Ley 25.326 Argentina: protección de datos para tu web

Si tu sitio web atiende a personas en Argentina, casi seguro estás tratando datos personales sin pensarlo demasiado: el correo que alguien deja en tu formulario de contacto, el nombre y el DNI en el alta de un cliente, el teléfono que entra por el chat, la dirección de envío de tu tienda online. Ese gesto cotidiano te coloca bajo la Ley 25.326 de Protección de los Datos Personales, la norma que en Argentina regula cómo se recogen, guardan y usan esos datos.

La buena noticia es que no necesitas ser abogado ni experto en seguridad para cubrir lo esencial. Buena parte de lo que la ley te pide se traduce en decisiones concretas: qué datos pides, cómo los proteges y cómo respondes cuando alguien quiere ejercer sus derechos. En esta guía verás qué es la Ley 25.326, qué significa el habeas data, qué rol cumple la AAIP, qué pasa con el registro de bases de datos y, sobre todo, qué puedes revisar hoy en tu web para reducir riesgo.

Esto es una guía práctica, no asesoría legal. Los montos de sanciones, los plazos y los detalles del registro de bases de datos cambian con el tiempo. Cuando algo sea incierto, te diremos que verifiques el texto vigente o consultes con un profesional.

Qué es la Ley 25.326

La Ley 25.326, sancionada en el año 2000, es la norma general de protección de datos personales en Argentina. Su objetivo es garantizar el derecho de las personas a controlar la información que existe sobre ellas en bases de datos, tanto públicas como privadas.

Esa ley es, además, la que pone en práctica el derecho constitucional de habeas data, reconocido en el artículo 43 de la Constitución Nacional. En palabras simples: toda persona puede saber qué datos suyos están registrados, para qué se usan y, si hace falta, exigir que se corrijan o se eliminen.

Conviene fijar tres roles desde el principio, porque la ley te asigna obligaciones según cuál seas:

• Titular de los datos: la persona a quien se refiere la información. Tu usuario o cliente.
• Responsable de la base de datos: quien decide para qué y cómo se tratan los datos. Si es tu negocio o tu producto, normalmente eres tú.
• Encargado del tratamiento: quien procesa datos por cuenta del responsable. Tus proveedores: el hosting, el servicio de email, la pasarela de pago, las herramientas de analítica.

Entender esto importa porque la responsabilidad frente al titular sigue siendo tuya aunque delegues el procesamiento en un proveedor. Tu relación con cada Encargado debería quedar documentada.

Qué es el habeas data en la práctica

El habeas data suena a latín jurídico, pero su idea es muy concreta: es la acción que le permite a cualquier persona acceder a los datos que se tienen sobre ella y pedir que se corrijan, actualicen o supriman si son falsos, están desactualizados o se tratan de forma indebida.

Para ti, como dueño de un sitio, el habeas data no es un trámite lejano de tribunales. Es la razón por la que tu producto debería poder, de forma real:

• Decirle a un usuario qué datos suyos guardas.
• Corregir o actualizar esos datos cuando lo pida.
• Eliminar sus datos cuando corresponda.

Si tu web recoge datos pero no tiene ninguna forma de atender estas solicitudes, estás acumulando un riesgo que tarde o temprano alguien te va a reclamar.

Los principios que rigen el tratamiento

La Ley 25.326 fija una serie de principios que deben cumplirse en todo tratamiento de datos. No hace falta que los memorices al pie de la letra; lo importante es entender la intención, porque guían cómo diseñas tu sitio:

• Licitud: las bases de datos no pueden tener finalidades contrarias a la ley.
• Finalidad: los datos se recogen para un propósito concreto y legítimo, y no pueden usarse para algo incompatible con ese fin. No pidas el DNI "por las dudas".
• Calidad: los datos deben ser ciertos, adecuados y no excesivos respecto del fin. Si no necesitas un dato, no lo pidas.
• Consentimiento: como regla general, tratar datos personales requiere el consentimiento libre, expreso e informado del titular (con excepciones que la propia ley define).
• Información: al recogerlos, debes informar al titular para qué los pides, quién es el responsable y qué derechos tiene.
• Seguridad: estás obligado a adoptar medidas técnicas y organizativas para proteger los datos.
• Confidencialidad: quienes intervienen en el tratamiento deben guardar reserva.

Presta atención al principio de seguridad: la ley no te pide buenas intenciones, te pide medidas concretas. Más adelante veremos cómo eso se vuelve algo observable desde afuera de tu sitio.

