Leyes de Privacidad de Datos de Argentina: Guía de Cumplimiento de la PDPL (2026)

La Ley de Protección de los Datos Personales de Argentina, Ley 25.326, regula la forma en que las organizaciones recopilan, almacenan y utilizan los datos personales. Sancionada en el año 2000, otorga a los residentes derechos de acceso, rectificación y supresión, y la acción constitucional de hábeas data prevista en el artículo 43 ofrece un remedio judicial directo cuando los responsables se niegan a cumplir.
Argentina ocupa una posición única en el panorama mundial de la privacidad de datos. Sancionó la primera ley integral de protección de datos de América Latina hace más de dos décadas, obtuvo el reconocimiento de adecuación de la Unión Europea y construyó una base constitucional para la autodeterminación informativa que precede a la mayoría de los marcos normativos nacionales en materia de privacidad.
Sin embargo, la infraestructura jurídica del país atraviesa hoy una etapa de presión. La Ley 25.326 fue redactada antes de que los teléfonos inteligentes, las redes sociales, la computación en la nube y la inteligencia artificial generativa transformaran la forma en que se recopilan y utilizan los datos personales. En 2026 avanzan varios proyectos de reforma en el Congreso, la AAIP ha puesto en marcha nuevos programas para abordar la transparencia en materia de IA y modernizar las prácticas del sector público, y los tribunales continúan delineando los límites del hábeas data en una era de vigilancia algorítmica.
Esta guía aborda todos los elementos del régimen vigente de privacidad de datos en Argentina, las protecciones contra la violencia digital de la Ley Olimpia, el panorama de gobernanza de la inteligencia artificial, las reformas pendientes y lo que las organizaciones necesitan saber para cumplir con la normativa.
Respuesta Rápida: ¿Es la Ley de Privacidad de Datos de Argentina Comparable al GDPR?
La Ley 25.326 de Argentina es una norma integral de protección de datos que precede al GDPR por 18 años. Comparte los principios fundamentales del GDPR (limitación de la finalidad, proporcionalidad, calidad de los datos y obligaciones de seguridad) y otorga a las personas derechos de acceso, rectificación, supresión y oposición. La UE confirmó en enero de 2024 que Argentina continúa ofreciendo una protección adecuada, lo que significa que los datos pueden fluir libremente desde la UE hacia Argentina sin necesidad de mecanismos de transferencia adicionales.
Las principales brechas respecto del GDPR son la ausencia de notificación obligatoria de brechas de seguridad, la falta de un requisito explícito de designar un DPO, la inexistencia de un derecho a la portabilidad, la falta de protecciones frente a la toma de decisiones automatizada, y multas que resultan muy modestas en términos reales. Los proyectos de reforma pendientes, presentados en 2025, abordan todas estas brechas y acercarían sustancialmente el marco normativo argentino al estándar del GDPR. Ningún proyecto de reforma había sido sancionado a la fecha en que se verificó este artículo (19 de mayo de 2026).
Fundamento Constitucional: El Artículo 43 y el Hábeas Data
El marco de protección de datos de Argentina tiene su origen en la Constitución Nacional. La reforma constitucional de 1994 incorporó el artículo 43, que estableció la acción de hábeas data. Esta disposición otorga a toda persona el derecho de interponer una acción judicial para:

- Obtener conocimiento del contenido y la finalidad de todos los datos personales que existan sobre ella en registros o bases de datos públicos, o en bases de datos privadas destinadas a proveer informes.
- Exigir la supresión, rectificación, confidencialidad o actualización de datos falsos o discriminatorios.
Esta garantía constitucional no se limita a la corrección de información inexacta. Los tribunales argentinos han interpretado el hábeas data como la protección de un derecho más amplio a la autodeterminación informativa, es decir, la capacidad de las personas de controlar cómo se recopilan, almacenan y utilizan sus datos personales.
La acción de hábeas data funciona como un remedio judicial. Cuando un responsable del tratamiento de datos se niega a cumplir con una solicitud de acceso o corrección, la persona afectada puede llevar el asunto directamente ante un tribunal. Esto otorga a los titulares de datos argentinos un mecanismo constitucional de exigibilidad que existe con independencia de los procesos administrativos que lleva adelante la AAIP.
El Hábeas Data en la Práctica: El Caso del Reconocimiento Facial en Buenos Aires
Los tribunales han aplicado el hábeas data en un número creciente de contextos. El ejemplo reciente más destacado involucró al Sistema de Reconocimiento Facial de Prófugos (SRFP) del gobierno de la Ciudad de Buenos Aires. Un juzgado de primera instancia suspendió el sistema en 2022 tras declararlo inconstitucional, y la Cámara de Apelaciones en lo Contencioso Administrativo y Tributario de la Ciudad de Buenos Aires, Sala I, confirmó ese fallo el 28 de abril de 2023.
La Cámara de Apelaciones sostuvo que el SRFP había sido implementado sin mecanismos de control adecuados, que había sido aplicado a más de 15.000 personas que no figuraban como prófugas en la base de datos de la Consulta Nacional de Rebeldías y Capturas (CONARC), y que había vulnerado garantías constitucionales relativas a la privacidad, la libertad de circulación, la presunción de inocencia y la no discriminación. El tribunal estableció tres condiciones que deben cumplirse antes de cualquier reimplementación: deben establecerse mecanismos de control funcionales, la ciudad debe investigar si el sistema produjo un impacto diferencial en función de características personales como la raza, y la ciudad debe divulgar públicamente los informes operativos.
A comienzos de 2024, el gobierno de la ciudad y las organizaciones de derechos civiles todavía negociaban los términos de un acuerdo de auditoría. El SRFP continúa suspendido. Este caso constituye la aplicación judicial más significativa de los derechos constitucionales a la privacidad frente a la vigilancia biométrica en la historia argentina, y ilustra la fuerza práctica que puede tener el hábeas data cuando se aplica a las tecnologías modernas de tratamiento de datos.
