Nota del editor: la IAPP mantiene una posición neutral en cuestiones de políticas. Publicamos artículos de opinión y análisis de colaboradores para ofrecer a nuestros miembros una amplia gama de puntos de vista en nuestros ámbitos.
Las PyMEs son una de las columnas vertebrales de la economía, lo que resulta especialmente cierto en América Latina, en donde distintos organismos (OCDE, BID) estiman que el 99,5% de las empresas se encuentran en esta categoría. Además, según las mismas fuentes, alrededor del 60% de la población ocupada sería empleada por PyMEs. A pesar de su rol preponderante, estas empresas enfrentan diversos desafíos en materia de cumplimiento legal, tales como regulaciones generalmente complejas que imponen cargas que afecta su potencial para aportar al desarrollo y a la innovación en la región.
En el caso específico de la regulación en materia de protección de datos personales, a diferencia de las grandes corporaciones, las PyMEs no suelen contar con áreas vinculadas a la gestión de los datos, como departamentos legales o de ciberseguridad, tecnología, y gobernanza de datos, entre otros. Por ello, la carga que implica interpretar y aplicar correctamente la normativa en esta materia puede traducirse en costos excesivos, riesgos de incumplimiento involuntario, pérdida de competitividad y desincentivos a la inversión en tecnologías emergentes.
En este artículo, nos ocuparemos de revisar diversas iniciativas en la Unión Europea y América Latina que buscan apoyar a las PyMEs, ya sea flexibilizando ciertos requisitos que aplican a éstas o implementando guías orientativas o programas de capacitación especialmente diseñados para asistirlas. Todo ello, teniendo en cuenta que consideramos indispensable avanzar hacia un modelo de cumplimiento legal más adecuado a la realidad operativa de estas empresas, que permita garantizar los derechos fundamentales de las personas cuyos datos procesan y promover, a su vez, su capacidad de innovación y desarrollo.
Los Antecedentes en la Unión Europea
No cabe duda de que el RGPD estableció un marco sólido para garantizar el derecho a la protección de los datos personales en la Unión Europeay, más allá, queimpactó las regulaciones y prácticas de gran parte del mundo —incluidos varios países de América Latina— a través del denominado Efecto Bruselas. Sin embargo, tal como lo ha reconocido el Servicio de Investigación del Parlamento Europeo, en la actualidad han surgido diversas reflexiones en torno a las exigencias regulatorias del RGPD, señalando que su rigurosidad podría afectar la competitividad y la capacidad de innovación de las empresas con base en la Unión Europea.
En ese contexto, en mayo de 2025, la Comisión Europea presentó el paquete Omnibus IV, una propuesta orientada a simplificar la normativa y reducir los requisitos que enfrentan las PyMEs en diversas materias. Entre las medidas incluidas, se propuso la reforma del artículo 30.5 del RGPD, elevando de 250 a 750 el umbral mínimo de empleados a partir del cual un responsable o encargado del tratamiento estaría obligado a llevar un registro de actividades de tratamiento. Asimismo, mientras que la redacción actual del Reglamento excluye esta excepción cuando el tratamiento pueda entrañar un riesgo para los derechos y libertades de los titulares, la nueva propuesta plantea que esta exclusión sólo opere cuando dicho riesgo sea alto.
Las autoridades de control europeas también han adoptado abordajes interesantes frente a las dificultades de las PyMEs para cumplir con las exigencias de la normativa de protección de datos personales. Por ejemplo, el Comité Europeo de Protección de Datos y la Agencia Española de Protección de Datos han creado guías y sitios web facilitando y explicando las obligaciones a cargo de las empresas en virtud del RGPD. Por su parte, la autoridad española también ha desarrollado una plataforma llamada Facilita RGPD, una guía interactiva que ayuda a PyMES que desarrollan actividades de tratamiento de datos personales de bajo riesgo a generar documentación obligatoria, como cláusulas para cumplir con el deber de información a los titulares y modelos de contratos para el encargo de tratamiento.
Iniciativas en Argentina y América Latina
La región presenta ejemplos interesantes de simplificación regulatoria en materia de protección de datos personales. Por ejemplo, la autoridad de control de Brasil ha dictado la Resolución CD/ANPD N.º 2/2022 (disponible en portugués), dirigida a los pequeños agentes de tratamiento, que incluye a responsables y encargados de tratamiento que sean micro y pequeñas empresas, startups, organizaciones sin fines de lucro, personas físicas, entre otras. Entre otras medidas, la normativa permite a los pequeños agentes cumplir con su obligación de llevar un registro de actividades de tratamiento de forma simplificada, y los exceptúa de designar un delegado de protección de datos. Por otro lado, la nueva Ley de Protección de Datos Personales de Chile, que aún no ha entrado en vigor, también ha incluido disposiciones relevantes para las PyMEs. Por ejemplo, permite que el rol de delegado de protección de datos sea asumido por el dueño o las máximas autoridades de la empresa. Uruguay, por su parte, ha publicado guías dirigidas a las PyMEs para facilitar el cumplimiento de sus obligaciones en materia de tratamiento de datos personales.
