La Corte Suprema declaró inconstitucionales las excepciones que permitían al Estado compartir datos personales entre organismos sin el consentimiento del titular. Un fallo estructural que redefine los límites del poder estatal sobre la información privada.
El Estado no es dueño de los datos que los ciudadanos le confían. Cuando una persona entrega su número de teléfono o su correo electrónico a un organismo público para tramitar una jubilación, esa información no pasa a integrar un acervo disponible para cualquier otro uso que el gobierno considere conveniente. Ese principio —aparentemente sencillo— fue el que la Corte Suprema de Justicia de la Nación consagró con fuerza constitucional en su fallo del 30 de abril de 2026 en los autos Torres Abad, Carmen c/ EN – JGM s/ hábeas data (CAF 49482/2016). Al hacerlo, no solo resolvió un conflicto puntual entre una jubilada y el Estado Nacional: declaró inconstitucionales artículos de la Ley 25.326 de Protección de Datos Personales que durante más de dos décadas habilitaron un tráfico interno de información prácticamente sin restricciones.
La Corte Suprema estableció que el consentimiento del titular de los datos para su tratamiento y cesión es una regla de rango constitucional, derivada de los artículos 19 y 43 de la Constitución Nacional. Las excepciones previstas en la ley 25.326 para los organismos estatales son inconstitucionales porque son tan amplias que eliminan la regla en la práctica, afectando de manera desproporcionada el derecho a la autodeterminación informativa.
Los hechos: ANSeS, la Secretaría de Comunicación Pública y la resolución 166E/2016
Carmen Torres Abad, jubilada del sistema de reparto, interpuso una acción de hábeas data cuando tomó conocimiento de la Resolución JGM 166E/2016 de la Jefatura de Gabinete de Ministros. Esa resolución había aprobado un Convenio Marco de Cooperación entre la ANSeS y la Secretaría de Comunicación Pública, en virtud del cual la primera cedería a la segunda los datos contenidos en sus bases consolidadas —incluyendo teléfonos y correos electrónicos de beneficiarios previsionales— con el propósito declarado de «mantener informada a la población» e «identificar y analizar las problemáticas o temáticas de interés en cada localidad».
La actora no cuestionó que la ANSeS pudiera administrar sus datos para los fines previsionales. Su planteo fue preciso: esos datos habían sido proporcionados exclusivamente para tramitar su beneficio jubilatorio, y su transferencia a un organismo de comunicación gubernamental —que podría utilizarlos para contactarla, enviarle mensajes o integrarla en sistemas de análisis de audiencias— excedía absolutamente la finalidad que justificó su recolección. En sus propias palabras, «no brindé esta información para ser molestada o importunada por el Estado».
La Cámara Nacional de Apelaciones en lo Contencioso Administrativo Federal (Sala V) hizo lugar a la acción y ordenó a la ANSeS abstenerse de ceder esos datos en el marco del convenio aprobado por la Resolución 166E/2016. El Estado Nacional recurrió en queja y recurso extraordinario federal, sosteniendo que la ley 25.326 lo habilitaba expresamente a obrar como lo hizo, sin necesidad del consentimiento de la titular. La Corte Suprema confirmó el fallo de la Cámara, pero fue más lejos: en lugar de resolver por vía interpretativa, declaró la inconstitucionalidad de las normas legales en que el Estado pretendía ampararse.
El andamiaje constitucional: autodeterminación informativa y hábeas data
El razonamiento de la Corte se asienta sobre una construcción jurídica que viene desarrollándose desde el leading case Ponzetti de Balbín (Fallos: 306:1892). En ese precedente, el Tribunal afirmó que el artículo 19 de la Constitución Nacional protege «un ámbito de autonomía individual constituida por los sentimientos, hábitos y costumbres, las relaciones familiares, la situación económica, las creencias religiosas, la salud mental y física y, en suma, las acciones, hechos o datos que, teniendo en cuenta las formas de vida aceptadas por la comunidad, están reservadas al propio individuo». Esa esfera de autonomía se proyecta, naturalmente, a los datos personales: conocimiento sobre los datos de una persona, divulgado sin su consentimiento, puede representar «un peligro real o potencial para la intimidad».
La reforma constitucional de 1994 añadió una herramienta específica para la protección de ese espacio. El tercer párrafo del artículo 43 consagró la acción de hábeas data, habilitando a toda persona a conocer los datos que sobre ella consten en registros públicos o privados, y a exigir su supresión, rectificación, confidencialidad o actualización. Pero, como destaca el fallo con apoyo en los debates de la Convención Constituyente, la cláusula tiene un fundamento más profundo: reconoce el derecho a la autodeterminación informativa —también llamado libertad informática—, entendido como la potestad de cada persona de «disponer sobre los datos que a ella se refieran, decidir con quién y con qué alcance quiere compartirlos y, en su caso, controlar el uso que los terceros hagan de ellos».
