Resolución N° 43/023 .
VISTO: La denuncia presentada por incumplimiento del principio de seguridad de los datos por parte de COBOE S.A.
RESULTANDO: I. Que se presenta ante esta Unidad la denunciante a informar que ingresó sus datos personales en una base de datos de una página web de COBOE S.A. (Farmashop) que figuraba en sus redes sociales, y durante varias horas de la tarde toda persona que ingresaba a ese link se encontraba con los campos de datos rellenados con sus datos personales verdaderos. Agrega que la página permaneció en funcionamiento hasta que una persona desconocida le informó, utilizando su número telefónico, que sus datos aparecían en la base de datos. Ante ello, se comunicó en forma inmediata y luego de varios minutos inhabilitaron la página.
II. Que se dio vista de la denuncia, presentándose la denunciada a indicar que lo manifestado es cierto y la información de la denunciante quedó visible en el sitio web debido a que el plugin del formulario de registro superó la cantidad máxima de registros permitidos. Informan que una vez constatado el error informático, se procedió a dar de baja el formulario y solucionar el problema informático detectado.
III. Que, la denunciada manifiesta que cumple con la normativa de protección de datos: tienen sus bases de datos inscritas, cuentan con medidas de seguridad y tienen medios para ejercer los derechos y delegado de protección de datos designado. Expresa que solamente los datos personales de la denunciante quedaron visibles en el formulario de registro para participar en el sorteo, por lo que entiende que la exposición de datos fue absolutamente menor y solo duró un par de horas.
IV. Que corresponde señalar que, en forma previa a la denuncia, la denunciada había comunicado a esta Unidad el incidente, y que había intentado comunicarse con la denunciante sin éxito. Además, informó que la empresa se comunicó con el sector tecnológico para que el inconveniente no volviera a suceder.
V. Que, de mandato verbal del Consejo Ejecutivo, se procedió a dar vista a la parte denunciada, quien presentó un informe de actualización de las medidas tomadas por la denunciada.
CONSIDERANDO: I. Que, en el presente caso, se denuncia una vulneración de seguridad y surge probado que se comunicó información indebidamente, luego de lo cual el responsable adoptó medidas suficientes para paliar la situación acaecida dando de baja la información. Además, se informó a esta Unidad en tiempo y forma de la vulneración y alcance de lo sucedido, y se adoptaron medidas para que este tipo de situaciones no se reitere en el tiempo.
II. Que, por tanto, si bien existió una comunicación de datos sin consentimiento, en vulneración del art. 17 de la Ley N° 18.331, y una vulneración de seguridad en la medida en que quedaron expuestos datos personales de una usuaria en infracción del art. 10 de la citada norma, se deben considerar los atenuantes indicados en el considerando anterior.
III. Que, adicionalmente, corresponde señalar que la denunciada cumple con los requisitos formales de inscripción de bases de datos y la designación y comunicación de delegado de protección de datos (artículos 6° de la Ley N° 18.331 y 40 de la Ley N° 19.670, de 15 de octubre de 2018).
ATENTO: a lo expuesto e informado,
El Consejo Ejecutivo de la Unidad de la Unidad Reguladora y de Control de Datos Personales
RESUELVE:
- Exhortar a COBOE S.A. a revisar todos sus procesos internos para que no se vuelvan a repetir situaciones como la de estos autos, informando a esta Unidad de las medidas adoptadas
- Notifíquese, publíquese y archívese.
Firmado por: Felipe Rotondo
Consejo Ejecutivo
URCDP