En el caso de Argentina, vemos con preocupación que la regulación vigente obliga a todos los responsables de tratamiento por igual a registrarse ante la Autoridad de Control y a informarle todas las bases de datos personales bajo su control. Esta exigencia, que pesa también sobre las PyMEs y puede resultar especialmente compleja para éstas, ha sido dejada atrás por la mayoría de los países que han actualizado su normativa. Siguiendo dicha tendencia, el último proyecto de reforma de Argentina —que perdió estado parlamentario a fines de 2024— proponía eliminar con acierto estas obligaciones de registro para todas las empresas.
Sin embargo, al igual que en la regulación vigente, el proyecto mencionado tampoco contemplaba requisitos de cumplimiento simplificados para las PyMEs, a pesar de diversos comentarios en ese sentido por parte del sector privado durante el proceso de consultas. En efecto, este sector ha planteado, por ejemplo, que el proyecto preveía un plazo demasiado acotado para la adecuación a la nueva normativa, especialmente si se lo compara con los marcos transitorios adoptados en Brasil, Chile o la Unión Europea.
Sería deseable que el país tome nota de las buenas prácticas en la materia de los países vecinos, y del actual proceso de revisión del RGPD por la Unión Europea, con el objetivo de garantizar una protección efectiva de los datos personales y a su vez ofrecer la adecuación de ciertos requisitos para las PyMEs. Ello requiere contemplar las capacidades reales de cumplimiento de éstas empresas, promoviendo un equilibrio entre tutela de derechos y viabilidad operativa.
Si bien, como mencionamos, Argentina no cuenta, a la fecha, con regulación que reduzca las cargas que enfrentan las PyMEs en materia de protección de datos personales, vemos con buenos ojos las iniciativas de la Agencia de Acceso a la Información Pública, autoridad de control del país. La agencia ha tomado nota de los desafíos que éstas enfrentan y se encuentra apoyando, por ejemplo, un programa de capacitación dirigido a las PyMEs implementado por la Fundación para la Internacionalización de las Administraciones Públicas, en el marco de la Alianza Digital Unión Europea – América Latina. Esta iniciativa tiene como objetivo apoyar a las PyMEs en su proceso de transformación digital con responsabilidad, fortaleciendo sus capacidades en materia de protección de datos personales, promoviendo el cumplimiento de la normativa vigente y facilitando su alineación con estándares internacionales.
Conclusiones
Como se ha mencionado, América Latina atraviesa por un proceso de modernización de sus marcos normativos en materia de protección de datos personales. Algunos países se encuentran debatiendo proyectos de ley o implementando propuestas de capacitación o guías de implementación; mientras que otros ya han aprobado o implementado nuevas legislaciones o herramientas de facilitación del cumplimiento. En ese contexto, la elevación de estándares de protección para los titulares debe ir acompañado de una mirada integral, que contemple las particularidades de las PyMEs para promover su capacidad de cumplimiento.
Una de las recomendaciones que surge al revisar las mejores prácticas en la materia es, por ejemplo, la eliminación de las obligaciones de registro de responsables y de bases de datos (inspirados en la Directiva 95/46 de la Unión Europea, que ya no se encuentra vigente). En el caso de los países que ya han actualizado su normativa o que están en proceso de hacerlo, tomando como referencia el RGPD, sería prudente considerar la exención o adecuación para PyMEs de obligaciones como el registro de actividades de tratamiento, la designación de delegados de protección de datos, o la realización de evaluaciones de impacto.
En definitiva, para promover la competitividad y la innovación, es fundamental adoptar enfoques que faciliten el cumplimiento por parte de las PyMEs. Ello puede lograrse mediante un enfoque integral que, por un lado, adecúe ciertas exigencias regulatorias para promover el cumplimiento de estas empresas, como han hecho Brasil o Chile y, por el otro, que se complemente estas adecuaciones con programas de capacitación o guías a medida para PyMEs, como en el caso de Argentina o Uruguay, respectivamente.
Gabriela Szlak es abogada, Managing Partner de la firma Lerman & Szlak y co-Chair del KnowledgeNet Chapter Buenos Aires de IAPP.
