La protección de datos personales en Argentina se fundamenta en la Ley de Protección de Datos Personales (LPDP) Nº 25.326, sancionada en el año 2000. Esta ley, también conocida como Ley de Hábeas Data, tiene por objeto garantizar la protección integral de los datos personales asentados en archivos, registros, bancos de datos u otros medios técnicos, sean estos públicos o privados. Argentina fue pionera en Latinoamérica al promulgar esta legislación, respondiendo a motivaciones históricas vinculadas con la reafirmación de buenos hábitos democráticos y como respuesta a experiencias históricas donde la recopilación de información se utilizaba para persecución ideológica.
La ley se complementa con el Decreto Reglamentario Nº 1558/2001 y se aplica a todas las organizaciones establecidas en Argentina que recopilan, utilizan y comparten datos personales de residentes en el país, abarcando tanto entidades privadas como públicas.
Autoridad de Control y Aplicación
La Agencia de Acceso a la Información Pública (AAIP) fue creada en 2016 mediante la Ley 27.275 como ente autárquico con autonomía funcional. Esta agencia actúa como autoridad de aplicación responsable de garantizar el cumplimiento de la Ley de Protección de Datos Personales, monitorear el desempeño de la transparencia en la gestión pública y proteger los datos personales.
Derechos de los Titulares de Datos
La ley reconoce al titular del dato el derecho fundamental a la autodeterminación informativa, otorgándole la capacidad de decidir sobre la utilización y divulgación de su información personal. Los derechos específicos incluyen:
Derecho de acceso: Los titulares pueden solicitar y obtener información sobre qué datos personales suyos están registrados en bancos de datos públicos o privados.
Derecho de rectificación y actualización: Pueden solicitar que sus datos sean corregidos o actualizados si resultan equivocados o desactualizados. Los responsables de la base de datos deben corregir el error dentro de 5 días hábiles de presentado el reclamo, de forma gratuita.
Derecho de supresión: Pueden solicitar que sean suprimidos datos en los casos que corresponda, especialmente datos sensibles o aquellos que ya no tengan utilidad.
Derecho de confidencialidad: Pueden solicitar que sus datos sean guardados confidencialmente.
Derecho de acceso judicial: Tienen la posibilidad de iniciar acciones legales para conocer sus datos, exigir su rectificación, supresión o confidencialidad.
El derecho de acceso solo puede ejercerse en forma gratuita a intervalos no inferiores a seis meses, salvo que se acredite un interés legítimo.
Principios Clave del Tratamiento de Datos
Consentimiento informado: La recopilación de datos personales requiere consentimiento expreso y previo del titular. Este consentimiento debe ser libre, específico, inequívoco e informado, preferentemente por escrito o por medios que se le equiparen. Cualquier tratamiento de datos personales sin consentimiento del titular es considerado ilícito, salvo excepciones establecidas por la ley como datos de fuentes de acceso público irrestricto o datos recopilados por el Estado para ejercer sus funciones constitucionales.
Seguridad de la información: Los responsables del tratamiento deben proteger los datos personales mediante medidas técnicas y organizativas adecuadas para evitar su pérdida, alteración, acceso no autorizado o divulgación.
Datos sensibles: La ley establece una protección especial para datos sensibles como origen racial o étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical, información de salud o vida sexual. Estos datos no pueden ser obligatoriamente proporcionados ni registrados, salvo que haya razones de interés general autorizadas por la ley.
Minimización de datos y neutralidad tecnológica: Aunque estos conceptos están siendo incorporados en las reformas propuestas, reflejan la tendencia hacia la actualización de la legislación.
