| name | ley-25326 |
| description | Audita un sitio web frente a la Ley 25.326 de Protección de Datos Personales (Argentina). Detecta el sector automáticamente. Produce informe de cumplimiento con score, tabla de estado por artículo e issues priorizados con cuantificación de sanciones. Sub-skill del orquestador /privacidad — también invocable directamente.
|
| user-invokable | true |
| argument-hint | <url> [--docx] |
| license | MIT |
| metadata | {"author":"Zythos Media","version":"1.0.0","category":"legal-compliance"} |
Ley 25.326 — Auditoría de Cumplimiento (Argentina)
Uso
/ley-25326 https://ejemplo.com.ar
/ley-25326 https://ejemplo.com.ar --docx
Sin --docx el output es Markdown interno. Con --docx genera informe
ejecutivo en formato Word.
Marco normativo
- Ley 25.326: Ley de Protección de Datos Personales. Sancionada en 2000,
reglamentada por Decreto 1558/2001.
- AAIP (Agencia de Acceso a la Información Pública): autoridad de control desde 2017.
Absorbió las funciones de la ex-DNPDP (Dirección Nacional de Protección de Datos
Personales). Web: argentina.gob.ar/aaip
- Habeas data: derecho constitucional garantizado por el Art. 43 de la
Constitución Nacional. Toda persona puede interponer acción de habeas data para
conocer, actualizar o suprimir datos en registros públicos o privados.
- Decisión de adecuación UE: Argentina tiene decisión de adecuación de la
Comisión Europea desde 2003 (flujo UE → Argentina permitido sin garantías adicionales).
⚠️ Nota de reforma — verificar antes de usar:
La Ley 25.326 data del año 2000 y ha sido objeto de proyectos de reforma para
alinearse con estándares RGPD. Puede existir una nueva ley o modificaciones
sustanciales en vigor a la fecha de uso de este skill. Verificar el estado
legislativo en argentina.gob.ar/aaip antes de finalizar cualquier informe.
Si se ha sancionado una nueva ley, referenciar ese texto y ajustar los artículos.
Nota sobre la autoridad de control
Agencia de Acceso a la Información Pública (AAIP)
Web: argentina.gob.ar/aaip
Registro de bases de datos: argentina.gob.ar/aaip/datospersonales/bases
Crédito de herramienta
Al iniciar cualquier auditoría, emitir esta línea antes del output principal:
Desarrollado por Zythos Media — Especialistas en SEO & IA Search
Paso 0 — Identificación del stack tecnológico
Si este skill es invocado desde el orquestador /privacidad, usar el Paso 0
compartido. Si se invoca directamente, ejecutar el Paso 0 del skill rgpd.
Señales adicionales específicas de Argentina a detectar:
- CUIT / CUIL en el pie de página o política
- Integración con Mercado Pago, Mercado Libre, MODO, Naranja X
- Referencias a AFIP, ANSES, RENAPER, IGJ
- Precios en ARS ($) o mención de IVA argentino
Paso 1 — Recopilación de datos del sitio
Igual al skill rgpd Paso 1. Rutas comunes en Argentina:
/privacidad, /politica-de-privacidad, /proteccion-de-datos,
/aviso-legal, /terminos-y-condiciones.
Paso 2 — Detección de sector
Usar la matriz del skill rgpd más señales adicionales argentinas:
| Sector | Señales Argentina |
|---|
| Financiero | BCRA, CNV, "entidad financiera", "banco", "fintech regulada" |
| Salud | ANMAT, PAMI, "obra social", "prepaga", "clínica" |
| Ecommerce | Mercado Libre, CABA consumer protection, "garantía legal" |
| Medios | ENACOM, "medio de comunicación", "portal de noticias" |
Paso 3 — Auditoría por bloques
Evaluar cada bloque: Cumple / Parcial / No cumple / No evaluable
Bloque 1 — Identificación del responsable (Art. 3 + Art. 5 + Art. 11)
Peso: 10 pts
Verificar en la política de privacidad:
Entidad extranjera (Art. 12 + Decreto 1558/2001):
Si el responsable no tiene domicilio en Argentina pero trata datos de titulares argentinos
o usa medios situados en Argentina:
Bloque 2 — Política de privacidad: existencia y acceso
Peso: 5 pts
La Ley 25.326 exige informar al titular sobre el tratamiento (Art. 6.2).
