Data & IA
La imagen muestra un candado en primer plano, sobre un fondo de código de tecnología.

Convenio 108+: la protección de datos personales como eje de la era digital

La transformación digital modificó de manera radical la forma en que las personas interactúan, consumen servicios y ejercen sus derechos. 

Realizar una transferencia bancaria, pagar con medios digitales, contratar un servicio o comprar en una tienda online, genera datos personales que son recolectados, analizados y compartidos a gran escala, a través de múltiples actores y plataformas tecnológicas.

En este contexto, la protección de datos dejó de ser un tema técnico o exclusivo del ámbito legal para convertirse en un pilar de la confianza digital

Pero sin reglas claras, los riesgos de abusos, filtraciones, discriminación algorítmica o vigilancia indebida aumentan de forma exponencial.

Es en este escenario donde el Convenio 108+ cobra especial relevancia. Un tratado internacional que propone una respuesta estructural a los desafíos de la era digital, estableciendo principios comunes que buscan proteger a las personas sin frenar la innovación tecnológica

Comprender su alcance es clave para anticipar el rumbo que tomará la regulación de datos en los próximos años. 

Pero antes de comenzar el análisis del Convenio 108+ es importante que entendamos el marco dentro del cuál se desarrolla la protección de datos personales en la actualidad. Un escenario en el cual la inteligencia artificial generativa incide directamente en la gobernanza de datos.

Data governance & IA: un desafío contemporáneo

La integración de IA puede ser compleja y generar resistencias internas, además de requerir datos de alta calidad y bien estructurados. 

Frente a este desafío para la gestión efectiva de datos y la creación de una cultura data-driven, es posible mejorar la infraestructura de datos y formar equipos interdisciplinarios para desarrollar modelos confiables.

“El mayor reto es gestionar el crecimiento exponencial de los datos, garantizando su calidad y seguridad, y alineándolos con normativas cada vez más estrictas”, asegura nuestro partner, Pablo Mlynkiewicz, Head of Data Governance de Data Governance Latam, CDO & co-fundador de Kosmic Voice y Coordinador Académico de la Diplomatura Data Governance de la Universidad del CEMA.

Dos personas trabajan con una computadora en cuestiones de seguridad
El Convenio 108+ es un tratado internacional que propone una respuesta estructural a los desafíos de la era digital.

La expansión de la inteligencia artificial generativa pone de relieve una nueva dimensión de riesgos y oportunidades en la protección de datos personales

A diferencia de la IA tradicional, estos sistemas aprenden de enormes volúmenes de información automatizada. Esto implica que los datos que alimentan los modelos pueden viajar a lo largo de distintas etapas de procesamiento, compartición, análisis y reutilización, sin un control claro sobre su ciclo de vida completo. 

En este contexto, gobernar los datos no es sólo adoptar medidas técnicas de seguridad, sino establecer un marco estratégico que articule transparencia, calidad, ética y responsabilidad en el uso de datos dentro y fuera de los sistemas de IA. 

Es por ello que la gobernanza eficiente de datos requiere: 

  • Disciplinas como la clasificación y etiquetado de información.
  • Políticas internas que regulen quién puede usar qué datos y para qué fines.
  • Mecanismos de supervisión continua.
  • Integración de criterios de privacidad y derechos humanos en todos los eslabones de la cadena de procesamiento. 

Este enfoque cobra especial relevancia cuando se lo conecta con los principios del Convenio 108+, los cuales buscan asegurar que la protección de datos no se vea socavada por innovaciones tecnológicas. 

En particular, los enfoques de privacy by design y privacy by default son fundamentales para: 

  • Enfrentar los desafíos que plantea la IA generativa.
  • Asegurar que la configuración inicial de cualquier plataforma automatizada proteja al máximo la información de las personas.

Es por ello, que la gobernanza de datos en la era generativa implica plantear criterios claros sobre consentimiento informado, minimización y uso ético de datos en procesos automatizados. Además de alinearse con los principios de transparencia, proporcionalidad y accountability promovidos por el Convenio 108+. 

¿Qué es el Convenio 108+?

El Convenio 108+ es un tratado internacional de protección de datos personales, impulsado por el Consejo de Europa, que actualiza y reemplaza al histórico Convenio 108 de 1981. 

A diferencia de muchas normas nacionales, tiene carácter vinculante, lo que significa que los Estados que lo ratifican asumen obligaciones jurídicas concretas.

Su finalidad es clara: garantizar el respeto de los derechos y libertades fundamentales, en particular el derecho a la vida privada, frente al tratamiento automatizado de datos personales. Esto incluye tanto al sector público como al privado y abarca todas las etapas del ciclo de vida del dato.

