El 23 de julio del 2020 la Agencia de Acceso a la Información Pública, a través de su Dirección Nacional de Datos Personales (DNPDP), emitió un informe respecto de su investigación de oficio iniciada a la Subsecretaría de Gobierno Abierto y País Digital y la Secretaría de Innovación Pública, y concluyó que no se evidencian conductas en la app que puedan resultar violatorias de la Ley N.º 25326 de Protección de Datos Personales (en adelante, ley de datos personales).

La investigación se originó debido a la implementación de la aplicación Cuidar (o app Cuidar) que, por un lado, procura prevenir la propagación del coronavirus a través del autodiagnóstico y la asistencia médica inmediata y, por otro, es un medio para tramitar el Certificado Único Habilitante para Circular (en adelante, el certificado). El informe analiza los distintos puntos que hacen a la legalidad para el tratamiento de los datos personales, como ser, las bases legales para la recolección de los datos, principios de seguridad, principio de calidad de los datos, plazos de conservación, transferencia internacional, entre otros. Entre los distintos puntos analizados, mencionamos los siguientes:

Seguridad y validación de la identidad de los usuarios. La DNPDP considera que los mecanismos que implementa la app Cuidar para validar la identidad del usuario son adecuados y dan cumplimiento al principio de seguridad contemplado en el artículo 9 de la ley de datos personales. Sin embargo, señala que esta requiere, para validar la identidad del usuario, su número de documento nacional de identidad y el número de trámite. En el mismo sentido, el informe señala que, en el año 2019, hubo una falla de seguridad en los sistemas del entonces Ministerio del Interior, que dio lugar al acceso no-autorizado a los documentos de identidad de miles de ciudadanos argentinos. Por esto, recomienda que se evalúe la implementación de una medida de verificación de la identidad que sea independiente del documento de identidad y su número de trámite.

Por otro lado, y luego de listar las medidas de seguridad adoptadas en la app, la DNPDP recomendó la implementación de las medidas de seguridad recomendadas que establece la Resolución AAIP N° 47/2018. Señala que dichas medidas deben ser tenidas en cuenta en el desarrollo continuo de la app.

Principio de proporcionalidad. La DNPDP recuerda que el principio de proporcionalidad implica que la información recolectada por el responsable debe ser la estrictamente indispensable para que realice sus fines y no debe exceder el ámbito de dichos fines. Por otro lado, recuerda que la ley de de datos personales exige que las operaciones de tratamiento guarden un equilibrio entre la magnitud de la afectación a la privacidad de las personas y la legitimidad de las finalidades pretendidas.

Sobre esto, y teniendo en cuenta los dos fines de la app (facilitar una evaluación sintomatológica del usuario y tramitar el certificado necesario para transitar entre jurisdicciones), la ley sostiene que el procesamiento de síntomas consistentes con la enfermedad COVID-19, así como de la ubicación y el número de teléfono del usuario, guardan una relación proporcional con el propósito de evaluar si dicho usuario constituye o no un perfil sospechoso y, en caso de que así lo sea, procurar su contacto con las autoridades sanitarias. Sin embargo, en lo que al certificado refiere, entiende que la recolección del número de teléfono, la dirección de correo electrónico, la modalidad de vehículo utilizado y el código de barras del Certificado Único de Discapacidad, no son datos proporcionales para habilitar ni entregar el certificado.

Datos a las fuerzas de seguridad. En relación con el certificado, la DNPDP considera que la cesión de datos personales a los agentes de las fuerzas de seguridad constituye una cesión lícita y proporcional bajo la ley de datos personales, siempre y cuando los datos revelados no excedan la finalidad de controlar el tránsito en la vía pública.

Finalmente, la DNPDP destaca que la app Cuidar no realiza un monitoreo en tiempo real de la geolocalización de los usuarios y que, en su caso, ello significaría una mayor intrusión en la privacidad de las personas, lo que requeriría una cuidadosa justificación legal.

Por Gustavo P. Giay, Diego Fernández y Manuela Adrogue