Compliance en la economía digital: Los nuevos riesgos y obligaciones para empresas en Argentina y Uruguay

El uso de las nuevas tecnologías conlleva la exposición a nuevos riesgos estrechamente vinculados a la protección de datos y al uso ético de inteligencia artificial (IA)./ Unsplash - Alexander Lunyov.
Opinión
El uso de las nuevas tecnologías conlleva la exposición a nuevos riesgos estrechamente vinculados a la protección de datos y al uso ético de inteligencia artificial (IA)./ Unsplash - Alexander Lunyov.

18/11/2025
Por
Gustavo Paspechi y Carla Arellano*

Compartir en RRSS

X
Para recibir nuestro boletín diario,
¡suscríbete aquí!
La ventaja competitiva ya no reside en tener políticas escritas con el objetivo de cumplimiento regulatorio, sino en anticipar y gestionar los riesgos que presentan las nuevas tecnologías.
Fecha de publicación: 18/11/2025
Etiquetas: Argentina, uruguay, Compliance, Cumplimiento, riesgos empresariales, protección de datos, inteligencia artificial, Activos Virtuales, lavado de activos, PSAV, Ciberseguridad

La economía digital reconfiguró el mapa de riesgos empresariales en Argentina y Uruguay. La principal exposición ya no radica solo en el incumplimiento normativo, sino en la fragilidad de activos intangibles, cuyo deterioro o afectación está diametralmente vinculada a la reputación y la integridad de la empresa. 

La expansión de los servicios financieros digitales, los pagos instantáneos y la irrupción de los activos virtuales generaron nuevos canales de exposición a la comisión de delitos financieros, como el cohecho, fraude informático y el lavado de activos. 

En este contexto, el compliance enfrenta el desafío de traducir los principios tradicionales de transparencia y trazabilidad a un entorno donde las transacciones son descentralizadas y los beneficiarios difusos.

 

Asimismo, el uso de las nuevas tecnologías conlleva la exposición a nuevos riesgos estrechamente vinculados a la protección de datos y al uso ético de inteligencia artificial (IA), entendiéndose a los riesgos cibernéticos como el principal riesgo percibido por las empresas y a las fugas de información como un vector crítico de exposición para las empresas. 

En este contexto, los riesgos de transparencia no se reducen a sanciones administrativas o penales. Un ciberataque, una filtración de datos o el uso no controlado de IA, pueden comprometer la reputación y continuidad de la empresa tanto como una sanción administrativa. La efectividad del compliance hoy, requiere un enfoque transversal que unifique riesgos tecnológicos, financieros, operacionales y reputacionales bajo un mismo modelo de gobierno.

Te sugerimos leer: Los nuevos escenarios del compliance en Latinoamérica, la visión de Rodrigo Albagli

Economía digital y PLA/FT/FP 

En cuanto a lo regulatorio, la economía digital ha impulsado una convergencia entre las agendas de transparencia y la Prevención de Lavado de Activos, Financiamiento del Terrorismo y Financiación de la Proliferación de Armas de Destrucción Masiva (PLA/FT/FP). En Argentina la Ley 25.246, la Ley Antilavado, fue modificada en el año 2024, habiéndose incorporado a supuestos propios del mundo Fintech como: a los Proveedores de Servicios de Activos Virtuales (PSAV) y a los emisores, operadores y proveedores de servicios de cobros y/o pagos, y a los proveedores no financieros de crédito (en adelante, PSP). Por su parte, en el mismo año la UIF, dictó las resoluciones 49/2024 y la 200/2024 que establecen las obligaciones específicas para los PSAV y PSP, respectivamente, entre las cuales se encuentra la obligación de ejercer la debida diligencia de clientes y de socios comerciales, y el deber de monitoreo y de reporte de operaciones relacionadas a la LA/FT/FP, bajo riesgo de que se impongan sanciones administrativas ante incumplimientos. 

En Uruguay, la Ley 20.345 sobre Activos Virtuales, otorga facultades al Banco Central del Uruguay (BCU) para regular a los proveedores de servicios de activos virtuales. El 21/8/2025 el BCU publicó un proyecto normativo que reglamenta tanto la figura del proveedor de servicios de activos virtuales financiero como el no financiero, estableciendo para ambos la obligación de cumplir con la normativa LA/FT/FP, la cual entre otras obligaciones establece el deber de contar con políticas sobre prevención en LA/FT/FP, designar a un oficial de cumplimiento, realizar la debida diligencia de los clientes, monitoreo de las operaciones y reporte de operaciones sospechosas, donde el incumplimiento puede acarrear sanciones administrativas que van desde la observación, apercibimiento, multa, hasta suspensión de licencias para ejercer la actividad.

