GDPR vs LPDP — lecciones para Argentina
El General Data Protection Regulation —GDPR, vigente en la UE desde 2018— es el marco regulatorio de protección de datos personales más estricto y más imitado del mundo. La LPDP argentina (Ley 25.326, año 2000) es un antecedente conceptual sólido pero con casi 25 años de desfase tecnológico.
Entender la brecha entre las dos es útil porque la reforma de LPDP que se discute desde 2018 apunta a alinearse con GDPR. Quien diseñe un sistema SSI hoy en Argentina debería anticiparse a esa reforma.
Las 4 diferencias mayores
| LPDP 25.326 (AR, 2000) | GDPR (UE, 2018) | |
|---|---|---|
| Privacy by design | No explícito | Obligatorio (Art. 25) |
| Derecho a portabilidad | No explícito | Obligatorio (Art. 20) |
| Notificación de brechas | No obligatoria | Obligatoria 72hs |
| Multas máximas | ~$100k USD | 4% facturación global, hasta €20M |
1 · Privacy by design (PbD)
GDPR Art. 25 obliga a que cualquier sistema que procese datos personales incorpore privacy desde el diseño. No es una capa que se agrega después; es propiedad del sistema.
En SSI, privacy by design es:
- 1Selective disclosure por default. El verificador recibe solo lo estrictamente necesario. No queda a discreción del implementador.
- 2Datos en el dispositivo del holder. No hay servidor central con copia completa. Esto reduce superficie de ataque.
- 3DIDs por credencial. No se reutiliza el mismo identificador entre verificadores distintos.
- 4Auditoría sin tracking. Logs agregados para auditoría regulatoria; logs individuales mínimos.
Un sistema SSI bien diseñado ya cumple con privacy by design. Pero no automáticamente: si el implementador elige guardar copias de las credenciales en su servidor "para conveniencia", rompe el modelo.
LPDP actual no exige PbD explícitamente. La reforma esperada sí.
2 · Portabilidad de datos
GDPR Art. 20 obliga a que el ciudadano pueda transferir sus datos entre proveedores en formato estructurado y legible por máquina.
SSI cumple esto de forma estructural: las credenciales viven en la wallet del ciudadano, no en el proveedor. Si una wallet desaparece, el ciudadano exporta sus credenciales (estándar W3C VC + formatos compatibles) y las importa en otra wallet.
Esta propiedad es lo que distingue SSI de las soluciones de "identity-as-a-service" centralizada que no permiten extraer las credenciales emitidas. LPDP actual no obliga esta portabilidad; la reforma probablemente sí lo hará.
3 · Notificación de brechas
GDPR Art. 33 obliga a notificar brechas significativas a la autoridad de protección de datos dentro de las 72 horas. Y a los ciudadanos afectados sin demora indebida.
Esto cambió la cultura corporativa en Europa: las empresas no pueden ocultar incidentes. Argentina no tiene obligación equivalente bajo LPDP actual.
Para SSI: el riesgo de brechas se reduce estructuralmente porque los datos viven con los holders, no en bases centralizadas. Pero los emisores siguen teniendo PKI, logs operativos y metadatos que pueden ser comprometidos. Cualquier proyecto SSI argentino debería operar bajo el supuesto que la reforma de LPDP exigirá notificación, y diseñar canales de respuesta a incidentes desde el día uno.
4 · Multas y enforcement
La diferencia de magnitud explica gran parte de por qué las empresas en la UE invierten en compliance que las argentinas no priorizan:
| LPDP máx multa | GDPR máx multa | |
|---|---|---|
| Empresa pequeña | ARS ~$5 millones | €10M o 2% facturación global |
| Empresa grande | ARS ~$5 millones | €20M o 4% facturación global |
La asimetría no es solo cuantitativa: en la UE, las DPAs (Data Protection Authorities) emiten multas de cientos de millones a Google, Meta, Amazon. En Argentina, la AAIP raramente emite multas de gran escala. El enforcement es más débil.
5 · Lo que LPDP hace bien
A pesar de la antigüedad, hay tres áreas donde LPDP es comparable o superior a GDPR:
Unificación con info pública
LPDP + Ley 27.275 + AAIP como autoridad única. La UE fragmenta (GDPR + PSI + DPAs nacionales).
Lenguaje accesible
LPDP es más legible que GDPR para no-abogados. Esto facilita compliance espontáneo.
Estabilidad
LPDP no cambió en 24 años. GDPR ya tiene proyectos de reforma a 6 años de vigencia. Estabilidad regulatoria favorece inversión.
Recomendaciones para diseñar SSI gob argentino
Cinco prácticas que conviene adoptar anticipándose a la reforma:
- 1Privacy by design explícito. Documentar el análisis de privacidad del sistema. PIA (Privacy Impact Assessment) aunque no sea obligatorio aún.
- 2Portabilidad nativa. Las credenciales deben ser exportables en formato W3C VC estándar. La wallet no debe ser un walled garden.
- 3Canal de notificación de brechas. Procesos documentados para detectar, escalar, comunicar incidentes en 72hs.
- 4DPO o equivalente. Designar responsable de protección de datos aunque la ley no lo exija. Es buena práctica y prepara para la reforma.
- 5Auditoría agregada, no por persona. Logs que permitan compliance + investigación, sin tracking ciudadano individual.
La reforma esperada
El proyecto de reforma de LPDP en discusión legislativa (versiones 2018, 2020, 2022) apunta a alinearse con GDPR en los puntos clave:
- Privacy by design.
- Portabilidad obligatoria.
- Notificación de brechas.
- Multas significativamente mayores.
- DPO obligatorio en organizaciones con tratamiento intensivo.
Cuándo se aprobará no es claro. Pero el patrón histórico latinoamericano (México, Brasil, Chile, Colombia ya tienen leyes alineadas con GDPR) sugiere que Argentina lo hará en algún momento del próximo ciclo legislativo.
Diseñar SSI hoy bajo el supuesto que la reforma viene es la posición prudente.
Referencias
Relacionados
- LPDP 25.326 — qué pide a la identidad digital — la ley vigente
- eIDAS 2.0 — qué aprender de la UE — el otro pilar regulatorio UE
- DPI y soberanía digital — el debate global — el debate sistémico