Conforme a la Ley N.º 25.326 de Protección de Datos Personales, las personas humanas y jurídicas que recaban, almacenan, organizan, consultan, utilizan o ceden datos personales en el marco de su actividad pueden intervenir como responsables de bases de datos o tratar datos por cuenta de terceros. En ese contexto, resulta fundamental identificar quién es el responsable de la base de datos, es decir, la persona humana o jurídica titular de la base y quien, en términos prácticos, decide para qué se recopila la información y bajo qué criterios se la trata dentro de la organización.
Ese responsable asume obligaciones legales concretas y, en determinados supuestos, debe además inscribir la base ante el Registro Nacional de Bases de Datos, administrado por la Agencia de Acceso a la Información Pública (AAIP). Comprender este esquema es clave para que las organizaciones gestionen correctamente la información personal y reduzcan riesgos legales.
Tratamiento de datos personales: qué comprende según la Ley 25.326
La Ley N.º 25.326 considera tratamiento de datos personales a toda operación o conjunto de operaciones, electrónicas o no, aplicadas a datos personales. Esto incluye, entre otras, su recolección, conservación, ordenación, almacenamiento, modificación, relacionamiento, evaluación, bloqueo, destrucción y, en general, su procesamiento y cesión a terceros por comunicaciones, consultas, interconexiones o transferencias. La ley protege los datos referidos a personas humanas y, en cuanto resulte pertinente, también a personas jurídicas determinadas o determinables.
En términos prácticos, muchas actividades habituales de una empresa constituyen tratamiento de datos personales. Esto ocurre, por ejemplo, cuando una organización registra información de sus empleados, administra bases de clientes, gestiona datos de proveedores, recopila información a través de formularios en su sitio web, utiliza herramientas de marketing o centraliza datos en sistemas de gestión o almacenamiento en la nube.
La ley exige que estas actividades se realicen con una base de legitimación suficiente, respetando el principio de calidad de los datos, el deber de información al titular, la confidencialidad y la seguridad de la información. Por esta razón, el tratamiento de datos personales no es una cuestión meramente técnica, sino una actividad regulada que implica obligaciones jurídicas concretas para las organizaciones. Comprender qué se considera tratamiento de datos personales es el punto de partida para identificar las responsabilidades que surgen al gestionar información vinculada a personas dentro de una empresa.
¿Quién es el responsable de una base de datos personales?
La Ley N.º 25.326 define al “responsable de archivo, registro, base o banco de datos” como la persona humana o jurídica, pública o privada, titular de ese archivo, registro, base o banco de datos. En términos prácticos, dentro del ámbito empresario será el sujeto que decide para qué se recopila la información, cómo se organiza su tratamiento y bajo qué condiciones se utiliza dentro de la organización. Esta precisión es relevante porque el responsable no es, necesariamente, quien opera el sistema informático, sino quien asume el control y la decisión sobre la base de datos. En el ámbito empresarial, esa responsabilidad suele recaer en la sociedad como sujeto jurídico, a través de sus órganos de administración.
La ley también distingue esta figura de otros sujetos que intervienen en el tratamiento de datos personales. Por un lado, el titular de los datos es la persona humana o jurídica a la que la información se refiere. Por otro, el usuario de datos es quien realiza a su arbitrio el tratamiento de datos, ya sea en archivos propios o a través de conexión con ellos. El responsable, en cambio, es el titular de la base y quien organiza jurídicamente su tratamiento.
Asimismo, conviene diferenciar al responsable del tercero que presta servicios de tratamiento por cuenta ajena. Cuando una empresa encomienda a un proveedor tareas vinculadas con datos personales —por ejemplo, servicios de hosting, nómina, CRM, almacenamiento o campañas de email marketing—, ese tercero no puede utilizar los datos para una finalidad distinta de la prevista en el contrato ni cederlos a otras personas, y una vez cumplida la prestación debe destruirlos o conservarlos solo en los términos autorizados por la ley. Este supuesto se encuentra contemplado por el art. 25 de la Ley 25.326.
En la práctica, muchas organizaciones pueden asumir el rol de responsables de bases de datos sin advertirlo expresamente. Esto ocurre cuando la empresa no solo almacena información, sino que define la finalidad del tratamiento, las categorías de datos que recopila, quién accede a ellos, por cuánto tiempo los conserva y con qué terceros los comparte. Cuando la organización controla esos aspectos, asume el rol de responsable conforme al régimen legal vigente. Por el contrario, si la empresa trata datos exclusivamente por cuenta de un tercero y siguiendo sus instrucciones, su intervención deberá analizarse como prestación de servicios de tratamiento por cuenta ajena.
