Ley 25.326 e IA: tu empresa ya está incumpliendo

La Ley 25.326 de Protección de Datos Personales fue sancionada en el año 2000. No menciona inteligencia artificial en ninguno de sus artículos porque la IA generativa no existía. Pero sus disposiciones sobre transferencia internacional de datos aplican perfectamente — y la mayoría de empresas argentinas las está violando hoy mismo sin saberlo.

El artículo que más empresas violan sin saber

El artículo 12 de la Ley 25.326 prohíbe la transferencia de datos personales a países u organismos internacionales que no proporcionen niveles de protección adecuados, con algunas excepciones específicas.

Las excepciones más relevantes son: que el titular haya dado su consentimiento expreso, que exista un contrato que garantice las condiciones adecuadas de protección, o que la transferencia sea necesaria para la ejecución de un contrato con el titular.

Cuando un empleado copia datos de clientes en ChatGPT, esos datos van a servidores de OpenAI en Estados Unidos. No hay consentimiento del titular. No hay contrato de procesamiento de datos. Es una transferencia internacional de datos personales sin respaldo legal.

Por qué esto es urgente ahora

Durante años, la AAIP — la Agencia de Acceso a la Información Pública — tuvo recursos limitados para enforcement. Eso está cambiando. El uso masivo de IA generativa en empresas está generando presión regulatoria y los primeros casos de fiscalización específica sobre el uso de IA ya están ocurriendo en la región.

Además, los propios clientes enterprise están empezando a preguntar. En contratos de servicios profesionales, las cláusulas sobre uso de IA y tratamiento de datos están apareciendo cada vez más. Si tu empresa no puede responder qué hace con los datos de sus clientes cuando usa IA, eso es un riesgo comercial concreto hoy.

Los tres escenarios de mayor riesgo

Estudio jurídico que usa IA para redactar escritos con datos de partes: los datos de clientes, contraparte, y detalles del caso van a servidores externos sin consentimiento ni contrato.

Empresa de RRHH que usa IA para screening de CVs: los datos personales de candidatos se procesan en plataformas externas sin base legal clara.

Fintech que usa modelos externos para scoring: datos financieros y personales de usuarios argentinos procesados en servidores fuera del país sin los contratos requeridos.

Cómo regularizar la situación

Tres pasos concretos para reducir la exposición bajo Ley 25.326.

Primero, inventariá qué herramientas de IA usás y dónde están alojados sus servidores. Las herramientas enterprise de Microsoft, Google y otros tienen opciones de residencia de datos que pueden resolver parte del problema.

Segundo, revisá los términos de servicio de cada herramienta. Las versiones enterprise generalmente incluyen Data Processing Agreements que cumplen con los requisitos de transferencia internacional. Las versiones gratuitas generalmente no.

Tercero, actualizá tus políticas internas para prohibir el ingreso de datos personales de clientes en herramientas de IA sin contrato de procesamiento aprobado.

Esto no elimina todo el riesgo, pero demuestra diligencia — y eso importa mucho si alguna vez hay una fiscalización.