El pasado 06 de Junio, en el marco de las actuaciones EX 2016-04629409, la Agencia de Acceso a la Información Pública sancionó a “YAHOO! DE ARGENTINA SRL por la suma total de $105.000 como consecuencia de un incidente de seguridad padecido en el año 2013 que habría expuesto los datos personales de 7.970.680 usuarios Argentinos. El mismo incidente, afecto en total a más de un billón de usuarios en el mundo.
Según la resolución, se condena por la suma de $105.000 por acumulación de una infracción leve de $25.000 (por no informar en tiempo y forma modificaciones o bajas ante el Registro Nacional de Bases de Datos) y una infracción grave por $80.000 (a causa de mantener bases de datos locales programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad). Es decir, USD 2.300 aproximadamente.
A modo de comentario, desde una visión optimista, se destaca la condena. Por otro lado, la sanción no resulta de manera alguna disuasiva para la propia empresa sancionada ni para el resto de entidades públicas y privadas que almacenan y procesan datos. Se ha perdido una gran oportunidad de imponer una sanción ejemplar para que las grandes empresas tecnológicas tomen los recaudos de seguridad necesarios para evitar o mitigar riesgos e incidentes.
Es dable poner en consideración si las sanciones previstas en la Ley de Protección de Datos Personales vigente en Argentina (25.326), son lo suficientemente graves como para alentar a las entidades a tomar medidas suficientes respecto de la seguridad de sus bases de datos. En mi opinión, no lo son, al menos en lo referente al aspecto económico. Según el art. 31 de la ley, las sanciones que puede aplicar el organismo de control son: apercibimientos, suspensión, multa de $1000 a $100.000, clausura o cancelación de archivo, registro o banco de datos. Analizando la importancia de los datos comprometidos y las eventuales consecuencias de un incidente de seguridad similar al comentado, las sanciones pecuniarias en mi opinión, resultan exiguas.
Si bien el proyecto de ley de protección de los datos personales-aún con dificultades para salir-tiene muchas virtudes, en lo referente a las sanciones económicas, creo, que aunque se haya dado un paso más, se ha quedado corto al menos considerando los criterios internacionales frente a incidente de seguridad de grandes magnitudes. El art. 76 del proyecto, establece que la multa podrá alcanzar el equivalente a 500 salarios mínimo vital y móvil vigentes al momento de la sanción. A la fecha un (1) SMVM asciende a $12.500. Para la economía local por supuesto que como tope máximo ($6.250.000) puede ser razonable y suficiente. Para empresas o entidades de las características de la sancionada, definitivamente no lo es. Si lo comparamos con el RGDP Europeo, en sus casos más graves, las multas pueden ascender al 4% de la facturación mundial de la compañía o hasta los 20 millones de Euros. Basta con ver las multas aplicadas en Francia a Google por $50 millones de Euros o la impuesta a Facebook por la autoridad Italiana 1.000.000 de Euros por el caso Cambridge Analytica, entre otros para darnos una idea dónde estamos parados a nivel local.
Para finalizar, un incidente que expuso a casi 8 millones de usuarios Argentinos tuvo un costo para una grande tecnológica de aproximadamente USD2300. Según eleconomista.es, un estudio en el 2018 reveló que la identidad digital completa de una sola persona se estimaba en 1.000 Euros. Claro que los precios disminuyen si se pretenden conseguir datos fragmentados. Resulta alarmante considerando desde todo punto de vista lo desproporcionado de la sanción aplicada, aún cuando la propia resolución destaca textualmente “…su accionar ha producido un alto riesgo para los usuarios afectados con consecuencias inmensurables hasta la fecha”.
Por Santiago Grigera
