Ley 25.326 de protección de datos personales: lo que tu programa de awareness tiene que poder demostrar

Ilustración editorial de una carpeta de archivo abierta con fichas catalogadas, un sello de fechar y una lupa apoyados sobre el escritorio
Carla Caggiano Blog No hay comentarios

Ley 25.326 de protección de datos personales: lo que tu programa de awareness tiene que poder demostrar

¿Tu organización podría mostrar, mañana mismo, qué leyó cada uno de sus colaboradores sobre el tratamiento de datos personales, cuándo lo aceptó y bajo qué credenciales? La Ley 25.326 no exige solamente capacitar al personal: exige poder demostrarlo. Y entre una cosa y la otra hay un espacio que muchos programas de awareness descubren recién cuando llega la primera notificación de la autoridad de aplicación.

Trabajo en gobierno, riesgo y cumplimiento, y esa pregunta es la primera que hago cuando reviso un programa de datos personales. No me interesa repasar la ley en abstracto, sino mirarla desde el lugar donde se vuelve un riesgo concreto para la organización: el momento en que hay que abrir el archivo, mostrar la evidencia y sostener que el deber está cumplido. Desde el marco hacia la operación, entonces: qué pide la 25.326, qué espera ver la AAIP, qué cambia con la reforma en debate y, sobre todo, qué tiene que registrar un programa de awareness para resistir una inspección.

¿Qué exige hoy la Ley 25.326 a quien capacita a su personal?

La Ley 25.326 es el marco vigente que regula, en la República Argentina, la protección integral de los datos personales asentados en archivos, registros, bancos de datos u otros medios de tratamiento, públicos o privados. Es la ley que reglamenta el derecho de habeas data del artículo 43 de la Constitución Nacional, y su autoridad de aplicación es la Agencia de Acceso a la Información Pública (AAIP), según los artículos 29 y 30.

En el plano de los deberes concretos, el artículo 9 establece que quien trate datos personales debe adoptar las medidas técnicas y organizativas necesarias para garantizar la seguridad y confidencialidad de los datos, de modo de evitar su adulteración, pérdida, consulta o tratamiento no autorizado. La fórmula importa, y desde gobierno se lee con atención: la ley no se conformó con medidas técnicas. Exigió, en pie de igualdad, medidas organizativas. Dentro de ese segundo bloque vive todo lo que aportan una política interna, un programa de awareness y una capacitación efectiva. En la práctica de cualquier marco de gestión, eso es un control, y los controles se gestionan, se miden y se evidencian.

El artículo 10 agrega el deber de confidencialidad: los responsables y quienes intervengan en cualquier fase del tratamiento están obligados al secreto profesional, obligación que subsiste aun después de finalizada la relación con el titular del archivo. Esa frase tiene una consecuencia operativa que muchos programas pasan por alto: el deber no se apaga el día de la baja del colaborador. Si la capacitación no cubrió ese punto y no quedó registrada, la organización se queda sin forma de probar que lo comunicó.

La normativa reglamentaria de la autoridad de aplicación viene precisando qué se entiende por “medidas técnicas y organizativas” del artículo 9: la designación de un responsable interno, la documentación de políticas, los controles de acceso y la formación periódica del personal. La AAIP no inventa esos requisitos. Los deriva del propio artículo 9 y los vuelve exigibles en sede administrativa. Para quien gestiona el cumplimiento, son los mismos controles que cualquier marco de seguridad de la información reconoce como básicos.

La distancia entre cumplir la ley y poder probarlo

Conviene explicitar un punto antes de avanzar, porque es donde muchos programas se desarman: una cosa es cumplir la Ley 25.326 y otra distinta es poder demostrarlo. La diferencia parece sutil. En una auditoría o una inspección es la que decide si todo termina con un acta favorable o con un expediente abierto.

La ley no detalla cómo se prueba el cumplimiento, porque eso corresponde a la actividad probatoria general de la organización. Pero el régimen sancionatorio del artículo 31 (apercibimientos, multas, suspensiones, clausuras) opera, por definición, sobre hechos que hay que demostrar. Sin evidencia, el cumplimiento es una afirmación. Con evidencia, es un hecho que se puede sostener frente al órgano de control. Quien viene del mundo de la gestión de riesgo conoce bien esa distancia: un control que existe pero no deja rastro es, a efectos prácticos, un control que no se puede auditar.

Para un programa de awareness esto significa que cada acción formativa, cada política aceptada y cada recordatorio enviado deben dejar una huella verificable. No alcanza con que el colaborador haya recibido el curso. Hace falta saber quién, cuándo, qué versión del contenido y con qué credenciales lo recibió. La pregunta operativa, entonces, deja de ser “¿capacitamos al personal?” y pasa a ser “¿qué podemos exportar el día que la autoridad nos lo pida?”.

