Durante mucho tiempo, la ciberseguridad en Argentina fue tratada como un asunto estrictamente técnico, delegado en áreas de sistemas o directamente en terceros especializados. Esa mirada hoy resulta claramente insuficiente. La proliferación de incidentes —filtraciones de datos, ataques de ransomware, accesos indebidos o interrupciones de servicio— ha puesto en evidencia que el problema no es solo operativo, sino esencialmente jurídico. Cada uno de estos eventos puede generar responsabilidad, sanciones regulatorias y, en muchos casos, conflictos con clientes o usuarios que terminan en sede administrativa o judicial.
En ese contexto, la contratación de proveedores tecnológicos no elimina el riesgo, sino que lo transforma. Muchas empresas operan bajo la premisa implícita de que externalizar infraestructura, almacenamiento o procesamiento implica también externalizar la responsabilidad. Esa suposición es incorrecta. Desde el punto de vista legal, quien define la finalidad del tratamiento de los datos, quien organiza la operatoria y quien se vincula con el usuario final, sigue siendo responsable, aun cuando delegue parte de la ejecución en terceros.
La normativa argentina es bastante clara en este punto, aunque no lo diga en términos expresos de “ciberseguridad”; la Ley 25.326 de Protección de datos personales Argentina impone un deber de seguridad sobre quien trata datos personales, exigiendo la adopción de medidas técnicas y organizativas que garanticen su confidencialidad e integridad. Ese deber no desaparece por el hecho de utilizar un proveedor cloud, una API de terceros o un servicio de procesamiento externo. El responsable del tratamiento sigue siendo quien decide para qué se usan esos datos, y por lo tanto debe asegurarse de que el tercero cumpla con estándares adecuados.
A esto se suma el Código Civil y Comercial, que introduce una lógica más amplia basada en el deber de prevención del daño. Según esta lógica, la obligación de quien realiza el tratamiento de datos no se limita responder cuando el daño ya ocurrió, sino que debe evitarlo cuando es razonablemente previsible. En materia de ciberseguridad, la previsibilidad está prácticamente fuera de discusión. Los riesgos son conocidos, las vulnerabilidades son frecuentes y la existencia de ataques es una constante. Entonces bajo esta lupa, no evaluar adecuadamente a un proveedor o no exigirle ciertas condiciones mínimas puede ser interpretado como una omisión culpable.
El problema se hace visible cuando ocurre un incidente; desde la perspectiva del usuario o cliente afectado, la distinción entre empresa y proveedor es irrelevante. Si sus datos fueron expuestos o si un servicio dejó de funcionar, el reclamo se dirigirá contra quien le prestaba el servicio, no contra el tercero que estaba detrás de la infraestructura. Lo mismo ocurre frente a organismos de control. La Agencia de Acceso a la Información Pública no va a investigar primero al proveedor, sino al responsable del tratamiento. Esa empresa deberá explicar qué medidas adoptó, qué controles tenía y por qué el incidente fue posible.
Esto significa que la relación con el proveedor tecnológico no puede estructurarse únicamente desde lo técnico o lo comercial. El contrato pasa a ser una herramienta central de gestión de riesgo. No alcanza con aceptar términos estándar o confiar en la reputación del proveedor. Es necesario revisar cómo están definidas las obligaciones de seguridad, qué nivel de responsabilidad asume el proveedor ante incidentes, cuáles son los tiempos de notificación y qué margen real tiene la empresa para auditar o controlar.
Un punto especialmente sensible al cual se le debe prestar mucha atención es la notificación de incidentes. En muchos contratos estándar, este aspecto está redactado de forma vaga o directamente ausente. Sin embargo, en la práctica, la rapidez con la que una empresa toma conocimiento de un incidente es determinante para mitigar sus consecuencias. Si el proveedor detecta una intrusión o una filtración, la empresa necesita saberlo de inmediato, no días después. Ese plazo, que desde lo técnico puede parecer un detalle, desde lo legal puede marcar la diferencia entre una gestión adecuada del incidente y una exposición innecesaria a sanciones o reclamos.
La cadena de subcontratación también es un aspecto importante a considerar. Muchos proveedores, especialmente los grandes actores del ecosistema digital, no operan de forma aislada. A su vez, utilizan otros servicios, infraestructura tercerizada o integraciones con múltiples actores. Esto genera lo que en la práctica se conoce como una “cadena de tratamiento”. Desde el punto de vista jurídico, el problema es que cada eslabón adicional introduce una nueva fuente de riesgo. Si el contrato no regula adecuadamente esa cadena —por ejemplo, exigiendo que los subproveedores cumplan con los mismos estándares— la empresa pierde visibilidad y control sobre dónde están sus datos y cómo se están tratando.
