Por Daniel Monastersky y Facundo Malaureille | Socios en Data Governance Latam

El día de ayer la Casa Blanca publicó un comunicado sobre un Marco de Acuerdo en negociación entre Argentina y Estados Unidos sobre comercio e inversión recíprocos. 

Para nosotros—especialistas en protección de datos—ese comunicado contiene algo que requiere una lectura más profunda. Escondida entre párrafos sobre mercados abiertos y reducción de barreras arancelarias, se encuentra esta frase:

«Argentina se ha comprometido a facilitar el comercio digital con Estados Unidos reconociendo a Estados Unidos como una jurisdicción adecuada bajo la ley argentina para la transferencia internacional de datos, incluyendo datos personales.»

Lo importante aquí no es lo que dice. Es lo que no dice. Es lo que aún puede decirse. Porque esto no es un acuerdo firmado. Es un Marco. Un proyecto. Una negociación en curso donde las palabras exactas, las condiciones específicas, y los mecanismos de protección aún pueden ser modificados.

Y esa es nuestra oportunidad.

Es una oportunidad que existe en este preciso momento, y que desaparecerá cuando se cierre la negociación. Sabemos cómo funciona esto. Hemos visto cómo los acuerdos internacionales evolucionan desde marcos genéricos a texto normativo final. 

Por eso escribimos esto ahora. No para criticar lo que existe. Para mejorar lo que aún está siendo construido.

Cualquier especialista en derecho internacional nota algo inmediatamente cuando lee el comunicado de la Casa Blanca dice que Argentina reconocerá a Estados Unidos como jurisdicción adecuada, pero no especifica qué organismos estadounidense, bajo qué legislación, con qué garantías.

Esta vaguedad no es accidental. Es estratégica. Los marcos de negociación son deliberadamente amplios, permitiendo que cada lado declare «victoria» interpretándolos de maneras diferentes. Pero precisamente por eso, es donde debemos actuar. Mientras la negociación está abierta, podemos presionar por precisión. Una vez que el marco se convierte en acuerdo final, esa precisión debería estar fijada en texto normativo vinculante.

Entonces: ¿qué debería significar «adecuado»?

Durante años, la comunidad de especialistas en protección de datos ha argumentado—correctamente—que Estados Unidos carece de una ley federal integral de protección de datos personales equivalente a nuestra Ley 25.326 o al GDPR europeo. Esos argumentos siguen siendo válidos. Pero mientras nos enfocábamos en lo que falta a nivel federal, sucedió algo sin precedentes en Estados Unidos: una revolución regulatoria a nivel estatal que cambió fundamentalmente el panorama.

En los últimos cinco años, seis estados estadounidenses—California, Colorado, Connecticut, Utah, Virginia y Montana—han aprobado leyes de protección de datos de carácter integral que, aunque diferentes a nuestro modelo, generan en ciertos aspectos niveles de protección tan robustos como los que Argentina ofrece a sus ciudadanos.

Esto no es opinión. Es verificable. Es documentable. Y mientras el Marco está siendo negociado, es precisamente el tipo de información que debería estar informando las decisiones de los negociadores argentinos.

Consideremos California. Cuando la California Consumer Privacy Act (CCPA) entró en vigor en enero de 2020, fue el primer intento estadounidense serio de crear un marco integral de protección de datos a nivel estatal. Pero California no se detuvo allí. En noviembre de 2020, los votantes aprobaron la California Privacy Rights Act (CPRA), expandiendo la protección inicial y creando una agencia dedicada exclusivamente a la privacidad: la California Privacy Protection Agency (CPPA).

¿Qué significa esto para un ciudadano argentino cuyos datos podrían fluir hacia California bajo este Marco? Significa acceso, rectificación, eliminación y portabilidad de datos. Significa supervisión activa por una autoridad independiente. Significa multas significativas por incumplimiento: hasta $2.500 por violación, o $7.500 si es intencional.

Pero California no es un caso aislado. Virginia aprobó su Consumer Data Protection Act en 2021. Colorado hizo lo propio en 2023. Connecticut, Utah, Montana también. Cada ley refleja los mismos principios fundamentales: transparencia, consentimiento, derechos de titulares, supervisión independiente, sanciones reales.

