Nota del editor: la IAPP mantiene una posición neutral en cuestiones de políticas. Publicamos artículos de opinión y análisis de colaboradores para ofrecer a nuestros miembros una amplia gama de puntos de vista en nuestros ámbitos.

Durante los últimos meses, se han presentado ante el Congreso de la Nación Argentina diversos proyectos de ley orientados a actualizar el régimen de protección de datos personales y a establecer una regulación general de la inteligencia artificial. Estas iniciativas reflejan un creciente interés por armonizar el desarrollo tecnológico con la tutela efectiva de los derechos fundamentales.

Actualización de la Ley de Protección de Datos Personales

Dos proyectos recientemente ingresados al Congreso —uno impulsado por el diputado Pablo Carro y otro por el senador Martín Doñate— proponen una reforma integral de la Ley 25.326, que este año cumple 25 años desde su sanción. Ambos textos se inspiran en el anteproyecto elaborado por la Agencia de Acceso a la Información Pública (AAIP), que perdió estado parlamentario al terminar el año 2024, y procuran alinear la normativa argentina con estándares internacionales, como el Reglamento General de Protección de Datos (RGPD) de la Unión Europea y la Ley General de Protección de Datos de Brasil.

Entre sus principales novedades respecto de la ley actual, los proyectos incorporan nuevos principios, como la responsabilidad proactiva y demostrada, la privacidad por defecto y por diseño, y nuevos derechos para los titulares, como la portabilidad y la oposición a decisiones automatizadas que produzcan efectos jurídicos o afecten al titular negativamente. También introducen otros institutos modernos en materia de protección de datos, como la figura del delegado de protección de datos y la notificación de incidentes de seguridad, y se elimina el deber actualmente vigente de registrar bases de datos ante la autoridad de control.

Una diferencia significativa entre el proyecto del senador Doñate y aquellos presentados por el diputado Caro y la AAIP, es la necesidad de que la designación del titular de la autoridad de protección de datos personales sea aprobada por el Senado. Esta cláusula podría contribuir a reforzar la autonomía e independencia de la autoridad, en consonancia con los estándares internacionales en la materia.

Si bien la actualización de la Ley de Protección de Datos Personales resulta necesaria, no puede dejarse de lado el análisis del impacto regulatorio para el sector privado de ciertos puntos de los proyectos. Por ejemplo, el plazo improrrogable de diez días hábiles para satisfacer los derechos ejercidos por los titulares puede resultar de difícil cumplimiento. Mantenerlo condenaría a gran parte de las solicitudes a no ser respondidas en plazo. Establecer plazos más razonables, alineados con el RGPD, traería mayor seguridad jurídica para los responsables, pero también para los titulares, que tendrían más probabilidades de recibir una respuesta a sus solicitudes sin la necesidad de recurrir a la vía judicial o administrativa. 

Asimismo, sería deseable que los proyectos legislativos contemplen un régimen diferenciado de cumplimiento para las micro, pequeñas y medianas empresas, que preserve los principios fundamentales de la protección de datos personales en beneficio de los titulares, sin incrementar innecesariamente la carga administrativa asociada a su implementación y cumplimiento. Dados los recursos limitados con los que cuentan las MiPyMEs, resulta clave que los proyectos reforma no imponga exigencias desproporcionadas que puedan comprometer su competitividad o desalentar la innovación. Las MiPyMEs son un pilar central de la economía nacional, por lo que el ajustarse a su realidad contribuirá tanto al fortalecimiento del ecosistema empresarial como a una aplicación más efectiva de los derechos de los titulares de datos personales en el país. Este debate no es meramente local, ya que recientemente la Comisión Europea ha planteado preocupaciones similares respecto de las pequeñas y medianas empresas de cara al RGPD.

En este sentido, la Unión Europea está trabajando en una reforma del RGPD para PyMEs con el fin de reducir su carga administrativa, manteniendo intactos los principios de protección de datos.

Otra oportunidad de mejora desde la perspectiva del sector privado es el exiguo plazo de adecuación que proponen los proyectos. Mientras que el RGPD y la Ley de Brasil establecieron un período de dos años para que las empresas se adapten a los cambios legislativos, los textos comentados solamente brindan seis meses.

Regulación del reconocimiento facial con fines de seguridad pública

En paralelo, el diputado Martín Yeza presentó un proyecto de ley que establece un marco normativo para el uso de tecnologías de reconocimiento facial con fines de seguridad ciudadana, prevención del delito e investigación judicial.

