{"id":41430,"date":"2026-06-02T11:21:33","date_gmt":"2026-06-02T09:21:33","guid":{"rendered":"https:\/\/smartfense.com\/?p=41430"},"modified":"2026-06-02T11:21:37","modified_gmt":"2026-06-02T09:21:37","slug":"ley-25326-evidencia-programa-awareness","status":"publish","type":"post","link":"https:\/\/smartfense.com\/es-ar\/blog\/ley-25326-evidencia-programa-awareness\/","title":{"rendered":"Ley 25.326 de protecci\u00f3n de datos personales: lo que tu programa de awareness tiene que poder demostrar"},"content":{"rendered":"

\u00bfTu organizaci\u00f3n podr\u00eda mostrar, ma\u00f1ana mismo, qu\u00e9 ley\u00f3 cada uno de sus colaboradores sobre el tratamiento de datos personales, cu\u00e1ndo lo acept\u00f3 y bajo qu\u00e9 credenciales? La Ley 25.326 no exige solamente capacitar al personal: exige poder demostrarlo. Y entre una cosa y la otra hay un espacio que muchos programas de awareness descubren reci\u00e9n cuando llega la primera notificaci\u00f3n de la autoridad de aplicaci\u00f3n.<\/p>\n

Trabajo en gobierno, riesgo y cumplimiento, y esa pregunta es la primera que hago cuando reviso un programa de datos personales. No me interesa repasar la ley en abstracto, sino mirarla desde el lugar donde se vuelve un riesgo concreto para la organizaci\u00f3n: el momento en que hay que abrir el archivo, mostrar la evidencia y sostener que el deber est\u00e1 cumplido. Desde el marco hacia la operaci\u00f3n, entonces: qu\u00e9 pide la 25.326, qu\u00e9 espera ver la AAIP, qu\u00e9 cambia con la reforma en debate y, sobre todo, qu\u00e9 tiene que registrar un programa de awareness para resistir una inspecci\u00f3n.<\/p>\n

\u00bfQu\u00e9 exige hoy la Ley 25.326 a quien capacita a su personal?<\/h2>\n

La Ley 25.326 es el marco vigente que regula, en la Rep\u00fablica Argentina, la protecci\u00f3n integral de los datos personales asentados en archivos, registros, bancos de datos u otros medios de tratamiento, p\u00fablicos o privados. Es la ley que reglamenta el derecho de habeas data<\/strong> del art\u00edculo 43 de la Constituci\u00f3n Nacional, y su autoridad de aplicaci\u00f3n es la Agencia de Acceso a la Informaci\u00f3n P\u00fablica (AAIP), seg\u00fan los art\u00edculos 29 y 30.<\/p>\n

En el plano de los deberes concretos, el art\u00edculo 9 establece que quien trate datos personales debe adoptar las medidas t\u00e9cnicas y organizativas necesarias para garantizar la seguridad y confidencialidad<\/strong> de los datos, de modo de evitar su adulteraci\u00f3n, p\u00e9rdida, consulta o tratamiento no autorizado. La f\u00f3rmula importa, y desde gobierno se lee con atenci\u00f3n: la ley no se conform\u00f3 con medidas t\u00e9cnicas. Exigi\u00f3, en pie de igualdad, medidas organizativas<\/strong>. Dentro de ese segundo bloque vive todo lo que aportan una pol\u00edtica interna, un programa de awareness y una capacitaci\u00f3n efectiva. En la pr\u00e1ctica de cualquier marco de gesti\u00f3n, eso es un control, y los controles se gestionan, se miden y se evidencian.<\/p>\n

El art\u00edculo 10 agrega el deber de confidencialidad<\/strong>: los responsables y quienes intervengan en cualquier fase del tratamiento est\u00e1n obligados al secreto profesional, obligaci\u00f3n que subsiste aun despu\u00e9s de finalizada la relaci\u00f3n<\/strong> con el titular del archivo. Esa frase tiene una consecuencia operativa que muchos programas pasan por alto: el deber no se apaga el d\u00eda de la baja del colaborador. Si la capacitaci\u00f3n no cubri\u00f3 ese punto y no qued\u00f3 registrada, la organizaci\u00f3n se queda sin forma de probar que lo comunic\u00f3.<\/p>\n

La normativa reglamentaria de la autoridad de aplicaci\u00f3n viene precisando qu\u00e9 se entiende por \u201cmedidas t\u00e9cnicas y organizativas\u201d del art\u00edculo 9: la designaci\u00f3n de un responsable interno, la documentaci\u00f3n de pol\u00edticas, los controles de acceso y la formaci\u00f3n peri\u00f3dica del personal. La AAIP no inventa esos requisitos. Los deriva del propio art\u00edculo 9 y los vuelve exigibles en sede administrativa. Para quien gestiona el cumplimiento, son los mismos controles que cualquier marco de seguridad de la informaci\u00f3n reconoce como b\u00e1sicos.<\/p>\n

