El pasado 11 de septiembre de 2025, la Sala D de la Cámara Nacional de Apelaciones en lo Comercial dictó sentencia en los autos “Valdez, Claudia Graciela c/ FCA S.A. de ahorro para fines determinados y otro s/ ordinario” en la que se resolvió la responsabilidad de una empresa como consecuencia del incidente de seguridad.
La actora había sido víctima de una estafa perpetrada por terceros que, valiéndose de información detallada sobre su plan de ahorro, la indujeron a transferir fondos a una cuenta ajena. En tal sentido, la actora demandó a la administradora de dicho plan y a la concesionaria de automóviles que operaba como mandataria de esta. En primera instancia, la demanda fue rechazada sobre la base de que no se había acreditado que el fraude se originó en un incidente atribuible a las demandadas. La decisión fue apelada por la actora, lo que da lugar al fallo que se aquí se comenta.
La Cámara abordó la cuestión desde la óptica de la doctrina relativa a los falsos representantes. Según recordó el tribunal, un representado no puede ser responsabilizado por actos de quienes se hacen pasar por sus agentes, salvo que su propio comportamiento haya facilitado dicha falsa representación.
Partiendo de ello, la Cámara advirtió que, al no haberse demostrado que los estafadores fueran empleados o ex empleados de las demandadas ni que la actora hubiera revelado indebidamente información, cabía inferir que hubo un acceso no autorizado a la información en poder de la administradora del plan de ahorro.
En este sentido, el fallo destacó que la Resolución Nº 8/2015 de la Inspección General de Justicia obliga a este tipo de entidades a llevar un Registro de Contratos Adjudicados. La custodia del mismo, de acuerdo con el tribunal, debe garantizarse bajo condiciones que eviten accesos indebidos, en vista de que el artículo 9 de la Ley de Protección de Datos Personales impone a los responsables la obligación de adoptar medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos.
En este contexto, el tribunal sostuvo que, frente a un incidente de seguridad, el responsable podrá liberarse de responsabilidad si demuestra que el hecho obedeció a una causa ajena, equiparable a un caso fortuito. De este modo, la Cámara sugiere un régimen de responsabilidad objetiva para los responsables del tratamiento cuando los datos bajo su custodia se vean comprometidos en una brecha de seguridad.
En el caso concreto, la administradora del plan de ahorro -quien, a su vez, era el responsable de tratamiento- no intentó acreditar que había adoptado medidas adecuadas para prevenir accesos no autorizados a los datos de la actora, por lo que no se podía argumentar que el hecho constituía un caso fortuito. En consecuencia, la Cámara consideró que debía responder objetivamente por el perjuicio sufrido por la actora. No obstante, solo se la condenó a abonar la mitad del monto defraudado, debido a que la conducta de la víctima fue conducente para que el ilícito se concretara.
En relación con la concesionaria, demandada debido a su carácter de mandataria de la administradora del plan de ahorro, el tribunal sostuvo que el rol de mandataria no resultaba suficiente para atribuirle responsabilidad por un incidente de seguridad que, en todo caso, correspondía prevenir al responsable.
Este fallo en particular pone de relieve que podría configurarse un criterio bajo el cual los responsables de bases de datos en Argentina estén sujetos a un régimen de responsabilidad objetiva en caso de una filtración, aunque todavía no está claro si este enfoque será adoptado por otros tribunales.
El texto completo del fallo puede hallarse aquí.
