La Dirección Nacional de Defensa del Consumidor y Arbitraje del Consumo (en adelante, «la Dirección»), si bien no cuenta con competencia expresa respecto de la protección de los datos personales, analizó ciertas modificaciones incorporadas en los Términos y Condiciones respecto de la política de privacidad y las condiciones del servicio de una empresa de mensajería instantánea, indicando—en primer lugar—que si el servicio es suministrado y está disponible en la Argentina, entonces debe prestarse en cumplimiento con la legislación local.

En ese sentido, y si bien el análisis principal giró en torno al cumplimiento de la Ley Nº 24.240 de Defensa del Consumidor y normativa complementaria, la Dirección también analizó el cumplimiento de la Ley Nº 25.326 de Protección de Datos Personales (LPDP, por sus siglas).

En particular, y en lo que a las políticas de privacidad refiere, la Dirección hizo hincapié en los siguientes puntos: 

  • Recolectar información de la libreta de direcciones de quien utiliza el servicio es considerado abusivo siempre que el prestador tenga el derecho exclusivo de interpretar su alcance, atribuyéndose así la facultad de requerir de los usuarios del servicio de mensajería, además de los números de teléfono de los usuarios que la utilizan, los contactos de sus libretas de direcciones—aun cuando aquellos no sean usuarios del servicio—, sin determinar ni el objeto, ni su alcance.
  • Ceder o compartir los datos personales de los usuarios con empresas del grupo en forma genérica, con el fin de ejercer campañas de mercadeo (marketing) infringe el artículo 5 de la LPDP toda vez que el consentimiento otorgado no sería libre, expreso e informado.
  • Ceder los datos personales de los usuarios en forma genérica a las afiliadas del prestador, entidades sucesoras o propietarios nuevos en supuestos de fusión, adquisición, reestructuración o venta de activos infringe el artículo 11 de la LPDP, ya que este dispone que los datos personales solo pueden ser cedidos con el previo consentimiento del titular de los datos, al que se le debe informar sobre la finalidad de la cesión e identificar al cesionario.

Asimismo, la Dirección destaca que la LPDP fue sancionada con el objeto de resguardar la autodeterminación informativa del titular de los datos frente a su utilización incontrolada o disfuncional.

Respecto del tratamiento y la cesión de datos personales, la resolución destaca que la ley requiere el consentimiento libre, expreso e informado del titular de los datos, afirmando de forma expresa “lo cual resulta de imposible cumplimiento al insertar cláusulas que meramente comunican que los datos serán transferidos de manera automática, sin dar aviso en caso de que dicha transferencia sea llevada a cabo, para que el consumidor tenga la posibilidad de reevaluar su consentimiento o ejercer los derechos y acciones que la LPDP le confiere."

La sanción administrativa no se encuentra firme.