Fuga de Datos y Estafas Virtuales: La Justicia Responde ante la Responsabilidad en la Era Digital

En el vertiginoso mundo actual, donde la tecnología redefine constantemente nuestras interacciones y transacciones, el derecho se enfrenta al desafío de adaptar sus principios para proteger a los ciudadanos de nuevas formas de ilícitos. El reciente fallo en el caso "Valdez, Claudia Graciela c/ FCA S.A. de Ahorro para Fines Determinados y otro s/ Ordinario" arroja luz sobre la responsabilidad en la protección de datos personales y la prevención de estafas virtuales, marcando un precedente significativo en el cruce entre el derecho comercial y la seguridad informática.

1) Breve Resumen del Caso

El caso se originó a partir de una demanda interpuesta por la Sra. Claudia Graciela Valdez contra FCA S.A. de Ahorro para Fines Determinados y Taraborelli Automobile S.A.. La Sra. Valdez fue víctima de una estafa virtual en marzo de 2021, cuando una persona que se identificó como parte del "área administrativa de FCA S.A. de Ahorro" la contactó vía WhatsApp solicitándole un pago de $130.000 para el "patentamiento" de su vehículo, correspondiente a un plan de ahorro previo. La Sra. Valdez realizó la transferencia a una cuenta bancaria indicada, pero posteriormente fue informada por Taraborelli Automobile S.A. que dicha cuenta no les pertenecía, confirmando así el ilícito. La actora sostuvo que la estafa solo pudo haberse producido por una "fuga informativa" de sus datos personales relacionados con el plan de ahorro, imputable a las demandadas.

En primera instancia, el juzgado rechazó la demanda al considerar que la actora no había logrado probar una relación causal entre la conducta atribuida a las demandadas (la supuesta fuga de datos) y el daño sufrido. Además, se descartaron otras reclamaciones como la responsabilidad por incumplimiento del deber de información contractual, incrementos desproporcionados de cuotas y ciertos daños psicológicos y morales.

2) Juzgado o Tribunal Interviniente

La sentencia que analizamos fue dictada por la Cámara Nacional de Apelaciones en lo Comercial, Sala D, de la Capital Federal, con fecha 11 de septiembre de 2025. Los Señores Jueces que intervinieron en la votación fueron el Dr. Heredia y el Dr. Vassallo, aunque el fallo lleva las firmas de Pablo D. Heredia y Ernesto Lucchelli, quien adhirió al voto de su colega. La causa, registrada bajo el número n° 2602/2022, provenía del Juzgado n° 25 del fuero.

3) Decisión Tomada

La Cámara Nacional de Apelaciones en lo Comercial revocó parcialmente la sentencia de primera instancia y admitió la demanda exclusivamente contra FCA S.A. de Ahorro para Fines Determinados, mientras que mantuvo el rechazo de la demanda contra Taraborelli Automobile S.A..

En su análisis, el Tribunal consideró que la Sra. Valdez fue efectivamente víctima de una estafa virtual. Aplicando la figura del "falsus procurator" o "fictus procurator", la Cámara sostuvo que la persona que contactó a la actora invocó una representación de FCA S.A., facilitando el engaño.

Un punto crucial del fallo es la responsabilidad objetiva de FCA S.A. de Ahorro para Fines Determinados en la protección de datos personales. El Tribunal subrayó que las empresas que llevan registros con datos personales (como el "Registro de Contratos Adjudicados" en este caso) tienen la obligación, según el artículo 9 de la ley 25.326 de Protección de Datos Personales, de adoptar medidas técnicas y organizativas para garantizar la seguridad de esos datos y evitar tratamientos no autorizados. La Cámara determinó que FCA S.A. no logró demostrar una "causa ajena" que la eximiera de responsabilidad, concluyendo que la estafa solo pudo provenir de una fuga informativa que la administradora no evitó.

No obstante, la Cámara también encontró que la propia actora actuó con "notable ligereza o ingenuidad" al realizar la transferencia a una persona desconocida, desviándose de sus métodos de pago habituales y seguros, lo que facilitó la maniobra ilícita. En consecuencia, se estableció una distribución paritaria de la "causación jurídica" del daño, es decir, una responsabilidad del 50% para FCA S.A. de Ahorro para Fines Determinados.

Respecto a Taraborelli Automobile S.A., la Cámara determinó que, como mera mandataria, no podía ser responsabilizada por la fuga informativa. Se aclaró que el artículo 40 de la ley 24.240 (Ley de Defensa del Consumidor) no era aplicable, ya que este se refiere a productos o servicios riesgosos o viciosos, no al incumplimiento de obligaciones contractuales del proveedor.

Finalmente, FCA S.A. de Ahorro para Fines Determinados fue condenada a pagar a la actora la suma de $65.000 (el 50% de los $130.000 transferidos), con intereses desde la fecha de la transferencia. Las costas del juicio se distribuyeron en un 80% a cargo de la actora y un 20% a cargo de FCA S.A. en ambas instancias, en su relación procesal.

4) Temática Novedosa en Relación a la Tecnología

La temática más novedosa de este fallo radica en la responsabilidad por la seguridad de los datos personales en el contexto de estafas virtuales. El Tribunal aborda directamente cómo una "fuga informativa" de datos, necesariamente registrados por una empresa, puede ser la puerta de entrada para ciberdelitos.

El fallo enfatiza la obligación objetiva de seguridad que recae sobre las entidades que administran bases de datos personales, según el artículo 9 de la Ley 25.326. La Cámara revierte la carga de la prueba que la primera instancia había impuesto a la víctima, estableciendo que no es la actora quien debe probar las "brechas o debilidades en los sistemas informáticos" de la demandada, sino que es carga de la empresa demostrar la "causa ajena" para liberarse de su responsabilidad objetiva por el uso ilícito de los datos. Esta interpretación moderniza la aplicación de la normativa de protección de datos frente a los riesgos tecnológicos actuales.

Además, el caso ilustra cómo las comunicaciones digitales (como WhatsApp) se han convertido en un medio frecuente para la perpetración de estafas, lo que plantea desafíos sobre la autenticidad y la seguridad de las interacciones en línea. La consideración de la "ligereza o ingenuidad" de la víctima al reaccionar a estas comunicaciones digitales también abre un debate sobre la "ciber-diligencia" del usuario promedio en el ecosistema digital.

5) Tres Preguntas a Modo de Reflexión

1. ¿Cómo pueden las empresas, en su rol de custodios de datos personales, garantizar de manera proactiva la seguridad de sus sistemas frente a las constantes evoluciones de las técnicas de ciberdelincuencia, especialmente considerando la responsabilidad objetiva impuesta por la ley de protección de datos?

2. En un entorno digital donde la suplantación de identidad y el "falsus procurator" son cada vez más sofisticados, ¿cuál es el estándar de diligencia esperable de los consumidores al verificar la autenticidad de las comunicaciones y solicitudes de pago que reciben, particularmente cuando estas se desvían de los canales habituales?

3. ¿De qué manera el marco legal actual puede balancear eficazmente la protección del consumidor frente a las estafas virtuales con la asignación equitativa de responsabilidad entre las empresas (por fallas en la seguridad de datos) y los individuos (por la falta de cautela en sus interacciones digitales)?

Acceder al fallo en Diariojudicial aquí

Nota: Contenido generado utilizando NotebookLM