MODIFICACIONES LEY 25.

326 – PROTECCION DE DATOS PERSONALES

Artículo 1°: Modificase el artículo 2° de la Ley 25.326 que quedará redactado de la

siguiente manera:
“ARTICULO 2°.- (Definiciones). A los fines de la presente ley se entiende por:
Datos personales: Información de cualquier tipo, referida a personas físicas o de
existencia ideal determinadas o determinables.
Datos sensibles: Datos personales que revelan origen racial y étnico, opiniones políticas,
convicciones religiosas, filosóficas o morales, afiliación sindical e información referente
a la salud o a la vida sexual.
Archivo, registro, base o banco de datos: Indistintamente, designan al conjunto
organizado de datos personales que sean objeto de tratamiento o procesamiento,
electrónico o no, cualquiera que fuere la modalidad para su obtención, recolección,
formación, almacenamiento, organización o acceso.
Tratamiento de datos: Operaciones y procedimientos sistemáticos, electrónicos o no,
que permitan la recolección, conservación, ordenación, almacenamiento, modificación,
relacionamiento, evaluación, bloqueo, destrucción, y en general el procesamiento de
datos personales, así como también su cesión a terceros a través de comunicaciones,
consultas, interconexiones o transferencias.
Responsable de archivo, registro, base o banco de datos: Persona física o de existencia
ideal pública o privada, que es titular de un archivo, registro, base o banco de datos.
Datos informatizados o nube de computación: Los datos personales sometidos al
tratamiento o procesamiento electrónico o automatizado, incluyendo el contenido en
aquel modelo en cual un tercero brinda infraestructura, plataformas o servicios de
software para habilitar acceso conveniente por demanda a un conjunto compartido de
recursos computacionales configurables, por ejemplo, redes, servidores,
almacenamiento, aplicaciones y servicios, que pueden ser rápidamente aprovisionados y
liberados con un esfuerzo mínimo de administración o de interacción con el proveedor
de servicios.
Datos Biométricos: Datos personales obtenidos a partir de un tratamiento técnico
específico, relativos a las características físicas, fisiológicas o conductuales de una
persona humana que permitan o confirmen su identificación única.
Datos Genéticos: Datos personales relativos a las características genéticas heredadas o
adquiridas de una persona humana que proporcionen una información sobre la fisiología
o la salud de esa persona, obtenidos en particular del análisis de una muestra biológica
de tal persona.
Titular de los datos: Toda persona física o persona de existencia ideal con domicilio
legal o delegaciones o sucursales en el país, cuyos datos sean objeto del tratamiento al
que se refiere la presente ley.
Usuario de datos: Toda persona, pública o privada que realice a su arbitrio el
tratamiento de datos, ya sea en archivos, registros o bancos de datos propios o a través
de conexión con los mismos.
Responsable del tratamiento: Toda persona física o persona de existencia ideal, pública
o privada, titular de la base de datos, que decide sobre el tratamiento de datos, sus
finalidades y medios.
Disociación de datos: Todo tratamiento de datos personales de manera que la
información obtenida no pueda asociarse a persona determinada o determinable”.
Artículo 2°: Modificase el artículo 7°, de la Ley 25.326 que quedará redactado de la
siguiente manera:
“ARTICULO 7°.- (Categoría de datos).
1. Ninguna persona puede ser obligada a proporcionar datos sensibles.
2. Los datos sensibles sólo pueden ser recolectados y objeto de tratamiento cuando
medien razones de interés general autorizadas por ley. También podrán ser tratados con
finalidades estadísticas o científicas cuando no puedan ser identificados sus titulares.
3. Queda prohibida la formación de archivos, bancos o registros que almacenen
información que directa o indirectamente revele datos sensibles. Sin perjuicio de ello, la
Iglesia Católica, las asociaciones religiosas y las organizaciones políticas y sindicales
podrán llevar un registro de sus miembros.
4. Los datos relativos a antecedentes penales o contravencionales sólo pueden ser objeto
de tratamiento por parte de las autoridades públicas competentes, en el marco de las
leyes y reglamentaciones respectivas.
5. En el tratamiento de datos concernientes a un niño, niña o adolescente, se deberá
privilegiar la protección del interés superior de éstos, conforme a la Convención sobre
los Derechos del Niño y demás instrumentos internacionales que busquen su bienestar y
protección integral”.
Artículo 3°: Incorpórese el artículo 7° Bis, de la Ley 25.326 que quedará redactado de la
