Lo que las empresas necesitan saber antes de alojar datos en el exterior
Cualquier empresa que opere en Argentina y utilice servicios tecnológicos alojados fuera del país está realizando, en términos jurídicos, una transferencia internacional de datos personales. No importa si se trata de un proveedor de infraestructura cloud, de una herramienta de inteligencia artificial que procesa información de clientes, de un CRM con servidores en Estados Unidos o de un sistema de gestión de recursos humanos operado desde Europa. Cada vez que datos personales salen de la jurisdicción argentina hacia servidores ubicados en otro país, se activa un régimen legal específico que muchas empresas desconocen o subestiman.
Lo que en la práctica cotidiana parece un proceso transparente —contratar un servicio, subir información a la nube, integrar una API— tiene detrás un marco normativo que impone condiciones concretas para que esa circulación transfronteriza de datos sea lícita. La Ley 25.326 de Protección de Datos Personales, su Decreto Reglamentario 1558/2001, la Disposición 60-E/2016, la Resolución AAIP 159/2018 y la más reciente Resolución AAIP 198/2023 conforman un entramado regulatorio que define qué transferencias están permitidas, bajo qué condiciones y con qué garantías.
El propósito de esta nota es ofrecer un análisis práctico de ese régimen, orientado a quienes toman decisiones tecnológicas y comerciales en empresas que operan con proveedores internacionales. Entender cómo funciona la transferencia internacional de datos personales no es un ejercicio académico, sino una necesidad operativa para cualquier organización que utilice servicios digitales con componentes alojados fuera de Argentina.
La regla general y su lógica protectoria
El artículo 12 de la Ley 25.326 establece un principio claro, aunque formulado en términos que pueden resultar algo rígidos frente a la realidad actual del ecosistema digital. La norma prohíbe, como regla general, la transferencia de datos personales a países u organismos internacionales que no proporcionen niveles de protección adecuados. La lógica que subyace a esta prohibición es sencilla: si Argentina protege a las personas frente al tratamiento indebido de sus datos, esa protección no puede desvanecerse simplemente porque los datos cruzan una frontera.
Esta aproximación no es exclusiva de Argentina. El modelo de “nivel adecuado de protección” como condición para habilitar transferencias internacionales fue desarrollado originalmente por la Unión Europea en la Directiva 95/46/CE y profundizado luego por el Reglamento General de Protección de Datos (RGPD). Argentina, que en 2003 fue reconocida por la Comisión Europea como país con nivel adecuado de protección —estatus que fue revalidado en enero de 2024—, sigue esa misma tradición regulatoria. El resultado es un sistema que, al menos en el plano normativo, condiciona la libre circulación de datos a que el destino ofrezca garantías equivalentes.
Países considerados con nivel adecuado de protección
La Disposición 60-E/2016 de la entonces Dirección Nacional de Protección de Datos Personales, complementada por la Resolución AAIP 34/2019, identifica taxativamente los países y territorios que Argentina considera con legislación adecuada en materia de protección de datos personales. A la fecha, ese listado incluye a los Estados miembros de la Unión Europea y del Espacio Económico Europeo, el Reino Unido de Gran Bretaña e Irlanda del Norte, la Confederación Suiza, Guernsey, Jersey, la Isla de Man, las Islas Feroe, Canadá (exclusivamente respecto de su sector privado), el Principado de Andorra, Nueva Zelanda, la República Oriental del Uruguay y el Estado de Israel (únicamente respecto de datos que reciban tratamiento automatizado).
Cuando los datos se transfieren a alguno de estos destinos, la operación no requiere garantías adicionales desde el punto de vista de la regulación de transferencias internacionales. Esto no significa que la empresa quede eximida de cumplir con las demás obligaciones de la Ley 25.326 —como el deber de seguridad, la necesidad de consentimiento o la inscripción de bases de datos—, sino que el flujo transfronterizo en sí mismo se encuentra habilitado por la calificación del destino como adecuado.
El caso de Estados Unidos, una ausencia significativa
Probablemente el aspecto más relevante desde el punto de vista práctico es que Estados Unidos no figura en el listado de países con nivel adecuado de protección. Esta circunstancia tiene consecuencias directas para una cantidad enorme de empresas argentinas, dado que buena parte de los servicios tecnológicos que utilizan —desde proveedores de infraestructura cloud como AWS, Google Cloud o Azure, hasta herramientas de productividad, plataformas de CRM, servicios de inteligencia artificial y procesadores de pagos— almacenan o procesan datos en territorio estadounidense.
