En febrero de 2021, un titular de datos personales realizó una denuncia respecto de la violación al deber de seguridad en el tratamiento de sus datos personales ante la Dirección Nacional de Protección de Datos Personales de la Agencia de Acceso a la Información Pública (AAIP).
La denuncia se realizó porque una empresa de envíos a domicilio no implementó las medidas de resguardo adecuadas en el tratamiento de sus datos personales, a saber: (i) el sitio web de la empresa consistía en una API pública, que permitía visualizar y descargar datos de terceras personas, ingresado con números consecutivos de seguimiento de pedidos; (ii) los datos del denunciante se encontraban expuestos de manera pública, por lo que podían ser vistos y descargados por terceros ‒nombre, teléfono, número de pedido, domicilio, firma e incluso fotografías de su Documento Nacional de Identidad‒; y (iii) dicha información continuaba accesible varios días después de haberse entregado el producto.
En consecuencia, la AAIP intimó a la empresa, a fin de que proceda a: (a) su inscripción en el Registro de Bases de Datos, (b) informar cuáles eran las medidas de seguridad y confidencialidad implementadas en su plataforma, y (c) informar la base legal por la cual almacenaba y conservaba datos personales de sus titulares y fotos de los DNI. La empresa procedió a informar sobre cada uno de los puntos solicitados, advirtiendo que trataba información de acceso público irrestricto y que la Resolución ENACOM N°304/20 le es aplicable por ser un prestador de servicio postal, por lo que se le permite constatar la identidad de sus clientes con la exhibición de su DNI a una distancia prudencial debido a la pandemia del COVID-19. Sin embargo, dicha distancia prudencial, según lo informado por la empresa, le impedía ver correctamente todos los datos del DNI, por lo que le tomaban una fotografía para evitar potenciales reclamos respecto de la entrega.
La AAIP labró un Acta de Constatación, mediante la cual se verificó que la empresa no acreditó la totalidad del cumplimiento del trámite del registro de sus bases de datos, que sus medidas de seguridad y confidencialidad eran insuficientes y aclaró que los datos personales contenidos en el DNI no solo incluyen datos de acceso público irrestricto (como el nombre o número de DNI) sino también otras categorías de datos que poseen una protección mayor, como la huella dactilar, la fotografía del rostro o el número de trámite. Asimismo, la AAIP comprobó que la empresa no cumplió con el deber de información ya que cumplió con lo establecido en el artículo 6 de la Ley de Protección de Datos Personales como tampoco recolectó un consentimiento válido de los titulares.
En lo que refiere a la fotografía del DNI, la AAIP sostuvo que la empresa no cumplió con el principio de proporcionalidad toda vez que podría haberle solicitado a sus clientes verbalmente el número de DNI y realizar la comprobación con los datos identificados en la empresa o requerir la firma de planillas.
Más aún, la AAIP estableció que, de acuerdo con la jurisprudencia vinculada a la autorización del uso de la imagen y su interpretación restrictiva, la constatación de la identidad debería haber quedado limitada a la exhibición del DNI, sin que fuera necesario complementarlo con ningún dato adicional, como ser la toma de una fotografía del rostro de la persona o su DNI.
Por otro lado, se constató que la empresa infringió la obligación establecida en el artículo 4°, inciso 7° de la Ley de Protección de Datos Personales 25326 (LPDP), que indica que “los datos deben ser destruidos cuando hayan dejado de ser necesarios o pertinentes a los fines para los cuales hubiesen sido recolectados”, atento a que se verificó que la información continuaba accesible en el sitio web de la empresa, varios días después de figurar como “entrega confirmada”.
Por consiguiente, la AAIP sancionó a la empresa por cometer tres infracciones graves:
recopilar datos personales sin haber proporcionado a sus titulares la debida información para su tratamiento;
tratar datos de carácter personal que no reúnan la calidad de ciertos, adecuados, pertinentes y no excesivos en relación al ámbito y finalidad para los que se hubiesen obtenido; y
conservar bases de datos personales sin las condiciones de seguridad adecuadas.
Además, sancionó a la empresa por cometer una infracción muy grave al tratar los datos de carácter personal en forma ilegitima y en contra de los principios y garantías establecidos en la LPDP.
Nota escrita por Gustavo P. Giay, Diego Fernández, Delfina Aranda Bouchard y Manuela Adrogue.
Fuente: Portal de Abogados