siguiente manera:
“ARTICULO 7° Bis. - (Notificación de incidentes de seguridad).
El responsable del tratamiento deberá informar a la autoridad de control en un tiempo
razonable, atendiendo a las circunstancias del caso, las vulneraciones de seguridad de
datos personales ocurridas en cualquier fase del tratamiento de datos que afecten de
forma significativa derechos de titulares de los datos, en cuanto confirme que ocurrió la
vulneración y haya tomado las medidas necesarias para iniciar un proceso de revisión
exhaustiva de la magnitud de la afectación.
De igual manera, el responsable del tratamiento también deberá informar al titular de los
datos la vulneración de seguridad ocurrida, en un lenguaje claro y sencillo.
La notificación a que se refieren los incisos anteriores deberá contener, al menos, la
siguiente información:
a) La naturaleza del incidente;
b) Los datos personales comprometidos;
c) Las acciones correctivas realizadas de forma inmediata;
d) Las recomendaciones al titular de los datos acerca de las medidas que éste pueda
adoptar para proteger sus intereses;
e) Los medios a disposición del titular de los datos para obtener mayor información al
respecto.
4. El responsable del tratamiento deberá documentar toda vulneración de seguridad de
los datos personales ocurrida en cualquier fase del tratamiento de datos, identificando,
de manera enunciativa pero no limitativa, la fecha en que ocurrió, el motivo de la
vulneración, los hechos relacionados con ella y sus efectos, y las medidas correctivas
implementadas de forma inmediata y definitiva”.
Artículo 4°: Modifíquese el artículo 16, de la Ley 25.326 que quedará redactado de la
siguiente manera:
“ARTICULO 16.- (Derecho de rectificación, actualización o supresión).
1. Toda persona tiene derecho a que sean rectificados, actualizados y, cuando
corresponda, suprimidos o sometidos a confidencialidad los datos personales de los que
sea titular, que estén incluidos en un banco de datos. Tendrá derecho a solicitar la
supresión de las bases de datos y sistemas de tratamiento cuando este no tenga un fin
público, a fin de que los datos no estén en su posesión y dejen de ser tratados por este
último.
2. El responsable o usuario del banco de datos, debe proceder a la rectificación,
supresión o actualización de los datos personales del afectado, realizando las
operaciones necesarias a tal fin en el plazo máximo de cinco días hábiles de recibido el
reclamo del titular de los datos o advertido el error o falsedad.
3. El incumplimiento de esta obligación dentro del término acordado en el inciso
precedente, habilitará al interesado a promover sin más la acción de protección de los
datos personales o de hábeas data prevista en la presente ley.
4. En el supuesto de cesión, o transferencia de datos, el responsable o usuario del banco
de datos debe notificar la rectificación o supresión al cesionario dentro del quinto día
hábil de efectuado el tratamiento del dato.
5. La supresión no procede cuando pudiese causar perjuicios a derechos o intereses
legítimos de terceros, o cuando existiera una obligación legal de conservar los datos.
6. Durante el proceso de verificación y rectificación del error o falsedad de la
información que se trate, el responsable o usuario del banco de datos deberá o bien
bloquear el archivo, o consignar al proveer información relativa al mismo la
circunstancia de que se encuentra sometida a revisión.
7. Los datos personales deben ser conservados durante los plazos previstos en las
disposiciones aplicables o en su caso, en las contractuales entre el responsable o usuario
del banco de datos y el titular de los datos”.
Artículo 5°: Modifíquese el artículo 23, de la Ley 25.326 que quedará redactado de la
siguiente manera:
“ARTICULO 23.- (Supuestos especiales).
1. Quedarán sujetos al régimen de la presente ley, los datos personales que, por haberse
almacenado para fines administrativos, deban ser objeto de registro permanente en los
bancos de datos de las fuerzas armadas, fuerzas de seguridad, organismos policiales o
de inteligencia; y aquellos sobre antecedentes personales que proporcionen dichos
bancos de datos a las autoridades administrativas o judiciales que los requieran en virtud
de disposiciones legales.
2. El tratamiento de datos personales con fines de defensa nacional o seguridad pública
por parte de las fuerzas armadas, fuerzas de seguridad, organismos policiales o
inteligencia, sin consentimiento de los afectados, queda limitado a aquellos supuestos y
categoría de datos que resulten necesarios para el estricto cumplimiento de las misiones