Ley 25.326: La Ley de Protección de Datos Personales (PDPL)
Sancionada el 4 de octubre de 2000 y reglamentada por el Decreto 1558/2001, la Ley 25.326 es la piedra angular del régimen de privacidad de datos de Argentina. Su finalidad declarada es brindar protección integral a los datos personales asentados en archivos, registros, bases de datos u otros medios técnicos de tratamiento de datos, sean éstos públicos o privados.
La ley se aplica a los datos personales registrados en cualquier soporte que los torne susceptibles de tratamiento, así como a cualquier forma de uso posterior de esos datos por parte de actores públicos o privados.
Definiciones Clave
Datos personales: se definen ampliamente como información de cualquier tipo referida a personas físicas o jurídicas, determinadas o determinables. Esto abarca nombres, números de identificación, datos de contacto, registros financieros y cualquier otra información que pueda vincularse con una persona o entidad específica.
Datos sensibles: reciben una protección reforzada en virtud de la ley. Incluyen información que revele origen racial o étnico, opiniones políticas, convicciones religiosas o filosóficas, creencias morales, afiliación sindical, y datos referidos a la salud o a la vida sexual. Tras la ratificación por parte de Argentina del Convenio 108+ y la Resolución 255/2022 de la AAIP, los datos genéticos y biométricos también quedan ahora expresamente clasificados como sensibles.
Base de datos: se define como todo conjunto organizado de datos personales objeto de tratamiento, sea electrónico o no, cualquiera sea la forma en que se hubiere creado, almacenado, organizado o accedido a él.
Los proyectos de reforma pendientes ampliarían estas definiciones para incluir expresamente la seudonimización, la anonimización, la elaboración de perfiles y la toma de decisiones automatizada, alineando la terminología argentina con el vocabulario del GDPR.
Principios Generales del Tratamiento de Datos
La PDPL establece varios principios fundamentales que rigen todo tratamiento de datos personales en Argentina:
Licitud: las bases de datos no pueden tener finalidades contrarias a la ley o a la moral pública.
Limitación de la finalidad: los datos recopilados para una finalidad no pueden utilizarse para una finalidad distinta e incompatible sin el consentimiento del titular.
Calidad de los datos: los datos personales deben ser exactos, completos y mantenerse actualizados. Los datos inexactos o incompletos deben corregirse o suprimirse.
Proporcionalidad: solo puede recopilarse la información que sea adecuada, pertinente y no excesiva en relación con la finalidad de la base de datos.
Límites de conservación de datos: los datos personales deben destruirse cuando dejen de ser necesarios para la finalidad para la cual fueron recopilados, salvo que una norma exija su conservación.
Obligación de seguridad: los responsables del tratamiento deben adoptar medidas técnicas y organizativas para garantizar la seguridad y confidencialidad de los datos personales, evitando su alteración, pérdida, consulta o tratamiento no autorizados.
Requisitos de Consentimiento Según la PDPL
El consentimiento es la base legal principal para el tratamiento de datos personales en Argentina. La PDPL exige que el consentimiento sea:
- Previo: obtenido antes de que comience el tratamiento de los datos.
- Libre: otorgado voluntariamente, sin coacción ni presión indebida.
- Expreso: comunicado de manera clara y afirmativa. El silencio o la inacción no constituyen consentimiento.
- Informado: debe comunicarse al titular la finalidad de la recopilación de datos, quién tratará los datos y las consecuencias de proporcionarlos o negarse a hacerlo.
En el caso de los datos sensibles, el consentimiento debe ser explícito y no puede presumirse bajo ninguna circunstancia. El titular debe consentir expresamente el tratamiento de datos de salud, biométricos, genéticos, políticos, religiosos u otras categorías sensibles de información.
El titular conserva el derecho de revocar el consentimiento en cualquier momento sin necesidad de justificación. La revocación no tiene efecto retroactivo.
Excepciones al Consentimiento
La PDPL reconoce varias situaciones en las que los datos personales pueden tratarse sin consentimiento:
- Datos obtenidos de fuentes de acceso público.
- Datos recopilados en el ejercicio de funciones propias de los poderes del Estado o en cumplimiento de una obligación legal.
- Datos limitados al nombre, número de documento nacional de identidad, identificación tributaria o de la seguridad social, profesión, fecha de nacimiento y domicilio.
- Datos derivados de una relación contractual, científica o profesional con el titular, cuando el tratamiento sea necesario para el desarrollo de esa relación.
- Operaciones realizadas por entidades financieras respecto de los datos de sus clientes, conforme a las normas del Banco Central.
Los proyectos de reforma pendientes introducirían múltiples bases legales además del consentimiento (incluido el interés legítimo y la obligación legal como fundamentos autónomos), lo que reduciría la dependencia del consentimiento para las actividades comerciales de tratamiento de datos.
Derechos de los Titulares de Datos
La PDPL otorga a los titulares de datos un conjunto integral de derechos que los responsables del tratamiento deben respetar.
Derecho de Acceso
Cualquier persona puede solicitar confirmación sobre si sus datos personales están siendo objeto de tratamiento y obtener una copia de la información que se conserve. El responsable del tratamiento debe responder dentro de los 10 días corridos de recibida la solicitud. El derecho de acceso puede ejercerse en forma gratuita a intervalos no inferiores a seis meses, salvo que el titular acredite un interés legítimo para hacerlo con mayor frecuencia.
Derecho de Rectificación
Los titulares pueden exigir la corrección de datos personales inexactos, desactualizados o incompletos. Cuando se hubieran transferido datos incorrectos a un tercero, el responsable del tratamiento debe notificar la rectificación a ese tercero dentro de los cinco días hábiles.
Derecho de Supresión
Los titulares pueden solicitar la supresión de sus datos personales cuando ya no sean necesarios para la finalidad para la cual fueron recopilados, cuando se hubiera revocado el consentimiento, o cuando el tratamiento se realice de manera ilícita. La supresión puede denegarse si perjudicara los derechos de terceros, sirviera a fines de interés público o fuera necesaria para el cumplimiento de obligaciones legales.
Derecho a la Confidencialidad
Los titulares pueden solicitar que sus datos sean tratados de manera confidencial y no divulgados a terceros.
Derecho de Oposición
Las personas pueden oponerse al tratamiento de sus datos personales cuando existan motivos legítimos relacionados con su situación particular.
