La Ley 25.326 es la columna vertebral de la protección de datos en Argentina. Sin embargo, fue sancionada en 2000 y su decreto reglamentario (1558/2001) nació en un ecosistema tecnológico muy distinto al actual. Hoy, la superficie de ataque crece con ransomware, cadenas de suministro complejas y servicios cloud globales. En ese contexto, la Ley 25.326 y reformas necesarias en ciberseguridad se vuelven un debate impostergable: o modernizamos el marco, o aceptamos mayores riesgos operativos, legales y reputacionales.

Qué exige hoy la Ley 25.326 y sus límites en ciberseguridad

La normativa vigente establece principios y obligaciones claros: consentimiento, calidad de datos, finalidad, derechos ARCO, deber de confidencialidad (art. 10), medidas de seguridad (art. 9), registro de bases y reglas para transferencias internacionales. La Autoridad de Aplicación (AAIP) dirige el régimen y Argentina goza de reconocimiento de adecuación por parte de la Unión Europea, un activo clave para negocios digitales.

Pero el texto legal no prevé varias piezas que hoy resultan esenciales para la gestión de riesgo:

• No existe obligación general de notificar brechas de datos a la autoridad ni a titulares, salvo supuestos sectoriales.
• No exige evaluación de impacto en protección de datos, ni designación de un delegado de protección de datos.
• Las sanciones son poco disuasivas para actores de gran escala y el procedimiento no siempre es ágil.
• La regulación de decisiones automatizadas, perfilado y uso de inteligencia artificial es insuficiente.
• No hay lineamientos mínimos de seguridad basados en estándares actuales (ISO/IEC 27001:2022, 27701, NIST CSF 2.0).
• La gestión de terceros y subencargados, incluida la nube, carece de obligaciones y controles modernos.

Este desfase deja a los equipos TI y legales con una brecha: deben enfrentar amenazas de 2025 con herramientas normativas del 2000.

Riesgos si no se moderniza: operativos, legales y de mercado

Cuando una organización opera sin reglas claras y contemporáneas, el riesgo se traslada a tres frentes:

• Operativo: respuestas tardías ante incidentes, mayores ventanas de exposición y costos de recuperación más altos.
• Legal y contractual: contratos internacionales exigen notificación de incidentes, cifrado robusto, pruebas de penetración y planes de continuidad; el vacío normativo complica el cumplimiento.
• De mercado: si Argentina pierde el estatus de adecuación, aumentarán las cargas para transferencias de datos desde la UE (cláusulas contractuales, evaluaciones de impacto de transferencias, medidas suplementarias), afectando plazos y costos de integración con partners globales.

La presión ya está presente: clientes, aseguradoras y auditores esperan evidencia de controles alineados con prácticas internacionales. Sin una actualización normativa, la asimetría seguirá creciendo.

Reformas necesarias en ciberseguridad y protección de datos

A partir de tendencias comparadas y estándares técnicos, estas reformas darían previsibilidad y elevarían el nivel de madurez del ecosistema argentino:

1. Notificación de brechas de datos: obligación de informar a la autoridad y a los titulares cuando exista alto riesgo, con plazos definidos y criterios de evaluación de impacto.
2. Responsabilidad proactiva: incorporar accountability, registros de actividades de tratamiento, designación de un DPO en organizaciones con alto riesgo y gobernanza clara.
3. Evaluaciones de impacto (DPIA): requeridas para tratamientos de alto riesgo (salud, biométricos, vigilancia, perfilado masivo), con metodologías reconocidas.
4. Seguridad por diseño y por defecto: referencia explícita a estándares (ISO/IEC 27001:2022, 27701, NIST CSF 2.0), promoviendo cifrado, gestión de vulnerabilidades, autenticación multifactor, segmentación y registro de eventos.
5. Gestión de proveedores y nube: cláusulas obligatorias con subencargados, transparencia en ubicaciones de datos, evaluaciones periódicas, derecho de auditoría y medidas para transferencias internacionales.
6. Protección de menores: reglas reforzadas para consentimiento verificable y perfiles de riesgo.
7. Derechos ampliados: portabilidad, limitación del tratamiento, y garantías frente a decisiones automatizadas y perfilado, con explicabilidad básica y opción de revisión humana.
8. Sanciones efectivas: régimen escalonado y disuasivo, proporcional a la facturación, con criterios de atenuación por cooperación y cumplimiento demostrable.
9. Coordinación interinstitucional: ventanilla única para incidentes, cooperación con CSIRTs nacionales, intercambio responsable de indicadores de compromiso y safe harbor para notificaciones de buena fe.
10. Modernización del Registro: simplificación, foco en tratamientos de alto riesgo y obligaciones de transparencia práctica para titulares.

Estas medidas no solo reducen el riesgo, también habilitan competitividad: más negocios con jurisdicciones exigentes, menos fricción contractual y mayor confianza del usuario.

Conclusión

La Ley 25.326 sentó bases valiosas, pero el entorno actual requiere una actualización orientada a riesgo. La combinación de notificación de brechas, accountability, DPIA, seguridad por diseño y gestión de terceros alineada con estándares internacionales permitiría a Argentina sostener la adecuación, fortalecer la resiliencia y mejorar la competitividad digital. Mientras se concretan cambios, las organizaciones pueden implementar desde ya una hoja de ruta técnica y de gobernanza que reduzca exposición, ordene procesos y genere confianza. Modernizar no es solo cumplir: es proteger el negocio en un mercado que ya opera con expectativas globales.