La Ley de Protección de Datos Personales es un paso adelante para Paraguay. Pero como toda obra legislativa compleja, su valor no solo reside en su sanción, sino en su implementación práctica y en la capacidad de anticipar y mitigar sus efectos no deseados.

Paraguay y Bolivia son los dos únicos países de la región que no tienen una ley general de protección de datos. Nuestro país sí cuenta con una ley que regula la protección de datos en el sector financiero, pero es una normativa sectorial, ya que no abarca a todas las esferas que pueden darse en el manejo del tratamiento de datos en el país.

Una normativa que busca proteger todos los datos personales está en pleno debate en el circuito legislativo. En el año 2021, la Coalición de Datos Personales -compuesta por las ongs Tedic, Apadit e Internet Society Capítulo Paraguay- presentó el anteproyecto de la Ley de Protección de Datos Personales, con 85 artículos inspirados fuertemente en la legislación europea.

La propuesta fue presentada en la Cámara de Diputados, donde luego varios diputados, de diversas bancadas políticas, acompañaron la iniciativa y la oficializaron como una iniciativa parlamentaria. Aparecen como autores, algunos de ellos ya exlegisladores, Edgar Acosta, Pedro Alliana, Antonio Buzarquis, Sebastián García, Kattya González, Carlos María López, Bachi Núñez, Edwin Reimer y Sebastián Villarejo.

Tras varios aplazamientos por años y cambios hechos al texto, el 27 de mayo de 2025, la Cámara Baja aprobó con modificaciones la propuesta de las organizaciones, al recortarla y dejarla con 60 artículos, y la remitió al Senado para su correspondiente análisis.

La ley tiene por objeto la protección integral de los datos personales de las personas físicas a fin de garantizar el ejercicio pleno de sus derechos y el libre flujo de la información. Entre sus planteamientos, la normativa contempla la creación de la Agencia Nacional de Protección de Datos Personales, un organismo autónomo con la autoridad y las herramientas para supervisar, regular y sancionar cualquier contravención a la ley. La misma estará a cargo del Ministerio de Tecnologías de la Información y Comunicación (MITIC).

Un enlatado de la ley aplicada por la Unión Europea

El abogado Stephan Vysokolan, especialista en protección de datos personales, explicó que, si bien el país necesita una normativa en la materia, el enfoque adoptado en el Congreso durante su análisis fue incompleto y descontextualizado, al tomar como modelo casi literal el reglamento de Protección de Datos de la Unión Europea, sin una adaptación real al contexto paraguayo.

A su parecer, se trata de un ‘enlatado’ europeo que no responde a las necesidades ni capacidades actuales del país. Según advirtió, un 70% del contenido aprobado en Diputados es una copia fiel del reglamento europeo. Aclaró que no es que esté mal proteger los datos personales, pero muchas de las disposiciones son inaplicables a la realidad local.

Uno de los puntos más críticos de la ley es que impone exigencias a las empresas, especialmente a las mipymes, que tendrían que incurrir en elevados costos para cumplir con los requerimientos. La ley obliga a tener un delegado de protección de datos, un oficial especializado, y un equipo para incidentes de seguridad. En la práctica, de aprobarse la iniciativa, estas pequeñas empresas se verán obligadas a contratar a consultores internacionales, ante la falta de profesionales locales.

El especialista advirtió además que, bajo la excusa de proteger los datos, se puede terminar imponiendo un modelo extremista que actúe como barrera para inversiones extranjeras, particularmente en sectores tecnológicos. Mientras el gobierno busca atraer empresas tecnológicas, la legislación demasiado restrictiva podría espantar a los potenciales inversores.

De sancionarse y promulgarse tal como está, esta ley podría convertirse en un freno para el crecimiento del ecosistema digital, la innovación y la atracción de capital extranjero, debido a que se establecen altos estándares de seguridad y altos costos para las empresas.

Por otro lado, el proyecto crea una Agencia Nacional de Protección de Datos Personales, pero no define con claridad su modelo regulatorio, ya que se adoptó el esquema europeo, que considera a la protección de datos como un derecho fundamental, algo que en Paraguay todavía no se discutió a fondo.

Además, se establece que el MITIC será el órgano regulador, pero esa institución no cuenta con personal capacitado para estas funciones. Un inconveniente que podría registrarse es que podría ser juez y parte cuando se da una filtración de datos, tal como ocurrió recientemente con el hackeo de varias instituciones del Estado.

Otro aspecto preocupante de la normativa es que se podrían registrar burocracias para el acceso a la información pública, cuando involucren a datos personales, lo cual terminará violando la ley de transparencia.

Así también, la propuesta de ley delega una parte sustancial de su efectividad a futuras reglamentaciones. El “cómo” se aplicarán muchas de estas nuevas disposiciones, como por ejemplo las medidas de seguridad específicas para datos sensibles mencionadas en el Artículo 35 (Página 20), queda en el aire, a la espera de normas secundarias. Esto no solo genera incertidumbre para las empresas que deben adaptarse, sino que también dilata la plena operatividad de una ley tan crucial. 

La entrada Proyecto “enlatado” de datos personales, una traba para captar inversiones se publicó primero en La Caja Negra.