En Venezuela no existe una ley que regule la protección de datos personales. Sin embargo, la Constitución de la República Bolivariana de Venezuela lo consagra en su artículo 60, y la Ley Orgánica del Tribunal Supremo de Justicia y Ley de Infogobierno reconocen este derecho. Por otra parte, la Sala Constitucional emitió una sentencia en el año 2011 que plantea principios de resguardo y tratamiento de datos en el país.
De las disposiciones normativas mencionadas, se entiende que cualquier dato personal o sobre bienes patrimoniales que reposen en instituciones privadas o públicas, deben ser tratadas con diligencia y responsabilidad bajo el reconocimiento y tratamiento que tienen las personas sobre sus datos. Igualmente, el artículo 60 de la Constitución habla del derecho a la protección del honor, vida privada, intimidad, propia imagen, confidencialidad, y reputación.
Aún cuando no hay una ley nacional, en el 2021 el Comité Jurídico Interamericano (CJI) de la Organización de Estados Americanos (OEA) desarrolló los “Principios Actualizados sobre la Privacidad y la Protección de Datos Personales, con Anotaciones” (en adelante, Protección de datos), el cual no es vinculante pero sirve de forma orientativa para los Estados con el fin de promover buenas prácticas.
En el año 2011 se suscitó una controversia que puso de relieve el tema de la protección de datos a través de un recurso de nulidad, que surgió a partir de la ecesidad de protección de datos bancarios. El desarrollo está disponible en la Sentencia de Sala Constitucional de fecha 4 de agosto de 2011, la cual procederemos a analizar.
Los hechos controvertidos
El Sistema de Información Central de Riesgos (SICRI) desempeña un papel en la gestión del riesgo crediticio en el sector bancario de Venezuela. Sin embargo, su funcionamiento suscitó preocupaciones significativas sobre la privacidad y los derechos de la ciudadanía.
En la sentencia, un grupo de ciudadanos ha solicitado la nulidad parcial del artículo 192 del Decreto N° 1.526 Reforma de la Ley General de Bancos y otras Instituciones Financieras que permite a las instituciones financieras acceder a la información personal registrada en el SICRI sin el conocimiento ni el consentimiento de los deudores. Este acceso descontrolado se traducía en la manipulación de datos, donde entidades ajenas a la relación crediticia podrían estigmatizar a los deudores, afectando su capacidad de acceder a nuevos créditos.
Las instituciones financieras podrían utilizar esta data de manera perjudicial, lo que les permite calificar a los deudores como de alto o bajo riesgo sin ofrecerles la oportunidad de conocer las razones detrás de las decisiones negativas respecto a su crédito. Esto no solo lesiona los derechos fundamentales de los usuarios, sino que también impide que accedan a servicios bancarios, constituyendo lo que se denomina la sentencia como una “sanción vitalicia”.
Más allá del tema bancario, la Sala Constitucional plantea en su sentencia una serie de principios e información clave para la protección de datos personales almacenados por entes públicos o privados en Venezuela, lo que brinda un marco general que permite garantizar derechos asociados a la información de las personas en sistemas digitales.
Implicaciones de la sentencia
Una de las partes solicita la nulidad alegando que la falta de transparencia en el uso de la información del SICRI infringe el derecho constitucional a la vida privada e intimidad, derechos constitucionales consagrados en el artículo 60 de la carta magna. Ante este debate, la Sala reconoce que la Ley General de Bancos y otras Instituciones Financieras fomenta el acceso indiscriminado a la información personal de los ciudadanos.
Asimismo, reconoce la falta de un marco legal sólido que regule la protección de datos en este contexto, no obstante, invoca y reconoce el respeto a los derechos constitucionales, por lo que resalta la necesidad de que las y los usuarios tengan derecho a conocer y acceder a la información que les concierne, así como a ser informados sobre cómo se utilizan sus datos. Esta situación subraya la urgencia de una revisión y reforma del sistema actual para garantizar la protección de datos de los ciudadanos, promoviendo una relación más justa y transparente entre los usuarios y las entidades financieras.