Obligaciones de los Responsables del Tratamiento
Los responsables de registros de datos personales deben:
- Respetar todos los derechos de los titulares sobre sus datos personales
- Exhibir claramente los derechos reconocidos por la ley en un lugar visible y de manera clara antes de tomar los datos
- Informar que la AAIP es el organismo donde se pueden hacer denuncias y reclamos para proteger datos personales
- Registrarse como responsables del tratamiento en el Registro Nacional de Bases de Datos Personales (RNBD) mediante la plataforma Trámites a Distancia de la AAIP
- Implementar medidas de seguridad adecuadas
Sistema de Sanciones y Multas
El régimen de graduación de sanciones establece una clasificación de infracciones en leves, graves y muy graves. Las multas varían según la gravedad de la infracción:
- Rango de multas: Entre $1.000 y $100.000
- Otras sanciones: Apercibimientos, suspensiones, clausuras o cancelaciones de bases de datos
- Factores considerados: El daño causado, los beneficios económicos obtenidos por el infractor, y la acumulación de infracciones
Cuando hay pago voluntario, existe un plazo de 20 días hábiles desde la notificación, permitiendo una reducción del 50% en el valor de la multa si se paga dentro de ese plazo. En caso de acumulación de múltiples sanciones por idéntica conducta, se aplica un tope equivalente al máximo de la escala correspondiente multiplicado por 500.
La Resolución 126/2024 (entrada en vigencia el 1 de junio de 2024) modernizó el sistema de sanciones de la AAIP.
Transferencias Internacionales de Datos
La ley prohíbe como regla general la transferencia de datos personales a países u organismos internacionales que no proporcionen niveles de protección adecuados. La AAIP es la autoridad competente para evaluar las leyes y marcos institucionales de otros países y determinar si se consideran adecuados.
Acreditación de adecuación: Argentina fue el primer país de América Latina en lograr una calificación de “adecuación” por parte de la Unión Europea para las transferencias de datos desde la UE. El 15 de enero de 2024, la Comisión Europea revalidó a Argentina como país adecuado para el libre flujo transfronterizo de datos personales. Esto significa que las transferencias de datos desde la UE hacia Argentina pueden realizarse sin requisitos adicionales, sin necesidad de salvaguardas extra.
Mecanismos de transferencia: La Provisión 60-E/2016 aprobó cláusulas modelo para transferencias internacionales de datos. Más recientemente, se implementaron nuevas cláusulas contractuales modelo (SCC RIPD) que funcionan de manera complementaria con las anteriores.
Reforma y Actualización de la Legislación
El marco legal está en proceso de modernización. En junio de 2023, el Poder Ejecutivo presentó un proyecto de ley ante el Congreso Nacional que busca actualizar la Ley 25.326 para alinearse con estándares internacionales como el Reglamento General de Protección de Datos (RGPD) europeo.
Un nuevo proyecto fue presentado el 29 de abril de 2025 por el diputado Pablo Carro. Entre las novedades propuestas destacan:
- Exigencia de comunicación previa al titular cuando se utilice “interés legítimo” como base legal
- Prohibición de cesión masiva de bases de datos entre entidades del sector público
- Incorporación del principio de reciprocidad en transferencias internacionales
- Derecho a solicitar acceso a información en la lengua de elección del titular
- Incorporación del concepto de “dato inferido” (información creada mediante razonamiento o deducción)
- Fijación de valor inicial de unidad móvil para multas en AR$ 100.000 con actualización semestral
Argentina también ha fortalecido sus compromisos internacionales al ratificar el Convenio 108 y el Convenio 108+, instrumentos multilaterales jurídicamente vinculantes para proteger la privacidad.
Acciones Legales y Protección
Los titulares de datos que consideren que se violan sus derechos pueden:
- Presentar denuncia ante la AAIP: Es el organismo competente para recibir denuncias y reclamos
- Iniciar acción judicial de habeas data: Pueden interponer acciones legales para proteger sus derechos de datos personales
- Ejercer amparo constitucional: Conforme al artículo 43 de la Constitución Argentina
Importancia Práctica para Organizaciones
La protección de datos en Argentina constituye un marco legal robustificado que impone responsabilidades significativas a las organizaciones. El incumplimiento puede resultar en sanciones financieras sustanciales, acciones legales y deterioro reputacional. Las empresas deben implementar políticas de privacidad que aborden aspectos como el consentimiento informado, la finalidad específica del tratamiento, la seguridad de datos y los derechos de los titulares.
Argentina ha consolidado su posición como líder regional en protección de datos, siendo el único país de Latinoamérica que mantuvo y revalidó su estatus de adecuación ante la Unión Europea, lo que refleja la solidez de su marco normativo y sus instituciones de supervisión.