La nueva versión del convenio no solo moderniza definiciones, sino que introduce nuevas obligaciones, amplía derechos y adapta el marco normativo a fenómenos como el big data, la inteligencia artificial y los flujos internacionales de información.

El Convenio 108+ en el escenario internacional

Uno de los aspectos más estratégicos del Convenio 108+ es su vocación global. Aunque nace en el ámbito del Consejo de Europa, el tratado está abierto a la adhesión de cualquier país del mundo, diferenciándose de otros esquemas regionales.

Esto lo convierte en un estándar internacional de referencia, especialmente relevante para países que buscan integrarse a la economía digital global sin perder soberanía regulatoria. 

Más aún, en un mundo donde los datos no reconocen fronteras, y donde contar con reglas comunes es esencial para facilitar el comercio, la cooperación y la protección de derechos.

De todos modos, debemos tener en cuenta que el Convenio 108+ entrará plenamente en vigor cuando alcance 38 países firmantes. Al inicio del año 2026 faltan solo 4 adhesiones, lo que indica que su activación es inminente. 

Este dato refuerza la idea de que el convenio no es una hipótesis futura, sino una realidad próxima.

Argentina y el Convenio 108+: estado actual

Argentina ocupa una posición destacada en este proceso. En 2022, el Congreso Nacional aprobó el Convenio 108+, que fue promulgado como la Ley 27.699, tras un proceso legislativo impulsado por la Agencia de Acceso a la Información Pública.

Con esta ratificación, Argentina no solo reafirmó su pertenencia al Convenio 108 original, sino que se comprometió formalmente con su versión modernizada. 

Este paso tiene un fuerte valor simbólico y práctico: posiciona al país dentro del grupo de Estados que adoptan estándares elevados de protección de datos.

Si bien la Ley 25.326 de protección de datos personales sigue vigente, el Convenio 108+ introduce un nuevo marco de interpretación que impacta en la actuación de autoridades, organismos públicos y empresas.

Convenio 108+: el marco regulatorio que se viene

El Convenio 108+ debe entenderse como el nuevo piso normativo internacional en materia de protección de datos. Su objetivo no es reemplazar a las leyes nacionales, sino establecer principios mínimos comunes que todos los Estados parte deben respetar.

En la práctica, funciona como una hoja de ruta para la modernización normativa. Países con legislaciones desactualizadas se ven impulsados a reformarlas, mientras que aquellos con marcos más avanzados encuentran en el Convenio un respaldo internacional.

Para organizaciones que operan en entornos digitales, este tratado marca una tendencia clara: la protección de datos será cada vez más exigente, transversal y estratégica. 

Adaptarse temprano no solo reduce riesgos legales, sino que fortalece la confianza de usuarios y socios comerciales.

Impacto directo en Argentina: exigencias similares al GDPR

Uno de los puntos más relevantes del Convenio 108+ es su fuerte alineación con el Reglamento General de Protección de Datos de la Unión Europea (GDPR). Aunque no lo replica exactamente, comparte principios, enfoques y obligaciones centrales.

Esto genera un impacto directo en Argentina, dónde las organizaciones deberían comenzar a operar bajo estándares similares a los europeos. 

Un escenario especialmente relevante para empresas que:

  • Tratan grandes volúmenes de datos personales
  • Operan en mercados internacionales
  • Brindan servicios digitales o basados en tecnología

El mensaje es claro: el cumplimiento ya no puede limitarse a lo estrictamente local. 

Una persona trabaja sobre una computadora. En la pantalla pueden verse íconos vinculados a seguridad.
Argentina no solo reafirmó su pertenencia al Convenio 108 original, sino que se comprometió formalmente con su versión modernizada.

Principios históricos que se mantienen vigentes

El Convenio 108 original estableció principios que siguen siendo la columna vertebral del sistema de protección de datos. El 108+ los reafirma y fortalece.

Entre ellos se destacan la licitud, la finalidad específica, la minimización de datos y la limitación temporal del almacenamiento. 

Estos principios buscan evitar prácticas abusivas, como la recolección masiva sin propósito claro o la conservación indefinida de información personal.

Su vigencia demuestra que, aunque la tecnología evoluciona, ciertos valores —como el respeto por la privacidad y la proporcionalidad— siguen siendo esenciales.

Cambios clave del Convenio 108+: qué lo hace diferente

La verdadera diferencia del Convenio 108+ no está solo en actualizar definiciones, sino en cambiar la lógica con la que las organizaciones deben abordar la protección de datos personales. 

El convenio deja atrás un enfoque reactivo, basado en cumplir requisitos mínimos o corregir problemas una vez ocurridos, y propone un modelo preventivo, proactivo y basado en la responsabilidad.

