Algunos principios fundamentales en la recolección de Datos Personales a tomar en cuenta para un desarrollo legislativo en Venezuela

hdvenezuelaPor Gustavo José Marín García

Ante la inexistencia de una regulación específica sobre protección de datos en Venezuela es permisible disertar respecto a cuáles deberían ser los principios fundamentales que deben tomarse en cuenta en una futura regulación de esta materia. Obviamente ya existen regulaciones en el mundo en las cuales se prevén tales principios pero sería prudente reconfirmar tales principios o agregar algunos que han venido surgiendo con la práctica.

El Convenio 108 del Consejo de Europa para la Protección de las Personas con respecto al tratamiento automatizado de datos de carácter personal, suscrito en Estrasburgo el 28 de enero de 1981, prevé algunos de los principios primarios en cuanto a la calidad y la recolección de datos personales. Son un conjunto de llamados o elementos que deben ser tomados en cuenta a la hora del desarrollo legislativo que debería hacer cada uno de los países miembros de la comunidad europea. No obstante, invita a los no miembros a tomar en cuentas tales recomendaciones.

De dicho convenio podemos extraer los siguientes principios. En primer lugar, se hace una mención sobre la lealtad y la legitimidad que debe imperar al momento de la obtención. Es un llamado a que en caso de que se disponga de un instrumento normativo que regule la recolección u obtención de datos éste sea respetado por el recolector. De igual forma se exige un comportamiento ético al momento de la obtención, la lealtad en el sentido de no obtener la información bajo engaño o ardides. Que no se utilicen mecanismos que pudieran generar la obtención de una información que no quiere ser suministrada por el titular y el instrumento de obtención debe ser legítimo. Un segundo principio y coherente con el proceso de recolección, es la adecuación, pertinencia y la no excesividad de la información que se recoge con el objetivo o fin de tal acto. Es el principio del fin de la información. Esta debe ser recolectada para un fin determinado, específico que además ese fin como tal debe ser claro, preciso y obviamente informado y conocido por el titular de los datos. En tal sentido, debe haber una correspondencia y coherencia entre fin y datos tratando de ser lo mas equilibrado posible que no sobre información ni falte información. Es interesante porque no sólo no debe ser excesiva la información sino que además no debe ser carente. No debe faltar información ya que le faltaría certeza y precisión. A su vez, debe el recolector respetar, y queda así vinculado, al fin con el que fue recolectada la información. El fin que conoce el titular y que consintió suministrar información para tal fin no puede ser variado ni alterado por el recolector, en caso de que así se pretenda o suceda debe ser previamente informado por su titular sino estaríamos engañándolo y obteniendo información de manera desleal. También relacionado con el principio del fin de dato, es que una vez agotado el fin, si el mismo es de un solo efecto, el dato no tiene porque ser mantenido por el recolector y el mismo debería desaparecer. Depende mucho del fin. Como dije si es un sólo acto, habiéndose cumplido el fin, el dato recogido debería desaparecer pero si es de actos continuos o sucesivos durarán lo que se haya estipulado o cuando se haya agotado el fin en si mismo. Algunas legislaciones ya prevén un plazo de tiempo en el cual estos datos se mantendrán almacenados. Depende del fin, sino el plazo deber ser un plazo razonable.

Un tercer principio previsto en este importante convenio es de la exactitud y actualización de la información. Para estos casos se exige que el recolector y quien manipula la información la mantenga actualizada y que la misma sea exacta, en el sentido de que guarde correspondencia con la realidad. Lo que se pretende evitar es una difusión de información falsa o incierta que pueda generar algún tipo de perjuicio en el titular de la misma. Por tal razón, debe contarse con sistema de actualización o solicitar de manera periódica la información actualizable al titular, o advertir al momento de difundir la información la fecha de su recolección o la imposibilidad de su actualización por cualquier razón. El principio de la seguridad y confidencialidad de la información. En este caso se debe contar con mecanismos e instrumentos apropiados para que el recolector, no es el legislador, le garantice al titular de la información que esta se mantendrá bajo estricta reserva y seguridad. Se impedirá el acceso a la información de terceras personas que puedan manipular ilegítimamente la información. Es una obligación del recolector de resguardar la información de tal manera que la misma no sea difundida o utilizada por persona no autorizada.

Por otra parte, hay un impedimento claro en el convenio en que la información personal referida al origen racial, las opiniones políticas, las convicciones religiosas u otras convicciones, así como los datos de carácter personal relativos a la salud o a la vida sexual o al de las condenas penales no puedan tratarse automáticamente a menos que en el derecho interno se prevea garantías apropiadas.

Por nuestra parte, la legislación Venezolana de manera indirecta ha previsto algunos principios que vale la pena resaltar. En la ley de la función pública estadística se recogen los principios anteriormente señalados de manera muy acertada. En primer lugar, se declara que sólo de manera voluntaria y por consentimiento expreso y a los fines estadístico, se puede suministrar información referido al origen étnico, las opiniones políticas, las convicciones ideológicas, morales o religiosas y, en general, las referidas al honor y a la intimidad personal o familiar. Este tipo de información debe suministrarse con una manifestación expresa por parte del titular y aun así dicha información queda, en el momento en que es obtenida, resguardada por el secreto estadístico siendo por tanto imposible de ser consultada (salvo consentimiento del titular) sino hasta que haya transcurrido un plazo de veinte años desde la muerte de éste, si su fecha es conocida, o, en otro caso, de treinta años a partir de la fecha de obtención de los datos para el caso de la persona natural, y de quince años cuando se trate de información económica de persona jurídica o de diez años sino es económica.