La razón por la cual Estados Unidos no ha sido considerado adecuado es conocida en el ámbito del derecho de protección de datos. A diferencia de los países europeos o de Argentina, Estados Unidos no cuenta con una ley federal integral de protección de datos personales. Su regulación es sectorial y fragmentaria, con normas específicas para el ámbito de la salud (HIPAA), la educación (FERPA) o el sector financiero, pero sin un marco general que abarque a todos los sectores de la economía ni un organismo de control centralizado con competencias equivalentes a las de la Agencia de Acceso a la Información Pública en Argentina o las autoridades de protección de datos europeas. A esto se suman las preocupaciones vinculadas a los programas de vigilancia gubernamental, que han sido objeto de pronunciamientos judiciales relevantes en la Unión Europea, como los casos Schrems I y Schrems II.
En noviembre de 2025, en el marco del Acuerdo de Comercio e Inversión Recíprocos (ARTI) entre Argentina y Estados Unidos, el Gobierno argentino asumió el compromiso de reconocer a Estados Unidos como jurisdicción adecuada para la transferencia transfronteriza de datos personales. Esta definición, que al momento de redactarse esta nota aún no se ha materializado en un acto administrativo formal de la AAIP, generó un debate significativo. Las críticas se centran en que un reconocimiento de adecuación sin exigir garantías equivalentes a las que, por ejemplo, la Unión Europea demanda a través del EU-US Data Privacy Framework podría debilitar el estándar argentino de protección y, eventualmente, comprometer el propio estatus de Argentina como país adecuado para la Unión Europea. Es un tema en plena evolución, que las empresas deben seguir de cerca.
Mientras tanto, la situación actual sigue siendo la vigente. Si una empresa argentina transfiere datos personales a Estados Unidos —algo que en la práctica hace la mayoría de las empresas tecnológicas y muchas que no lo son—, esa transferencia debe encuadrarse en alguno de los mecanismos que la ley prevé para países sin nivel adecuado de protección.
Mecanismos para transferir datos a países sin nivel adecuado
La Ley 25.326 y su normativa reglamentaria previeron que la prohibición general de transferencia a países sin nivel adecuado no fuera absoluta. Existen excepciones legales y mecanismos contractuales que permiten viabilizar estas transferencias, siempre que se cumplan determinadas condiciones.
El primer mecanismo, y probablemente el más difundido en la práctica, son las cláusulas contractuales modelo. La Disposición 60-E/2016 aprobó dos conjuntos de cláusulas tipo, uno para transferencias derivadas de una cesión de datos entre responsables y otro para transferencias vinculadas a la prestación de servicios por parte de un encargado del tratamiento. Estas cláusulas establecen obligaciones para ambas partes —exportador e importador de datos— en materia de finalidad del tratamiento, medidas de seguridad, derechos de los titulares, mecanismos de auditoría y jurisdicción aplicable. Si las partes utilizan estos modelos tal como fueron aprobados, no necesitan solicitar autorización previa ante la AAIP. En cambio, si el contrato difiere sustancialmente de los modelos, debe presentarse para su aprobación dentro de los treinta días corridos posteriores a su firma.
A este instrumento se sumó, en octubre de 2023, la Resolución AAIP 198/2023, que incorporó al ordenamiento argentino las Cláusulas Contractuales Modelo elaboradas por la Red Iberoamericana de Protección de Datos (RIPD). Estas cláusulas, que no derogan ni reemplazan las de la Disposición 60-E/2016 sino que las complementan, están alineadas con estándares internacionales más recientes —incluyendo referencias al RGPD europeo y al Convenio 108+— e incorporan definiciones actualizadas sobre anonimización, decisiones automatizadas, vulneraciones de seguridad y computación en la nube. También incluyen una cláusula de incorporación que permite que entidades que no eran parte original del contrato se adhieran posteriormente, lo cual resulta útil para estructuras de grupo o cadenas de subcontratación.
Un segundo mecanismo son las normas corporativas vinculantes (Binding Corporate Rules), reguladas por la Resolución AAIP 159/2018. Este instrumento está diseñado para grupos económicos que necesitan transferir datos entre sus distintas entidades en múltiples países. La empresa debe acreditar ante la AAIP que sus normas internas de autorregulación garantizan un nivel adecuado de protección en todas las jurisdicciones donde opera el grupo. Si bien es una herramienta valiosa para grandes organizaciones multinacionales, su implementación es más compleja y costosa que la adopción de cláusulas contractuales modelo.
