Protección de datos en Venezuela: fallo clave del TSJ

Manejar datos personales no es ilegal ni contrario al negocio.

Las empresas necesitan datos para vender, contratar, prestar servicios, cobrar, atender clientes y gestionar proveedores. El riesgo aparece cuando esos datos se usan sin finalidad clara, sin actualización, sin seguridad o sin una vía real para que la persona pueda ejercer control sobre su información.

Sentencia 1318 del 04/08/2011 de la Sala Constitucional del TSJ.

Qué detonó esta sentencia

El caso surgió por el uso de información crediticia dentro del Sistema de Información Central de Riesgos, conocido como SICRI. La Defensoría del Pueblo cuestionó que bancos e instituciones financieras pudieran consultar y usar datos de deudores para calificarlos como personas de alto o bajo riesgo crediticio. La preocupación no era solo la existencia de una base de datos, sino el uso de esa información sin suficiente conocimiento, autorización, control o posibilidad de corrección por parte del afectado.

Qué decidió realmente la Sala

La Sala Constitucional no declaró la nulidad de la norma impugnada. El recurso perdió objeto porque la regulación original fue sustituida por una nueva ley bancaria, y la Sala consideró que los argumentos del recurso no podían trasladarse automáticamente a la nueva norma.

Máxima literal sobre el decaimiento

“a juicio de esta Sala la demanda interpuesta originalmente contra el artículo 192 del Decreto N° 1.526 con Fuerza de Ley de Reforma de la Ley General de Bancos y Otras Instituciones Financieras, publicado en la Gaceta Oficial N° 5.555 del 13 de noviembre de 2001, no es trasladable a la posterior reforma pues se verificó una modificación sustancial que en forma alguna reproduce el contenido de la norma derogada, circunstancia que no permite el traslado de la argumentación de la demanda al artículo 90 del vigente Decreto con Rango, Valor y Fuerza de Ley de Reforma Parcial de la Ley de Instituciones del Sector Bancario, el cual se incluye en una retícula normativa relativa al sigilo bancario y su protección..”

Por eso, la decisión formal fue declarar el decaimiento del objeto, dejar sin efecto la medida cautelar previa y exhortar a la Superintendencia de Instituciones del Sector Bancario a adecuar la normativa del SICRI.

Entonces, por qué importa

Aunque el caso no terminó con una declaración de inconstitucionalidad, la sentencia es importante por su parte motiva.

La Sala aprovechó el caso para fijar criterios sobre protección de datos personales, habeas data y autodeterminación informativa.

Máxima literal sobre derecho autónomo

“La Constitución de la República Bolivariana de Venezuela, recoge la protección de datos de carácter personal, la cual se constituye en un derecho fundamental autónomo que subyace en el contenido de los artículos parcialmente transcritos y que tiene como finalidad cardinal, permitir que todas las personas puedan controlar el acceso y uso por terceros de sus datos personales y, a su vez, que evitar los datos de carácter personal recogidos sufran desviaciones de la finalidad para la que fueron recabados.”

Que sea un derecho fundamental autónomo significa que no depende siempre de probar una violación separada a la intimidad, al honor o a la reputación. Puede existir un problema de protección de datos cuando una persona pierde control sobre su información, aunque el dato no sea íntimo, secreto o vergonzoso.

Venezuela y la falta de ley especial

La propia Sala reconoció que el país no contaba con una regulación sistemática sobre protección de datos personales.

Máxima literal sobre el vacío legal

“No escapa al conocimiento de la Sala, que en la actualidad no existe un marco legal que regule en forma sistematizada la protección de datos y particularmente el llamado derecho de autodeterminación informativa.”

Esta aclaratoria es clave: la sentencia no crea una ley general de protección de datos ni una autoridad administrativa especializada. Su valor está en fijar criterios constitucionales que pueden orientar reclamos, decisiones judiciales, políticas internas y análisis de cumplimiento.

La lección para compliance

La sentencia no trata los datos personales como un enemigo del negocio. Al contrario, reconoce que los sistemas de información pueden ser útiles y legítimos cuando cumplen una finalidad válida. El problema aparece cuando la información se usa sin finalidad, sin veracidad, sin actualización, sin temporalidad, sin seguridad o sin mecanismos de tutela para el titular.

Ejemplo desde la sentencia

En el SICRI, una base de datos podía servir para medir riesgo financiero.

Ese uso podía ser legítimo dentro del sector bancario.

El conflicto aparecía si la información era consultada sin controles suficientes, si se usaba para fines distintos, si el usuario no podía conocer o corregir el dato, o si una deuda ya pagada seguía afectándolo como si estuviera vigente.

