- Ley 25.326 vigente desde noviembre de 2000, con rango constitucional (art. 43 CN)
- AAIP Agencia de Acceso a la Informacion Publica, autoridad de aplicacion
- $100M multa maxima por infracciones graves (actualizada 2025)
- 78% de las PyMEs argentinas no tiene politica formal de proteccion de datos
La Ley 25.326 de Proteccion de Datos Personales fue sancionada en octubre de 2000 y reglamentada por el Decreto 1558/2001. Argentina fue, junto con Chile y Uruguay, uno de los paises pioneros de America Latina en regular la materia. Gracias a esta ley, la Union Europea reconocio a Argentina como pais con "nivel adecuado de proteccion" —una distincion que facilita las transferencias internacionales de datos y que pocos paises de la region comparten.
Sin embargo, 25 anos despues, la realidad es que la enorme mayoria de las empresas argentinas —especialmente las PyMEs— desconoce sus obligaciones o las ignora deliberadamente. Segun un relevamiento de la consultora Argendata realizado en 2025, el 78% de las PyMEs no tiene una politica formal de proteccion de datos, el 62% no sabe que debe registrar sus bases ante la AAIP, y el 89% no ha designado un responsable de tratamiento de datos.
Este articulo busca cerrar esa brecha de conocimiento con informacion practica: que dice la ley, a quien aplica, que se debe hacer y que pasa si no se hace.
Que son los datos personales y por que importan
La Ley 25.326 define "datos personales" como toda informacion referida a personas fisicas o juridicas, determinadas o determinables. Esta definicion es intencionalmente amplia e incluye:
- Datos identificatorios: nombre, DNI, CUIT/CUIL, direccion, telefono, email
- Datos laborales: puesto, salario, legajo, evaluaciones de desempeno
- Datos financieros: CBU, historial crediticio, deudas, facturacion
- Datos de salud: historias clinicas, diagnosticos, tratamientos (datos sensibles)
- Datos biometricos: huellas dactilares, reconocimiento facial, voz
- Datos de navegacion: cookies, IP, historial de uso de aplicaciones
La ley distingue entre datos personales y datos sensibles. Los datos sensibles son aquellos que revelan origen racial o etnico, opiniones politicas, convicciones religiosas, afiliacion sindical, informacion de salud o vida sexual. Su tratamiento esta sujeto a restricciones mas severas: solo pueden recopilarse con consentimiento expreso y por escrito, y en ningun caso pueden ser utilizados para finalidades distintas a las declaradas.
A quien aplica la ley
A todos. La Ley 25.326 no distingue por tamano de empresa, sector o volumen de datos. Si tu organizacion recopila, almacena, procesa o transfiere datos personales de cualquier persona —clientes, empleados, proveedores, usuarios de tu sitio web, contactos de marketing—, esta alcanzada por la ley.
Esto incluye:
- Una PyME que tiene una base de clientes en una planilla de Excel
- Un profesional independiente (abogado, contador, medico) que guarda datos de sus pacientes o clientes
- Una tienda online que recopila nombres, direcciones y datos de pago
- Una empresa que usa un CRM, un sistema de facturacion o una plataforma de email marketing
- Un consorcio de propietarios que mantiene un registro de copropietarios con datos de contacto y estados de cuenta
La unica excepcion son las bases de datos de uso estrictamente personal o domestico —tu agenda de contactos del celular, por ejemplo. Todo lo demas, esta regulado.
Las 7 obligaciones clave
1. Consentimiento informado
El principio fundamental de la ley es que el tratamiento de datos personales requiere el consentimiento libre, expreso e informado del titular. Esto significa que no se pueden recopilar datos sin que la persona sepa: (a) que datos se recopilan, (b) con que finalidad, (c) quienes seran los destinatarios, y (d) como ejercer sus derechos.
El consentimiento debe ser previo al tratamiento (no se puede pedir despues de haber recopilado los datos) y especifico (no valen las clausulas genericas del tipo "acepto todo").
