Cuid.AR: El persistente descuido de los datos personales

Por SILVANA GIUDICI / Presidenta de la Fundación Led

Reeditando los interrogantes surgidos durante el año 2020 y que nunca fueron contestados, volvemos a llamar la atención sobre la improvisación en el manejo de las bases de datos y registro de la información privada de millones de argentinos compelidos a utilizar la app Cuid.AR.

Nuevamente, sin mediar norma que habilite al gobierno a imponer de modo obligatorio el uso de las aplicaciones de trackeo de contagios por Covid-19, se comunica que a partir del 1° de enero será necesario tramitar un certificado o autorización para la asistencia a eventos masivos en la página web de la Presidencia de la Nación.

Sin discutir la efectividad de la medida desde el punto de vista epidemiológico o el impacto sobre el aumento de contagios a partir de la asistencia a eventos masivos, ni abordar aquí el debate sobre los alcances de estas medidas restrictivas sobre los derechos humanos o las libertades individuales, propongo analizar nuevamente el riesgo que supone la utilización de esta herramienta sobre el resguardo de nuestros datos personales.

Encuesta: Cómo está la intención de voto duro y blando para 2023

Un informe realizado por la Fundación LED Libertad de Expresión + Democracia, durante el 2020, demostró las vulnerabilidades de la app Cuid.AR desarrollada por la Secretaría de Innovación Pública. En el principio de la pandemia los ciudadanos no fueron advertidos, al descargar la aplicación en su celular, que la activación de la geolocalización (ubicación) era obligatoria y sin aceptación previa ni solicitud de permiso durante la descarga. De esta manera, al recabar la ubicación y movimientos de las personas se convertía en un seguimiento personal, que excedía en mucho las facultades del Estado y convertía en inconstitucional la medida. Luego de la polémica y de las denuncias de especialistas, ong’s y diputados de la oposición, se exhibieron y modificaron los términos de aceptación de servicio, pero nunca fue aclarado de modo taxativo la NO obligatoriedad de la descarga de Cuid.AR para circular por el país.

El común denominador de las apps de trackeo de contagios radica en la necesidad de contar con información epidemiológica, evolución de la enfermedad, ubicación por zona geográfica de las olas de contagio e información cuantitativa de población afectada. Al utilizar estas aplicaciones para otorgar los permisos de circulación, se alojaron en los mismos servidores datos obligatorios que se extrajeron a los ciudadanos sin ningún respaldo normativo. La información clínica de cada persona, sus antecedentes médicos, sus datos laborales, sus datos fiscales y de parentesco y hasta los datos de la tarjeta SUBE. Esta formidable acumulación de información sobre cada ciudadano no había sido, hasta la aparición de la pandemia, reunida en un mismo sistema al que se accede a través de una aplicación descargada en millones de celulares al mismo tiempo, desarrollada y administrada por distintas oficinas del Estado.

Encuesta: Qué dirigente opositor está mejor posicionado

Las alarmas que señalamos en el informe publicado en el año 2020 lamentablemente no fueron atendidas y sucedieron las fallas. Nunca, a pesar de haberse comprometido el gobierno, se publicó el código fuente de la APP, ni se aclaró en la difusión de la misma, que la descarga y portación en los celulares era optativa. Los certificados de vacunas pueden exhibirse desde la app MI ARGENTINA, y los certificados de circulación, que fueron obligatorios durante las primeras fases de la pandemia, podían imprimirse desde la página web de Presidencia. Es sorprendente que un año después, la población vuelva a ser obligada a descargar nuevamente la app para exhibir datos en sus celulares que comprometen la preservación de su información privada, sin haberse aclarado nunca donde está almacenada toda la información original, quien dispone de ella y para que están siendo utilizados los datos de filiación o circulación recogidos durante los dos últimos años.

Los términos sobre la no obligatoriedad de la APP Cuid.AR nunca fueron claramente informados. Hoy mismo en la publicación oficial que anuncia la implementación del nuevo certificado de circulación exigido para acceder a los eventos masivos, se anuncia: “Una vez completados todos los datos se emitirá el Certificado que deberá llevarse en la aplicación Cuidar”. Sin opción a la vista en el anuncio, cada persona que asista a una cancha, o a un festival deberá desinstalar y volver a instalar en su celular una versión de prueba de la app Cuid.AR que, además, aún no está terminada.

https://seccionciudad.com.ar/encuesta-como-esta-la-imagen-de-los-principales-referentes-politicos/

Las gravísimas filtraciones y hackeos de las bases de datos de migraciones y del RENAPER que se sucedieron recientemente dejando expuestos a millones de DNI con imagen y datos personales, tampoco fueron aclaradas oficialmente. Los pedidos de informes elaborados por legisladores y distintas ONG’s no fueron respondidos, pero se pudo saber que la mayor filtración de la base Renaper habría sucedido a través de una VPN ubicada en el Ministerio de Salud, es decir, alguien con un permiso para ingresar a la base de modo remoto, habría accedido y expuesto a la venta miles de registros con información personal sensible. Para el funcionamiento de la aplicación, cientos de empleados, soportes técnicos, personal de salud, administradores, supervisores, funcionarios de distinto rango operan diariamente sobre el back y el front de la aplicación. La improvisación, la ausencia de encriptación de la información y la falta de doble validación de perfiles y permisos para el acceso al pull de servidores del sector público, o privado (como el espacio en la nube de Amazon o Google), donde algunos de los datos personales quedaron alojados, fueron y siguen siendo el marco perfecto para la INSEGURIDAD de nuestra información privada.

La versión beta de la nueva APP Cuid.AR exigida a partir del año nuevo reemplaza a la última versión (3.5.6), que incluye además del rastreo de contactos, la gestión de permisos y certificados. Entre la escasa información pública que está disponible puede advertirse que las versiones beta, o en desarrollo, contienen mucho código de depuración suelto lo que aumenta la vulnerabilidad de la app y la posibilidad de errores. Debido al apuro en el desarrollo seguramente muchos de esos errores y baches de seguridad permanecerán en la versión del 1° de enero. Estructuralmente, se organizó el código para que pudiera también manejar “permisos de vacaciones”, información sobre vacunas, el estado de “salud” actual del usuario más el detalle del historial de permisos. En la nueva versión beta aparentemente se incluyen mejoras de diseño y distintos widgets para brindar mayor usabilidad y atractivo visual. Lo cierto es que los widgets no son como las apps, éstos quedan constantemente activos, además si la configuración del celular del usuario es automática y no manual, podrían descargarse las eventuales nuevas actualizaciones sin solicitar nuevo consentimiento al agregar funcionalidades adicionales o nuevos accesos desde la APP al dispositivo.

A la confusión reinante sobre la necesidad de estos certificados para eventos masivos, y las dudas sobre la pertinencia de exigirlo en un estadio de fútbol pero no en las múltiples concentraciones y protestas sociales, se le suma la confusión que generarán miles de personas a la vez desinstalando la versión anterior de Cuid.AR para instalar la versión de prueba el mismo día. La congestión y mal funcionamiento de este modo es esperable, así como también el aumento del riesgo debido a las múltiples fallas de seguridad que no fueron mejoradas.

Por eso volvemos a exigir información clara y confiable sobre las características del nuevo certificado y las garantías constitucionales que deben protegerse a la hora de manipular datos sensibles de los ciudadanos según lo dispone la ley de Protección de datos personales N° 25.326.