SC Protección de datos personales, orden de adecuación del SICRI a los postulados vinculantes de la sentencia de la Sala Constitucional
http://www.tsj.gov.ve/ decisiones/scon/Agosto/1318- 4811-2011-04-2395.html
Ahora bien, al margen de la necesaria regulación legislativa del Texto Constitucional, de éste se derivan condiciones mínimas de garantía del derecho a la protección de datos personales, que resultan aplicables en términos generales, a todos los sistemas de base de datos personales, los cuales designan al conjunto organizado de datos que sean objeto de tratamiento o procesamiento, electrónico o no, cualquiera que fuere la modalidad de su formación, almacenamiento, organización o acceso y a toda modalidad de uso posterior de estos datos por los ámbitos público o privado, salvo las excepciones establecidas en la ley.
A tal efecto, esta Sala con carácter vinculante establece que toda normativa o sistema sobre datos personales que contenga información de cualquier tipo referida a personas físicas o jurídicas determinadas o determinables, debe garantizar:
1.- El principio de la autonomía de la voluntad. Lo cual comporta la necesaria existencia de un consentimiento previo, libre, informado, inequívoco y revocable para el uso o recopilación de datos personales.
Al respecto, debe tenerse en consideración que esta Sala ha sostenido en sentencia N° 85 del 24 de enero de 2002, caso: “Asodeviprilara”, que “el que una persona sea capaz no significa que su consentimiento siempre pueda ser manifestado libremente, sin sufrir presiones o influencias que lo menoscaben. Por ello, independientemente de los vicios clásicos del consentimiento (error, dolo o violencia), algunas leyes tienen recomendaciones, normas y otras disposiciones que persiguen que las personas expresen su voluntad con pleno conocimiento de causa o alertados sobre aspectos del negocio. La Ley de Protección al Consumidor y al Usuario es de esa categoría de leyes, en su articulado referente a las obligaciones de los proveedores de bienes y servicios, contratos de adhesión y a la información sobre precios, pesos y medidas”.
Por ello, la autonomía de la voluntad debe vincularse necesariamente en estos casos, al grado de información que tienen los titulares de los datos en relación al uso de los mismos, vale decir a la finalidad última de la recopilación de la información y sus consecuencias.
Frente a los anteriores asertos, cabe señalar de una vez que la ley puede permitir el acceso a la información personal tutelada por la protección de datos, sin que medie la autorización del afectado, tal como se desprende en el sector bancario del contenido del artículo 89 de la Ley de Instituciones Bancarias del Sector Público, al establecer que:
“Artículo 89
Levantamiento del secreto bancario
El secreto bancario no rige cuando la información sea requerida para fines oficiales por:
1. El Presidente o Presidenta de la República, el Vicepresidente Ejecutivo o Vicepresidenta Ejecutiva de la República, el Presidente o Presidenta de la Asamblea Nacional, los Magistrados o Magistradas Presidentes o Presidentas de las Salas del Tribunal Supremo de Justicia, el Ministro o Ministra en el área financiera, el Defensor o Defensora del Pueblo, el Defensor o Defensora Pública General, el Procurador o Procuradora General de la República, el Contralor o Contralora General de la República, el Presidente o Presidenta del Consejo Nacional Electoral, el Presidente o Presidenta del Órgano Superior del Sistema Financiero Nacional, el Presidente o Presidenta del Banco Central de Venezuela, el Presidente o Presidenta del Fondo de Protección Social de los Depósitos Bancarios, el Superintendente o Superintendenta del mercado de valores y el Superintendente o Superintendenta del sector seguros.
2. El Ministro o Ministra del Poder Popular con competencia en materia para Interior y Justicia, el Ministro o Ministra del Poder Popular con competencia en materia para la Defensa, los Órganos del Poder Judicial, la administración aduanera y tributaria, y la autoridad administrativa con competencia en materia cambiaria, según las leyes.
3. Los jueces o juezas y tribunales en el ejercicio regular de sus funciones y con específica referencia a un proceso determinado, en el que sea parte el usuario y usuaria de la institución del sector bancario a quien se contrae la solicitud.
4. La Fiscalía General de la República, en los casos de presunción de enriquecimiento ilícito de funcionarios o funcionarias y servidores públicos o servidoras públicas de quienes administren o hayan administrado recursos del Estado o de organismos a los que éste otorga soporte económico.
5. El Superintendente o Superintendenta de las Instituciones del Sector Bancario, en el ejercicio de sus funciones de supervisión.
6. Los organismos competentes del gobierno de un país con el que se tenga celebrado convenio para combatir, reprimir y sancionar el tráfico ilícito de drogas o el terrorismo y la legitimación de capitales.
7. El Presidente o Presidenta de una Comisión Investigadora de la Asamblea Nacional, con acuerdo de la Comisión de que se trate y en relación con hechos que comprometan el interés público.
En los casos de los numerales 2, 3 y 4, la solicitud de información se canaliza a través de la Superintendencia de las Instituciones del Sector Bancario.
Los receptores o receptoras de la información a que se refiere el presente artículo, deberán utilizarla sólo a los fines para los cuales fue solicitada, y responderán de conformidad con las leyes por el incumplimiento de lo aquí establecido”.