Si un responsable del tratamiento no cumple con una solicitud de acceso, rectificación o supresión, el titular puede presentar una denuncia ante la AAIP o interponer una acción de hábeas data ante los tribunales.
Derechos Pendientes de Aprobación en los Proyectos de Reforma
Los proyectos integrales de reforma pendientes agregarían dos derechos significativos que actualmente no contempla la Ley 25.326:
Portabilidad de los datos: el derecho a recibir los datos personales en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable sin obstáculos.
Protección frente a la toma de decisiones automatizada: el derecho a no ser objeto de una decisión basada únicamente en un tratamiento automatizado que produzca efectos jurídicos o afecte significativamente de forma similar, incluida la elaboración de perfiles. Según las propuestas S-0644/2025 y 1948-D-2025, los responsables deberían brindar información significativa sobre la lógica utilizada en tales decisiones y ofrecer una instancia de revisión humana.
La AAIP: La Autoridad de Protección de Datos de Argentina
La Agencia de Acceso a la Información Pública (AAIP) es la autoridad independiente responsable de hacer cumplir la PDPL. Originalmente, la aplicación de la norma estaba a cargo de la Dirección Nacional de Protección de Datos Personales (DNPDP), pero la AAIP asumió estas funciones y desde entonces ha ampliado su rol regulatorio.
Las principales responsabilidades de la AAIP incluyen:
- Supervisar el cumplimiento de la PDPL en los sectores público y privado.
- Administrar el Registro Nacional de Bases de Datos (RNBD).
- Investigar las denuncias presentadas por los titulares de datos.
- Imponer sanciones administrativas por infracciones.
- Dictar resoluciones, lineamientos y recomendaciones en materia de protección de datos.
- Representar a Argentina en foros internacionales de protección de datos.
Registro Nacional de Bases de Datos (RNBD)
Todas las organizaciones que mantengan bases de datos con información personal de residentes argentinos deben inscribirse en el RNBD. Este requisito se aplica tanto a entidades nacionales como extranjeras. A partir de la Resolución 132/2018, los responsables de tratamiento extranjeros que traten datos personales de ciudadanos argentinos deben inscribirse aun cuando no tengan presencia física en Argentina.
La inscripción debe completarse en línea e incluye información sobre la finalidad de la base de datos, los tipos de datos tratados, las medidas de seguridad implementadas y si se realizan transferencias internacionales de datos. La falta de inscripción de una base de datos constituye en sí misma una infracción a la PDPL y puede dar lugar a sanciones administrativas.
Supervisión de la Inteligencia Artificial y las Tecnologías Emergentes
La AAIP ha avanzado para abordar los desafíos que plantea la inteligencia artificial. En septiembre de 2023, puso en marcha el Programa de Transparencia y Protección de Datos Personales en el Uso de Inteligencia Artificial mediante la Resolución 161/2023. Este programa estableció:
- Un Observatorio de Inteligencia Artificial para monitorear los avances en el gobierno, la industria y el ámbito académico.
- Lineamientos no vinculantes que abarcan todo el ciclo de vida de la inteligencia artificial.
- Un Consejo Consultivo multidisciplinario para desarrollar consensos regulatorios.
- Un requisito para que los organismos públicos documenten los sistemas de toma de decisiones automatizada en un Portal de Transparencia.
La Decisión Administrativa 750/2023 creó una Mesa Interministerial sobre el Uso de la Inteligencia Artificial, que coordina el desarrollo de políticas entre los organismos gubernamentales.
Resolución 145/2025: Fortalecimiento de la Protección de Datos en el Sector Público
El 4 de agosto de 2025, la AAIP publicó la Resolución 145/2025, que creó el Programa de Fortalecimiento de la Protección de Datos Personales en la Administración Pública Nacional. Este programa de tres años exige a los organismos federales:
- Adoptar políticas de privacidad alineadas con la PDPL.
- Designar y capacitar a responsables de protección de datos dentro de la administración.
- Completar la inscripción de todas las bases de datos gubernamentales en el RNBD.
- Capacitar al personal en las obligaciones relativas al tratamiento de datos.
- Implementar garantías efectivas para los derechos de protección de datos de la ciudadanía.
La Resolución 145/2025 reemplazó a la anterior Disposición 7/2008 y representa un paso significativo hacia la institucionalización de la gobernanza de la privacidad dentro del gobierno federal. Se enmarca dentro del Plan Estratégico 2022-2026 de la AAIP.
Sanciones y Aplicación de la Ley
La PDPL establece un sistema escalonado de sanciones administrativas. La Resolución 126/2024 de la AAIP, publicada el 24 de mayo de 2024, unificó el régimen sancionatorio bajo la PDPL y la Ley del Registro Nacional No Llame (Ley 26.951).
Sanciones Administrativas
Las infracciones se clasifican en tres niveles:
Infracciones leves: hasta dos apercibimientos y multas que van de ARS 1.000 a ARS 80.000 por infracción. Cuando varias infracciones surjan de una conducta idéntica, la multa total se limita a 500 veces el máximo del tramo aplicable, es decir, un tope de ARS 40.000.000 para las infracciones leves.
Infracciones graves: hasta cuatro apercibimientos, suspensión de las operaciones de la base de datos por 1 a 30 días, y multas de ARS 80.001 a ARS 90.000 por infracción. El tope de acumulación de 500 veces produce un límite de ARS 45.000.000 para las infracciones graves.
Infracciones muy graves: hasta seis apercibimientos, suspensión por 31 a 365 días, clausura o cancelación de la base de datos, y multas de ARS 90.001 a ARS 100.000 por infracción. El tope de acumulación de 500 veces produce un límite de ARS 50.000.000 para las infracciones muy graves.
La AAIP también puede ordenar la eliminación de una base de datos completa como sanción para las infracciones más severas.
