La Agencia de Acceso a la Información Pública consideró que el grupo no tomó las medidas técnicas y organizativas que garantizaran el principio de seguridad de la información, luego de haber sufrido un ataque contra su sistema informático.
La Dirección Nacional de Protección de Datos Personales de la Agencia de Acceso a la Información Pública sancionó al grupo CENCOSUD S.A por la filtración de datos personales de los clientes que luego habría desencadenado a raíz de un ataque informático conocido como “ransomware Egregor”, malware que encripta información.
La Resolución 146/2021 lleva la firma del director del organismo Eduardo Hernán Cimato y establece la sanción a CENCOSUD S.A con una multa de $290.000 por haber cometido dos infracciones graves y dos infracciones muy graves a la Ley 25.326 de Protección de Datos Personales.
Entre sus fundamentos, señalaron que la multinacional no comunicó a sus clientes que podían ser víctimas de filtraciones de datos personales por el incidente de seguridad sufrido producto de un malware y el posterior envío de mails fraudulentos (phishing).
La investigación fue iniciada de oficio a partir de la vulneración en la seguridad de los sistemas informáticos del grupo, que opera en el país a través de las empresas Easy, Jumbo, Vea y Disco.
Entre sus fundamentos, la decisión del organismo indica que, si bien CENCOSUD ha confirmado que existió un incidente de seguridad en su organización, haciendo alusión a que el mismo “afectó levemente la infraestructura Argentina”, no dio cuenta de manera específica (a) en qué consistieron las vulneraciones ocurridas en su organización; (b) ni en qué consistió la afectación “leve” sufrida que refiere afectó su infraestructura nacional. Sin perjuicio de ello, en el mismo descargo aclara que “no se ha identificado la existencia de daños”.
En este sentido, la medida señala que la conducta de CENCOSUD S.A. de no haber tomado las medidas técnicas y organizativas preventivas necesarias para garantizar el principio de seguridad en su organización, configura una infracción grave consistente en: “Mantener bases de datos locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen”, conforme el punto 2, inciso k) del Anexo I, de la Disposición DNPDP N° 7/05 y modificatorias.