El 17 de septiembre de 2021 la Agencia de Acceso a la Información Pública (“AAIP”), autoridad de aplicación de la Ley de Protección de Datos Personales N° 25.326 (“LPDP”), sancionó a Cencosud SA por haber infringido disposiciones del régimen de protección de datos con motivo de un incidente de seguridad.
La AAIP tomó conocimiento de una vulneración que habría ocurrido en los sistemas informáticos del Grupo Cencosud, multinacional que opera en el país mediante las empresas Jumbo, Easy, Supermercados Vea y Disco, en el mes de noviembre 2020. La brecha de seguridad se habría desencadenado a raíz de un ataque informático conocido como “ransomware Egregor”, malware que encripta información.
La Dirección Nacional de Protección de Datos Personales (“DNPDP”), dependiente de la AAIP, consideró que dicho incidente de seguridad podría implicar la filtración de datos personales de titulares de datos argentinos, afectando así los principios protectorios de la LPDP, como también, los deberes de seguridad y confidencialidad a cargo del Cencosud. Como consecuencia de ello, intimó a la empresa para que informe sobre dicho incidente.
Los descargos presentados por Cencosud fueron considerados insuficientes. La DNPDP determinó que no se llevaron a cabo medidas previas al incidente, ni correctivas para minimizar su impacto o evitar futuras vulneraciones. También resaltó que, luego de la intimación, algunos usuarios recibieron mails fraudulentos bajo la modalidad conocida como “phishing”.
- No haber tomado las medidas técnicas y organizativas preventivas necesarias para garantizar la seguridad, lo cual constituye una infracción grave, según la Disposición N° 7/2005.
- No haber tomado las medidas técnicas y organizativas correctivas necesarias para garantizar el deber de seguridad en su organización, lo cual configura una infracción grave.
- No haber comunicado a sus clientes titulares de datos que podían ser víctimas de filtraciones de datos personales por el incidente de seguridad en una primera oportunidad, lo cual configura una infracción muy grave.
- No haber comunicado a sus clientes titulares de datos que podían ser víctimas de filtraciones de...
