EXPEDIENTE 1625-D-2026 • Cámara de Diputados · HCDN • 2026 — Año de la Grandeza Argentina

Actualizar la protección de datos personales acompañando a la innovación.

FIRMA DEL PROYECTO

Martín Yeza

Diputado Nacional · Buenos Aires

Soy Martín Yeza y presenté este proyecto como una de las tres iniciativas de reforma integral de la Ley 25.326 que hoy conviven en el Congreso argentino. Nuestra propuesta busca modernizar el marco vigente desde el año 2000, preservando derechos y acompañando al sector del conocimiento. 72 artículos · 13 títulos · sustituye a la Ley 25.326.

Explorar la reforma Ver el contexto

0 artículos

0 títulos

0 años de Ley 25.326

0M USD exportados en conocimiento 2024-25

desplazarse

PRO-INNOVACIÓN RESPONSABLE● CATEGORIZACIÓN TRIPARTITA● SANDBOX REGULATORIO● DATOS INFERIDOS● IA Y DECISIONES AUTOMATIZADAS● ADECUACIÓN UE● SEUDONIMIZACIÓN● HÁBEAS DATA● PRO-INNOVACIÓN RESPONSABLE● CATEGORIZACIÓN TRIPARTITA● SANDBOX REGULATORIO● DATOS INFERIDOS● IA Y DECISIONES AUTOMATIZADAS● ADECUACIÓN UE●

01 · Contexto histórico

Una ley anterior al smartphone

La Ley 25.326 fue sancionada el 4 de octubre de 2000, antes del smartphone y del cómputo en la nube. Su arquitectura pensó un mundo de bases de datos estáticas y tratamientos determinísticos. Veintiséis años después, creemos que merece una actualización que respete su espíritu y la ponga a la altura del entorno actual.

2000

Ley 25.326

Se sanciona la Ley de Protección de Datos Personales en ejecución del art. 43 tercer párrafo de la Constitución Nacional.

2003

Adecuación UE

La Decisión 2003/490/CE convierte a Argentina en el primer país latinoamericano con nivel adecuado conforme a la Directiva 95/46.

2016–2017

Anteproyecto AAIP

Gestión Eduardo Bertoni, programa "Justicia 2020". El Mensaje PEN 147/2017 envía un proyecto al Senado; pierde estado parlamentario.

2023

Mensaje PEN 87/2023

Anteproyecto AAIP 2022 firmado por Agustín Rossi. Dictamen en comisión, pero caduca en 2024.

15·01·2024

Nueva adecuación UE

Argentina obtiene la renovación de la decisión de adecuación por parte de la Unión Europea para el flujo internacional de datos personales, ratificando al país como destino seguro para transferencias desde el bloque europeo.

25·06·2025

Nuestro borrador, a consulta pública

Publicamos el borrador en el Portal de Leyes Abiertas de la HCDN (76 artículos). La consulta pública estuvo abierta hasta el 25/07/2025 y recibimos aportes de la sociedad civil, academia e industria.

2026

Expediente 1625-D-2026

Formalizamos el expediente con 72 artículos en 13 títulos, incorporando los aportes de la consulta: 4 artículos menos y un tope sancionatorio calibrado en el 3% de facturación.

En el Congreso conviven tres proyectos de reforma en simultáneo: Carro (1948-D-2025), Doñate (644-S-2025) y el nuestro (1625-D-2026). Los dos primeros siguen de cerca el GDPR europeo; nosotros proponemos un enfoque complementario, con proporcionalidad por tamaño y un sandbox regulatorio para acompañar la innovación.

02 · Ejes del proyecto

Cuatro ideas que organizan la propuesta

Nuestro proyecto adapta la arquitectura regulatoria de la Ley 25.326 al contexto actual. Te invito a recorrer los cuatro ejes que lo estructuran — cliqueá cada uno para conocer los detalles.

03 · Título IV — Derechos del titular

Tus derechos sobre tus datos

Nuestro proyecto ordena en ocho derechos fundamentales lo que cada persona puede ejercer sobre sus datos personales. Cliqueá cada carta para conocer su alcance.

Art. 12

Información

Conocer los fines del tratamiento, bases legales, tus derechos y las transferencias previstas. Por medios digitales estandarizados.

Art. 13

Acceso

Obtener confirmación y acceder a los datos, finalidades, categorías, destinatarios y origen. Por medios automatizados seguros.

Art. 14

Rectificación

Corregir datos inexactos o actualizar desactualizados. Procesos razonables, sin pruebas desproporcionadas.

Art. 15

Supresión

Borrado de datos ya no necesarios, consentimiento retirado o tratamiento ilegal. Para IA: procedimiento especial del Art. 10.

