La protección de datos personales en Argentina vuelve al centro del compliance empresarial por la combinación de tres factores: la vigencia de la Ley 25.326, los proyectos de actualización normativa y el avance de sistemas de inteligencia artificial que recolectan, combinan o infieren información personal.

Para las empresas, el desafío no es solo legal. Es operativo: mapear tratamientos de datos, documentar decisiones, controlar proveedores, revisar usos de IA, fortalecer seguridad y demostrar trazabilidad.

Por qué la protección de datos vuelve al centro del compliance

La Ley 25.326 sigue siendo el marco vigente de protección de datos personales en Argentina. La AAIP mantiene información pública sobre derechos, obligaciones, registro de bases y herramientas de autoevaluación.

Al mismo tiempo, existen iniciativas para actualizar el régimen. La AAIP publicó antecedentes sobre proyectos de ley de protección de datos personales, y en 2026 figura en Diputados el expediente 1751-D-2026 sobre un marco regulatorio para la protección de datos personales y la privacidad.

Por eso, las empresas deberían evitar dos errores: actuar como si nada fuera a cambiar o tratar un proyecto como si ya fuera ley vigente.

Qué deberían mirar las empresas ante la reforma argentina

Aunque el escenario regulatorio evolucione, hay controles que las empresas pueden revisar desde ahora:

• inventario de datos personales;
• finalidades de tratamiento;
• bases de datos registradas cuando corresponda;
• accesos internos;
• proveedores con acceso a datos;
• transferencias internacionales;
• políticas de conservación y eliminación;
• medidas de seguridad;
• documentación de decisiones;
• uso de IA y automatización.

La preparación no depende de esperar una obligación final. Depende de ordenar el gobierno de datos antes de que una brecha, reclamo o auditoría exponga debilidades.

IA, datos inferidos y transparencia

La inteligencia artificial aumenta la complejidad del tratamiento de datos. Un sistema puede usar datos personales directos, combinar fuentes o generar inferencias sobre personas.

Esto puede impactar en selección de personal, scoring, atención al cliente, monitoreo, marketing, seguridad, productividad y análisis interno.

La AAIP cuenta con un Programa Nacional de Transparencia y Protección de Datos Personales en el uso de la Inteligencia Artificial, orientado a promover buenas prácticas para entidades públicas y privadas. Ese enfoque refuerza la necesidad de transparencia, documentación y evaluación de riesgos.

Gobierno de datos y documentación de decisiones

El gobierno de datos permite saber qué datos se tratan, quién los usa, para qué finalidad, bajo qué controles y durante cuánto tiempo.

Una empresa debería poder responder:

• qué datos personales recolecta;
• por qué los necesita;
• dónde se almacenan;
• quién accede;
• qué proveedores intervienen;
• qué sistemas de IA los procesan;
• qué riesgos existen;
• qué controles aplican;
• qué evidencia respalda cada decisión.

Sin documentación, el compliance depende de memoria informal. Con documentación, la empresa puede demostrar criterio, control y mejora.

Terceros, proveedores y transferencias internacionales

Los proveedores tecnológicos, plataformas SaaS, consultoras, servicios de nube y herramientas de IA pueden acceder a datos personales. Por eso, la gestión de terceros es central.

Las empresas deberían revisar:

• contratos con cláusulas de privacidad;
• ubicación del tratamiento;
• subprocesadores;
• medidas de seguridad;
• incidentes y notificación;
• eliminación de datos;
• transferencias internacionales;
• uso de datos para entrenamiento de modelos.

La privacidad no termina dentro de la empresa. Se extiende a toda la cadena de tratamiento.

Controles internos para privacidad y compliance

Un programa operativo debería incluir controles claros:

1. Inventario de datos y sistemas.
2. Evaluación de riesgos de privacidad.
3. Revisión de IA y automatización.
4. Gestión de proveedores.
5. Control de accesos.
6. Seguridad de la información.
7. Capacitación interna.
8. Registro de incidentes.
9. Auditoría periódica.
10. Mejora continua.

Estos controles ayudan a conectar privacidad, tecnología, compliance y negocio.

Cómo prepararse sin esperar a último momento

La mejor preparación es empezar por un diagnóstico de brechas. No hace falta rediseñar todo el programa de inmediato, pero sí identificar procesos críticos y priorizar riesgos.

Áreas sensibles pueden incluir RR. HH., denuncias internas, marketing, clientes, datos financieros, biometría, monitoreo laboral, herramientas de IA generativa y proveedores tecnológicos.

Conclusión

La protección de datos personales, la inteligencia artificial y el compliance operativo ya no pueden gestionarse como temas separados. Las empresas en Argentina necesitan gobierno de datos, trazabilidad, controles sobre terceros y documentación de decisiones.

Resguarda acompaña a organizaciones en programas de compliance, gestión de riesgos, cultura ética, capacitaciones y revisión de controles internos. Evaluar riesgos de privacidad, IA y tratamiento de datos permite anticipar brechas y preparar a la organización para un entorno regulatorio más exigente.