La Corte extrae de esa premisa una consecuencia de peso: la exigencia del consentimiento del afectado para el tratamiento de sus datos personales no es una creación del legislador ordinario que pueda ser libremente modulada, sino una regla de rango constitucional. Sin el requisito del consentimiento —o sin sustitutos eficaces que garanticen el mismo control— la autodeterminación informativa se vaciaría de contenido: los titulares de los datos deberían rastrear en incontables archivos y bancos de datos para saber qué información existe sobre su persona, quién la posee, qué uso se le dio y con quiénes fue compartida. El derecho constitucional se tornaría, como señala el fallo, en «una mera declamación imposible de hacer valer». En esta misma línea, si el manejo de datos personales en el sector privado genera riesgos jurídicos significativos —algo que analizamos en profundidad al tratar la protección del derecho a la imagen en la era de la inteligencia artificial—, esos riesgos se potencian cuando el sujeto que recopila y transfiere es el propio Estado, con su escala, sus recursos y su poder de coacción.
Las excepciones de la ley 25.326 y por qué la Corte las declaró inconstitucionales
La ley 25.326 establece como principio general que cualquier tratamiento de datos personales requiere el consentimiento libre, expreso e informado del titular (art. 5°, pto. 1). Sin embargo, el artículo 5°, punto 2, inciso b, exime del consentimiento cuando los datos «se recaben para el ejercicio de funciones propias de los Poderes del Estado o en virtud de una obligación legal». Y el artículo 11, punto 3, incisos b y c, dispone que tampoco se requiere consentimiento para la cesión de datos entre organismos estatales «en la medida del cumplimiento de sus respectivas competencias».
La Corte reconoce que el legislador tiene facultades para reglamentar los derechos constitucionales y que el derecho a la privacidad admite restricciones. Pero esas restricciones solo son válidas si cumplen cuatro condiciones: deben estar dispuestas en una ley formal; deben estar justificadas en la necesidad de resguardar otros derechos o intereses públicos legítimos; deben ser proporcionales; y no deben alterar la sustancia del derecho fundamental que pretenden reglamentar (Fallos: 338:1444; 312:496).
Las excepciones examinadas no superan ese test. El Tribunal señala que, debido a la amplitud con que fueron redactadas, los entes estatales quedarían virtualmente exentos en todos los casos de cumplir con la exigencia del consentimiento. La razón es estructural: la competencia opera como presupuesto de validez de toda actuación administrativa, de modo que resulta prácticamente imposible imaginar un organismo público actuando fuera de su competencia. Si la excepción aplica siempre que el organismo actúe dentro de sus competencias, la excepción se transforma en regla y la regla del consentimiento desaparece. Esto no es una restricción proporcional a un bien jurídico concreto: es la eliminación tácita de la protección constitucional bajo el paraguas de una fórmula genérica.
A ello se agrega la ausencia de razonabilidad sustantiva. El fallo pregunta, con precisión quirúrgica, qué interés legítimo justificaría «permitir al Estado que organice un sistema de almacenamiento y tráfico de datos personales sin el conocimiento de sus titulares», sin importar cuáles sean los organismos involucrados, cuál es la naturaleza de la información o el grado de afectación a la privacidad de los afectados. La respuesta es que no existe tal justificación general: solo podría haberla caso por caso, con base en una necesidad específica y proporcional. El diseño legal en cambio opera a ciegas, sin jerarquizar, sin ponderar. Por eso es inconstitucional.
El principio de finalidad como límite al poder informacional del Estado
Subyacente a toda la argumentación del Tribunal está el principio de finalidad (o purpose limitation), uno de los pilares del derecho moderno de protección de datos: los datos personales solo pueden ser utilizados para la finalidad que motivó su recolección, y cualquier uso secundario requiere una justificación autónoma y específica. Torres Abad no se negó a que la ANSeS administrara sus datos para gestionar su jubilación. Se negó a que esos datos migraran hacia un organismo de comunicación gubernamental con fines publicitarios, de análisis de audiencias o de contacto personalizado.
Este principio es hoy el núcleo de sistemas regulatorios más avanzados, como el GDPR europeo, cuya influencia en los proyectos de reforma de la ley 25.326 actualmente en debate parlamentario es directa. Tanto el anteproyecto elaborado por la Agencia de Acceso a la Información Pública como el proyecto presentado por el diputado Yeza (1751-D-2026) incorporan el principio de limitación de finalidad como condición de licitud del tratamiento. En ese contexto, el fallo Torres Abad no es solo una resolución de un caso individual: anticipa y condiciona el debate legislativo, estableciendo el piso constitucional por debajo del cual ninguna reforma podrá descender.
El derecho a ser dejado a solas: una dimensión autónoma de la privacidad
La Corte añade, en el considerando 15, una reflexión que enriquece el análisis más allá del puro encuadre de datos: el número de teléfono y el correo electrónico no son solo datos. Son canales de acceso a la esfera íntima de la persona. Su transferencia no consentida a organismos gubernamentales que podrían utilizarlos para contactar al titular afecta una dimensión constitucional específica: el derecho de toda persona a «disfrutar de su soledad y de su tranquilidad, sin ser perturbada por intromisiones externas injustificadas». El Tribunal lo identifica con la fórmula anglosajona del right to be left alone, recogida en el voto del juez Petracchi en la causa Ponzetti de Balbín como el derecho «a ser dejado a solas» o «a ser dejado en paz».
