Introducción(
La Dirección Nacional de Protección de Datos Personales de la Agencia de Acceso a la Información Pública (en adelante, la “AAIP”) sancionó a Cencosud S.A. (en adelante, Cencosud”) por incumplimiento del deber de seguridad previsto en el artículo 9 (1) de la Ley 25.326 (en adelante, la “LPDP”).
Las actuaciones que dieron lugar a la multa fueron iniciadas de oficio por la AAIP por haber tomado conocimiento -a través de hechos públicos- de una vulneración de seguridad en los sistemas informáticos de Cencosud que podría haber ocasionado una filtración masiva de datos personales de titulares de datos argentinos.
Procedimiento Administrativo
La AAIP intimó a Cencosud para que un plazo de 10 días hábiles informe: (i) si existió el incidente de seguridad y, en caso afirmativo, detalle las vulnerabilidades, las medidas adoptadas para su mitigación y las medidas adoptadas para evitar futuros incidentes; (ii) si existió una filtración de datos personales y, en caso afirmativo, confirme desde cuándo tenía conocimiento, qué medidas se adoptaron, la cantidad de datos comprometidos y si notificó tal circunstancia a los titulares de datos personales; (iii) las medidas técnicas y organizativas implementadas para garantizar la seguridad y confidencialidad de los datos personales en los términos del artículo 9 de la LPDP y la Resolución AAIP 47/2018; y (iv) la existencia de procesos judiciales en relación a esta cuestión.
Cencosud respondió la intimación e informó que fue objeto de un malware (2) que afectó levemente la infraestructura argentina, no habiendo comprometido las operaciones y explicó las medidas tomadas frente a dicha situación. Pero no especificó en qué consistieron las vulneraciones.
La AAIP consideró que la respuesta de Cencosud fue insuficiente ya que no detalló las medidas técnicas y organizativas implementadas (ni preventivas ni correctivas) ni tampoco desarrolló un plan de contingencia para la prevención y gestión para este tipo de incidentes. Asimismo, la AAIP entendió que Cencosud no respondió concretamente si, a raíz del incidente, existió una filtración de datos personales y si el incidente fue comunicado a sus clientes.
Posteriormente, la AAIP tomó conocimiento -a través de hechos públicos- que varios clientes de Cencosud habrían recibidos correos electrónicos fraudulentos informando que ciertas compras que habían realizado en empresas del Grupo Cencosud no habían podido ser procesadas y que, en consecuencia, era necesario informar ciertos datos personales incluyendo una imagen de su tarjeta de crédito y número de DNI.
Frente a dicha situación la AAIP labró un acta de constatación verificando las siguientes infracciones: (i) 2 infracciones graves por “mantener bases de datos locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen”, por la conducta de Cencosud de no haber tomado las medidas técnicas y organizativas preventivas y correctivas necesarias para garantizar el principio de seguridad en su organización; (ii) 2 infracciones muy graves por “tratar los datos de carácter personal en forma ilegítima o con menosprecio de los principios y garantías establecidos en Ley No 25.326 y normas reglamentarias”, por no haber comunicado a sus clientes titulares de datos que podían ser víctimas de filtraciones de datos personales por el incidente de seguridad sufrido en su organización.
Si bien Cencosud contestó la notificación del acta de constatación y destacó que no se habrían comprometido datos personales de clientes, la AAIP consideró que lo consultado inicialmente no fue respondido y que tampoco se probó -con prueba idónea- que los datos personales de los clientes no fueron comprometidos ni qué medidas se tomaron para ello.
En consecuencia, la AAIP concluyó que los incidentes de seguridad pusieron en riesgo la protección de los datos personales de los titulares de datos y que Cencosud, como responsable del tratamiento, debió haber reportado proactivamente a los usuarios afectados para que éstos pudieran estar prevenidos de posibles maniobras y/o pudieran ejercer sus derechos en el marco de LPDP.
Por esos motivos, sancionó a Cencosud con una multa de $290.000.
El principio de seguridad y la obligación de comunicar vulneraciones de seguridad
La República Argentina tiene un sistema completo y complejo en materia de protección de datos personales que se plasmó en la LPDP y que, principalmente, sigue al sistema europeo.
El sistema europeo es un sistema altamente regulado y se plasma a través del Reglamento General de Protección de Datos Personales (en adelante, el “GDPR”) (3). El GDPR englobó a todos los países de la Unión Europea y unificó, por tanto, los derechos y obligaciones en materia de protección de datos personales en toda la región.
