Nuevos proyectos de ley de datos personales en Argentina

Se trata del proyecto impulsado por el diputado Yeza y los proyectos 644-S-2025 y 1948-D-2025 −estos últimos idénticos en contenido− impulsados por otros por senadores y diputados.

Las tres iniciativas buscan modernizar el marco normativo en materia de protección de datos personales, alineándolo con estándares internacionales. En las propuestas se introducen conceptos innovadores como la anonimización, los datos biométricos, las decisiones automatizadas y la elaboración de perfiles.

Los principales aspectos de estos proyectos son los siguientes:

• Filosofía general y tono normativo: el proyecto del diputado Yeza adopta un enfoque orientado a la innovación y la tecnología, mientras que los otros dos proyectos priorizan una perspectiva que se centra en la protección de derechos fundamentales.  
• Bases legales para el tratamiento: los tres proyectos amplían las bases legales existentes, incluyendo el interés legítimo. Los proyectos 644-S-2025 y 1948-D-2025 incorporan también el salvaguardo de una vida como base legal.
• Clausulas específicas: todos los proyectos contemplan disposiciones específicas para el tratamiento de datos personales de menores de edad. Los proyectos 644-S-2025 y 1948-D-2025 también regulan expresamente el tratamiento de datos en el sector público.
• Tipificación de actores y enfoques por niveles: el proyecto del diputado Yeza introduce una clasificación de las empresas según el nivel de tratamiento de datos (básico, intermedio, avanzado), con obligaciones diferenciadas y un régimen especial para startups y proyectos innovadores.
• Evaluación de impacto: los tres proyectos exigen evaluaciones de impacto según la naturaleza, escala y contexto del tratamiento. Los proyectos 644-S-2025 y 1948-D-2025 lo especifican para tratamientos automatizados y de datos sensibles a gran escala.
• Delegado de protección de datos: en los tres proyectos, la designación de un delegado de protección de datos es obligatoria en ciertos casos. El proyecto del diputado Yeza lo limita a empresas con tratamiento avanzado, mientras que los otros dos amplían su obligación, especialmente para organismos públicos.
• Notificación de incidentes de seguridad: los tres proyectos establecen la obligación de notificar incidentes, pero difieren en los plazos. El proyecto del diputado Yeza exige un “plazo razonable” para notificar a la autoridad y obliga a notificar a los titulares cuando exista una “probabilidad significativa de perjuicio concreto”. Los otros dos proyectos fijan un plazo de 72 horas para notificar a la autoridad y exigen la notificación a los titulares, sin plazo especifico.
• Régimen sancionatorio: el proyecto del diputado Yeza contempla advertencias, multas y suspensiones temporales, con un tope de multa del 1 % de la facturación anual nacional. En cambio, los otros dos proyectos incluyen la posibilidad de cierre definitivo y multas de entre el 2 % y el 4 % o 5 % de la facturación anual global.
• Innovaciones adicionales: el proyecto del diputado Yeza incorpora definiciones sobre datos inferidos, reconociéndolos como categoría diferenciada. También, introduce el concepto de “sandbox regulatorio”.

Los tres proyectos tienen influencia del Reglamento General de Protección de Datos (RGPD) y demás regulaciones internacionales.