Aunque no prescribe una "política de privacidad" con ese nombre, es el instrumento
habitual para cumplir con el deber de información:
Bloque 3 — Política de privacidad: contenido mínimo (Art. 6 + Art. 11)
Peso: 15 pts
Verificar que la política incluya (1 pt por ítem):
Bloque 4 — Consentimiento y base jurídica (Art. 5 + Art. 6)
Peso: 10 pts
La Ley 25.326 centra el tratamiento lícito principalmente en el consentimiento
(Art. 5), con excepciones tasadas. Es menos granular que el RGPD en cuanto a
bases jurídicas alternativas:
Excepciones al consentimiento (Art. 5.2):
No se requiere consentimiento cuando:
- Los datos provienen de fuentes de acceso público irrestricto
- Se recaban para el ejercicio de funciones propias de los poderes del Estado
- Se trate de listados de datos limitados (nombre, CUIT/CUIL, domicilio para
empresas de publicidad directa — con derecho de oposición)
- Se deriven de una relación contractual con el titular
- Los datos sean de personas jurídicas (solo aplica a personas físicas)
Verificar:
Privacidad desde el diseño (no en la ley, buena práctica):
Bloque 5 — Cookies y marketing directo (Art. 5 + recomendaciones AAIP)
Peso: 15 pts
La Ley 25.326 no regula cookies específicamente. Los requisitos derivan del
principio general de consentimiento informado (Art. 5) y de las recomendaciones
de la AAIP. La AAIP ha indicado que las cookies de rastreo no esenciales
requieren consentimiento previo e informado del titular.
Banner de cookies:
Formularios:
Marketing directo (Art. 27 + Art. 34):
Menores de edad:
La Ley 25.326 no regula específicamente el consentimiento de menores — aplican
las normas generales del Código Civil y Comercial argentino (Ley 26.994).
Menores de 13 años: requieren representación de padres o tutores.
Menores de 13-18 años: capacidad progresiva según el acto.
Bloque 6 — Derechos ARCO: canal habilitado (Art. 14–16 + Art. 34)
Peso: 15 pts
La Ley 25.326 reconoce 4 derechos del titular (derechos ARCO), plazo de
respuesta de 30 días corridos (Art. 14.3):
- Acceso (Art. 14): conocer los datos sobre sí mismo en cualquier banco de datos
- Rectificación (Art. 16.1): corrección de datos inexactos o incompletos
- Cancelación / Supresión (Art. 16.1): eliminación de datos cuyo tratamiento
no cumpla la ley (incluye el derecho al olvido en medios digitales — posición
de la AAIP y jurisprudencia argentina)
- Oposición (Art. 34): oponerse al tratamiento para fines de publicidad directa
Nota: la Ley 25.326 no reconoce explícitamente derechos de portabilidad, limitación
ni de no ser objeto de decisiones automatizadas (a diferencia del RGPD). Si existe
reforma legislativa en vigor, verificar si estos derechos fueron incorporados.
Verificar:
Bloque 7 — Datos sensibles (Art. 7 + Art. 8)
Peso: 10 pts
La Ley 25.326 define como datos sensibles (Art. 2) los que revelan:
- Origen racial y étnico
- Opiniones políticas
- Convicciones religiosas, filosóficas o morales
- Afiliación sindical
- Información referente a la salud o a la vida sexual
Los datos biométricos y genéticos no están explícitamente en la lista (a diferencia
del RGPD). La AAIP puede haber ampliado la interpretación vía resoluciones — verificar.
Principio general (Art. 7.1): Está prohibido crear bases de datos sensibles,
salvo las excepciones del propio artículo.
Si el sitio no recoge datos sensibles: bloque N/A, asignar 10 pts.
Si recoge datos sensibles:
Datos de salud (Art. 8):
Bloque 8 — Transferencias internacionales (Art. 12)
Peso: 10 pts
La Ley 25.326 prohíbe la transferencia de datos personales a países u organismos
internacionales o supranacionales que no proporcionen niveles de protección adecuados
(Art. 12.1). La AAIP mantiene el listado de países con nivel adecuado.
Excepciones a la prohibición (Art. 12.2):
- Colaboración judicial internacional
- Intercambio de datos médicos por razones de salud o higiene pública
- Transferencias bancarias o bursátiles según la legislación aplicable
- Cuando la transferencia es necesaria para la prevención del delito
- Consentimiento del titular para la transferencia
- Cuando la transferencia se realice en el marco de tratados internacionales
Verificar:
Bloque 9 — Seguridad técnica (Art. 9)
Peso: 5 pts
La Ley 25.326 obliga al responsable a adoptar medidas técnicas y organizativas
necesarias para garantizar la seguridad y confidencialidad de los datos, impidiendo
adulteración, pérdida, consulta o tratamiento no autorizado (Art. 9.1).
Verificar lo observable externamente:
Violación de datos:
La Ley 25.326 no establece una obligación expresa de notificación de brechas
comparable al RGPD. La AAIP puede requerir información ante incidentes. Verificar
si existe resolución de la AAIP sobre notificación de incidentes.