Finalmente, el artículo 12 de la Ley 25.326 prevé un conjunto de excepciones que habilitan la transferencia sin necesidad de demostrar nivel adecuado ni suscribir cláusulas específicas. Entre ellas se encuentran el consentimiento expreso e informado del titular de los datos, la cooperación judicial internacional, las transferencias bancarias o bursátiles conforme la legislación que les resulte aplicable, y aquellas realizadas en el marco de tratados internacionales. Sin embargo, la AAIP ha señalado en los últimos años que, incluso en casos donde existe consentimiento del titular, resulta recomendable implementar cláusulas contractuales modelo como medida adicional de resguardo.
La brecha entre la operación real y el cumplimiento normativo
Desde nuestra experiencia en Estudio Lexar, lo que observamos con mayor frecuencia no es un desconocimiento total de estas normas, sino una desconexión entre la velocidad con la que se adoptan herramientas tecnológicas y el ritmo al que se evalúan sus implicancias regulatorias. Las decisiones de contratación de servicios cloud, de integración de APIs o de adopción de herramientas de inteligencia artificial suelen tomarse en función de criterios técnicos y comerciales —rendimiento, costo, velocidad de implementación— sin que se analice previamente si el flujo de datos que esos servicios generan cumple con los requisitos de la Ley 25.326.
El resultado es una situación paradojal. Muchas empresas argentinas están transfiriendo datos personales a países sin nivel adecuado de protección todos los días, sin haber suscripto cláusulas contractuales modelo, sin haber obtenido consentimiento específico para la transferencia internacional y sin encuadrar la operación en ninguna de las excepciones previstas por la ley. En algunos casos, ni siquiera son conscientes de que están realizando una transferencia internacional. Un ejemplo típico es el de la empresa que contrata un servicio SaaS cuyo proveedor tiene servidores en Estados Unidos, o que utiliza una herramienta de inteligencia artificial cuyos datos se procesan en jurisdicciones que no figuran en el listado de países adecuados. Desde el punto de vista operativo, la integración es instantánea. Desde el punto de vista regulatorio, existe una omisión que puede generar responsabilidad.
No se trata de un riesgo teórico. La AAIP tiene competencia para investigar y sancionar a responsables de tratamiento que no cumplan con las condiciones establecidas para la transferencia internacional. Y más allá del plano sancionatorio, una empresa que no pueda demostrar que sus transferencias se realizaron conforme a derecho enfrenta un problema concreto ante cualquier auditoría, proceso de due diligence, reclamo de un titular de datos o incidente de seguridad. La pregunta “¿bajo qué marco se transfirieron estos datos al exterior?” exige una respuesta documentada, y muchas empresas hoy no la tienen.
Implicancias prácticas para las empresas
La gestión adecuada del régimen de transferencia internacional de datos personales no requiere abandonar los proveedores internacionales ni reemplazar las herramientas que se están usando. Requiere, en cambio, un trabajo de ordenamiento jurídico que en muchos casos puede resolverse con relativa eficiencia si se aborda de manera sistemática.
En primer lugar, resulta indispensable identificar todos los flujos de datos personales que salen de Argentina. Esto incluye no solo los proveedores cloud obvios, sino también integraciones con herramientas de marketing, analytics, atención al cliente, gestión de recursos humanos, procesamiento de pagos y cualquier otro servicio que implique que datos personales se almacenen o procesen fuera del país. Un relevamiento completo suele revelar transferencias que la propia empresa no tenía mapeadas.
En segundo lugar, para cada flujo identificado, debe determinarse si el país de destino figura en la lista de países adecuados. Si la respuesta es afirmativa, la transferencia está habilitada sin garantías adicionales en lo que respecta al régimen de transferencia internacional. Si el destino no está en la lista —como es el caso de Estados Unidos, por el momento—, la empresa necesita implementar alguno de los mecanismos descriptos anteriormente.
En tercer lugar, cuando se opte por cláusulas contractuales modelo, es importante que estas sean efectivamente incorporadas a la relación contractual con el proveedor. Esto no siempre es sencillo, especialmente cuando se trata de grandes proveedores internacionales que ofrecen condiciones estandarizadas y escaso margen de negociación. Varios de los principales proveedores cloud globales ofrecen addendums o anexos de protección de datos que incluyen cláusulas de transferencia alineadas con estándares europeos, lo cual puede ser útil como punto de partida, aunque debe verificarse su compatibilidad con el marco argentino.
