Argentina: Sanción a empresa que exponía datos del DNI

BeyGoo

Por Daniel Monastersky – Socio Data Governance Latam

En una resolución de febrero de 2021, la Dirección Nacional de Protección de Datos Personales destaca la relevancia de salvaguardar la privacidad y seguridad de los ciudadanos al cuidar meticulosamente los datos del Documento Nacional de Identidad (DNI). El caso en cuestión involucra a una empresa que fue denunciada por la violación del deber de seguridad en relación con los datos personales, dejando en evidencia la necesidad de tomar medidas adecuadas para proteger los datos más sensibles de los ciudadanos. 

Actualmente la protección de los datos personales se ha vuelto una preocupación primordial para los ciudadanos y las autoridades. Los avances tecnológicos y la creciente digitalización de los servicios han facilitado la recopilación, almacenamiento y procesamiento de información personal, lo que también ha aumentado los riesgos de vulneración de la privacidad y seguridad de los individuos. Uno de los documentos más sensibles y valiosos en términos de datos personales es el Documento Nacional de Identidad (DNI). Es por ello que, en una resolución de febrero 2021, la Dirección Nacional de Protección de Datos Personales (DNPDP) dependiente de la Agencia de Acceso a la Información Pública (AAIP) tomó acciones contra la empresa «Entrega Creativa S.R.L.» (conocida como «Chazki») por la violación del deber de seguridad en relación con los datos del DNI.

La denuncia fue presentada por un ciudadano que realizó una compra online a través de la tienda digital de Nestlé S.A. y cuyo envío fue gestionado por Chazki. Durante el seguimiento del pedido, el denunciante descubrió que la plataforma de Chazki presentaba una vulnerabilidad que permitía el acceso público a datos personales, incluyendo fotografías del DNI. Esta situación plantea una serie de cuestiones cruciales acerca de la protección de los datos personales y la necesidad de que las empresas implementen medidas de seguridad adecuadas.

La resolución de la DNPDP destaca varios aspectos preocupantes relacionados con el tratamiento de los datos del DNI por parte de Chazki. Entre ellos, se hace hincapié al uso de una API pública que permitía acceder a datos de terceros mediante números consecutivos de seguimiento de pedidos. Esta falla en el sistema puso en riesgo la privacidad de los usuarios, ya que sus datos personales estaban expuestos de manera pública y accesible a terceros durante varios días después de la entrega del producto.

Además, Chazki solicitaba imágenes del DNI del receptor como constancia de identidad para completar la entrega, lo cual fue considerado como una práctica ilegítima por parte de la DNPDP. La empresa justificó esta solicitud basándose en la dificultad de leer los diminutos caracteres impresos en los DNIs, pero la DNPDP argumentó que existían formas más razonables de constatar la identidad, como consultar el número de DNI al receptor o implementar medidas de distanciamiento social sin requerir imágenes del DNI.

La resolución también destaca que Chazki no cumplió adecuadamente con los principios de información y consentimiento establecidos en la Ley N° 25.326, ya que los titulares de datos no fueron informados adecuadamente sobre sus derechos y las consecuencias del tratamiento de sus datos personales. Además, la empresa no eliminó los datos personales una vez que dejaron de ser necesarios para los fines para los cuales fueron recolectados, lo cual constituye una violación de la ley.

La importancia de cuidar los datos del DNI radica en la protección de la identidad y privacidad de los ciudadanos. El DNI contiene información sensible que, en manos equivocadas, podría ser utilizada para cometer fraudes, suplantaciones de identidad u otras actividades delictivas. Por tanto, es fundamental que las empresas que manejan datos personales implementen medidas de seguridad adecuadas y cumplan con las regulaciones de protección de datos.

La resolución de la DNPDP estableció sanciones pecuniarias para Chazki debido a las infracciones cometidas. Esta acción tiene como objetivo crear conciencia sobre la importancia de respetar la privacidad de los ciudadanos y la necesidad de tomar medidas concretas para proteger los datos personales.

Las empresas deben ser conscientes de su responsabilidad en el tratamiento de datos personales y adoptar medidas de seguridad adecuadas para evitar vulneraciones de la privacidad. Asimismo, los ciudadanos deben estar informados sobre sus derechos en materia de protección de datos y exigir que sus datos sean tratados de manera segura y respetuosa. La cooperación público-privada-ciudadanos es esencial para garantizar una adecuada protección de los datos personales y mantener la confianza en el uso de los servicios digitales.

Big HeadZi zoom

OPINIÓN

Media Kit Ciberseguridadlatam

Tu anuncio en
nuestra web

Convierta a Ciberseguridad LATAM en su aliado estratégico para alcanzar a los líderes y profesionales en ciberseguridad, gobierno de datos y protección de la información de América Latina.