Ley de Protección de Datos Personales de Paraguay - Ley N° 7593/2025
El 27 de noviembre de 2025, Paraguay dio un paso histórico al promulgar la Ley N° 7593/2025 De Protección de Datos Personales.
Tras más de cuatro años de debate legislativo, el presidente Santiago Peña firmó esta normativa integral que llena un vacío legal en materia de derechos digitales y privacidad en el país. La ley establece reglas claras y estándares modernos para el tratamiento de datos personales, colocando a la persona en el centro del control sobre su información.
En otras palabras, por primera vez se reconocen de forma plena los derechos de los ciudadanos sobre sus datos, a la vez que se imponen obligaciones estrictas a las empresas e instituciones que los manejan.
Contenido principal de la ley
La ley se aplica a todo tratamiento de datos personales, sea en medios digitales o físicos, realizado por organismos públicos o empresas privadas. Establece principios rectores como licitud, lealtad y transparencia en el uso de datos; la limitación de la finalidad (los datos solo pueden usarse con fines específicos y legítimos informados al titular); la minimización de datos (recopilar solo los datos adecuados y necesarios); la exactitud (mantener datos correctos y actualizados); la limitación del plazo de conservación; la integridad y confidencialidad; y la responsabilidad proactiva de los responsables de datos.
Para tratar datos personales, las organizaciones deben contar con una base legal válida establecida por la ley. En la práctica, esto suele requerir el consentimiento explícito del titular de los datos para usos específicos, salvo que exista otra base legitimante. La ley distingue datos sensibles, como datos de salud, ideología, datos biométricos, entre otros, cuyo tratamiento es más restringido. También se protege de forma especial a los datos de niños, niñas y adolescentes, exigiendo mayor rigor en cuanto a consentimiento y uso.
La ley reconoce derechos a los titulares de datos: acceso, rectificación, oposición, supresión o cancelación, portabilidad y revocación del consentimiento. Estos derechos deben ser gratuitos, simples y efectivos de ejercer. Así, cualquier persona podrá solicitar a una empresa o entidad pública acceso a su información, modificarla, eliminarla u oponerse a ciertos tratamientos.
Se establece la obligación de notificar incidentes de seguridad que comprometan datos personales en un plazo de 72 horas. Esto exige que las empresas tengan mecanismos formales de gestión de incidentes, medidas de seguridad adecuadas y planes de acción para responder a filtraciones o accesos no autorizados.
La ley crea la Agencia Nacional de Protección de Datos Personales como unidad desconcentrada del Ministerio de Tecnologías de la Información y Comunicación (MITIC), con autonomía funcional. Esta agencia supervisará el cumplimiento de la normativa, atenderá reclamos y podrá aplicar sanciones administrativas en caso de infracciones. Se incluye un régimen sancionatorio que puede abarcar multas y medidas correctivas.
Se prevé un proceso de reglamentación que puede extenderse hasta dos años, durante el cual se definirán procedimientos, formularios, plazos, alcances y cargas específicas para el sector público y privado.
Impacto para los ciudadanos
Para la ciudadanía, la ley significa un aumento sustancial del control sobre la propia información. Por primera vez, los ciudadanos podrán saber qué datos suyos están siendo utilizados, por quién, para qué fines y durante cuánto tiempo. También podrán exigir correcciones, solicitar la eliminación de datos innecesarios, oponerse a tratamientos que no deseen y revocar el consentimiento otorgado previamente.
La obligación de notificar brechas en 72 horas protege directamente a las personas frente a filtraciones o usos indebidos. También hará más estrictos los estándares de seguridad de las entidades que manejan datos.Los ciudadanos empezarán a ver políticas de privacidad más claras, casillas de consentimiento más visibles y mayor transparencia respecto al uso de sus datos.
Asimismo, contarán con un mecanismo formal de reclamo ante la Agencia Nacional de Protección de Datos.Habrá que seguir de cerca cómo se articula esta ley con la ley de acceso a la información pública, especialmente en relación al polémico artículo 24. El equilibrio entre privacidad y transparencia será clave.
Impacto para las empresas y negocios
Para las empresas, la ley exige cambios profundos en la forma de manejar datos personales. Deberán adoptar políticas internas de protección de datos, definir finalidades claras, limitar la recolección de información y establecer plazos de conservación. También deberán implementar medidas de seguridad, documentar sus prácticas y demostrar cumplimiento ante eventuales fiscalizaciones.
La obligación de obtener consentimiento claro y explícito tendrá un impacto importante en las áreas de marketing, ventas y gestión comercial. Muchas prácticas antes comunes, como agregar automáticamente a usuarios a listas de difusión, ahora deberán contar con un consentimiento previo y demostrable.
Las empresas deberán crear canales para atender derechos de los titulares y gestionar solicitudes de acceso, rectificación, supresión y oposición. También deberán capacitar a su personal y, en algunos casos, designar responsables o delegados de protección de datos.
Últimos artículos
Nueva Ley de Mipymes en Paraguay. Conocé las Novedades la Ley N°7435/2025 y el Decreto N°4535/2025
Ley de Protección de Datos Personales en Paraguay: ¿qué cambia para ciudadanos y empresas?
Servicios digitales en Paraguay: lo que tenés que saber sobre impuestos y deducciones
La inteligencia artificial y la profesión contable en Paraguay: ¿avance o amenaza?
Las Mipymes y un dilema crucial
