Protección de Datos en América Latina: avances y brechas hacia un ecosistema más seguro

Perú avanza de manera sostenida en la modernización de su sistema de protección de datos personales, sustentado en la Ley 29733 y en su Reglamento actualizado, vigente desde marzo de 2025. El marco renovado se orienta a estándares internacionales y busca responder a los desafíos de un entorno digital más complejo. Sin embargo, la cultura de cumplimiento sigue siendo, en varios sectores, predominantemente documental, lo que abre espacio para evolucionar hacia una gestión del dato basada en riesgos y con una mirada más estratégica.

Por su parte, la Autoridad Nacional de Protección de Datos Personales (ANPDP) ha fortalecido de manera notable su capacidad de supervisión. En 2024 fiscalizó 454 entidades, principalmente de los sectores financiero y telecomunicaciones, y en 2025 incrementó a 760 entidades. Ese mismo año inició 136 procedimientos sancionadores e impuso multas por S/ 11.3 millones reflejando un control más activo y un entorno regulatorio con mayores exigencias. A pesar de ello, aún existe oportunidad para reforzar su rol orientador.

De forma complementaria, el país ha dado un paso relevante en la regulación de tecnologías emergentes con el reglamento de la Ley 31814, que promueve un uso ético y seguro de la inteligencia artificial (IA). No obstante, su implementación requiere de guías operativas que permitan avanzar de manera realista.

El sector empresarial muestra un nivel de madurez en ascenso. Las grandes organizaciones —especialmente en los sectores financiero, educativo, salud y telecomunicaciones— han avanzado con mayor rapidez, mientras que las pequeñas y microempresas enfrentan barreras significativas como limitaciones presupuestales, menor acceso a asesoría especializada y baja percepción del riesgo regulatorio.

En conjunto, el Perú atraviesa una etapa de transición: cuenta con un marco actualizado y avances importantes en materia de IA, pero aún debe transformar el cumplimiento formal en una gestión integral del dato que fortalezca la resiliencia, eleve la confianza y consolide la privacidad como factor estratégico de gobierno corporativo.

Colombia ha consolidado uno de los marcos de protección de datos más estructurados de la región desde la entrada en vigor de la Ley 1581 de 2012, respaldado por el rol riguroso y orientador de la Superintendencia de Industria y Comercio (SIC). Algo que destaca a Colombia de sus pares de la región es la amplitud de las competencias de la autoridad, que no solo fiscaliza y sanciona, sino que también emite criterios técnicos y lineamientos que han permitido al país alcanzar un nivel de madurez intermedio, con principios alineados al Reglamento General de Protección de Datos (GDPR).

De hecho, en 2024 se registraron más de 35,000 quejas por manejo indebido de información personal y un incremento del 22% en el monto de las sanciones. Entre 2022 y 2024, la SIC impuso multas superiores a 6,000 millones de pesos (S/ 5.6 millones aprox.) a empresas de telecomunicaciones, salud y comercio electrónico. Esto evidencia una tendencia ascendente: 55 en 2023, 83 en 2024 y 101 en 2025, año en el que las multas alcanzaron 5,157 millones de pesos (S/4.8 millones aprox.).  

Este contexto ha llevado a impulsar la actualización normativa. En agosto de 2025 se presentó un proyecto de reforma orientado a cerrar brechas en la regulación de IA, decisiones automatizadas, protección reforzada de niños y adolescentes, y transferencias internacionales, con el fin de alinear el marco colombiano con estándares internacionales más exigentes.

El panorama empresarial presenta contrastes similares a los de Perú y Argentina: sectores como financiero, salud y servicios públicos exhiben prácticas más maduras, mientras que retail y pequeñas empresas presentan brechas importantes en recursos, capacitación y actualización de procesos. Más allá de ello, la industria enfrenta un reto transversal: el cumplimiento sigue siendo, en gran medida, formal. 

Asimismo, la figura del oficial de protección de datos ha cobrado un rol decisivo. “El oficial de datos debe ser un actor estratégico que facilite el uso avanzado del dato sin generar riesgos legales, operacionales o reputacionales”, sostiene María Camila, destacando la necesidad de dotarlo de recursos, autonomía y capacidad de articulación dentro de las organizaciones.

Colombia también avanza hacia un marco específico para inteligencia artificial, con iniciativas que buscan establecer principios éticos, clasificar sistemas según riesgo y regular tecnologías sensibles como biometría y reconocimiento facial. La modernización será fundamental para mantener la competitividad y la confianza en un entorno donde la gobernanza del dato es cada vez más relevante.

Argentina se mantiene como uno de los referentes históricos en protección de datos en la región. Su Ley 25.326, vigente desde el año 2000, sentó los principios clásicos de privacidad: finalidad, consentimiento, proporcionalidad, seguridad y derechos del titular, que aún sostienen el sistema. La Agencia de Acceso a la Información Pública (AAIP) ha contribuido a mantener este marco actualizado mediante guías y criterios interpretativos. En 2024, la Unión Europea renovó la decisión de adecuación, reafirmando que el modelo argentino continúa alineado con estándares internacionales exigentes.

Sin embargo, la evolución tecnológica ha puesto en evidencia la necesidad de modernizar la normativa. La ley vigente no contempla obligaciones clave como la notificación de incidentes, evaluaciones de impacto (DPIA), nuevas bases legales o derechos vinculados a tecnologías emergentes. Por ello, Argentina atraviesa un proceso de reforma integral. Los proyectos recientemente presentados en el Congreso incorporan la responsabilidad proactiva, privacidad por diseño y por defecto, derecho a la portabilidad, impugnación de decisiones automatizadas, obligación de reportar incidentes y la creación del delegado de protección de datos. También proponen eliminar el registro de bases y reforzar la independencia del regulador.

A nivel empresarial, la madurez es heterogénea. Sectores como finanzas, salud, telecomunicaciones y tecnología han adoptado prácticas más avanzadas, mientras que retail y pequeñas empresas muestran rezagos en gobernanza, políticas internas y formalización de procesos.

Argentina combina un marco sólido, una autoridad experimentada y una reforma ambiciosa en marcha. Con la rápida expansión de tecnologías como IA generativa, biometría y decisiones automatizadas, modernizar el marco vigente será clave para mantener competitividad, seguridad jurídica y confianza en el ecosistema digital.