El Chatbot Corporativo que Filtró Datos de Clientes: Gestión del Breach y la Multa Evitada · Córdoba
Hito del Proceso
MULTA EVITADA — AAIP SIN SANCIÓN
El Desafío Legal
"Una empresa de ingeniería civil con sede en barrio Pueyrredón, Córdoba, integró un asistente de IA de terceros en su workflow interno para gestionar consultas y documentación de proyectos. Tras seis meses de uso, una auditoría interna detectó que el sistema enviaba consultas — que incluían datos de clientes, especificaciones técnicas confidenciales y documentos de licitaciones — a servidores fuera de Argentina, sin cifrado adecuado y sin consentimiento de los titulares de los datos."
Nuestra Estrategia de Defensa
Notificación proactiva a la Agencia de Acceso a la Información Pública (AAIP) dentro del plazo de 72 horas que exige la normativa. Auditoría técnica del breach con determinación del alcance exacto de los datos comprometidos. Notificación a los clientes afectados. Renegociación del contrato con el proveedor del chatbot incluyendo cláusulas de data residency y responsabilidad.
Las 72 Horas de la AAIP: Notificar a Tiempo es la Diferencia entre Multa y No Multa
La Ley 25.326 de Protección de Datos Personales y las disposiciones de la AAIP establecen que un incidente de seguridad que comprometa datos personales debe notificarse al organismo en un plazo máximo de 72 horas desde que se toma conocimiento. Las empresas que esperan 'resolver primero y notificar después' suelen llegar fuera de plazo y con sanciones agravadas. Notificamos a la AAIP el mismo día de la detección del breach, con el informe técnico preliminar y el plan de contingencia. Esa decisión cambió completamente la actitud del organismo. Los contratos con proveedores de IA tienen cláusulas críticas que las empresas firman sin leer: data residency, retención de datos, uso para entrenamiento del modelo, subprocesadores habilitados. Asesoramos en compliance de IA y protección de datos en Córdoba para cerrar esos riesgos antes de que ocurran.
La AAIP Cerró el Expediente sin Multa — los Clientes no Demandaron
La notificación proactiva y el plan de contingencia implementado en tiempo récord fueron los factores determinantes. La AAIP reconoció la buena fe del responsable y cerró el expediente con una llamada de atención formal, sin sanción económica. Las comunicaciones a los clientes afectados, redactadas cuidadosamente para informar sin generar pánico ni reconocer negligencia, evitaron cualquier demanda civil. El contrato renegociado con el proveedor del chatbot ahora incluye data residency en Argentina, prohibición de uso de datos para entrenamiento del modelo y responsabilidad solidaria ante futuros incidentes. La empresa de ingeniería de barrio Pueyrredón convirtió una crisis en un estándar de seguridad.
Resultado Obtenido
Resolución de la AAIP sin aplicación de sanción económica, reconociendo la notificación proactiva y las medidas adoptadas. Cero demandas de clientes por el breach. Contrato con el proveedor de IA renegociado con nuevas garantías de seguridad y cláusula de responsabilidad solidaria ante futuros incidentes.
Más casos de IA & Tech en Córdoba
Deepfake de Voz del CEO: $8 Millones Transferidos en 20 Minutos por una Llamada Falsificada con IA
"La responsable financiera de una empresa de software de barrio Nueva Córdoba recibió una llamada de quien parecía ser el CEO ordenando una transferencia urgente de $8 millones a un proveedor 'nuevo'. La voz era perfecta: el timbre, el acento, las muletillas. En 20 minutos el dinero había salido. Era un deepfake de voz generado con IA. El banco rechazó el reintegro."
Compliance Algorítmico: La Empresa de Retail que Usaba IA para Selección de Personal y no Sabía que Discriminaba
"Una cadena de retail con sede en Córdoba Capital implementó un sistema de IA para filtrar CVs y preseleccionar candidatos. Una candidata rechazada sistemáticamente en cuatro convocatorias distintas presentó una denuncia ante el INADI y el Ministerio de Trabajo argumentando discriminación de género: el algoritmo penalizaba las interrupciones laborales, que estadísticamente afectan más a mujeres con períodos de maternidad."
Protección de Activos Generativos: La Agencia Cordobesa que No Sabía de Quién Eran los Diseños que Creaba con IA
"Una agencia de marketing y branding de barrio Centro, Córdoba, creaba identidades visuales y contenido para sus clientes usando herramientas de IA generativa. Un competidor comenzó a usar elementos visuales casi idénticos a los desarrollados para una marca cliente. Al intentar accionar legalmente, surgió el problema: los contratos de la agencia no contemplaban la titularidad de los outputs generados por IA, y la propiedad del branding era jurídicamente ambigua."