Una empresa de e-commerce es sancionada por la Autoridad de Aplicación de Protección de Datos Personales

• Author: Delfina Aranda Bouchard,Gustavo P. Giay,Manuela Adrogue,Diego Fernández
• Published date: 27 April 2021
• Date: 27 April 2021
• Law Firm: Marval O'Farrell Mairal

En febrero de 2021, un titular de datos personales realizó una denuncia respecto de la violación al deber de seguridad en el tratamiento de sus datos personales ante la Dirección Nacional de Protección de Datos Personales de la Agencia de Acceso a la Información Pública (AAIP). La denuncia se realizó porque una empresa de envíos a domicilio no implementó las medidas de resguardo adecuadas en el tratamiento de sus datos personales, a saber: (i) el sitio web de la empresa consistía en una API pública, que permitía visualizar y descargar datos de terceras personas, ingresado con números consecutivos de seguimiento de pedidos; (ii) los datos del denunciante se encontraban expuestos de manera pública, por lo que podían ser vistos y descargados por terceros ‒nombre, teléfono, número de pedido, domicilio, firma e incluso fotografías de su Documento Nacional de Identidad‒; y (iii) dicha información continuaba accesible varios días después de haberse entregado el producto.

En consecuencia, la AAIP intimó a la empresa, a fin de que proceda a: (a) su inscripción en el Registro de Bases de Datos, (b) informar cuáles eran las medidas de seguridad y confidencialidad implementadas en su plataforma, y (c) informar la base legal por la cual almacenaba y conservaba datos personales de sus titulares y fotos de los DNI. La empresa procedió a informar sobre cada uno de los puntos solicitados, advirtiendo que trataba información de acceso público irrestricto y que la Resolución ENACOM N°304/20 le es aplicable por ser un prestador de servicio postal, por lo que se le permite constatar la identidad de sus clientes con la exhibición de su DNI a una distancia prudencial debido a la pandemia del COVID-19. Sin embargo, dicha distancia prudencial, según lo informado por la empresa, le impedía ver correctamente todos los datos del DNI, por lo que le tomaban una fotografía para evitar potenciales reclamos respecto de la entrega.

La AAIP labró un Acta de Constatación, mediante la cual se verificó que la empresa no acreditó la totalidad del cumplimiento del trámite del registro de sus bases de datos, que sus medidas de seguridad y confidencialidad eran insuficientes y aclaró que los datos personales contenidos en el DNI no solo incluyen datos de acceso público irrestricto (como el nombre o número de DNI) sino también otras categorías de datos que...