legalmente asignadas a aquéllos para la defensa nacional, la seguridad pública o para la
represión de los delitos. Los archivos, en tales casos, deberán ser específicos y
establecidos al efecto, debiendo clasificarse por categorías, en función de su grado de
fiabilidad.
3. Los datos personales registrados con fines policiales se cancelarán cuando no sean
necesarios para las averiguaciones que motivaron su almacenamiento
4. También quedaran sujetos al régimen de la presente ley los datos personales
(fotográficos, fílmicos y sonoros de cualquier otra naturaleza), recolectados lícitamente
a través de dispositivos montados en VANTs, drones o todo otro vehículo aéreo no
tripulado capaz de mantener un nivel de vuelo controlado y sostenido, que puede ser
piloteado a distancia o en forma remota, desde uno o varios puntos de control, e incluso,
ser programado para su vuelo en forma autónoma con un programa específico”.
Se entenderá lícita la recolección de tales datos en la medida que se realice con el
consentimiento de su titular, de conformidad de lo previsto en los artículos 5to y 6to de
la presente Ley.
5. El tratamiento de datos que utilizan servicios de computación en la nube estará
permitido cuando se garantice el cumplimiento de los principios y obligaciones
establecidos por la presente ley.
El responsable del tratamiento debe elegir un proveedor de servicios que garantice el
cumplimiento de la presente ley y responderá solidariamente ante el titular de los datos
y ante la autoridad de control por incumplimientos del proveedor.
En especial, el responsable del tratamiento deberá controlar que el proveedor del
servicio de computación en la nube:
a) Cuente con una política de protección de datos personales o condiciones de servicio
en los que se detallen las medidas dispuestas para garantizar la protección de los datos
personales, y que su aplicación sea efectiva. Debe además verificar que se prevean
mecanismos para notificar los cambios que se produzcan sobre la política de protección
de datos personales o condiciones de servicio;
b) Informe las subcontrataciones que involucren los datos personales objeto del
tratamiento sobre el que se presta el servicio, notificando al responsable del tratamiento
de cualquier cambio que se produzca;
c) No incluya condiciones en la prestación del servicio que lo autoricen o permitan
asumir la titularidad sobre las bases de datos tratados bajo esta modalidad”.
Artículo 6°: Modifíquese el artículo 29, de la Ley 25.326 que quedará redactado de la
siguiente manera:
“ARTICULO 29.- (Autoridad de control).
1. Créase la Agencia Nacional de Protección de Datos Personales (ANPDP) como
órgano de control que debe velar por el cumplimiento de los principios y
procedimientos establecidos en la presente ley.
2. La ANPDP gozará de autonomía funcional y actuará como órgano descentralizado en
el ámbito del Ministerio de Justicia y Derechos Humanos de la Nación.
3. La ANPDP será dirigida y administrada por un Director designado por el término de
cuatro (4) años, por el Poder Ejecutivo con acuerdo del Senado de la Nación, previo
dictamen de la Comisión Bicameral del Honorable Congreso constituida al efecto,
debiendo ser seleccionado entre personas con antecedentes en la materia. El director a
cargo de la ANPDP tendrá rango y jerarquía de secretario.
4. El Director tendrá dedicación exclusiva en su función, encontrándose alcanzado por
las incompatibilidades fijadas por ley para los funcionarios públicos y cesará de pleno
derecho en sus funciones de mediar alguna de las siguientes circunstancias:
a) Renuncia;
b) Vencimiento del mandato;
c) Fallecimiento; y
d) Estar comprendido en alguna situación que le genere incompatibilidad o inhabilidad.
5. El Director podrá ser removido por mal desempeño, por delito en el ejercicio de sus
funciones o por crímenes comunes. El Poder Ejecutivo nacional llevará adelante el
procedimiento de remoción del director de la ANPDP, dándole intervención a la
Comisión Bicameral del Honorable Congreso de la Nación, quien emitirá un dictamen
vinculante.
6. La ANPDP contará con el personal técnico y administrativo que establezca la ley de
presupuesto general de la administración nacional. El personal estará obligado a guardar
secreto respecto de los datos de carácter personal de los que tome conocimiento en el
desarrollo de sus funciones.
7. LA ANPDP se financiará a través de:
a) Lo que recaude en concepto de tasas por los servicios que preste;
b) El producido de las multas referidas en el capítulo VI de esta ley;
c) Las asignaciones presupuestarias que se incluyan en la Ley de Presupuesto de la