Aquí está el verdadero problema. El Marco actual, tal como está redactado, permitiría que Argentina reconozca como «adecuada» toda transferencia de datos a Estados Unidos sin distinción. Lo que significa que datos de ciudadanos argentinos transferidos a California—donde existe supervisión regulatoria robusta—serían equivalentes, en términos legales, a datos transferidos a Mississippi, donde no existe ley estatal de protección de datos y donde los ciudadanos están sujetos únicamente a regulaciones sectoriales fragmentadas.

Eso es impreciso. Eso es injusto. Y, lo más importante: ese es el tipo de error que se comete en marcos de negociación y luego se cristaliza en acuerdos finales que generan problemas durante años.

Estamos ante una oportunidad única: mientras el Marco aún está siendo negociado, podemos presionar por inclusión de lenguaje que refleje esta realidad. Que reconozca que Estados Unidos tiene heterogeneidad regulatoria. Que especifique qué jurisdicciones estadounidenses cumplen criterios de equivalencia. Que requiera garantías adicionales para transferencias a jurisdicciones sin protecciones equivalentes.

Una vez que se firme el acuerdo, sin esa precisión, habrá sido perdida la oportunidad.

Nuestra propuesta para la negociación

Lo que proponemos no es retrasar la negociación. Es mejorarla. Lo que proponemos es que los negociadores argentinos insistan en que el acuerdo final incluya disposiciones sobre cómo se operacionalizará ese reconocimiento de «adecuación.»

Específicamente:

1. Reconocimiento selectivo de jurisdicciones

El acuerdo debería especificar que Argentina reconoce como jurisdicciones adecuadas únicamente aquellos estados estadounidenses que cuentan con legislación integral de protección de datos personales. El listado inicial incluiría: California, Colorado, Connecticut, Utah, Virginia y Montana.

Esto no es restrictivo. Es verificable. Cada una de estas leyes está sancionada. Vigente. Supervisada por autoridades independientes. Son hechos objetivos, no opiniones.

2. Criterios de equivalencia claros

El acuerdo debería establecer criterios explícitos que cualquier ley estatal debe cumplir para ser reconocida. Estos criterios podrían reflejar exactamente lo que Argentina ya exige en su propia Ley 25.326:

• Reconocimiento de derechos fundamentales de titulares (acceso, rectificación, eliminación, portabilidad)
• Mecanismos de consentimiento previo para datos sensibles
• Supervisión por autoridades independientes
• Sanciones significativas por incumplimiento

3. Cláusula de revisión periódica

El acuerdo debería incluir un mecanismo mediante el cual, periódicamente (por ejemplo, cada dos años), se revise qué estados estadounidenses cumplen los criterios y, consecuentemente, sean reconocidos como adecuados. Esto crea incentivos para que estados sin protecciones las desarrollen.

4. Garantías para transferencias no adecuadas

Para transferencias a jurisdicciones estadounidenses sin marcos integrales de protección, el acuerdo debería requerir garantías adicionales verificadas por la autoridad argentina de datos: Standard Contractual Clauses (SCC), Binding Corporate Rules (BCR), o mecanismos equivalentes.

Esto no bloquea comercio. Lo hace más seguro. Crea un incentivo para que empresas estadounidenses con operaciones en estados sin protecciones busquen certificaciones o trasladen datos a estados con protecciones.

El precedente europeo: Cómo se hace esto correctamente

Para quienes dudan que esto es posible, existe un precedente cercano: la Unión Europea.

Cuando la Corte de Justicia de la Unión Europea dictaminó en Schrems II que el anterior marco de transferencias de datos con Estados Unidos era inadecuado, la UE no suspendió el comercio digital con EE.UU. Lo que hizo fue especificar: transferencias a ciertos estados, bajo ciertas garantías, con ciertos mecanismos de supervisión, son permitidas. Transferencias a otros lugares requieren protecciones adicionales.

¿Resultado? Comercio digital continuó. De hecho, se aceleró. Porque las empresas sabían exactamente qué podían hacer.

Argentina puede hacer exactamente lo mismo, ahora, mientras el Marco está siendo negociado.

Esta propuesta genera beneficios concretos para cuatro sectores:

Para los ciudadanos argentinos

Es lo más importante. Cuando un ciudadano argentino transfiere datos a una plataforma estadounidense, sabe exactamente qué nivel de protección legal los ampara. No es esperanza. Es precisión regulatoria verificable.