La entrada en vigencia del GDPR marcó un hito importante en materia de datos personales porque incorporó la idea responsabilidad proactiva. El principio de responsabilidad proactiva es un concepto vinculado a la figura del responsable del tratamiento de datos personales, a través del cual se establece que es el propio responsable quien, además de cumplir con la normativa, debe garantizar y demostrar ante la autoridad de aplicación que cumple con la normativa y cómo la aplica. Es decir, demostrar una actitud proactiva y diligente para proteger los datos personales que trata y, en consecuencia, la privacidad de sus titulares.
Una de las obligaciones que prevé el GDPR -pensada dentro de este concepto de “responsabilidad proactiva- es la notificación de vulneraciones de seguridad: los responsables del tratamiento deberán informarlo al órgano de aplicación (conforme artículo 33) (4) y al interesado cuando la violación de seguridad pudiera entrañar un riesgo para sus derechos y libertades (conforme artículo 34) (5).
Por su parte, la LPDP fue sancionada en el año 2000 -y reglamentada en el año 2001 a través del Decreto Reglamentario 1558/01- y desde entonces no fue modificada sustancialmente (6). Al momento de dictarse la LPDP el paradigma que regía en materia de datos personales era el de autodeterminación informativa, es decir, la facultad de todas las personas de ejercer control sobre su información personal. Por lo tanto, si bien la LPDP sigue el modelo europeo, en la actualidad, está desactualizada.
La LPDP establece una serie de conceptos -presupuesto básico para que opere este marco de protección- y un conjunto de reglas y principios que permiten que los individuos tengan un cierto control sobre sus datos personales (7). Uno de dichos principios, es el principio de seguridad (8).
Este principio postula que quien tenga una base de datos debe adoptar las medidas técnicas y organizativas que resulten necesarias para garantizar la seguridad y confidencialidad de los datos personales, de modo de evitar su adulteración, pérdida, consulta o tratamiento no autorizado, y que permitan detectar desviaciones, intencionales o no, de información, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado (9).
Como puede advertirse, la LPDP no establece cuáles son las medidas de seguridad recomendadas y tampoco establece la obligación de notificación de incidentes de seguridad.
Con posterioridad a la entrada en vigencia del GDPR, en el marco del XV Encuentro Iberoamericano de Protección de Datos, la Red Iberoamericana de Protección de Datos (10) aprobó los “Estándares de Protección de Datos de los Estados Iberoamericanos” (en adelante, los “Estándares Iberoamericanos”).
El objetivo principal de los Estándares Iberoamericanos consiste en establecer un conjunto de principios y derechos comunes de protección de datos personales que los Estados Iberoamericanos puedan adoptar y desarrollar en su legislación nacional, con la finalidad de contar con reglas homogéneas en la región. Y, en el artículo 22.1. de dicho documento se establece que: “Cuando el responsable tenga conocimiento de una vulneración de seguridad de datos personales ocurrida en cualquier fase del tratamiento, entendida como cualquier daño, pérdida, alteración, destrucción, acceso, y en general, cualquier uso ilícito o no autorizado de los datos personales aun cuando ocurra de manera accidental, notificará a la autoridad de control y a los titulares afectados dicho acontecimiento, sin dilación alguna (11)”.
Asimismo, en los Estándares Iberoamericanos se describe el contenido mínimo de dichas notificaciones: (a) La naturaleza del incidente; (b) Los datos personales comprometidos; (c) Las acciones correctivas realizadas de forma inmediata; (d) Las recomendaciones al titular sobre las medidas que éste pueda adoptar para proteger sus intereses; y (e) Los medios disponibles al titular para obtener mayor información al respecto (12). Asimismo, el responsable deberá documentar toda vulneración de seguridad de los datos personales ocurrida en cualquier fase del tratamiento, identificando, de manera enunciativa: la fecha en que ocurrió; el motivo de la vulneración; los hechos relacionados con ella y sus efectos y las medidas correctivas implementadas de forma inmediata y definitiva, la cual estará a disposición de la autoridad de control (13).
Finalmente, los Estándares Iberoamericanos establecen que la legislación nacional de los Estados Iberoamericanos establecerá los efectos de las notificaciones de vulneraciones de seguridad que realice el responsable a la autoridad de control, en lo que se refiere a los procedimientos, forma y condiciones de su intervención, con el propósito del salvaguardar los intereses, derechos y libertades de los titulares afectados.
En este punto del análisis, es importante tener presente que los Estándares Iberoamericanos son directrices orientadoras -no son de aplicación obligatoria- con la finalidad de contribuir a la modernización y actualización de las legislaciones existentes, favoreciendo la adopción de un marco regulatorio armonizado que ofrezca un nivel adecuado de protección y garantizando, a su vez, el desarrollo comercial y económico de la región.