La Sala establece que cualquier normativa sobre datos personales debe garantizar el consentimiento previo, libre e informado de los titulares para el uso de su información. Esto implica que los usuarios deben estar bien informados sobre cómo se utilizarán sus datos.
Hay excepciones[1] en el sector bancario donde se puede acceder a la información sin autorización del afectado; sin embargo, esto no significa que la persona pierda el control sobre su propia información.
Además, subraya la importancia de que la recopilación de datos sea legal, es decir se garanticen los derechos a la protección del honor, vida privada, intimidad, propia imagen, confidencialidad y reputación, que otorga el artículo 60 de la constitución. En concordancia con el artículo 143 de la constitución, con la obligación legal del Estado de brindar información sobre asuntos que les concierne a cada particular, permitiendo el acceso a archivos y registros administrativos con la única limitación que establece la ley.[2]
Es importante contar con criterios claros sobre la finalidad de los datos personales de los usuarios en poder de las instituciones y se debe permitir a las personas ejercer su derecho a corregir o eliminar información incorrecta.
En virtud de garantizar lo anterior, es necesario desarrollar medidas de seguridad para proteger los datos personales con el fin de que las instituciones deben asumir la responsabilidad civil, penal o administrativa en caso de vulneraciones.
En virtud de lo anterior, la Sala fija una serie de principios a seguir por las instituciones bancarias y todo el sector financiero:
Autonomía de la voluntad: establece que tiene que existir un consentimiento previo, libre, informado, inequívoco y revocable para el uso o recopilación de datos personales. En resumen: tienen que avisarte y debes aceptarlo de forma explícita. Por otra parte, establece que La sola existencia de un registro de datos, como los policiales, de ninguna manera constituyen un fundamento constitucional ni legal para que limiten tus derechos constitucionales.
Autodeterminación informativa: toda persona tiene derecho fundamental de acceder, controlar y decidir sobre el tratamiento de sus datos personales. Esto implica saber qué datos se recopilan, para qué se usan, quiénes los reciben, y la capacidad de solicitar correcciones o eliminaciones cuando sea necesario. La Sala destaca la importancia de hacer posible esta corrección, a partir de procedimientos claros.
En el ámbito bancario, implica garantizar que las calificaciones crediticias reflejen la verdadera situación financiera de los usuarios y que no se generalice la condición de “deudor moroso”, u otras calificaciones negativas, por retrasos menores.
Legalidad: la limitación de la autodeterminación informativa tiene que estar enmarcada legalmente; es decir, tiene que resguardar un interés general superior, tutelado directamente por la ley o que se fundamente en la Constitución, y procederá cuanto la medida sea estrictamente necesaria y no excesiva en el ámbito de una sociedad democrática.No se aceptan restricciones que sean excesivas, fuera del marco legal, o innecesarias.
Por otra parte, plantea que las recopilaciones de información, siempre ligadas a la libertad de expresión, también pueden quedar legalmente restringidas, tal como se deduce de los artículos 60 y 143 constitucionales. En todos los casos las restricciones deben ser objeto de interpretaciones estrictas o claras, porque son normas que restrinjen los derechos fundamentales. Esto facilita que no sean aplicadas de forma discrecional, según interprete cualquier funcionario/a
Además, el principio de legalidad establece que tienen un trato particular los datos que revelen la ideología, afiliación sindical, religión o creencias, origen racial y la vida sexual de la persona, los cuales sólo podrán ser tratados con su consentimiento, a menos que la o el afectado los hubiera hecho manifiestamente públicos, o cuando una ley así lo disponga.
La sentencia habla de manera especial de datos financieros; al respecto la Sala subraya la importancia de asegurar que los sistemas de información que manejan estos datos cumplan con las garantías necesarias, ya que de lo contrario se vulnerarían derechos fundamentales como la protección de datos y, en consecuencia, la libertad de expresión, en la medida en que la información personal no estaría debidamente resguardada frente a posibles abusos o mal uso.