Lo mas importante a destacar es que la voluntad del titular es lo que impera en estos actos. Es una verdadera declaración de libre disposición por parte del titular de su información. En estos casos hay que tener cuidado con la información que se suministra. Esta declaración debe contar con ciertas formalidades. No quisiera detenerme mucho en esto ya que sería muy extenso. Pero en líneas generales la manifestación debe ser expresa, lo que debe inferirse que debe constar por escrito. Es un consentimiento que no debe estar viciado, en el sentido, de que no debe ser arrancado con violencia, sorprendido por dolo o como consecuencia de un error excusable. El consentimiento permite autorizar quién recoge la información, para qué la usa, a quién se la trasmite o le permite acceso, cuánto tiempo la mantiene almacenada, entre otras facultades que se otorgan. Se puede generar un delito en estos casos conforme a los artículos 20 y 22 de nuestra la Ley de Delitos Informáticos.

En segundo lugar, y siempre en función del objeto de la Ley de la función pública estadística pero principios aplicables a cualquier recolector de datos, la ley señala que lo datos deben tener una finalidad determinada. No se puede recoger datos o información personal sin que previamente exista una finalidad que a su vez sea informada al titular de los datos. Esta finalidad debe no sólo ser determinada, lo cual significa que no puede ser ambigua u oscura, sino que además debe ser explicita y legitima.

La legitimidad viene dada en el sentido de que quien recoge la información en caso de un sujeto público es competente por ley para el ejercicio de esa actividad.  Hay que insistir que la finalidad deber ser comunicada al momento en que se recoge la información al titular de la información. En ese mismo acto, no es que después que recojo la información al final le informo al titular su fin. De ser así estaríamos ante una situación de engaño que genera el suministro de información. El fin debe conocerse desde el principio. Ya que tal hecho es lo que motiva la voluntad del titular en suministrar o no la información, también delimita el contenido de la información que se solicita y la que se suministra y vincula al recolector a utilizarla únicamente para el fin. En cuanto al uso es importante destacar que también debe ser claro. No puede informarse sobre un uso ilegítimo de la información o un uso ambiguo que pudiera permitirle al recolector protegerse ante una denuncia por el uso dado a la información y el cual de haberlo conocido previamente el titular no hubiese suministrado la información recolectada.

El uso se puede agotar en un acto o en varios, hay que hacerlo saber. El fin y el uso se pueden diferenciar. El fin de la información puede ser generar una base de datos de consulta gratuita u obligatoria por parte de determinados sujetos. El uso puede ser sólo para el cumplimiento de tal fin, pero también puede ser utilizado para generar unos perfiles de consumidores y venderlo a sujetos interesados. Hay un limbo entre uso y finalidad. Nuestra ley de la función pública estadística advierte que un uso distinto al señalado no es permisible, es incompatible simplemente, a menos que se traten con fines históricos o científicos de manera disociadas. Queda el recolector vinculado al fin y el uso que le ha informado al titular de la información, límite que emerge del derecho del titular de disponer de su información y de decidir libremente a quién le suministra esa información, qué puede hacer o no ese tercero con la información que se le suministra, quién posee esa información y qué hace con ella.

Un tercer principio que podemos extraer de esta Ley, es la adecuación, pertinencia y lo no excesivo de los datos. La información que se solicita y se recoge debe ser un traje a la medida del fin. Si se pretende estadísticamente determinar el desempleo en la población venezolana comprendida entre 20 y 25 años, no parece adecuado preguntar su estado civil, su número telefónico, los bienes patrimoniales que posee, entre otras preguntas. La información que debe solicitarse como dice la ley debe ser pertinente. Obviamente alude a la relación que debe existir con el fin. Es un vínculo que hay y al cual se somete el recolector. El fin le impone la adecuación, la pertinencia y la frontera de la información. No excesiva la información pero agrego, tampoco no debe faltar información. Debe ser lo mas ajustado posible al fin que se pretende. Si falta información, como he dicho, se falsea queda desactualizada y también es perjudicial.

Jurisprudencialmente en análisis del Sistema de Información Crediticia (SICRI) nuestra Sala Constitucional del Tribunal Supremo de Justicia (SC-TSJ) ha señalado que “..la utilización de dicho sistema no se constituye como un mecanismo arbitrario y anárquico de los datos personales de los usuarios de la cartera crediticia bancaria, siempre y cuando se respeten los derechos y principios básicos de la autodeterminación informática, así como los principios de proporcionalidad, racionalidad, confidencialidad, veracidad y utilización acorde con la solicitud recabada, sin que se acuerde una intromisión en los datos personalísimos del ciudadano (vgr. Enfermedades, relaciones sexuales, antecedentes penales)” (4975-15-12-2005), pese a que el 6/12/2005 (3585 SC-TSJ) se había suspendido la aplicación del artículo 192 de la Ley General de Bancos y Otras Instituciones Financieras que regulaba este Sistema de Información Crediticia.