En la economía digital, los datos personales se transformaron en una pieza de valor, ya que permiten identificar clientes, prevenir fraudes, personalizar servicios y medir riesgos. Pero ese valor abre una tensión sobre quién decide qué se recolecta, para qué se usa, con quién se comparte y cuánto tiempo se guarda.
Con la promulgación de la Ley N° 7593/2025 de Protección de Datos Personales, Paraguay incorpora por primera vez un marco integral de privacidad que pone una respuesta jurídica al centro del debate: el titular de los datos es la persona a la que la información refiere. A partir de allí, el sector público y el privado pasan a operar como responsables o encargados del tratamiento, con deberes específicos y fiscalización prevista.
Del vacío legal a un marco integral de privacidad
Hasta 2025, el país no contaba con una ley general comparable a los estándares internacionales de protección de datos. Existían normas vinculadas a información crediticia y otras disposiciones sectoriales, pero faltaba un régimen transversal que definiera principios, derechos del titular y reglas para el uso de bases de datos. Esta nueva ley pasa a llenar ese vacío con un enfoque amplio, alcanzando a tratamientos automatizados y no automatizados, mientras se aplica tanto al sector público como al privado.
El texto legal ordena el “ciclo de vida” del dato: recolección, uso, conservación, transferencia y eliminación. Establece principios que hoy marcan la agenda global en privacidad: licitud (una base legal para tratar datos), transparencia (información clara al titular), minimización (solo lo necesario), finalidad (uso para el propósito declarado), seguridad y responsabilidad demostrable.
También incorpora reglas para transferencias internacionales, es decir, la salida de datos al exterior queda condicionada a garantías adecuadas en el destino o a mecanismos que aseguren protección equivalente.
Derechos de titulares: del dato “entregado” al dato “controlado”
El núcleo ciudadano de la ley son los derechos del titular. Entre los principales, se incluyen el derecho de acceso (saber qué datos se tienen y con qué fin), rectificación (corregir información inexacta), supresión cuando corresponda, oposición en determinados casos y portabilidad (obtener y trasladar datos a otro proveedor en formatos utilizables).
Este paquete obliga a que las organizaciones diseñen canales reales de respuesta, donde ya no alcanza con un formulario genérico o con términos extensos. En la práctica, estos derechos van a impactar en bancos, aseguradoras, comercios, plataformas digitales, telcos, fintechs y también en registros y sistemas estatales donde se concentran datos de alto impacto.
Obligaciones para empresas y Estado: reglas y autoridad
Asimismo, la ley fija obligaciones concretas para quienes tratan datos. En primer lugar, exige identificar la base legal del tratamiento —con el consentimiento informado como vía habitual— y documentar esa decisión. En segundo lugar, impone deber de información: el titular debe conocer quién trata sus datos, con qué finalidad, por cuánto tiempo y qué derechos puede ejercer.
A esto se suma el estándar de seguridad, con medidas técnicas y organizativas para evitar accesos no autorizados, pérdidas o filtraciones, y protocolos para actuar ante incidentes. La lógica es simple, ya que si el dato es valioso, también es riesgoso; y el riesgo debe gestionarse.
En la práctica, la Ley 7593 crea la Agencia Nacional de Protección de Datos Personales (Anpdp) como autoridad de control, con facultades de supervisión y un régimen sancionatorio, que hoy están dispersos entre el BCP y la Sedeco. El esquema distingue infracciones leves, graves y muy graves, con multas y otras medidas que buscan desalentar el tratamiento negligente o ilícito, en especial cuando se involucran datos sensibles.
Plazos: 2026 como año de preparación
Aunque la ley ya fue promulgada, establece una vacatio legis (periodo entre la publicación oficial y su entrada en vigor obligatoria) de 24 meses. Eso significa que el período 2026–2027 se convierte en una ventana de adecuación para el sector público y privado, con mapeo de bases de datos, revisión de contratos con proveedores, actualización de políticas, fortalecimiento de ciberseguridad y preparación de procedimientos para atender solicitudes de titulares.
Paraguay y el estándar internacional: la referencia del RGPD
La arquitectura de la Ley 7593 dialoga con tendencias globales y, especialmente, con el RGPD (Reglamento General de Protección de Datos) europeo: derechos robustos del titular, foco en transparencia, minimización, seguridad y deber de demostrar cumplimiento, además de límites a transferencias internacionales cuando no existan garantías adecuadas.
Pero la convergencia con estándares externos no elimina los riesgos locales. En un artículo publicado en LinkedIn, Federico Silva Duarte, abogado y máster en leyes, subraya que la ley apunta a elevar la protección hacia un modelo integral, aunque su interacción con normas vigentes —como la Ley 5282/14 de Acceso a la Información Pública y la Ley 6534/20 de Datos Crediticios— puede abrir “zonas de tensión”.
En materia de transparencia, advierte que el nuevo procedimiento podría convertir el trámite en un “litigio administrativo triangular (Solicitante – Ente Público - Titular del dato), susceptible de dilatar e incluso trabar la entrega de información”, especialmente en pedidos sobre funcionarios o contrataciones.
En el sector privado, también marca un punto sensible: la incorporación del “interés legítimo” como base legal —figura conocida del RGPD— podría, si se usa de forma laxa, habilitar tratamientos sin consentimiento y terminar “invirtiendo la carga de la prueba hacia el ciudadano”, que quedaría obligado a oponerse a posteriori. La ley, en síntesis, ordena y moderniza, pero su resultado dependerá de la aplicación, donde la autoridad de control no permita que la protección de datos se vuelva una excusa de opacidad, y que el cumplimiento se traduzca en procesos reales, no solo en papeles.