La Cámara de Representantes Administrativos Federales fue ordenada esta semana por el poder ejecutivo Borrar la base de datos de la aplicación CUID.ARutilizado durante la pandemia desde 2020 para gestionar el pase sanitario, circular y administrar datos de vacunación y pruebas COVID-19.
Pero, además, el gobernador de Alberto Fernández había dictado una decisión administrativa que respaldaba a las jurisdicciones, entidades y órganos de la administración pública nacional. “transferir, ceder o intercambiar” datos de ciudadanosque se les anuncia en la Jefatura de Gabinete de Ministros, con un impacto en la privacidad y una potencial multiplicación de las posibilidades de filtración de datos.
Los datos personales son un activo valioso, pero la ciudad aún no lo ha tenido en cuenta. Con ellos puedes encontrar múltiples informantes cibernéticos, empezando por la suplantación de identidad, que puedes utilizar para obtener acceso no autorizado a sistemas y servicios como el home banking, que has aprobado para llevar a cabo la ingeniería social (“la cuenta laboral”).
La transversalidad de la información personal manejada por CUID.AR generó un amparo colectivo en mayo de 2023, por parte del partido asociación civil Observatorio Argentino de Derecho Informático (ODIA) y una ciudadana (Eliana Andrade), que exige que esos datos sean solicitados, hoy, si están disponibles.
Durante la pandemia, los datos de las solicitudes se pueden comparar entre jurisdicciones de todo el país, lo que aumenta la posibilidad de que los datos terminen en manos cuestionables. La aplicación guarda sus datos personales como número completo, número de DNI, dirección de residenciapermisos de circulación y certificados de vacunación.
No importa registrar la gran cantidad de filtración de datos de estos años: solo mencionar los más resonantes, Renaper y licencias de conducir este 2024, PAMI en 2023, Ministerio de Salud en 2022, Renaper -otros tiempos- en 2021 y Migraciones en 2020.
El mes pasado, la Sala IV de la Cámara aceptó el amparo colectivo, que se aplica a la base de datos de la solicitud que sostiene Multas sanitarias mientras dure la emergencia sanitaria., período en el que concluyó. También se decide que los datos se compartirán sin el consentimiento de los usuarios.
En marzo del año pasado, la Subsecretaria de Servicios Digitales y País bajó los registros. Sin embargo, no es posible tomar ninguna medida en relación con borrar los datos grabados.
“La Sala recordó esta semana la sentencia de grado, ordenando la transferencia de los datos copiados a través de la aplicación CUID.AR por los distintos órganos de la Administración Pública Nacional, dando cumplimiento la Jefatura de Gabinete a lo establecido en la decisión administrativa N° . 431/2020 de la Jefatura de Gabinete de Ministros de la Nación”, explicó Lucas Barreiro, abogado especialista en protección de datos personales.
Una Victoria por el respeto a los datos personales
La aplicación goza de gran popularidad durante la emergencia sanitaria, donde el Estado gestiona las autorizaciones sanitarias y garantiza el control público en caso de pandemia. “Hoy, la transmisión de datos personales recopilados por la aplicación 'CuidAR' se ve reforzada por una obligación legal fundamental debido a la irrupción sanitaria del COVID-19. Incluso si la norma legal establece el marco habilitante para la transferencia de datos, esto no exige que los responsables cumplan con los principios rectores del tratamiento de datos personales”, explicó el experto.
“Es particularmente relevante para los principios de necesidad, proporcionalidad y, además, la temporalidad. “A nivel de la situación de emergencia sanitaria, garantizar que todos los datos personales recabados o recabados con esta finalidad, sean pertinentes y necesarios”, añadió Barreiro.
Una de las asociaciones de la sociedad civil involucradas en este proceso fue ODIA, entidad que tiene un historial de denuncia de violaciones a los derechos ciudadanos (como el reconocimiento facial en la ciudad de Buenos Aires).
“Esta sentencia de la Cámara Federal constituye un trabajo más profundo en la construcción de procesos de herramientas ideales para garantizar la efectividad de los derechos fundamentales ante los nuevos escenarios agotados por la digitalización de nuestras vidas», opinó en diálogo con Clarín Tomás Pomar, abogado y miembro del Observatorio.