Finalmente, conviene revisar las políticas de privacidad y los términos de servicio que la empresa ofrece a sus propios usuarios. Si la empresa recopila datos personales y los transfiere a proveedores en el exterior, esa circunstancia debería estar reflejada en la información que se brinda al titular. La transparencia en este punto no solo es un requisito legal, sino también una práctica que fortalece la posición de la empresa ante eventuales reclamos.
Un régimen en transición
El marco normativo argentino en materia de transferencia internacional de datos personales se encuentra en un momento de tensión entre su estructura vigente y las presiones de un entorno tecnológico y geopolítico que exige mayor fluidez en la circulación de datos. La posible incorporación de Estados Unidos al listado de países adecuados, el avance de las cláusulas de la Red Iberoamericana, la eventual reforma de la Ley 25.326 y las discusiones internacionales sobre gobernanza de datos configuran un escenario de cambio que las empresas no pueden ignorar.
Mientras ese escenario se define, lo que sí está claro es que el régimen vigente exige condiciones concretas para que los datos personales salgan de Argentina, y que el incumplimiento de esas condiciones genera una contingencia real. Ordenar los flujos de datos, documentar las bases legales de cada transferencia y adoptar las herramientas contractuales disponibles no es un esfuerzo desproporcionado, pero sí requiere que lo técnico, lo comercial y lo jurídico se articulen desde el inicio. En un entorno donde la mayoría de los servicios tecnológicos tienen un componente transfronterizo, la gestión de las transferencias internacionales de datos es parte esencial de cualquier estrategia de cumplimiento normativo.
Preguntas frecuentes sobre transferencia internacional de datos personales
¿Qué es una transferencia internacional de datos personales?
Se trata de cualquier flujo de datos personales que un responsable o encargado de tratamiento realiza desde Argentina hacia otro país. Puede ocurrir por diversas razones, como la utilización de servicios en la nube, soporte técnico remoto, administración de recursos humanos en plataformas globales, comercio electrónico o la simple integración de herramientas digitales cuyos servidores están fuera del país.
¿Puedo transferir datos personales a cualquier país?
No de forma libre. La Ley 25.326 establece como regla general la prohibición de transferir datos personales a países que no proporcionen un nivel adecuado de protección. La transferencia está habilitada sin restricciones adicionales cuando el destino es un país reconocido como adecuado por la AAIP. Para los demás destinos, es necesario encuadrar la operación en alguna excepción legal o implementar mecanismos contractuales específicos, como las cláusulas contractuales modelo.
¿Estados Unidos es considerado país con nivel adecuado de protección?
Al momento de publicación de esta nota, no. Estados Unidos no figura en el listado de países con legislación adecuada conforme la Disposición 60-E/2016 y la Resolución AAIP 34/2019. Existe, sin embargo, un compromiso del Gobierno argentino asumido en el marco del ARTI de reconocer a Estados Unidos como jurisdicción adecuada, cuya instrumentación formal aún se encuentra pendiente. Hasta que eso ocurra, las transferencias a Estados Unidos requieren cláusulas contractuales modelo, consentimiento expreso del titular u otro mecanismo previsto por la normativa vigente.
¿Qué son las cláusulas contractuales modelo y cuáles están vigentes?
Las cláusulas contractuales modelo son instrumentos contractuales preaprobados por la autoridad de control que regulan las condiciones bajo las cuales se realiza la transferencia internacional, estableciendo obligaciones para el exportador y el importador de datos. En Argentina coexisten actualmente dos conjuntos de cláusulas: las aprobadas por la Disposición 60-E/2016 (para cesión de datos y para prestación de servicios) y las incorporadas por la Resolución AAIP 198/2023, que adopta las Cláusulas Contractuales Modelo de la Red Iberoamericana de Protección de Datos. Ambos instrumentos son válidos y complementarios.
¿Qué pasa si mi empresa está transfiriendo datos sin haber implementado ninguno de estos mecanismos?
La transferencia se estaría realizando fuera del marco legal, lo cual expone a la empresa a sanciones por parte de la AAIP y a cuestionamientos en procesos de due diligence, auditorías o reclamos de titulares de datos. Es recomendable realizar un relevamiento de los flujos de datos existentes, determinar los destinos de cada transferencia y adoptar las medidas de adecuación correspondientes. Este proceso, cuando se aborda de forma ordenada, puede resolverse en un plazo razonable y sin necesidad de modificar la operatoria tecnológica de la empresa.
