Aplican multa a una empresa como consecuencia de un incidente de seguridad
Por Mariano Peruzzotti y Valentina González Medina.
El 17 de septiembre de 2021 la Agencia de Acceso a la Información Pública (“AAIP”), autoridad de aplicación de la Ley de Protección de Datos Personales N° 25.326 (“LPDP”), sancionó a Cencosud SA por haber infringido disposiciones del régimen de protección de datos con motivo de un incidente de seguridad.
La AAIP tomó conocimiento de una vulneración que habría ocurrido en los sistemas informáticos del Grupo Cencosud, multinacional que opera en el país mediante las empresas Jumbo, Easy, Supermercados Vea y Disco, en el mes de noviembre 2020. La brecha de seguridad se habría desencadenado a raíz de un ataque informático conocido como “ransomware Egregor”, malware que encripta información.
La Dirección Nacional de Protección de Datos Personales (“DNPDP”), dependiente de la AAIP, consideró que dicho incidente de seguridad podría implicar la filtración de datos personales de titulares de datos argentinos, afectando así los principios protectorios de la LPDP, como también, los deberes de seguridad y confidencialidad a cargo del Cencosud. Como consecuencia de ello, intimó a la empresa para que informe sobre dicho incidente.
Los descargos presentados por Cencosud fueron considerados insuficientes. La DNPDP determinó que no se llevaron a cabo medidas previas al incidente, ni correctivas para minimizar su impacto o evitar futuras vulneraciones. También resaltó que, luego de la intimación, algunos usuarios recibieron mails fraudulentos bajo la modalidad conocida como “phishing”.
Por ello, la DNPDP imputó a la empresa la comisión de las siguientes infracciones:
- No haber tomado las medidas técnicas y organizativas preventivas necesarias para garantizar la seguridad, lo cual constituye una infracción grave, según la Disposición N° 7/2005.
- No haber tomado las medidas técnicas y organizativas correctivas necesarias para garantizar el deber de seguridad en su organización, lo cual configura una infracción grave.
- No haber comunicado a sus clientes titulares de datos que podían ser víctimas de filtraciones de datos personales por el incidente de seguridad en una primera oportunidad, lo cual configura una infracción muy grave.
- No haber comunicado a sus clientes titulares de datos que podían ser víctimas de filtraciones de datos personales por el incidente de seguridad sufrido en su organización en una segunda oportunidad, lo cual configura una infracción muy grave.
Consecuentemente, la AAIP aplicó a Cencosud la multa de Pesos Argentinos 290.000 (US$ 2.938 al tipo de cambio de la fecha) por las infracciones antes indicadas. Para arribar a esa conclusión la AAIP tuvo en cuenta los siguientes aspectos:
- La empresa no había adoptado ninguna de las medidas de seguridad que indica la Resolución 47/2018 de la AAIP para prevenir incidentes de seguridad por diseño, como así tampoco para la gestión de incidentes.
- Ambos incidentes (el ataque ransomware y la filtración posterior derivada de los correos fraudulentos) habían puesto en riesgo la protección de los datos personales de los titulares de datos en dos ocasiones.
- Cencosud como responsable de tratamiento debió haber reportado proactivamente a los usuarios afectados para que éstos pudieran estar prevenidos de posibles maniobras, y/o pudieran ejercer sus derechos en el marco de la LPDP si lo consideraban pertinente. Este deber, que no está previsto en la LPDP, se encuentra sin embargo contemplado en los estándares de protección aprobados por la Red Iberoamericana de Protección de Datos o los Principios actualizados del Comité Jurídico Interamericano sobre la Privacidad y la Protección de Datos Personales.
- Conforme la Resolución 47/2018, las medidas de seguridad deben ser llevadas a cabo por las organizaciones en el marco de su responsabilidad proactiva en atención a “la composición orgánica que mejor satisfaga sus intereses y funcionamiento”.
Para más información contactarse con: mperuzzotti@ojambf.com.
