Una de las reformas más profundas que se perfilan en Panamá apunta a redefinir la seguridad tecnológica, la ciberdefensa y la protección de infraestructuras consideradas estratégicas para el país.
Con ese objetivo, el Ministerio de Seguridad Pública (Minseg) ha iniciado una ronda de presentaciones de un anteproyecto para adoptar una "Ley de Infraestructuras Críticas y Servicios Esenciales", ante representantes de gremios empresariales como la Asociación Panameña de Ejecutivos de Empresa (Apede) y la Cámara de Comercio, Industrias y Agricultura de Panamá (Cciap).
La propuesta legislativa introduce un modelo de gobernanza que trasciende la protección informática tradicional. El texto combina criterios de defensa estatal, supervisión financiera y control geopolítico sobre actividades económicas y servicios esenciales para el funcionamiento del país. Entre ellos figuran los sectores de energía, salud, telecomunicaciones, finanzas, transporte, agua y alimentación, así como los cables submarinos.
Por ahora, el documento de 26 páginas, al que tuvo acceso La Prensa, se encuentra en fase de consultas y se espera que sea presentado por el Ejecutivo durante el próximo período de sesiones ordinarias de la Asamblea Nacional, que inicia el 1 de julio. Antes debe ser avalado por el Consejo de Gabinete.
Pero ¿qué implica esta iniciativa?
Adjuntos
ANTEPROYECTO DE LEY.pdfPolicía cibernética
Uno de los aspectos más llamativos del anteproyecto es la creación del Servicio Nacional de Ciberdefensa (SNC), contemplado en los artículos 33 y 34. La nueva entidad estaría adscrita al Ministerio de Seguridad Pública y sería considerada parte de la Fuerza Pública, aunque con una estructura híbrida integrada por componentes civiles y operativos.
El anteproyecto también prevé la conformación de unidades especializadas, como el Centro de Operaciones de Ciberdefensa (C-SOC) y un Equipo de Tarea Conjunta contra el Ciberdelito. Ambas instancias tendrían funciones de monitoreo, respuesta y coordinación frente a amenazas digitales que comprometan infraestructuras estratégicas o servicios esenciales del Estado.
Otro de los artículos que más destacan es el 32, relacionado con la identificación de beneficiarios finales de las sociedades anónimas. La norma obliga a operadores críticos y contratistas a revelar quién ejerce realmente el control de las sociedades involucradas en actividades estratégicas. Se supone que esto ya ocurre con el Registro Único de Beneficiarios Finales de Personas Jurídicas, creado mediante la Ley 129 de 2020 y que custodia la Superintendencia de Sujetos No Financieros.
El texto establece, además, que no podrán invocarse disposiciones de secreto corporativo o fiduciario para ocultar esa información.
La disposición cobra especial relevancia porque incluye incluso a entidades estatales extranjeras, fondos soberanos o estructuras societarias complejas. Con ello, el anteproyecto busca impedir que intereses ocultos participen en sectores sensibles sin supervisión estatal, especialmente en áreas vinculadas con las telecomunicaciones, la energía o la infraestructura digital.
Contratación de seguros
En materia financiera, el anteproyecto introduce otra obligación inédita: la contratación obligatoria de seguros “contra riesgos cibernéticos”.
Hay cuatro artículos (del 64 al 67) que proponen que los operadores estratégicos deberán mantener pólizas que cubran interrupciones del servicio, recuperación tecnológica, daños económicos y responsabilidades frente a terceros.
La iniciativa también incorpora filtros en las contrataciones públicas y privadas vinculadas con infraestructuras “críticas”.
El artículo 69 prohíbe contratar a empresas o proponentes condenados por corrupción o delincuencia organizada, así como a entidades sancionadas internacionalmente por violaciones de derechos humanos. Esto supone una modificación a la Ley de Contrataciones Públicas.
Además, el documento abre la puerta a restricciones contra actores considerados “adversarios estratégicos” o países que mantengan situaciones de hostilidad reconocidas por el Estado panameño. Este apartado introduce, por primera vez en una legislación panameña, conceptos asociados al riesgo geopolítico y a la protección de cadenas de suministro sensibles.
