EN Cotización
Estrategia digital

Lo que tu web panameña debe cumplir en 2026: Ley 81, ITBMS digital y accesibilidad

La mayoría de las webs panameñas recolecta datos con formularios y newsletters sin cumplir la Ley 81, vende servicios sin reflejar el ITBMS digital y, si exporta a la UE, ignora que la accesibilidad ya es obligatoria allá desde junio de 2025. No es alarmismo: son obligaciones con multas reales y un organismo —la ANTAI— que las aplica. Esta guía ordena qué debe cumplir tu sitio en 2026, en lenguaje claro y sin humo legal. No es asesoría jurídica; es el mapa para saber qué consultar con tu abogado.

Por Equipo Website Panamá · · 19 min de lectura
B/.1K–10K multa Ley 81 la aplica ANTAI
2021 Ley 81 vigente desde 29 mar
€5K–500K multa EAA si exportas a la UE
ITBMS 7% en servicios digitales umbral B/.36K anual
Aviso: este artículo es informativo y no constituye asesoría legal. Las leyes cambian y cada caso tiene matices. Úsalo como mapa para saber qué revisar, y confirma tu situación concreta con un abogado o tu contador.

La mayoría de las webs panameñas incumple alguna norma sin saberlo. Tienen un formulario de contacto o un newsletter que recolecta datos sin política de privacidad ni consentimiento real, venden servicios digitales sin contemplar el ITBMS, o exportan a Europa ignorando que la accesibilidad ya es obligatoria allá. No es por mala fe: es porque casi ninguna agencia panameña incluye el cumplimiento legal como parte de lo que entrega con un sitio, y el tema vive disperso en textos legales que nadie lee.

Esta guía ordena, en lenguaje claro, qué debe cumplir tu web en Panamá en 2026. No reemplaza a tu abogado —de hecho, el objetivo es que sepas exactamente qué llevarle—, pero sí te da el mapa completo para dejar de operar a ciegas. Empecemos por la obligación que afecta a casi todos: los datos.

Ley 81: si pides datos, te aplica

La Ley 81 de Protección de Datos Personales está vigente en Panamá desde el 29 de marzo de 2021, y su reglamento —el Decreto Ejecutivo 285— desde mayo de ese año. Regula cómo se recolectan, almacenan, usan y eliminan los datos de personas identificables, y aplica al sector público y al privado por igual. La pregunta práctica no es si eres una gran empresa, sino si tu sitio pide datos: un formulario de contacto, una suscripción, un registro de cliente o un checkout ya te ponen dentro del alcance de la ley.

El organismo que vigila y sanciona es la ANTAI, la Autoridad Nacional de Transparencia y Acceso a la Información. Las multas van de B/.1.000 a B/.10.000 según la gravedad de la infracción, clasificada en leve, grave y muy grave. Y la multa no es la única consecuencia: la ANTAI puede ordenar advertencia escrita, citación, clausura del registro de la base de datos, o suspender e inhabilitar la actividad de tratamiento de datos. A eso se suma la obligación de indemnizar el daño patrimonial o moral causado por un manejo indebido. Para un negocio pequeño, una sanción pública puede doler más en reputación que en dinero.

En lo concreto, cumplir la Ley 81 en una web pasa por cuatro piezas. Una política de privacidad visible, accesible y en lenguaje sencillo que diga qué datos recoges, para qué y por cuánto tiempo. Consentimiento real, activo, no una casilla pre-marcada. Un mecanismo para que las personas ejerzan sus derechos ARCOP —acceso, rectificación, cancelación, oposición y portabilidad—. Y condiciones de seguridad para guardar esa información. Para tratamientos de alto riesgo o a gran escala, la ley añade la figura del Oficial de Protección de Datos. El detalle exacto lo ajusta tu abogado; lo que ninguna web debería tener es un formulario que captura datos en el vacío legal.