Bancos y empresas no reguladas

En banca, la sentencia se apoya en normas sectoriales sobre sigilo bancario, SICRI, prohibiciones específicas y sanciones propias del sistema financiero. Ese régimen no se traslada automáticamente a cualquier empresa. Para empresas no bancarias, la sentencia funciona como criterio constitucional y estándar prudencial de compliance, no como una lista directa de multas generales.

Cómo afecta a una empresa hoy

Una empresa puede usar CRM, bases de leads, registros laborales, sistemas de cobranza, plataformas SaaS o herramientas de scoring comercial. Pero debería poder explicar qué datos recopila, para qué los usa, quién accede, cuánto tiempo los conserva, cómo los protege y qué procedimiento existe para corregirlos o actualizarlos. Esa es la diferencia entre usar datos para operar y manejar datos sin gobierno.

Conclusión: prepararse antes de que sea ley

La sentencia no debe leerse como una prohibición para usar datos personales en Venezuela. Debe leerse como una advertencia temprana: si una empresa usa datos para operar, vender, contratar, cobrar o tomar decisiones, necesita hacerlo con finalidad, actualización, seguridad y responsabilidad. En América Latina, la tendencia ya es clara. Chile, Argentina, Colombia y Perú han avanzado con leyes o marcos específicos de protección de datos personales. Venezuela todavía no cuenta con una ley general sistemática en la materia, pero la propia Sala Constitucional reconoció que la protección de datos personales ya existe como derecho fundamental autónomo. Por eso, esperar a que exista una ley especial para ordenar las bases de datos puede ser un error de negocio.

Las empresas que empiecen desde ahora a documentar finalidades, limitar accesos, actualizar información, revisar proveedores y atender solicitudes de titulares estarán mejor preparadas si Venezuela adopta un régimen más completo. La lección práctica es simple: no se trata de dejar de usar datos. Se trata de usar datos con gobierno, trazabilidad y confianza.

Sentencia completa: https://historico.tsj.gob.ve/decisiones/scon/agosto/1318-4811-2011-04-2395.HTML

Preguntas frecuentes

¿Venezuela tiene una ley general de protección de datos personales?

No existe una ley general sistemática equivalente a otros marcos latinoamericanos. La propia Sala Constitucional reconoció la falta de un marco legal sistematizado, pero sostuvo que la protección de datos personales tiene base constitucional.

¿Qué significa que la protección de datos sea un derecho fundamental autónomo?

Significa que la protección de datos tiene contenido propio. No depende siempre de probar una violación separada a la intimidad, honor o reputación. Puede haber afectación cuando una persona pierde control sobre el uso, finalidad, actualización o circulación de su información.

¿La sentencia prohíbe manejar datos personales?

No. La sentencia no prohíbe manejar datos personales. El mensaje práctico es que los datos deben usarse con finalidad legítima, veracidad, actualización, seguridad, temporalidad y mecanismos de tutela para el titular.

¿Qué decidió realmente la Sala Constitucional?

La Sala declaró el decaimiento del objeto del recurso porque la norma impugnada fue sustituida por una nueva regulación bancaria. Sin embargo, en la parte motiva fijó criterios relevantes sobre protección de datos personales.

¿Esta sentencia aplica igual a bancos y empresas no bancarias?

No de forma automática. En banca existen normas sectoriales sobre sigilo bancario, SICRI y sanciones específicas. Para empresas no bancarias, la sentencia sirve como criterio constitucional y estándar prudencial de compliance.

¿Por qué esta sentencia importa para una empresa?

Porque ayuda a entender que una empresa debe poder justificar qué datos recopila, para qué los usa, quién accede, cuánto tiempo los conserva, cómo los protege y cómo corrige información incorrecta.

¿Cuál es el riesgo real para empresas en Venezuela?

El riesgo no es tener datos. El riesgo aparece cuando los datos se manejan sin finalidad clara, sin actualización, sin seguridad, sin control de acceso o sin mecanismos para que el titular pueda ejercer sus derechos.

¿Qué debería hacer una empresa desde ahora?

Identificar qué datos maneja, documentar finalidades, limitar accesos, revisar proveedores tecnológicos, definir tiempos de conservación y crear mecanismos para solicitudes de acceso, corrección o actualización.

Checklist de compliance

  • Identificar qué datos personales maneja la empresa.
  • Definir la finalidad de cada categoría de datos.
  • Revisar quién accede a las bases de datos.
  • Limitar permisos según roles internos.
  • Documentar proveedores que tratan datos.
  • Revisar contratos con proveedores tecnológicos.
  • Definir plazos de conservación.
  • Crear procedimiento para corregir o actualizar datos.
  • Implementar medidas de seguridad razonables.
  • Registrar cambios o accesos relevantes.
  • Evitar usos distintos a la finalidad original.
  • Preparar evidencia de cumplimiento.