por qué es difícil asegurar su cumplimiento y cuáles son los riesgos

La Cámara en lo Contencioso Administrativo Federal le ordenó esta semana al Poder Ejecutivo borrar la base de datos de la aplicación CUID.AR, utilizada durante la pandemia desde 2020 para gestionar el pase sanitario, circular y administrar datos sobre vacunación y testeos de COVID-19.

Pero, además, el Gobierno de Alberto Fernández había dictado una decisión administrativa que sostenía que las jurisdicciones, entidades y organismos de la Administración Pública Nacional debían “transferir, ceder o intercambiar” los datos de los ciudadanos, que llegaban a su vez a la Jefatura de Gabinete de Ministros, en una afectación a la privacidad y una potencial multiplicación de las posibilidades de filtraciones de datos.

Los datos personales son un activo valioso, aunque el ciudadano promedio no lo tenga en cuenta. Con ellos se pueden cometer múltiples ciberdelitos, desde la suplantación de identidad, que puede usarse para conseguir accesos no autorizados a sistemas y servicios como el home banking, hasta aprovecharlos para realizar ingeniería social (“el cuento del tío”).

La transversalidad de la información personal manejada por CUID.AR generó un amparo colectivo en mayo de 2023, por parte de la asociación civil Observatorio de Derecho Informático Argentino (O.D.I.A.) y una ciudadana (Eliana Andrade), que demandaron que se borraran estos datos que, al día de hoy, siguen almacenados y disponibles.

Durante el período que duró la pandemia, los datos de la aplicación se podían compartir entre todas las jurisdicciones del país, lo cual incrementó la posibilidad de que los datos puedan terminar en las manos equivocadas. La app almacenaba datos personales como nombre completo, número de DNI, dirección de residencia, permisos de circulación y certificados de vacunación.

No es menor recordar la gran cantidad de filtraciones de datos que hubo estos años: sólo por mencionar los más resonantes, Renaper y licencias de conducir este 2024, PAMI en 2023, Ministerio de Salud en 2022, Renaper -otra vez- en 2021 y Migraciones en 2020.

El lunes pasado, la Sala IV de la Cámara aceptó el amparo colectivo, que apuntaba a que la base de datos de la app tenía fines sanitarios mientras durara la emergencia sanitaria, período que ya concluyó. También se resaltó que los datos se compartían sin el consentimiento de los usuarios.

En marzo del año pasado, la Subsecretaría de Servicios y País Digital había dado de baja los registros. Sin embargo, no se habían tomado medidas en relación a eliminar los datos almacenados.

“La Cámara revocó esta semana la sentencia de grado, ordenando el cese de la transferencia de datos recopilados a través de la app CUID.AR por los diferentes organismos de la Administración Pública Nacional hacia la Jefatura de Gabinete conforme lo establecía la Decisión Administrativa N° 431/2020 del Jefe de Gabinete de Ministros de la Nación”, explicó Lucas Barreiro, abogado especialista en protección de datos personales.

La aplicación tuvo sentido durante la emergencia sanitaria, donde el Estado tuvo que gestionar permisos sanitarios y tener un control poblacional por el manto de la pandemia. “En lo que aquí concierne, la cesión de los datos personales recolectados por la app ‘CuidAR’ se hacía al amparo de una obligación legal fundamentada en la emergencia sanitaria del COVID-19. Aunque la norma legal proporcione el marco habilitante para la cesión de los datos, esto no exime a los responsables de cumplir con los principios rectores del tratamiento de datos personales”, explica el especialista.

“Son especialmente relevantes los principios de necesidad, proporcionalidad y, agrego, la temporalidad. Al levantarse la situación de emergencia sanitaria, parecería que todos los datos personales recolectados o cedidos con esa finalidad, dejan de ser pertinentes y necesarios”, agregó Barreiro.

Una de las asociaciones de la sociedad civil que fue clave en este proceso fue O.D.I.A., entidad que tiene un historial en advertir sobre violaciones a derechos de ciudadanos (como el reconocimiento facial en la Ciudad de Buenos Aires).

“Esta sentencia de la Cámara Federal constituye un eslabón más en la construcción de herramientas procesales idóneas para garantizar la efectividad de los Derechos Fundamentales ante los nuevos escenarios desplegados por la digitalización de nuestras vidas”, opinó en diálogo con Clarín Tomás Pomar, abogado y miembro del Observatorio.

