La Ley C.U.R.A. establece uno de los marcos de seguridad y privacidad más avanzados del sistema sanitario argentino. El diseño del sistema sigue el principio de Privacidad y Seguridad por Diseño, garantizando protección desde la infraestructura hasta cada interacción realizada por un profesional de la salud.
Toda la información sanitaria se almacena exclusivamente en territorio argentino, bajo jurisdicción nacional y sobre infraestructura segura de ARSAT. Está prohibido guardar datos en servidores ubicados en el extranjero. Esto asegura soberanía tecnológica y reduce riesgos asociados a la externalización del almacenamiento clínico.
Los datos se encuentran protegidos por cifrado avanzado, múltiples capas de autenticación y mecanismos de control granular del consentimiento. Cada acceso, modificación o lectura queda registrado de manera inalterable a través del Módulo Nacional de Trazabilidad y Auditoría, que utiliza firma digital, sellos de tiempo y conserva los registros por un mínimo de diez años. Esta trazabilidad permite saber siempre quién accedió a la información del paciente, desde qué lugar, en qué fecha y con qué autorización.
El sistema incorpora un Panel de Privacidad para el Ciudadano, que permite a cada persona consultar en tiempo real quién accedió a su historia clínica, reforzando la transparencia y el control personal sobre los datos sanitarios.
La ley también establece alertas automáticas para detectar accesos indebidos, intentos de manipulación o actividad sospechosa. Cuando se activa una alerta crítica, el caso se eleva al CSIRT-C.U.R.A. (Equipo de Respuesta a Incidentes), que debe intervenir en plazos obligatorios de 24 a 72 horas para resolver vulnerabilidades o incidentes de seguridad informática.
El acceso indebido, manipulación no autorizada o intento de eliminación de datos constituye falta gravísima, con sanciones administrativas, civiles y penales. El sistema además incorpora auditorías anuales de seguridad realizadas por la ONTI, SIGEN, AAIP y la Auditoría General de la Nación, cuyos resultados deben publicarse en formato abierto para garantizar control público permanente.
C.U.R.A. asegura que la información clínica solo pueda utilizarse con fines sanitarios, estadísticos anonimizados, auditorías federales o emergencias. Queda prohibido el uso de datos con fines comerciales, políticos o no vinculados a la salud. De esta manera, la ley garantiza privacidad, soberanía, trazabilidad total y control ciudadano sobre la información más sensible del sistema sanitario.
