La Agencia de Acceso a la Información Pública aplicó al grupo Cencosud S.A.sanciones por omitir comunicar a sus clientes que podían ser víctimas de filtraciones de datos personales. Fue a raíz del incidente de seguridad sufrido producto de un malware y el posterior envío de mails fraudulentos (phishing).
La Agencia de Acceso a la Información Pública sancionó a Cencosud por haber incurrido en dos infracciones graves y dos infracciones muy graves por una brecha de seguridad que implicó afectaciones a la seguridad de sus sistemas informáticos.
El expediente tuvo su origen cuando la Dirección Nacional de Protección de Datos Personales inició una investigación de oficio a raíz de la publicación en distintos medios de comunicación de una vulneración de seguridad en los sistemas informáticos del grupo Cencosud S.A., que opera en el país a través de las empresas Easy, Jumbo, Vea y Disco.
En el marco de la investigación se pudo determinar que el grupo no tomó las medidas técnicas y organizativas necesarias para garantizar el principio de seguridad de la información, así como tampoco tomó las medidas técnicas y organizativas correctivas ante la situación del ataque.
Asimismo, Cencosud S.A. no comunicó a sus clientes que podían ser víctimas de filtraciones de datos personales por el incidente de seguridad sufrido producto de un malware y el posterior envío de mails fraudulentos (phishing).
Por su parte, la empresa CENCOSUD manifestó que “fue objeto de un malware que afectó levemente la infraestructura Argentina, no habiendo comprometido la operación de Cencosud SA, ni se ha identificado la existencia de daños”.
En su último descargo CENCOSUD tampoco respondió específicamente lo consultado sobre el detalle de las medidas preventivas y correctivas que debió haber implementado.
Sin embargo, la DNPDP recordó que del último descargo recepcionado, CENCOSUD reconoció que un malware afectó la infraestructura de la empresa en Argentina y que posteriormente no contestó cabalmente lo consultado en dos oportunidades (desde cuándo tiene conocimiento de la filtración, y en qué consistieron las vulneraciones sufridas).
En ese orden, la DNPDP advirtió también que, en su último descargo CENCOSUD tampoco respondió específicamente lo consultado sobre el detalle de las medidas preventivas y correctivas que debió haber implementado.
"Ambos incidentes han puesto en riesgo la protección de los datos personales de los titulares de datos en dos ocasiones y que CENCOSUD como responsable de tratamiento en el marco de sus obligaciones, debió haber reportado proactivamente a los usuarios afectados para que éstos pudieran estar prevenidos de posibles maniobras, y/o pudieran ejercer sus derechos en el marco de la Ley Nº 25.326 si lo consideraran pertinente"
Por tanto, el organismo a cargo de Eduardo Cimato le aplicó al grupo Cencosud S.A. multas por un total de $290.000, por haber cometido dos infracciones graves y dos infracciones muy graves a la Ley 25.326 de Protección de Datos Personales.