Luego de la aprobación de los Estándares Iberoamericanos, en el año 2018, la AAIP dictó la Resolución 47/2018 (14) que estableció ciertas medidas de seguridad recomendadas, no obligatorias, para el tratamiento y conservación de datos personales en medios informatizados y en medios no informatizados. El objetivo del dictado de dicha Resolución fue facilitar el cumplimiento de la LPDP en relación con los deberes de seguridad del artículo 9. Por lo tanto, contiene ciertas directrices o recomendaciones que orientan a los responsables del tratamiento a cumplir con su deber de seguridad.
Dicha Resolución contiene, además, previsiones específicas para la gestión de vulnerabilidades y los incidentes de seguridad.
En relación a la gestión de vulnerabilidades establece una serie de acciones -preventivas y correctivas- que aconseja realizar con la finalidad de que pueda identificarse, analizarse, evaluarse y corregirse cualquier vulnerabilidad de los sistemas informáticos que traten datos personales aplicando siempre técnicas que garanticen la integridad, registro, trazabilidad y verificación.
Por otro lado, y en relación a los incidentes de seguridad y sus consecuencias, describe una serie de acciones tendientes a detectar, detener, evaluar y contener el hecho a fin de evitar el escalamiento y lograr la corregir el entorno técnico y operativo. Dentro de las acciones recomendadas se prevé la notificación de dichos incidentes a la AAIP junto con el envío de un informe que contenga, como mínimo, la siguiente información: la naturaleza de la información, la categoría de datos personales afectados, la identificación de los usuarios afectados, y las medidas adoptadas para mitigar el incidente.
Como puede apreciarse, los Estándares Iberoamericanos y la Resolución 47/2018 están alineados con el GDPR. Y es en estas dos normas que la AAIP fundó la sanción a Cencosud que analizamos en el presente.
En este contexto, y en relación a la sanción impuesta por la falta de comunicación a sus clientes de la vulneración de seguridad y de la posibilidad de que hubieran sido víctimas de una filtración de datos, hay que destacar que no existe una obligación normativa en Argentina en tal sentido. La única fundamentación podría surgir de los Estándares Iberoamericanos, que no son de cumplimiento obligatorio, o de alegar que el responsable del tratamiento no actuó bajo un criterio de responsabilidad proactiva frente a lo ocurrido.
Sin perjuicio de ello, también hay que tener presente que, según indica la propia AAIP, las vulneraciones de seguridad sufridas por Cencosud fueron de conocimiento público. Por lo tanto, del mismo modo que la AAIP se enteró a través de medios de comunicación podría entenderse que lo hicieron los clientes de Cencosud.
Habrá que esperar la resolución judicial para tener precisiones sobre el tema, pero es momento de comenzar a pensar hasta dónde puede aplicarse el criterio de responsabilidad proactiva en la República Argentina mientras no se actualice la LPDP. Y, por otro lado y centrándonos en el tema de la presente sanción, comenzar a pensar cómo deberían comunicarse a los titulares de datos personales las vulneraciones de seguridad masivas.
Citas
1 Recordemos que el artículo 9 de la LPDP indica que: “1. El responsable o usuario del archivo de datos debe adoptar las medidas técnicas y organizativas que resulten necesarias para garantizar la seguridad y confidencialidad de los datos personales, de modo de evitar su adulteración, pérdida, consulta o tratamiento no autorizado, y que permitan detectar desviaciones, intencionales o no, de información, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado (…)”.
2 En términos generales podemos decir que un malwere es un programa o código malicioso que realiza acciones dañinas en un sistema informático de forma intencionada y sin el conocimiento del usuario.
3 El GDPR entró en vigor el 25 de mayo de 2016, pero fue de cumplimiento obligatorio a partir del 25 de mayo de 2018, es decir, dos años después. Durante esos dos años las empresas, organizaciones, organismos e instituciones se fueron adaptando para su cumplimiento. El GDPR es la primera norma sobre esta materia que afectó a todos los países de la Unión Europea y unificó, por tanto, los derechos y obligaciones en materia de protección de datos personales.