Art. 16

Limitación

Suspensión temporal del tratamiento en caso de impugnación de exactitud, tratamiento ilícito u oposición.

Art. 17

Portabilidad

Recibir tus datos en formato estructurado y transmitirlos a otro responsable. Incluye resultados de perfil de alto impacto.

Art. 18

Oposición

Oponerte al tratamiento o a una finalidad específica cuando no mediara consentimiento.

Art. 19

Revisión humana en decisiones automatizadas

Solicitar la revisión de decisiones basadas exclusivamente en IA que produzcan efectos jurídicos o impactos relevantes.

04 · Título V — Obligaciones del responsable

Tres niveles, una misma ley

Proponemos obligaciones calibradas según el tamaño y riesgo del tratamiento, para que una PyME no tenga la misma carga regulatoria que una multinacional. Elegí tu tipo de organización y fijate qué te corresponde cumplir.

Empresa con tratamiento básico

Tratamientos de alcance limitado, no sistemáticos, sin datos sensibles habituales ni decisiones automatizadas con impacto significativo.

✓ Medidas técnicas y organizativas apropiadas

✓ Información de contacto accesible del responsable

✓ Atender solicitudes en plazos razonables

✓ Registro simplificado de actividades

— Sin DPO obligatorio

— Sin evaluación de impacto obligatoria

Tope sancionatorio 0,5% facturación anual argentina

Empresa con tratamiento intermedio

Tratamientos de alcance relevante o recurrente, con tratamiento accesorio de datos sensibles.

✓ Todo lo del nivel básico

✓ Medidas de seguridad acordes al nivel de operación

✓ Registros adecuados de actividades

✓ Políticas de privacidad claras y accesibles

✓ Capacitación del personal involucrado

— DPO recomendado (no obligatorio)

Tope sancionatorio 2% facturación anual argentina

Empresa con tratamiento avanzado

Gran escala, datos sensibles principales, sistemas de IA o mecanismos de decisión automatizada con efectos jurídicos relevantes.

✓ Todo lo del nivel intermedio

✓ Delegado de Protección de Datos (DPO)

✓ Evaluaciones o revisiones periódicas

✓ Programas de capacitación continua

✓ Mecanismos reforzados de gestión y control

✓ Evaluación de impacto en tratamientos de alto riesgo

Tope sancionatorio 3% facturación anual argentina

dato clave

Con nuestro proyecto, una PyME con bases transaccionales clásicas ingresaría al nivel básico con obligaciones simplificadas, evitando cargas como DPO, DPIA, auditorías sistemáticas y documentación intensiva que hoy el GDPR aplica con relativa indiferencia del tamaño.

05 · Título XII — Sandbox regulatorio

Un laboratorio para innovar dentro de la ley

Incorporamos una figura poco explorada en nuestro país: un marco que permite a la AAIP autorizar proyectos experimentales con condiciones diferenciadas y excepciones limitadas. La idea es que startups, IA y nuevos modelos de negocio tengan un carril oficial para probar con reglas claras.

Proyecto innovador

Iniciativas de base tecnológica con menos de 5 años y alto componente de innovación.

Resolución fundada

La autoridad (AAIP) autoriza entornos de prueba temporales con condiciones específicas.

Ensayo controlado

Excepciones limitadas a obligaciones regulares, sin riesgo significativo para los titulares.

Cierre y reporte

Al finalizar: incorporación al régimen regular, anonimización o supresión. Reportes finales.

Modalidades posibles

Tecnologías de privacidad (PETs) Incertidumbre regulatoria Sistemas avanzados de IA Anonimización Seudonimización Federated learning Machine unlearning

06 · Impacto

Qué podría ganar la Argentina

Más allá de la actualización técnica, creemos que nuestro proyecto puede mejorar la posición argentina en la economía digital global si se acompaña con diálogo sectorial y reglamentación cuidadosa.

0M USD

Servicios basados en conocimiento

Exportaciones argentinas del sector en 2024-2025, +20,8% interanual (ArgenCon). Es la tercera cadena exportadora del país y nuestra prioridad es que esa trayectoria no se interrumpa.

0mil

Empleos formales del sector

Es la plantilla que genera hoy el complejo knowledge-based (ArgenCon 2025). Aprox. 20-25% del destino exportador es Europa — por eso preservar el puente regulatorio con la UE es estratégico.

Adecuación UE renovada

En enero de 2024 Argentina obtuvo la renovación de la decisión de adecuación europea. Es un activo que nuestro proyecto cuida: preservamos los estándares que la UE valoró para ratificar al país como destino seguro.

Cloud geopolítico

No exigimos localización física obligatoria: coherente con la estrategia de atraer infraestructura de hiperescaladores. AWS, Google Cloud y Azure pueden operar desde regiones regionales sin fricción adicional.

