A raíz de una inspección iniciada de oficio, la Dirección Nacional de Protección de Datos Personales (DNPDP, por sus siglas) impuso una multa a Cencosud S.A. ("Cencosud") de ARS 290.000 por no cumplir con el deber de seguridad previsto en la Ley de Protección de Datos Personales Nº 25.326 (LPDP).

La inspección se inició luego de que la DNPDP tomara conocimiento de una vulneración a los sistemas informáticos de Cencosud, seguido de un segundo incidente, que, a su criterio, podría haber afectado datos personales de titulares argentinos.

Sobre esta base, la DNPDP solicitó a Cencosud que confirme la ocurrencia del incidente de seguridad en cuestión; y que, en caso de haber existido tal incidente, (i) detalle las medidas adoptadas por la compañía para mitigar los daños ocasionados y para evitar futuros incidentes; (ii) informe si existió efectivamente una filtración a datos personales de titulares de datos argentinos; (iii) explique las medidas implementadas para garantizar la seguridad y confidencialidad de los datos; e (iv) informe la existencia de procesos judiciales y/o penales en curso relacionados con la ocurrencia del incidente.

Al contestar el requerimiento, Cencosud informó haber sido objeto de un malware que habría afectado levemente la infraestructura argentina y que no se habrían detectado daños como consecuencia del mismo. Asimismo, la compañía agregó haber instalado nuevas soluciones para la gestión de vulnerabilidades.

La DNPDP consideró que la respuesta era insuficiente y advirtió que la compañía no implementó ninguna de las medidas de seguridad para prevenir y gestionar incidentes de seguridad recomendadas bajo la Resolución Nº 47/2018, y derivadas de las obligaciones del artículo 9 de la LPDP, que dispone que todo responsable de tratamiento debe adoptar medidas que salvaguarden la seguridad de los datos personales.

En consecuencia, la DNPDP impuso a Cencosud una multa de ARS 290.000 por (i) no haber tomado las medidas técnicas y organizativas preventivas para garantizar el principio de seguridad; y no haber tomado las medidas correctivas necesarias para garantizar el deber de seguridad; y (ii) no haber comunicado a sus clientes que podían ser víctimas de filtraciones de datos personales en ninguna de las dos oportunidades. Asimismo, la DNPDP ordenó la inscripción de la sanción en el Registro de Infractores de la Ley 25.326.

La sanción no se encuentra firme.