Reforma de protección de datos en Argentina: Guía de cumplimiento del consentimiento de cookies para editores
Argentina tiene uno de los regímenes de protección de datos más antiguos de América Latina. La Ley 25.326, la Ley de Protección de Datos Personales del país, fue adoptada en 2000 y concedió a Argentina la decisión de adecuación de la Comisión Europea en 2003 — un estatus que ha dado forma a dos décadas de derecho a la privacidad latinoamericano. Ese régimen se está modernizando ahora. Un proyecto de ley de reforma, impulsado por la Agencia de Acceso a la Información Pública (AAIP) y debatido en el Congreso desde 2023, alinearía la Ley 25.326 mucho más estrechamente con el GDPR: estándares de consentimiento explícito, reglas más estrictas sobre transferencias transfronterizas, obligaciones específicas para los encargados del tratamiento y multas administrativas significativas. Para los editores que operan en Argentina o que procesan datos personales de residentes argentinos, la reforma remodela cómo debe obtenerse, registrarse y demostrarse el consentimiento de cookies. Esta guía resume qué está cambiando y qué hacer al respecto.
El trasfondo jurídico
La Ley 25.326 se redactó antes de que la publicidad conductual existiera a gran escala. Su estándar de consentimiento requería autorización previa, expresa e informada, pero la interpretación práctica por parte de la AAIP ha sido históricamente menos prescriptiva que la aplicada por los supervisores europeos. Las cookies, los píxeles de seguimiento y las herramientas de creación de audiencias han operado en Argentina bajo un régimen interpretativo relativamente permisivo, con la aplicación centrada en casos flagrantes más que en el diseño sistemático de banners.
La reforma cambia el entorno operativo de tres maneras estructurales. En primer lugar, endurece la definición de consentimiento para seguir el lenguaje del Artículo 4(11) del GDPR — otorgado libremente, específico, informado e inequívoco. En segundo lugar, adopta un principio explícito de responsabilidad proactiva que requiere que los responsables del tratamiento puedan demostrar el cumplimiento, no meramente afirmarlo. En tercer lugar, eleva la multa administrativa máxima a un nivel proporcional a los ingresos de la organización, lo que cambia materialmente el cálculo de aplicación para las plataformas internacionales.
Qué cuenta como consentimiento bajo el estándar reformado
El texto reformado, en la versión más recientemente presentada al Congreso, refleja la comprensión europea del consentimiento en aspectos importantes. Las casillas premarcadas no constituyen consentimiento. El uso continuado de un sitio web no constituye consentimiento. Agrupar el consentimiento para finalidades no relacionadas — por ejemplo, tratar la aceptación de los términos de servicio como autorización para la publicidad conductual — no constituye consentimiento. La AAIP ha señalado en talleres y consultas que pretende interpretar el estándar reformado con referencia al cuerpo de orientación del EDPB, lo que significa que los editores argentinos deben esperar que la aplicación de los banners de cookies converja en los mismos seis modos de fallo que el Grupo de Trabajo de Banners de Cookies del EDPB ha documentado: botones de rechazo ausentes, diseño de enlaces engañoso, categorías premarcadas, cookies mal etiquetadas, mecanismos de retirada ausentes y patrones oscuros de diseño coercitivo.
La implicación práctica para los banners de cookies en Argentina es que el diseño que pasa el escrutinio de la UE pasará el escrutinio argentino bajo la reforma. Por el contrario, un banner que haya estado operando en Argentina bajo la antigua interpretación más laxa puede necesitar un rediseño sustancial antes de que la ley reformada entre en vigor.
Transferencias transfronterizas de datos
Uno de los cambios más importantes de la reforma es el tratamiento de las transferencias internacionales de datos. Bajo la Ley 25.326 tal como fue originalmente promulgada, las transferencias a países sin protección adecuada requerían o bien un consentimiento específico o bien una salvaguardia contractual, pero las normas eran escasas y la AAIP tenía una capacidad de aplicación limitada. La reforma introduce un marco escalonado que es paralelo al Capítulo V del GDPR: las transferencias están permitidas a países que la AAIP designe como adecuados; a falta de adecuación, las transferencias requieren instrumentos aprobados como normas corporativas vinculantes, cláusulas contractuales tipo aprobadas por la AAIP o derogaciones específicas.
Para los editores que enrutan el tráfico argentino a través de proveedores de adtech de EE. UU., la UE o Asia, la consecuencia práctica es que el registro del consentimiento de cookies ahora también debe respaldar una obligación de responsabilidad en las transferencias. El CMP debe poder mostrar, para cualquier visitante concreto, qué categorías de proveedores recibieron sus datos personales y bajo qué instrumento de transferencia. Es la misma arquitectura de responsabilidad que los editores europeos han estado construyendo para el GDPR, aplicada al tráfico argentino.