Asimismo, la Sala ha señalado reiteradamente en casos relativos a la existencia de archivos policiales, que estos tienen fundamento legal y no atentan contra derechos constitucionales. En este sentido, se estableció que:
“en sentencia del 29 de octubre de 2004 (caso: María Isabel Mijares Herbilla), señaló: ‘Así las cosas, debe concluirse que la existencia per se de tales archivos policiales, legalmente constituidos y llevados, no afecta ilegítimamente los derechos fundamentales de las personas. Lo que puede devenir lesivo, de manera ilegítima, a derechos tales como el de la libertad y la seguridad personales, así como a la honra, a la intimidad de la vida privada y a la reputación –que tutelan la Constitución, en los términos de sus artículos 44, 60 y 143, e instrumentos normativos vigentes en la República; tales los casos de los artículos V, XXV, de la Declaración Americana de los Derechos y Deberes del Hombre, 7 y 11 de la Convención Americana sobre Derechos Humanos-, es el empleo abusivo y contrario a la ley que de tal información se haga. De otro lado, por razones del interés social, la existencia de tales registros es de aceptación universal, como herramienta indispensable que coadyuva a la eficacia de la investigación y la prevención del delito; ello, sin perjuicio de las limitaciones que el ordenamiento jurídico establezca, en relación con el uso de dichos instrumentos, con el propósito de aseguramiento de la efectiva vigencia de los derechos fundamentales. Así, en el caso de Venezuela, existe una estricta regulación de los registros en referencia, mediante una inequívoca restricción de su empleo para los fines taxativamente señalados en la Ley, razón por la cual el legislador estableció el carácter reservado de los mismos y, por consiguiente, la determinación de quiénes tienen acceso a ellos. Así, los artículos 6 y 7 de la Ley de Registro de Antecedentes Penales, aplicables, mediante interpretación extensiva, a los antecedentes judiciales y policiales -por ende, a la situación presente-, establecen: ‘Artículo 6º. El Registro de Antecedentes Penales es secreto y los datos que en él consten sólo podrán ser suministrados en los casos determinados por esta ley’. ‘Artículo 7º. Solamente se expedirán copias simples o certificadas del Registro de Antecedentes Penales, a las autoridades públicas, por motivo de la función del proceso penal o por razones de seguridad o de interés social en los casos establecidos por la ley. Las autoridades policiales o administrativas no podrán expedir certificaciones relativas a las faltas policiales o administrativas de las que hayan conocido, sino únicamente al Ministerio de Justicia, cuando éste lo considere conveniente’ (…). Resulta claro, entonces, que de la mera existencia, en los registros policiales, penales o judiciales, de antecedentes respecto de alguna persona, no derivaron violaciones como las que, en la presente causa, denunció la parte actora” (Cfr. Sentencia de esta Sala N° 1.526/09).
La jurisprudencia parcialmente transcrita, ejemplifica claramente, casos en los cuales la sola existencia de registros como los policiales en los cuales reposan datos inherentes a una persona, de ninguna manera constituye fundamento constitucional ni legal para que sea objeto de limitaciones en sus derechos constitucionales. Pero se insiste, que al margen del carácter lícito para recopilar datos y utilizarlos en casos como los antes señalados, no significa que el afectado pierda su capacidad de autodeterminación en este ámbito.
También deriva del presente principio, el deber de informar al interesado previamente o al tiempo de recolección de datos, elementos como la identidad del responsable de los mismos, los fines para los cuales son recolectados y el modo en que podrá hacer efectivos su derecho a la autodeterminación, así como de cualquier otra información necesaria para garantizar el derecho a la protección de datos personales.
Las anteriores exigencias, deben materializarse en una normativa sectorial que en el caso del sistema bancario regule minuciosamente, qué actividades y omisiones por parte de los usuarios generan su inclusión en elSistema de Información Central de Riesgos y las consecuencias de la calificación en el mismo.
2.- El principio de legalidad. La recopilación de datos personales comporta que la limitación a la autodeterminación informativa, sea el resultado de normas de rango legal. Así, cualquier limitación al derecho a la "autodeterminación informativa" es admisible en la medida que resguarde un interés general superior que la ley tutele directamente o se fundamente en la Constitución, advirtiéndose en todo caso que las restricciones deberán ser objeto de interpretaciones estrictas, por constituirse en normas restrictivas de derechos.
Al respecto, la Sala reitera que las “recopilaciones de información pueden ser limitadas o prohibidas por la ley, porque así como el ejercicio del derecho a la libertad de expresión entraña deberes y responsabilidades especiales, sujeto a resoluciones expresamente fijadas por la ley, para asegurar el respeto a los derechos y a la reputación de los demás, o por razones de protección a la seguridad nacional, orden público o a la salud moral o pública (artículo 19 de la Ley Aprobatoria del Pacto Internacional de Derechos Civiles y Políticos), las recopilaciones de información -siempre ligadas a la libertad de expresión- también pueden quedar legalmente restringidas, tal como se deduce de los artículos 60 y 143 constitucionales. El derecho a recopilar, en el sentido aquí expresado, no distingue si se trata de datos aportados voluntariamente, o extraídos de publicaciones, contratos, declaraciones, negocios electrónicos, tarjetas de crédito, transmisiones telemáticas, etc., sin autorización expresa de aquél a quien se refieren los datos, quien incluso puede no conocer la captura y almacenamiento de los mismos; ni si se trata de informes que sobre su persona suministró otro. Igualmente, el artículo 28 constitucional no distingue si la recopilación es para proveer informes a terceros, o si es para uso particular. Este almacenamiento de información, en cuanto se refiere a personas identificables, nominadas, puede incluso ser audiovisual, pero hay que distinguir si se trata de una recopilación general, sobre un universo o muestra de personas naturales o jurídicas, que permite al recopilador formar perfiles de ellos, tanto en lo psicológico como en los diversos campos donde actúan, lo que requiere una organización de los datos; o si se trata del almacenamiento de datos de una sola persona, o de varios, pero sin una ordenación que permita controlar o explotar dichos datos” (Cfr. Sentencia de esta Sala N° 332/01).