Administración Nacional”.
Artículo 7°: Incorpórese el artículo 29 Bis, de la Ley 25.326 que quedará redactado de
la siguiente manera:
“ARTICULO 29 Bis.- Crease en el ámbito del Honorable Congreso de la Nación, la
Comisión Bicameral de seguimiento de la Ley de Protección de Datos Personales N°
25.326, de acuerdo con el siguiente procedimiento:
a) Ambas Cámaras del Congreso deben elegir los miembros componentes de la
Comisión Bicameral Permanente de seguimiento de la Ley de Protección de Datos
Personales, integrada por siete (7) senadores y siete (7) diputados cuya composición
debe mantener la proporción de la representación del cuerpo;
b) En un plazo no mayor de sesenta (60) días a contar desde la promulgación de la
presente ley, la Comisión Bicameral, debe constituirse al efecto y designar autoridades
que la componen. La Comisión elige por el voto de la mayoría de sus miembros un
Presidente, un vicepresidente y un secretario anualmente.
La presidencia es alternativa y corresponde un (1) año a cada Cámara. Las decisiones de
la Comisión Bicameral se adoptan por mayoría simple;
Los integrantes de la Comisión Bicameral duran en el ejercicio de sus funciones hasta la
siguiente renovación de la Cámara a la que pertenecen, y pueden ser reelectos.
c) La Comisión Bicameral creada por la presente es la encargada de relacionarse con la
autoridad de aplicación de la presente ley, recibir el informe anual correspondiente y
comunicar a la autoridad cuando ambas Cámaras previo a cualquier decisión que
cualquiera de ellas o el Congreso en su conjunto deba adoptar en la materia, así como en
cuantas ocasiones sea necesario.
d) Elevar al pleno de ambas Cámaras el informe de la autoridad con el dictamen
correspondiente”.
Artículo 8°: Incorpórese el artículo 29 Ter, de la Ley 25.326 que quedará redactado de
la siguiente manera
“ARTICULO 29 Ter. - (Facultades de la autoridad de control).
La Agencia Nacional de Protección de Datos Personales (ANPDP) deberá realizar todas
las acciones necesarias para el cumplimiento de los objetivos y demás disposiciones de
la presente ley. A tales efectos tendrá las siguientes funciones y atribuciones:
a) Asistir y asesorar a las personas que lo requieran acerca de los alcances de la presente
y de los medios legales de que disponen para la defensa de los derechos que ésta
garantiza;
b) Dictar las normas y reglamentaciones que se deben observar en el desarrollo de las
actividades comprendidas por esta ley; específicamente dictar normas administrativas y
de procedimiento relativas a las funciones a su cargo, y las normas y procedimientos
técnicos relativos al tratamiento de datos y condiciones de seguridad de las bases de
datos;
c) Atender los requerimientos y denuncias interpuestos en relación al tratamiento de
datos en los términos de la presente ley;
d) Controlar el cumplimiento de los requisitos y garantías que deben reunir los
tratamientos de datos de conformidad con la presente ley y las reglamentaciones que
dicte la autoridad de control. A tal efecto, podrá solicitar autorización judicial para
acceder a locales, equipos, o programas de tratamiento de datos a fin de verificar
infracciones al cumplimiento de la presente ley;
e) Solicitar información a las entidades públicas y privadas, las que deberán
proporcionar los antecedentes, documentos, programas u otros elementos relativos al
tratamiento de datos que se le requieran. En estos casos, la autoridad deberá garantizar
la seguridad y confidencialidad de la información y elementos suministrados;
f) Imponer las sanciones administrativas que en su caso correspondan por violación a
las normas de la presente ley y de las reglamentaciones que se dicten en su
consecuencia;
g) Percibir las tasas que se fijen por los servicios de inscripción y otros que preste;
h) Constituirse en querellante en las acciones penales que se promovieran por
violaciones a la presente ley;
i) Homologar los mecanismos de autorregulación vinculantes y supervisar su
cumplimiento;
j) Diseñar su estructura orgánica de funcionamiento y designar a su planta de agentes;
k) Elaborar su presupuesto anual;
l) Solicitar información a los delegados de protección de datos en los términos de lo
previsto la presente ley;
m) Publicar un informe anual de rendición de cuentas de gestión;
n) Elaborar y presentar ante el Honorable Congreso de la Nación propuestas de reforma
legislativa respecto de su área de competencia;
o) Celebrar convenios de cooperación y contratos con organizaciones públicas o
privadas, nacionales o extranjeras, en el ámbito de su competencia, para el
cumplimiento de sus funciones”.

