Quiero empezar citando el famoso cuento infantil de la rana y el agua hirviendo para explicar lo que creo nos puede estar pasando en la República Argentina desde el 20 de marzo de 2020.

El cuento dice que: " Una rana saltó un día a una olla de agua hirviendo. Inmediatamente, saltó para salir y escapar de ella. Su instinto fue salvarse y no aguantó ni un segundo en la olla. 

Otro día, esa misma olla estaba llena de agua fría. Una rana saltó dentro y nadó tranquila por el agua de la olla. Estaba feliz en esa 'piscina' improvisada. 

Lo que la rana no sabía, es que el agua se iba calentando poco a poco. Así que al poco tiempo, el agua fría se transformó en agua templada. Pero la rana se fue acostumbrando, allí seguía, nadando plácidamente en ella. Sin embargo, poco a poco, el agua subió la temperatura. Tanto, que llegó a estar tan caliente, que la rana murió de calor. Ella, sin embargo, no se había dado cuenta, ya que el calor aumentaba de forma gradual y se iba acostumbrando a él. 

 En articulos anteriores publicados en este mismo medio venimos diciendo que por distintas acciones y omisiones de las autoridades nuestros Datos Personales, por lo tanto nuestra Privacidad, está siendo jaqueada o vulnerada, y quizás no nos estamos dando cuenta de ese peligro.

Los remito a ellos para simplificar el análisis:

1) https://www.iprofesional.com/legales/312458-el-uso-responsable-de-los-datos-personales-en-tiempo-de-coronavirus;

2) https://www.iprofesional.com/legales/312984-difusion-de-imagenes-en-cuarentena-privacidad-vs-pandemia-o-salud-publica-

3) https://www.iprofesional.com/legales/315226-que-pasa-con-el-secreto-bancario-por-datos-personales-que-recolecta-la-afip

 De modo que si no visualizamos dónde estamos podemos terminar como la rana del cuento y que sea demasiado tarde...

 App COVID19-CUIDAR

 Dicho eso, voy ahora a detenerme en el análisis de los Términos y Condiciones de la App COVID19-CUIDAR tan anunciada por el gobierno en estos últimos días.

 No está mal recordar que la Ley 25.326 de Protección de Datos Personales dice muy claro en su artículo 7 que:

 1)"Ninguna persona puede ser obligada a proporcionar datos sensibles"; 

2) "Los datos sensibles sólo pueden ser recolectados y objeto de tratamiento cuando medien razones de interés general autorizadas por ley".

3) "Queda prohibida la formación de archivos, bancos o registros que almacenen información que directa o indirectamente revele datos sensibles".

Para que quede claro:

- Nadie puede obligarnos por un DNU y/o resoluciones de inferior rango -aún en Pandemia- a proporcionar datos sensibles,

- Los datos sensibles -salud- sólo pueden ser recolectados y objeto de tratamiento… autorizados por ley…

- Se prohibe formar archivos que almacenen información que directa o indirectamente revele datos sensibles….

Está claro entonces que gobernar por DNU no está bien para ninguno de nuestros derechos, y TAMPOCO para nuestros datos personales y menos si hablamos de SENSIBLES o DE SALUD.

Como decíamos en uno de los artículos citados: ..."que el Congreso o la Justicia no estén funcionando es una combinación letal de desidia y falta de creatividad".

Que el Congreso no esté trabajando implica que no hay leyes que estén siendo sancionadas.

Si el gobierno pretende avanzar sobre nuestros derechos, en este caso la Privacidad, y "obligarnos" a proporcionar datos sensibles a una APP, al menos debe existir una ley qu e así lo regule.

Por lo tanto lo hecho hasta ahora por el gobierno con la APP COVID19-CUIDAR es -desde mi punto de vista- lisa y llanamente inconstitucional.

Términos y Condiciones APP COVID19-CUIDAR:

Ahora que hicimos esa aclaración sobre la incostitucionalidad manifiesta, vamos a ver en detalle los Términos y Condiciones de la APP ("TyC").

Sin ponerme en exquisito entiendo que los TyC deberían guardar un orden, una prolijidad, una redacción que sea acorde con la importancia de los datos que van a ser tratados con ella.

Es lamentable que se repitan conceptos, y que palabras definidas se usen con otro significado. Sinceramente creo que los TyC distan mucho de tener la técnica legislativa propia de una Aplicación que "trata" datos sensibles.