La información relativa a las personas no debe ser recogida o procesada por métodos desleales o ilegales, ni debe ser utilizada para fines contrarios a los principios y garantías de los derechos fundamentales consagrados en la Constitución. Sin embargo, es posible que la ley establezca tratamientos particulares a datos de carácter personal, en la medida que la aplicación de los principios generales pudiera suponer un riesgo para la protección de la seguridad nacional, el orden público, la salud pública o la moralidad, lo cual deberá analizarse en cada caso y, será procedente en términos generales, en tanto dicha medida resulte estrictamente necesaria y no excesiva en el ámbito de una sociedad democrática.
En tal sentido, es posible una restricción del derecho a la información ya que como se señala infra, el grado de protección o reserva de los datos personales responden a las circunstancias particulares de cada caso.
Mención aparte, merecen datos que revelen la ideología, afiliación sindical, religión o creencias, origen racial y la vida sexual del afectado, los cuales sólo podrán ser tratados con su consentimiento, a menos que el afectado los hubiera hecho manifiestamente públicos, o cuando una ley así lo disponga.
A juicio de esta Sala, en materia bancaria cuando el artículo 92 de la Ley de Instituciones del Sector Bancario en concordancia con el artículo 90 eiusdem, establecen una prohibición no absoluta a las instituciones bancarias, las cuales “en consonancia con la presente Ley tienen prohibido informar los antecedentes financieros personales de sus usuarios o usuarias a cualquier persona natural o jurídica u Organismos Públicos o Privados, exceptuando al mismo usuario o usuaria, a la Superintendencia de las Instituciones del Sector Bancario, al Órgano Superior del Sistema Financiero Nacional, al Banco Central de Venezuela y demás entes autorizados por la presente Ley o Leyes Especiales, salvo que el usuario o usuaria autorice por escrito a la institución, autorización que en cualquier momento podrá ser revocable por el usuario o usuaria” comporta que sistemas de información paralelos, como los denominados “burós de crédito o sociedades de reportes del consumidor privadas”; deban ofrecer una protección debida de los datos y a los usuarios del sistema bancario, bajo los principios contenidos en el presente fallo y a las potestades normativas de la Superintendencia de Instituciones del Sector Bancario.
Ello es posible, sobre la base de la doctrina de los poderes inherentes o implícitos en el ámbito de la actividad administrativa, la cual reitera la Sala debe atender a la posibilidad del intérprete de las normas atributivas de competencia de revisar el espíritu de la norma ‘atributiva’, en forma tal que permite aceptar la existencia de competencia cuando ésta sea consecuencia lógica del dispositivo legal y de la índole de la actividad principal que el órgano o ente ejerza (Cfr. Sentencia de esta Sala N° 565/08).
Los anteriores razonamientos, sólo contrarían una concepción simple del principio de legalidad, que se restrinja a la literalidad de la exigencia que éste impone respecto a la ineludible existencia de un precepto jurídico que justifique la actuación administrativa, la cual se constituye en una “(…) exigencia [que] debe ser matizada con la doctrina de los poderes inherentes o implícitos que, por excepción, pueden inferirse por interpretación de las normas más que por su texto directo. Esta doctrina fue formulada originalmente en el Derecho público Anglosajón, tanto en el ámbito constitucional (inherent powers de la Federación americana, deducidos de su posición general, no mencionados en el pacto federal o Constitución y que una aplicación estricta del principio federal hubiera tenido que interpretar como no transferidos a la Unión por los Estados miembros -Enmienda X-; entre ellos está nada menos que la posición del presidente para conducir las relaciones internacionales), como el del local goverment (competencias de los entes locales construida sobre el sistema de lista -y no sobre el de la cláusula general-, corregida tal lista con los implied powers). (...) la inherencia o implicación ha de deducirse, no de ninguna imagen ideal o abstracta de unos supuestos poderes ‘normales’ administrativos (imagen que arruinaría la exigencia de la legalidad en su función habilitante), sino de otros poderes expresamente reconocidos por la Ley y de la posición jurídica de los administrados por la Ley y de la posición jurídica singular que ésta construye, como poderes concomitantes de tales o tal posición o, incluso, como filiales o derivados de los mismos (poderes incluidos en otros o derivados) (…)” -Vid. EDUARDO GARCÍA DE ENTERRÍA Y TOMÁS RAMÓN FERNÁNDEZ: Curso de Derecho Administrativo. Tomo I. Reimpresión de la octava edición. Editorial Civitas. Madrid, 1998, p. 440 y de DE LA CUETARA, JUAN MIGUEL, Las Potestades Administrativas, ED. TECNOS, MADRID, 1986, P. 101-.
Ciertamente, “aun cuando la competencia no esté literalmente contenida en una norma, es posible deducirla acudiendo a una interpretación finalista o sistemática de la misma, ya que si la competencia no surge en forma concreta de la disposición, en orden a materializar los fines del Estado y su cometido esencial de justicia social mediante la prestación de servicios eficientes y bienes de calidad, debe establecerse si la actuación administrativa puede derivarse como consecuencia lógica del texto de ésta” (Cfr. Sentencia de esta Sala N° 565/08).
Se insiste entonces, que dado que cualquier regulación parcial en esta materia haría nugatorio el derecho a la protección de datos, ya que un Sistema de Información Central de Riesgos, que permita sistemas de información paralelos que no ofrezcan las debidas garantías a los usuarios del sector bancario, como los denominados “burós de crédito o sociedades de reportes del consumidor privadas”, resulta contrario al contenido y alcance de las normas constitucionales y al ordenamiento estatutario de derecho público aplicable al sistema bancario, es por lo que la Superintendencia de Instituciones del Sector Bancario tiene competencia para regular la actividad desarrollada por dichas instituciones, sobre la base del contenido del último aparte del artículo 90 de la Ley de Instituciones del Sector Bancario y de conformidad con el contenido del presente fallo.
