Lo que esta guía hace, y lo que no
La Ley 81 de Protección de Datos Personales rige en Panamá desde marzo de 2021, reglamentada por el Decreto Ejecutivo 285 de ese mismo año. Hay mucho escrito sobre ella en lenguaje legal, y para el detalle normativo nuestra página sobre la Ley 81 lo cubre. Esta guía es otra cosa: traduce la ley a una lista de acciones concretas para quien manda correos comerciales. No para entenderla como abogado, sino para cumplirla como operador.
Lo decimos porque el error más común que vemos en Panamá no es de mala fe; es de traducción. La empresa lee "se requiere consentimiento" y asume que con tener el correo de alguien ya cumplió, o que un texto legal escondido en el pie de página la cubre. No es así, y la diferencia entre creer que cumple y cumplir de verdad se paga de dos formas: en riesgo legal y, mucho antes, en reputación de envío arruinada por quejas de spam.
La buena noticia, y es el hilo que recorre todo este artículo: cumplir la Ley 81 y tener buena entregabilidad son, en la práctica, el mismo trabajo. El consentimiento que exige la norma es justo lo que mantiene bajas las quejas que miden Gmail y Yahoo. Hacer las cosas bien legalmente y hacerlas bien técnicamente apuntan en la misma dirección.
- Consentimiento previo, expreso e informado: permiso obtenido antes, con acto afirmativo claro, sabiendo para qué.
- Documentado: guardar cuándo y cómo cada contacto dio permiso. Si no lo puede probar, no lo tiene.
- Finalidad clara: decir quién recolecta los datos y para qué, al momento del alta.
- Baja fácil: enlace de cancelación visible y funcional en cada correo, sin fricción.
- Derechos ARCO: acceso, rectificación, cancelación y oposición, atendidos de inmediato.
Consentimiento: tres palabras que hay que tomar en serio
El corazón de la ley, para email marketing, es el consentimiento. Y la ley lo califica con tres adjetivos que no son decorativos: el consentimiento debe ser previo, expreso e informado. Cada palabra impone una obligación concreta.
Previo significa que el permiso se obtiene antes del primer envío comercial, no después. No se puede mandar la primera campaña y poner el enlace de baja como si eso fuera pedir permiso retroactivo. Primero el sí, después el correo.
Expreso significa que la persona hizo un acto afirmativo claro de aceptación. Marcar una casilla que estaba vacía, escribir su correo en un formulario que dice explícitamente para qué es, responder "sí, suscríbanme". Lo que no cuenta como expreso: una casilla ya marcada por defecto que la persona tendría que desmarcar, o el silencio interpretado como aceptación. El permiso lo da la persona activamente; no se asume.
Informado significa que, al dar el permiso, la persona sabía quién va a usar sus datos y para qué. No es lo mismo dejar el correo para "recibir la factura" que para "recibir promociones semanales". Si pidió una cosa, no puede usarlo para la otra sin haberlo dicho. El consentimiento cubre la finalidad que se informó, no cualquier uso que se le ocurra después al remitente.
La consecuencia práctica de las tres juntas es directa: comprar o alquilar una base de correos y enviarle campañas no cumple ninguno de los tres requisitos. Esas personas no dieron permiso previo, no hicieron acto expreso de aceptación hacia usted, y no fueron informadas de que su empresa las contactaría. Por más tentadora que sea una lista grande, enviarle es incumplir la ley y, casi siempre, quemar la reputación del dominio en el intento.
Documentar el permiso: si no lo puede probar, no lo tiene
Este es el punto que más se descuida, y el que marca la diferencia entre cumplir y parecer que cumple. La ley contempla que el consentimiento se obtenga de manera que permita su trazabilidad, mediante documentación electrónica u otro mecanismo adecuado. Traducido: por cada contacto de su lista, usted debería poder responder cuándo y cómo dio su permiso.