“El pronunciamiento constituye el primer caso en el que se produce la “supresión colectiva de datos”. Esto, además de los aspectos de los procesos, también invita a reparar y redefinir los contornos de todo lo que entendemos como “datos personales” en esta realidad cada vez más definida por las herramientas que tienen los procesos de grandes cantidades de datos«, ha añadido.
“Además, respecto a los argumentos empleados por la Sala V, consideramos muy positivo que sean jueces que, por ejemplo, tengan conocimiento de las distinciones modos de borrado. La rápida expansión de la digitalización de nuestras vidas ha sido comprometida por todos los operadores jurídicos a nuestra disposición en cuestiones que antes no tenían viabilidad jurídica”, afirmó.
En este sentido, hay consenso en materia de protección de datos para que la caída sea un paso más. Complemento de Barreiro: “Esta caída es trascendental, porque no es posible ordenar el tratamiento de datos personales entre las dependencias del Estado y la supresión de datos obrantes en su poder, reconociendo al mismo tiempo una acción colectiva. en defensa del derecho a la privacidad«.
¿Realmente recuperaste los datos?
Clarín Consultar fuentes de información sobre la dependencia del manejo de grandes volúmenes de datos y explicar cómo es el proceso de recolección de datos, en un contexto donde la información no se almacena solo en computadoras dentro de oficinas gubernamentales, sino también en la nube (servicios remotos que son paganos como servicio).
Tan bueno durante años que hay espacio para mover sistemas en el corazón de ARSATLos grandes actores a nivel local son los mismos que dominan el mercado global, como AWS de Amazon y Azure de Microsoft.
“Para obtener información utilizar todos los mecanismos clásicos del Estado. Público interno y externo, observadores, un equipo de personas. Ahora, ¿Cómo garantizar que los datos se recuperen al 100%? Imposible. El único que puede asegurar que, si finalmente se filtran estos datos, será atendido por sus responsables. Pero pedí que se filtrara esa información y la vi en canales como Telegram”, añadió.
En ese momento, el Borrado de la información no es el único que responde a una cuestión de seguridad ciudadana, sino también de recursos del Estado: la información ocupa un lugar. Y eso es dinero.
«La información de Borrar también es buena para un tema de recursos., no sólo para la protección de datos de los ciudadanos. Pero me imagino que tengo una herramienta operativa que hace respaldos y que no hay acuerdo sobre el respaldo: ahí está la información. Sinceramente, es imposible garantizar que proporciones la información completa”, dijo una fuente técnica.
Según expertos en la materia, la gran diferencia radica en el diseño de los sistemas. “La cuestión es el diseño: si ingresas a sistemas de bases de datos con información que tiene en el horizonte, qué se tomará prestado, con historias de seguridad, antes de usarlo, para usarlo. Programa de eliminación mental. Eso no suele hacerse”, añade.
En cuanto a los datos de salud, hay una particularidad que complementa el control de datos. “Creo que Salud tuvo la mayoría de los problemas graves porque tercerizaron una parte importante del desarrollo. Para estas cosas hay que recurrir al departamento nacional de ciberseguridad. Quieres hacerlo una agencia nacional de ciberseguridad que siga estos temas”, cerraron.
Si se trata de una enorme cadena de negocios que se desarrolla durante la pandemia entre proveedores de telefonía (el seguimiento de los ciudadanos se realiza por SMS), cadenas hoteleras que se dirigen a los ciudadanos actuales y otras entidades privadas, son estos datos los que gestiona la aplicación. CUID.AR está en circulación y el control se escapa por completo.
Argentina, por el momento, no cuenta con una Agencia Nacional de Seguridad Social, como otros países que son su referente en esta tierra, desde Estados Unidos hasta Gran Bretaña. En América Latina, Chile está construyendo un centro nacional de seguridad de la información y Perú tiene un centro nacional de seguridad digital (que es, en última instancia, un CERT/CSIRT).
Pero nuevamente, los datos no se toman de inmediato. Desde la notificación de la sentencia, el Poder Ejecutivo tendrá 10 días para intervenir en un recurso federal extraordinario que será concedido ante la Sala, el expediente pasará a la Corte Suprema.
Si no interviene recursivamente, la sentencia deberá cerrarse, el expediente será en primera instancia y se listará para su ejecución. En este caso los datos tenderán a ser, al menos de los institucionales, siempre aparece Borrados.
En la práctica, es muy probable que estos datos sean Estaba en manos equivocadas.