3.- El principio de finalidad y calidad. La recopilación de datos personales debe responder a finalidades, motivos o causas predeterminadas, que no sean contrarias al ordenamiento jurídico constitucional y sectorial, lo cual se constituye además en un requisito necesario para obtener un consentimiento válido de conformidad con lo indicado en el principio de autonomía de la voluntad.
La elaboración de sistemas o archivos de datos personales, permite con los actuales avances de la tecnología, generar investigaciones que potencialmente pueden influenciar a individuos o sectores de la sociedad, por lo que se pueden constituir restricciones indebidas del derecho al libre desarrollo de la personalidad, a la libertad económica y otros derechos fundamentales.
Por lo tanto, la recolección y uso de datos deben formularse con estricto respeto al principio de buena fe, con lo cual éstos sólo podrán ser obtenidos y tratados para el cumplimiento de finalidades determinadas, explícitas y legítimas relacionadas con la actividad de quien los obtenga en el marco del ordenamiento jurídico aplicable.
Así, el principio de finalidad comporta igualmente la necesaria proporcionalidad que debe existir en la obtención sólo los datos que resulten adecuados, pertinentes y no excesivos en relación con las finalidades para los cuales se requieren. Para ello, es necesario en materia bancaria establecer sistemas de datos adecuados, lo que supone necesariamente contar con información sobre los usuarios del sistema financiero, que seaconfiable en la medida que pueda reflejar la situación real; plena ya que debe abarcar todo aquello que pueda influir en la situación patrimonial de la banca y su estructura financiera; pertinente o útil, ya que debe comportar no sólo una información actualizada que permita a los interesados -usuarios, administración e instituciones- conocer elementos necesarios para la toma de decisiones, sino que además posibilite prever circunstancias que atenten contra la seguridad del sector; comprensible en tanto garantice que los usuarios puedan efectivamente ponderar las consecuencias de los datos contenidos, su uso, aunado a los medios para obtener su actualización y; finalmente, segura lo cual necesariamente conlleva a la regulación de exigencias mínimas de control de acceso a los mismos, posibilidad de modificación y actualización.
4.- El principio de la temporalidad o conservación. La conservación de los datos se extiende hasta el logro de los objetivos para las cuales han sido elaborados, vale decir, que justificaron su obtención y tratamiento.
El contenido de la recopilación de datos personales, no puede constituirse al margen de la ley, en un medio de estigmatización o de desigualdad, que en forma alguna responda a la realidad o finalidad de la compilación.
Ello resulta particularmente relevante, cuando los datos o información compilada es relativa a sanciones o informaciones negativas acerca de una persona, ya que “no tienen vocación de perennidad y, en consecuencia después de algún tiempo tales personas son titulares de un verdadero derecho al olvido" Cfr. Corte Constitucional de Colombia. Sala Primera de Revisión. Sentencia T-414 del 16 de junio de 1992).
Corolario de lo anterior, es que la materialización de tales asertos, corresponde al ejercicio de las competencias que tiene atribuidas la Superintendencia de las Instituciones Financieras para dictar la normativa prudencial en la materia. Sin embargo, la aplicación de los anteriores principios al sector bancario, y en particular en lo relativo al Sistema de Información Central de Riesgos, en términos generales propendería a generar un registro que garantice el denominado derecho al olvido, conforme al cual los datos tienen por su naturaleza una vigencia limitada en el tiempo y en relación al fin para el cual han sido incluidos en determinado “registro”, lo cual impone a los responsables o administradores de bancos de datos, la obligación ineludible de una permanente actualización a fin de no poner en circulación perfiles de "personas virtuales" que afecten negativamente a sus titulares, vale decir, a las personas reales.
En tal sentido, comparte esta Sala el criterio de la Corte Constitucional de Colombia al señalar sobre el fundamento del derecho al olvido en materia crediticia y, en particular sobre la permanencia indefinida del dato cuando el deudor ha pagado, al asentar que:
"Para la hipótesis específica de las obligaciones con entidades del sector financiero, la actualización debe reflejarse en la verdad actual de la relación que mantiene el afectado con la institución prestamista, de tal manera que el responsable de la informática conculca los derechos de la persona si mantiene registradas como vigentes situaciones ya superadas o si pretende presentar un récord sobre antecedentes cuando han desaparecido las causas de la vinculación del sujeto al sistema, que eran justamente la mora o el incumplimiento.
Considera la Corte que en tales circunstancias, para que la información tenga la característica de veraz, como lo exige el artículo 20 de la Constitución, el nombre y la identificación de quien era deudor y ya no lo es, deben ser excluídos del catálogo de clientes riesgosos. El pago o solución de la deuda tiene la virtualidad de liberar jurídicamente al deudor, quitando justificación al acreedor para seguir exigiendo algo de él y, con mayor razón, para causar su descrédito (...).
(…)
Los derechos al buen nombre y a la honra deben prevalecer frente al derecho a la información, pues no es justo que se esté suministrando a todo el sector financiero un dato en torno a una persona liberada de la obligación que condujo a su registro y que, pese al pago, se la haga permanecer en la tabla de quienes representan peligro para la banca por no pagar sus deudas cuando los hechos demuestran lo contrario". (Cfr. Corte Constitucional de Colombia. Sala Quinta de Revisión. Sentencia T-110 del 18 de marzo de 1993 y Sala Sexta. Sentencia T-303 del 3 de agosto de 1993. M.P.: Dr. Hernando Herrera Vergara).