Un matiz que conviene entender: no todos los datos pesan igual. La ley distingue entre datos personales comunes —nombre, correo, teléfono— y datos sensibles, que reciben protección reforzada por su potencial de discriminación o daño: salud, origen étnico, creencias, datos biométricos, vida sexual. Una web de una clínica, un laboratorio o un consultorio que recoge información de salud a través de un formulario maneja datos sensibles y, por tanto, asume obligaciones más estrictas que una tienda que solo pide nombre y correo para enviar un boletín. Si tu negocio trata datos sensibles o lo hace a gran escala, la ley contempla tratamientos de alto riesgo que exigen mayores garantías y, posiblemente, la designación formal de un Oficial de Protección de Datos. Saber en qué categoría caes es el primer paso para dimensionar tu obligación real, y es justo lo que conviene precisar con tu abogado.

ITBMS en servicios digitales: la regla del umbral

Si vendes servicios digitales desde tu sitio —suscripciones, software, cursos, servicios profesionales en línea— el ITBMS, el impuesto sobre la transferencia de bienes y servicios, entra en juego. Su tasa general es del 7%, y grava también los servicios digitales prestados en territorio panameño. La regla general que conviene conocer es la del umbral: si las ventas anuales del negocio no superan los B/.36.000, no hay obligación de cobrarlo ni declararlo; pero una vez que se supera ese monto en cualquier período, la obligación se mantiene de forma permanente. La declaración se presenta cada mes mediante el Formulario 430 ante la DGI.

La consecuencia para la web es que el checkout y la facturación deben estar preparados para manejar el ITBMS correctamente cuando tu operación cruce ese umbral —y mejor preverlo desde el diseño que parcharlo después—. Cómo se refleja en el precio, cómo se reporta y cómo se concilia con la facturación electrónica son asuntos contables que conviene resolver con tu contador, igual que el matiz exacto del umbral aplicado a servicios digitales, que se revisa caso a caso. Es la misma lógica que vimos en la comparación de pasarelas de pago: la comisión nominal no es el costo total, porque el ITBMS también se aplica sobre ella. Planearlo desde el diseño evita sustos en el primer cierre del mes.

Ley 473 de precio total: pospuesta a 2027, pero conviene prepararse

La Ley 473, de precio total, apunta a que el consumidor vea el precio final con impuestos incluidos, sin que aparezcan cargos extra al momento de pagar. Su entrada en vigor estaba prevista para mediados de 2026, pero fue pospuesta: el Proyecto de Ley 558, aprobado por la Asamblea Nacional, trasladó la fecha a julio de 2027 para dar más tiempo de adecuación a los comercios, a falta de la sanción presidencial. Conviene verificar su estado vigente antes de tomar decisiones. La DGI ha aclarado, de paso, que la norma no modifica el formato de la factura fiscal, que mantiene el desglose del ITBMS.

Aunque la obligatoriedad se haya movido, mostrar el precio con el ITBMS ya incluido —visible desde la ficha de producto— es buena práctica con o sin ley de por medio. Los costos que aparecen solo al final del checkout son una de las causas más comunes de abandono del carrito: el cliente que creía pagar un monto y ve otro mayor al final, muchas veces se va. Prepararse para la Ley 473 es, a la vez, cumplir a futuro y vender mejor hoy. Pocas obligaciones legales coinciden tan limpiamente con el interés comercial.

Accesibilidad: obligatoria si exportas a Europa

Este es el punto que casi nadie en Panamá conecta con su web. En el país no hay hoy una ley local que obligue a la accesibilidad web en el sector privado. Pero si vendes a la Unión Europea, la historia cambia: el European Accessibility Act (EAA) está vigente desde el 28 de junio de 2025 y aplica a toda empresa que venda productos o servicios a la UE, incluso desde fuera del bloque. Las multas van de €5.000 a €500.000 según el país, y la obligación es real, no teórica.

