Logo C.U.R.A.

LEY NACIONAL

Transformación Digital Sanitaria Argentina

Seguridad y Privacidad

La Ley C.U.R.A. incorpora privacidad por diseño, soberanía tecnológica plena, cifrado de extremo a extremo y un blindaje legal que impide el uso de los datos sanitarios para cualquier fin ajeno a la salud. Cada dato clínico está protegido por múltiples capas técnicas, legales e institucionales.

1. Privacidad por Diseño y Soberanía Digital

El sistema se rige por el principio de Privacidad por Diseño: la protección de datos no es una función adicional, sino un componente estructural de la arquitectura. Los datos se clasifican en tres categorías con regímenes diferenciados: Categoría A (datos clínicos y sensibles) con residencia exclusiva y obligatoria en territorio argentino; Categoría B (datos administrativos) en arquitectura híbrida con proveedores locales; y Categoría C (datos estadísticos anonimizados) sin restricciones de residencia. Las claves criptográficas maestras de la Categoría A están bajo control exclusivo del Estado Nacional.

2. Trazabilidad e Inmutabilidad — Audit Trail

El Módulo Nacional de Trazabilidad y Auditoría (Art. 10) registra, monitorea y controla todos los accesos y actos sobre datos clínicos. Cada registro cuenta con firma digital y sello de tiempo, garantizando su inmutabilidad conforme el estándar internacional FDA 21 CFR Parte 11. Los plazos de conservación son diferenciados: historia clínica integral mínimo 20 años; registros de trazabilidad y auditoría 10 años; logs técnicos de acceso y seguridad 5 años. La manipulación o adulteración de registros es falta gravísima.

3. Acceso Segmentado y Minimización de Datos

El código QR y la credencial digital del C.U.R.A.-ID actúan como llaves inteligentes: validan el rol y la matrícula vigente de quien accede (médico, farmacia, laboratorio) y entregan únicamente los datos pertinentes a esa atención, cumpliendo el principio de minimización de datos. Las categorías de datos especialmente sensibles (salud mental, VIH, adicciones, salud sexual y reproductiva) se protegen con cifrado criptográfico por clave independiente por categoría: ni los administradores del sistema pueden acceder a ellas sin consentimiento específico del titular o activación del mecanismo Break-Glass.

4. Cifrado y Ciberdefensa Activa

Toda la arquitectura opera con cifrado de extremo a extremo. Las APIs de la Capa de Intercambio Federada se autentican bajo el protocolo OAuth 2.0, con cifrado en tránsito y en reposo, y registro de todas las transacciones en auditorías selladas digitalmente. La red es monitoreada de forma continua por el CSIRT-C.U.R.A. (Equipo de Respuesta a Incidentes de Seguridad), integrado por especialistas del Ministerio de Salud, la ONTI y la AAIP. Ante una vulnerabilidad crítica, el CSIRT debe implementar medidas de mitigación dentro de las 72 horas hábiles y resolver el incidente en un plazo máximo de 30 días corridos.

5. Control Ciudadano del Historial de Accesos

A través del Panel de Control de Privacidad y Consentimiento (Art. 27), el ciudadano puede verificar en tiempo real el historial completo de accesos a su historia clínica: quién accedió, en qué fecha y hora y qué acción realizó. Puede recibir notificaciones automáticas ante cada acceso y reportar cualquier acceso no autorizado de forma inmediata. También puede revocar consentimientos, establecer permisos por profesional o institución con fecha de expiración, y solicitar la baja del sistema en cualquier momento de forma gratuita.

6. Uso Ético y Finalidad Exclusivamente Sanitaria

El acceso a los datos está limitado exclusivamente a finalidades asistenciales, sanitarias o epidemiológicas. Queda expresamente prohibida la comercialización, cesión o transferencia masiva de datos, y su uso comercial o político. Los datos utilizados para investigación científica o estadísticas de salud pública son sometidos a anonimización irreversible con estándares de privacidad diferencial y reducción de riesgo de re-identificación. El uso para fines discriminatorios es falta gravísima con sanciones de hasta 200 UMSD e inhabilitación.