De ello resulta pues, que sobre la base del derecho a la protección de datos personales, del derecho a la intimidad y del derecho a actualizar las informaciones que reposan en bancos de datos y en archivos de personas públicas o privadas, constituye una actividad contraria al sistema de derechos fundamentales y, en particular, al ordenamiento constitucional vigente, la conservación de registros o inscripciones en los que se califica como deudor, a una persona que ha pagado sus obligaciones -el capital adeudado y los intereses correspondientes-, pues el pago de la obligación hace desaparecer el fundamento de ese dato justificado plenamente durante el tiempo de la deuda, la mora, el retardo o en general el incumplimiento de la obligación, ya que con posterioridad a la solución, no es posible mantener inalterado o vigente dicho registro, sin incurrir en violación del derecho a la protección de datos personales.
Por ello, quien ha incurrido en alguna mora o retardo en la cancelación de una obligación crediticia, ciertamente debe incluirse en el Sistema de Información Central de Riesgos como 'deudor moroso', pero si con posterioridad éste paga su obligación, no podría aceptarse ninguna tesis que le impida ser borrado del correspondiente banco de datos, pues el sentido de la norma constitucional, y así lo ha entendido la Sala -Cfr. Sentencia de esta Sala N° 4.796/07-, es que priva el derecho de toda persona a que la información que sobre ella se recoja o registre en entidades bien sean públicas o privadas sea actualizada; lo que se concreta en la obligación de estas entidades que se encargan de la recolección, tratamiento y circulación de datos, de actualizar sus informaciones incluso de manera oficiosa.
5.- El principio de exactitud y de autodeterminación. Los datos deben mantenerse exactos, completos y actualizados, respondiendo a la verdadera situación de la persona a la que se refieran, ya que toda actividad que comporte la recopilación de datos personales puede ser objeto de control, el cual posee cada ciudadano frente a la información que les concierne personalmente, sea íntima o no, para preservar de este modo y en último extremo la propia identidad, dignidad y su libertad ante las injerencias en la zona espiritual íntima y reservada de una persona o un grupo, especialmente de una familia, la cual comprende no sólo sus relaciones afectivas o sexuales, sino también la esfera de confianza que abarca toda la información de un sujeto como afinidad o parentesco, entre otras.
En este sentido, se ha pronunciado la doctrina cuando entiende que la libertad informática y el derecho a la autodeterminación informativa, son en cierto modo sinónimos, ya que constituyen un nuevo derecho fundamental que tiene por objeto garantizar la facultad de las personas para conocer y acceder a las informaciones que les conciernen archivadas en base de datos, controlar su calidad o que impliquen la posibilidad de corregir o cancelar los datos inexactos o indebidamente procesados; y disponer sobre su transmisión. (Vid. ÁLVAREZ-CIENFUEGOS SUÁREZ, JOSÉ MARÍA. La Defensa de la Intimidad de los Ciudadanos y la Tecnología Informática. Editorial Aranzadi, 1999, pp. 25-26).
Para ello, el interesado debe contar con procedimientos claros y expeditos para recabar del responsable del uso o resguardo, confirmación de la existencia o no del tratamiento de datos que le conciernen, así como información relativa los fines de dichos registros y los destinatarios a quienes se comuniquen dichos datos; que además le permitan lograr de ser procedente, la rectificación o cancelación de los datos que pudieran resultar incompletos, inexactos, inadecuados o excesivos y lograr, que tales modificaciones sean del conocimiento de aquellos a quienes se les haya comunicado la información errada, de conformidad con el ordenamiento jurídico aplicable.
También deriva de este principio, la necesidad de una discriminación en relación a la calificación que se haga de los datos, lo cual se materializa en materia bancaria en lograr un sistema que propenda a reflejar la situación real de los usuarios incluidos en el sistema, así no podría recibir una calificación genérica de deudor moroso, personas que se retrasen por ejemplo en pago mínimo de las tarjetas de crédito y mantengan un buen historial crediticio en relación a otros productos -vgr. Créditos hipotecarios-, por lo que la calificación estará vinculada con los respectivos incumplimientos (Principio de finalidad).
6.- El principio previsión e integralidad. La tutela de los derechos fundamentales vinculados con la recopilación de datos personales, debe plantearse inicialmente en relación con la protección del individuo contra la recopilación, el almacenamiento, la utilización y la transmisión ilimitada de los datos concernientes a la persona en los términos antes expuestos, pero el análisis de la posible afectación de sus intereses o derechos, no puede hacerse en todos los casos aisladamente -vinculado a registros de información determinados-, sino necesariamente debe tomar en consideración los datos que integran otros registros y su posible vinculación, ya que si bien éstos pueden carecer en sí mismo de interés, alcanzan un nuevo valor o significado de referencia, en relación con otros sistemas de registro de datos, más aún si se tienen presentes los actuales avances tecnológicos, por lo que no puede afirmarse que algunos datos carezcan per se de interés o relevancia jurídica.
Ahora bien, la averiguación de si existe o no una violación del derecho a la protección de datos -y en general de los derechos fundamentales- y su correspondiente tutela, puede fundarse en elementos esencialmente relativos, ya que como en la denominada "Proclama de Teherán", aprobada por la Conferencia Internacional de Derechos Humanos el 13 de Mayo de 1968, se declaró que "si bien los recientes descubrimientos científicos y adelantos tecnológicos han abierto amplias perspectivas para el progreso económico, social y cultural, esta evaluación puede, sin embargo, comprometer los derechos y las libertades de los individuos y por ello requerirá una atención permanente".
Igualmente, la "Declaración sobre la utilización del progreso científico y tecnológico en interés de la paz y en beneficio de la humanidad", de la Asamblea General de las Naciones Unidas el 10 de noviembre de 1975 expresa que "todos los Estados tomarán medidas apropiadas a fin de impedir que los progresos científicos y tecnológicos sean utilizados, particularmente por órganos estatales, para limitar o dificultar el goce de los derechos humanos y las libertades fundamentales de la persona consagrados en la Declaración Universal de Derechos Humanos, en los Pactos Internacionales de Derechos Humanos y en otros instrumentos internacionales pertinentes".