En Argentina ya existen lineamientos regulatorios concretos sobre cómo deben gestionarse estos eventos. La Agencia de Acceso a la Información Pública, a través de la Resolución 47/2018, establece criterios sobre la notificación de incidentes de seguridad que afecten datos personales, incluyendo la necesidad de comunicar determinados eventos en plazos razonables y con información suficiente para evaluar su impacto. Esto refuerza la idea de que la gestión de incidentes no puede quedar librada a la discrecionalidad técnica del proveedor, sino que debe ser estructurada desde una perspectiva legal, con procedimientos claros y responsabilidades definidas entorno a el cumplimiento normativo (compliance).
Es habitual también que los proveedores intenten limitar su exposición económica frente a incidentes, fijando topes indemnizatorios o excluyendo ciertos daños. Desde el punto de vista comercial, esto puede ser negociable. Desde el punto de vista legal, puede ser problemático. Si la empresa asume frente a sus usuarios una responsabilidad que luego no puede trasladar al proveedor, se genera un descalce que termina impactando directamente en su patrimonio.
Otro aspecto sobre el que nos gustaría hacer hincapié, además del contrato, es la evaluación previa del proveedor. No todos los riesgos se gestionan después de contratar, una parte importante se define antes. Es bueno pregustarse quién es el proveedor, qué estándares de seguridad tiene, cómo gestiona incidentes, si cuenta con certificaciones o auditorías externas, antes de contratarlo. En muchos casos, la diferencia entre un incidente manejable y un problema grave está en esa elección inicial.
Todo esto quiere decir que la ciberseguridad en Argentina empieza antes de contratar al proveedor, en su elección, en los contratos que se firman sin revisión, en priorizar costo o velocidad de implementación por sobre seguridad, en no integran a sus equipos legales en decisiones tecnológicas, o asumir que el proveedor “se encarga de todo”. Esa desconexión entre lo técnico y lo jurídico es, probablemente, uno de los principales factores de riesgo.
Las empresas que operan en entornos digitales, especialmente aquellas que manejan datos de usuarios o prestan servicios online, no pueden tratar la ciberseguridad como un accesorio. Tampoco pueden asumir que el proveedor resuelve el problema. La relación con ese proveedor debe ser estructurada, controlada y jurídicamente encuadrada. No como una formalidad, sino como una forma de anticipar conflictos que, en la práctica, son cada vez más frecuentes.
Desde ese lugar, la cuestión no es eliminar el riesgo —algo imposible— sino administrarlo de manera razonable. Y en esa administración, el contrato, la selección del proveedor y la integración entre lo técnico y lo legal juegan un rol decisivo.
Preguntas frecuentes sobre ciberseguridad en Argentina y responsabilidad legal
¿Una empresa sigue siendo responsable si el incidente de seguridad ocurre en un proveedor externo?
Sí. Desde el punto de vista legal, la empresa que define la finalidad del tratamiento de los datos o presta el servicio al usuario sigue siendo responsable, aunque la infraestructura esté tercerizada. La intervención de un proveedor no elimina esa responsabilidad frente a terceros ni frente a organismos de control.
¿Qué obligaciones tiene una empresa ante un incidente de seguridad?
Debe actuar con rapidez para contener el incidente, evaluar su impacto y, en caso de corresponder, informar a la Agencia de Acceso a la Información Pública y a los titulares de los datos afectados. La Resolución 47/2018 establece lineamientos sobre cómo gestionar estas situaciones.
¿Es obligatorio incluir cláusulas de ciberseguridad en contratos con proveedores?
No existe una obligación expresa en esos términos, pero en la práctica es indispensable. La ausencia de cláusulas claras sobre seguridad, notificación de incidentes y responsabilidad puede dejar a la empresa en una situación de exposición significativa.
¿Qué pasa si el proveedor no informa un incidente a tiempo?
La empresa igualmente puede verse afectada en términos legales y regulatorios. Por eso es clave establecer contractualmente plazos de notificación estrictos y mecanismos de control que no dependan exclusivamente de la buena fe del proveedor.
¿Qué tipo de proveedores generan mayor riesgo?
Principalmente aquellos que almacenan o procesan datos personales, gestionan infraestructura crítica (cloud, hosting) o integran sistemas clave del negocio. En estos casos, el impacto de un incidente suele ser mayor y más difícil de contener.