Una observación práctica fundamental: por infracción individual, los topes de las multas parecen modestos (ARS 80.000 a ARS 100.000), pero el tope de acumulación de 500 veces de la Resolución 126/2024 implica que una única acción de aplicación que involucre múltiples infracciones puede alcanzar entre ARS 40.000.000 y ARS 50.000.000 (aproximadamente entre USD 28.000 y USD 36.000 a los tipos de cambio oficiales de mayo de 2026). Esa cifra sigue estando muy por debajo de las multas de escala del GDPR, y varios analistas han identificado el régimen sancionatorio en su conjunto como una brecha de aplicación de la ley. Los proyectos de reforma pendientes abordan esta cuestión de manera directa, proponiendo multas de hasta el 4% de la facturación anual global.
Sanciones Penales
La PDPL incluye disposiciones penales. Insertar a sabiendas información falsa en un archivo de datos personales conlleva una pena de un mes a dos años de prisión. Proporcionar a sabiendas a un tercero datos falsos almacenados en una base de datos es punible con seis meses a tres años de prisión. Acceder ilegítimamente a una base de datos personales, o violar las obligaciones de confidencialidad y seguridad que impone la ley, puede resultar en una pena de un mes a dos años de prisión.
Enfoque de Aplicación de la Ley
Históricamente, la AAIP ha funcionado más como un organismo educativo y de asesoramiento que como una agencia de aplicación agresiva. Sin embargo, el Plan Estratégico 2022-2026 de la AAIP señala un giro hacia una aplicación más proactiva de la norma. Tanto la unificación del régimen sancionatorio de la Resolución 126/2024 como el programa de cumplimiento para la administración pública de la Resolución 145/2025 reflejan esta orientación.
Notificación de Brechas de Seguridad
Esta es un área en la que la ley vigente de Argentina revela su antigüedad. La PDPL no contiene un requisito obligatorio de notificación de brechas de seguridad. La Ley 25.326 no impone ninguna obligación legal de informar las brechas de seguridad ni a la AAIP ni a los titulares de datos afectados.
Sin embargo, la AAIP ha abordado esta brecha a través de una regulación no vinculante. La Resolución 47/2018 establece medidas de seguridad recomendadas y promueve la notificación de brechas como una buena práctica. Conforme a esta resolución, se recomienda a los responsables del tratamiento:
- Elaborar un informe de la brecha que incluya la naturaleza del incidente, las categorías de datos personales afectados, la identificación de las personas afectadas, las medidas adoptadas para mitigar la brecha y las medidas para prevenir incidentes futuros.
- Notificar el incidente de seguridad a la AAIP y adjuntar el informe.
- Informar a los titulares afectados en términos claros y sencillos.
Si bien esto es técnicamente voluntario, el incumplimiento de las prácticas recomendadas por la AAIP puede considerarse en cualquier procedimiento sancionatorio como evidencia de medidas de seguridad inadecuadas.
La Notificación de Brechas en los Proyectos de Reforma Pendientes
Los proyectos integrales de reforma difieren en cuanto a los plazos de notificación de brechas:
- Los proyectos S-0644/2025 y 1948-D-2025 exigen notificar a la AAIP dentro de las 72 horas de haber tomado conocimiento de una brecha que pueda suponer un riesgo para los derechos de los titulares de datos, con notificación individual obligatoria cuando exista un alto riesgo de daño.
- El Proyecto 0904-D-2025 (la propuesta orientada a la innovación del diputado Yeza) exige la notificación a la AAIP "dentro de un plazo razonable" y solo exige la notificación individual cuando exista una "probabilidad significativa de daño concreto".
Las organizaciones que se preparen para el cumplimiento futuro deberían tomar como referencia el estándar más estricto de 72 horas, ya que los proyectos centrados en los derechos cuentan con más coautores legislativos.
Transferencias Internacionales de Datos y la Adecuación de la UE
La PDPL restringe las transferencias transfronterizas de datos personales a países u organizaciones internacionales que ofrezcan un nivel adecuado de protección. La AAIP mantiene una lista de jurisdicciones consideradas adecuadas, que incluye a los Estados miembros de la UE y del EEE, así como a otros países reconocidos por la Comisión Europea.
Las transferencias hacia países sin protección adecuada están prohibidas salvo que se aplique alguna de las siguientes excepciones:
- El titular otorga su consentimiento expreso para la transferencia.
- La transferencia es necesaria para la cooperación judicial internacional.
- La transferencia involucra intercambios de datos médicos necesarios para proteger la salud del titular.
- La transferencia se relaciona con operaciones bancarias o bursátiles conforme a la legislación aplicable.
- La transferencia está regida por un tratado internacional del cual Argentina es parte.
- La transferencia es necesaria para la cooperación de inteligencia contra el crimen organizado, el terrorismo o el narcotráfico.
Las organizaciones también pueden recurrir a cláusulas contractuales aprobadas por la AAIP (similares a las cláusulas contractuales tipo de la UE) para legitimar las transferencias hacia jurisdicciones no adecuadas.
Decisión de Adecuación de la UE: Confirmación de Enero de 2024
Argentina fue el primer país latinoamericano en recibir una decisión de adecuación de la UE, originalmente otorgada en virtud de la Directiva de Protección de Datos. El 15 de enero de 2024, la Comisión Europea publicó las conclusiones de la primera revisión de 11 decisiones de adecuación y confirmó que Argentina continúa ofreciendo un nivel adecuado de protección. La Comisión citó como factores que respaldan esta conclusión la adhesión de Argentina al Convenio 108 y al Convenio 108+, sus reglas claras sobre el acceso de las autoridades públicas a los datos personales, y la existencia de una autoridad de control independiente.
El informe de revisión también recomendó que Argentina consagre en la legislación protecciones que hasta ahora se han desarrollado a nivel infralegal y a través de la jurisprudencia. Esta recomendación es significativa: si el proceso de reforma se estanca y el marco normativo argentino queda demasiado rezagado respecto del estándar del GDPR, la decisión de adecuación podría revisarse en un futuro ciclo de evaluación.
Este estatus de adecuación otorga una ventaja competitiva significativa a las empresas argentinas. Las organizaciones en Argentina pueden recibir datos personales de empresas radicadas en la UE sin necesidad de implementar cláusulas contractuales tipo, normas corporativas vinculantes u otros mecanismos de transferencia exigidos para las transferencias hacia países no adecuados.
