Recientemente, se publicó en Gaceta Oficial Nro. 42.939 de fecha 12 de agosto de 2024 el Decreto N° 4.975, que establece la creación del Consejo Nacional de Ciberseguridad, un órgano con carácter permanente que tiene como misión principal asesorar al Estado en la formulación y ejecución de políticas de ciberseguridad.

Funciones claves y su relación con la protección de datos

El Decreto establece una serie de funciones que tendrá el Consejo Nacional de Ciberseguridad directamente vinculadas con la protección de la información en el ámbito digital. Entre las más destacadas se encuentran:

1. Asesoramiento en la Política Nacional de Ciberseguridad: Esto incluye la formulación de programas, leyes, reglamentos y planes que busquen proteger la información que el gobierno considerará como crítica del país. Las propuestas formuladas tomarán en consideración los intereses y objetivos del Estado.

2. Propuestas de regulaciones en materia de seguridad informática: Este aspecto es particularmente relevante para las empresas, ya que podrían surgir nuevas normativas o requerimientos legales en materia de protección de datos y ciberseguridad que impactarían directamente sus operaciones. En varias de las funciones que se enumeran, se indica que el Estado requerirá de las personas naturales y jurídicas “los datos, estadísticas e informaciones relacionados con la seguridad informática de la Nación, así como su necesario apoyo”.

3. Capacitación y formación especializada: El Consejo también impulsará programas de capacitación dirigidos tanto al sector público como privado, con el fin de fortalecer las competencias en ciberseguridad y garantizar un manejo adecuado de la información sensible.

¿Qué sucede con la protección de datos personales en relación a este nuevo Decreto?

En Venezuela, no existe una legislación especial que regule la protección de datos personales como sucede en otras jurisdicciones, por lo que la protección de estos se fundamenta principalmente en el artículo 60 de la Constitución, que garantiza el derecho a la privacidad y confidencialidad de toda persona, así como en otras leyes específicas que solo cubren ciertos sectores. Estas incluyen la Ley sobre mensajes de datos y firmas electrónicas (2001) y la Ley especial contra los delitos informáticos (2001), que, aunque no abordan de manera integral la protección de datos personales, sí contienen sanciones para aquellos que vulneren la privacidad y confidencialidad de la información y cómo es gestionada.

Las normativas existentes establecen sanciones importantes para quienes incumplan las disposiciones en materia de privacidad y protección de datos. Por ejemplo:

• Ley especial contra los delitos informáticos (2001): Esta ley contempla penas que van desde multas hasta prisión para aquellos que, sin autorización, accedan, modifiquen, destruyan o divulguen datos personales. Esto subraya la necesidad de que las empresas establezcan foros y charlas sobre la importancia y el valor que reside en los datos personales y en las comunicaciones que se gestionan día a día.

• Ley sobre mensajes de datos y firmas electrónicas: Los proveedores de servicios de certificación también deben de cumplir con ofrecer altos estándares de seguridad y privacidad en los mensajes que sean firmados electrónicamente en la que, en caso de incumplimiento, serán sancionados pecuniariamente.

• Ley orgánica de ciencia, tecnología e innovación: La ley establece que las entidades y personas involucradas en actividades de ciencia y tecnología deben garantizar la integridad, seguridad y confidencialidad de la información que manejan. El incumplimiento de estas obligaciones puede conllevar sanciones basadas en un sistema de multas.

Para evitar estas sanciones, en las que pueden surgir también responsabilidad de orden civil, y asi proteger tanto los datos de la empresa como la información personal de sus clientes, es crucial que las empresas e instituciones adopten medidas preventivas que no solo cumplan con las normativas actuales, sino que también anticipen futuros requerimientos que puedan surgir del nuevo Consejo Nacional de Ciberseguridad.

Primeros pasos: ¿Qué hacer al respecto?

Dado el nuevo decreto, es esencial que las empresas en Venezuela adopten una postura proactiva en cuanto a la gestión de su ciberseguridad y el manejo de datos personales. A continuación, algunas recomendaciones para las empresas:

1. Evaluación de riesgos y cumplimiento legal: realizar auditorías internas para identificar vulnerabilidades y asegurar el cumplimiento de las futuras normativas que pueda implementar el Consejo Nacional de Ciberseguridad. Estas auditorías deberían enfocarse en verificar que los sistemas de seguridad sean lo suficientemente robustos para prevenir accesos no autorizados, reduciendo así el riesgo de sanciones.

2. Desarrollo de políticas de protección de datos: diseñar o actualizar las políticas de protección de datos conforme a los principios de privacidad, minimización y seguridad. Este enfoque no solo asegura la conformidad legal, sino que también protege la reputación de la empresa ante posibles incidentes.

3. Capacitación continua del personal: invertir en la formación de equipos multidisciplinarios en ciberseguridad, como sugiere el propio decreto, es vital para que el personal esté capacitado para identificar y mitigar amenazas. La capacitación debe incluir la comprensión de las sanciones legales asociadas a la violación de la privacidad y las mejores prácticas para evitar estos riesgos.

En ASPEN Legal estamos preparados para asesorarte con un equipo multidisciplinario ante este nuevo escenario por lo que te invitamos a contactar con nosotros para una revisión técnica y legal de la información que gestionas, así como ayudarte a implementar los mecanismos necesarios para que puedas cumplir con la regulación actual. La proactividad en la gestión de ciberseguridad no solo te protegerá de posibles sanciones, sino que también garantizará que tu empresa esté alineada con las mejores prácticas globales en protección de datos.

David Acosta Vargas

Propiedad Intelectual

david.acosta@aspen-legal.com