La distancia entre cumplir la ley y poder probarlo<\/h2>\n

Conviene explicitar un punto antes de avanzar, porque es donde muchos programas se desarman: una cosa es cumplir<\/strong> la Ley 25.326 y otra distinta es poder demostrarlo<\/strong>. La diferencia parece sutil. En una auditor\u00eda o una inspecci\u00f3n es la que decide si todo termina con un acta favorable o con un expediente abierto.<\/p>\n

La ley no detalla c\u00f3mo se prueba el cumplimiento, porque eso corresponde a la actividad probatoria general de la organizaci\u00f3n. Pero el r\u00e9gimen sancionatorio del art\u00edculo 31 (apercibimientos, multas, suspensiones, clausuras) opera, por definici\u00f3n, sobre hechos que hay que demostrar. Sin evidencia, el cumplimiento es una afirmaci\u00f3n. Con evidencia, es un hecho que se puede sostener frente al \u00f3rgano de control. Quien viene del mundo de la gesti\u00f3n de riesgo conoce bien esa distancia: un control que existe pero no deja rastro es, a efectos pr\u00e1cticos, un control que no se puede auditar.<\/p>\n

Para un programa de awareness esto significa que cada acci\u00f3n formativa, cada pol\u00edtica aceptada y cada recordatorio enviado deben dejar una huella verificable. No alcanza con que el colaborador haya recibido el curso. Hace falta saber qui\u00e9n, cu\u00e1ndo, qu\u00e9 versi\u00f3n del contenido y con qu\u00e9 credenciales<\/strong> lo recibi\u00f3. La pregunta operativa, entonces, deja de ser \u201c\u00bfcapacitamos al personal?\u201d y pasa a ser \u201c\u00bfqu\u00e9 podemos exportar el d\u00eda que la autoridad nos lo pida?\u201d.<\/p>\n

\"Detalle<\/p>\n

\u00bfQu\u00e9 tiene que registrar tu programa para resistir una inspecci\u00f3n de la AAIP?<\/h2>\n

Las inspecciones y las auditor\u00edas que terminan bien son las que se apoyan en un conjunto acotado pero firme de registros. Estos son los seis que, en mi experiencia gestionando cumplimiento, todo programa de concienciaci\u00f3n deber\u00eda tener disponibles para una autoridad de control:<\/p>\n

    \n
  1. \n

    Aceptaci\u00f3n verificable de la pol\u00edtica de tratamiento de datos personales.<\/strong> No la firma gen\u00e9rica del ingreso a la empresa, sino la aceptaci\u00f3n expresa, fechada y atada al usuario, de la pol\u00edtica espec\u00edfica vigente al momento de la lectura. Si la pol\u00edtica se actualiz\u00f3, el registro debe poder identificar contra qu\u00e9 versi\u00f3n se prest\u00f3 la conformidad.<\/p>\n<\/li>\n

  2. \n

    Constancia de capacitaci\u00f3n con fecha, contenido y autenticaci\u00f3n.<\/strong> Una constancia gen\u00e9rica (\u201crealiz\u00f3 el curso de protecci\u00f3n de datos\u201d) es d\u00e9bil. La constancia s\u00f3lida indica versi\u00f3n del m\u00f3dulo, fecha de inicio y de finalizaci\u00f3n, duraci\u00f3n efectiva e identificaci\u00f3n del colaborador mediante credencial corporativa, no por declaraci\u00f3n propia.<\/p>\n<\/li>\n

  3. \n

    Registro de aprobaci\u00f3n, no solo de asistencia.<\/strong> Para los efectos del art\u00edculo 9 importa que el contenido se haya comprendido, no que el colaborador haya abierto el curso. La evidencia pertinente incluye el resultado de una evaluaci\u00f3n (cuestionario, simulaci\u00f3n o equivalente) con un umbral de aprobaci\u00f3n documentado.<\/p>\n<\/li>\n

  4. \n

    Trazabilidad de las actualizaciones de la pol\u00edtica y del programa.<\/strong> La AAIP puede preguntar cu\u00e1ndo se incorpor\u00f3 al programa un determinado deber (por ejemplo, el cifrado de bases o el reporte interno de incidentes) y desde qu\u00e9 fecha cada colaborador estuvo obligado a conocerlo. Sin un historial versionado, esa pregunta queda sin respuesta.<\/p>\n<\/li>\n