Principio de finalidad y calidad: implica no excederse en la recolección de información y darles uso adecuado. Los datos que se recolectan deben estar ajustados al propósito que se persigue,con objetivos claros, dentro de la ley y respetando el consentimiento de las personas. Tienen que ser adecuados, pertinentes y no excesivos, y estar directamente relacionados con la finalidad de su recolección.
Además, quien recopila los datos debe garantizar la actualización y seguridad de la información para evitar la circulación de datos obsoletos o perjudiciales, protegiendo los derechos fundamentales de las y los usuarios.
Almacenar datos implica riesgos a la libertad y derechos si se convierte en un medio para influir en individuos o restringir sus derechos, como el libre desarrollo de la personalidad o la libertad económica. Por esto, la Sala exige que el tratamiento de datos siga los principios de buena fe y no se utilice para discriminar o estigmatizar a las y los usuarios.
Seguridad y confidencialidad: este principio busca garantizar la protección de los datos personales contra adulteración, pérdida, destrucción accidental, acceso no autorizado o uso fraudulento. Está vinculado con el principio de finalidad, pues el grado de resguardo depende del uso y propósito de los datos, exigiendo que quienes manejan datos personales mantengan su confidencialidad, incluso después de finalizada su relación con el titular.
Plantea la necesidad de implementar medidas técnicas y organizativas adecuadas y establece que no se permitirán transferencias internacionales de datos a países que no garanticen una protección adecuada conforme a los principios mencionados. En la banca, destaca que no todo empleado bancario debe tener acceso a ciertos registros, y la información debe ser utilizada solo para los fines previstos.
Principio de temporalidad o conservación: mantener registros desactualizados o que ya no reflejan la situación real de la persona puede violar su derecho a la protección de datos y su reputación; los datos solo deben conservarse mientras sea necesario para cumplir con los fines que justificaron su recolección.
Por otra parte, recuerda que existe el derecho al olvido, que implica eliminar información negativa sobre una persona, como su estatus de deudor, una vez que ha cumplido con sus obligaciones. Adicionalmente, la Sala menciona el derecho a la actualización, que implica que las entidades encargadas de gestionar datos personales, tanto públicas como privadas, tienen la obligación de actualizar la información que manejan.
La Sala subraya que la protección de los datos personales debe equilibrarse con los derechos fundamentales, como la libertad de expresión y el derecho a la honra y buen nombre, asegurando que la información sea precisa, actualizada y usada de forma legítima. Sin embargo, es necesario aclarar que esto no implica que un medio o entidad debe eliminar información pública de funcionarios/as o personas influyentes, simplemente porque les desagradan. Se trata de datos personales almacenados por entes privados o públicos.
Principio de exactitud: los datos personales deben ser precisos, completos y actualizados, reflejando fielmente la situación real de la persona. Esto es esencial para evitar injerencias en la privacidad y dignidad de los individuos, además las personas deben tener control sobre la información que se recoge sobre ellas, lo que incluye la capacidad de corregir o eliminar datos incorrectos o desactualizados.
Principio de previsión e integralidad: establece la necesidad de una evaluación integral de los riesgos asociados a la recopilación de datos, con un enfoque preventivo para las personas y para la estabilidad y seguridad del sistema financiero.
Busca proteger a los individuos frente a la recopilación, almacenamiento y uso de sus datos, así como también frente a la transmisión ilimitada de información que pudiera afectar sus derechos fundamentales. Exige un monitoreo continuo y medidas de precaución para evitar que sean utilizados indebidamente, especialmente por entidades estatales.
En el contexto bancario, el principio de precaución se aplica en la inclusión de personas condenadas por delitos financieros (legitimación de capitales, terrorismo, etc.) en el Sistema de Información Central de Riesgos. Estas personas no son sancionadas mediante esta inclusión, sino que se busca proteger la integridad del sistema financiero y evaluar riesgos de manera preventiva. La ley obliga a monitorear a estos individuos por un periodo determinado, garantizando el principio de temporalidad.