El rol de la AAIP

La autoridad de aplicación de la Ley 25.326 en Argentina es la Agencia de Acceso a la Información Pública (AAIP), un organismo que vela tanto por el acceso a la información pública como por la protección de los datos personales.

¿Qué hace la AAIP y por qué te debería importar?

• Vigila el cumplimiento de la Ley 25.326 y dicta normas complementarias y reglamentaciones.
• Atiende denuncias y reclamos de titulares cuando un responsable no resuelve.
• Puede iniciar investigaciones, realizar inspecciones e imponer sanciones (apercibimientos, multas y otras medidas que prevé la normativa).
• Administra el registro de bases de datos, del que hablamos en la sección siguiente.

Las sanciones pueden ser significativas y se actualizan con el tiempo. No citamos un monto exacto aquí porque los valores se ajustan periódicamente; si necesitas la cifra vigente, verifícala directamente con la AAIP o con tu asesor legal. El punto práctico es simple: la autoridad existe, recibe reclamos y tiene capacidad de sancionar.

El registro de bases de datos

La Ley 25.326 contempla un registro de bases de datos personales ante la autoridad de aplicación. La idea es dar visibilidad sobre quién trata datos en el país y con qué finalidad.

Aquí toca ser prudente. La forma de inscribirse, los plazos y los detalles operativos del registro han cambiado con el tiempo y dependen de la reglamentación vigente y de las disposiciones que dicte la AAIP. No asumas por defecto que el trámite es igual al de hace unos años.

Si tu negocio o tu sitio mantiene bases de datos personales en Argentina, verifica la aplicabilidad y el procedimiento vigente del registro directamente en la AAIP antes de concluir que estás (o no) obligado a inscribir tus bases. Es un trámite administrativo, separado de las medidas técnicas, y conviene resolverlo con información actualizada.

Lo importante para ti como fundador, comerciante o responsable de la web: el registro es una obligación administrativa que conviene chequear con la fuente oficial. No es algo que tu código resuelva, pero sí algo que tu checklist de cumplimiento debe contemplar.

El consentimiento del titular

Bajo la Ley 25.326, como regla general necesitas el consentimiento libre, expreso e informado del titular para tratar sus datos. "Informado" significa que la persona entiende qué datos recoges, para qué y quién es el responsable.

Algunas pautas prácticas para tu web:

• El consentimiento debe quedar documentado de forma que puedas conservar prueba de él. En la web esto suele ser un checkbox explícito (no premarcado) junto a un enlace a tu política de privacidad.
• Evita el "consentimiento empaquetado", donde aceptar los términos implica aceptar cualquier uso. Separa lo necesario de lo opcional, como el marketing.
• Los datos sensibles (origen racial o étnico, opiniones políticas, convicciones religiosas, información de salud o vida sexual, entre otros que define la ley) tienen un régimen reforzado. En general nadie está obligado a entregarlos y su tratamiento exige condiciones más estrictas. Si tu producto los toca, revisa el marco con cuidado.
• Informa siempre que el dato es voluntario cuando corresponda, y guarda registro de cuándo y cómo se prestó el consentimiento.

El día que un titular o la AAIP pregunte, querrás poder demostrar que recogiste el consentimiento correctamente.

Derechos del titular

La Ley 25.326 reconoce a las personas un conjunto de derechos que tu producto debería poder atender. Los principales:

• Acceso: el titular puede pedir saber qué datos suyos tienes y con qué finalidad. La ley fija plazos para responder estas solicitudes.
• Rectificación: puede exigir que corrijas datos inexactos o incompletos.
• Actualización: puede pedir que pongas al día información desactualizada.
• Supresión: puede solicitar que elimines datos cuando corresponda.
• Confidencialidad y oposición: según el caso, puede oponerse a ciertos tratamientos.

Estos plazos y condiciones pueden actualizarse mediante reglamentación, así que verifica los términos vigentes y diseña tu operación para cumplirlos. En producto, esto se traduce en flujos reales: poder mostrar a un usuario sus datos, editarlos, exportarlos y borrar su cuenta de verdad, no solo "desactivarla".

Tu política de privacidad

La ley espera que el responsable informe a los titulares sobre el tratamiento de sus datos. En la práctica, esto se materializa en tu página de Política de Privacidad, que debería describir, entre otras cosas:

• Quién es el responsable (tu negocio o empresa) y sus datos de contacto.
• Qué datos recoges y con qué finalidades.
• Si los datos se comparten con terceros o se transfieren a otros países.
• Los derechos del titular (acceso, rectificación, actualización, supresión).
• El canal y el procedimiento para ejercer esos derechos y presentar reclamos.