Puede interesarte: ¿Cómo Argentina, El Salvador y Perú intentan regular a los proveedores de servicios de activos virtuales (PSAV)?

Es de esperar la pronta sanción normativa del mencionado proyecto. El marco regulatorio de la PLA/FT/FP y la participación en redes internacionales de intercambio de información, producto de la participación de la Argentina y Uruguay en el grupo Egmont, consolidó un enfoque preventivo en el ámbito del compliance adaptado a los nuevos flujos digitales. Esta evolución normativa se incorpora, en Argentina, a la existente estructura de cumplimiento en materia de transparencia y anticorrupción establecido por la Ley 27.401, por la cual las empresas son penalmente responsables por delitos relacionados a la corrupción cometidos en su beneficio, y por la cual, se introdujo a los programas de integridad como elemento fundamental de gobernanza corporativa para la prevención de ilícitos y la eximición de responsabilidad de las empresas. 

En Uruguay, no se cuenta con normativa específica que regule programas de integridad en materia de anticorrupción en el sector privado, no regulándose tampoco de forma específica la corrupción en el sector privado ni la responsabilidad penal de las empresas en esa materia. No obstante, cada día más empresas de mediano y gran porte, cuentan con programas de integridad en temas de transparencia y anticorrupción. 

Por otra parte, Uruguay contribuye a que este incremento significativo en el trasiego de información sea transparente, a través de la Ley 18.381 que garantiza el acceso a la información, al establecer que toda información en posesión de un organismo público tiene el carácter de pública, salvo excepciones legales. Toda persona puede solicitar el acceso a esa información de carácter público, sin ser necesario justificar el motivo de la solicitud. La solicitud se realiza en forma online y el plazo de respuesta es de 20 días hábiles, prorrogables en casos excepcionales. 

Puede interesarte: Ley de Emisión de Activos Digitales abre nuevos caminos de financiamiento en El Salvador

Economía digital y protección de datos personales  

En cuanto a la protección de datos en Argentina, este encuentra su anclaje constitucional en el reconocimiento del derecho a la privacidad. Sobre esta base, la Ley 25.326, la Ley de Protección de Datos Personales, (en adelante LPDP), opera como la norma marco en privacidad: impone deberes de seguridad y confidencialidad, derechos de acceso, rectificación, actualización y supresión, con tutela reforzada de datos sensibles.  

Por su parte Uruguay  a nivel país, aprobó la Estrategia Nacional de Datos la cual promueve la protección y el uso responsable de los datos personales con el fin de incrementar la transparencia, la rendición de cuentas, la participación ciudadana y la eficiencia en la prestación de los servicios públicos. 

Adicionalmente, en materia de protección de datos personales, la Ley 18.331 y su reglamentación (Decretos 414/009 y 64/020) establecen principios de seguridad y responsabilidad proactiva (privacidad desde el diseño y evaluaciones de impacto) en el tratamiento de los datos. Las vulneraciones de seguridad deben informarse a la Unidad Reguladora y de Control de Datos Personales (URCDP), la que coordinará el curso de acción que corresponda con el Centro Nacional de Respuesta a Incidentes de Seguridad Informática del Uruguay (CERTuy). 

 

Aquí puedes suscribirte a nuestros boletines

Economía digital e IA

En materia de IA en Argentina actualmente no hay una regulación en sentido formal, si no que la AAIP, autoridad de aplicación de la LDPD, publicó en 2024 una guía técnica y de gobernanza que introduce parámetros de transparencia alineados con mejores prácticas internacionales. En ciberseguridad, predomina un enfoque sectorial, por ejemplo los lineamientos del Banco Central (Com. “A” 7724) sobre resiliencia tecnológica y un plexo normativo heterogéneo que no aborda la cuestión de manera integral sino más bien accesoria a temáticas particulares —leyes referidas a la firma digital, grooming, protección frente a tratamiento automatizado— sin un sistema regulatorio único ni obligaciones transversales para empresas. Es decir, se nota un avance de las nuevas tecnologías desproporcional a la evolución regulatoria, quedando analógicamente la IA como la ciberseguridad bajo la autoridad supletoria de la AAIP. 