Los sectores panameños afectados son identificables: fintech offshore con clientes europeos, turismo médico que atiende pacientes de la UE, agroexportadoras con compradores B2B europeos, consultoras de servicios de exportación y ecommerce internacional. El estándar de referencia es WCAG en su nivel AA, que reúne 87 criterios de éxito organizados en cuatro principios: que el contenido sea perceptible, operable, comprensible y robusto. Hay además un dato de mercado que se suele olvidar: hacia 2026 alrededor del 20% de la población de la UE supera los 65 años, así que la accesibilidad va más allá de cumplir una norma: es no dejar fuera a una porción creciente de clientes reales.

La buena noticia es que un sitio bien construido desde el principio cumple buena parte de WCAG AA sin esfuerzo extra: estructura semántica correcta, contraste suficiente, navegación por teclado, textos alternativos en imágenes y formularios etiquetados. Herramientas como WAVE, axe DevTools, la auditoría de accesibilidad de Lighthouse o Pa11y permiten medir dónde estás parado. Convertir un sitio inaccesible a conforme es costoso; partir de uno bien hecho lo da casi gratis, igual que ocurre con el rendimiento.

Cookies, analítica y píxeles: el rincón que casi todos olvidan

Hay una zona gris que la mayoría de las webs panameñas ignora por completo: las cookies y los rastreos de terceros. Cuando tu sitio carga Google Analytics, el píxel de Meta o un widget que sigue el comportamiento del visitante, estás recolectando y compartiendo datos de esa persona, muchas veces sin que lo sepa. Bajo la lógica de la Ley 81 y de la información transparente que exige, eso debería estar declarado: qué se rastrea, con qué herramientas y para qué.

En la práctica, lo razonable es un aviso de cookies que informe de forma clara qué tecnologías de seguimiento usa el sitio, junto con la política de privacidad que las detalla. No se trata de copiar el banner europeo palabra por palabra —el marco panameño no es el RGPD—, sino de aplicar el mismo principio de transparencia: el visitante tiene derecho a saber qué pasa con su información. Y si tu negocio además vende a la UE, ahí sí el estándar de consentimiento de cookies es más estricto y conviene revisarlo con detalle, porque el RGPD y el EAA conviven con el resto de tus obligaciones.

Dónde viven tus datos: hosting y transferencia

Un aspecto técnico con implicación legal: dónde se almacenan los datos que recoge tu web. La Ley 81 aplica a las bases de datos en territorio panameño, pero muchos sitios guardan la información de sus formularios en servidores en el extranjero, en servicios de email marketing o en hojas de cálculo en la nube. Esa transferencia y almacenamiento fuera del país no está prohibida, pero sí debe manejarse con las garantías que la ley contempla, y conviene que el responsable del tratamiento sepa exactamente dónde terminan los datos de sus clientes.

La recomendación práctica es mapear el recorrido del dato antes de lanzar: de qué formulario sale, por qué servicios pasa, dónde se guarda y quién tiene acceso. Ese mapa es lo primero que pediría un abogado al revisar tu cumplimiento, y tenerlo claro convierte una auditoría legal de semanas en una conversación de horas. Un sitio que sabe dónde viven sus datos es un sitio que puede demostrar cumplimiento; uno que no lo sabe está expuesto sin medir cuánto.

La Fiscalía de Ciberdelitos: el cumplimiento dejó de ser teórico

Durante años, las normas digitales de Panamá existían más en el papel que en la práctica. Eso cambió con la creación, en 2026, de la Fiscalía Especializada en Ciberdelitos, un órgano dedicado a perseguir las violaciones digitales con foco en propiedad intelectual, fintech, telecomunicaciones y plataformas digitales. Su existencia tiene dos caras para un negocio en línea. Por un lado, eleva las consecuencias de operar al margen: el manejo indebido de datos, la suplantación o el fraude ya tienen quién los procese de forma especializada. Por otro, da un canal real para denunciar si tu propio negocio es víctima de un delito digital.

El mensaje de fondo es que el ecosistema regulatorio panameño está madurando rápido: Ley 81 con un organismo que sanciona, ITBMS digital, una ley de precio total en camino y ahora una fiscalía especializada. La ventana de "nadie lo está mirando" se está cerrando, y el negocio que ordene su casa ahora evita el sobresalto de tener que hacerlo a las apuradas cuando le toque una revisión.