Una política clara y honesta no solo te ayuda a cumplir: también genera confianza. La gente nota cuando le explicas las cosas sin letra chica.

Medidas de seguridad: donde el cumplimiento se vuelve técnico

Aquí está la parte que muchas guías legales pasan por alto. El principio de seguridad de la Ley 25.326 no se queda en el papel: se manifiesta en cosas que cualquiera puede observar desde afuera de tu sitio.

Piénsalo así: si un atacante puede interceptar el formulario donde tu cliente escribe su nombre, su correo y su dirección, no estás aplicando "medidas técnicas razonables", por mucho que tu política diga lo contrario. Algunos ejemplos de seguridad observable que respaldan el cumplimiento:

• HTTPS en todo el sitio, no solo en el login o el checkout. Los datos personales viajan por muchos formularios.
• Cabeceras de seguridad (como HSTS y una buena Content-Security-Policy) que reducen la interceptación y los ataques de inyección.
• Cookies marcadas como Secure y HttpOnly cuando corresponde, para proteger la sesión de tus usuarios.
• Sin fugas evidentes: rutas de administración expuestas, mensajes de error que revelan estructura interna, copias de seguridad o archivos de configuración accesibles públicamente.

Estas señales son auditables. De hecho, son exactamente el tipo de hallazgos que un escáner puede detectar en minutos. No se trata de que pasar un escáner te vuelva automáticamente "cumplidor" de la Ley 25.326 (el cumplimiento es más amplio), sino de que una configuración técnica débil contradice directamente el principio de seguridad y es lo primero que conviene cerrar.

En Pursecure pegas la URL de tu sitio y recibes un puntaje de 0 a 100 con los hallazgos ordenados por gravedad. Cada hallazgo viene con una explicación en lenguaje claro y un prompt listo para arreglarlo, lo apliques tú, tu equipo o tu IA. Es una forma rápida de ver hoy qué tan lejos está tu superficie pública del principio de seguridad. Puedes correr un escaneo gratis en pursecure.app.

Qué revisar en tu sitio hoy

Una lista accionable, mitad legal y mitad técnica, para cualquier sitio que atienda a personas en Argentina (tienda online, landing, blog, sistema de reservas o SaaS):

Lo legal y administrativo

• Tienes una política de privacidad publicada y enlazada desde el footer y los formularios.
• Recoges consentimiento explícito (checkbox no premarcado) y guardas prueba de cuándo se prestó.
• Solo pides los datos que realmente necesitas para una finalidad declarada (principios de finalidad y calidad).
• Existe un canal claro para que el titular ejerza sus derechos (acceso, rectificación, actualización, supresión) y un proceso para responder dentro de los plazos vigentes.
• Identificaste a tus Encargados (hosting, email, pagos, analítica) y la relación está documentada.
• Verificaste si te corresponde inscribir tus bases en el registro de la AAIP, consultando el procedimiento vigente.
• Si tratas datos sensibles, revisaste el régimen reforzado que exige la ley.

Lo técnico (observable)

• Todo el sitio sirve por HTTPS y redirige el tráfico HTTP.
• HSTS activo y cabeceras de seguridad configuradas (CSP, X-Content-Type-Options, entre otras).
• Cookies de sesión con los flags Secure y HttpOnly.
• No hay rutas de administración, copias de seguridad ni archivos de entorno expuestos públicamente.
• Los formularios que recogen datos personales no filtran información en los mensajes de error.
• Tienes un proceso para borrar de verdad los datos de un usuario que lo solicite.

Si marcaste todas las casillas técnicas "a ojo", vale la pena confirmarlo con una medición. Muchas de estas fallan en silencio: el HTTPS está, pero falta el redirect; la cookie existe, pero sin Secure.

Conclusión

Cumplir con la Ley 25.326 no es un trámite que se hace una vez y se olvida. La norma te pide tratar los datos de tus usuarios con finalidad, información, consentimiento y, muy concretamente, seguridad. La AAIP vigila, el registro de bases de datos puede corresponderte (verifica con la fuente) y tus usuarios tienen derechos de habeas data que tu sitio debe poder atender.

La parte legal la trabajas con cuidado y, si hace falta, con un profesional. La parte de seguridad técnica la puedes empezar a cerrar hoy mismo, porque es medible. Pega la URL de tu sitio en pursecure.app/scan, revisa los hallazgos por gravedad y usa los prompts para arreglar lo que el principio de seguridad te exige. Es el paso más concreto que puedes dar esta semana hacia un cumplimiento real.