Tus datos no son de juguete: cómo proteger tu privacidad y exigir responsabilidad en Argentina

, , , , , , , , , , , , , , , , , , , Defensa Consumidor, Derecho Empresarial, InternetLucas Alonso Carli
⏱ Tiempo de lectura: 7 minutos

La información personal es un activo con valor económico, jurídico y reputacional. Cuando alguien utiliza tus datos sin consentimiento, no es “una travesura digital”: puede dañar tu patrimonio, tu crédito, tu imagen y tu tranquilidad. En Argentina, existen herramientas concretas para prevenir, detener y reparar usos ilegales de datos personales, y también para exigir responsabilidad a quienes los tratan sin base legal. En este artículo te explico, en lenguaje claro, qué podés hacer como titular de datos y qué deben hacer las empresas para cumplir la ley y evitar sanciones.

Qué entendemos por “datos personales” y por qué importan

Los datos personales son cualquier información que identifica o puede identificar a una persona: nombre, DNI, domicilio, teléfono, mail, datos de geolocalización, hábitos de consumo, fotos, voz, placas de matrícula, historial crediticio, datos de salud y muchos más. No todos tienen el mismo nivel de sensibilidad, pero todos merecen tratamiento lícito y seguro.

  • Identificadores directos: nombre, DNI, CUIL/CUIT, rostro en una foto o video, biometría.
  • Identificadores indirectos: IP, cookies, geolocalización, combinaciones de variables que te vuelven identificable.
  • Datos sensibles: salud, origen racial/étnico, religión, opiniones políticas, vida sexual, entre otros. Requieren protección reforzada.

Tus datos tienen valor porque permiten perfilar, segmentar, vender y decidir: desde una oferta comercial hasta el otorgamiento de un crédito. Cuando terceros los usan sin base legal o los protegen mal, el riesgo no es teórico: hay robo de identidad, fraudes, acoso, exposición de menores y discriminación.

El marco legal argentino: derechos del titular y obligaciones del responsable

En Argentina, la protección de datos personales se apoya principalmente en el artículo 43 de la Constitución Nacional (habeas data) y en la Ley 25.326 con su decreto reglamentario. La autoridad de control es la Agencia de Acceso a la Información Pública (AAIP). De este marco surgen:

Tus derechos como titular de datos

  • Información: conocer quién recopila tus datos, con qué finalidad, qué categorías trata, con quién las comparte y por cuánto tiempo.
  • Acceso: obtener copia de los datos que una empresa u organismo guarda sobre vos.
  • Rectificación/Actualización: corregir errores o inexactitudes.
  • Supresión (borrado): pedir la eliminación cuando el tratamiento no tenga base legal o la finalidad haya caducado.
  • Oposición y revocación del consentimiento: negarte a tratamientos no obligatorios o retirar el permiso que diste.
  • Confidencialidad y seguridad: exigir medidas técnicas y organizativas adecuadas para resguardar tus datos.

Deberes de las empresas y organizaciones

  • Base legal del tratamiento: consentimiento válido, cumplimiento de obligaciones legales, ejecución de contratos u otras bases reconocidas.
  • Finalidad y minimización: recolectar solo lo necesario y usarlo únicamente para el fin informado.
  • Transparencia: políticas claras y avisos accesibles en canales de recolección (formularios web, apps, contratos).
  • Seguridad: cifrado, controles de acceso, registros, backups, prevención de intrusiones y planes de respuesta a incidentes.
  • Deber de confidencialidad: evitar accesos internos y externos indebidos.
  • Gestión con proveedores: contratos con encargados de tratamiento que aseguren el mismo nivel de protección.
  • Registro y gobernanza: mapear datos, asignar responsables, capacitar equipos y auditar procesos.

El incumplimiento puede acarrear sanciones administrativas, daños y perjuicios en sede civil y, en contextos de consumo, la eventual aplicación de daño punitivo cuando la conducta demuestre desinterés grave por los derechos del usuario.

Tal vez te interese:  Robo de identidad, créditos remotos y Veraz: qué hacer si te aparece un préstamo que nunca pediste

Consentimiento: cuándo es válido y cuándo no

El consentimiento es una de las bases más conocidas para tratar datos. No cualquier “sí” vale:

  • Libre: sin condicionamientos. No puede ser requisito para acceder a un servicio que no necesita ese dato.
  • Informado: finalidades, tratamiento, terceros, tiempo de conservación y modo de ejercer derechos.
  • Específico: cada finalidad debe tener su propia autorización.
  • Inequívoco: nada de casillas pre-tildadas o silencios interpretados como aceptación.
  • Documentado: el responsable debe poder probar que lo obtuvo.

Si una empresa trata datos sin base legal o fuera de la finalidad declarada, hay uso no autorizado. En ese caso, podés exigir cese, supresión y reparación del daño.