Ratificación del Convenio 108+
Argentina se convirtió en parte del Convenio 108 del Consejo de Europa en 2019 y ratificó el Convenio 108+ modernizado en abril de 2023 (a través de la Ley 27.699, aprobada por el Congreso en noviembre de 2022). Esta ratificación fortaleció los compromisos internacionales de Argentina en materia de protección de datos, al incorporar los principios de minimización de datos, proporcionalidad, categorías ampliadas de datos sensibles (incluidos los datos genéticos y biométricos) y reglas actualizadas de transferencia internacional. Argentina fue el vigesimotercer Estado en ratificar el Convenio 108+, lo que refuerza aún más su posición como líder en protección de datos dentro de América Latina.
Ley Olimpia: Violencia Digital y Datos Personales
La Ley 27.736, conocida como Ley Olimpia, fue promulgada el 23 de octubre de 2023 mediante el Decreto 542/2023. Modificó la Ley 26.485 (Ley de Protección Integral para Prevenir, Sancionar y Erradicar la Violencia contra las Mujeres) para incorporar la violencia digital o telemática como una modalidad reconocida de violencia de género.
La Ley Olimpia define la violencia digital o telemática como toda conducta, acción u omisión contra las mujeres, basada en su género, cometida, instigada o agravada mediante el uso de tecnologías de la información y la comunicación, con el objetivo de causar daño físico, psicológico, económico, sexual o moral a la víctima o a su grupo familiar.
Las Dimensiones de Protección de Datos de la Ley Olimpia
Varias formas de violencia digital enumeradas en la Ley 27.736 se relacionan directamente con la protección de datos personales:
- Imágenes íntimas no consentidas: la obtención, reproducción digital y difusión no consentida de contenido íntimo o de desnudos constituye violencia digital, con independencia de si el contenido fue compartido originalmente de manera consentida.
- Difusión no autorizada de datos personales: el robo y la difusión no consentida de datos personales están expresamente incluidos como formas de violencia digital.
- Espionaje digital: se incluye el acceso no autorizado a dispositivos o cuentas, lo que se superpone con las obligaciones de seguridad y confidencialidad de la PDPL.
Remedios Judiciales
Los jueces pueden ordenar a las plataformas digitales, redes sociales y sitios web que retiren contenido constitutivo de violencia digital. La orden debe identificar específicamente la URL del contenido en cuestión. El Ministerio de Educación debe incorporar información sobre violencia digital y seguridad en línea al currículo de educación sexual integral, tanto en escuelas públicas como privadas.
Para las organizaciones que operan plataformas en Argentina, la Ley Olimpia crea una vía potencial para las órdenes de retiro de contenido que funciona en paralelo con los derechos de supresión de la PDPL, y puede resultar más rápida en la práctica porque prevé órdenes judiciales dirigidas directamente contra las plataformas.
Gobernanza de la Inteligencia Artificial y Toma de Decisiones Automatizada
El panorama regulatorio de la inteligencia artificial en Argentina está fragmentado y evoluciona rápidamente. La Ley 25.326 no contiene disposiciones que aborden específicamente la toma de decisiones automatizada, el tratamiento algorítmico o la inteligencia artificial. Varios desarrollos regulatorios y legislativos entre 2023 y 2025 han comenzado a llenar este vacío.
La Resolución 161/2023 de la AAIP y el Programa de IA
El programa de la AAIP de septiembre de 2023 (Resolución 161/2023) estableció lineamientos no vinculantes para el uso responsable de la inteligencia artificial y un requisito de Portal de Transparencia para que los organismos públicos documenten los sistemas de toma de decisiones automatizada. Estos lineamientos son voluntarios para las entidades privadas, pero representan la interpretación de la AAIP sobre cómo se aplican los principios generales de la PDPL a los sistemas de inteligencia artificial.
Proyecto 4243-D-2025: Protección de Datos Específica para la IA
Presentado en agosto de 2025, el Proyecto 4243-D-2025 propone un marco legal específico para la protección de datos personales en los sistemas de inteligencia artificial. Sus características clave incluyen:
- Aplicabilidad a toda actividad de inteligencia artificial que involucre datos personales dentro de Argentina o dirigida a personas en Argentina, con independencia de dónde se encuentre el operador.
- Clasificación de los sistemas de inteligencia artificial como de riesgo bajo, medio o alto, con inscripción obligatoria en un Registro Nacional de Sistemas de Inteligencia Artificial para los sistemas de riesgo medio y alto.
- Evaluaciones de riesgo obligatorias que consideren la naturaleza, el alcance, el contexto y las medidas de mitigación del tratamiento.
- Facultades de auditoría para la autoridad regulatoria, incluida la facultad de suspender sistemas de inteligencia artificial que planteen riesgos graves.
- Sanciones que van desde apercibimientos hasta la prohibición de uso, y multas proporcionales a la facturación, los beneficios obtenidos, la cantidad de personas afectadas y el dolo o la negligencia.
Los sistemas de inteligencia artificial existentes tendrían 180 días para adecuarse una vez sancionado el proyecto. Al mes de mayo de 2026, este proyecto no ha sido sancionado.
La Administración Milei y la Regulación de la IA
La actual administración de Argentina, bajo la presidencia de Javier Milei, ha adoptado una filosofía regulatoria en general favorable a la innovación y de intervención más liviana. El gobierno de Milei ha manifestado su intención de posicionar a Argentina como un polo regional de inteligencia artificial, y se ha mostrado cauto respecto de imponer una regulación de IA excesivamente estricta que pudiera desalentar la inversión. Esto genera una tensión práctica con los proyectos de reforma centrados en los derechos que avanzan en el Congreso, y sugiere que la forma final de cualquier reforma en materia de IA o de protección de datos reflejará una negociación entre estas prioridades en pugna.
La Reforma Pendiente de Alineación con el GDPR
La comunidad de protección de datos de Argentina reconoce desde hace años que la Ley 25.326 necesita una actualización integral. Se han realizado múltiples intentos desde 2017, pero ninguno ha derivado todavía en la sanción de una nueva ley.
