Una cadena de supermercados fue multada por incumplir el deber de seguridad de datos personales

Los hechos son los siguientes: en noviembre de 2020, la Dirección Nacional de Protección de Datos Personales (DNPDP), a partir de una investigación, tomó conocimiento de una vulneración ocurrida en los sistemas informáticos de Cencosud como consecuencia de un ataque informático conocido como “ransomware Egregor”. Los atacantes habían recolectado información relacionada con los clientes y sus tarjetas de crédito, y solicitaron un rescate a Cencosud para no filtrar la información obtenida.

Durante la investigación, también llegó a conocimiento de la DNPDP un segundo incidente de seguridad a raíz del cual los clientes de Cencosud habrían recibido mails fraudulentos que buscaban engañar a los usuarios y obtener de ellos datos personales adicionales.

Ante dicha situación, la DNPDP solicitó a Cencosud que confirmara el incidente de seguridad en cuestión y que, en caso de haber existido, (i) detallara las medidas adoptadas por la compañía para mitigar los daños ocasionados y para evitar futuros incidentes, (ii) informara si efectivamente existió una filtración de datos personales de titulares de datos argentinos, (iii) explicara las medidas implementadas para garantizar la seguridad y confidencialidad de los datos e (iv) informara la existencia de procesos judiciales y/o penales en curso relacionados con la ocurrencia del incidente.

Cencosud manifestó haber sido víctima de un malware que habría afectado levemente la infraestructura argentina y que no se habrían detectado daños como consecuencia de este. Adicionalmente, la compañía agregó haber implementado nuevas soluciones para la gestión de vulnerabilidades.

Al respecto, la DNPDP consideró insuficiente la respuesta y consideró que la compañía no había implementado las medidas de seguridad necesarias para prevenir y gestionar incidentes de seguridad recomendadas bajo la Resolución 47/2018 y derivadas de los deberes de seguridad del artículo 9 de la Ley de Protección de Datos Personales (LPDP).

Finalmente, la DNPDP impuso a Cencosud una multa de ARS 290 000 por:

1. no haber tomado las medidas técnicas y organizativas preventivas para garantizar el deber de seguridad y no haber tomado las medidas correctivas necesarias para garantizar el deber de seguridad; y
2. no haber comunicado a sus clientes que podían ser víctimas de filtraciones de datos personales en ninguna de las dos oportunidades.

Por último, la DNPDP ordenó la inscripción de la sanción en el Registro de Infractores de la Ley 25326.