Datos inferidos codificados

Reconocemos una categoría que ni GDPR ni EDPB tratan expresamente: perfiles, predicciones y conclusiones derivadas del análisis de datos. Les damos estatuto legal y obligaciones asociadas.

Tope sancionatorio proporcional

Frente al 4% global del GDPR, el tope de nuestro proyecto es 3% de facturación local, con mínimos fijos para las infracciones más graves. Una escala que puede ajustarse en el trámite sin romper la lógica proporcional.

Hábeas data modernizado

Procedimiento abreviado de 30 días, gratuidad garantizada, acción colectiva consolidada y medidas cautelares sin caución para datos sensibles. Vía administrativa previa obligatoria.

0años

Consentimiento de menores

Alineado con UK y COPPA de EE.UU. Más flexible que España (14), Francia (15) o GDPR default (16). Un tema sobre el que escuchamos a sociedad civil y está abierto a conversación durante el trámite.

07 · Antes / Después

Ley 25.326 vs nuestro proyecto

Comparación dimensión por dimensión. Deslizá el control para saltar de un régimen al otro.

Seudonimización

Ley 25.326No regulada

Nuestro proyectoDefinida y habilitada para investigación e innovación

Sandbox regulatorio

Ley 25.326No existe

Nuestro proyectoAutorizaciones temporales otorgadas por AAIP

Obligaciones por tamaño

Ley 25.326Homogéneas

Nuestro proyectoEscalonadas en tres niveles (básico / intermedio / avanzado)

DPO (Delegado PD)

Ley 25.326No exigido

Nuestro proyectoObligatorio sólo en nivel avanzado

Registro de bases

Ley 25.326Obligatorio, público ante la AAIP

Nuestro proyectoSe elimina — sustituye por registros internos

Transferencias internacionales

Ley 25.326Art. 12 + países adecuados + cláusulas tipo

Nuestro proyectoÍdem + sin almacenamiento físico en Argentina como condición previa

Notificación de incidentes

Ley 25.326No figura explícitamente

Nuestro proyecto"Plazo razonable" a titulares si "daño concreto"

Edad del consentimiento

Ley 25.326No fija edad específica

Nuestro proyecto13 años

Sanciones máximas
Ley 25.326Hasta ~$15M ARS por acto (AAIP 240/2022)
Nuestro proyectoHasta 3% facturación anual argentina

Hábeas data

Ley 25.326Arts. 33-46

Nuestro proyectoArts. 45-59, con plazos abreviados y gratuidad

Autoridad de aplicación

Ley 25.326AAIP (Ley 27.275)

Nuestro proyectoAAIP con facultades reformuladas

08 · Referencias internacionales

Cómo dialoga con el resto del mundo

Tomamos referencias de jurisdicciones que trabajaron este balance: Reino Unido (DUAA), Corea del Sur (PIPA) y Singapur (PDPA). Mantenemos la conversación abierta con el GDPR europeo porque la adecuación UE nos importa mucho.

Régimen Tope máximo Base de cálculo

GDPR (UE) €20M o 4% facturación global global

UK GDPR / DUAA 2025 £17,5M o 4% facturación global global

PIPA Corea (punitiva, desde 2023) 3% facturación total global

PDPA Singapur $10M o 10% turnover local local

LGPD Brasil R$50M o 2% facturación en Brasil local

Ley 25.326 Argentina (vigente) ~$15M ARS (AAIP 240/2022) fijo

        Nuestro proyecto · 1625-D-2026
        3% facturación anual argentina
        local
      

Corea del Sur es una referencia cercana: combinan un enfoque pro-innovación con un régimen sancionatorio firme. PIPA habilita el tratamiento de datos seudonimizados sin consentimiento para estadística, investigación científica y archivo de interés público. Su reforma de 2023 introdujo un tope del 3% de facturación total, clausura permanente como sanción y lineamientos sobre IA — un equilibrio que nos parece útil de estudiar.

09 · Tecnología en la norma

IA, datos inferidos y seudonimización

Tres piezas técnicas que procuran darle al proyecto la capacidad de dialogar con la economía de la inteligencia artificial sin perder de vista los derechos.

Art. 6 · Entrenamiento con datos públicos

Válido como interés legítimo cuando los datos son accesibles sin restricción técnica/legal, no incluyen sensibles, hay medidas de seguridad proporcionales y mecanismo claro, gratuito y accesible de oposición.

Art. 9-10 · Datos inferidos y unlearning

Categoría codificada: perfiles, predicciones o conclusiones con capacidad de influir en decisiones. Si la supresión en modelos entrenados no es técnicamente viable, se documenta y aplica bloqueo + exclusión futura + anonimización.

