La matriz que nadie armó: cinco normas que ya regulan la IA en tu firma

El denominador común

No existe un decreto que diga "las firmas profesionales deben auditar su IA". Existe algo más complejo: cinco marcos normativos que, tomados en conjunto, crean esa obligación de hecho. Comprenderlos individualmente es útil. Verlos como sistema es necesario.

La pregunta que articula la matriz es siempre la misma: si este proceso fue asistido por IA y alguien cuestiona el output, ¿puede reconstruirse cómo se llegó a esa conclusión? Si la respuesta es no, los cinco marcos presentan algún grado de incumplimiento potencial — simultáneamente.

Marco 1 — Ley 25.326: Protección de Datos Personales

La ley de protección de datos personales establece un principio que hoy tiene aplicación directa sobre la IA: el derecho del titular a no ser objeto de decisiones que tengan efectos jurídicos significativos adoptadas exclusivamente mediante procesos automatizados, salvo que el responsable pueda demostrar que el proceso incluyó supervisión humana y criterio profesional.

En términos prácticos: un informe de Transfer Pricing generado íntegramente por IA, sin revisión del profesional sobre el análisis funcional y la selección de metodología, puede ser cuestionado bajo este marco. El profesional que lo firma debe poder demostrar que ejerció criterio — no solo que revisó el PDF.

La reforma de la Ley 25.326 que avanza en el Congreso incorporará disposiciones más específicas sobre IA. Pero la obligación de fondo ya existe.

Marco 2 — Resolución UIF 42/2024: Trazabilidad en AML

La Unidad de Información Financiera fue la primera entidad reguladora argentina en mencionar explícitamente la inteligencia artificial en una norma de cumplimiento. La Resolución 42/2024 valida el uso de IA para análisis transaccional y detección de operaciones inusuales — pero impone una condición que transforma el paisaje operativo: los reportes generados deben poder reconstruirse y explicarse.

El sujeto obligado que presenta un Reporte de Operación Sospechosa (ROS) basado en análisis automatizado debe poder documentar: qué variables consideró el sistema, qué umbrales activaron la alerta, qué revisión humana se realizó antes de reportar. Un sistema de IA que detecta pero no explica no satisface el estándar regulatorio.

Este marco aplica a bancos, entidades financieras, escribanos, contadores, despachantes de aduana y todos los sujetos obligados bajo el régimen antilavado. La UIF puede requerir esa explicación en cualquier momento.

Marco 3 — Ley 27.401: Responsabilidad Penal Empresaria

La Ley de Responsabilidad Penal Empresaria establece que una persona jurídica puede quedar exenta de responsabilidad por los delitos que cometan sus empleados si cuenta con un programa de integridad efectivo. La palabra clave es efectivo: no alcanza con tenerlo escrito. Debe poder demostrarse que funcionó.

Si el programa de integridad incluye IA como herramienta de control — monitoreo de transacciones, detección de conflictos de interés, análisis de proveedores — la efectividad de ese control depende de la auditabilidad del sistema. Un control que no puede explicar por qué aprobó una operación no es un control.

En un contexto de litigio penal empresario, esto no es abstracto. La empresa que alega haber tenido un sistema de compliance en funcionamiento debe poder demostrar que funcionó. La IA sin trazabilidad es un sistema que puede haber funcionado — o no. El sistema judicial no admite esa ambigüedad.

Marco 4 — AAIP / Disposición 60/2016: Transferencia Internacional

La Disposición 60/2016 de la Agencia de Acceso a la Información Pública regula la transferencia internacional de datos personales. Establece que los datos de personas argentinas solo pueden enviarse a jurisdicciones que garanticen un nivel de protección adecuado.

El problema práctico es directo: cuando una firma profesional carga documentos de clientes en un sistema de IA basado en la nube — independientemente de qué interfaz usa — esos datos típicamente se procesan en servidores ubicados en el extranjero. Si esa transferencia no cumple con los requisitos de la Disposición 60/2016 o de la Resolución 161/2023 que la complementa, existe un incumplimiento vigente, hoy, independientemente de cualquier futura legislación de IA.

La solución no es dejar de usar IA. Es saber dónde se procesa la información y documentar que la transferencia es lícita.

Marco 5 — Disposición SSTI 2/2023: El Marco de IA

La Disposición 2/2023 de la Secretaría de Innovación Tecnológica del Sector Público establece los principios que el Estado argentino adopta para el uso de IA: licitud, transparencia, explicabilidad, supervisión humana, rendición de cuentas. Aunque formalmente orientada al sector público, sienta doctrina sobre qué se entiende por uso responsable de IA en Argentina — doctrina que los órganos de control del sector privado inevitablemente incorporarán.

Es la única norma argentina que menciona la inteligencia artificial como objeto principal de regulación. Su existencia demuestra que el marco conceptual ya está disponible. Lo que falta es su extensión al sector privado regulado.

Síntesis: por qué esto no es burocracia

La lectura burocrática de esta matriz es: "cinco normas más que cumplir". La lectura estratégica es diferente: cinco marcos que ya imponen el requisito de fondo de cualquier sistema de gobernanza de IA — y que convergen en un único mecanismo de cumplimiento.

Quien diseña sus procesos de IA con trazabilidad desde el origen — con registros auditables, supervisión humana documentada y datos que saben dónde están — cumple los cinco marcos simultáneamente. No es un costo adicional. Es el costo de hacer bien lo que de todos modos hay que hacer.

La gobernanza algorítmica no es el próximo paso de la adopción de IA. Es la condición que hace que esa adopción sea sostenible.

Los cinco marcos y su cobertura por TRIA