LPDP Argentina: ley de protección de datos
La Ley de Protección de Datos Personales Nº 25.326 (LPDP) es el marco legal principal que regula el tratamiento de datos personales en Argentina, vigente desde el año 2000. Está administrada por la Agencia de Acceso a la Información Pública (AAIP) y establece los derechos que tienen las personas sobre sus datos y las obligaciones que deben cumplir las empresas que los procesan.
¿Qué es la LPDP Nº 25.326?
La LPDP fue sancionada en el año 2000 y representa el pilar normativo central de la protección de datos en Argentina. Regula la recopilación, almacenamiento, uso y transferencia de datos personales de personas físicas y jurídicas con domicilio en el país. La autoridad de aplicación es la Agencia de Acceso a la Información Pública (AAIP), organismo encargado de supervisar el cumplimiento, atender reclamaciones y aplicar sanciones.
La ley establece principios básicos que deben guiar el tratamiento de datos: consentimiento informado del titular, finalidad determinada, proporcionalidad en la cantidad de datos recabados y deber de confidencialidad. Toda empresa que maneje datos de personas en Argentina —independientemente de si tiene sede física en el país— debe ajustar sus procesos a esta normativa.
Derechos ARCO: Acceso, Rectificación, Cancelación, Oposición
Los derechos ARCO son el conjunto de facultades que la LPDP reconoce a toda persona física sobre sus datos personales:
- Acceso: cualquier persona puede solicitar a la empresa que le informe si posee datos suyos y cuáles son.
- Rectificación: si los datos son inexactos o están desactualizados, el titular puede exigir su corrección.
- Cancelación: el titular puede solicitar la eliminación de sus datos cuando ya no sean necesarios para la finalidad que motivó su recopilación.
- Oposición: el titular puede oponerse al tratamiento de sus datos cuando existan motivos fundados y legítimos.
Las empresas tienen plazos determinados para responder a estas solicitudes. Ignorarlas o rechazarlas sin justificación puede dar lugar a sanciones por parte de la AAIP. Incorporar un proceso interno para gestionar solicitudes ARCO es parte básica del cumplimiento de ciberseguridad en Argentina.
Nuevas sanciones vigentes desde junio de 2024
Desde el 1 de junio de 2024 entraron en vigor nuevas regulaciones de infracciones y sanciones bajo la LPDP. Este cambio refuerza el poder de la AAIP para aplicar multas y medidas correctivas a las entidades que incumplan con sus obligaciones de protección de datos. Las sanciones pueden incluir apercibimientos, multas económicas y la suspensión temporal de bases de datos.
Este endurecimiento del régimen sancionador implica que las empresas deben revisar y actualizar sus políticas de privacidad, registros de bases de datos y controles de seguridad. Una cultura de ciberseguridad sólida dentro de la organización es fundamental para sostener el cumplimiento en el tiempo y no solo ante una auditoría puntual.
Proyectos de reforma 2024-2025 para alinear con GDPR
Argentina lleva varios años impulsando reformas legislativas para modernizar la LPDP y acercarla al estándar europeo del Reglamento General de Protección de Datos (GDPR). Los proyectos de reforma de 2024-2025 buscan incorporar elementos como notificación obligatoria de brechas de seguridad, mayor precisión sobre el consentimiento, regulación del uso de datos con inteligencia artificial y un régimen de transferencias internacionales más robusto.
Aunque al momento de publicación estos proyectos aún se encuentran en proceso legislativo, la tendencia regulatoria es clara: Argentina avanza hacia requisitos más exigentes que se alinean con las mejores prácticas internacionales definidas por el NIST Cybersecurity Framework.
Qué significa esto para empresas en Argentina
Las empresas que operan en Argentina —tanto locales como multinacionales que traten datos de personas en el país— deben cumplir con la LPDP independientemente de dónde esté alojada su infraestructura tecnológica. Las obligaciones prácticas incluyen registrar bases de datos ante la AAIP, contar con políticas de privacidad accesibles, garantizar los derechos ARCO y aplicar medidas técnicas y organizativas de seguridad sobre los datos que almacenan y procesan.
Un programa de gestión de vulnerabilidades bien estructurado contribuye directamente al cumplimiento de la LPDP: proteger la integridad, confidencialidad y disponibilidad de los datos personales es una obligación legal, no solo una buena práctica.
¿Tu empresa necesita alinear sus procesos de seguridad con la LPDP y las nuevas exigencias de la AAIP? En WhiteJaguars ayudamos a organizaciones en Argentina a identificar brechas de cumplimiento y a implementar controles técnicos y organizativos para proteger los datos personales que gestionan. También puedes conocer las exigencias del BCRA para bancos y fintechs en Argentina.