En la práctica eso significa guardar, para cada alta, un pequeño registro: la fecha en que la persona se suscribió, el origen del alta (qué formulario, qué campaña, qué evento), y la versión del texto que aceptó en ese momento. No hace falta nada sofisticado; una plataforma de email seria registra esto de forma automática. Lo que no sirve es una hoja de cálculo con correos sueltos sin ninguna huella de cómo llegaron ahí.
La prueba de fuego es simple: si mañana alguien cuestiona por qué su empresa le escribe, ¿podría mostrar el rastro de su consentimiento? Si la respuesta es "porque está en mi lista", no tiene consentimiento documentado, tiene una lista. Y ante la ley, y ante los proveedores de correo, esas dos cosas no son lo mismo.
Una práctica que refuerza esta trazabilidad es el doble opt-in: después de que la persona deja su correo, recibe un mensaje de confirmación con un enlace que debe pulsar para activar su suscripción. Suma un paso, sí, pero deja una prueba difícil de discutir —la persona no solo escribió su correo, sino que confirmó desde su propia bandeja— y de paso limpia direcciones mal escritas o falsas antes de que entren a la lista. No es obligatorio por ley, pero es la forma más sólida de construir un consentimiento que se sostiene solo.
La base de contactos que "ya tenía"
Aquí aparece el caso incómodo que casi toda empresa panameña enfrenta tarde o temprano: "tengo una base de correos de años, de clientes, de tarjetas que me dieron, de gente que me escribió. ¿Puedo enviarles marketing?". La respuesta honesta es: solo si esos contactos consintieron recibir comunicaciones comerciales y usted lo puede documentar.
Tener el correo de alguien por una razón no autoriza a usarlo para otra. Que una persona haya sido su cliente, o le haya dejado su tarjeta en una feria, o le haya escrito una consulta, no equivale a que haya pedido recibir sus campañas. Son finalidades distintas, y la ley distingue entre ellas.
La salida correcta cuando la base no tiene consentimiento trazable no es enviarle igual y cruzar los dedos. Es hacer una campaña de reconfirmación: un correo único, cuidado, que explique quién es usted y le pida a la persona confirmar si quiere recibir sus comunicaciones, con un botón claro para decir que sí. A partir de ahí, marketing solo a quienes confirmaron. Duele, porque la lista se achica, pero la lista que queda es de gente que de verdad quiere oírle, que es justo la que abre, hace clic y no reporta spam. Una base chica y consentida vale más que una grande y prestada.
Decir para qué: el principio de finalidad
La ley exige que se informe la finalidad específica para la cual se recopilan los datos. En email marketing esto se traduce en una regla de claridad en el punto de captura: el formulario donde la persona deja su correo debe decir, sin letra escondida, qué va a recibir.
"Suscríbase a nuestro boletín mensual con novedades y promociones" es una finalidad informada. Un campo de correo sin contexto, o uno que dice "déjenos sus datos" sin explicar para qué, no lo es. Y la finalidad informada acota el uso: si captó el correo para enviar un boletín, no puede de pronto usarlo para una campaña de un socio comercial sin haberlo dicho. Si su modelo contempla compartir datos con terceros, eso también hay que informarlo al momento del consentimiento, no asumirlo.
Este principio tiene un beneficio operativo escondido: cuando la gente sabe exactamente a qué se suscribió, recibe lo que esperaba, y la gente que recibe lo que esperaba no reporta spam. La claridad en la captura es, otra vez, cumplimiento y entregabilidad en el mismo gesto.
La baja fácil no es opcional
El derecho de la persona a dejar de recibir sus correos tiene que poder ejercerse de forma simple y efectiva. Esto la ley lo exige por la vía de los derechos del titular, y los proveedores de correo lo exigen por su cuenta: Gmail y Yahoo ya obligan a ofrecer baja en un clic para quienes envían a volumen. Las dos presiones empujan a lo mismo.