  5. \n

    Evidencia de la comunicaci\u00f3n de obligaciones posteriores al cese de la relaci\u00f3n.<\/strong> El art\u00edculo 10 establece que el deber de confidencialidad subsiste tras la finalizaci\u00f3n de la relaci\u00f3n. La buena pr\u00e1ctica es comunicar ese deber expresamente, registrarlo y conservar la constancia durante el plazo de prescripci\u00f3n aplicable.<\/p>\n<\/li>\n

  6. \n

    Documentaci\u00f3n del responsable interno que coordina el programa.<\/strong> Acta de designaci\u00f3n, alcance de su funci\u00f3n, criterios bajo los cuales aprueba la pol\u00edtica y firma de los entregables. La AAIP suele dirigirse a una persona concreta, y la pregunta de qui\u00e9n responde por el programa no puede resolverse sobre la marcha.<\/p>\n<\/li>\n<\/ol>\n

    La lista no es taxativa, y el peso relativo de cada \u00edtem var\u00eda seg\u00fan el sector de la organizaci\u00f3n (financiero, salud, retail, sector p\u00fablico), su tama\u00f1o y la sensibilidad de los datos que trata. Pero ning\u00fan programa serio puede prescindir de los seis a la vez.<\/p>\n

    \u00bfY si tu programa solo prueba que el colaborador abri\u00f3 el curso?<\/h2>\n

    Imaginemos un escenario frecuente. Una organizaci\u00f3n sufre un incidente: se filtra una base con datos personales de clientes. La denuncia llega a la AAIP. La autoridad pide, entre otras cosas, evidencia de la formaci\u00f3n recibida por el personal con acceso a esa base. La organizaci\u00f3n aporta un listado: \u201ctodos los colaboradores realizaron el curso de protecci\u00f3n de datos\u201d. La AAIP pide el detalle. El sistema solo registra clics de apertura.<\/p>\n

    Ese escenario ilustra un d\u00e9ficit recurrente. Lo que prueba un clic de apertura es que el colaborador, en alg\u00fan momento, accedi\u00f3 al recurso. No prueba que lo haya le\u00eddo, ni que lo haya comprendido, ni que la versi\u00f3n a la que accedi\u00f3 contuviera el punto en discusi\u00f3n. Frente a una autoridad de control, una evidencia tan magra rara vez alcanza, y deja a la organizaci\u00f3n en la posici\u00f3n m\u00e1s inc\u00f3moda de cualquier proceso de cumplimiento: la de tener el control pero no poder mostrarlo.<\/p>\n

    A esto se suma un elemento que conviene gestionar desde el dise\u00f1o: la integridad de la evidencia<\/strong> del registro de capacitaci\u00f3n. Lo que est\u00e1 en juego es poder demostrar que el registro no se modific\u00f3 despu\u00e9s de generado, que su fecha es aut\u00e9ntica y que la atribuci\u00f3n al colaborador es \u00edntegra. Una planilla editable a mano no satisface ese est\u00e1ndar. Un registro generado por un sistema con sello de tiempo, identificaci\u00f3n de usuario y log de acceso, s\u00ed. Esa diferencia, que parece t\u00e9cnica, es en realidad de gobierno: define cu\u00e1nto vale tu evidencia el d\u00eda que alguien la cuestiona.<\/p>\n

    En el r\u00e9gimen del art\u00edculo 31, el apercibimiento es el pelda\u00f1o m\u00e1s leve y las multas y clausuras los m\u00e1s severos. La intensidad de la sanci\u00f3n responde a la gravedad de la conducta, pero tambi\u00e9n al grado de diligencia que la organizaci\u00f3n pueda probar. Tener evidencia s\u00f3lida es, en t\u00e9rminos de gesti\u00f3n de riesgo, el principal factor de mitigaci\u00f3n frente al \u00f3rgano de control.<\/p>\n

    \u00bfQu\u00e9 cambia con la reforma pendiente de la 25.326?<\/h2>\n

    La Ley 25.326 se sancion\u00f3 en el a\u00f1o 2000 y, desde entonces, atraves\u00f3 reformas reglamentarias sucesivas. En los \u00faltimos a\u00f1os, los proyectos de reforma que ingresaron al Congreso buscan acercar el r\u00e9gimen argentino a los est\u00e1ndares contempor\u00e1neos, en particular al Reglamento General de Protecci\u00f3n de Datos europeo (GDPR). Mientras la sanci\u00f3n definitiva no se concrete, lo prudente es leer el debate como una hoja de ruta de lo que la AAIP empezar\u00e1 a exigir cuando el texto entre en vigor.<\/p>\n

    Entre los ejes que ese debate insin\u00faa, cuatro tocan directamente a un programa de awareness:<\/p>\n