https://chequeado.com/el-explicador/datos-personales-cuales-son-los-cambios-que-
impulsa-el-gobierno-nacional-y-que-impacto-podrian-tener/

“La norma actual reconoce el derecho de los ciudadanos a que sus datos

personales no sean registrados ni usados sin su consentimiento. Además,
establece que todos tenemos derecho a pedir y recibir los datos personales
que están registrados en bancos de datos públicos y privados, como así
también pedir que esa información sea corregida, actualizada o suprimida en
caso de tratarse de “datos sensibles”, vinculados con la salud, las
preferencias sexuales, religiosas y políticas.

Por su parte, la ley entiende que el consentimiento de las personas no es

necesario cuando los datos fueron obtenidos de fuentes de acceso público,
cuando fueron registrados por los poderes del Estado por obligación legal o
para el ejercicio de sus funciones, y/o cuando se limitan a nombre, DNI,
CUIT/L, ocupación, fecha de nacimiento y domicilio.

Además, la ley exime del consentimiento de los titulares cuando los datos
personales fueron obtenidos por una relación contractual, científica o
profesional y son necesarios para su desarrollo o cumplimiento (por
ejemplo, un contrato laboral); y cuando son el registro de operaciones que
hacen entidades financieras con sus clientes.

(…) Entre ellos se encuentran la ampliación de la definición de datos

sensibles, es decir aquellos que se refieran a la esfera íntima o que puedan
generar discriminación o riesgo grave para el/la titular. Bajo este paraguas
se incorporan los datos genéticos y los biométricos.

Además, se refuerzan las características que debe tener el consentimiento

(debe ser previo, libre, específico, informado e inequívoco); y se amplía el
ámbito de aplicación de la ley, ya que se exige el respeto de los derechos de
los ciudadanos argentinos frente a organizaciones extranjeras que, aunque
pueden no tener domicilio legal en el país, recolectan sus datos personales.

El proyecto también exige mayor transparencia en la explicación de las

decisiones que se adoptan mediante mecanismos como la inteligencia
artificial; y hasta incluye el derecho a solicitar la revisión por una persona
humana de las decisiones tomadas sobre la base del tratamiento
automatizado o semiautomatizado.

En relación a la seguridad de los datos, la iniciativa establece la obligación

de notificar a la autoridad de control y a los titulares de los datos en casos de
incidentes de seguridad, como hackeos; y también aumenta el monto
económico de las sanciones.” 

https://www.argentina.gob.ar/sites/default/files/2022/08/
asociacion_de_abogadas_y_abogados_ba.pdf - Actualización de la Ley de
Datos Personales y solicitud de participación - Asociación de Abogados de
Buenos Aires.

“(…)Por su parte, en el trabajo de actualización de la ley 25.326 creemos

oportuno contemplar la regulación establecida en el Reglamento General de
Protección de Datos europeo ya que este instrumento es el resultado de la
evolución del derecho a través del tiempo, desde el derecho a la privacidad
(género) hasta el derecho en materia de protección de datos personales
(especie), para poder hacer frente estos riesgos y así paliar o evitar sus
consecuencias. En este sentido, cabe destacar que el Reglamento General de
Protección de Datos europeo, desde nuestra óptica es la norma modelo a
seguir por los ordenamientos jurídicos, toda vez que protege a los datos en
cuestión desde una faz proactiva.

Ello se cristaliza con el Principio de Protección de Datos desde el Diseño y

por Defecto; con el Principio de Transparencia y con el Principio de
Responsabilidad Proactiva, donde para los tratamientos más riesgosos
establece la obligación de realizar un informe Evaluación de Impacto, como
también el deber de designar un Delegado de Protección de Datos y de
informar a los titulares de los datos en caso de incidentes de seguridad. En el
mismo orden de ideas, la regulación referida al consentimiento y a la
información resulta ser fundamental en este modelo protectorio, como
también los nuevos derechos incorporados por el RGPD, como el Derecho a
la Portabilidad, Supresión (o Derecho al Olvido), Oposición y Limitación,
todo ello con el objetivo principal de lograr un mayor control por parte del
usuario y que él pueda decidir sobre el tratamiento de sus datos.(…)”