Por ello, debe tenerse en consideración que al existir un deber de proteger los derechos fundamentales, ello comprende la posibilidad que exista precaución frente a riesgos o posibles daños graves, por mucho que la incertidumbre científica o técnica que los rodee no permita encajarlos en el concepto tradicional de violación o amenaza de violación, en la medida que “los derechos fundamentales constituyen «mandatos de optimización», imponen la obligación de realizar y salvaguardar un determinado interés en la mayor medida posible, de manera que el Estado está obligado a protegerlos en principio contra cualquier riesgo” -Cfr. GABRIEL DOMÉNECH PASCUAL. Derechos Fundamentales y Riesgos Tecnológicos. CEPC, Madrid, 2006, p. 271- bajo los límites que la propia Constitución impone y bajo los principios de racionalidad y ponderación, aplicables en cada caso en concreto.
Dado que la finalidad del Sistema de Información Central de Riesgos, es la de constituirse como una base de datos para “precisar los niveles riesgos”, debe incluir además de usuarios con historial crediticio propiamente dicho, aquellas personas que constituyen bajo el principio de precaución, sujetos que la propia legislación bancaria califica como riesgosos, bien sea para su entrada al sistema bancario o que mediante sentencia definitivamente firme, hayan sido condenados por delitos que atenten contra la integridad en el desarrollo de una actividad económica, como la bancaria o financiera.
Al respecto, esta Sala considera pertinente precisar, que personas condenadas por delitos de legitimación de capitales, financiamiento al terrorismo, terrorismo, atentado contra la seguridad nacional y traición a la patria, o bien aquellos accionistas mayoritarios que directamente o a través de terceros, hayan ocupado cargos de administración o de dirección, consejeros, asesores, consultores, auditores internos y externos, gerentes de áreas, secretarios de la junta directiva o cargos similares, de hecho o de derecho, en una institución del Sistema Financiero Nacional y que haya sido intervenida o liquidada por la Superintendencia de las Instituciones del Sector Bancario o los entes de regulación del mercado de valores y de las empresas de seguros, se encuentra en una especial situación de riesgo que, por motivos de precaución, deben ser incluidos en el Sistema.
Igualmente, debe aclararse que la incorporación de tales personas al Sistema de Información Central de Riesgos, no constituye una sanción o pena accesoria a la comisión de delitos, sino una medida legislativa cuyo objeto es lograr la integridad y veracidad del registro, para el efectivo cumplimiento de su objetivo, vale decir determinar el nivel de riesgo, en una actividad que constituye un elemento fundamental en la consecución de los postulados contenidos en los ya citados artículos 112, 299 y 308 de la Constitución, dado que la banca y el resto de las instituciones financieras y comerciales del país, funcionan como los canales de captación y distribución de los capitales hacia los sectores de la economía que hagan un uso eficaz de aquellos y a su vez, coadyuvan en el mantenimiento de la estabilidad económica en general, lo cual se vincula con elementos como la protección de la seguridad y defensa del Estado. Cabe reiterar en tal sentido, que la actividad bancaria debe responder a los principios de trasparencia, democratización, sustentabilidad y responsabilidad (Cfr. Sentencia de esta Sala N° 794/11). Así, la necesaria inclusión de tales personas en el referido Sistema, tiene su fundamento legal en el artículo 90 de la Ley de Instituciones del Sector Bancario, el cual señala que:
“La Superintendencia de las Instituciones del Sector Bancario solicitará información a otras instituciones públicas y privadas sobre el comportamiento en la cancelación oportuna de servicios públicos de las personas naturales o jurídicas, sean usuarios o no del sector bancario nacional, a fin de recopilar información adicional para facilitar la evaluación de riesgos, contribuir con las normas de identificación del usuario y usuaria para la prevención de legitimación de capitales, y facilitar el acceso a productos crediticios a las personas sin historial bancario”.
Ahora bien, al igual que en el caso de los deudores tradicionalmente contenidos en el al Sistema de Información Central de Riesgos, debe insistirse que aquellos sujetos que se incluyan por causas vinculadas a delitos de legitimación de capitales, financiamiento al terrorismo, terrorismo, atentado contra la seguridad nacional y traición a la patria, existe igualmente la necesidad de garantizar el principio de temporalidad, advirtiéndose que el tiempo o la generación del derecho al olvido en el presente caso, no se vincula o identifica con el cumplimiento de la pena, sino responde bajo el principio de precaución a la necesidad de monitorear por un plazo determinado el desarrollo de actividades de sujetos activos en el sistema.
Así, personas sometidas a intervenciones o procesos de liquidación, también constituyen posibles sujetos de riesgo, tal como se evidencia de la propia ponderación que formula el legislador al establecer para el procedimiento de intervención (así como la rehabilitación o liquidación), los cuales se caracterizan fundamentalmente por “mantener a la institución bancaria bajo la administración de un administrador o junta administradora designada por el Estado a través de la Superintendencia de las Instituciones del Sector Bancario, para garantizar que la institución conserve su giro comercial con el fin de que adecúe su actividad a las instrucciones impartidas por la Superintendencia de las Instituciones del Sector Bancario y supere la situación en la cual se encuentra” (Artículo 254 eiusdem), lo que “denota una situación irregular que habilita al Estado a actuar en orden a salvaguardar los derechos de los depositantes y agilizar la entrega de activos al Estado, en aquellos casos en los que corresponda” (Cfr. Sentencia de esta Sala N° 794/11).