Esta dimensión de la privacidad —menos abordada por la doctrina, pero de gran relevancia práctica— cobra especial importancia en el contexto del Estado como actor. Cuando es una empresa privada la que envía comunicaciones no solicitadas, el destinatario puede recurrir al Registro Nacional «No Llame» (ley 26.951) o al derecho de bloqueo previsto en el artículo 27 de la ley 25.326. Cuando el que contact es el propio Estado, utilizando datos que el ciudadano aportó en el marco de una relación obligatoria —como la previsional—, la asimetría de poder es cualitativamente diferente. El ciudadano no eligió relacionarse con ese organismo de comunicación, no sabe qué uso dará a sus datos y no cuenta con las mismas herramientas de resistencia que frente a un operador privado. La Corte reconoce esa asimetría y la protege.
El control de constitucionalidad de oficio y su proyección procesal
Un aspecto de relevancia procesal merece subrayarse. Ninguna de las partes en el litigio había solicitado la inconstitucionalidad de los artículos 5° y 11 de la ley 25.326. La Cámara resolvió por vía interpretativa, restringiendo el alcance de las excepciones. La Corte, en cambio, optó por declarar su inconstitucionalidad de oficio, considerando que esa era la única vía para salvaguardar la vigencia de la Constitución (arg. Fallos: 316:779). Esa decisión es consecuente con la línea jurisprudencial que el Tribunal viene consolidando desde Mill de Pereyra (Fallos: 324:3219): el control de constitucionalidad es facultad y deber de los jueces, ejercitable sin requerimiento de parte, siempre que se respete el principio de congruencia y los hechos del caso lo hagan ineludible.
La proyección de esta decisión metodológica no es menor: significa que la inconstitucionalidad de esos preceptos no queda circunscripta al caso Torres Abad, sino que constituye una doctrina que los tribunales inferiores deberán aplicar en futuras controversias análogas. Cualquier organismo estatal que pretenda ampararse en las excepciones declaradas inconstitucionales para ceder datos sin consentimiento enfrentará un obstáculo jurídico de primer orden, independientemente de que el litigante concreto haya o no cuestionado la norma.
Proyección sobre la reforma de la ley 25.326 y el ecosistema de IA gubernamental
El fallo Torres Abad llega en un momento de alta tensión regulatoria. Argentina lleva años con proyectos de reforma de la ley 25.326 que aún no han cristalizado en legislación sancionada, mientras el universo de tratamiento de datos se expande exponencialmente: el Estado nacional y los provinciales administran bases de datos de una envergadura sin precedentes, y la incorporación de sistemas de inteligencia artificial a la gestión pública —para análisis de riesgo, segmentación de beneficiarios, detección de fraudes o comunicación ciudadana— multiplica la cantidad y sensibilidad de los datos procesados.
En ese contexto, el fallo opera como una advertencia directa: la legitimidad de la IA gubernamental depende de que los datos que la alimentan hayan sido obtenidos y tratados con bases jurídicas válidas. Un sistema de perfilado ciudadano construido sobre bases de datos cedidas entre organismos sin el consentimiento de los titulares —o sin una justificación específica y proporcional— sería constitucionalmente inviable a la luz de la doctrina que la Corte acaba de sentar. Esta dimensión conecta directamente con debates que ya analizamos al examinar cómo proteger la información de valor en el entorno digital y con la pregunta sobre qué bases jurídicas legitiman el uso de datos personales en sistemas automatizados, tanto privados como públicos.
Los proyectos legislativos en discusión —en particular el anteproyecto de la Agencia de Acceso a la Información Pública y el proyecto 1751-D-2026— incorporan bases de licitud más diversas que la ley vigente (incluyendo el interés legítimo y el interés público), lo que podría flexibilizar algunos aspectos del régimen de consentimiento. Pero el fallo Torres Abad fija el estándar mínimo: cualquier excepción al consentimiento deberá estar específicamente justificada, ser proporcional a la finalidad perseguida y no vaciar de contenido el derecho a la autodeterminación informativa. Las excepciones genéricas —como las declaradas inconstitucionales— no superarán ese umbral.
La Corte, en suma, no solo resolvió el caso de Carmen Torres Abad. Estableció la gramática constitucional dentro de la cual deberá inscribirse toda regulación futura sobre datos personales en la Argentina: consentimiento como regla de jerarquía constitucional, excepciones como carga justificatoria del Estado, y control judicial de razonabilidad como garantía estructural. Es, en el pleno sentido de la expresión, un fallo con vocación de permanencia.
¿Tenés dudas sobre el uso de tus datos personales?
Si un organismo o empresa usa tu información sin tu consentimiento, podés actuar. Consultanos sobre hábeas data, protección de datos y derechos digitales.
Herrera & Flamenco Abogados · Córdoba, Argentina