El texto busca compatibilizar el uso de estas tecnologías con el respeto por los derechos fundamentales, en particular el derecho a la protección de los datos personales. Así establece que los sistemas de reconocimiento facial, que vayan a ser usados con fines de seguridad, deberán estar sujetos, antes de su implementación, a una evaluación de impacto y a un proceso de autorización por parte de la AAIP. Además, prohíbe expresamente ciertos usos como la vigilancia masiva o el seguimiento rutinario de personas no sospechadas de haber cometido delitos, en línea con los estándares de la Ley Europea de Inteligencia Artificial. También prevé la obligación de una supervisión humana de las identificaciones automáticas que realicen estos sistemas.

Aunque algunas disposiciones del proyecto pueden interpretarse como contrarias al principio de neutralidad tecnológica —por ejemplo, al imponer la utilización de tecnologías de registro distribuido como garantía de privacidad—, se valora positivamente la incorporación de conceptos vinculados a las Tecnologías de Mejora de la Privacidad como mecanismo para salvaguardar los datos personales tratados por estas herramientas.

En su presentación del proyecto, el diputado Yeza destacó la necesidad de contar con un marco legal adecuado para regular estos sistemas, tomando como antecedente el caso del Sistema de Reconocimiento Facial de Prófugos de la Ciudad Autónoma de Buenos Aires, suspendido por el Poder Judicial local en 2022 a raíz de diversas presentaciones de organizaciones de la sociedad civil.

Hacia una regulación integral de la IA

También se han presentado en el Congreso propuestas para una regulación general de la inteligencia artificial. Los proyectos de la Senadora Silvia Sapag y del Diputado Daniel Gollán reconocen como principios rectores la transparencia, la explicabilidad, la seguridad y la protección de los datos personales. Ambos textos clasifican los sistemas de IA en categorías de acuerdo con su nivel de riesgo: sistemas prohibidos, sistemas de alto riesgo y otras categorías con cargas regulatorias progresivamente menores. Entre los casos de uso prohibidos en ambos proyectos se encuentran la manipulación del comportamiento que pueda inducir a una persona a poner en peligro su salud o seguridad y el establecimiento de sistemas de calificación social que provoquen tratos perjudiciales desfavorables o negación de derechos a los interesados. En la propuesta del Diputado Gollán, esta última prohibición se encuentra circunscripta al ámbito gubernamental.

El proyecto de Gollán también se distingue por habilitar a la autoridad de control a promover el desarrollo de sandboxes regulatorios para sistemas de IA, es decir, entornos controlados de prueba previos a su comercialización. La participación en estos espacios sería limitada en el tiempo y estaría sujeta a una supervisión constante por parte de la autoridad de control.

Reflexiones finales

Estas propuestas legislativas se enmarcan en una tendencia creciente, tanto en Argentina como en la región, orientada a regular las tecnologías emergentes—particularmente la inteligencia artificial—y su interacción con derechos fundamentales como la protección de los datos personales. Este contexto habilita discusiones particularmente relevantes: ¿es conveniente avanzar en regulaciones específicas para determinados casos de uso, como propone el proyecto del diputado Yeza respecto del reconocimiento facial con fines de seguridad pública? ¿O resulta más adecuado priorizar una regulación general y transversal sobre protección de datos personales o inteligencia artificial?

Otro punto para debatir a raíz de los proyectos relevados es si la Ley Europea de Inteligencia Artificial es una guía apropiada para adoptar como modelo en la actualidad. Diversos actores europeos han señalado la necesidad de revisar el contenido de esta norma, dado que fue elaborada de forma previa a la masificación en el uso de inteligencia artificial generativa, y por ende no regula correctamente esta tecnología.

Estos interrogantes, entre muchos otros, ponen de manifiesto la necesidad urgente de construir consensos amplios. No solo en el plano político, sino también entre los actores clave del ecosistema tecnológico: organismos reguladores, empresas, cámaras empresariales, academia, usuarios y organizaciones de la sociedad civil. Solo a través de estos acuerdos será posible avanzar hacia un marco normativo capaz de equilibrar de manera eficaz los derechos y libertades individuales con la seguridad, el desarrollo económico y la innovación tecnológica.

Gabriela Szlak es abogada, socia directora de la firma Lerman & Szlak y copresidente del capítulo KnowledgeNet de la IAPP en Buenos Aires.