Además, la Superintendencia de las Instituciones del Sector Bancario tiene la responsabilidad de solicitar información sobre el comportamiento financiero de las personas, con el fin de identificar riesgos y prevenir delitos, garantizando la transparencia y estabilidad del sistema bancario.
Principio de tutela: Garantiza que las personas puedan ejercer su derecho a acceder a la información de manera extrajudicial y, si es necesario, judicialmente. Existen órganos públicos encargados de supervisar y mejorar la protección de los datos personales,[1] incluyendo la creación de modelos y estándares técnicos para medir la eficacia de estas protecciones.
Principio de responsabilidad: Establece que la violación de los derechos de protección de datos debe ser sancionada civil, penal o administrativamente. La regulación en este ámbito es estricta, especialmente en sectores como el bancario, donde la confianza de los usuarios y la seguridad de la información son fundamentales.
La Sala establece que las personas responsables del manejo de datos y los supervisores del sistema deben asumir una responsabilidad integral, lo que incluye sanciones proporcionales según la gravedad de las infracciones.
Conclusiones y recomendaciones
La responsabilidad del Estado se configura a través de su rol de garante de la protección de datos. El cual consiste en su obligación de disponer de una normativa que establezca los parámetros para el tratamiento de datos personales, investigar las vulnerabilidades del sistema, sancionar aquellos responsables de los ataques al almacenamiento de datos y reparar a las víctimas.
En cuanto a la rendición de cuentas, destaca la transparencia pasiva del Estado que debe facultar a todos los usuarios solicitar por escrito, por medio electrónico, telefónico, de imagen u otro el acceso del registro de sus datos que reposen en los sistema de alguna entidad o instituciones del Estado, considerando su deber de proporcionar la información en forma clara y en lenguaje accesible al conocimiento medio de la población.
Por otro lado, se debe promover la transparencia activa del Estado consistente en que cada entidad u órgano del Estado publique periódicamente por su páginas oficiales, el presupuesto, las medidas de seguridad implementadas, el departamento o encargado del tratamiento de los datos, las vulnerabilidades ocurridas en los sistemas de almacenamiento, las reparaciones en casos de filtración de datos y la mitigación de riesgos.
En ese mismo sentido, resulta fundamental que el Sistema Financiero en su relación Estado y empresas sigan los Principios Rectores sobre las Empresas y los Derechos Humanos[3] en el tratamiento de datos personales. De esta manera, se aseguran que actores financieros tales como los bancos también cumplan las obligaciones de derechos humanos.
Por último, es importante que bajo ningún contexto debe entenderse y materializarse esta potestad del Estado como una interferencia discrecional sobre las empresas, para ello se requiere que el rol del Estado se limite a fijar una ley con parámetros precisos y claros y el funcionamiento del sistema de justicia imparcial para investigar, sancionar y reparar.
[1] Las excepciones en el acceso a datos personales, especialmente en el contexto bancario, pueden incluir:
- Autorización del titular: Cuando el usuario consiente explícitamente el uso de su información.
- Requerimientos legales: Instituciones reguladoras, como la Superintendencia de Instituciones del Sector Bancario o el Banco Central, pueden solicitar acceso a datos sin necesidad de autorización del afectado.
- Intereses públicos: Acceso a información por razones de seguridad nacional, salud pública o para prevenir delitos, siempre que se respeten las normativas pertinentes.
- Datos publicados: Información que el titular ha hecho pública de manera manifiesta puede ser tratada sin su consentimiento, siempre que se use de manera adecuada.
[2] El Estado se reserva una parcela que limita el acceso a información cuando se trate de temas vinculados a seguridad, investigaciones criminales y privacidad personal. Es importante recordar que estos límites deben seguir el Test Tripartito: legalidad, necesidad,proporcionalidad.
[3] OACNUDH. Principios Rectores sobre las Empresas y los Derechos Humanos. Recuperado en: https://bit.ly/3cNx0KO
