Desde el año 2006, cada 28 de enero se celebra el “Día Internacional de la Protección de Datos Personales”, fecha en que se abrió a la firma el Convenio 108 del Consejo de Europa, primer tratado internacional en materia de protección de datos, originalmente suscrito por países europeos y, luego, acordado en el resto del mundo.
En Venezuela no existe una ley que regule específicamente la protección de datos personales. Sin embargo, la Constitución de la República Bolivariana de Venezuela lo consagra en su artículo 60 (habla del derecho a la protección del honor, vida privada, intimidad, propia imagen, confidencialidad y reputación); también la Ley Orgánica del Tribunal Supremo de Justicia y la Ley de Infogobierno reconocen este derecho.
No obstante, la Sala Constitucional emitió una sentencia en el año 2011 que plantea principios de resguardo y tratamiento de datos en el país. De las disposiciones normativas mencionadas en ese texto, se entiende que cualquier dato personal o sobre bienes patrimoniales que reposen en instituciones privadas o públicas, deben ser tratadas con diligencia y responsabilidad bajo el reconocimiento y tratamiento que tienen las personas sobre sus datos.
Aún cuando no hay una ley nacional, en el 2021 el Comité Jurídico Interamericano (CJI) de la Organización de Estados Americanos (OEA) desarrolló los “Principios Actualizados sobre la Privacidad y la Protección de Datos Personales, con Anotaciones” (en adelante, Protección de datos), el cual no es vinculante pero sirve de forma orientativa para los Estados con el fin de promover buenas prácticas.
El texto legal, disponible en la Sentencia de Sala Constitucional de fecha 4 de agosto de 2011, suscitó una controversia, pues un grupo de ciudadanos solicitó la nulidad parcial del artículo 192 del Decreto N° 1.526 Reforma de la Ley General de Bancos y otras Instituciones Financieras, que permite a estas empresas acceder a la información personal registrada en el SICRI sin el conocimiento ni el consentimiento de los deudores. Este acceso descontrolado se traducía en la manipulación de datos, donde entidades ajenas a la relación crediticia podrían estigmatizar a los deudores, afectando su capacidad de acceder a nuevos créditos.
El Sistema de Información Central de Riesgos (SICRI) desempeña un papel en la gestión del riesgo crediticio en el sector bancario de Venezuela. Sin embargo, su funcionamiento suscitó preocupaciones significativas sobre la privacidad y los derechos de la ciudadanía.
Las instituciones financieras podrían utilizar esta data de manera perjudicial, lo que les permitiría calificar a deudores como de alto o bajo riesgo sin ofrecerles la oportunidad de conocer las razones detrás de las decisiones negativas respecto a su crédito.
Esto no solo lesionaba los derechos fundamentales de los usuarios, sino que también impedía el acceso a servicios bancarios, lo que se denomina en la sentencia como una “sanción vitalicia”.
Más allá del tema bancario, la Sala Constitucional plantea en su sentencia una serie de principios e información claves para la protección de datos personales almacenados por entes públicos o privados en Venezuela, lo que brinda un marco general que permite garantizar derechos asociados a la información de las personas en sistemas digitales.
Implicaciones de la sentencia:
- Una de las partes solicita la nulidad alegando que la falta de transparencia en el uso de la información del SICRI infringe el derecho constitucional a la vida privada e intimidad, derechos constitucionales consagrados en el artículo 60 de la carta magna. Ante este debate, la Sala reconoce que la Ley General de Bancos y otras Instituciones Financieras fomenta el acceso indiscriminado a la información personal de los ciudadanos.
- Asimismo, reconoce la falta de un marco legal sólido que regule la protección de datos en este contexto, no obstante, invoca y reconoce el respeto a los derechos constitucionales, por lo que resalta la necesidad de que las y los usuarios tengan derecho a conocer y acceder a la información que les concierne, así como a ser informados sobre cómo se utilizan sus datos. Esta situación subraya la urgencia de una revisión y reforma del sistema actual para garantizar la protección de datos de los ciudadanos, promoviendo una relación más justa y transparente entre los usuarios y las entidades financieras.
La Sala establece, además, que cualquier normativa sobre datos personales debe garantizar el consentimiento previo, libre e informado de los titulares para el uso de su información. Esto implica que los usuarios deben estar bien informados sobre cómo se utilizarán sus datos.
Hay excepciones[1] en el sector bancario donde se puede acceder a la información sin autorización del afectado; sin embargo, esto no significa que la persona pierda el control sobre su propia información.
