El 28 de enero (#DataPrivacyDay) de 2025 la firma global Baker McKenzie publicó una versión actualizada del “Global Data & Cyber Handbook”. Allí brinda un análisis comparativo de los estándares cada vez más complejos de privacidad de datos y ciberseguridad en más de 50 países.

En esta entrevista para Abogados.com.ar, Martín Roth (socio) y Catalina Beñatena (asociada) del Grupo de Tecnologías de la Información y Comunicación de la Oficina Baker McKenzie, liderado por el socio y managing partner Guillermo Cervio, analizan la situación del sector en Argentina.

¿Cómo se implementan las regulaciones de datos y ciberseguridad?

Martín Roth: En Argentina, las regulaciones de datos y ciberseguridad suelen implementarse a través de un enfoque integral que, en general, abarca tanto datos personales como no personales. Esto incluye normas específicas para distintas industrias (por ejemplo, instituciones financieras) y organismos gubernamentales, así como disposiciones constitucionales. Además, se han establecido comités y estrategias nacionales para coordinar y fortalecer la ciberseguridad a nivel federal.

¿Cuáles son las principales leyes y regulaciones de privacidad de datos?

Catalina Beñatena: A nivel nacional, las principales leyes y regulaciones de privacidad de datos en Argentina incluyen la Constitución Nacional, la Ley de Protección de Datos Personales N° 25.326, el Decreto Reglamentario N° 1558/2001, y disposiciones y resoluciones emitidas de tanto en tanto por el regulador.  Estas normas establecen las bases para la protección de datos personales, y regulan el procesamiento en general, incluyendo, por ejemplo, actividades de recolección y transferencias internacionales, definiéndose también las medidas de seguridad general recomendadas para el tratamiento y conservación de datos, independientemente de la industria en la que se opere.

¿Cuáles son las principales leyes y regulaciones de ciberseguridad?

Martín Roth: Las principales leyes y regulaciones de ciberseguridad a nivel nacional en Argentina incluyen la Ley de Protección de Datos Personales N° 25.326, la Ley N° 26.904 sobre Grooming, y la Ley N° 26.388 que establece penas criminales por acceso no autorizado a la información. Además, se han implementado resoluciones y estrategias nacionales que abordan la seguridad de la información en el sector público y la creación de agencias federales de ciberseguridad.

¿Se anticipan nuevos cambios o cambios significativos en las principales leyes de datos y ciberseguridad en el futuro cercano?

Martín Roth: No se anticipan cambios significativos en el futuro cercano, más allá de los diversos proyectos de ley existentes. Por ejemplo, el proyecto de Ley de Protección de Datos Personales presentado en el Congreso en 2023 y que en algún momento -difícil determinar cuándo considerando el contexto actual- podría ser finalmente promulgado. El Proyecto propone enmiendas importantes al régimen actual (por ejemplo, referencias expresas a su aplicación extraterritorial en ciertos casos, nuevas bases legales para el tratamiento, y una definición ampliada de datos sensibles).

Catalina Beñatena: Además, aunque el proceso legislativo para incorporar el Convenio 108+ (sobre la Protección de las Personas con respecto al Tratamiento Automatizado de Datos Personales) ha sido completado, aún éste  no está en vigor. Este Convenio introduce obligaciones adicionales para la protección de datos personales y su implementación podría tener un impacto significativo en las prácticas de ciberseguridad en Argentina.

¿Cómo se compara el marco regulatorio de Argentina en materia de datos y ciberseguridad con el de otros países, como la Unión Europea?

Martín Roth: La Ley de Protección de Datos Personales N° 25.326 se encuentra alineado con el Reglamento General de Protección de Datos de la Unión Europea en cuanto a principios generales y algunos de derechos de los titulares de los datos, entre otras cosas. Sin embargo, el Reglamento es más exhaustivo, específico y riguroso en varias áreas, como las obligaciones de notificación de incidentes de seguridad, las sanciones por incumplimiento y la aplicación extraterritorial.

Catalina Beñatena: En enero de 2024, la Comisión Europea publicó sus conclusiones de la primera revisión de las decisiones de adecuación adoptadas en 1995, determinando que Argentina, entre otros, garantiza un nivel adecuado de protección. Ser considerada una jurisdicción adecuada facilita las transferencias internacionales de datos, mejora la confianza y reputación, simplifica el cumplimiento normativo, proporciona acceso a mercados europeos y ofrece seguridad jurídica.

Entre otras cuestiones, el Handbook aborda cómo podrían impactar en los negocios la creciente regulación cibernética, las tendencias de datos no personales y la normativa referente a inteligencia artificial, en constante evolución: https://bmcknz.ie/4ayS1Tk