En igual sentido, en Uruguay no existe una ley específica que regule la IA, encontrándose en proceso el desarrollo de un marco normativo. La Estrategia Nacional de Inteligencia Artificial 2024-2030, aprobada en diciembre de 2024, sienta las bases para una regulación futura enfocada en el uso ético y responsable, la protección de derechos y el impulso de la innovación. 

Uruguay ha avanzado en materia legislativa y de políticas públicas en ciberseguridad. La Estrategia Nacional de Ciberseguridad 2024–2030 (ENC) define una hoja de ruta que incluye el fortalecimiento de la gobernanza y el marco normativo, el Registro Nacional de Incidentes de Ciberseguridad (RENIC), la certificación y conformidad, la protección de Infraestructuras de Información Crítica (IIC), y la evolución del ecosistema de firma e identificación digital.  La ENC también contempla la cooperación internacional y la participación de Uruguay en foros multilaterales, así como la alineación con estándares internacionales. En este contexto, se destaca la reciente adopción de la Ley 20.327 sobre prevención y represión de ciberdelitos, que tipifica los principales delitos informáticos y adapta la legislación nacional a los estándares internacionales, en particular a la Convención de Budapest sobre Ciberdelincuencia. Esta ley establece mecanismos para la investigación, persecución y sanción de conductas ilícitas en el ciberespacio, así como medidas de cooperación internacional y acciones de prevención y educación en la materia. 

En el plano regulatorio, el Decreto 66/025, sobre Seguridad de la Información y Ciberseguridad, reglamenta las competencias de la Dirección de Seguridad de la Información de la Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento de Uruguay (AGESIC) y del CERTuy, y fija obligaciones para todas las entidades públicas y para las entidades privadas vinculadas a servicios o sectores críticos del país (definidos en el mencionado Decreto), incluyendo la adopción del Marco de Ciberseguridad de AGESIC, designación de responsable de seguridad, auditorías, conservación de trazas y reporte de incidentes en 24 horas al CERTuy. La Ley 20.212 crea el Registro Nacional de Incidentes de Ciberseguridad y refuerza la institucionalidad.

Lee también: Chile transforma su estrategia digital con la Ley 21.663 y el Plan Nacional de Ciberseguridad 2023–2028

A modo de conclusión

En ambos países la tendencia es clara: el cumplimiento deja de ser reactivo para volverse predictivo ante la desproporción entre el avance de las nuevas tecnologías y el avance regulatorio en materia de ciberseguridad y uso de nuevas tecnologías. En Argentina y Uruguay, a la fecha y en forma genérica para las empresas, no es exigible que los programas de compliance integren elementos de gobernanza tecnológica, gestión de datos e IA, y/o resiliencia operativa en materia de protección de datos. 

No obstante ello, la inclusión de estos temas en los programas de compliance comienza a notarse progresivamente en las empresas, donde se parte de la premisa que no se trata sólo de evitar sanciones, sino de sostener confianza en un entorno donde cada transacción implica una apuesta reputacional. La ventaja competitiva ya no reside en tener políticas escritas con el objetivo de cumplimiento regulatorio, sino en anticipar y gestionar los riesgos que presentan las nuevas tecnologías mediante sistemas de protección de datos robustos, políticas de uso de IA, y manteniendo una comunicación clara a nivel interno y externo. Esto no solo a fin de reducir riesgos, sino para consolidar confianza. Frente a los desafíos que plantea la economía digital, se visualizan oportunidades para aquellos que se anticipen y tomen decisiones estratégicas en este tema.

*Gustavo Paspechi es socio de Beccar Varela y Carla Arellano es consejera de Ferrere - Uruguay.

Add new comment

About text formats

HTML Restringido

  • Allowed HTML tags: <a href hreflang> <em> <strong> <cite> <blockquote cite> <code> <ul type> <ol start type> <li> <dl> <dt> <dd> <h2 id> <h3 id> <h4 id> <h5 id> <h6 id>
  • Lines and paragraphs break automatically.
  • Web page addresses and email addresses turn into links automatically.

© El contenido de LexLatin, incluyendo todas sus imágenes, ilustraciones, diseños, fotografías, videos, íconos y material escrito, está protegido por derechos de autor, marcas y demás derechos de la propiedad intelectual, y es publicado para sus suscriptores y lectores con propósitos informativos únicamente. No se permite la reproducción, modificación, copia, distribución, reedición, transmisión, proyección o explotación de cualquier forma de los materiales o contenido publicado por LexLatin, a menos que el interesado obtenga la autorización escrita de LexLatin.