SEPTEMBER 23, 2021

Resolución N°2021-146 de la Agencia de Acceso a la Información Pública

CIRCULARES

CIRCULAR

Informe del Departamento de Privacidad y Protección de Datos Personales | Resolución N°2021-146 de la Agencia de Acceso a la Información Pública

Estimados:

El pasado 21 de septiembre la Agencia de Acceso a la Información Pública (“AAIP”), autoridad de aplicación de la Ley de Protección de Datos Personales N°25.326 (“LPDP”), resolvió mediante Resolución N°2021-146 (“Resolución”) multar a una importante empresa de retail (la “Empresa”) por la suma de $290.000 por haber cometido dos infracciones graves y dos infracciones muy graves a la LPDP.

La AAIP inició una investigación de oficio contra la Empresa, efectuada por la Dirección Nacional de Protección de Datos Personales (“DNPDP”) de la AAIP, tras haber tomado conocimiento de ciertos hechos públicos y notorios relacionados con una vulneración que había ocurrido en los sistemas informáticos de la Empresa en noviembre de 2020, desencadenados a raíz de un ataque informático conocido como “ransomware Egregor”, malware que encripta información.

En este sentido, en atención a que entre la información recolectada por los atacantes había “movimientos de compras y ventas de la empresa”, así como datos de clientes y tarjetas de crédito, la DNPDP consideró que dicho incidente de seguridad podía implicar la filtración de datos personales de titulares argentinos en su carácter de clientes, situación que afectaría los principios protectorios de LPDP, en particular, los deberes de seguridad y confidencialidad a cargo de la Empresa.

Es importante destacar que la DNPDP (a) consideró como dos infracciones graves el hecho de que la Empresa no haya adoptado ninguna de las medidas establecidas por la Resolución Nº 47/2018 de la AAIP, que establece medidas de seguridad “recomendadas” (no obligatorias), para prevenir incidentes de seguridad por diseño, como así tampoco para la gestión de incidentes, y (b) consideró como dos infracciones muy graves la conducta de la Empresa de no haber comunicado a sus clientes que podían ser víctimas de filtraciones de datos personales por el incidente de seguridad sufrido en dicha organización en una primera y segunda oportunidad, a pesar de que dicha obligación no surge directamente de la LPDP ni de la citada Resolución N° 47/2018.

Quedamos a su disposición por cualquier información adicional que consideren necesaria.

Saludos cordiales.

Emilio Beccar Varela
Florencia Rosati
Mariana Lamarca Vidal
Martín Beccar Varela
Agustina Pardo