No sobra anotar entonces, que en ese contexto se establezca la necesaria inclusión al Sistema de Información Central de Riesgos de determinados sujetos vinculados a las instituciones bancarias, ya que si durante el proceso de intervención se estableciere que los activos de la institución del sector bancario de que se trate fueron transferidos a favor de terceras personas naturales o jurídicas de derecho privado, durante los ciento ochenta días continuos inmediatos anteriores a la fecha de la declaratoria de intervención, el Superintendente de las Instituciones del Sector Bancario, debe solicitar al juez competente que dicte las medidas cautelares que estime pertinentes al caso, sin perjuicio de que el Fondo de Protección Social de los Depósitos Bancarios proceda de igual forma si detectó tal situación durante la fase de liquidación. Aunado a que coetáneamente, se impone un deber al juez de tutelar efectivamente que los perjuicios que puedan ocasionar tales transferencias no se materialicen, sin partir para ello de los intereses de las partes involucradas en las relaciones contractuales en particular, sino en orden a prevenir daños a los usuarios -directos y potenciales- de la banca -inmediatamente afectada por la medida o no-, como sector vulnerable en la actividad y que, por lo tanto, encuentra una protección especial por parte del ordenamiento jurídico, con lo cual las medidas cautelares se mantendrán hasta que el juez o jueza establezca la legalidad y legitimidad de la operación.
Lo anterior se ratifica, ya que también se prevé que la Superintendencia de las Instituciones del Sector Bancario, instruirá a los administradores de las instituciones del sector bancario que se encuentren sometidos a las medidas señaladas en el artículo 182 eiusdem o ante cualquiera de los causales previstos en el artículo 247 eiusdem, que solicitarán autorización previa al ente de regulación para realizar cualquier transferencia de sus activos. Ello se ratifica, en los supuestos de liquidación de la institución bancaria, conforme al cual se genera una obligación al Superintendente de las Instituciones del Sector Bancario, de “previa a la declaratoria de liquidación no voluntaria de una institución del sector bancario en la que aparezcan indicios de fraude bancario o financiero, deberá solicitar al juez o jueza competente medidas cautelares sobre los bienes de las personas naturales identificadas en el artículo 186 de esta Ley de la institución del sector bancario declarada en liquidación no voluntaria, que hayan participado en los actos o en la administración que sean objeto de los indicios” (Artículo 261 eiusdem).
La competencia de la Superintendencia de las Instituciones del Sector Bancario, para dictar normativas prudenciales vinculadas al ejercicio de su actividad de policía y, particularmente, en materia de riesgos, se erige en un medio para la defensa del sistema bancario frente a peligros que atentan contra su sustentabilidad. Por ello, se reitera que tanto la administración sectorial, las instituciones bancarias y las personas que lo integran, así como los órganos jurisdiccionales, deben hacer girar su actuación en el marco de los derechos y garantías consagrados en la Constitución, para lograr determinar la existencias de peligros o amenazas a la estabilidad del sistema bancario o la negación del objetivo fundamental de la actividad bancaria, contenidos en leyes estatutarias de derecho público en la materia, como la Ley de Instituciones del Sector Bancario, conforme a la cual existe la obligación de asegurar el desarrollo humano integral y una existencia digna y provechosa para la colectividad, mediante el correcto y eficaz desarrollo de la actividad de la banca y demás instituciones financieras, bajo los principios de justicia social -Cfr. Sentencia de esta Sala Nº 1107/08-.
Bajo ese principio de justicia social, en el desarrollo de una actividad económica, como la bancaria o financiera, no sólo se garantiza la tutela de los derechos de los titulares de la actividad económica sino de los usuarios del mismo, ya que dentro de los fines de ese régimen estatutario de derecho público, siempre se ha tratado que las entidades sometidas a las leyes de bancos, posean una condición financiera y estructural suficiente para responder a las eventuales exigencias de los usuarios.
7.- Principio de seguridad y confidencialidad. Corolario de los anteriores principios, es la necesaria garantía -según los casos- de confidencialidad, de no alteración de datos por terceros y del acceso a tales datos por parte de las autoridades competentes de conformidad con la ley. Por lo tanto, deberán adoptarse las medidas técnicas y organizativas que resulten necesarias para proteger los datos contra su adulteración, pérdida o destrucción accidental, el acceso no autorizado o su uso fraudulento.
La garantía de seguridad o resguardo de la información, se vincula entonces con el principio de finalidad, en tanto el contenido, uso y finalidad de los datos, determinará el grado resguardo del cual deban ser objeto.Con lo cual, existe una obligación subyacente a cargo de quienes intervienen en cualquier fase del manejo de datos personales, a guardar la debida reserva respecto de los mismos, aun después de finalizada su relación con el titular del archivo de datos.
Como principio general, también debe postularse que debe garantizarse que no procederán transferencias internacionales de datos al territorio de Estados cuya legislación no garantice un mínimo de protección de datos personales conforme a los anteriores principios, teniendo en consideración la naturaleza de los datos, las circunstancias que concurran en cada supuesto, tales como el ordenamiento jurídico estatutario aplicable y el consentimiento del posible afectado.
En tal sentido, se debe tener en consideración en lo que se refiere a la garantía de seguridad que al margen de la obligación contenida en el artículo 91 de la Ley de Instituciones del Sector Bancario, conforme al cual las instituciones bancarias y las instituciones señaladas en el artículo 90 eiusdem, suministrarán periódica y oportunamente, la información que se requiere para mantener actualizado el correspondiente registro y que deban contar con sistemas computarizados que les permitan proporcionar dicha información con la periodicidad que determine la Superintendencia de las Instituciones del Sector Bancario, la normativa prudencial correspondiente a la par de especificaciones técnicas en relación a minimizar el grado de vulnerabilidad de tales sistemas de información, debe implementar restricciones en relación al acceso por parte de las instituciones señaladas en el artículo 90 eiusdem, vale decir, no puede sostenerse que cualquier empleado de una institución financiera tenga acceso al referido registro, ya que la información en ella contenida tiene una finalidad específica, que no se corresponde con las funciones de determinados trabajadores de las instituciones bancarias.