En este nuevo esquema, la protección de datos pasa a integrarse en el corazón de las decisiones tecnológicas y de negocio. 

Conceptos como privacy by design, privacy by default, la notificación de incidentes de seguridad y el principio de accountability reflejan este cambio de paradigma. 

Ya no se trata solo de cumplir la norma, sino de gestionar los datos personales de manera consciente, transparente y demostrable, acorde a los riesgos y a la complejidad de la economía digital.

Analicemos cada uno de los conceptos mencionados:

– Privacy by design y privacy by default

El enfoque de privacy by design implica un cambio cultural profundo: la protección de datos debe integrarse desde el inicio en el diseño de productos, servicios y procesos. No se trata de “corregir” después, sino de prevenir riesgos desde el origen.

El privacy by default complementa esta idea, estableciendo que la configuración inicial de sistemas debe ser la más protectora posible. De esta manera, se reduce la exposición innecesaria de datos y empodera a las personas usuarias.

– Notificación de incidentes de seguridad

El Convenio 108+ introduce la obligación de notificar incidentes de seguridad, reconociendo que las brechas de datos son una realidad creciente. 

La clave ya no es solo evitar incidentes, sino gestionarlos de forma transparente y responsable.

Esta exigencia fortalece la confianza pública y obliga a las organizaciones a mejorar sus capacidades de detección, respuesta y comunicación frente a eventos de seguridad.

– Accountability: responsabilidad demostrable

Cómo explica Facundo Malaureille Peltzer, co-fundador y Privacy Manager de Data Governance Latam, se trata de un principio clave que se usa desde la entrada en vigencia del Reglamento General de Protección de Datos Personales en Europa (RGPD).

Consiste en una obligación legal y ética que recae sobre las organizaciones que procesan datos personales, y que apunta a asumir la responsabilidad por la protección de dichos datos y el cumplimiento de las normativas y estándares aplicables.

Hoy en día, una organización se distingue de otra, independientemente de una oficina, una marca o el rico café que puede servir en una sala de reuniones, por el tratamiento ético de sus datos personales. 

Es decir, independientemente de que exista una ley que obligue a tratar datos personales, exige que cada organización cuente con políticas internas que los protejan.

El principio de accountability redefine el cumplimiento normativo. No alcanza con declarar que se protege la privacidad: las organizaciones deben demostrarlo con hechos.

Implica documentar decisiones, evaluar riesgos, implementar políticas internas y capacitar a los equipos. Así, la protección de datos se convierte así en un componente central de la gobernanza organizacional.

Nuevos derechos y categorías de datos

El Convenio 108+ amplía de manera significativa el concepto tradicional de datos sensibles, incorporando de forma explícita categorías como los datos genéticos y biométricos, cuyo uso se ha expandido de forma acelerada a partir del desarrollo de tecnologías de identificación, autenticación y análisis automatizado. Este tipo de información, por su carácter único y permanente, implica riesgos elevados en caso de uso indebido, filtraciones o reutilización no autorizada.

En paralelo, el 108+ profundiza las exigencias vinculadas a la anonimización, seudonimización y destrucción de datos personales, estableciendo que la conservación de información debe limitarse estrictamente a lo necesario para la finalidad que justificó su recolección. De este modo, se busca evitar la acumulación indefinida de datos y promover una gestión responsable de todo su ciclo de vida, alineada con los principios de minimización, proporcionalidad y accountability.

Un hacker trabaja con dos computadoras.
Independientemente de que exista una ley que obligue a tratar datos personales, exige que cada organización cuente con políticas internas que los protejan.

Transferencias internacionales y cooperación entre Estados

En un mundo interconectado, los datos cruzan fronteras constantemente. El Convenio 108+ establece reglas claras para las transferencias internacionales, buscando garantizar un nivel de protección equivalente en los países de destino.

Asimismo, fortalece la cooperación entre autoridades de control, facilitando la asistencia mutua y la defensa de los derechos de las personas. Incluso cuando los tratamientos de datos involucran múltiples jurisdicciones.

El Convenio 108+ como base de la confianza digital

El Convenio 108+ no es solo una norma jurídica: es una declaración de principios sobre cómo debe desarrollarse la economía digital respetando los derechos humanos.

En relación a Argentina, representa una oportunidad estratégica para consolidar su inserción internacional y modernizar su enfoque regulatorio. 

Respecto de las organizaciones, es una señal clara de hacia dónde se dirige el cumplimiento en protección de datos.

En la era digital, la confianza es un activo clave y el Convenio 108+ se presenta como uno de los pilares fundamentales para construirla de manera sostenible y a largo plazo.

Agendá una reunión con nuestro equipo de especialistas en gobierno de datos.

es_ES
es_ES es_AR en_US