Detalle cenital de una pila de fichas de archivo apiladas con etiquetas de colores y una cinta con marca de tiempo entre dos fichas

¿Qué tiene que registrar tu programa para resistir una inspección de la AAIP?

Las inspecciones y las auditorías que terminan bien son las que se apoyan en un conjunto acotado pero firme de registros. Estos son los seis que, en mi experiencia gestionando cumplimiento, todo programa de concienciación debería tener disponibles para una autoridad de control:

  1. Aceptación verificable de la política de tratamiento de datos personales. No la firma genérica del ingreso a la empresa, sino la aceptación expresa, fechada y atada al usuario, de la política específica vigente al momento de la lectura. Si la política se actualizó, el registro debe poder identificar contra qué versión se prestó la conformidad.

  2. Constancia de capacitación con fecha, contenido y autenticación. Una constancia genérica (“realizó el curso de protección de datos”) es débil. La constancia sólida indica versión del módulo, fecha de inicio y de finalización, duración efectiva e identificación del colaborador mediante credencial corporativa, no por declaración propia.

  3. Registro de aprobación, no solo de asistencia. Para los efectos del artículo 9 importa que el contenido se haya comprendido, no que el colaborador haya abierto el curso. La evidencia pertinente incluye el resultado de una evaluación (cuestionario, simulación o equivalente) con un umbral de aprobación documentado.

  4. Trazabilidad de las actualizaciones de la política y del programa. La AAIP puede preguntar cuándo se incorporó al programa un determinado deber (por ejemplo, el cifrado de bases o el reporte interno de incidentes) y desde qué fecha cada colaborador estuvo obligado a conocerlo. Sin un historial versionado, esa pregunta queda sin respuesta.

  5. Evidencia de la comunicación de obligaciones posteriores al cese de la relación. El artículo 10 establece que el deber de confidencialidad subsiste tras la finalización de la relación. La buena práctica es comunicar ese deber expresamente, registrarlo y conservar la constancia durante el plazo de prescripción aplicable.

  6. Documentación del responsable interno que coordina el programa. Acta de designación, alcance de su función, criterios bajo los cuales aprueba la política y firma de los entregables. La AAIP suele dirigirse a una persona concreta, y la pregunta de quién responde por el programa no puede resolverse sobre la marcha.

La lista no es taxativa, y el peso relativo de cada ítem varía según el sector de la organización (financiero, salud, retail, sector público), su tamaño y la sensibilidad de los datos que trata. Pero ningún programa serio puede prescindir de los seis a la vez.

¿Y si tu programa solo prueba que el colaborador abrió el curso?

Imaginemos un escenario frecuente. Una organización sufre un incidente: se filtra una base con datos personales de clientes. La denuncia llega a la AAIP. La autoridad pide, entre otras cosas, evidencia de la formación recibida por el personal con acceso a esa base. La organización aporta un listado: “todos los colaboradores realizaron el curso de protección de datos”. La AAIP pide el detalle. El sistema solo registra clics de apertura.

Ese escenario ilustra un déficit recurrente. Lo que prueba un clic de apertura es que el colaborador, en algún momento, accedió al recurso. No prueba que lo haya leído, ni que lo haya comprendido, ni que la versión a la que accedió contuviera el punto en discusión. Frente a una autoridad de control, una evidencia tan magra rara vez alcanza, y deja a la organización en la posición más incómoda de cualquier proceso de cumplimiento: la de tener el control pero no poder mostrarlo.

A esto se suma un elemento que conviene gestionar desde el diseño: la integridad de la evidencia del registro de capacitación. Lo que está en juego es poder demostrar que el registro no se modificó después de generado, que su fecha es auténtica y que la atribución al colaborador es íntegra. Una planilla editable a mano no satisface ese estándar. Un registro generado por un sistema con sello de tiempo, identificación de usuario y log de acceso, sí. Esa diferencia, que parece técnica, es en realidad de gobierno: define cuánto vale tu evidencia el día que alguien la cuestiona.

En el régimen del artículo 31, el apercibimiento es el peldaño más leve y las multas y clausuras los más severos. La intensidad de la sanción responde a la gravedad de la conducta, pero también al grado de diligencia que la organización pueda probar. Tener evidencia sólida es, en términos de gestión de riesgo, el principal factor de mitigación frente al órgano de control.

¿Qué cambia con la reforma pendiente de la 25.326?

La Ley 25.326 se sancionó en el año 2000 y, desde entonces, atravesó reformas reglamentarias sucesivas. En los últimos años, los proyectos de reforma que ingresaron al Congreso buscan acercar el régimen argentino a los estándares contemporáneos, en particular al Reglamento General de Protección de Datos europeo (GDPR). Mientras la sanción definitiva no se concrete, lo prudente es leer el debate como una hoja de ruta de lo que la AAIP empezará a exigir cuando el texto entre en vigor.

