La empresa Pedidos Ya, una de las principales plataformas de pedidos de comida de Argentina, fue sancionada el 1° de noviembre del 2024 por la Agencia de Acceso a la Información Pública, Autoridad de Protección de Datos Personales de Argentina.
La sanción fue motivada por una denuncia de un consumidor por pagos no autorizados con una tarjeta de crédito de su titularidad efectuados dentro de la plataforma. Entre las principales infracciones de la empresa, se detectó:
- Falta de una respuesta adecuada al ejercicio del derecho de acceso, y
- Tratamiento de datos personales menospreciando los principios y garantías de la Ley de Protección de Datos Personales.
Según la resolución, la plataforma permitió vincular a una cuenta de usuario tarjetas de créditos de terceros, sin contar con un procedimiento de validación de identidad. Además, se enfatizó que la empresa no identificó concretamente las medidas técnicas y organizativas que aplica para garantizar la seguridad y confidencialidad de los datos personales de sus usuarios. En su lugar, se limitó a citar la sección pertinente de sus Políticas de Privacidad.
El total de multas impuestas fue de alrededor de $131.000 (aproximadamente 120 dólares a la fecha de esta publicación).
Si bien las multas en Argentina siguen siendo bajas, vemos con buenos ojos que la Autoridad aborde casos relacionados con la seguridad de los datos financieros en las transacciones online. En definitiva, estos casos afectan no sólo a la empresa y a los usuarios específicos involucrados, sino a diversos actores del ecosistema del comercio electrónico en general, siendo la confidencialidad y seguridad de estos datos un pilar fundamental para mantener la confianza en el ecosistema.
Algunas conclusiones del caso “Pedidos Ya”
Ejercicio de Derechos. La falta de respuesta, o la respuesta inadecuada al ejercicio de derechos por parte de los consumidores y usuarios, es uno de los principales motivos de sanción por parte de la Autoridad.
- Recomendaciones para Empresas: Elaborar un protocolo de respuesta claro y eficiente para contestar a los consumidores y usuarios cuando ejercen sus derechos, y capacitar a sus equipos en el abordaje de estos reclamos.
Insuficiencia de un Acuerdo Conciliatorio. Al igual que en el caso bajo análisis, muchos otros reclamos vinculados a la protección de datos personales tienen su origen en pretensiones económicas de los usuarios (por ejemplo, desconocer préstamos o cobros no autorizados). Por lo general, las empresas suelen poner fin a estos reclamos mediante el reconocimiento de alguna suma a favor del consumidor. En este caso, aunque Pedidos Ya informó haber alcanzado un acuerdo conciliatorio con el consumidor en sede judicial, la Autoridad subrayó que eso no impedía aplicarle multas por incumplimiento a la Ley de Protección de Datos Personales.
- Recomendaciones para Empresas: Implementación de procesos robustos de validación de identidad de los usuarios, utilizando los más altos estándares de la industria y en cumplimiento de la normativa aplicable, para bajar al máximo la incidencia de cobros o débitos no autorizados.
Este aspecto fue incluido por la propia Autoridad, la cual requirió que la empresa adopte: “un procedimiento para validar la identidad de los usuarios y corroborar los datos personales ingresados por quienes pretender crear una cuenta en la plataforma”.
Responsabilidad Proactiva y Demostrada. El análisis de la sanción impuesta por la Autoridad resalta la importancia de la responsabilidad proactiva y demostrada. Este principio, incluido en el Proyecto de Ley de Protección de Datos Personales del 2023 y mencionado en algunas guías emitidas por la Autoridad, exige que las empresas no solo cumplan con sus obligaciones en materia de protección de datos personales, sino que puedan demostrar su efectiva implementación. En otras palabras, a la Autoridad no le basta como defensa copiar y pegar las Políticas de Privacidad de la empresa, sino que se requiere evidencia documentada de las medidas efectivas tomadas en materia de protección de datos personales. Este enfoque se alinea con diferentes regulaciones, tales como el Reglamento General de Protección de Datos de la Unión Europea y la Ley General de Protección de Dados de Brasil.
- Recomendaciones para Empresas: En la implementación de los procesos de validación de identidad de los usuarios, se debe tener en cuenta no sólo cumplir con la normativa y los más altos estándares de la industria, sino contar con protocolos adecuados que permitan demostrar esta implementación y que sean capaces de atravesar con éxito una auditoría.
La decisión de la Autoridad de Protección de Datos de Argentina puede ser una oportunidad para que las empresas que procesan pagos de consumidores finales con tarjetas de crédito y otros medios de pago revisen sus mecanismos de validación de identidad, y tomen medidas efectivas para proteger la confidencialidad y seguridad en el flujo de datos personales de consumidores. No sólo reducirá el riesgo de sanciones por parte de la Autoridad, sino que también cuidará su reputación y será una de las mejores herramientas a la hora de generar confianza en sus consumidores.
Si tu empresa u organización necesita asesoramiento en materia de privacidad y protección de datos personales, no dudes en contactar a nuestro equipo a info@lermanszlak.com.
Gabriela Szlak
T° 79 F° 516 CPACF
__________________________________________________________________
1- Esto se debe a que la ley vigente estableció montos máximos de multas en valores constantes, que no fueron actualizados desde su sanción en el año 2001. Artículo 21, Ley 25.326. Disponible en: https://servicios.infoleg.gob.ar/infolegInternet/anexos/60000-64999/64790/norma.htm.
2- Disponible en: https://www.argentina.gob.ar/sites/default/files/mensajeyproyecto_leypdp2023.pdf. Perdió estado parlamentario el 01/01/2025.
3- Ver, por ejemplo, la Guía para entidades públicas y privadas en materia de Transparencia y Protección de Datos Personales para una Inteligencia Artificial responsable, disponible en: https://www.argentina.gob.ar/sites/default/files/aaip-argentina-guia_para_usar_la_ia_de_manera_responsable.pdf; y la Guía de Evaluación de Impacto en la Protección de Datos elaborada en conjunto con la Autoridad de Protección de Datos de Uruguay, disponible en: https://www.argentina.gob.ar/sites/default/files/guia_final.pdf.