Obligaciones legales del responsable de una base de datos personales
Identificar al responsable de una base de datos personales es solo el inicio. En la práctica, el cumplimiento exige primero relevar qué bases de datos existen dentro de la organización, qué tipo de información contienen, con qué finalidad son utilizadas, quiénes acceden a ellas, si existen cesiones o transferencias y cuánto tiempo se conservan los datos. Sin ese mapa interno, no es posible determinar con precisión qué obligaciones resultan aplicables en cada caso.
A partir de ese relevamiento, debe analizarse si la base se encuentra alcanzada por el régimen de inscripción ante la Agencia de Acceso a la Información Pública (AAIP). En la práctica registral, los archivos y bases de datos públicos y privados destinados a dar informes deben estar inscriptos en el Registro Nacional de Bases de Datos Personales, y la propia AAIP mantiene un criterio amplio sobre ese concepto. Además, los responsables deben mantener actualizada la información registral y declarar adecuadamente la finalidad de uso de cada base.
El responsable también debe informar al titular, al momento de recabar los datos, la finalidad del tratamiento, los posibles destinatarios, la existencia de la base, la identidad y domicilio del responsable, el carácter obligatorio o facultativo de la respuesta, las consecuencias de proporcionar o no los datos y la posibilidad de ejercer los derechos de acceso, rectificación y supresión. Salvo en los supuestos exceptuados por la ley, el tratamiento exige consentimiento libre, expreso e informado, y la organización debe poder acreditar cómo lo obtuvo. Asimismo, debe contar con mecanismos claros para atender los derechos de acceso, rectificación, actualización y supresión, responder dentro de los plazos legales y dejar constancia de las gestiones realizadas
Finalmente, el responsable debe adoptar medidas técnicas y organizativas adecuadas para garantizar la seguridad y confidencialidad de los datos, aplicar el principio de calidad —de modo que los datos sean ciertos, adecuados, pertinentes, no excesivos, exactos y conservados solo por el tiempo necesario—, y controlar a los terceros que acceden a la información mediante instrucciones claras y compromisos formales de confidencialidad y seguridad. Si además existieran transferencias internacionales hacia países sin nivel adecuado de protección, deberán cumplirse los recaudos legales correspondientes. Y si la base se utiliza para acciones de publicidad o marketing telefónico, también deberá verificarse el cumplimiento del régimen del Registro Nacional No Llame. La responsabilidad en materia de datos personales no es declarativa: es organizativa, documentable y verificable.
Sanciones por incumplir la Ley 25.326: responsabilidad del responsable de la base de datos
El incumplimiento del régimen previsto por la Ley N.º 25.326 de Protección de Datos Personales puede generar distintas consecuencias para el responsable de la base de datos. La Agencia de Acceso a la Información Pública (AAIP), como autoridad de aplicación, cuenta con facultades para supervisar, requerir información, realizar inspecciones y promover sanciones frente a infracciones vinculadas con el tratamiento de datos personales. Entre las consecuencias administrativas previstas por la normativa se encuentran el apercibimiento, la suspensión, la clausura o cancelación del archivo, registro o base de datos, sin perjuicio de las multas que correspondan conforme al régimen sancionatorio vigente.
Además de las consecuencias administrativas, el tratamiento indebido de datos personales puede generar responsabilidad civil cuando ocasione daños a los titulares de los datos. En la práctica, otro aspecto especialmente relevante es la carga probatoria: ante una inspección, una denuncia o un reclamo, el responsable debe poder demostrar que cumple con las obligaciones legales, que adoptó medidas de seguridad adecuadas, que informó correctamente al titular y que gestiona la información personal conforme al marco aplicable.
Más allá de las sanciones legales, las deficiencias en materia de protección de datos también pueden afectar auditorías de cumplimiento, procesos de contratación, licitaciones o relaciones comerciales. Por eso, en el contexto regulatorio actual, el responsable de la base de datos debe estar en condiciones de explicar y acreditar cómo gestiona la información personal, qué políticas aplica, qué controles mantiene sobre terceros y qué medidas adopta para garantizar un tratamiento adecuado.
Conclusión
El tratamiento de datos personales forma parte de la operatoria cotidiana de muchas empresas. Bases de clientes, registros de empleados, proveedores, acciones comerciales y sistemas digitales implican responsabilidades jurídicas que la normativa argentina regula a través de la Ley N.º 25.326 y su normativa complementaria.
En este contexto, identificar correctamente al responsable de la base de datos, comprender sus obligaciones, revisar la forma en que se obtienen y utilizan los datos y analizar en cada caso si corresponde su inscripción ante la AAIP resulta fundamental para reducir contingencias y operar con mayor seguridad jurídica.
En JBB Abogados acompañamos a empresas y organizaciones en el análisis del tratamiento de datos personales, la adecuación de sus bases de datos a la normativa vigente y la implementación de políticas de cumplimiento que permitan gestionar la información de manera segura y conforme al marco legal. Para más información o consultas, puede contactarnos presionando aquí.