Checklist práctico para tu web en 2026

Para aterrizar todo lo anterior, esto es lo que conviene revisar —y luego confirmar con tu abogado y tu contador—:

Si tu web recoge datos: política de privacidad clara y visible, consentimiento activo en cada formulario, mecanismo para ejercer derechos ARCOP, y almacenamiento seguro de los datos.

Si vendes en línea: contemplar el ITBMS (7%, con la regla del umbral de B/.36.000 anuales) en tu facturación, mostrar el precio con impuestos incluidos, y un checkout preparado para la facturación que corresponde.

Si exportas a la UE: auditar tu sitio contra WCAG AA y corregir las brechas, porque el EAA ya está vigente y la multa es real.

Siempre: términos y condiciones de uso, datos de contacto reales y verificables, y un sitio construido sobre una base técnica sólida que facilite cumplir en vez de pelear contra el código.

El cumplimiento legal no debería ser un añadido caro que se resuelve tarde: cuando el sitio se construye bien desde el inicio, la mayor parte viene de fábrica. Así lo integramos en nuestro servicio de diseño web, y si tu sitio ya existe y quieres saber dónde estás parado frente a estas obligaciones, una auditoría web te da el diagnóstico. El primer paso, sin embargo, es gratis: revisa hoy si tu formulario de contacto tiene una política de privacidad detrás. Si no la tiene, ya sabes por dónde empezar.

Y vale cerrar con el argumento que suele convencer más que el miedo a la multa: cumplir genera confianza, y la confianza vende. Un visitante panameño que ve una política de privacidad clara, un precio sin sorpresas y un sitio que funciona para todos percibe a un negocio serio, y la seriedad percibida es lo que separa a la marca que recibe el formulario de la que lo pierde. El cumplimiento legal, bien entendido, no es un costo defensivo: es una señal de profesionalismo que el cliente lee aunque no sepa nombrar la Ley 81. Hacerlo bien protege de la sanción y, a la vez, construye la reputación que hace crecer al negocio.