Casos frecuentes de uso indebido: señales de alerta

  1. Llamadas o mensajes comerciales no solicitados tras dar tu teléfono “solo para facturación”.
  2. Cesión de datos a terceros sin haberte informado ni pedido permiso.
  3. Perfiles de riesgo o scoring elaborados con información que no diste o que ya debía haberse eliminado.
  4. Fugas o brechas de seguridad que exponen documentos, fotos, datos de pago o geolocalización.
  5. Uso de datos de menores sin consentimiento verificable de quien ejerce la responsabilidad parental.
  6. Captura de datos biométricos sin justificación proporcional (por ejemplo, exigir reconocimiento facial para trámites que no lo requieren).
  7. Reutilización de datos recabados para un trámite específico (por ejemplo, un plan de ahorro) para campañas o gestiones ajenas a la finalidad original.

Empresas bajo la lupa: planes de ahorro, fintech, retail, educación y salud

Cualquier sector que recopile gran volumen de datos corre riesgo jurídico si descuida su gobernanza. Algunos puntos críticos:

  • Administradoras de planes de ahorro: recolectan identidad, domicilio, situación económica y hábitos de pago. Deben limitar el uso a la administración contractual y no derivar esos datos a campañas comerciales ajenas a la finalidad o a terceros sin base legal suficiente.
  • Fintech y bancos: deben justificar perfilados y análisis automatizados, además de informar criterios de evaluación. La seguridad es clave por la sensibilidad financiera.
  • Retail y marketing: cuidado con bases “enriquecidas”, lookalikes y datos adquiridos de intermediarios sin trazabilidad.
  • Educación y salud: tratamiento de datos de menores y datos sensibles. Exigen estándares de protección reforzados, protocolos y controles estrictos.

Cuando hay tratamiento sin base legal o fuera de finalidad, puede haber responsabilidad del responsable del fichero y, si hay proveedores involucrados, corresponsabilidad por falta de due diligence o de cláusulas adecuadas.

Cómo reaccionar si tus datos fueron usados sin autorización

1) Documentá la situación

  • Guardá capturas de mensajes, correos y pantallas.
  • Anotá fechas, horarios, números y canales de contacto.
  • Solicitá por escrito el origen de la base y la finalidad del uso.

2) Ejercé tus derechos ante la empresa

  • Presentá un pedido de acceso para conocer qué datos tienen, de dónde provienen y cómo los usan.
  • Pedí supresión u oposición si el tratamiento carece de base legal o excede la finalidad.
  • Exigí cese inmediato y bloqueo de nuevos contactos comerciales.

3) Reclamo ante la autoridad

  • Si la respuesta es insatisfactoria o no responde, inicie un reclamo ante la AAIP detallando hechos y pruebas.

4) Vía judicial

  • Evaluá acciones por daños y perjuicios y, cuando corresponda, la aplicación de daño punitivo en el marco de una relación de consumo.
  • Considerá el habeas data para ordenar acceso, rectificación o supresión, con medidas cautelares si hay riesgo en la demora.
Tal vez te interese:  Trabajo no registrado: cuándo la Justicia alcanza a los socios y cómo prevenir condenas millonarias

Como abogado, en mi estudio habitualmente combino la vía administrativa y la judicial según el caso, buscando la solución más rápida y efectiva para detener el uso indebido y obtener reparación.

Cómo deberían prepararse las empresas: un plan de cumplimiento pragmático

El cumplimiento en datos no se resuelve con una política “de biblioteca” ni con un pop-up de cookies. Requiere gobernanza real y medidas medibles. Esta es una hoja de ruta práctica que implemento con clientes:

1) Diagnóstico y mapa de datos

  • Inventariar fuentes, finalidades, bases legales, transferencias y retenciones.
  • Identificar datos sensibles y datos de menores.
  • Localizar proveedores y encargados con acceso.

2) Gobernanza y roles

  • Designar un responsable interno de privacidad.
  • Establecer circuitos de aprobación para nuevas iniciativas que usen datos.
  • Crear un comité de privacidad y seguridad para incidencias.

3) Políticas y avisos claros

  • Avisos de privacidad específicos por canal (web, app, contrato, mostrador).
  • Políticas de retención y borrado por categoría de dato y finalidad.
  • Protocolo de respuesta al ejercicio de derechos.

4) Contratos con proveedores

  • Cláusulas de encargo de tratamiento, confidencialidad, seguridad y auditorías.
  • Matriz de riesgos por proveedor (clasificación según criticidad).

5) Seguridad y continuidad

  • Cifrado en tránsito y reposo, gestión de identidades, doble factor.
  • Segmentación de redes, backups verificables, control de cambios.
  • Simulacros de incidentes y plan de respuesta ante brechas.

6) Registro de actividades

  • Mantener trazabilidad de tratamientos, consentimientos y supresiones.
  • Evidencia para inspecciones o requerimientos judiciales.

7) Entrenamiento y cultura

  • Capacitación periódica para equipos de ventas, atención al cliente, IT y legales.
  • Evaluaciones de phishing y buenas prácticas de manejo de información.

8) Evaluaciones de impacto (cuando aplique)

  • Para proyectos de alto riesgo (biometría, geolocalización masiva, perfilados intensivos).
  • Medidas de mitigación y justificación de proporcionalidad.

Con esta base, las empresas reducen riesgo legal y reputacional, y, de paso, mejoran la confianza de sus clientes.