El papel de la AAIP
La Agencia de Acceso a la Información Pública es la autoridad argentina de protección de datos. Creada en 2017 mediante el Decreto 746/2017, consolida la supervisión de los regímenes de protección de datos y de libertad de información. Bajo la ley actual sus poderes de aplicación son modestos; la reforma los refuerza sustancialmente.
Poderes de investigación
La reforma otorga a la AAIP poderes reforzados para obligar a la producción de documentos, realizar inspecciones e imponer medidas cautelares durante las investigaciones. Para los editores en línea, es probable que se manifieste como solicitudes de registros de consentimiento, listas de proveedores e instantáneas del código del banner que abarcan rangos de fechas específicos.
Régimen sancionador
Las multas administrativas máximas bajo el texto reformado están vinculadas a un porcentaje de los ingresos anuales, con un límite absoluto elevado. Este es un cambio significativo respecto al régimen actual de importes fijos y sitúa a Argentina en línea con la estructura escalonada de multas del GDPR.
Coordinación con homólogos latinoamericanos
La AAIP es un participante activo en la Red Iberoamericana de Protección de Datos. Se espera que las orientaciones argentinas reformadas influyan — y sean influidas por — la ANPD de Brazil, el INAI de Mexico, el régimen reformado de Chile y la URCDP de Uruguay. Los editores que operan en toda la región deben esperar una convergencia en los estándares de consentimiento en un plazo de 24 a 36 meses.
Lo que deben hacer los editores ahora
La reforma está en movimiento legislativo, aún no en vigor. La postura conservadora es construir según el estándar más exigente ahora, bajo la suposición de que la promulgación se producirá en un plazo de 12 a 18 meses. Cinco pasos operativos hacen manejable la transición.
- Audite el banner actual según los criterios del grupo de trabajo del EDPB. Si falla en alguno de los seis modos de fallo comunes, el mismo banner fallará bajo el estándar argentino reformado una vez que entre en vigor. La corrección ahora evita rehacer el trabajo más adelante.
- Añada versiones del banner y la política en español. El español argentino (es-AR) es el idioma principal de cara al usuario; asegúrese de que el CMP lo soporte de forma nativa, no solo en español genérico.
- Mapee la lista de proveedores con los instrumentos de transferencia. Para cada proveedor de adtech, analítica o marketing que reciba datos personales argentinos, documente el instrumento de transferencia: adecuación, cláusulas contractuales tipo, normas corporativas vinculantes o derogación.
- Configure el registro del consentimiento con granularidad regional. Los registros de consentimiento deben registrar el país de origen del visitante (derivado de la IP en el momento de la visualización del banner) para que una investigación de la AAIP pueda responderse con pruebas filtradas por país.
- Designe un punto de contacto para la correspondencia con la AAIP. Muchos editores internacionales operan en Argentina sin representante local formal; la reforma hace que la designación de un contacto para la autoridad de supervisión sea una necesidad práctica.
Más allá de los banners de cookies
La reforma argentina es más amplia que el consentimiento de cookies. Revisa los plazos de notificación de brechas de seguridad, introduce protecciones específicas para categorías de datos sensibles y crea nuevas obligaciones en torno a la toma de decisiones automatizada. Para los editores, el banner de cookies es la superficie de cumplimiento más visible, pero no es la única. La misma infraestructura de CMP que registra el consentimiento de cookies está bien posicionada para registrar otras decisiones de consentimiento — consentimiento de comunicaciones, consentimiento de uso compartido de datos con socios de retail media, consentimiento para funciones de personalización — y el requisito de responsabilidad de la AAIP se aplica a todos ellos.
La reforma refleja un patrón más amplio: América Latina avanza hacia estándares alineados con el GDPR, con implementaciones nacionales adaptadas a las tradiciones jurídicas locales. Los editores que ahora construyan una pila de consentimiento agnóstica de la región — una que registre el consentimiento granular específico para cada finalidad, admita múltiples idiomas y formatos de fecha, registre las decisiones en un formato de nivel de auditoría y se integre con la documentación de transferencias — gestionan el cumplimiento argentino, brasileño, mexicano y chileno a través del mismo proceso operativo. El costo de construir para una sola jurisdicción y luego adaptar para la siguiente ha sido históricamente mayor que el costo de construir para el estándar regional desde el principio.