Preguntas frecuentes sobre el cumplimiento legal web en Panamá

¿Mi sitio web está obligado a cumplir la Ley 81 de protección de datos?
Si tu sitio recolecta datos personales de cualquier forma —un formulario de contacto, una suscripción a newsletter, un registro de cliente, un checkout— entonces sí, la Ley 81 te aplica. La ley está vigente en Panamá desde el 29 de marzo de 2021 y reglamentada por el Decreto Ejecutivo 285 del 28 de mayo de 2021. Regula cómo se recolectan, almacenan, usan y eliminan los datos de personas identificables, y aplica tanto al sector público como al privado. No importa el tamaño del negocio: una pyme con un formulario de contacto tiene obligaciones igual que una corporación. Esto no es asesoría legal; para tu caso concreto conviene revisar con un abogado, pero la regla general es clara: si pides datos, la ley te cubre.
¿Qué multas hay por incumplir la Ley 81 y quién las aplica?
La ANTAI (Autoridad Nacional de Transparencia y Acceso a la Información) es el organismo que investiga y sanciona. Las multas van de B/.1.000 a B/.10.000 según la gravedad, clasificada en infracciones leves, graves y muy graves. Pero la multa no es lo único: la ANTAI también puede ordenar advertencia escrita, citación, clausura del registro de la base de datos, e incluso suspender o inhabilitar la actividad de tratamiento de datos. Además, el responsable del tratamiento debe indemnizar el daño patrimonial o moral que cause un manejo indebido. En la práctica, el riesgo reputacional de una sanción pública suele pesar más que el monto mismo.
¿Qué debe tener mi web para cumplir la Ley 81 en lo básico?
Cuatro elementos básicos, sin entrar en el detalle que tu abogado debe ajustar a tu caso. Primero, una política de privacidad visible, accesible y en lenguaje claro que explique qué datos recoges, para qué y por cuánto tiempo. Segundo, consentimiento real: la persona debe aceptar de forma activa antes de que trates sus datos, no por una casilla pre-marcada. Tercero, un mecanismo para que los titulares ejerzan sus derechos ARCOP —acceso, rectificación, cancelación, oposición y portabilidad de sus datos—. Cuarto, condiciones de seguridad para almacenar esa información. Para tratamientos de alto riesgo o a gran escala, la ley contempla además la figura del Oficial de Protección de Datos.
¿Tengo que cobrar ITBMS si vendo servicios digitales desde mi web?
El ITBMS, el impuesto sobre la transferencia de bienes y servicios de Panamá, tiene una tasa general del 7% y grava también los servicios digitales prestados en territorio panameño. Como regla general existe un umbral: si las ventas anuales del negocio no superan los B/.36.000, no se está obligado a cobrarlo ni declararlo; pero una vez superado ese monto en cualquier período, la obligación se mantiene de forma permanente. La declaración se presenta mensualmente (Formulario 430) ante la DGI. Cómo se refleja en el precio y cómo se concilia es un asunto contable que conviene resolver con tu contador —los matices del umbral aplicado a servicios digitales se revisan caso a caso—, pero la web y el checkout deben estar preparados para manejar el impuesto correctamente desde que tu operación lo requiera.
¿Qué es la Ley 473 de precio total y cómo afecta mi tienda en línea?
La Ley 473, conocida como de precio total, busca que el consumidor vea el precio final con impuestos incluidos, sin sorpresas al momento de pagar. Su entrada en vigor, prevista inicialmente para mediados de 2026, fue pospuesta: el Proyecto de Ley 558, aprobado por la Asamblea Nacional, traslada la fecha a julio de 2027 para dar más tiempo a los comercios a adecuarse. Conviene verificar el estado vigente, porque depende de la sanción presidencial. La DGI ha aclarado además que la norma no cambia el formato de la factura fiscal, que sigue desglosando el ITBMS. Más allá de la fecha, lo prudente para una tienda en línea es prepararse desde ya: mostrar el precio con el ITBMS incluido de forma visible en lugar de añadirlo recién en el checkout. Es buena práctica de conversión, porque los costos ocultos al final del proceso de compra son una de las causas más comunes de abandono del carrito. El cliente que cree que va a pagar un monto y descubre otro mayor al final muchas veces abandona, y rara vez vuelve. Adelantarse alinea, por una vez, el cumplimiento con el interés comercial.
¿La accesibilidad web es obligatoria en Panamá?
En Panamá no existe hoy una regulación local que obligue a la accesibilidad web para el sector privado. Pero hay un caso en el que sí es obligatoria: si vendes productos o servicios a la Unión Europea. El European Accessibility Act (EAA) está vigente desde el 28 de junio de 2025 y aplica a toda empresa que venda a la UE, incluso desde fuera del bloque, con multas que van de €5.000 a €500.000 según el país. Esto afecta directamente a sectores panameños exportadores: fintech offshore con clientes europeos, turismo médico que atiende pacientes de la UE, agroexportadoras con compradores B2B europeos, consultoras y ecommerce internacional. Si tu negocio está en alguno de esos grupos, la accesibilidad dejó de ser opcional.
¿Por qué debería importarme la Fiscalía de Ciberdelitos?
Porque su creación en 2026 marca un cambio de enfoque: Panamá pasó de tener leyes digitales en el papel a tener un órgano especializado que las persigue. La Fiscalía Especializada en Ciberdelitos procesa de forma más rigurosa las violaciones digitales, con foco en propiedad intelectual, fintech, telecomunicaciones y plataformas digitales. Para un negocio con presencia en línea, esto eleva las consecuencias de operar al margen —desde el manejo indebido de datos hasta la suplantación o el fraude— y, al mismo tiempo, da un canal real para denunciar si tu negocio es víctima. El mensaje de fondo es que el cumplimiento digital en Panamá dejó de ser teórico.