Con motivo de la finalización de la emergencia pública en materia sanitaria a raíz del COVID-19, y a fin de resguardar los datos personales de la ciudadanía, la Secretaría de Innovación Pública, dependiente de la Jefatura de Gabinete de Ministros, informó que procedió a eliminar las bases de datos vinculadas a la app Cuidar.
En virtud de ello, y de acuerdo a lo que surge de la Disposición N° 2/2023 de dicho organismo, se dieron de baja las siguientes bases de datos:
1. Base de Datos denominada “COVID-19 - Ministerio de Salud” -Versión 1-
2. Base de Datos denominada “COVID-19 - Ministerio de Salud” -Versión 2-
3. Base de Datos denominada “COVID-19 - Ministerio de Salud” -Versión 3-
4. Base de Datos denominada “Certificado Único Habilitante para Circulación – Emergencia COVID-19” -Versión 1-
5. Base de Datos denominada “Certificado Único Habilitante para Circulación – Emergencia COVID-19” -Versión 2-
6. Base de Datos denominada “Certificado Único Habilitante para Circulación – Emergencia COVID-19” -Versión 3-
7. Base de Datos denominada “CUHC Convenio MINTRANS - NSSA”
8. Base de Datos denominada “CUHC Convenio SIP- PCIA SANTA CRUZ”
9. Base de Datos denominada “COVID-19 - Convenio MINSAL MJGM PBA 1”
10. Base de Datos denominada “COVID-19 - Convenio MINSAL MJGM PBA 2”.
11. Base de Datos denominada “COVID-19 - Convenio SSGAYPD- SSPGER
12. Base de Datos denominada “CUHC - Convenio SIYTD GCBA”
2. Base de Datos denominada “COVID-19 - Ministerio de Salud” -Versión 2-
3. Base de Datos denominada “COVID-19 - Ministerio de Salud” -Versión 3-
4. Base de Datos denominada “Certificado Único Habilitante para Circulación – Emergencia COVID-19” -Versión 1-
5. Base de Datos denominada “Certificado Único Habilitante para Circulación – Emergencia COVID-19” -Versión 2-
6. Base de Datos denominada “Certificado Único Habilitante para Circulación – Emergencia COVID-19” -Versión 3-
7. Base de Datos denominada “CUHC Convenio MINTRANS - NSSA”
8. Base de Datos denominada “CUHC Convenio SIP- PCIA SANTA CRUZ”
9. Base de Datos denominada “COVID-19 - Convenio MINSAL MJGM PBA 1”
10. Base de Datos denominada “COVID-19 - Convenio MINSAL MJGM PBA 2”.
11. Base de Datos denominada “COVID-19 - Convenio SSGAYPD- SSPGER
12. Base de Datos denominada “CUHC - Convenio SIYTD GCBA”
La medida generó polémica y provocó que el fiscal federal Guillermo Marijuán presentara una denuncia penal para que se investigue la posible responsabilidad penal de los funcionarios del gobierno nacional que tomaron esa decisión, porque implica la eliminación de posibles antecedentes de personas que hayan padecido el virus COVID-19 o utilizado estas herramientas y aplicaciones para registrar turnos de vacunación y demás datos personales que den cuenta de las políticas empleadas por el gobierno nacional para el plan de vacunación de la población del país, lo que demuestra la necesidad de que esos datos continúen siendo resguardados, máxime cuando aún se sigue convocando a la población a que continúe y/o complete el plan de vacunación relacionado con el COVID.
Por otra parte, y aunque en los considerandos la Resolución diga que a fin de dar de baja las bases de datos involucradas en la aplicación y suprimir de manera definitiva e irreversible los datos allí contenidos se iniciarán los trámites pertinentes ante la Dirección Nacional de Protección de Datos Personales de la Agencia de Acceso a la Información Pública, la norma dictada no cumple con lo establecido por el art. 22, inciso 3 de la Ley 25.326 de Protección de Datos Personales que expresamente establece que "en las disposiciones que se dicten para la supresión de los registros informatizados se establecerá el destino de los mismos o las medidas que se adopten para su destrucción".
Cabe destacar que el punto 5 de la "Política Modelo de Protección de Datos Personales para Organismos Públicos" aprobada por la Resolución AAIP 10/2018 indica que cuando hayan dejado de ser estrictamente necesarios o pertinentes a los fines de la competencia del organismo público a cargo de un tratamiento de datos personales, los datos deben ser destruidos o archivados conforme a la normativa de la DNPDP/AAIP, por lo que, como mínimo, deberán implementarse las medidas de seguridad recomendadas para el tratamiento y conservación de los datos personales en medios informatizados y no informatizados aprobadas por la Resolución AAIP 47/2018 que, en su punto "F-Destrucción de la información", establece que los procesos de eliminación de datos deben asegurar que el contenido confidencial sea debidamente destruido, utilizando métodos de borrado seguro y aplicando un control eficaz del proceso.
Las medidas que dicha norma sugiere implementar son las siguientes:
- Asegurar la destrucción de la información, estableciendo un procedimiento seguro de destrucción de datos que identifique el tipo de información a destruir, el medio que la contiene, al responsable de la destrucción, y la descripción del proceso y método utilizado que asegure el borrado total de la información o la destrucción total del soporte, sin posibilidad de recuperación teniendo como premisas la irreversibilidad, la seguridad y la confidencialidad.
- Monitorear el proceso, con un inventario que identifique los medios destruidos y el responsable de hacerlo.
- Descartar los medios magnéticos, implementando un proceso de destrucción lógico de reescritura continua, de modo que los datos originales no puedan ser recuperados, pudiendo reutilizar el medio magnético.
- En caso de no poder realizar el proceso de destrucción lógica, implementar un proceso de destrucción física utilizando técnicas de desmagnetización, desintegración, incineración, pulverización, trituración o fundición.