¿Cuál era el problema?
Durante la pandemia de COVID-19, el Gobierno nacional creó la Unidad de Coordinación General del Plan Integral para la Prevención de Eventos de Salud Pública, otorgándole facultades excepcionales para acceder y tratar datos provenientes de todas las bases de datos del Estado.
Esta habilitación se basó en la excepción del artículo 5.2.b de la Ley 25.326, que permite prescindir del consentimiento en situaciones de emergencia sanitaria. El resultado fue la construcción de un sistema de integración estatal sin precedentes, que centralizó datos personales sensibles —información de salud, geolocalización, movilidad, contactos con el sistema sanitario— sin consentimiento expreso y sin controles públicos transparentes.
Una vez cesada la declaración de pandemia, esa finalidad sanitaria excepcional dejó de existir. Sin embargo, los accesos, las bases de datos y los volúmenes de información sensibles recolectados durante la emergencia continuaron almacenados y disponibles, aun cuando la justificación legal que había permitido su tratamiento ya había caducado.
Esto generó un escenario riesgoso: un conjunto masivo de datos sensibles, centralizados y sin consentimiento, mantenidos sin finalidad vigente y sin garantías de supresión.
¿Qué desafío se planteó?
ODIA promovió un amparo colectivo con tres objetivos centrales:
- exigir transparencia sobre qué datos habían sido integrados, qué organismos accedieron a ellos y bajo qué criterios.
- requerir la eliminación física de toda la información tratada bajo la excepción del art. 5.2.b una vez extinguida la finalidad sanitaria.
- obligar al Estado a rendir cuentas sobre la metodología de borrado, incluyendo el proceso técnico previsto, las garantías aplicables y los mecanismos de verificación independientes.
Es decir, no sólo se pidió que los datos fueran eliminados, sino que el Estado explicara cómo lo haría y bajo qué estándares, dado que la supresión de datos personales exige procedimientos técnicos auditables para impedir su reconstrucción o reutilización.
¿Qué resolvió la Justicia?
En junio de 2024, la Sala V de la Cámara en lo Contencioso Administrativo Federal dictó un fallo sin precedentes: reconoció la legitimación activa de ODIA para promover la acción colectiva y, sobre esa base, ordenó al Estado el “borrado integral” de las bases de datos generadas por la app CUID.AR y por los sistemas asociados al COVID-19.
El tribunal sostuvo que el tratamiento masivo y no consentido de datos durante la pandemia configuraba una afectación de carácter colectivo, y que organizaciones especializadas como ODIA están habilitadas para representarla judicialmente. Este reconocimiento fue determinante para que la acción pudiera prosperar y para afirmar que la protección de datos también puede ser defendida en clave colectiva.
Asimismo, la Cámara concluyó que la excepción del art. 5.2.b no podía extenderse más allá de la emergencia y que conservar los datos una vez cesada la declaración de pandemia violaba los principios de finalidad, proporcionalidad, minimización y la exigencia de consentimiento expreso. Finalmente, instruyó al Estado a implementar un proceso de eliminación que impidiera cualquier reutilización futura de la información.
Recursos y cobertura