4 Texto completo del artículo 33 GDPR: “Notificación de una violación de la seguridad de los datos personales a la autoridad de control. 1. En caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará a la autoridad de control competente de conformidad con el artículo 55 sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Si la notificación a la autoridad de control no tiene lugar en el plazo de 72 horas, deberá ir acompañada de indicación de los motivos de la dilación. 2. El encargado del tratamiento notificará sin dilación indebida al responsable del tratamiento las violaciones de la seguridad de los datos personales de las que tenga conocimiento. 3. La notificación contemplada en el apartado 1 deberá, como mínimo: a) describir la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados; b) comunicar el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información; c) describir las posibles consecuencias de la violación de la seguridad de los datos personales; d) describir las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos. 4. Si no fuera posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida. 5. El responsable del tratamiento documentará cualquier violación de la seguridad de los datos personales, incluidos los hechos relacionados con ella, sus efectos y las medidas correctivas adoptadas. Dicha documentación permitirá a la autoridad de control verificar el cumplimiento de lo dispuesto en el presente artículo”.
5 Texto completo del artículo 34 GDPR: “Comunicación de una violación de la seguridad de los datos personales al interesado. 1. Cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento la comunicará al interesado sin dilación indebida. 2. La comunicación al interesado contemplada en el apartado 1 del presente artículo describirá en un lenguaje claro y sencillo la naturaleza de la violación de la seguridad de los datos personales y contendrá como mínimo la información y las medidas a que se refiere el artículo 33, apartado 3, letras b), c) y d). 3. La comunicación al interesado a que se refiere el apartado 1 no será necesaria si se cumple alguna de las condiciones siguientes: a) el responsable del tratamiento ha adoptado medidas de protección técnicas y organizativas apropiadas y estas medidas se han aplicado a los datos personales afectados por la violación de la seguridad de los datos personales, en particular aquellas que hagan ininteligibles los datos personales para cualquier persona que no esté autorizada a acceder a ellos, como el cifrado; b)el responsable del tratamiento ha tomado medidas ulteriores que garanticen que ya no exista la probabilidad de que se concretice el alto riesgo para los derechos y libertades del interesado a que se refiere el apartado 1; c) suponga un esfuerzo desproporcionado. En este caso, se optará en su lugar por una comunicación pública o una medida semejante por la que se informe de manera igualmente efectiva a los interesados.4. Cuando el responsable todavía no haya comunicado al interesado la violación de la seguridad de los datos personales, la autoridad de control, una vez considerada la probabilidad de que tal violación entrañe un alto riesgo, podrá exigirle que lo haga o podrá decidir que se cumple alguna de las condiciones mencionadas en el apartado 3”.
6 A través de los años, la autoridad de aplicación dictó normativa complementaria de la LPDP pero en ningún caso de modificó el texto de la Ley.
7 Este marco normativo se complementa con las leyes provinciales que regulan las bases de datos públicas. Si bien estas leyes no fueron dictadas en todas las provincias, podemos citar como ejemplo la Ley Nº 1845 de la Ciudad de Buenos Aires y la Ley Nº 14.214 de la Provincia de Buenos Aires.
8 A modo enunciativo, los principios descriptos en la LPDP son: principio de legalidad, principio de calidad, principio de finalidad, principio de confidencialidad, principio de seguridad y principio de confidencialidad. Un análisis de estos principios excede ampliamente el objeto del presente trabajo.
9 Conforme artículo 9 de la LPDP.
10 La Red Iberoamericana de Protección de Datos es un foro integrador de los diversos actores, tanto del sector público como privado, que desarrollen iniciativas y proyectos relacionados con la protección de datos personales en Iberoamérica, con la finalidad de fomentar, mantener y fortalecer un estrecho y permanente intercambio de información, experiencias y conocimientos entre ellos, así como promover los desarrollos normativos necesarios para garantizar una regulación avanzada del derecho a la protección de datos personales en un contexto democrático, tomando en consideración la necesidad del continuo flujo de datos entre países que tienen diversos lazos en común y una preocupación por este derecho. La República Argentina, a través de la AAIP y la defensoría del Pueblo de la Ciudad de Buenos Aires, es miembro de dicha Red.
11 Es importante tener presente que en el artículo 22.2 se indica que la notificación de vulneración de seguridad “no resultará aplicable cuando el responsable pueda demostrar, atendiendo al principio de responsabilidad proactiva, la improbabilidad de la vulneración de seguridad ocurrida, o bien, que ésta no represente un riesgo para los derechos y las libertades de los titulares involucrados”.
12 Conforme artículo 22.4.
13 Conforme artículo 22.5.
14 Publicada en el Boletín Oficial el 25/07/2018
Opinión
Pérez Alati, Grondona, Benites & Arntsen
opinión
ver todosDiaz Bobillo, Vittone, Carassale, Richards & Goyenechea Abogados
PASBBA Abogados
Estudio Durrieu
Rocca Consulting