Marcos argentinos aplicables a la IA hoy

Por qué importa entender esto ahora

El debate sobre regulación de IA en Argentina suele presentarse como una discusión futura: "cuando se sancione la ley", "cuando el Congreso legisle", "cuando haya un marco específico". Esta temporalidad es equivocada — y costosa.

Las obligaciones que emergen de los seis marcos analizados en este artículo son exigibles hoy. No requieren nueva legislación para activarse. No dependen de que un regulador emita una interpretación específica. Existen, son vigentes y, ante un incidente, serán invocadas.

La diferencia entre conocerlos y no conocerlos no es académica. Es la diferencia entre diseñar sistemas de IA con las restricciones correctas desde el origen y tener que rediseñar en emergencia cuando el problema ya ocurrió.

Marco 1 — Ley 25.326: Protección de Datos Personales

La ley de protección de datos personales de Argentina, vigente desde el año 2000, tiene aplicación directa sobre la IA en múltiples dimensiones. El principio de finalidad exige que los datos recopilados sean usados solo para el propósito que justificó su recolección. El principio de proporcionalidad limita el volumen de datos que puede procesarse. El principio de consentimiento impone requisitos sobre cómo y cuándo las personas autorizan el tratamiento de su información.

El artículo que más directamente aplica a la IA es el que reconoce el derecho del titular a no ser objeto de decisiones con efectos jurídicos adoptadas exclusivamente mediante procesos automatizados. En la práctica: si un sistema de IA toma o apoya decisiones sobre personas — en contextos crediticios, laborales, fiscales, sanitarios — debe existir una instancia de revisión humana real y documentada.

La reforma de la Ley 25.326 que está en proceso legislativo incorporará disposiciones específicas sobre IA. El texto base ya las contiene implícitamente.

Marco 2 — Ley 27.401: Responsabilidad Penal Empresaria

La responsabilidad penal de las personas jurídicas por delitos como cohecho, tráfico de influencias y lavado de activos está condicionada a la existencia de un programa de integridad efectivo. La palabra efectivo tiene consecuencias prácticas directas: el programa debe funcionar, y debe poder demostrarse que funcionó.

Cuando la IA forma parte de los procesos de control de cumplimiento — monitoreo de transacciones, due diligence de proveedores, detección de conflictos de interés — su trazabilidad es parte de la efectividad del programa. Un control que no puede explicar por qué aprobó o rechazó una operación no es un control en el sentido jurídico. Es un sistema que puede haber funcionado — pero no puede probarlo.

En un proceso penal, la carga de demostrar que el programa de integridad existía y funcionaba recae sobre la empresa. La IA sin trazabilidad convierte esa demostración en imposible.

Marco 3 — Ley 19.549: Derecho a Decisión Razonada

La ley de procedimiento administrativo establece que toda decisión de la administración pública que afecte derechos debe ser debidamente fundamentada. Este principio — conocido como el derecho a la decisión razonada o al acto administrativo motivado — aplica directamente a los sistemas de IA que asisten o ejecutan decisiones administrativas.

Si un organismo estatal usa IA para procesar solicitudes, asignar turnos, analizar declaraciones o detectar inconsistencias — y esa decisión afecta derechos de los administrados — la fundamentación no puede ser "el sistema lo determinó". La ley exige razones. La IA que no puede proveer razones auditables no puede ser usada legítimamente en estos contextos sin supervisión humana que las provea.

Marco 4 — Resolución UIF 42/2024: Trazabilidad en AML

La Unidad de Información Financiera es, hasta la fecha, la entidad regulatoria argentina que más explícitamente ha abordado la inteligencia artificial. La Resolución 42/2024 la valida como herramienta para el análisis de riesgo y la detección de operaciones inusuales — pero bajo condiciones que transforman el diseño de esos sistemas.

Los reportes de operaciones sospechosas basados en análisis de IA deben poder reconstruirse: qué variables consideró el sistema, qué umbrales activaron la alerta, qué revisión humana precedió el reporte. La UIF puede requerir esa información en cualquier proceso de revisión. Un sujeto obligado que reporta sin poder documentar el proceso está en una posición jurídica muy vulnerable — independientemente de que el reporte en sí sea correcto.

Marco 5 — Disposición SSTI 2/2023: El Marco de IA Argentino

La Disposición 2/2023 de la Secretaría de Innovación Tecnológica del Sector Público es el documento más específico que Argentina tiene sobre gobernanza de IA. Establece principios de licitud, transparencia, no maleficencia, explicabilidad, privacidad por diseño, supervisión humana y rendición de cuentas.

Su alcance formal es el sector público. Su alcance real es más amplio: sienta doctrina sobre qué entiende el Estado argentino por uso responsable de IA. En cualquier proceso donde el regulador deba evaluar si una organización actuó con la diligencia esperable, este documento funciona como referencia — aunque el incidente haya ocurrido en el sector privado.

Marco 6 — AAIP / Disposición 60/2016 y Resolución 161/2023: Transferencia Internacional

La Agencia de Acceso a la Información Pública regula la transferencia de datos personales argentinos al exterior. La Disposición 60/2016 y su complemento la Resolución 161/2023 establecen que esa transferencia solo es lícita cuando la jurisdicción de destino garantiza un nivel de protección adecuado o cuando existen garantías contractuales equivalentes.

El problema práctico es que la mayoría de los sistemas de IA comerciales — GPT-4, Claude, Gemini, y sus integraciones empresariales — procesan datos en servidores ubicados en Estados Unidos o en otras jurisdicciones que no tienen una evaluación de adecuación aprobada por la AAIP. Usar esas herramientas con datos personales argentinos sin un análisis de legalidad de la transferencia es un incumplimiento vigente — no hipotético.

La solución no es dejar de usar IA. Es evaluar la arquitectura de procesamiento, documentar las garantías contractuales y, en los casos que lo justifican, optar por arquitecturas on-premise o con Zero Data Retention que eviten la transferencia.

El patrón que emerge

Seis marcos. Seis ángulos distintos. Un denominador común: todos exigen, directa o indirectamente, que los procesos automatizados que producen consecuencias jurídicas sean trazables, supervisables y explicables.

Eso no es casualidad. Es la lógica del Estado de derecho aplicada a la IA: si un proceso puede afectar derechos, debe poder controlarse. Si puede controlarse, debe existir un responsable. Si existe un responsable, debe poder demostrar que cumplió.

Lo que viene: reforma de la Ley 25.326 y presión convergente

La reforma de la ley de datos personales que avanza en el Congreso incorporará disposiciones específicas sobre inteligencia artificial, incluyendo el derecho a la explicación algorítmica y obligaciones de evaluación de impacto para sistemas de alto riesgo. Cuando esa reforma se sancione, no será el inicio del marco regulatorio de IA en Argentina. Será su explicitación.

Las organizaciones que hoy construyen gobernanza de IA sobre la base de los seis marcos vigentes estarán preparadas. Las que esperan la nueva ley para empezar habrán acumulado años de exposición — y tendrán que rediseñar sistemas ya desplegados bajo presión regulatoria y temporal.

El vacío regulatorio de IA en Argentina es aparente. La exposición es real. Y el momento de gestionarla es antes del incidente — no después.