Por Arnoldo Guillermo König Jottar*
Durante años, el cumplimiento normativo fue concebido como una cuestión netamente sustantiva: cumplir bastaba para actuar conforme a la ley. Sin embargo, en materia de protección de datos personales, esa lógica quedó obsoleta. Bajo el régimen de responsabilidad demostrada, el cumplimiento deja de agotarse en la corrección de la conducta y pasa a depender también de su trazabilidad. Es decir, no basta haber tratado datos conforme a derecho; importa haber construido, antes del conflicto, las condiciones para probarlo.
Ese desplazamiento es más profundo de lo que parece. La prueba deja de ser un instrumento externo al cumplimiento —algo que se activa cuando surge una controversia— y se convierte en parte de la forma en que el cumplimiento debe organizarse. La evidencia ya no aparece únicamente al final del camino, frente a una demanda, una reclamación o una fiscalización. Debe existir desde el inicio, incrustada en la gobernanza del tratamiento.
En ese sentido, la responsabilidad demostrada modifica también el estándar de diligencia organizacional. Ya no se exige únicamente que el responsable adopte medidas correctas en abstracto, sino que cuente con procesos, criterios, registros y controles que permitan explicar cómo y por qué esas decisiones fueron adoptadas. El problema regulatorio, por tanto, no será solo tratar datos de manera incorrecta, sino no poder acreditar adecuadamente la licitud, necesidad, proporcionalidad y trazabilidad del tratamiento realizado.
La responsabilidad demostrada no es una exigencia meramente documental ni una simple buena práctica administrativa. Su alcance más relevante aparece cuando se la observa desde el proceso: quien trata datos personales debe organizar su cumplimiento de manera que pueda acreditarlo frente al titular, la autoridad de control o un tribunal. He ahí el giro: el responsable no prueba solo porque fue demandado, denunciado o fiscalizado. Debe estar en condiciones de probar porque la demostrabilidad forma parte de su estándar de conducta. Es decir, si un titular de datos cuestiona la licitud de un tratamiento, no bastará con invocar genéricamente una base legal o convencional. El responsable deberá acreditar cuál fue la base utilizada, por qué resultaba procedente, qué finalidad justificó el tratamiento, cómo fue informada al titular y qué registros respaldan esa decisión. No se elimina la carga probatoria del titular, pero sí se intensifica estructuralmente la carga del responsable respecto de aquello que está bajo su esfera de control.
Esto no significa afirmar, sin matices, que la Ley N° 21.719 haya consagrado una inversión formal de la carga de la prueba. El titular no queda liberado de acreditar la vulneración o afectación que invoca. Sin embargo, el responsable llega al conflicto con una carga ex ante: haber hecho verificable su propio cumplimiento. Lo anterior se explica porque el responsable del tratamiento suele controlar la evidencia relevante: registros, políticas, contratos, matrices de riesgo, evaluaciones de impacto, protocolos de seguridad, logs y decisiones internas sobre el tratamiento de datos. Por eso, la responsabilidad demostrada dialoga naturalmente con la facilidad probatoria y con la lógica de las cargas probatorias dinámicas.
La documentación, entonces, deja de ser una práctica meramente administrativa. Los registros de actividades de tratamiento (RAT), las matrices de riesgos, los contratos de mandato, las evaluaciones de impacto y las políticas internas cumplen una doble función: ordenan el cumplimiento y preconstituyen evidencia. La máxima “lo no documentado no existe” adquiere así una dimensión procesal concreta. En un régimen basado en trazabilidad, verificabilidad y responsabilidad demostrada, la ausencia de evidencia difícilmente será neutra. Puede convertirse en un indicio relevante de incumplimiento.
Sin embargo, sería un error reducir la responsabilidad demostrada a la acumulación de documentos. El riesgo del cumplimiento cosmético aparece precisamente cuando las organizaciones cuentan con políticas, matrices o registros formalmente existentes, pero desconectados de sus procesos reales de decisión. En esos casos, la documentación no demuestra cumplimiento: solo evidencia una brecha entre lo declarado y lo efectivamente ejecutado, pudiendo incluso agravar la posición del responsable si revela que la organización conocía sus obligaciones, pero no las integró realmente a sus procesos. La trazabilidad exige consistencia entre la norma interna, la práctica organizacional y la evidencia disponible.
En definitiva, la Ley N° 21.719 no solo exige tratar datos conforme a derecho, exige construir organizaciones capaces de explicar, justificar y respaldar sus actuaciones. Ese es el verdadero desplazamiento: antes, la prueba era una reacción al conflicto; con la responsabilidad demostrada, pasa a formar parte del cumplimiento mismo.
Esta lógica será especialmente relevante en entornos digitales complejos, donde el tratamiento de datos se integra con sistemas automatizados, modelos de inteligencia artificial y decisiones basadas en perfiles, inferencias o analítica avanzada. En esos contextos, la responsabilidad demostrada se conecta directamente con la gobernanza, la confianza digital y la explicabilidad: no basta con afirmar que un sistema cumple la ley; la organización debe poder demostrar cómo funciona, qué riesgos fueron evaluados y qué controles permiten responder por sus efectos.
*Arnoldo Guillermo König Jottar – GA Abogados