Al mes de mayo de 2026, varios proyectos de reforma se encuentran pendientes en el Congreso:
Los proyectos S-0644/2025 y 1948-D-2025 comparten sustancialmente el mismo contenido. Fueron presentados en 2025 por senadores y diputados respectivamente, y priorizan un enfoque de protección de datos basado en los derechos, estrechamente alineado con el GDPR.
El Proyecto 0904-D-2025 (presentado por el diputado Yeza) adopta un enfoque más orientado a la innovación. Introduce una novedosa clasificación de las organizaciones según su nivel de tratamiento de datos (básico, intermedio y avanzado), con obligaciones diferenciadas y un régimen especial para startups y proyectos innovadores.
Los proyectos 3540-D-2025 y 2968-D-2025 se centran en aspectos específicos, incluidas las garantías de transparencia algorítmica y los mecanismos de protección de los titulares de datos.
El Proyecto S-0968/2025 aborda las protecciones relativas al consentimiento sobre datos de niños, niñas y adolescentes, e introduce obligaciones de diseño apropiado según la edad y requisitos de consentimiento parental.
El Proyecto 4243-D-2025 (analizado anteriormente) aborda la protección de datos específica para la inteligencia artificial.
La AAIP ha indicado que se encontraba preparando su propio anteproyecto de ley, inspirado en gran medida en una propuesta de 2023 que nunca llegó a debatirse. Se esperaba que las discusiones legislativas avanzaran durante 2026, aunque los plazos y la forma final de cualquier reforma siguen siendo inciertos.
Características Clave de los Proyectos Integrales de Reforma
Los proyectos centrados en los derechos (S-0644/2025 y 1948-D-2025) introducirían, entre otras cosas:
- Notificación obligatoria de brechas: 72 horas a la AAIP cuando las brechas supongan un riesgo para los derechos de los titulares de datos; notificación individual cuando el riesgo sea alto. El proyecto de Yeza utiliza en cambio un estándar de "plazo razonable".
- Responsables de Protección de Datos (DPO): obligatorios para los organismos públicos y los responsables privados que realicen tratamientos a gran escala, de alto riesgo o de datos sensibles. El proyecto de Yeza limita esta obligación a las organizaciones clasificadas como responsables de tratamiento "avanzados".
- Portabilidad de los datos: el derecho a recibir y transferir los datos personales en un formato estructurado y de lectura mecánica.
- Protecciones frente a la toma de decisiones automatizada: el derecho a no ser objeto de decisiones basadas únicamente en un tratamiento automatizado que produzca efectos jurídicos o similarmente significativos, con derecho a una revisión humana.
- Responsabilidad proactiva y privacidad desde el diseño: las organizaciones deben demostrar el cumplimiento de manera proactiva e incorporar la protección de datos en los sistemas desde su concepción.
- Multas más elevadas: las propuestas van de ARS 50.000 a ARS 10.000 millones, o del 2% al 4% de la facturación anual global total, lo que resulte mayor. Esto representaría un aumento enorme respecto del máximo actual de ARS 100.000.
- Definiciones ampliadas: que cubren expresamente la anonimización, la seudonimización, la elaboración de perfiles y la toma de decisiones automatizada en el texto legal.
Ningún proyecto de reforma había sido sancionado al 19 de mayo de 2026. Las organizaciones deberían monitorear el Boletín Oficial para conocer las novedades.
Regulaciones Sectoriales Específicas
Más allá de la PDPL, varias normas sectoriales específicas inciden sobre el tratamiento de datos en Argentina:
Sector financiero: el Banco Central de la República Argentina (BCRA) dicta normas sobre el tratamiento de los datos de los clientes por parte de las entidades financieras, incluidos requisitos de ciberseguridad.
Datos de salud: los datos personales relacionados con la salud reciben protección adicional en virtud de las disposiciones sobre datos sensibles de la PDPL y están sujetos a obligaciones de secreto profesional conforme a las normas de ética médica.
Telecomunicaciones: la Ley 19.798 (Ley Nacional de Telecomunicaciones) establece el secreto de las telecomunicaciones e impone obligaciones a los prestadores de servicios respecto de los datos de los abonados.
Registro No Llame: la Ley 26.951 creó el Registro Nacional No Llame, que permite a las personas excluirse de las llamadas de telemarketing. La AAIP aplica esta ley junto con la PDPL. La Resolución 126/2024 unificó el régimen sancionatorio de ambas normas.
Informes crediticios: la PDPL contiene disposiciones específicas que regulan las bases de datos de información crediticia, incluidas limitaciones sobre la conservación de los datos (la información crediticia negativa debe eliminarse después de cinco años, o dos años desde la fecha en que se saldó la deuda).
Violencia digital: la Ley Olimpia (Ley 27.736, 2023) agrega un nivel de obligaciones para las plataformas en materia de retiro de contenido no consentido, que se superpone con los derechos de supresión de la PDPL pero es distinto de ellos.
Si necesita comprender cómo se aplican en Argentina las leyes de consentimiento para grabaciones audiovisuales junto con estos requisitos de protección de datos, consulte nuestra guía sobre las leyes de grabación en Argentina.
Novedades Recientes (2024-2026)
- 15 de enero de 2024: la Comisión Europea confirmó el estatus de adecuación de Argentina ante la UE tras revisar 11 decisiones de adecuación existentes. La revisión recomendó que Argentina consagre en la legislación las protecciones desarrolladas a nivel infralegal.
- 24 de mayo de 2024: la AAIP publicó la Resolución 126/2024, que unificó el régimen sancionatorio para las infracciones tanto de la PDPL (Ley 25.326) como de la Ley del Registro Nacional No Llame (Ley 26.951).
- Comienzos de 2024: un tribunal de Buenos Aires fijó una audiencia para determinar los términos de una auditoría del Sistema de Reconocimiento Facial de Prófugos (SRFP) de la ciudad, antes de cualquier posible reimplementación. El SRFP permaneció suspendido, mientras las autoridades de la ciudad y las organizaciones de derechos civiles negociaban un marco de auditoría.