“El pronunciamiento constituye el primer caso en que se logra la ‘supresión colectiva de datos’. Esto, más allá de los aspectos procesales, también invita a repensar y redefinir los contornos de aquello que aún entendemos como ‘datos personales’ en esta realidad cada vez más definida por las herramientas que hacen procesamientos de grandes cantidades de datos«, agregó.

“Por otro lado, en cuanto a los argumentos empleados por la Sala V consideramos muy positivo que haya jueces que, por ejemplo, tengan conocimiento de los distintos modos de borrado. La rápida expansión de la digitalización de nuestras vidas nos ha empujado a todos los operadores jurídicos a posar nuestra mirada sobre cuestiones que antes no tenían sustancialidad jurídica alguna”, cerró.

En este sentido, hay consenso desde la protección de datos en que el fallo es un paso adelante. Complementó Barreiro: «Este fallo es trascendental, porque no solo ordena el cese del tratamiento de datos personales entre las dependencias del Estado y la supresión de los datos obrantes en su poder, también reconoce una acción colectiva en defensa del derecho a la privacidad«.

Clarín consultó a fuentes cercanas a una dependencia estatal que maneja grandes volúmenes de datos y explicaron cómo es el proceso de borrado de datos, en un contexto donde la información no se almacena solamente en computadoras dentro de las oficinas del Gobierno, sino también en la nube (servidores remotos que se pagan como servicio).

Si bien desde hace años hay un esfuerzo por mover los sistemas a la nube de ARSAT, los grandes jugadores a nivel local son los mismos que dominan el mercado global, como AWS de Amazon y Azure de Microsoft.

“Para borrar la información se usan todos los mecanismos clásicos del Estado. Auditorías internas y externas, observadores, un equipo de gente. Ahora, ¿asegurar que se borren 100% los datos? Imposible. Lo único que se puede hacer es, si eventualmente se filtran esos datos, buscar a los responsables. Pero quizás esa información ya se filtró y está dando vueltas en canales como Telegram”, advirtieron.

En este sentido, el borrado de la información no sólo tiene que ver con una cuestión de resguardo de los ciudadanos, sino también de recursos del Estado: la información ocupa lugar. Y lugar es plata.

“Borrar la información también está bien por un tema de recursos, no sólo por protección de datos de los ciudadanos. Pero imaginate que quedó alguna herramienta operacional que hace backups y no se acordaron de borrarlo: ya está, la información está. Sinceramente, es casi imposible asegurar que se borre completamente la información”, advirtió una fuente técnica.

Según expertos del área, la gran diferencia la hace el diseño de los sistemas. “Todo el punto es el diseño: si de entrada tenés sistemas de bases de datos con información que tiene en el horizonte que será borrada, con tales resguardos, antes de que se empiece a usar la programás con la eliminación en mente. Eso no suele hacerse”, agregaron.

En cuanto a los datos sanitarios, hay una particularidad que complejiza el control sobre los datos. “Sumale a eso que Salud tuvo la mayor cantidad de problemas graves porque tercerizaron una parte importante del desarrollo. La dirección nacional de ciberseguridad debería servir para estas cosas. Tiene que haber una agencia nacional de ciberseguridad que siga estos temas”, cerraron.

Si a esto se suma la enorme cadena de suministro que hubo durante la pandemia entre las proveedoras telefónicas (el seguimiento de ciudadanos se hacía por SMS), las cadenas hoteleras que alojaban a ciudadanos en cuarentena y otras entidades privadas, esos datos que manejó la app CUID.AR ya están en circulación en esferas cuyo control se escapa completamente.

Argentina, por el momento, no tiene una Agencia Nacional de Ciberseguridad, como sí tienen otros países que son referencia en este terreno, desde Estados Unidos hasta Gran Bretaña. En América Latina, Chile está construyendo un centro de ciberseguridad a nivel nacional, y Perú tiene un Centro Nacional de Seguridad Digital (que es, a fin de cuentas, un CERT/CSIRT).

Más allá de esto, los datos no se borran de manera inmediata. Desde la notificación de la sentencia, el Poder Ejecutivo tiene 10 días hábiles para interponer un recurso extraordinario federal que, de ser concedido por la Cámara, el expediente iría a la Corte Suprema.

Si no se interpone ningún recurso, la sentencia quedará firme, el expediente volverá a primera instancia y quedará listo para su ejecución. En ese caso, los datos tendrán que ser, al menos desde lo institucional, borrados para siempre.

En la práctica, es muy probable que esos datos ya estén en las manos equivocadas.