8.- Principio de tutela. Al respecto, cabe reiterar que “en sentido amplio el derecho a acceder a la información y al conocimiento del fin (…) se trata de derechos que han de ser ejercidos previamente (incluso extrajudicialmente y tal vez hasta por vía administrativa en algunos casos) ante el recopilador real o supuesto, por lo que la lesión al titular de los derechos nace de ese ejercicio extrajudicial fallido. Si se le niega extrajudicialmente el ejercicio, porque no se le da acceso a la información, se le da errónea, o no se explica legalmente para qué se registra, se le infringe su situación jurídica que nace directamente de la Constitución” (Cfr. Sentencia de esta Sala N° 332/01).
Aunado a la necesidad de contar con el medio de tutela judicial, las personas deben contar con un medio extrajudicial que garantice su derecho a la protección de datos personales, lo cual se concreta en la existencia de órganos o entes públicos que ejercen dicha competencia, por lo que además de conocer de las reclamaciones que les sean dirigidas por los interesados, deberán en el marco del ordenamiento jurídico aplicable, tener la competencia para elaborar o implementar modelos simplificados y basados en estándares técnicos, que permitan generar y medir el nivel de eficacia de las estructuras organizativas y procedimientos vinculados al cumplimiento y el grado de protección de los datos personales.
9.- Principio de Responsabilidad. La violación del derecho a la protección de datos personales debe generar de conformidad con el ordenamiento jurídico aplicable, sanciones de tipo civil, penal y administrativas, según sea el caso.
En ese sentido, la regulación sancionatoria por parte del Estado en materia de protección del derecho a la protección de datos personales, debe hallarse en las características propias de la actividad regulada la cual está fundamentada, tomando en consideración que el manejo de datos, va precedido por la confianza de los usuarios que autorizan su recolección o uso, pero también en la seguridad -en aquellos casos que no sea voluntario- que tal información será objeto de un debido resguardo y uso, por instituciones estructuradas para asumir efectivamente los riesgos que se derivan de sus operaciones, derivado de la convicción de contar con un respaldo normativo que permita certificar la idoneidad de éstas para manejar datos personales.
De ello resulta pues, que en sectores donde existe una mayor injerencia en la regulación, control, supervisión y medidas de saneamiento, se manifieste proporcionalmente en materia sanciones administrativas, delitos y penas, que en términos generales extiendan la responsabilidad, no sólo a las personas naturales de las instituciones del sector bancario, sino también a los funcionarios que tienen a su cargo los sistemas de información. Con ello se indica per se, que en el ámbitos como el bancario la legislación asume una visión integral de la responsabilidad derivada del funcionamiento del sistema y de la tutela de derechos como el de la protección de datos personales, lo cual abarca no sólo a las actividades desarrolladas por el sector bancario propiamente dicho, sino además a los órganos y entes encargados de velar por la plena aplicación de las normas que informan ese ordenamiento jurídico estatutario de derecho público.
Sobre la base de las anteriores consideraciones, se exhorta a la Superintendencia de Instituciones del Sector Bancario, para que en ejecución de las competencias establecidas en la vigente Ley de Instituciones del Sector Bancario, a adecuar el ordenamiento jurídico estatutario aplicable al Sistema de Información Central de Riesgos, sobre la base de las consideraciones contenidas en la presente decisión y de la normativa aplicable.
III
DECISIÓN
Por las razones anteriormente expuestas, esta Sala Constitucional del Tribunal Supremo de Justicia, administrando justicia en nombre de la República por autoridad de la ley, declara:
1.- El DECAIMIENTO DEL OBJETO del recurso de nulidad por inconstitucionalidad interpuesto por los ciudadanos GERMÁN JOSÉ MUNDARAIN HERNÁNDEZ, LUZ PATRICIA MEJÍA GUERRERO, ALBERTO JOSÉ ROSSI PALENCIA, SACHA ROHÁN FERNÁNDEZ y VERÓNICA CUERVO SOTO, ya identificados, contra el artículo 192 del Decreto N° 1.526 con Fuerza de Ley de Reforma de la Ley General de Bancos y Otras Instituciones Financieras, publicado en la Gaceta Oficial N° 5.555 del 13 de noviembre de 2001 y, por vía de consecuencia, “los artículos 1, 6 y 8 de la Resolución N° 001-06-98, publicada en la Gaceta Oficial N° 36.484, de fecha 26 de junio de 1998, emitida por la Junta de Emergencia Financiera” -artículo 90 del vigente Decreto con Rango, Valor y Fuerza de Ley de Reforma Parcial de la Ley de Instituciones del Sector Bancario-.
2.- Queda SIN EFECTO la medida cautelar que acordó la Sala en sentencia N° 3.585 del 6 de diciembre de 2005.
3.- Se EXHORTA a la Superintendencia de Instituciones del Sector Bancario, para que en ejecución de las competencias establecidas en la vigente Ley de Instituciones del Sector Bancario, adecue el ordenamiento jurídico estatutario aplicable al Sistema de Información Central de Riesgos, sobre la base de las consideraciones contenidas en la presente decisión.
4.-Se ORDENA la publicación íntegra del presente fallo en la página web de este Tribunal Supremo de Justicia, así como en la Gaceta Judicial, en cuyo sumario deberá indicarse lo siguiente:
“Sentencia de la Sala Constitucional del Tribunal Supremo de Justicia que fija interpretación vinculante respecto del derecho a la protección de datos personales”.