fortalece la seguridad y reputación de tu negocio. Por eso en Veló nos aseguramos de:

• Optimizar programas de cumplimiento para asegurar que tus políticas internas sean efectivas.
• Validar sistemas de monitoreo para detectar transacciones sospechosas con precisión. 
• Realizar investigaciones de cuentas bancarias y verificación de fondos para minimizar riesgos con clientes de alto riesgo.

Todo a través de metodologías ágiles, tecnología y procesos eficientes, que usamos para brindarte soluciones legales accesibles y simplificar tu gestión. ¡Hablemos!