Menores de edad: el estándar es más estricto

El tratamiento de datos de niñas, niños y adolescentes exige consentimiento verificable de quien ejerce la responsabilidad parental y una política de minimización reforzada. Además:

  • Evitar la perfilación comercial invasiva.
  • Limitar geolocalización y publicidad basada en seguimiento.
  • Implementar controles parentales y avisos claros, en lenguaje comprensible.
  • Prohibir el reuso de datos de menores para fines no esenciales al servicio.

Una práctica prudente es el “privacy by design”: pensar la protección desde el diseño del producto, no como un añadido.

¿Qué daños pueden reclamarse?

Dependerá del caso y de la prueba, pero típicamente se evalúan:

  • Daño moral: angustia, afectación a la tranquilidad y a la esfera íntima.
  • Daño patrimonial: costos por restaurar identidad, tiempo, honorarios, pérdida de oportunidades.
  • Daño punitivo (en consumo): sanción ejemplificadora cuando el proveedor desatiende gravemente los derechos del consumidor.
  • Medidas no dinerarias: cese, supresión, rectificación, publicación de sentencia, entre otras.

La prueba es decisiva: la cronología de contactos, la negativa o el silencio ante pedidos de acceso, los rastros técnicos y los contratos estandarizados suelen ser la base para acreditar la conducta ilícita y la responsabilidad.

Pruebas útiles: cómo construir tu caso

  • Registros de comunicaciones: pantallazos de WhatsApp, SMS, correos, fechas y horas.
  • Metadatos y cabeceras: cuando sea posible, conservar encabezados de emails o logs.
  • Contratos y formularios: lo que firmaste o aceptaste y lo que no.
  • Políticas y avisos: versiones vigentes en la fecha del hecho.
  • Respuestas del responsable: si la empresa negó, demoró o respondió incompleto.
  • Pericias informáticas: en fugas o accesos indebidos, las pericias respaldan la trazabilidad.
Tal vez te interese:  Firma digital y firma electrónica en Argentina: guía práctica para contratos que funcionan

Como estrategia, sugiero combinar pedidos de acceso bien redactados, intimaciones fehacientes y, si no hay solución, acciones judiciales enfocadas y probatorias.

Empresas: checklist de mínimos innegociables

  1. Mapa de datos actualizado y registro de actividades.
  2. Avisos de privacidad por canal con lenguaje claro y finalidades concretas.
  3. Base legal documentada para cada tratamiento.
  4. Contratos de encargo con proveedores, con obligaciones de seguridad y auditoría.
  5. Proceso ágil para responder derechos de acceso, rectificación, supresión y oposición.
  6. Segmentación de seguridad y autenticación robusta.
  7. Plan de respuesta a incidentes con roles, tiempos y comunicaciones.
  8. Retención y borrado: nada de guardar “por las dudas”.
  9. Capacitación periódica y simulaciones.
  10. Revisión periódica de cookies, SDKs y herramientas de tracking.

Buenas prácticas para titulares de datos

  • Leé los avisos de privacidad y rechazá opciones intrusivas.
  • No compartas más información de la necesaria; usá mails alternativos para promociones.
  • Activá seguridad en dos pasos en tus cuentas.
  • Evitá reenviar documentos sensibles por canales inseguros.
  • Controlá permisos de apps móviles y desinstalá las que no uses.
  • Solicitá acceso o supresión cuando no reconozcas la finalidad.
  • Ante un incidente, recolectá evidencia desde el primer momento.

Mi enfoque profesional

Cuando un cliente me consulta por uso indebido de datos, priorizo tres objetivos: detener el daño, aclarar el mapa de responsabilidades y obtener una reparación efectiva. Para eso:

  1. Hago una auditoría de hechos y un requerimiento técnico-legal al responsable y a sus proveedores.
  2. Ejercito los derechos del titular en paralelo con una estrategia de negociación firme.
  3. Si no hay respuesta adecuada, iniciamos acciones con medidas cautelares y un enfoque probatorio preciso.
  4. En empresas, diseño e implemento programas de cumplimiento para mitigar riesgos presentes y futuros.

La privacidad no se declama: se construye con procesos, evidencias y decisiones de gestión.

Conclusión: tus datos merecen respeto y protección real

Los datos personales son parte de tu identidad jurídica y social. No pueden tratarse como un simple insumo comercial. Si te contactan sin autorización, si tus datos se filtraron, si se usan con fines que nunca aceptaste o si pertenecen a tus hijos, no estás indefenso: la normativa argentina te protege y ofrece canales para frenar el abuso y reclamar daños. Del otro lado, si administrás una empresa, establecer una cultura de cumplimiento es la forma más sensata y económica de operar: evita sanciones, conflictos y, sobre todo, construye confianza con tus clientes.

Llamado a la acción

Si detectaste un uso indebido de tus datos, necesitás ejercer tus derechos o querés implementar un plan serio de cumplimiento en tu empresa, contactame. Analizo tu caso, te explico las opciones con claridad y te acompaño en cada paso para proteger tu privacidad y tu reputación. La mejor decisión es la que se toma a tiempo y con estrategia.