El 27 de noviembre de 2025 en la República del Paraguay fue promulgada la Ley 7593/2025 de Protección de Datos Personales la cual, si bien NO se encuentra en vigencia en razón de que deberá ser reglamentada en un periodo de 24 meses, genera el inicio de un régimen legal que anhela adecuarse a las pautas a nivel internacional.

Del texto de la misma se infiere que los sujetos obligados serán las personas tanto físicas como jurídicas, los sujetos cuyo bien jurídico se protege son las personas físicas.

La autoridad competente será la Agencia Nacional de Protección de Datos Personales tal como se estipula en el Título IV, incluso ocupará el rol que actualmente posee la Secretaría de Defensa del Consumidor y Usuario (SEDECO) en lo que respecta a la Ley 6534/2020 Protección de Datos Crediticios, la cual seguirá en vigencia salvo algunos artículos citados taxatavimente que serán derogados y también se aclara que esta ley será aplicada supletoriamente para cuestiones no previstas en la Ley 6534/2020. Dicha entidad poseerá autonomía funcional y su creación estará a cargo del Ministerio de Tecnologías de la Información y Comunicación (MITIC); deberá estar incluida en el Presupuesto General de Gastos de la Nacion.

Dando lectura al contenido podría colegirse que se busca garantizar el uso responsable de los datos de los ciudadanos, lo cual se encuentra constitucionalmente establecido ya que se considera a la intimidad como un bien jurídico protegido (artículo 33 de la Constitución Nacional de la República del Paraguay). Para esta ley los datos personales forman parte de los derechos a la intimidad, a la dignidad, a la privacidad, y al honor.

Se hace especial énfasis de que ninguna empresa o entidad (sea privada o pública, nacional o extranjera) está facultada a manipular los datos de una persona física sin un protocolo legalmente establecido, abarca los almacenamientos manuales o automatizados, los registros públicos y privados que se encuentren ubicados dentro o fuera del pais. Los cuidados se refuerzan al tratarse de datos de niños, niñas o adolescentes.

Tanto las entidades públicas como privadas – según el texto – deberán dar un tratamiento de transparencia y licitud a los datos; dar cumplimiento con lo estipulado con relación a la conservación, transferencia y documentación de los datos; extremar los recaudos con relación a la confidencialidad y seguridad en la manipulación de los datos.

En el artículo 4to se establecen los principios que deben primar en el tratamiento de los datos personales tales como: exactitud de datos, licitud, finalidad, minimización o proporcionalidad, limitación del plazo de conservación, lealtad y transparencia, conciliación de la transparencia pública y protección, diligencia debida, seguridad y confidencialidad.

Dentro del texto también se estipulan las condiciones tanto en lo concerniente al tratamiento de los datos como en el otorgamiento del consentimiento que debe prestar la persona física, artículos 5to y 6to.

Los datos incluso son categorizados en el Capítulo IV del Título I, disponiéndose prohibiciones, tratamientos especiales, condiciones, otros.

En la ley se establece claramente que los titulares de los datos contarán con mecanismos que les asegure el acceso, rectificación, oposición, portabilidad, la potestad de poder suprimirlos e incluso retirar/revocar en cualquier momento el consentimiento otorgado, podrán hacerlo por si mismos o incluso por intermedio de un representante.

El Capítulo V del Título I, genera especial interés en razón de que aquí se hace referencia al acceso a la información contenida en fuentes públicas que podrá ser denegada o limitada, se contempla la existencia de la excepción de acceso a la información pública, y taxativamente se enumeran cuando la excepción no es aplicable. Se describe un pequeño procedimiento con plazos en lo que respecta al ejercicio de los derechos del titular de los datos.

Los sujetos obligados por esta ley deberán contar con un oficial de protección de datos, sumado a los demás recaudos que deberán cumplir y a las prácticas que deberán adecuar. En el Capítulo II del Título II se establece lo relacionado a las obligaciones del responsable y del encargado del tratamiento.

La Ley en el Título V Capítulo I tipifica las conductas descriptas como infracciones leves y graves; previéndose sanciones que van desde el apercibimiento hasta las multas (estas están cuantificadas conforme a la calificación que reciban) también la suspensión de las actividades relacionadas con el tratamiento de los datos personales. Las multas serán destinadas a la propia autoridad de aplicación.

Finalmente es importante referir que se pretende situar al país en análoga condiciciones legales que los paises donde la protección de los datos personales se encuentra legislada, pero para ello deben adecuarse numerosas prácticas y mecanismos que permitan que la anhelada protección no sea tergiversada ni manipulada.