Existen excepciones al requisito de consentimiento: datos de fuentes publicas (ej. CUIT del Registro Publico), datos necesarios para cumplir una obligacion legal (ej. datos fiscales para ARCA), y datos vinculados a una relacion contractual (ej. direccion de entrega de un pedido).
2. Finalidad y proporcionalidad
Los datos solo pueden usarse para la finalidad declarada al momento de la recopilacion. Si pedis el email de un cliente para enviarle la factura, no podes usarlo para enviarle publicidad sin su consentimiento adicional. Si recopilas datos de salud de empleados para el examen preocupacional, no podes compartirlos con la aseguradora sin autorizacion.
Ademas, la recopilacion debe ser proporcional: no se deben pedir mas datos de los necesarios para la finalidad declarada. Un formulario de contacto que pide DNI, fecha de nacimiento y estado civil cuando solo necesita nombre y email esta violando este principio.
3. Calidad y actualizacion
Los datos almacenados deben ser exactos y actualizados. Si un cliente cambia su direccion y la empresa no actualiza el registro, esta incumpliendo. La ley establece que los datos inexactos deben ser suprimidos o actualizados por el responsable de la base, ya sea de oficio o a pedido del titular.
4. Seguridad de los datos
El responsable de la base de datos debe adoptar las medidas tecnicas y organizativas necesarias para garantizar la seguridad y confidencialidad de los datos. Esto incluye:
- Control de acceso (no todos los empleados deben poder ver todos los datos)
- Cifrado de datos sensibles en reposo y en transito
- Respaldos periodicos
- Protocolos de respuesta ante incidentes de seguridad
- Capacitacion del personal que maneja datos personales
La Disposicion 11/2006 de la AAIP detalla las medidas de seguridad recomendadas segun tres niveles: basico, medio y critico, dependiendo del tipo de datos tratados. Los datos sensibles requieren el nivel critico, que incluye cifrado obligatorio, registro de accesos y auditorias periodicas.
Para las empresas que procesan datos a escala —bases de clientes, registros de empleados, datos financieros—, contar con una plataforma de compliance que automatice la evaluacion de estas medidas no es un lujo sino una necesidad operativa. Herramientas como el modulo Centurion de Eleion permiten mapear el cumplimiento de la Ley 25.326 contra los controles de seguridad reales de la organizacion, identificando brechas antes de que la AAIP las encuentre.
5. Deber de confidencialidad
Todas las personas que intervengan en el tratamiento de datos personales estan obligadas al secreto profesional respecto de los mismos. Esta obligacion subsiste aun despues de finalizada la relacion con el responsable de la base de datos. En la practica, esto implica que los contratos laborales y de servicios deben incluir clausulas de confidencialidad especificas sobre datos personales.
6. Registro de bases de datos
La Ley 25.326 (articulo 21) exige que toda base de datos que exceda el uso personal se inscriba en el Registro Nacional de Bases de Datos, administrado por la AAIP. El registro se realiza online a traves del sitio de la AAIP y es gratuito.
La obligacion de registro abarca todas las bases: la de clientes, la de empleados, la de proveedores, la de marketing, la de camaras de seguridad (si capturan imagenes identificables), la de control de acceso biometrico, etc. Cada base se registra individualmente con indicacion de su finalidad, tipo de datos, medidas de seguridad y responsable.
El incumplimiento del registro es una de las infracciones mas frecuentes detectadas por la AAIP y es sancionable con multa.
7. Derechos del titular (ARCO)
Todo titular de datos tiene cuatro derechos fundamentales, conocidos como derechos ARCO:
| Derecho | Que implica | Plazo de respuesta |
|---|---|---|
| Acceso | Conocer que datos suyos tiene la empresa y como los usa | 10 dias habiles |
| Rectificacion | Corregir datos inexactos o incompletos | 5 dias habiles |
| Cancelacion | Solicitar la eliminacion de datos cuando ya no son necesarios | 10 dias habiles |
| Oposicion | Negarse al tratamiento de sus datos para determinadas finalidades | 10 dias habiles |
La empresa debe tener un procedimiento claro para recibir y procesar solicitudes ARCO. Si no responde en los plazos establecidos, el titular puede iniciar una accion de habeas data ante la justicia.