Para las empresas argentinas

Las empresas que exportan datos o servicios digitales a Estados Unidos hoy enfrentan incertidumbre legal absoluta. ¿Puedo transferir datos de clientes argentinos a California? ¿Y si es Texas? Bajo esta propuesta, las respuestas serían claras. Eso reduce costos legales. Eso acelera decisiones comerciales. Eso facilita negocio.

Para Argentina como jurisdicción

Argentina tiene reputación internacional como país que toma en serio la protección de datos. Hemos legislado desde 2000. Hemos desarrollado jurisprudencia. Hemos presentado denuncias formales contra corporaciones multinacionales. Esa reputación es un activo. Protegerla es estrategia de Estado.

Para la relación bilateral

Y hay un mensaje positivo para Estados Unidos: Argentina dice, reconocemos tus avances. Reconocemos a California, Colorado, Connecticut, Utah, Virginia, Montana. Reconocemos lo que realmente merece reconocimiento, no ficción regulatoria. Ese mensaje es maduro. Es profesional. Es la posición que toma una nación que respeta a su socio lo suficiente como para ser honesta.

Tenemos ahora la oportunidad de proponer que ese texto final incluya precisión sobre protección de datos. Una vez que se firma sin esa precisión, probablemente será demasiado tarde.

Esto requiere acción. No de nosotros como autores, sino de legisladores argentinos, de la AAIP, de legisladores que entienden que la protección de datos no es un obstáculo al comercio, sino su precondición.

Argentina está en posición de negociar un acuerdo que sea ambos: que abra mercados y proteja privacidad. Que sea comercialmente viable y legalmente riguroso. Que reconozca los avances en protección de datos en ciertos estados estadounidenses mientras requiere garantías adicionales en otros.

Eso no es un obstáculo al comercio.

Eso es comercio responsable. Y debería ser política de Estado.

---

Anexo: Marcos normativos de Protección de Datos en Estados Unidos

La propuesta de reconocimiento selectivo de jurisdicciones estadounidenses en el Marco se fundamenta en la existencia verificada de marcos legales robustos en seis estados. A continuación detallamos cada una de estas leyes con referencias a sus textos oficiales.

Estados con legislación integral de Protección de Datos

1. California – California Consumer Privacy Act / California Privacy Rights Act (CCPA/CPRA)

• Vigencia: 1 de Enero, 2020 (CCPA); 1 de Enero, 2023 (CPRA)
• Autoridad de Aplicación: California Privacy Protection Agency (CPPA)
• Referencia Legal: Cal. Civ. Code §§ 1798.100 et seq.
• Sitio Oficial: https://cppa.ca.gov/
• Texto de Ley: https://oag.ca.gov/privacy/ccpa

Derechos garantizados: Acceso, rectificación, eliminación, portabilidad; derecho a optar por no vender datos; derecho a no ser discriminado por ejercer derechos de privacidad.

Mecanismos de supervisión: Agencia dedicada exclusivamente a privacidad con poder de investigación, auditoría y sanción. Sanciones de hasta $2.500 por violación o $7.500 por violación intencional.

2. Colorado – Colorado Privacy Act (CPA)

• Vigencia: 1 de Julio, 2023
• Autoridad de Aplicación: Colorado Attorney General
• Referencia Legal: C.R.S. § 6-1-1301 et seq.
• Sitio Oficial: https://coag.gov/resources/colorado-privacy-act/
• Texto de Ley: https://leg.colorado.gov/bills/sb21-190

Derechos garantizados: Acceso, rectificación, eliminación, portabilidad; derecho a optar por no vender datos o recibir publicidad dirigida; derecho a limitar uso de información sensible.

Mecanismos de supervisión: Supervisión por Attorney General con autoridad exclusiva de cumplimiento. Requiere Data Protection Impact Assessments para actividades de alto riesgo. Sanciones de hasta $20.000 por violación.