En concreto: cada correo comercial debe llevar un enlace de baja visible —no escondido en gris claro sobre fondo blanco en letra de seis puntos— que funcione de verdad. Funcionar de verdad significa que, al hacer clic, la persona quede dada de baja sin tener que iniciar sesión, sin un formulario de cinco preguntas, sin "espere 30 días para que se procese". Un clic, y listo. Y la baja debe respetarse de inmediato: seguir enviando a alguien que pidió salir es de las formas más rápidas de generar una queja de spam, que es peor para usted que la baja misma.
| Práctica | Cumple | No cumple |
|---|---|---|
| Pedir permiso | Casilla vacía que la persona marca | Casilla ya marcada por defecto |
| Guardar permiso | Fecha, origen y texto aceptado | Correo suelto sin rastro |
| Informar finalidad | "Boletín mensual de promociones" | "Déjenos sus datos" |
| Dar de baja | Enlace visible, un clic, inmediato | Escondido, con login, "en 30 días" |
Los derechos ARCO en la práctica diaria
La ley reconoce a toda persona cuatro derechos sobre sus datos, conocidos por la sigla ARCO, y son irrenunciables: acceso (saber qué datos tiene usted de ella), rectificación (corregir los que estén mal), cancelación (que los borre) y oposición (que deje de tratarlos). Para quien hace email marketing, el más cotidiano es la oposición, que en el día a día se ejerce justamente con la baja.
Pero conviene tener un camino claro también para los otros tres. Si alguien escribe pidiendo saber qué datos tiene de él, o que los corrija, o que los elimine por completo, debe haber alguien y un proceso para atenderlo en un plazo razonable. No hace falta un departamento legal: hace falta un correo de contacto que alguien revise y un procedimiento simple para responder. El consentimiento, además, puede revocarse en cualquier momento, sin efecto retroactivo —es decir, lo enviado antes de la revocación no se vuelve ilegal, pero a partir de ahí hay que parar.
Sanciones, y el costo que llega antes que la sanción
El régimen de la Ley 81 contempla multas que van, según la gravedad de la falta, desde alrededor de mil hasta diez mil dólares, además de citaciones ante la ANTAI —la autoridad de datos en Panamá— y, en casos graves, suspensión de actividades. Es un riesgo real y conviene tenerlo presente.
Pero seamos prácticos sobre el orden en que llegan los costos. Para quien hace email marketing, la sanción legal rara vez es lo primero que duele. Lo primero es la reputación de envío. Cuando usted manda a gente que no consintió, una parte la reporta como spam. Esas quejas las miden Gmail, Yahoo y los demás proveedores, y cuando superan cierto umbral empiezan a mandar sus correos —todos, incluidos los de los contactos buenos— a la carpeta de spam. El daño a la entregabilidad llega en días o semanas; una citación de la ANTAI, si llega, tarda mucho más.
Por eso insistimos en que esto no es solo un tema de cumplimiento para tranquilizar al abogado. Es un tema operativo que decide si su email marketing funciona o no. Las reglas de la Ley 81 y las reglas técnicas de entregabilidad protegen lo mismo desde dos ángulos. Si quiere el detalle técnico de cómo proteger la entrega, está en nuestra guía de SPF, DKIM y DMARC, y el cumplimiento de Gmail y Yahoo lo tratamos en el artículo sobre sus requisitos.
La checklist para cumplir, en una página
Si solo se lleva una cosa de este artículo, que sea esta lista. Es lo que revisamos con cada cliente antes de su primer envío.
- Cada contacto dio consentimiento previo, expreso e informado antes de recibir marketing.
- Por cada alta hay registro de cuándo, de dónde y qué texto aceptó.
- El formulario de captura dice con claridad quién recolecta y para qué.
- La base "heredada" sin consentimiento trazable se reconfirmó antes de usarla.
- Cada correo lleva enlace de baja visible, de un clic, que funciona de inmediato.
- Las bajas y oposiciones se respetan sin demora ni fricción.
- Hay un canal y un proceso para atender pedidos de acceso, rectificación y cancelación.
- Existe un punto de contacto responsable de datos dentro de la organización.