La AAIP: autoridad de aplicacion
La Agencia de Acceso a la Informacion Publica (AAIP) es el organismo que controla el cumplimiento de la Ley 25.326. Sus funciones incluyen:
- Mantener el Registro Nacional de Bases de Datos
- Recibir denuncias de titulares de datos
- Realizar inspecciones de oficio a empresas
- Dictar disposiciones regulatorias
- Aplicar sanciones por infracciones
En los ultimos tres anos, la AAIP ha intensificado significativamente su actividad de fiscalizacion. Las inspecciones —que antes eran esporadicas y concentradas en grandes empresas— ahora alcanzan tambien a PyMEs, especialmente en sectores como salud, fintech, educacion y comercio electronico.
Sanciones: que pasa si no cumplis
El regimen sancionatorio de la Ley 25.326 preve tres niveles de infracciones:
- Leves: no atender consultas del titular en plazo, no inscribir la base de datos. Multa: apercibimiento a $1.000.000.
- Graves: recopilar datos sin consentimiento, no adoptar medidas de seguridad, obstaculizar inspecciones de la AAIP. Multa: $1.000.000 a $50.000.000.
- Muy graves: crear bases de datos con finalidades contrarias a la ley, transferir datos a paises sin proteccion adecuada sin autorizacion, tratar datos sensibles sin consentimiento expreso. Multa: $50.000.000 a $100.000.000, con posibilidad de clausura o cancelacion de la base.
Mas alla de las multas, el dano reputacional de una sancion publica de la AAIP puede ser significativo. La agencia publica las resoluciones sancionatorias en su sitio web, lo que convierte cada multa en una noticia potencial.
La reforma pendiente: alineacion con el GDPR
Desde 2018, Argentina trabaja en un proyecto de reforma integral de la Ley 25.326 para alinearla con el Reglamento General de Proteccion de Datos (GDPR) de la Union Europea. El proyecto —que tuvo varias versiones y perdio estado parlamentario en dos oportunidades— fue reintroducido en el Congreso en 2025.
Los principales cambios que propone la reforma son:
- Delegado de Proteccion de Datos (DPO): obligatorio para organismos publicos y empresas que traten datos a gran escala
- Evaluaciones de impacto: obligatorias para tratamientos que impliquen alto riesgo para los titulares
- Notificacion de brechas: obligacion de notificar incidentes de seguridad a la AAIP y a los titulares afectados en un plazo de 72 horas
- Portabilidad de datos: derecho del titular a recibir sus datos en formato estructurado y transferirlos a otro responsable
- Derecho al olvido: extension del derecho de cancelacion al ambito digital
- Sanciones porcentuales: multas de hasta el 4% de la facturacion anual, alineadas con el modelo GDPR
Independientemente de cuando se apruebe la reforma, las empresas que ya operan con estandares alineados al GDPR —por tener clientes europeos, por usar servicios cloud de proveedores internacionales, o por decision estrategica— estan mejor posicionadas para el cumplimiento futuro.
Checklist practico: 10 pasos para cumplir
Para las empresas que quieren poner en orden su situacion con la Ley 25.326, este es un plan de accion concreto:
- Mapear las bases de datos: identificar TODAS las bases que la organizacion mantiene (clientes, empleados, proveedores, marketing, camaras, etc.).
- Registrar las bases en la AAIP: ingresar al sitio web de la AAIP y completar el formulario de inscripcion para cada base. Es gratuito y se hace online.
- Revisar el consentimiento: verificar que cada base fue recopilada con consentimiento informado. Para las bases existentes sin consentimiento documentado, implementar un proceso de regularizacion.