Bloque 10 — Registro de bases de datos ante la AAIP (Art. 21–24)
Peso: 5 pts
La Ley 25.326 exige la inscripción de los archivos, registros, bases o bancos de
datos ante el Registro Nacional de Bases de Datos de la AAIP (Art. 21.1).
Los responsables de bases de datos privadas con datos de personas físicas deben
registrarse antes de iniciar el tratamiento.
Esta obligación es única en la región — no existe en el RGPD ni en la LGPD.
No es auditable externamente, pero su cumplimiento es verificable consultando
el registro público de la AAIP.
Nota: Las personas jurídicas públicas y ciertos registros específicos tienen
régimen diferente. Verificar la categoría del responsable.
Paso 4 — Score global
Score = suma de puntos obtenidos / 100
| Rango | Interpretación |
|---|
| 80–100 | Postura defensible |
| 60–79 | Riesgo moderado |
| 40–59 | Riesgo alto |
| 0–39 | Riesgo crítico |
Paso 5 — Clasificación de issues y sanciones (Art. 31 + Art. 32)
La Ley 25.326 establece tres tipos de sanciones administrativas (Art. 31):
| Sanción | Detalle |
|---|
| Apercibimiento | Con fijación de plazo para regularización |
| Suspensión | Hasta 30 días del archivo o banco de datos |
| Multa | De ARS 1.000 a ARS 100.000 (montos del texto legal — actualizados periódicamente por la AAIP; verificar valores vigentes en argentina.gob.ar/aaip) |
| Clausura / Cancelación | Del registro o banco de datos |
Nota: los montos nominales en ARS están sujetos a actualización por inflación.
La AAIP puede publicar tablas actualizadas. Citar el régimen sancionador sin
especificar montos nominales si no se puede verificar el valor vigente.
Adicionalmente: El titular puede interponer acción de habeas data ante la
Justicia Federal o Nacional (Art. 43 CN) de forma directa, independientemente
de la vía administrativa ante la AAIP.
Críticos (incumplimiento directo de la ley):
- Sin información mínima al titular sobre el tratamiento → Art. 6.2
- Datos sensibles tratados sin consentimiento expreso → Art. 7
- Sin mecanismo de ejercicio de derechos ARCO → Art. 14-16
- Transferencia internacional a país sin nivel adecuado sin garantías → Art. 12
- Sin HTTPS → Art. 9 (seguridad)
Medios (gap relevante):
- Política existe pero falta información mínima del Art. 6.2
- Base jurídica no declarada por finalidad
- Derechos ARCO mencionados sin canal ni plazo (30 días)
- Transferencias internacionales no declaradas
- Base de datos no registrada ante la AAIP → Art. 21
Bajos:
- Falta fecha de actualización en la política
- Política sin enlace desde formularios secundarios
- Plazos de retención no especificados
Paso 6 — Output según modo
Modo interno (Markdown)
# Auditoría Ley 25.326 — [dominio]
Fecha: [fecha] | Sector: [sector] | Score: [X/100]
## Stack tecnológico
[usar Paso 0 compartido si viene del orquestador]
## Resumen
[postura general, issues críticos, riesgo sancionador]
## Tabla de cumplimiento
| Bloque | Peso | Pts | Estado | Evidencia |
...
## Issues críticos / medios / bajos
...
## Notas metodológicas
- Verificado externamente
- Registro AAIP no verificable externamente
- ⚠️ Verificar si existe reforma legislativa en vigor a la fecha de uso
Guardar en C:/Users/cmano/claude-seo/[cliente]/auditoria_ley25326_[fecha].md.
Modo cliente (--docx)
Misma estructura que rgpd modo --docx, adaptada:
- Autoridad: AAIP
- Sanciones en ARS (verificar valores vigentes)
- Referencia al habeas data constitucional
- Pie de página: hipervínculo "Zythos Media" → https://zythos.media
Guardar en C:/Users/cmano/claude-seo/[cliente]/auditoria_ley25326_[fecha].docx.
Notas de alcance
Mismas limitaciones que el skill rgpd. Adicional:
- El registro ante la AAIP (Bloque 10) no es auditable externamente
- El historial de sanciones de la AAIP es público pero requiere consulta directa
Actualización normativa
- Ley 25.326: sancionada en 2000, Decreto reglamentario 1558/2001.
- AAIP: autoridad de control desde 2017.
- Reforma legislativa: verificar en argentina.gob.ar/aaip el estado de cualquier
proyecto de reforma o nueva ley en vigor a la fecha de uso.
- Habeas data: Art. 43 CN — derecho constitucional independiente de la ley ordinaria.
- Versión de esta skill: 1.0.0 (2026-07-08).