Ley 27.275 — acceso a información pública
La Ley 27.275 de Derecho de Acceso a la Información Pública —sancionada en 2016, vigente desde 2017— establece el derecho de cualquier persona a solicitar información en poder de organismos públicos. Es la otra pata regulatoria que cualquier proyecto SSI gov tiene que entender: no solo qué datos protege, sino qué información tiene que estar abierta.
La tensión es real: LPDP protege datos personales, Ley 27.275 obliga a publicar información pública. SSI tiene que navegar las dos.
Qué exige la ley
La ley establece que cualquier organismo público debe:
- 1Responder solicitudes de información en plazo máximo de 15 días hábiles (con extensión posible).
- 2Publicar proactivamente información clave (estructura, presupuesto, contrataciones, sueldos, normativa interna).
- 3Permitir reutilización de la información en formatos abiertos.
- 4Justificar las excepciones cuando se niega la información solicitada.
El principio fundamental: la información es pública salvo que esté legalmente protegida. La carga de la prueba está en el organismo, no en el solicitante.
Las 12 excepciones
La ley define 12 causales por las cuales un organismo puede negar información, entre ellas:
- Datos personales (intersección con LPDP).
- Información que comprometa seguridad nacional.
- Información que viole secreto profesional o industrial protegido.
- Información que pueda menoscabar el funcionamiento del sistema judicial.
- Estrategias y planes de defensa.
Para proyectos SSI gov, la excepción relevante es datos personales: la información sobre qué credenciales emite un sistema es pública; los datos contenidos en cada credencial individual son privados.
Implicancias para SSI
Tres áreas donde Ley 27.275 toca directamente un sistema de identidad digital:
Información pública obligatoria
- Qué tipos de credenciales emite el sistema
- Marco legal de cada emisión (qué norma habilita)
- Métricas agregadas: cantidad emitida, vigente, revocada
- Política de revocación
- Procesos de auditoría
Información protegida
- Datos personales contenidos en credenciales
- Logs operativos vinculados a individuos
- Información de los holders
- Datos de presentaciones específicas
El balance LPDP + Ley 27.275
Cuatro principios prácticos que reconcilian ambas leyes para un sistema SSI gov:
- 1Métricas agregadas son públicas. "El sistema emitió 50.000 constancias de domicilio en 2026" es información pública. "Juan Pérez recibió una constancia el 14 de marzo" es dato personal.
- 2Procesos son públicos, instancias son privadas. "Cómo se emite una credencial" es información pública (manual, política, requisitos). "Quién la recibió" es privado.
- 3Decisiones administrativas son públicas, fundamentos individuales son privados. "Se otorgaron 1.200 becas en mayo" es público. "Los 1.200 beneficiarios concretos" son datos personales protegidos.
- 4Auditoría agregada es pública, logs personales son privados. Reportes de uso del sistema (transparencia algorítmica) son públicos; logs por persona son protegidos.
Open Data como subproducto
La Ley 27.275 incentiva la publicación en formatos abiertos. Un sistema SSI gov debería diseñarse desde el principio para producir datasets abiertos sin esfuerzo adicional:
- Estadísticas mensuales de emisión por tipo de credencial.
- Estadísticas de revocación y motivos agregados.
- Estadísticas de verificación (sin identificar verificadores específicos).
- Disponibilidad y uptime del sistema.
Estos datos no comprometen privacy individual y son auditables públicamente. Diseñar para esto desde el principio es más fácil que retrofittear después.
El rol de la AAIP
La Agencia de Acceso a la Información Pública es también la autoridad de aplicación de la Ley 27.275 (la misma que aplica LPDP). Esto facilita la coordinación: un solo organismo balancea privacy y transparencia.
Cualquier proyecto SSI gov debe asegurar canales para:
- Recibir solicitudes de acceso a información pública sobre el sistema.
- Responder en plazo regulatorio.
- Justificar excepciones cuando se invoca privacy.
La AAIP publica guías sobre cómo redactar estas excepciones de forma defendible jurídicamente.
Comparación con la UE
La UE tiene un esquema similar pero más fragmentado:
| Argentina | UE | |
|---|---|---|
| Protección datos | LPDP 25.326 | GDPR |
| Acceso info pública | Ley 27.275 | Directiva PSI 2019/1024 (open data) |
| Autoridad de aplicación | AAIP (una sola) | Autoridades nacionales distintas |
| Open data obligation | Sí, formatos abiertos | Sí, "high-value datasets" |
La unificación argentina (LPDP + Ley 27.275 en una sola AAIP) es relativamente atípica internacionalmente y operativamente práctica.
La transparencia algorítmica emergente
Un debate reciente y muy relevante para sistemas SSI: ¿debe ser pública la lógica del algoritmo que decide qué credenciales emite o niega un organismo?
Argentina no tiene aún ley específica sobre transparencia algorítmica. Pero el espíritu de la Ley 27.275 —el ciudadano tiene derecho a entender cómo decide la administración pública— apunta a que las reglas de decisión deben ser explicables.
Para sistemas SSI esto significa:
- Los criterios para emitir/revocar credenciales son públicos.
- Las reglas que aplica el sistema están documentadas y disponibles.
- Las decisiones particulares sobre personas pueden ser cuestionadas y revisadas.
Diseñar SSI con explicabilidad incorporada es buena práctica incluso sin obligación legal explícita.
Referencias
Relacionados
- LPDP 25.326 — qué pide a la identidad digital — la ley complementaria sobre datos personales
- Gobernanza federada — el modelo Mesa Federal — cómo se aplica al modelo federal