Dentro de los muchos errores y/o ilegalidades, destacamos los siguientes:

a) Se van incorporando a medida que se avanza en la lectura de los TyC distintas finalidades, casi de modo imperceptible, dando lugar a muchas finalidades, que sin dudas son muy peligrosas para el Usuario de la App-Titular de Datos.

b) A su vez, se incluyen distintos nombres de organismos que son los titulares de la APP y/o donde se archivan los datos de los usuarios que resulta a todas luces muy desprolijo.

c) Además podemos verificar una clara contradicción en los TyC en los articulos donde se menciona que "la Base de Datos está debidamente inscripta" por un lado, y luego se dice que se "constituirá una base de datos".  

Parece que los TyC se han hecho a las corridas, sin control de lectura siquiera, lo que acarrea un gravisimo perjuicio para el titular del dato.

Veamos en detalle más comentarios:

i) Apenas se comienza con su lectura, en el 2do parrafo de los TyC se dice que "el ingreso del Usuario en la Aplicación implica la aceptación inmediata y sin reserva de los presentes Términos y Condiciones".

No es una redacción feliz la que se plantea. La misma va en contra de los principios generales en materia de Protección de Datos que propone el Reglamento Europeo de Protección de Datos (RGPD).

No es una buena técnica que los TyC se oculten en un link, y mucho menos en un caso donde se van a tratar "datos de salud".

En primer lugar porque los TyC no están al alcance. El usuario debe clickear un link para poder verlos, y ademas porque el solo hecho de ingresar a la APP "no implica la aceptación inmediata y sin reserva".

Lo mencionado suena más a un caza bobos que a una redacción acorde con la importancia que la APP debiera tener.

(ii) Descripción de la APP: En el punto 1.1 cuando se describe la APP se incluyen como "finalidad" varias, de las cuales ninguna es precisa en si misma con el riesgo que ello implica.

Es por un lado una: "herramienta tecnológica que brinda información sobre diversos temas referentes a los sintomas y/o prevención del virus COVID-19"….

Sin embargo despues se dice "con la finalidad de ayudar a prevenir la propagación del virus" (supongo COVID19)…..

Y agrega "como así tambien erigirse en una fuente de información fidedigna para los Usuarios"….

(iii) El punto 1.2 no es preciso ya que siguiendo el Protocolo vigente en la materia ningun ciudadano con sintomas puede ir a "centro de salud más próximo" si no aguardar el traslado en su domicilio con unidades sanitarias especiales.

(iv) El punto 1.3 es falaz cuando dice "el Usuario podrá responder algunas preguntas relacionadas con su estado de salud y recibir orientación y/o instrucciones para ser atendido en la unidad de salud mas cercana".

Digo que es falaz porque el verbo deberia ser "deberá" responder. SI no la APP no funciona.

Además la supuesta orientación y/o instrucciones son inexistentes.

(v) En el punto 1.4 se hace referencia a que la Aplicación "utilizará las funciones de geolocalización de los dispositivos móviles (no se aclara que pasa si un Usuario bajó la APP desde la web) y agrega muchas más finalidades -que las que mencionó en el punto 1.1. - muy extensas y muy peligrosas para la privacidad del Usuario como ser que sus datos sean usados "para contribuir a investigaciones cientificas".

Conforme la doctrina de la Agencia de Acceso a la Información Pública -Autoridad de Aplicación de la Ley 25326- para que los datos de una persona sean usados con esa finalidad el Titular de los Datos debe dar un consentimiento informado especial, por escrito y no genérico como este.

(vi) El punto 1.5 agrega que "la Secretaría podrá incluír funcionalidades en la App que permitan entre otras cosas formular denuncias sobre incumplimiento de la normativa de emergencia -cual sería?- recibir asistencia online o asistencia audiovisual sobre los cuidados, etc.

Si la finalidad de la APP es el que se menciona en el punto 1.1 y el Usuario dio su consentimiento para ese, no pueden agregarse más funcionalidades sin que EL USUARIO DE SU CONSENTIMIENTO EN FORMA EXPRESA".

 (vi) El punto 2.5 llama mucho la atención.

 Ahí se dice que "será responsabilidad del Usuario mantener actualizada su información personal".

 No está claro a qué información se refiere porque el DNI y Nº Tramite del DNI de un Usuario no cambian.

 (vii) El Punto 2.6 es por demas confuso.

Se dice que la Secretaria "utlizará la información suministrada por el Usuario exclusivamente con la finalidad prevista en estos TyC".