- Redactar la politica de privacidad: crear un documento claro que explique que datos se recopilan, con que finalidad, como se protegen y como ejercer los derechos ARCO. Publicarla en el sitio web.
- Implementar medidas de seguridad: control de acceso basado en roles, cifrado, respaldos, antivirus. Documentar cada medida. Para una evaluacion sistematica, ver nuestra guia de ciberseguridad para PyMEs.
- Definir el procedimiento ARCO: crear un canal (email, formulario web) para que los titulares ejerzan sus derechos, y asignar un responsable de responder en los plazos legales.
- Capacitar al personal: todo empleado que maneje datos personales debe conocer sus obligaciones de confidencialidad y los procedimientos internos.
- Revisar contratos con terceros: si se comparten datos con proveedores (contadores, servicios cloud, marketing), los contratos deben incluir clausulas de proteccion de datos y confidencialidad.
- Establecer plazos de retencion: los datos no deben conservarse indefinidamente. Definir por cuanto tiempo se guarda cada tipo de dato y eliminar los que ya no son necesarios.
- Documentar todo: la AAIP puede solicitar evidencia de cumplimiento en una inspeccion. Mantener un registro de las medidas adoptadas, las capacitaciones realizadas, los consentimientos obtenidos y las solicitudes ARCO procesadas.
Datos personales y negocios internacionales
Para las empresas argentinas que hacen negocios con Europa —o que aspiran a hacerlo—, la proteccion de datos no es solo una obligacion local: es un requisito comercial. El GDPR europeo exige que los datos de ciudadanos europeos solo se transfieran a paises con "nivel adecuado de proteccion". Argentina tiene esa calificacion desde 2003, pero su renovacion depende de que el marco legal se mantenga actualizado.
Si la reforma de la Ley 25.326 no avanza y la Union Europea revisa la adecuacion (algo que ocurre periodicamente), Argentina podria perder esa calificacion. Esto obligaria a las empresas argentinas a implementar clausulas contractuales tipo, reglas corporativas vinculantes u otros mecanismos para cada transferencia de datos con Europa —un costo operativo significativo para las PyMEs exportadoras de servicios.
En el sector tecnologico, donde la exportacion de servicios es uno de los pilares de la economia argentina, el cumplimiento de la proteccion de datos no es una carga regulatoria: es una ventaja competitiva. Los clientes europeos y norteamericanos evaluan cada vez mas la madurez en proteccion de datos de sus proveedores. Una PyME argentina que puede demostrar cumplimiento con la Ley 25.326 y alineacion con el GDPR tiene una ventaja tangible sobre competidores de paises sin marco regulatorio robusto.
El costo de no hacer nada
La tentacion de muchas PyMEs es ignorar la Ley 25.326 bajo la premisa de que "nunca me van a inspeccionar". Estadisticamente, es probable que tengan razon a corto plazo. Pero el riesgo no es solo la AAIP: es la denuncia de un empleado despedido, de un cliente insatisfecho, de un competidor inescrupuloso. Cualquier persona puede presentar una denuncia ante la AAIP, y la agencia esta obligada a investigar.
Ademas, un incidente de seguridad —un ransomware que expone datos de clientes, un empleado que copia la base de datos al irse— convierte automaticamente el incumplimiento previo en un agravante. Si la empresa no tenia medidas de seguridad documentadas, no habia registrado la base, y no tenia procedimientos ARCO, la sancion sera significativamente mayor.
La proteccion de datos personales no es un tramite burocratico: es una responsabilidad legal con consecuencias reales. Y a diferencia de muchas regulaciones argentinas, la Ley 25.326 tiene una autoridad de aplicacion activa, un regimen sancionatorio con multas crecientes y una tendencia global que solo va a hacer la regulacion mas estricta. El mejor momento para ponerse en cumplimiento fue ayer. El segundo mejor momento es hoy.