Art. 11 · Régimen seudonimizado

Tratamiento sin consentimiento para estadística, investigación científica, archivo histórico o desarrollo y mejora de IA. Con protocolo documentado, separación de claves y resultados que no permitan reidentificación individual.

Art. 19 · Revisión humana razonable

Para decisiones exclusivamente automatizadas con efectos jurídicos o impactos relevantes. No aplica si la decisión es necesaria contractualmente, está autorizada por ley, o no produce efectos relevantes.

10 · Impacto sectorial

Cómo impacta en cada sector

Tecnología y AI/ML Oportunidad · Base legal doméstica clara, sandbox, pro-innovación ↓

El ecosistema argentino de IA —Technisys, Satellogic, Argentina's AI startups en fintech y salud— se beneficia de la base legal doméstica más clara que la europea y del régimen especial para startups y proyectos innovadores. Mercado Libre y Globant, gigantes con operaciones globales, probablemente ingresen al nivel avanzado y mantengan arquitectura GDPR-compliant como baseline.

Cloud (AWS, GCP, Azure) Oportunidad · Sin localización, competitividad regional ↓

La ausencia de obligación de localización es coherente con la estrategia argentina de atraer infraestructura. AWS, Google Cloud y Azure pueden operar sin localización obligatoria, imponer-la como han intentado Rusia, China, India y parcialmente Indonesia haría inviable gran parte del ecosistema SaaS argentino.

BPO y software factories Riesgo alto · Adecuación UE como piso competitivo ↓

La economía del conocimiento exportó USD 9.685 millones en 2024-2025 (ArgenCon 2025), siendo el tercer complejo exportador del país. Aproximadamente 20%-25% del destino es Europa. La pérdida de adecuación obligaría a los clientes europeos a implementar Cláusulas Tipo y evaluaciones de transferencia tipo Schrems II. Uruguay es el sustituto natural.

Financiero y Fintech Tensión · BCRA y oportunidad de portabilidad ↓

En el sector Financiero y fintech, tres cuestiones son críticas. Primero, el potencial superposición regulatoria con Comunicación "A" 7593 del BCRA y su régimen de scoring crediticio hacen esperar coordinación interinstitucional explícita. Segundo, el scoring crediticio algorítmico —central al modelo de negocio de Ualá, Naranja X, Mercado Pago y otros— queda en zona gris.

Salud, retail e IPOs Oportunidad · Seudonimización para investigación biomédica ↓

El régimen de seudonimización habilita investigación biomédica bajo condiciones razonables, comparable con PIPA Corea. Los registros del modelo PDPA Singapur. La ley 25.529 regula historia clínica pero su marco seudonimizado no está desarrollado reglamentariamente —el proyecto habilita esa ventana regulatoria.

Plataformas sociales (adolescentes) Controversia · Consentimiento a 13 años ↓

Modelos de negocio alrededor de plataformas sociales adolescentes. El consentimiento a 13 años alinea a Argentina con UK y COPPA de EE.UU., pero el GDPR default es 16 y España fija 14. Críticos como Fundación Vía Libre ya anticipan cuestionamiento al nivel de flexibilización.

11 · Art. 64 — Vigencia escalonada

Cuándo entra en vigencia cada pieza

Proponemos que la ley no se encienda de golpe. Un calendario progresivo da tiempo al ecosistema para adaptarse y a la autoridad de aplicación para reglamentar bien cada pieza.

180 días

Disposiciones generales y principios (arts. 1º–5º). Reglamentación PEN.

12 meses

Derechos del titular y obligaciones generales (arts. 12º–29º). Acción de hábeas data. Deroga Ley 25.326.

18 meses

Datos inferidos. Régimen de datos seudonimizados (art. 11º).

24 meses

Régimen sancionador completo. Período de transición con gracia y asistencia técnica.

30 meses

Disposiciones sobre inteligencia artificial. Cierre del esquema normativo.

12 · Cierre

Una oportunidad para actualizarnos

Nuestro proyecto es una de las tres iniciativas que hoy conviven en el Congreso. No pretende ser la respuesta definitiva, pero sí ofrece un camino posible: proporcionalidad para PyMEs, un sandbox regulatorio, reglas claras para IA y una articulación cuidada con el GDPR europeo.

Creemos que para que prospere en el trámite parlamentario necesita aportes de todos los sectores. Ya recogimos muchos durante la consulta pública; quedan debates abiertos sobre el plazo de notificación de incidentes y la calibración fina del tope sancionatorio. Partimos desde un buen lugar: la adecuación UE está renovada y la AAIP conserva su autonomía institucional. Estamos disponibles para seguir conversándolos.

La evidencia internacional muestra que el equilibrio entre protección e innovación se construye con diálogo, tiempo y reglamentación cuidadosa. Ese es el espíritu con el que presentamos esta propuesta.