La sentencia subraya la importancia de que la recopilación de datos sea legal; es decir, que se garanticen los derechos a la protección del honor, vida privada, intimidad, propia imagen, confidencialidad y reputación, que otorga el artículo 60 de la constitución. También debe estar En concordancia con el artículo 143 de la constitución, con la obligación legal del Estado de brindar información sobre asuntos que les concierne a cada particular, permitiendo el acceso a archivos y registros administrativos con la única limitación que establece la ley.[2]
Por otra parte, plantea que las recopilaciones de información, siempre ligadas a la libertad de expresión, también pueden quedar legalmente restringidas, tal como se deduce de los artículos 60 y 143 constitucionales. En todos los casos las restricciones deben ser objeto de interpretaciones estrictas o claras, porque son normas que restringen los derechos fundamentales. Esto facilita que no sean aplicadas de forma discrecional, según interprete cualquier funcionario/a.
Además, el principio de legalidad establece que tienen un trato particular los datos que revelen la ideología, afiliación sindical, religión o creencias, origen racial y la vida sexual de la persona, los cuales sólo podrán ser tratados con su consentimiento, a menos que la o el afectado los hubiera hecho manifiestamente públicos, o cuando una ley así lo disponga.
La sentencia habla de manera especial de datos financieros; al respecto la Sala subraya la importancia de asegurar que los sistemas de información que manejan estos datos cumplan con las garantías necesarias, ya que de lo contrario se vulneraría derechos fundamentales como la protección de datos y, en consecuencia, la libertad de expresión, en la medida en que la información personal no estaría debidamente resguardada frente a posibles abusos o mal uso.
Establece que quien recopila los datos debe garantizar la actualización y seguridad de la información para evitar la circulación de datos obsoletos o perjudiciales, protegiendo los derechos fundamentales de las y los usuarios.
Almacenar datos implica riesgos a la libertad y derechos si se convierte en un medio para influir en individuos o restringir sus derechos, como el libre desarrollo de la personalidad o la libertad económica. Por esto, la Sala exige que el tratamiento de datos siga los principios de buena fe y no se utilice para discriminar o estigmatizar a las y los usuarios.
La Sala subraya que la protección de los datos personales debe equilibrarse con los derechos fundamentales, como la libertad de expresión y el derecho a la honra y buen nombre, asegurando que la información sea precisa, actualizada y usada de forma legítima. Sin embargo, es necesario aclarar que esto no implica que un medio o entidad debe eliminar información pública de funcionarios/as o personas influyentes, simplemente porque les desagradan. Se trata de datos personales almacenados por entes privados o públicos.
Conclusiones y recomendaciones
La responsabilidad del Estado se configura a través de su rol de garante de la protección de datos. El cual consiste en su obligación de disponer de una normativa que establezca los parámetros para el tratamiento de datos personales, investigar las vulnerabilidades del sistema, sancionar aquellos responsables de los ataques al almacenamiento de datos y reparar a las víctimas.
En cuanto a la rendición de cuentas, destaca la transparencia pasiva del Estado que debe facultar a todos los usuarios solicitar por escrito, por medio electrónico, telefónico, de imagen u otro el acceso del registro de sus datos que reposen en los sistema de alguna entidad o instituciones del Estado, considerando su deber de proporcionar la información en forma clara y en lenguaje accesible al conocimiento medio de la población.
Por otro lado, se debe promover la transparencia activa del Estado consistente en que cada entidad u órgano del Estado publique periódicamente por su páginas oficiales, el presupuesto, las medidas de seguridad implementadas, el departamento o encargado del tratamiento de los datos, las vulnerabilidades ocurridas en los sistemas de almacenamiento, las reparaciones en casos de filtración de datos y la mitigación de riesgos.
En ese mismo sentido, resulta fundamental que el Sistema Financiero en su relación Estado y empresas sigan los Principios Rectores sobre las Empresas y los Derechos Humanos[3] en el tratamiento de datos personales. De esta manera, se aseguran que actores financieros tales como los bancos también cumplan las obligaciones de derechos humanos.
Por último, es importante que bajo ningún contexto debe entenderse y materializarse esta potestad del Estado como una interferencia discrecional sobre las empresas, para ello se requiere que el rol del Estado se limite a fijar una ley con parámetros precisos y claros y el funcionamiento del sistema de justicia imparcial para investigar, sancionar y reparar.
[1] Las excepciones en el acceso a datos personales, especialmente en el contexto bancario, pueden incluir:
Autorización del titular: Cuando el usuario consiente explícitamente el uso de su información.
Requerimientos legales: Instituciones reguladoras, como la Superintendencia de Instituciones del Sector Bancario o el Banco Central, pueden solicitar acceso a datos sin necesidad de autorización del afectado.
Intereses públicos: Acceso a información por razones de seguridad nacional, salud pública o para prevenir delitos, siempre que se respeten las normativas pertinentes.
Datos publicados: Información que el titular ha hecho pública de manera manifiesta puede ser tratada sin su consentimiento, siempre que se use de manera adecuada.
[2] El Estado se reserva una parcela que limita el acceso a información cuando se trate de temas vinculados a seguridad, investigaciones criminales y privacidad personal. Es importante recordar que estos límites deben seguir el Test Tripartito: legalidad, necesidad,proporcionalidad.