Después de años de espera, múltiples cambios en los proyectos de ley y una presión creciente derivada de una economía cada vez más digitalizada, Paraguay adoptó una ley integral de protección de datos personales. En noviembre de 2025, el Congreso aprobó la versión del Senado, marcando un punto de inflexión para un país que históricamente ha confiado en principios constitucionales y en regulaciones sectoriales dispersas para proteger la información personal.
La ley fue promulgada recientemente por el Poder Ejecutivo bajo N.º 7593/2025. Con ello, se inicia formalmente un período de transición de dos años antes de su entrada en vigor, prevista para 2027. Después de un largo proceso de preparación, tanto formal como informal, los próximos dos años serán decisivos para traducir las disposiciones legales en prácticas reales y efectivas.
Un proceso legislativo de larga data
Paraguay ha sido uno de los pocos países de América Latina sin una ley moderna de protección de datos. Con el tiempo, esta carencia se volvió cada vez más evidente, especialmente a medida que los países vecinos fortalecían sus marcos regulatorios y las organizaciones locales adoptaban servicios en la nube, operaciones transfronterizas y sistemas automatizados que ya no encontraban encaje en normas obsoletas.
La nueva ley incorpora conceptos de las tendencias globales, pero también refleja años de debate a nivel local sobre cómo debía adaptarse un modelo internacional a la realidad paraguaya. La versión del Senado terminó por consolidarse y su aprobación en 2025 cerró una extensa etapa de incertidumbre legislativa.
Aún resta la emisión del decreto reglamentario, que será clave para definir aspectos operativos. Este proceso será seguido de cerca por todos los actores involucrados.
Un cambio cultural en principios y bases legales
Uno de los cambios más relevantes será dejar atrás un sistema en el que el consentimiento era la única base legal reconocida para el tratamiento de datos personales.
La nueva ley incorpora un conjunto más amplio de fundamentos jurídicos, entre ellos la ejecución de contratos, el cumplimiento de obligaciones legales, el interés público y el interés legítimo. También consagra principios esenciales como la finalidad, la proporcionalidad, la transparencia y la responsabilidad proactiva.
Un catálogo más amplio de derechos para las personas
La ley reconoce a los titulares de datos una gama de derechos más amplia que la vigente hasta ahora. Entre ellos se encuentran el acceso, la rectificación, la supresión, la oposición a determinados tratamientos y el derecho a la portabilidad. Asimismo, se incorpora el derecho a no ser objeto de decisiones automatizadas, un aspecto que cobrará especial relevancia con la expansión de la IA en los sectores público y privado.
Aunque estos derechos son similares a los recogidos en otras legislaciones modernas, el verdadero desafío será implementar mecanismos eficaces que permitan atender las solicitudes oportunamente. Muchas instituciones aún operan con procesos manuales y bases de datos fragmentadas, lo que hará que la transición no esté exenta de dificultades.
Nuevas obligaciones para responsables y encargados
Las organizaciones asumirán responsabilidades más claras. Entre ellas: llevar registros de tratamiento, aplicar medidas de seguridad adecuadas, notificar incidentes de seguridad, realizar evaluaciones de impacto cuando corresponda y revisar los contratos con proveedores para incluir las cláusulas exigidas por la ley.
En un entorno donde los programas formales de gobernanza de datos no han sido habituales, estas exigencias implicarán la creación de nuevas estructuras internas y, en muchos casos, de nuevos roles dentro de empresas y organismos públicos.
Transferencias transfronterizas: gestionar una realidad global
Como ocurre en la mayoría de las leyes modernas, las transferencias transfronterizas (o internacionales) estarán permitidas bajo condiciones. El envío de datos al exterior requerirá salvaguardias adecuadas, salvo que el país de destino sea declarado adecuado por la futura autoridad de control paraguaya.
Para las empresas que dependen de proveedores globales, ya sea para el almacenamiento en la nube o el análisis de datos, este será probablemente uno de los ámbitos que exigirá ajustes más inmediatos.
La autoridad de control: una institución clave
La ley crea una autoridad de control independiente, una innovación institucional significativa para el país. Su eficacia será determinante para el funcionamiento efectivo del nuevo marco.
La autoridad contará con competencias de supervisión, investigación y sanción, y también tendrá a su cargo funciones de orientación, concientización y autorización de mecanismos de transferencia internacional. Su independencia, su capacitación técnica y su financiamiento adecuado serán aspectos críticos.
Sanciones y aplicación de la ley
El régimen sancionatorio contempla multas administrativas proporcionales a la gravedad de las infracciones, además de sanciones agravadas cuando se vean comprometidos los datos de niños y adolescentes.
El desafío será lograr un equilibrio entre el control efectivo y la aplicación pedagógica de la norma, especialmente en un contexto en el que muchas organizaciones adoptarán por primera vez prácticas formales de protección de datos.
Dos años para prepararse
El período de vacancia legal de dos años representa una ventana valiosa, pero engañosa si se interpreta como tiempo sobrado. Las organizaciones necesitarán:
● Mapear los datos que tratan
● Revisar las bases legales aplicables
● Actualizar o crear políticas internas
● Reforzar la seguridad y los protocolos de respuesta a incidentes
● Implementar procedimientos para atender los derechos de los titulares
● Reevaluar contratos con proveedores
● Capacitar al personal
Las instituciones públicas enfrentarán retos adicionales, en particular en la armonización con la normativa de acceso a la información y en la modernización de sistemas heredados.
Mirando hacia adelante
La nueva ley paraguaya llega más tarde que en otros países de la región, pero lo hace en un momento en que la conciencia sobre la privacidad y el uso de las tecnologías digitales es mayor que nunca. Existe una oportunidad real de construir un marco que no solo proteja a las personas, sino que también fomente la innovación y el desarrollo de servicios digitales.
El verdadero desafío será la implementación. Una transición bien gestionada puede permitir a Paraguay cerrar la brecha y alinearse con las prácticas regionales en materia de protección de datos.
Cecilia Abente Stewart es abogada de protección de datos y privacidad y miembro de la IAPP.