Entre los ejes que ese debate insinúa, cuatro tocan directamente a un programa de awareness:

  • Refuerzo del régimen sancionatorio, con multas escalonadas en función de la facturación de la organización (lógica GDPR).
  • Figura del Delegado de Protección de Datos (DPO) como rol formal en organizaciones que tratan datos a gran escala, con funciones precisas en capacitación y supervisión interna.
  • Registro de actividades de tratamiento documentado, que obliga a mapear quién trata qué datos, con qué finalidad y bajo qué medidas, y a poder mostrarlo a la autoridad.
  • Notificación de brechas a la autoridad y a los afectados en plazos breves, lo que pone en valor la capacitación previa del personal sobre detección y reporte interno de incidentes.

Mi recomendación operativa es simple: empezar a registrar hoy como si la reforma ya estuviera vigente. Las medidas que la 25.326 exige bajo la fórmula amplia del artículo 9 son, en gran parte, las que la reforma exigirá de manera explícita. Adelantarse no es esfuerzo perdido: es el plazo que la organización se gana cuando el texto se publique.

Cómo estructurar la evidencia que la ley te va a pedir

Llegado este punto, la pregunta se vuelve operativa: ¿cómo organizar el programa para que la evidencia exista, sea íntegra y esté disponible en un tiempo razonable? El criterio que aplico se resume en una idea: la evidencia no se construye al final, se construye desde el diseño.

Eso se traduce en tres movimientos. Primero, integrar el registro al flujo normal del programa: cada lectura de política, cada finalización de módulo, cada aprobación de evaluación tiene que generar su constancia automáticamente, sin acción adicional del colaborador ni del responsable. Segundo, garantizar la integridad de esas constancias: identificación robusta del colaborador, fecha verificable y vínculo con la versión del contenido vigente al momento de la acción. Tercero, conservar las constancias por el plazo que requiera la prescripción aplicable y poder exportarlas en formato auditable.

Plataformas como SMARTFENSE están diseñadas, por defecto, con esa lógica: cada acción del colaborador sobre el contenido (lectura, aceptación, finalización, aprobación) queda registrada con fecha, autenticación de usuario, versión del recurso y trazabilidad de cambios. Para un responsable de cumplimiento en Argentina, eso deja de ser una característica de producto y pasa a ser la respuesta operativa al artículo 9 de la Ley 25.326.

Vale mencionar que el primer abordaje de este blog sobre la Ley 25.326 recorrió el ángulo de la capacitación como requisito normativo, complementario al que desarrollo aquí. Quien busque una mirada más general sobre la articulación entre marco legal y programa de concienciación puede consultar también la reflexión sobre el cumplimiento normativo como compromiso sostenido y el análisis sobre perfiles psicológicos y su admisibilidad legal. La sección de recursos de cumplimiento reúne materiales adicionales para responsables de seguridad y compliance officers.

A modo de conclusión

La Ley 25.326 lleva un cuarto de siglo entre nosotros. En todo ese tiempo, su exigencia central, las medidas técnicas y organizativas del artículo 9, se mantuvo casi inalterada. Lo que sí cambió, y mucho, es el nivel de evidencia que la autoridad espera ver para tener por cumplido ese deber. Un programa de awareness que en 2005 sobrevivía con una planilla de asistencia, hoy queda corto.

La pregunta que vale la pena llevarse no es si la organización cumple la 25.326. Es si podría demostrarlo mañana frente a una inspección de la AAIP. Si la respuesta exige un esfuerzo de reconstrucción, conviene anticiparse: la reforma en debate no va a flexibilizar el estándar de evidencia, va a endurecerlo. Y para quien gestiona riesgo, esto no termina en la sanción evitada. Un programa que prueba lo que hace sostiene la confianza de clientes, reguladores y dirección, y esa confianza es, en el fondo, una condición de la continuidad del negocio.

Share:

Compartir en LinkedIn Compartir en Pinterest Compartir en WhatsApp
Tags:
Carla Caggiano, autora del blog SMARTFENSE

Carla Caggiano

Ejecutiva en Gobierno, Riesgo y Cumplimiento (GRC), Seguridad de la Información y Continuidad del Negocio, con más de 8 años liderando equipos y proyectos en banca, salud y tecnología. Diseña e implementa marcos basados en ISO 27001, ISO 22301 e ISO 31000, y traduce regulaciones complejas (SOX, NIST, GDPR, DORA, COBIT) en soluciones aplicables y sostenibles.

Deja una respuesta

Búsqueda

Entradas recientes

Nube de etiquetas

actualidad cambio de comportamiento capacitación y concienciación ciberseguridad ciso columnista invitado concienciación consejos hardening de usuarios ingeniería social phishing ransomware responsable de seguridad seguridad de la información smartfense