- 2025: se presentó una ola de proyectos de reforma en el Congreso. Los más significativos son S-0644/2025 y 1948-D-2025 (reforma integral alineada con el GDPR), 0904-D-2025 (reforma orientada a la innovación presentada por el diputado Yeza), y S-0968/2025 (protecciones de datos de niños, niñas y adolescentes).
- 4 de agosto de 2025: la AAIP publicó la Resolución 145/2025, que creó un programa de tres años que exige a los organismos federales designar responsables de protección de datos, inscribir bases de datos, adoptar políticas de privacidad y capacitar al personal.
- Agosto de 2025: se presentó en la Cámara de Diputados el Proyecto 4243-D-2025, que propone normas de protección de datos específicas para la inteligencia artificial, incluido un Registro Nacional de Inteligencia Artificial y evaluaciones de riesgo obligatorias.
- Diciembre de 2025: distintos análisis señalaron una presión creciente sobre la Ley 25.326 proveniente de los sistemas de inteligencia artificial generativa, que tratan datos personales a una escala y de maneras que la norma del año 2000 no había previsto, lo que aumenta la urgencia de que los proyectos de reforma avancen en 2026.
Lista de Verificación Práctica de Cumplimiento para las Organizaciones
Las organizaciones que traten datos personales de residentes argentinos deben asegurarse de cumplir con los siguientes requisitos:
- Inscribir todas las bases de datos en el RNBD, incluso desde fuera de Argentina si se tratan datos de residentes argentinos (conforme a la Resolución 132/2018).
- Obtener el consentimiento previo, libre, expreso e informado antes de recopilar datos personales, salvo que se aplique una excepción reconocida.
- Brindar avisos de privacidad claros que expliquen la finalidad de la recopilación de datos, la identidad del responsable del tratamiento y los derechos de los titulares.
- Implementar medidas de seguridad técnicas y organizativas adecuadas a la sensibilidad de los datos tratados (conforme a la Resolución 47/2018).
- Responder a las solicitudes de acceso de los titulares dentro de los 10 días corridos.
- Notificar a los terceros cualquier rectificación dentro de los cinco días hábiles.
- Restringir las transferencias internacionales a jurisdicciones adecuadas o asegurarse de que exista una excepción aplicable.
- Seguir las prácticas recomendadas de notificación de brechas de la AAIP conforme a la Resolución 47/2018 y mantener registros de brechas accesibles a la AAIP.
- Si se opera una plataforma con contenido generado por usuarios, contar con un proceso para responder a las órdenes de retiro de contenido en virtud de la Ley Olimpia (Ley 27.736).
- Comenzar a planificar la designación de un DPO y los plazos de notificación de brechas de 72 horas, ya que es probable que los proyectos de reforma que avanzan en 2026 los sancionen en alguna forma.
- Si se implementan sistemas de inteligencia artificial que tratan datos personales, documentarlos en el Portal de Transparencia de la AAIP (para los organismos públicos) y monitorear el Proyecto 4243-D-2025 en cuanto a los requisitos de inscripción y evaluación de riesgos.
- Monitorear el Boletín Oficial ante la eventual sanción de cualquier proyecto de reforma, ya que las nuevas obligaciones podrían entrar en vigencia entre 30 y 180 días después de su publicación.
Preguntas frecuentes
¿La ley de protección de datos de Argentina se aplica a empresas extranjeras?
Sí. Si una empresa extranjera trata datos personales de residentes argentinos, queda comprendida dentro del ámbito de aplicación de la Ley 25.326. Desde la Resolución 132/2018, los responsables de tratamiento extranjeros también deben inscribir sus bases de datos en el Registro Nacional de Bases de Datos (RNBD) de la AAIP, aun sin tener presencia física en Argentina.
¿Se considera a Argentina adecuada para las transferencias de datos desde la Unión Europea?
Sí. La Comisión Europea confirmó el estatus de adecuación de Argentina el 15 de enero de 2024, tras revisar las 11 decisiones de adecuación existentes en el marco del GDPR. Los datos personales pueden fluir desde la UE hacia Argentina sin necesidad de cláusulas contractuales tipo ni de otras garantías adicionales. Argentina cuenta con este estatus desde comienzos de la década de 2000. La revisión de la UE recomendó que Argentina consagre en la legislación las protecciones infralegales, algo que lograrían los proyectos de reforma pendientes.
¿Qué es el hábeas data y cómo funciona en Argentina?
El hábeas data es un derecho constitucional establecido en el artículo 43 de la Constitución de Argentina. Permite a cualquier persona interponer una acción judicial para acceder a los datos personales que se conserven sobre ella en bases de datos públicas o privadas, y para exigir la corrección, supresión o confidencialidad de datos falsos o discriminatorios. Funciona como un remedio judicial cuando los responsables del tratamiento se niegan a atender las solicitudes de los titulares de datos. Los tribunales lo han utilizado para frenar un sistema de reconocimiento facial biométrico en Buenos Aires que se aplicó a más de 15.000 personas que no figuraban como prófugas.
¿Las empresas en Argentina están obligadas a informar las brechas de seguridad de datos?
Conforme a la Ley 25.326 vigente, no existe un requisito obligatorio de notificación de brechas. Sin embargo, la Resolución 47/2018 de la AAIP recomienda enfáticamente notificar a la autoridad y a las personas afectadas como buena práctica. Los proyectos de reforma pendientes harían obligatoria la notificación de brechas: los proyectos S-0644/2025 y 1948-D-2025 proponen un plazo de notificación de 72 horas a la AAIP, mientras que el Proyecto 0904-D-2025 del diputado Yeza utiliza un estándar de 'plazo razonable'.
¿Qué sanciones pueden enfrentar las empresas por infringir la ley de privacidad de datos de Argentina?
Las sanciones administrativas vigentes conforme a la Resolución 126/2024 se estructuran en tres tramos: las infracciones leves conllevan multas por incidente de ARS 1.000 a ARS 80.000 (tope de acumulación ARS 40.000.000); las infracciones graves conllevan de ARS 80.001 a ARS 90.000 por incidente (tope ARS 45.000.000) más la suspensión de la base de datos por hasta 30 días; las infracciones muy graves conllevan de ARS 90.001 a ARS 100.000 por incidente (tope ARS 50.000.000) más la suspensión por hasta 365 días y la posible clausura de la base de datos. A los tipos de cambio oficiales de mayo de 2026, el tope de ARS 50.000.000 equivale aproximadamente a entre USD 35.000 y USD 36.000. Las sanciones penales van de un mes a tres años de prisión por delitos como insertar datos falsos o acceder ilegítimamente a bases de datos. Los proyectos de reforma pendientes proponen multas considerablemente más altas, de hasta el 4% de la facturación anual global.
