La Sala I de la Cámara de Apelaciones en lo Contencioso Administrativo, Tributario y de Relaciones de Consumo de la Ciudad de Buenos Aires confirmó una resolución de grado, mediante la cual se habilitó la prosecusión de una acción colectiva por el supuesto hackeo de datos de clientes de la firma Cencosud S.A.
Se trata de una demanda colectiva impulsada por la Asociación de Defensa de Derechos y Usuarios y Consumidores (ADDUC) contra Cencosud - titular de supermercados Disco, Vea y Jumbo, entre otras marcas- para que se declare la responsabilidad civil del demandado por el presunto incidente -“hackeo” en sus bases de datos- ocurrido en noviembre de 2020 en sus sistemas y por no adoptar medidas de seguridad tendientes a evitar el incidente, como también por supuestamente ocultarlo y no informar diligentemente a los consumidores (titulares de los datos) de la violación de datos y el peligro del uso fraudulento de sus datos por quienes accedieron ilegalmente a datos de tarjetas de crédito de los consumidores.
La organización también pidió medidas concretas para evitar causar daños económicos a los consumidores titulares de los datos y disminuir su magnitud evitando el agravamiento del mismo, junto con el pago de daños punitivos por haber ocultado el incidente del quiebre de seguridad de sus bases de datos, a razón de $1.000 por cada usuario afectado.
En primera instancia primera se rechazaron las excepciones de falta de legitimación activa e incompetencia opuestas por la firma.
En el caso, la Dirección de Protección de Datos Personales inició una investigación de oficio que concluyó con el dictado de la Resolución 146/2021, por medio de la cual se decidió sancionar a Cencosud con una multa por no “adoptar medidas técnicas y organizativas preventivas para prevenir el incidente informático, ni las correctivas para su mitigación, minimización de impactos y plan de contingencia para evitar futuras vulnerabilidades” y por omitir “el cumplimiento de la normativa específica al no realizar un informe detallado del incidente de seguridad, no notificar a la Autoridad de Aplicación y tampoco comunicar el incidente a sus clientes como titulares de datos para que se encuentren prevenidos de posibles maniobras fraudulentas ulteriores al incidente”.
En primera instancia primera se rechazaron las excepciones de falta de legitimación activa e incompetencia opuestas por la firma. En concreto, el juez de grado desestimó la excepción de incompetencia por entender que, en el caso, el vínculo jurídico que une a las partes configura una típica relación de consumo. Al respecto, el sentenciante tuvo en consideración los términos de la demanda y sostuvo que existe una clase integrada por usuarios y consumidores que han adquirido bienes en las tiendas de propiedad de la demandada y que “la medida que la conducta antijurídica que se le pretende endilgar a la demandada es una violación al deber de seguridad y de información que debió adoptar en el marco de la relación de consumo subyacente al planteo”.
En cuanto a la excepción de falta de legitimación activa, se pronunció en favor de la existencia de caso judicial que “vendría configurado por la supuesta afectación común a derechos individuales enteramente divisibles de los miembros del colectivo que se intenta representar, tales como la protección de los datos personales y el derecho a una información adecuada y veraz como consumidores, a partir de un incidente informativo ocurrido en el mes de noviembre de 2020 en los sistemas de la demandada".
Esta resolución fue confirmada por los camaristas Carlos Balbín, Pablo Mántaras y Fabiana Schafrik, al rechazar el recurso de apelación interpuesto por Cencosud. "(…) el recurrente se limitó a disentir con lo resuelto por el magistrado de grado y a reiterar y reproducir conceptos vertidos al oponer sus defensas, sin efectuar un desarrollo crítico que demuestre a esta alzada la existencia del presunto error de juicio que atribuye al pronunciamiento apelado", dijeron los vocales.