El ‘Consejo’ de alto nivel
El control de la propiedad y de la influencia extranjera ocupa igualmente un lugar central en el proyecto.
Entre los artículos 28 y 31 se otorgan facultades a un ente denominado “Consejo Estratégico” para evaluar, limitar o incluso suspender operaciones cuando la participación extranjera cuando el operador, contratista o proveedor represente riesgos para la “soberanía tecnológica” o la seguridad nacional.
Dentro de esas medidas de mitigación, el anteproyecto contempla la posibilidad de exigir que ciertos datos estratégicos permanezcan almacenados obligatoriamente en territorio panameño.
La propuesta también eleva las exigencias técnicas para proveedores de tecnologías de información y telecomunicaciones. El artículo 70 obliga a certificar procesos y equipos bajo estándares de la Asociación de la Industria de Telecomunicaciones (TIA, por sus siglas en inglés), particularmente en materia de ciberseguridad y seguridad de la cadena de suministro.
El Consejo Estratégico tendrá un “Comité Directivo” que estará integrado por representantes de nueve entidades. Lo preside el Ministerio de la Presidencia.
Opiniones encontradas
Para Gabriel Diez, presidente del Consejo Nacional de la Empresa Privada (Conep), este proyecto es necesario para fortalecer la capacidad del país frente a los ciberdelitos. “Tenemos que regular este tipo de materia”, afirmó el empresario.
En cuanto a la regulación de la denominada influencia extranjera, Diez sostuvo que la medida busca establecer protocolos frente a amenazas cibernéticas.
“No debemos ser tan susceptibles a este tema, porque las amenazas no tienen nacionalidad. Hay empresas grandes que han sido hackeadas y nadie habla del país de donde provino el ataque”, señaló.
“Lo que se está tratando de evitar es que, por ejemplo, una empresa de un país adquiera todas las compañías de telecomunicaciones de Panamá. Eso significaría dejar en manos de un actor externo todo nuestro sistema de telecomunicaciones”, agregó.
A diferencia del presidente del Conep, el abogado y exdiputado, José Isabel Blandón, considera que la propuesta, en su redacción actual, podría convertirse en un obstáculo para la atracción de inversión extranjera.
Blandón advierte que las disposiciones relacionadas con el control o la influencia extranjera sobre activos estratégicos, sumadas a la confidencialidad del catálogo de infraestructuras críticas y a las amplias facultades otorgadas al Consejo Estratégico, generan incertidumbre para las empresas internacionales.
A su juicio, la iniciativa crea un entorno regulatorio que podría afectar particularmente a compañías estatales o vinculadas a gobiernos extranjeros interesadas en invertir en Panamá.
El dirigente político también expresó preocupación por lo que considera una excesiva concentración de poder en las entidades encargadas de aplicar la futura ley. Según su análisis, el Consejo Estratégico y su Comité Directivo tendrían facultades para definir áreas de cobertura, establecer reglamentaciones y acceder a información sensible de las empresas, incluso con capacidad de influir en procesos de contratación.
Por su parte, el abogado especialista en derecho digital y ciberseguridad, José Vega, consideró que el anteproyecto de ley sobre infraestructuras críticas podría representar un avance normativo importante. “Posee un enfoque de gobernanza multinivel, establece un catálogo nacional de infraestructuras críticas, crea un Servicio Nacional de Ciberdefensa y define un régimen sancionador escalonado”, señaló.
Sin embargo, advirtió que el texto presenta limitaciones que podrían reducir su eficacia. Explicó que delega demasiados aspectos a la reglamentación, crea estructuras de gobernanza de dudosa viabilidad, omite referencias a la protección de datos personales, carece de un régimen de responsabilidad civil y no articula adecuadamente sus disposiciones con el Código Penal.
Además, sostuvo que aborda de manera superficial la coordinación con otras instituciones, como la Autoridad Nacional para la Innovación Gubernamental (AIG), la Autoridad Nacional de los Servicios Públicos (ASEP) y el Ministerio Público.
Su conclusión fue categórica: “Parece un excelente punto de partida, pero si no se corrigen sus insuficiencias, no será un instrumento eficaz para cerrar de manera efectiva el vacío en materia de ciberseguridad que enfrenta Panamá”.
