martes, febrero 18, 2020

Uruguay - Resolución N° 5/020 - sanciones por data breach de empresas postales en Uruguay

CONSEJO EJECUTIVO DE LA UNIDAD REGULADORA Y DE CONTROL DE DATOS PERSONALES
Montevideo, 18 de febrero de 2020
VISTO: La denuncia presentada contra Grupo Agencia DAC por surgir datos desproporcionados al entrar en su sistema de rastreos de encomiendas.
RESULTANDO:


I.- Que el denunciante manifiesta que cada vez que realiza un envío vía web, al poner su número de rastreo aparece además de su nombre y apellido, su domicilio, lo que entiende desproporcionado.
II.- Que comparece ENCOMIENDAS DEL LITORAL LTDA., parte del Grupo integrado por la citada empresa, AGENCIA CENTRAL S.A., CHADRE S.A. y SABELIN S.A., e informa que el sistema es empleado por el Grupo, que la única forma de obtener los datos si se posee el número de rastreo y que la información en la web nunca es pública y está debidamente protegida.
III.- Que con los datos proporcionados por el denunciante se procedió a constatar en el sitio web cuáles eran los datos que surgían al entrar al sistema, surgiendo así, los datos del denunciante, de remitente. Al modificar un solo número del número del rastreo aparecen además datos de terceros.
IV.- Que realizada una inspección de la página y del informe técnico resulta que éste refleja datos de los usuarios sobre su actividad comercial, nombre, apellido, nombre de la empresa, firma, domicilio, entre otros.
CONSIDERANDO:
I.- Que el artículo 7° de la Ley N° 18.331, de 11 de agosto de 2008 establece que los datos tratados deben ser adecuados y no excesivos –entre otros- en relación a la finalidad para la que se hubieran obtenido (principio de
veracidad). En ese sentido, los datos de domicilio, cédula, departamento, firma del destinatario, se entienden excesivos en cuanto a su comunicación a terceros, más allá de que queden visibles para la empresa o para usuarios debidamente autenticados.
II.- Que el principio de seguridad de los datos establece que los responsables deben adoptar medidas necesarias para garantizar la seguridad y confidencialidad de los datos personales (Artículo 10 de la ley citada). A través del sistema empleado se vulnera el principio, por lo que deberán hacerse los ajustes necesarios para evitar que en el futuro se pueda obtener por terceros datos con solo cambiar un número de los otorgados para rastrear el paquete o documento que se envía.
III.- Que de la documentación presentada resulta que Grupo Agencia DAC se encuentra integrado por ENCOMIENDAS DEL LITORAL LTDA., AGENCIA CENTRAL S.A., CHADRE S.A. y SABELIN S.A..
ATENTO: A lo expuesto, y a lo previsto en las normas vigentes en la materia,
El Consejo Ejecutivo de la Unidad Reguladora y de Control de Datos Personales
RESUELVE:
1º.- Apercibir a ENCOMIENDAS DEL LITORAL LTDA., AGENCIA CENTRAL S.A., CHADRE S.A. y SABELIN S.A.. por incumplimiento de los artículos 7° y 10 de la Ley N° 18.331, de 11 de agosto de 2008.
2°.- Intimar a ENCOMIENDAS DEL LITORAL LTDA., AGENCIA CENTRAL S.A., CHADRE S.A. y SABELIN S.A. que debe realizar los ajustes necesarios al sistema de rastreo de envío, que se accede por la web, para que no se visualicen datos de terceros, comunicando a la Unidad los cambios realizados.
3º.- Notifíquese, publíquese y oportunamente archívese.
Firmado por: MAG. FEDERICO MONTEVERDE
CONSEJO EJECUTIVO
UNIDAD REGULADORA Y DE CONTROL DE DATOS PERSONALES
Expediente N° 2018-2-10-0000334



Mas información

Blog de Segu info

Blog de la fuga de datos de Uruguay