Pero como aclaramos ut supra la finalidad inicial ya confusa, se extendió y complicó con las supuestas finalidades agregadas en los artículos siguientes, de modo que la App podría estar haciendo cosas con los datos personales sin que el Titular del Dato haya podido expresar su consentimiento, que como sabemos es la regla básica en estos casos.

(viii) En el punto 3.1 "Información contenida en la APP" se vuelve a engañar al Usuario porque dice "el contenido y/o el uso de la APP está orientada exclusivamente a informar a todas las personas sobre el virus COVID19"

En ningun lugar de la APP existe esa información. Al contrario la APP busca información personal y de salud -por lo tanto sensible- del Usuario.

(ix) El punto 4.3 llama mucho la atención y preocupa porque si estamos hablando de "datos sensibles" se supone que la base de datos debe guardar condiciones de seguridad de altísimo nivel.

De modo que no se logra entender cómo serían posibles las acciones ahí descriptas.

(x) El punto 5.2 demuestra que lo manifestado en el punto 5.1 es mentira ya que es técnicamente imposible que "la Secretaria cumpla con el principio de legalidad diciendo que la base de datos en la que se almacenarán los datos recolectados a traves de la APP se encuentra debidamente registrada".

Cómo es que la base de datos de salud COVID19 está registrada debidamente con lo que ello implica?

Han hecho futurología o acaso volcaron los datos de todos los ciudadanos en una base de datos nueva y luego harían "match" con los Usurarios que se registren?

Este punto es sumamente grave por lo que sería muy importante que se hagan aclaraciones al respecto.

(xi) En relación al anuncio que se hacen de los principios del tratamiento de datos personales por cuestiones de economia procesal me remito a lo expresado en el punto anterior y creo que sería muy oportuno que la Autoridad de Aplicación de la Ley 25326, y/o la de la APP haga una aclaración expresa de cada uno de los principios enunciados en el punto 5.2. de los tyc.

(xii) Una vez más el punto 5.3 extiende la finalidad de la APP llevando el supuesto "consentimiento del usuario" a finalidades no previstas en el inicio de la APP.

Repito que esto es engañoso y perjudicial al usuario y Titular de Datos.

(xiii) El punto 5.4 tampoco es feliz, ya que cuando en el encabezado de los TyC se define con quien interactúa el Usuario se dice que es la "Secretaria de Innovación Publica", sin embargo en este punto se dice que "los datos personales serán almacenados en una base de datos cuyo responsable es la Subsecretaria de Gobierno Abierto y Pais Digital".

Es necesario remarcar la clara contradicción de este punto 5.4 con el 5.2 que decía que "la base de datos se encuentra debidamente inscripta" y ahora en este punto se dice que "los datos serán almacenados"….

La pregunta es: "la base de datos ya existe? O se armará con los datos de los usuarios que usen la APP".

(xiv) El punto 5.5 vuelve a colocar al Usuario en una situación de indefensión gravisima ya que plantea el "supuesto de cesión indeterminada" y con finalidades no previstas aún en los mismos TyC.

Llama la atención que la Agencia de Acceso a la Información haya redactado o aprobado semejante claúsula de "cesión indeterminada" prohibida en cualquier legislación internacional, así como en cualquier contrato de cesión de datos.

(xv) En el punto 6.1 de "Responsabilidad" vuelve a cometerse otro error y se extiende aún más la "finalidad" de la APP en contra del usuario y/o titular de datos.

Llama mucho la atención que el Estado se corra del medio en cuanto a temas de responsabildad.

Claramente esa claúsula no tiene validez.

(xvi) El punto 8 vuelve a poner al usuario/titular de datos en una situación de indefensión contraria a la Ley 25326.

(xvii) Finalmente el punto 9.1 es contrario a la Ley 25326 ya que los datos personales y/o imágenes del DNI del Usuario o Titular de Datos son de su propiedad. De modo que el contenido de la APP jamas puede ser de la Secretaria.

Por todos estos motivos es que creo que la Agencia de Acceso a la Información Pública y/o la Secretaria de Innovación Publica, y/o la Subsecretaria de Gobierno Abierto deberían dar la explicaciones del caso y aclarar qué van a hacer con nuestros datos?

Y nosotros como ciudadanos deberíamos reflexionar si somos la rana del cuento o aún estamos a tiempo de "saltar" de la olla?

El tiempo dirá…

Facundo Malaureille

Socio GNM-Abogados

www.gnmabogados.com