Luego de que se publicara en distintos medios de comunicación acerca de una vulneración de seguridad en los sistemas informáticos de Cencosud S.A., grupo que opera en Argentina a través de las empresas Easy, Jumbo. Disco y Vea (en adelante, “Cencosud” o el “Grupo”), la Dirección Nacional de Protección de Datos Personales inició una investigación de oficio (la “Dirección Nacional”) que concluyó con una sanción por infracciones graves y muy graves a la Ley de Protección de Datos Personales N° 25.326 (la “Ley de Protección de Datos Personales”).
A través de dicha investigación se pudo conocer que Cencosud no había tomado las medidas técnicas y organizativas necesarias para garantizar el principio de la seguridad y confidencialidad de la información. Además, se determinó que tampoco había tomado las medidas técnicas y organizativas correctivas ante el ataque, ni comunicado a sus clientes que podían ser víctimas de filtraciones de datos personales producto del incidente de seguridad ocasionado por un malware y phishing (mails enviados desde un correo fraudulento “easyteayuda@hotmail.com” que simulaba ser oficial y requería a clientes que enviaran sus datos personales como tarjetas de crédito vía mail).
La vulneración en los sistemas informáticos de Cencosud que habrían desencadenado en un ataque informático conocido como “ransomware Egregor”, un malware que encripta la información se produjo en el mes de noviembre del 2020. A cambio de no publicar la información obtenida, los atacantes habrían luego solicitado que Cencosud pague un rescate.
Dicha información recolectada por los atacantes incluía movimientos de compras y venta de la empresa, datos de clientes y tarjetas de crédito. Por ello, la Dirección Nacional consideró que el incidente podría implicar la filtración de datos personales de titulares argentinos en su carácter de clientes, lo cual afectaría los principios de la Ley de Protección de Datos Personales y, particularmente, el artículo 9 por cuanto el incidente podría vulnerar los derechos de los titulares de los datos personales en forma masiva.
Por lo anterior, la Dirección Nacional intimó a Cencosud para que en el plazo de 10 (diez) días hábiles de notificada la misma:
- Confirmara si efectivamente había existido tal incidente de inseguridad y que, en caso afirmativo, detallara tanto las vulneraciones, las medidas adoptadas por el responsable para su mitigación y las medidas tomadas para evitar futuros incidentes.
- Informara si en el marco del incidente existió filtración y/o revelación de información confidencial o datos personales de las empresas que integran Cencosud S.A. En caso afirmativo, que indicara desde cuando se toma conocimiento de ello y qué medidas se adoptaron en consecuencia. También la cantidad de datos comprometidos y si se notificó a los titulares afectados;
- Explicara las medidas técnicas y organizativas implementadas por la empresa para garantizar la seguridad y confidencialidad de los datos personales de sus clientes, para evitar su tratamiento no autorizado, de conformidad con el artículo 9 de la Ley N° 25.326 y las recomendaciones de la Resolución AAIP N° 47/2018.
- Informara y detallara la existencia de procesos penales y/o judiciales en curso vinculados con el incidente de seguridad;
- Denunciara un correo electrónico para futuras comunicaciones.
En respuesta a la intimación, Cencosud manifestó que, en efecto, había sido víctima de un malware pero que dicho incidente no había comprometido la operación de Cencosud S.A. ni se habían identificado daños, sino que solo había sufrido una “afectación leve” en su infraestructura nacional. No obstante, argumentó que se tomaron medidas de seguridad consistentes en instalar una nueva solución de protección de endpoints y servidores para poder mejorar la prevención y detección de malware.
Cencosud también agregó que implementaron una herramienta de gestión de vulnerabilidades lo cual posibilitaría contar con un proceso continuo para identificar, evaluar y corregir vulnerabilidades en su infraestructura y que estarían implementando un servicio de SOC (Security Operation Center) para monitorear y analizar actividades y eventos de seguridad de su infraestructura crítica, así como tener alarmar proactivas ante posibles ataques o brechas de seguridad.
Sin perjuicio de la respuesta de Cencosud, la Dirección Nacional consideró que la misma era insuficiente, dado que no informaba sobre los puntos requeridos. Por ejemplo, la respuesta no brindaba explicaciones claras sobre las vulneraciones ocurridas en la organización, ni detalles sobre en qué consistía la “afectación leve” sufrida en su infraestructura nacional, ni de las medidas de seguridad implementadas previo al incidente.
Así las cosas, la Dirección Nacional remarcó que las medidas de seguridad de la Resolución AAIP N° 47/2018 no habían sido adoptadas por Cencosud para prevenir incidentes de seguridad por diseño y gestionarlos.
Se destacó que no se había notificado a la Dirección Nacional oportunamente ni se había labrado un informe detallado del incidente de seguridad, así como tampoco se había informado quién era responsable asignado en Cencosud para llevar a cabo tareas de prevención y correctivas para proteger los datos personales en la organización.
Por otra parte, para la Dirección, Cencosud tampoco respondió sobre los puntos requeridos respecto de si se había filtrado y/o revelado – y cuántos – información confidencial y/o datos personales de clientes del Grupo.
Resulta importante destacar que la Dirección Nacional determinó que la mera presentación de un Anexo referido a “Política de Seguridad de la Información” no satisfacía el requisito de informar concretamente cómo había gestionado, mitigado, comunicado y documentado los incidentes investigados. En esta línea, también consideró que la eximición a la obligación de seguridad que pretendía Cencosud mediante su Política de Privacidad no era válida.
En virtud de lo analizado, la Dirección Nacional determinó se configuraban:
- Dos infracciones graves por no haber tomado las medidas técnicas y organizativas (i) preventivas ni (ii) correctivas necesarias para garantizar el deber de seguridad en la organización (Punto 2.k), Anexo I de la Disposición DNPDP N° 7/05 y modificatorias); y
- Dos infracciones muy graves por no haber comunicado a sus clientes titulares de datos que podían ser víctimas de filtraciones de datos personales por el incidente sufrido en su organización tanto en una (i) primera como (ii) segunda oportunidad (Punto 3.f), Anexo I de la Disposición DNPDP N° 7/05 y modificatorias).
En conclusión, se resuelve aplicar a Cencosud la sanción contemplada en el artículo 31 de la Ley N° 25.326, y sus normas reglamentarias y complementarias consistente en una multa por ARS$290.000 (siguiendo los criterios de graduación detallados en el Anexo II de la Disposición DNPDP N° 7/05).
Habiéndose agotado la vía administrativa, queda expedita la acción judicial, en cuyo caso Cencosud deberá interponerla dentro de los 90 días hábiles judiciales de notificado.
Puede accederse a la resolución completa en: https://www.argentina.gob.ar/sites/default/files/rs-2021-87749403-apn-dnpdpaaip.pdf
Este artículo es un breve comentario sobre temas de interés general y novedades legales en Argentina. En este sentido, no pretende ser un análisis exhaustivo ni brindar asesoramiento legal.
Autor:
Ignacio Sáenz Valiente
Socio | Asesoramiento Corporativo y Reorganizaciones Societarias
ivaliente@svya.com.ar
Foto/ilustración:
