Normativa de Protección de Datos Financieros con IA en Argentina: Guía Completa 2026

La implementación de inteligencia artificial en cobranza presenta desafíos regulatorios únicos en Argentina. Con la convergencia de la Ley de Protección de Datos Personales (LPDP 25.326), las normativas del BCRA y las nuevas directrices sobre IA, las empresas financieras enfrentan un panorama complejo pero navegable. En Kleva, hemos procesado más de 900,000 minutos mensuales de conversaciones financieras en 7 países LATAM manteniendo cero violaciones regulatorias, lo que nos permite compartir insights prácticos sobre compliance en este ecosistema.

Este artículo desglosa la normativa aplicable, obligaciones específicas para voice agents de cobranza, y estrategias probadas para operar dentro del marco legal argentino. La protección de datos financieros no es solo una obligación legal, es un diferenciador competitivo en un mercado donde la confianza del consumidor determina el éxito de la recuperación de cartera.

Marco Normativo Argentino para Datos Financieros con IA

Argentina opera bajo un sistema de protección de datos de nivel adecuado reconocido por la Unión Europea desde 2003. La base legal incluye la LPDP 25.326 (2000), su decreto reglamentario 1558/2001, y disposiciones sectoriales del BCRA que regulan específicamente el tratamiento de datos financieros. Para sistemas de IA, se suman consideraciones de la Comunicación "A" 6581 del BCRA sobre gestión de riesgos tecnológicos.

La Agencia de Acceso a la Información Pública (AAIP) actúa como autoridad de aplicación, con capacidad sancionatoria que incluye multas de hasta $100,000,000 ARS según la gravedad de la infracción. En el contexto de cobranza, el dato financiero califica como dato sensible patrimonial, requiriendo consentimiento expreso y medidas de seguridad reforzadas. Los voice agents que procesan estos datos en tiempo real deben cumplir con estándares técnicos específicos de encriptación, trazabilidad y derecho de acceso.

NormativaAlcance para IA en CobranzaObligaciones ClaveSanciones

LPDP 25.326Tratamiento de datos personales y financierosConsentimiento, finalidad, confidencialidad, seguridadHasta $100M ARS

BCRA Com. A 6581Gestión de riesgos tecnológicos en entidades financierasEvaluación de riesgos IA, auditoría de algoritmosInhabilitación operativa

BCRA Com. A 5394Protección de usuarios de servicios financierosTransparencia en cobranza automatizada, opt-outMultas variables

Defensa Consumidor 24.240Trato digno, información clara en cobranzaProhibición de acoso, derecho a informaciónMultas + cese actividad

Dato Financiero vs. Dato Sensible: Diferencias Críticas

La LPDP argentina distingue entre datos personales comunes y datos sensibles. Los datos financieros del deudor (monto adeudado, historial de pagos, capacidad de pago) califican como datos patrimoniales sensibles bajo el artículo 2 de la ley. Esto implica que su tratamiento requiere consentimiento libre, expreso e informado, no siendo suficiente el consentimiento tácito aceptado para datos comunes.

Para voice agents, esto significa que antes de la primera interacción debe existir una base legal que autorice el procesamiento. Típicamente esta base es el contrato de crédito original donde el deudor consintió la gestión de cobranza. Sin embargo, el uso de IA introduce un nuevo tratamiento que puede requerir información adicional al titular sobre el procesamiento automatizado, especialmente si hay toma de decisiones sin intervención humana.

Obligaciones Específicas para Voice Agents en Cobranza

Los voice agents que operan en cobranza procesan datos personales en tiempo real, toman decisiones basadas en modelos de lenguaje, y generan registros de audio que constituyen datos biométricos de voz. La AAIP considera estos sistemas como tratamiento automatizado de datos sujeto a obligaciones especiales bajo el artículo 27 del decreto 1558/2001.

En Kleva, nuestros voice agents operan en 7 países LATAM con cero violaciones regulatorias gracias a una arquitectura de compliance by design. Procesamos más de 900,000 minutos mensuales manteniendo 94% de resolución en primera llamada mientras cumplimos con cuatro pilares regulatorios: transparencia algorítmica, derecho de acceso, limitación de finalidad, y seguridad de datos.

Transparencia y Derecho de Información

El artículo 6 de la LPDP exige que el titular sea informado de manera expresa, precisa e inequívoca sobre el tratamiento de sus datos. Para voice agents, esto se traduce en tres momentos de información: (1) notificación previa al contacto indicando que se utilizará un sistema automatizado, (2) identificación al inicio de la llamada como sistema de IA, y (3) disponibilidad de información sobre la lógica del algoritmo si el titular lo solicita.

La Disposición AAIP 4/2019 sobre información al titular establece que debe comunicarse: identidad del responsable, finalidad del tratamiento, destinatarios de los datos, existencia de decisiones automatizadas, y derechos del titular. Nuestros voice agents cumplen esto mediante un script de apertura estandarizado que informa sobre el carácter automatizado de la gestión y el derecho a solicitar intervención humana.

Decisiones Automatizadas y Derecho a Revisión Humana

El artículo 27 inciso 3 del decreto reglamentario otorga al titular el derecho a conocer la existencia y finalidad de decisiones automatizadas que lo afecten. En cobranza, esto aplica cuando el voice agent decide estrategias de negociación, aprueba planes de pago, o categoriza el riesgo del deudor sin supervisión humana.

La mejor práctica regulatoria incluye: (1) umbrales de decisión automatizada (por ejemplo, planes de hasta 6 cuotas sin aprobación humana), (2) derecho explícito a solicitar revisión humana comunicado en cada interacción, y (3) trazabilidad completa de las decisiones del algoritmo. En Kleva, nuestro sistema garantiza que cualquier deudor puede escalar a un operador humano en cualquier momento, con el contexto completo de la conversación preservado.

Seguridad de Datos y Procesamiento de Voz

El registro de voz generado por voice agents constituye un dato biométrico bajo interpretaciones de la AAIP, requiriendo medidas de seguridad reforzadas. La Disposición AAIP 11/2006 sobre medidas de seguridad establece tres niveles (básico, medio, crítico), aplicando el nivel crítico a datos sensibles y financieros.

Para voice agents, el nivel crítico implica: encriptación en tránsito y reposo (AES-256 o superior), control de acceso basado en roles con autenticación multifactor, registro de auditoría inmutable, y evaluación de vulnerabilidades periódica. El audio de las conversaciones debe almacenarse en infraestructura que cumpla con estándares internacionales (ISO 27001, SOC 2) y con residencia de datos en Argentina o países con nivel adecuado de protección.

Aspecto de SeguridadRequisito AAIPImplementación en Voice AgentsEstándar Kleva

EncriptaciónEn tránsito y reposo para datos críticosTLS 1.3 + AES-256 almacenamiento✓ Implementado

Control de accesoPrincipio de mínimo privilegioRBAC + MFA para acceso a grabaciones✓ Implementado

AuditoríaRegistro de accesos y modificacionesLog inmutable de acciones del algoritmo✓ Implementado

RetenciónNo más del necesario para finalidadPolítica de eliminación automatizada90 días default

Transferencia internacionalSolo a países con nivel adecuado o cláusulas contractualesResidencia de datos en LATAM/EU✓ Implementado

Gestión de Incidentes de Seguridad

La Disposición AAIP 4/2019 introdujo la obligación de notificar brechas de seguridad que afecten datos personales. Si un voice agent sufre un incidente que exponga conversaciones de cobranza, el responsable debe notificar a la AAIP dentro de las 72 horas de tomar conocimiento, incluyendo: naturaleza de la brecha, datos afectados, medidas adoptadas, y cronograma de notificación a titulares.

La notificación a titulares es obligatoria cuando el incidente representa un riesgo para sus derechos y libertades. En el contexto financiero, la exposición de datos de deuda típicamente califica para notificación obligatoria. La mejor práctica incluye un plan de respuesta a incidentes específico para sistemas de IA que contemple: aislamiento del modelo comprometido, análisis forense de decisiones algorítmicas anómalas, y comunicación transparente con afectados.

Compliance en Transferencias Internacionales de Datos

Muchas plataformas de voice agents utilizan infraestructura en la nube con servidores en múltiples jurisdicciones. El artículo 12 de la LPDP prohíbe la transferencia internacional de datos personales a países que no proporcionen niveles adecuados de protección, salvo excepciones específicas.

Argentina reconoce como adecuados a la Unión Europea y países con decisiones de adecuación equivalentes. Para transferencias a otros destinos (incluyendo ciertos proveedores cloud en EE.UU.), se requieren cláusulas contractuales estándar aprobadas por la AAIP o mecanismos alternativos como Binding Corporate Rules. En la práctica, esto significa que un voice agent que procese datos argentinos debe: (1) verificar la ubicación de los servidores de procesamiento, (2) implementar cláusulas de transferencia si aplica, y (3) garantizar que los subprocesadores cumplan con niveles equivalentes de protección.

En Kleva, operamos con infraestructura regional en LATAM y Europa, evitando transferencias a jurisdicciones sin nivel adecuado. Nuestros contratos de procesamiento incluyen cláusulas de protección de datos alineadas con estándares GDPR, garantizando que los datos financieros de deudores argentinos nunca salen de zonas de protección equivalente. Esto ha sido fundamental para mantener nuestro historial de cero violaciones regulatorias en operaciones que superan los $5 millones cobrados.

Derechos ARCO y Gestión de Solicitudes

Los titulares de datos tienen derechos ARCO (Acceso, Rectificación, Cancelación, Oposición) bajo los artículos 14-16 de la LPDP. Para voice agents en cobranza, esto presenta desafíos operativos específicos: el derecho de acceso implica entregar transcripciones y metadatos de decisiones algorítmicas, el derecho de rectificación puede requerir reentrenamiento del modelo si se basó en datos incorrectos, y el derecho de oposición permite al deudor rechazar el tratamiento automatizado.

El plazo legal para responder solicitudes ARCO es 10 días hábiles desde la recepción. La experiencia operativa muestra que las solicitudes más comunes en cobranza son: (1) acceso a grabaciones de llamadas del voice agent, (2) rectificación de saldos adeudados, y (3) oposición al contacto automatizado. Un sistema de gestión de ARCO efectivo incluye: formularios estandarizados, verificación de identidad del solicitante, búsqueda automatizada en bases de datos de conversaciones, y procedimientos de escalamiento para casos complejos.

Derecho de Oposición a Decisiones Automatizadas

El artículo 27 inciso 3 del decreto reglamentario establece un derecho específico de oposición a decisiones basadas únicamente en tratamiento automatizado que produzcan efectos jurídicos o afecten significativamente al titular. En cobranza, la negativa de un plan de pago por un voice agent sin revisión humana califica como decisión que afecta significativamente.

La implementación práctica incluye: (1) informar el derecho al inicio de cada interacción, (2) proporcionar un mecanismo sencillo de ejercicio (comando de voz o marcación de dígito), y (3) garantizar que la solicitud derive inmediatamente a revisión humana. Nuestros voice agents en Kleva logran 94% de resolución en primera llamada precisamente porque la mayoría de los deudores confían en el sistema automatizado cuando conocen que tienen control sobre el proceso.

Estrategias de Implementación Compliance by Design

El cumplimiento normativo efectivo en voice agents no se logra mediante auditorías posteriores, sino a través de compliance by design: arquitectura técnica y procesos que incorporan protección de datos desde la concepción. Basados en nuestra experiencia operando en 7 países LATAM con cero violaciones, recomendamos cinco pilares de implementación.

Primero, minimización de datos: el voice agent debe procesar únicamente los datos estrictamente necesarios para la gestión de cobranza. Esto significa evitar solicitar información sensible no relacionada (situación de salud, creencias religiosas) y limitar el acceso del modelo a campos específicos del registro del deudor. Segundo, anonimización en entrenamiento: los datasets utilizados para entrenar o afinar el modelo deben estar anonimizados, eliminando identificadores directos e indirectos que permitan reidentificación.

Tercero, evaluación de impacto en protección de datos (EIPD): aunque no es obligatoria por ley en Argentina, la AAIP recomienda EIPD para tratamientos que impliquen alto riesgo. Los voice agents que toman decisiones automatizadas sobre deuda califican para EIPD voluntaria. Cuarto, contratos de procesamiento: si el voice agent es provisto por un tercero, debe existir un contrato de procesamiento de datos que cumpla con el artículo 25 del decreto reglamentario, definiendo obligaciones, plazos de conservación, y medidas de seguridad. Quinto, capacitación continua: los equipos que supervisan el voice agent deben recibir formación actualizada en normativa de protección de datos y gestión de incidentes.

Auditoría y Certificación de Algoritmos

La Comunicación "A" 6581 del BCRA exige a entidades financieras realizar auditorías de algoritmos que afecten decisiones sobre clientes. Aunque esta normativa aplica directamente solo a entidades reguladas por el BCRA, representa la mejor práctica para cualquier empresa que implemente IA en cobranza de deuda financiera.

Una auditoría efectiva de voice agent incluye: (1) revisión de sesgo algorítmico que pueda generar discriminación por género, edad, o ubicación geográfica, (2) evaluación de precisión del modelo en detección de promesas de pago y categorización de riesgo, (3) análisis de trazabilidad de decisiones (explicabilidad), y (4) verificación de controles de seguridad de datos. En Kleva, realizamos auditorías trimestrales de nuestros modelos, documentando métricas como tasa de falsos positivos en detección de promesas (mantenida bajo 5%) y tasas de escalamiento a humano por categoría de consulta.

Casos Prácticos y Lecciones de Implementación

La implementación de voice agents en Argentina presenta escenarios prácticos que ilustran la aplicación de la normativa. Caso 1: Deudor solicita eliminar grabación de llamada. Un deudor contacta ejerciendo derecho de cancelación sobre el audio de una conversación con el voice agent. La empresa debe evaluar si existe obligación legal de conservar la grabación (por ejemplo, normativa bancaria de conservación de registros). Si no existe tal obligación, debe proceder a la eliminación dentro de los 10 días hábiles. Si existe obligación de conservación, debe informar al deudor la base legal que justifica mantener el dato a pesar de su solicitud.

Caso 2: Voice agent ofrece descuento no autorizado. Un modelo de IA en cobranza, entrenado con conversaciones reales, aprende a ofrecer descuentos para cerrar acuerdos. Sin embargo, ofrece una quita del 50% no contemplada en las políticas de la empresa. El deudor acepta y luego la empresa intenta retractarse. Desde la perspectiva de protección de datos, el problema es dual: (1) el modelo accedió a datos de políticas internas que debieron estar segregados, y (2) la decisión automatizada generó un efecto jurídico sin revisión humana. La solución incluye control de acceso granular a datos del modelo y umbrales de decisión automatizada que requieran aprobación humana para condiciones fuera de rangos predefinidos.

Caso 3: Transferencia internacional no documentada. Una empresa argentina implementa un voice agent de un proveedor internacional que procesa llamadas en servidores de EE.UU. sin cláusulas de transferencia internacional. Un deudor presenta queja ante la AAIP. La empresa enfrenta sanción por transferencia ilegal de datos sensibles. La lección: antes de contratar un proveedor de voice agent, debe realizarse due diligence de ubicación de datos y establecerse cláusulas contractuales de transferencia si los servidores están fuera de Argentina o jurisdicciones adecuadas.

Métricas de Compliance y KPIs Regulatorios

El monitoreo continuo de compliance requiere métricas objetivas. Para voice agents en cobranza, recomendamos trackear: (1) tiempo promedio de respuesta a solicitudes ARCO (target:

En Kleva, mantenemos un dashboard de compliance que alimenta nuestros reportes de auditoría trimestral. Nuestro récord de cero violaciones regulatorias en más de 900,000 minutos mensuales de conversaciones es resultado directo del monitoreo proactivo de estos KPIs. Cuando una métrica se desvía del target, se activa un protocolo de investigación inmediata que ha permitido detectar y corregir desviaciones antes de que escalen a incidentes regulatorios.

Tendencias Regulatorias 2026 y Preparación Futura

La regulación de IA en Argentina está evolucionando. El proyecto de Ley de Inteligencia Artificial en discusión en el Congreso introduce requisitos específicos para sistemas de IA de alto riesgo, categoría que incluiría voice agents en cobranza. Las obligaciones proyectadas incluyen: registro de sistemas de IA ante autoridad competente, evaluaciones de conformidad periódicas, y requisitos de transparencia algorítmica ampliados.

Adicionalmente, la AAIP ha indicado intención de emitir guías específicas para IA y datos personales durante 2026, alineándose con el AI Act europeo. Las empresas que implementan voice agents deben prepararse para: (1) mayor exigencia en explicabilidad de decisiones algorítmicas, (2) obligaciones de evaluación de impacto en derechos humanos (más allá de protección de datos), y (3) potencial derecho de los deudores a obtener explicaciones individuales de decisiones automatizadas.

La estrategia de preparación incluye: implementar sistemas de documentación de decisiones algorítmicas que permitan generar explicaciones post-hoc, adoptar frameworks de gobernanza de IA (como ISO 42001 en desarrollo), y establecer comités internos de ética de IA que evalúen casos límite antes de que se conviertan en controversias regulatorias. Las empresas que adopten estándares anticipatorios no solo evitarán sanciones futuras, sino que obtendrán ventajas competitivas en un mercado donde la confianza regulatoria es un activo comercial.

Convergencia LATAM y Estándares Regionales

Argentina es uno de los líderes regulatorios en LATAM en protección de datos. Otros países de la región (Uruguay, Chile, Colombia) han adoptado frameworks similares basados en principios GDPR. Para empresas que operan voice agents en múltiples países, como Kleva con presencia en 7 países LATAM, la tendencia es hacia armonización regulatoria regional.

La Red Iberoamericana de Protección de Datos (RIPD) está trabajando en estándares comunes para IA y datos personales. Las empresas pueden anticipar esta convergencia adoptando el estándar más exigente de los países donde operan como baseline regional. Por ejemplo, si Argentina exige notificación de brechas en 72 horas y otro país en 96 horas, adoptar 72 horas como estándar regional simplifica compliance y reduce riesgo de error por gestión fragmentada.

Nuestros voice agents operan bajo un marco de compliance unificado que cumple con los requisitos más estrictos de los 7 países LATAM donde tenemos presencia. Esto no solo garantiza cumplimiento, sino que reduce costos operativos al evitar personalizaciones por país. El resultado: 70% de reducción en costos de cobranza versus operaciones tradicionales, mientras mantenemos 73% de recovery rate y cero violaciones regulatorias en toda la región.