App CUID.AR

Cronología del caso

23 de marzo de 2020

El Estado habilita el intercambio excepcional de datos

Con la Decisión Administrativa 431/2020, el Gobierno habilitó la transferencia, cesión e intercambio de datos entre organismos públicos durante la emergencia sanitaria. CUID.AR pasó a integrarse a un sistema estatal más amplio, con circulación de información sanitaria y personal sin el estándar ordinario de consentimiento expreso.
4 de agosto de 2020

Obtuvimos respuestas oficiales sobre el alcance real del sistema

Las respuestas a nuestro pedido de acceso a la información confirmaron varios puntos críticos: millones de personas registradas, uso de geolocalización en ciertos supuestos, cesiones a autoridades sanitarias nacionales y provinciales, y alojamiento en infraestructura de AWS en Estados Unidos. También quedó asentada la promesa oficial de borrar los datos sensibles cuando terminara la emergencia.
marzo de 2023

La propia administración admite que la finalidad excepcional se agotó

La Subsecretaría de Servicios y País Digital dispuso suprimir la aplicación y dar de baja once bases vinculadas al COVID-19. Ese paso fue importante, pero no resolvía el problema central: qué pasaba con la información ya transferida, todavía disponible y recolectada bajo una justificación extraordinaria que había dejado de existir.
septiembre a noviembre de 2023

La primera instancia rechaza la cautelar y luego el amparo

En 2023 promovimos el amparo colectivo. La cautelar fue desestimada el 7 de septiembre y la demanda fue rechazada el 8 de noviembre, con el argumento de que no había arbitrariedad manifiesta y de que el consentimiento prestado al usar la app alcanzaba para justificar el esquema de circulación de datos.
6 de junio de 2024

La Cámara revoca, reconoce la acción colectiva y ordena el borrado integral

La Sala V revocó el rechazo, reconoció la legitimación colectiva de ODIA y ordenó la eliminación integral de las bases de CUID.AR y sistemas asociados al COVID-19. El punto decisivo fue que la excepción sanitaria no podía sobrevivir al fin de la emergencia: sin finalidad vigente, conservar esos datos violaba los principios de finalidad, proporcionalidad y consentimiento, y el borrado debía impedir cualquier reutilización futura.

¿Cuál era el problema?

Durante la pandemia de COVID-19, el Gobierno nacional creó la Unidad de Coordinación General del Plan Integral para la Prevención de Eventos de Salud Pública, otorgándole facultades excepcionales para acceder y tratar datos provenientes de todas las bases de datos del Estado.

Esta habilitación se basó en la excepción del artículo 5.2.b de la Ley 25.326, que permite prescindir del consentimiento en situaciones de emergencia sanitaria. El resultado fue la construcción de un sistema de integración estatal sin precedentes, que centralizó datos personales sensibles —información de salud, geolocalización, movilidad, contactos con el sistema sanitario— sin consentimiento expreso y sin controles públicos transparentes.

Una vez cesada la declaración de pandemia, esa finalidad sanitaria excepcional dejó de existir. Sin embargo, los accesos, las bases de datos y los volúmenes de información sensibles recolectados durante la emergencia continuaron almacenados y disponibles, aun cuando la justificación legal que había permitido su tratamiento ya había caducado.

Esto generó un escenario riesgoso: un conjunto masivo de datos sensibles, centralizados y sin consentimiento, mantenidos sin finalidad vigente y sin garantías de supresión.

¿Qué desafío se planteó?

ODIA promovió un amparo colectivo con tres objetivos centrales:

exigir transparencia sobre qué datos habían sido integrados, qué organismos accedieron a ellos y bajo qué criterios.
requerir la eliminación física de toda la información tratada bajo la excepción del art. 5.2.b una vez extinguida la finalidad sanitaria.
obligar al Estado a rendir cuentas sobre la metodología de borrado, incluyendo el proceso técnico previsto, las garantías aplicables y los mecanismos de verificación independientes.

Es decir, no sólo se pidió que los datos fueran eliminados, sino que el Estado explicara cómo lo haría y bajo qué estándares, dado que la supresión de datos personales exige procedimientos técnicos auditables para impedir su reconstrucción o reutilización.

¿Qué resolvió la Justicia?

En junio de 2024, la Sala V de la Cámara en lo Contencioso Administrativo Federal dictó un fallo sin precedentes: reconoció la legitimación activa de ODIA para promover la acción colectiva y, sobre esa base, ordenó al Estado el “borrado integral” de las bases de datos generadas por la app CUID.AR y por los sistemas asociados al COVID-19.

El tribunal sostuvo que el tratamiento masivo y no consentido de datos durante la pandemia configuraba una afectación de carácter colectivo, y que organizaciones especializadas como ODIA están habilitadas para representarla judicialmente. Este reconocimiento fue determinante para que la acción pudiera prosperar y para afirmar que la protección de datos también puede ser defendida en clave colectiva.

Asimismo, la Cámara concluyó que la excepción del art. 5.2.b no podía extenderse más allá de la emergencia y que conservar los datos una vez cesada la declaración de pandemia violaba los principios de finalidad, proporcionalidad, minimización y la exigencia de consentimiento expreso. Finalmente, instruyó al Estado a implementar un proceso de eliminación que impidiera cualquier reutilización futura de la información.