7. Auditoría Federal Permanente y Régimen Sancionatorio

La seguridad del sistema es auditada de forma permanente e independiente por cuatro organismos: SIGEN (auditoría interna del Estado), AGN (auditoría externa), ONTI (estándares técnicos e informáticos) y la AAIP (protección de datos personales como autoridad de control independiente). El régimen sancionatorio del Título VIII establece multas graduadas en Unidades de Multa Sanitaria Digital (UMSD) equivalentes al SMVM:

  • Faltas Leves: 0,5 a 2 UMSD. Errores formales sin impacto clínico.
  • Faltas Graves: 2 a 20 UMSD + suspensión de acceso. Violación no dolosa de protección de datos, negativa a interoperar.
  • Faltas Gravísimas: 20 a 200 UMSD + inhabilitación. Suplantación de identidad, manipulación de registros, comercialización de datos, uso discriminatorio. Adicionalmente, pueden derivar en responsabilidad civil y penal.

8. Blindaje Sanitario — Inmunidad Administrativa

El Artículo 26 BIS establece una protección única: queda expresamente prohibida la transferencia o el acceso a los datos del Sistema C.U.R.A. por parte de autoridades de control migratorio, fuerzas de seguridad, organismos de inteligencia o entes recaudadores de impuestos. El registro en el sistema y la información clínica derivada no pueden ser usados como prueba de infracción a leyes migratorias ni de ninguna otra índole administrativa ajena a la salud. Esto garantiza que personas en situación de vulnerabilidad social puedan recibir atención sanitaria sin riesgo de exposición. El acceso judicial a datos nominales solo procede mediante orden judicial específica y fundada, limitada taxativamente a delitos de extrema gravedad (homicidio doloso, trata de personas, secuestro extorsivo, entre otros). Queda prohibida la vigilancia masiva o el data mining sobre los repositorios del sistema.

9. Acceso de Emergencia — Mecanismo Break-Glass

Ante una emergencia médica con riesgo cierto e inminente para la vida y cuando el paciente no puede otorgar consentimiento, el profesional actuante puede activar el mecanismo Break-Glass (Art. 28) para acceder temporalmente a la historia clínica completa, incluyendo categorías protegidas. El acceso se registra automáticamente en el Módulo de Trazabilidad y el titular recibe una notificación dentro de las 48 horas con todos los datos del acceso. El uso indebido del mecanismo (invocar emergencia inexistente) constituye falta gravísima. La Autoridad de Aplicación realiza auditorías proactivas trimestrales sobre una muestra representativa de accesos Break-Glass para detectar patrones de abuso.

10. Notificación de Brechas y Evaluación de Impacto

La ley establece un protocolo estricto y con plazos perentorios ante cualquier violación de seguridad que comprometa datos personales de salud:

72 horas — AAIP

La Autoridad de Aplicación debe notificar a la Agencia de Acceso a la Información Pública dentro de las 72 horas de detectado el incidente (Art. 25 y 27 BIS).

96 horas — Titular

Cuando la brecha suponga riesgo alto para el titular, éste debe ser notificado dentro de las 96 horas, indicando naturaleza del incidente, datos afectados y medidas adoptadas.

EIPD — Módulos Críticos

Previo a la puesta en funcionamiento de cada módulo crítico con tratamiento masivo de datos o incorporación de IA, debe realizarse una Evaluación de Impacto en Protección de Datos (Art. 27 BIS).

11. Infraestructura Soberana y Redundancia Geográfica

ARSAT S.E. actúa como nodo soberano estratégico de respaldo primario del sistema, garantizando la soberanía de los datos clínicos y blindándolos contra requerimientos extraterritoriales. La ley exige redundancia geográfica de los repositorios nacionales dentro del territorio argentino y la existencia de un Plan Nacional de Recuperación ante Desastres (DRP) con pruebas semestrales de restauración y continuidad de servicio. Toda relación contractual con proveedores tecnológicos debe establecer expresamente la aplicación del derecho argentino y la jurisdicción de tribunales nacionales.

12. Corresponsabilidad y Registro Público de Responsables

Cada prestador, provincia u obra social que se adhiera al sistema debe suscribir un acuerdo de corresponsabilidad comprometiéndose al cumplimiento de los estándares de seguridad, la limitación de finalidad y la sujeción a auditoría cruzada. El Registro Público de Responsables y Corresponsables del Sistema C.U.R.A. identifica a cada prestador, su rol, base legal de tratamiento y datos de contacto del Delegado de Protección de Datos. Este registro es de acceso público y en línea, garantizando transparencia sobre quién trata qué datos y bajo qué condiciones.

Privacidad por diseño y soberanía tecnológica.

Siguiente: Marco Legal