3. Connecticut – Connecticut Data Privacy Act (CTDPA)

• Vigencia: 1 de Julio, 2023
• Autoridad de Aplicación: Connecticut Attorney General
• Referencia Legal: Conn. Gen. Stat. § 4-179a et seq.
• Sitio Oficial: https://portal.ct.gov/ag/sections/privacy/the-connecticut-data-privacy-act
• Texto de Ley: https://www.cga.ct.gov/2022/BA/2022SB-00006-R00HB-05511-BA.htm

Derechos garantizados: Acceso, rectificación, eliminación, portabilidad; derecho a optar por no vender datos o recibir publicidad dirigida. Protecciones especiales para datos de menores y datos de salud del consumidor.

Mecanismos de supervisión: Aplicación exclusiva por Attorney General. Período de gracia de 60 días para corrección de violaciones (hasta diciembre 31, 2024). Multas de hasta $5,000 por violación intencional.

4. Utah – Utah Consumer Privacy Act (UCPA)

• Vigencia: 31 de Diciembre, 2023
• Autoridad de Aplicación: Utah Attorney General / Division of Consumer Protection
• Referencia Legal: Utah Code § 13-61-101 et seq.
• Sitio Oficial: https://dcp.utah.gov/ucpa/
• Texto de Ley: https://le.utah.gov/~2022/bills/static/SB0227.html

Derechos garantizados: Acceso, rectificación, eliminación, portabilidad; derecho a optar por no vender datos o recibir publicidad dirigida. Consentimiento requerido para datos sensibles.

Mecanismos de supervisión: Aplicación por Attorney General con período de gracia de 30 días para corrección. Sanciones de hasta $7.500 por violación más daños reales al consumidor.

5. Virginia – Virginia Consumer Data Protection Act (VCDPA)

• Vigencia: Enero 1, 2023
• Autoridad de Aplicación: Virginia Attorney General
• Referencia Legal: Va. Code §§ 59.1-575—59.1-585
• Sitio Oficial: https://www.oag.state.va.us/consumer-protection
• Texto de Ley: https://law.lis.virginia.gov/vacodefull/title59.1/chapter53/

Derechos garantizados: Acceso, rectificación, eliminación, portabilidad; derecho a optar por no vender datos, publicidad dirigida, o profiling. Consentimiento requerido para datos sensibles.

Mecanismos de supervisión: Aplicación por Attorney General con período de gracia de 30 días para corrección. Requiere Data Protection Impact Assessments para actividades de alto riesgo. Sanciones de hasta $7.500 por violación.

6. Montana – Montana Consumer Data Privacy Act (MTCDPA)

• Vigencia: Octubre 1, 2024
• Autoridad de Aplicación: Montana Attorney General
• Referencia Legal: Mont. Code Ann. § 30-14-1701 et seq.
• Sitio Oficial: https://doj.mt.gov/
• Texto de Ley: https://archive.legmt.gov/bills/2023/billpdf/SB0384.pdf

Derechos garantizados: Acceso, rectificación, eliminación, portabilidad; derecho a optar por no vender datos o publicidad dirigida; derecho a revocar consentimiento. Consentimiento requerido para datos sensibles y datos de menores.

Mecanismos de supervisión: Aplicación por Attorney General con período de gracia de 60 días para corrección (hasta el 1ero de abril, 2026). Requiere Data Protection Impact Assessments para actividades de alto riesgo. Sanciones de hasta $7.500 por violación. Mecanismo universal de opt-out obligatorio.

Qué debería Incluir el marco negociado

Para que el acuerdo final sea legalmente riguroso y protector de derechos fundamentales, debería incluir:

1. Listado específico de jurisdicciones estadounidenses reconocidas como adecuadas, identificando la legislación específica vigente en cada una.
2. Criterios de equivalencia que cualquier nueva legislación estatal debe cumplir para ser reconocida.
3. Mecanismo de revisión periódica (ej. cada dos años) para actualizar el listado de jurisdicciones adecuadas conforme nuevos estados legislen protecciones equivalentes.
4. Requisitos para transferencias no adecuadas especificando qué garantías adicionales (SCC, BCR, etc.) se requieren para transferencias a jurisdicciones estadounidenses sin marcos integrales.
5. Disposición sobre autoridad regulatoria indicando que la AAIP de Argentina tendrá capacidad de verificar y certificar cumplimiento.

---

Nota de los autores

Este artículo ha sido escrito específicamente para contribuir al debate sobre la negociación del Marco del Acuerdo entre Argentina y EE.UU., con el objetivo de que consideraciones sobre protección de datos se incluyan en la redacción final del acuerdo.