Ninguno de estos puntos requiere un presupuesto grande ni un equipo legal. Requieren método y una plataforma de envío que registre el consentimiento y procese las bajas como corresponde. Es trabajo de configuración inicial y disciplina sostenida, no de gasto. Y rinde doble: lo deja en regla con la ley panameña y, a la vez, le da las listas limpias y consentidas que mejor entregan y mejor convierten.
Preguntas frecuentes
¿Necesito consentimiento para enviar email marketing en Panamá?
Sí. La Ley 81 exige consentimiento previo, expreso e informado del titular antes de tratar sus datos con fines de comunicación comercial. Previo significa que se obtiene antes del primer envío; expreso, que la persona hizo un acto afirmativo claro como marcar una casilla no premarcada; e informado, que se le dijo quién recolecta los datos y para qué. Comprar una base de correos y enviarle no cumple ninguno de los tres requisitos.
¿El consentimiento tiene que estar documentado?
Sí, y es uno de los puntos más descuidados. La ley contempla que el consentimiento se obtenga de forma que permita su trazabilidad, mediante documentación electrónica u otro mecanismo adecuado. En la práctica significa guardar, por cada contacto, cuándo y cómo dio su consentimiento: fecha, origen del alta, la versión del texto que aceptó. Si un día le preguntan por qué le escribe a alguien, debe poder mostrarlo.
¿Puedo enviar a una base de contactos que ya tenía de antes?
Solo si esos contactos dieron consentimiento para recibir comunicaciones comerciales y usted puede documentarlo. Tener el correo de alguien porque fue cliente, o porque dejó su tarjeta, no equivale a haber consentido recibir campañas de marketing. Si la base no tiene consentimiento trazable, lo prudente es hacer una campaña de reconfirmación pidiendo permiso explícito, y enviar marketing solo a quienes lo confirmen.
¿Qué derechos tiene la persona sobre sus datos?
Los derechos ARCO: acceso (saber qué datos tiene usted de ella), rectificación (corregirlos), cancelación (que los borre) y oposición (que deje de tratarlos). Son irrenunciables. Para quien hace email marketing, el más cotidiano es la oposición: la persona puede pedir dejar de recibir correos en cualquier momento, y usted debe atenderlo de inmediato. El consentimiento también puede revocarse, sin efecto retroactivo.
¿La baja en un clic es obligatoria?
El espíritu de la ley exige que ejercer la oposición sea fácil y efectivo, y los proveedores de correo como Gmail y Yahoo ya exigen baja en un clic por su cuenta. En la práctica esto significa un enlace de baja visible en cada correo que funcione de verdad y procese la solicitud sin pasos innecesarios ni pedir que el usuario inicie sesión. Cumplir esto a la vez satisface la ley y protege su entregabilidad.
¿Cuáles son las sanciones por incumplir la Ley 81?
El régimen sancionador contempla multas que van desde unos 1,000 hasta 10,000 dólares según la gravedad de la falta, además de la posibilidad de citaciones ante la ANTAI, la autoridad competente, y suspensión de actividades en casos graves. Pero en la práctica, para quien hace email, el costo más inmediato del incumplimiento suele ser otro: las quejas de spam que destruyen la reputación de envío antes de que medie cualquier sanción legal.
¿La Ley 81 aplica si mi empresa está fuera de Panamá?
Puede aplicar. La ley alcanza a las bases de datos que están en territorio panameño con datos de personas, o cuando el responsable del tratamiento está domiciliado en el país. Si usted envía a contactos en Panamá o gestiona datos desde Panamá, conviene cumplirla. Hay sectores como banca y seguros que se rigen por leyes especiales, pero deben mantener estándares de protección equivalentes.
Esta guía es orientación operativa, no asesoría legal; para su caso específico consulte a un profesional. El detalle normativo está en nuestra página sobre la Ley 81 de Panamá, y cómo lo aplicamos al enviar, en el servicio de email marketing.