La Agencia de Acceso a la Información Pública aplicó al grupo Cencosud S.A. sanciones por omitir comunicar a sus clientes que podían ser víctimas de filtraciones de datos personales. Fue a raíz del incidente de seguridad sufrido producto de un malware y el posterior envío de mails fraudulentos (phishing).
La Agencia de Acceso a la Información Pública sancionó a Cencosud por haber incurrido en dos infracciones graves y dos infracciones muy graves por una brecha de seguridad que implicó afectaciones a la seguridad de sus sistemas informáticos.
El expediente tuvo su origen cuando la Dirección Nacional de Protección de Datos Personales inició una investigación de oficio a raíz de la publicación en distintos medios de comunicación de una vulneración de seguridad en los sistemas informáticos del grupo Cencosud S.A., que opera en el país a través de las empresas Easy, Jumbo, Vea y Disco.
En el marco de la investigación se pudo determinar que el grupo no tomó las medidas técnicas y organizativas necesarias para garantizar el principio de seguridad de la información, así como tampoco tomó las medidas técnicas y organizativas correctivas ante la situación del ataque.
Asimismo, Cencosud S.A. no comunicó a sus clientes que podían ser víctimas de filtraciones de datos personales por el incidente de seguridad sufrido producto de un malware y el posterior envío de mails fraudulentos (phishing).
Por su parte, la empresa CENCOSUD manifestó que “fue objeto de un malware que afectó levemente la infraestructura Argentina, no habiendo comprometido la operación de Cencosud SA, ni se ha identificado la existencia de daños”.
En su último descargo CENCOSUD tampoco respondió específicamente lo consultado sobre el detalle de las medidas preventivas y correctivas que debió haber implementado.
Sin embargo, la DNPDP recordó que del último descargo recepcionado, CENCOSUD reconoció que un malware afectó la infraestructura de la empresa en Argentina y que posteriormente no contestó cabalmente lo consultado en dos oportunidades (desde cuándo tiene conocimiento de la filtración, y en qué consistieron las vulneraciones sufridas).
En ese orden, la DNPDP advirtió también que, en su último descargo CENCOSUD tampoco respondió específicamente lo consultado sobre el detalle de las medidas preventivas y correctivas que debió haber implementado.
«Ambos incidentes han puesto en riesgo la protección de los datos personales de los titulares de datos en dos ocasiones y que CENCOSUD como responsable de tratamiento en el marco de sus obligaciones, debió haber reportado proactivamente a los usuarios afectados para que éstos pudieran estar prevenidos de posibles maniobras, y/o pudieran ejercer sus derechos en el marco de la Ley Nº 25.326 si lo consideraran pertinente»
Por tanto, el organismo a cargo de Eduardo Cimato le aplicó al grupo Cencosud S.A. multas por un total de $290.000, por haber cometido dos infracciones graves y dos infracciones muy graves a la Ley 25.326 de Protección de Datos Personales.
El débito debe esperar
La justicia porteña ordenó a un banco la suspensión del cobro un crédito a un cliente que fue víctima de un delito digital por Instagram, hasta que salga una sentencia definitiva en la causa.
El Juzgado en lo Contencioso Administrativo, Tributario y de Relaciones de Consumo de la Ciudad de Buenos Aires ordenó al Banco Hipotecario el cese del cobro de un préstamo a un hombre que sufrió una estafa digital.
El demandante detalló que el día 30 del mes de septiembre del año 2020, con la intención de peticionar una Tarjeta Visa Nativa en el Banco Nación, ingresó en una publicidad de dicha entidad en Instagram y envió un mensaje. Inmediatamente, le respondieron solicitándole su número de teléfono celular y recibió un llamado a los minutos siguientes para tramitar el producto.
Le explicaron detalladamente cómo obtener la mencionada tarjeta y le solicitaron los datos necesarios para iniciar el trámite correspondiente y agregó que, minutos después, tenía bloqueada su cuenta de home banking y su correo electrónico. Días después impactó en su caja de ahorro la solicitud de un crédito hipotecario.
El fallo destacó que “en esta era de implementación de nuevas tecnologías y nuevas formas de contratación, que se agudizo aún más con la obligatoriedad de recurrir a la modalidad virtual producto de la pandemia por Covid-19, debemos hacer especial hincapié en la protección del consumidor ante situaciones como la del caso de marras».
En la causa, “C., L. R. contra Banco Hipotecario S.A. sobre Relación de Consumo”, el titular del organismo, Martín Converset, encausó el hecho como una relación de consumo y recordó que «los consumidores y usuarios de bienes y servicios tienen derecho, en la relación de consumo, a la protección de su salud, seguridad e intereses económicos; a una información adecuada y veraz; a la libertad de elección, y a condiciones de trato equitativo y digno».
El magistrado agregó que los reclamos del cliente «no fueron resueltos y solo uno de ellos obtuvo respuesta negativa diez meses después del crédito denunciado”, por lo que “no se logra apreciar, en este estado cognoscitivo del proceso, que la respuesta brindada por el Banco Hipotecario contenga motivos fundados o una explicación plausible que diera cuenta de las razones por las cuales no se cercioró que el Sr. C. sea quien realizó la petición del préstamo”.
“Es dable inferir prima facie que no se ha cumplido con la normativa vigente respecto a la “información al consumidor”, que surge de lo dispuesto en el artículo 4º de la ley 24240 (Ley de defensa del consumidor)”, sostuvo el juez.
Por lo expuesto, Converset hizo lugar a la medida cautelar solicitada y ordenó al banco a arbitrar todos los medios necesarios a fin de proceder a la suspensión de cualquier débito en la caja de ahorros a nombre del actor en concepto de pago del mutuo, hasta tanto se dicte sentencia definitiva.