¿Qué es la Ley Olimpia y cómo afecta la privacidad de datos en Argentina?
La Ley Olimpia es la Ley 27.736, promulgada el 23 de octubre de 2023. Modificó la Ley 26.485 para incorporar la violencia digital o telemática como una forma de violencia de género. Abarca la difusión no consentida de imágenes íntimas, la divulgación no autorizada de datos personales, el espionaje digital y el acceso no autorizado a dispositivos o cuentas. Los jueces pueden ordenar a las plataformas y sitios web que retiren, por URL, contenido constitutivo de violencia digital. Para las organizaciones que operan plataformas en Argentina, la Ley Olimpia crea una obligación paralela de retiro de contenido que corre junto con los derechos de supresión de la PDPL.
¿Argentina cuenta con normas sobre inteligencia artificial y toma de decisiones automatizada?
Al año 2026, Argentina no cuenta con legislación específica sancionada sobre inteligencia artificial. La Ley 25.326 no contiene disposiciones sobre la toma de decisiones automatizada. La AAIP emitió lineamientos no vinculantes sobre IA a través de la Resolución 161/2023 y exige a los organismos públicos documentar los sistemas automatizados en un Portal de Transparencia. El Proyecto 4243-D-2025, presentado en agosto de 2025, crearía un marco específico para la IA que incluye un Registro Nacional de IA, evaluaciones de riesgo obligatorias para los sistemas de riesgo medio y alto, y facultades de auditoría. Los proyectos integrales de reforma (S-0644/2025 y 1948-D-2025) agregarían un derecho a no ser objeto de decisiones basadas únicamente en un tratamiento automatizado.
¿Argentina exige a las organizaciones designar un Responsable de Protección de Datos?
Conforme a la Ley 25.326 vigente, no existe un requisito obligatorio de designar un DPO. Los proyectos integrales de reforma pendientes cambiarían esta situación. Los proyectos S-0644/2025 y 1948-D-2025 exigirían la designación de un DPO para los organismos públicos y los responsables privados que realicen tratamientos a gran escala, de alto riesgo o de datos sensibles. El Proyecto 0904-D-2025 del diputado Yeza limitaría la obligación del DPO a las organizaciones clasificadas como responsables de tratamiento 'avanzados'. La Resolución 145/2025 de la AAIP (agosto de 2025) ya exige a los organismos federales designar y capacitar responsables de protección de datos como parte de un programa de tres años.
Fuentes y referencias
- Ley 25.326 de Protección de Datos Personales: Texto completo (Congreso de la Nación Argentina)(argentina.gob.ar).gov
- Constitución de la Nación Argentina: Artículo 43 (Hábeas Data)(argentina.gob.ar).gov
- Decreto Reglamentario 1558/2001: Reglamentación de la Ley 25.326(argentina.gob.ar).gov
- Agencia de Acceso a la Información Pública (AAIP): Protección de Datos Personales(argentina.gob.ar).gov
- Resolución 47/2018 de la AAIP: Medidas de Seguridad Recomendadas para los Datos Personales(argentina.gob.ar).gov
- Resolución 132/2018 de la AAIP: Registro de Responsables de Tratamiento Extranjeros en el RNBD(argentina.gob.ar).gov
- Resolución 161/2023 de la AAIP: Programa de Transparencia y Protección de Datos Personales en el Uso de la IA(argentina.gob.ar).gov
- Resolución 145/2025 de la AAIP: Programa de Fortalecimiento de la Protección de Datos Personales en la Administración Pública Nacional (Boletín Oficial, 4 de agosto de 2025)(boletinoficial.gob.ar).gov
- Ley 27.736, Ley Olimpia: Promulgación mediante el Decreto 542/2023 (Boletín Oficial, 23 de octubre de 2023)(boletinoficial.gob.ar).gov
- Comisión Europea: Decisiones de Adecuación en el marco del GDPR (incluida la confirmación de Argentina de enero de 2024)(commission.europa.eu).gov
- Consejo de Europa: Argentina ratifica el Convenio 108+ durante el Simposio de Privacidad (abril de 2023)(coe.int)
- CELS: la Cámara de Apelaciones de la Ciudad de Buenos Aires confirma la inconstitucionalidad del uso del Sistema de Reconocimiento Facial de Prófugos (SRFP) implementado por el gobierno de la Ciudad de Buenos Aires (28 de abril de 2023)(cels.org.ar)
- Digital Policy Alert: se presenta en el Senado de Argentina el Proyecto de Ley de Protección de Datos Personales S-0644/2025, que incluye regulación de ciberseguridad(digitalpolicyalert.org)
- Digital Policy Alert: se presenta en la Cámara de Diputados el Proyecto 4243-D-2025 sobre Protección de Datos Personales en Sistemas de Inteligencia Artificial (agosto de 2025)(digitalpolicyalert.org)
- Baker McKenzie: la autoridad de protección de datos de Argentina publica un programa de fortalecimiento de la protección de datos personales en la Administración Pública Nacional (Resolución 145/2025)(connectontech.bakermckenzie.com)
- DataGuidance: panorama general de la protección de datos en Argentina(dataguidance.com)
- Cornell LII Gender Justice: Ley 27.736, Ley Olimpia (2023)(law.cornell.edu)
- Resolución 126/2024 de la AAIP: texto completo con el Anexo I (Clasificación de Infracciones) y el Anexo II (Régimen de Graduación de Sanciones): tramos por infracción ARS 1.000-80.000 / 80.001-90.000 / 90.001-100.000, con tope de acumulación de 500 veces que produce topes de ARS 40M / 45M / 50M (Infoleg, argentina.gob.ar)(servicios.infoleg.gob.ar).gov