¿Qué multa puede aplicar la AAIP por incumplir Ley 25.326?

Resolución 126/2024 AAIP clasifica infracciones en leves, graves y muy graves. Unidad móvil: ARS 100.000 con actualización semestral. Pago voluntario en 20 días hábiles tiene reducción del 50%. Tope acumulado: máximo de la escala multiplicado por 500 cuando se acumulan sanciones por idéntica conducta.

¿Hay que inscribir las bases de datos personales en AAIP?

Sí. Ley 25.326 art 21 obliga a inscribir bases de datos personales en el Registro Nacional de Bases de Datos AAIP. Trámite online, costo USD 50-200 según base. Sin inscripción: infracción formal con multa según Resolución 126/2024. Revalidación anual obligatoria.

¿Qué plazo tiene la empresa para responder un pedido de acceso?

Ley 25.326 art 14 establece 10 días corridos para acceso (mostrar qué datos se tienen sobre el titular) y 5 días para rectificación, supresión o bloqueo según art 16. Vencido el plazo sin respuesta, el titular puede iniciar acción de habeas data sin más requisito.

¿Ley 25.326 va a ser reemplazada por una ley nueva?

No por ahora. Hay 2 proyectos en Congreso para reforma integral (la ley cumple 25 años en 2025) pero al corte 2026-05-09 no fueron sancionados. El objetivo declarado es actualizar la estructura, no reemplazar. Mientras tanto, Ley 25.326 + Resolución 126/2024 AAIP siguen vigentes.

Compliance AR·1 de mayo de 2026·3 min de lectura

Ley 25.326 Aplicada a Software en Argentina

Cómo cumplir Ley 25.326 (datos personales) en software empresarial argentino: encryption, audit, consentimientos, derechos del titular.

Ley 25.326 (Habeas Data) regula tratamiento de datos personales en Argentina. Software empresarial debe cumplir. Implementación técnica + procedural.

Marco

Ley 25.326 sancionada en 2000. Reglamentada + actualizada periódicamente. Autoridad: AAIP (Agencia de Acceso a la Información Pública).

Datos sensibles vs no-sensibles

No-sensibles

Nombre, contacto, info comercial. Tratamiento estándar.

Sensibles (categoría especial)

Datos de salud
Datos biométricos
Origen racial/étnico
Opiniones políticas/religiosas
Vida sexual
Datos penales

Tratamiento más estricto: consentimiento expreso + base legal específica.

Requisitos clave

1. Inscripción en AAIP

Bases de datos personales se registran (online, AAIP). Costo: USD 50-200 según base + tipo.

2. Consentimiento

Para colectar datos:

Informado (claro qué se va a hacer)
Expreso (opt-in, no opt-out)
Documentable (audit trail)
Revocable

3. Derechos del titular

Acceso: ver qué datos tenés sobre ellos
Rectificación: corregir datos incorrectos
Supresión: eliminar datos (derecho al olvido)
Bloqueo: parar tratamiento

Plazo de respuesta: 10 días hábiles para acceso, 5 días para corregir/borrar.

4. Cesión a terceros

Solo con consentimiento o base legal. DPA con sub-processors.

5. Transferencia internacional

A países sin nivel adecuado de protección: requiere consentimiento expreso o garantías específicas.

6. Seguridad de datos

Encryption at rest + in transit
Access controls
Audit log
Backup + recovery
Plan de breach response

7. Notificación de breach

Si hay incident de seguridad: notificar a AAIP + titulares afectados en plazo razonable.

Implementación técnica

Cuando la Ley 25.326 te toca de lleno, suele ir junto a un proyecto de digitalización de procesos que ordena consentimientos, audit y derechos del titular dentro del flujo operativo.

Encryption

AES-256 at rest (Postgres pgcrypto o columna por columna)
TLS 1.3 in transit
Backups cifrados con clave separada

Audit log

Cada acceso/modificación a datos personales:

Usuario que accedió
Timestamp
Acción (read, write, delete, export)
Recurso (registro_id)
IP + user agent

Retención mínima 5 años.

Consentimiento

UI requirement:

Checkbox NO pre-marcado
Texto claro + acceso a política
Logging de cuándo + cómo dio consentimiento
Mecanismo de revocación

Derechos del titular self-service

Página accesible para que titular ejerza derechos
Authentication robusta (no sólo email)
Workflow con SLA (10/5 días)
Tracking de requests

Política de privacidad

Pública + accesible
Lenguaje claro (no legal-speak)
Lista de datos colectados
Propósito de uso
Sub-processors
Retención
Datos de contacto del DPO

Multas + riesgos

Ley 25.326 multas:

Hasta USD 100k+ por infracción grave
Multas escaladas según severity
Plus: daños civiles si breach causa daño al titular

Ejemplo del mercado

SaaS B2B argentino con datos de clientes (HR data sensible).

Implementación:

Inscripción AAIP de bases
Encryption AES-256 + TLS 1.3
Audit log completo
Self-service para derechos del titular
Política de privacidad clara
DPA con sub-processors (AWS, Stripe, etc)

Costo año 1:

Inscripción: USD 200
Asesoría legal: USD 3.000
Implementación técnica: USD 5.000 (incluido en sistema)
Total: USD 8.200

Ahorro implícito: zero multas + clientes enterprise comfort para firmar.

Cómo aplicar esto

Ley 25.326 es manageable con stack moderno + procesos bien definidos. Investment USD 5-10k año 1 para pyme. Para empresa grande con datos sensibles: USD 30-100k.

Si te toca, escribinos. Otras lecturas: compliance digital empresas argentinas, HCE en Argentina, SOC 2 / ISO 27001 para SaaS argentino.