En las últimas semanas, Paraguay ha sido nuevamente sacudido por noticias preocupantes sobre la vulnerabilidad de sus sistemas informáticos. A finales de mayo, se confirmó una nueva fuga masiva de datos sensibles pertenecientes al Ministerio de Salud. Este hecho se suma a una serie de incidentes previos que han comprometido información altamente personal: direcciones particulares, nombres completos, detalles de deudas fiscales, así como sistemas de reconocimiento facial administrados por entidades como el TSJE, Ministerio de Hacienda, Banco Central, Itaipu y la Policía Nacional.
Frente a este panorama crítico, el Congreso Nacional ha respondido con la presentación de dos proyectos legislativos centrados en la ciberseguridad, además de un anteproyecto impulsado por la Universidad Metropolitana de Asunción, que fue acompañado por una audiencia pública. Esta efervescencia legislativa evidencia una creciente preocupación institucional ante la falta de mecanismos adecuados para proteger el ciberespacio paraguayo.
Sin embargo, desde TEDIC, como organización especializada en derechos digitales y tecnología, observamos este fenómeno con una mezcla de esperanza y cautela.
Una necesidad urgente, pero que exige responsabilidad
No hay dudas de que Paraguay necesita avanzar hacia una política pública robusta en materia de ciberseguridad. La exposición reiterada de datos sensibles no solo compromete la seguridad individual de las personas, sino también la confianza ciudadana en las instituciones públicas. La creación de un marco normativo en este ámbito es esencial. No obstante, su desarrollo debe ser riguroso, con base en principios democráticos, respeto a los derechos humanos y buenas prácticas legislativas.
El proceso de construir una ley no puede ni debe responder a impulsos inmediatos ni a soluciones parche. Es un proceso constitucional que demanda análisis, consulta pública, derecho comparado, y una técnica legislativa cuidadosa. Una legislación mal diseñada no solo puede ser ineficaz, sino también peligrosa.
¿Qué se está proponiendo?
A fines de mayo se presentaron dos propuestas en la Cámara de Diputados y un anteproyecto:
- Proyecto de Ley «De Ciberseguridad, Protección de Datos y Prevención de Ciberdelitos», presentado por el diputado Germán Solinger (Expediente D-2584479, ingresado el 12/05/2025).
- Proyecto de Ley «De Ciberseguridad y Protección del Ciberespacio Paraguayo», del diputado Luis Federico Franco Alfaro (Expediente D-2584815, ingresado el 28/05/2025).
- El anteproyecto de Ley de Ciberseguridad liderado por la Universidad Metropolitana de Asunción, acompañado por una audiencia pública que abre la puerta a una conversación más amplia.
Aunque se celebra que el Congreso esté prestando atención al tema, nos preocupa la proliferación de iniciativas que, hasta ahora, no muestran signos claros de articulación o coordinación. Una multiplicidad de propuestas legislativas puede fragmentar el debate y generar normas solapadas o contradictorias.
Lo que propone TEDIC
Desde TEDIC venimos trabajando desde 2016 en este tema. En el 2017 elaboramos aportes al primer Plan Nacional de ciberseguridad del MITIC. En el 2024 realizamos nuestro parecer sobre el borrador de la propuesta de la Estrategia Nacional de Ciberseguridad, que luego fue aprobado en mayo por resolución 3900/25. Acompañamos con atención estas nuevas iniciativas legislativas porque sabemos que una legislación en este campo debe surgir de un proceso inclusivo, transparente y bien informado.
Reconocemos y valoramos la buena intención detrás de los proyectos presentados. El interés político y académico en abordar la ciberseguridad es un paso positivo. Sin embargo, también es nuestra responsabilidad señalar que legislar sobre estos temas sin diagnósticos previos, sin estudios de derecho comparado, sin participación ciudadana y sin criterios técnicos, puede llevar a soluciones mal concebidas y de alto costo institucional.
Por eso, desde TEDIC instamos al Congreso —especialmente a la Cámara de Diputados que está liderando dos proyectos— a unificar esfuerzos y trabajar en una propuesta legislativa única, sólida y ambiciosa, que cuente con la participación de organizaciones especializadas, la academia, el sector privado y la sociedad civil.
Para las tres propuestas entregamos nuestro parecer y principales preocupaciones sobre los proyectos actualmente en discusión y cómo creemos que debería construirse una política pública efectiva en ciberseguridad.
1) Preocupaciones de fondo: entre la técnica legislativa y la falta de articulación
Dentro del conjunto de propuestas legislativas presentadas sobre ciberseguridad, el proyecto identificado con el expediente D-2584815, impulsado por el Diputado Luis Federico Franco Alfaro, se distingue por atribuir la rectoría en materia de ciberseguridad al Ministerio de Defensa Nacional. Este enfoque contrasta con las otras dos iniciativas legislativas y con el anteproyecto promovido por la Universidad Metropolitana de Asunción, que plantean como ente rector al Ministerio de Tecnologías de la Información y Comunicación (MITIC).
La asignación de la ciberseguridad al ámbito de la defensa representa un cambio sustantivo en la naturaleza del enfoque institucional, desplazando la coordinación del ecosistema digital hacia una lógica de seguridad nacional y militarización. Este modelo se aparta de las buenas prácticas internacionales promovidas por organismos multilaterales como la OCDE, que recomiendan enfáticamente que la gobernanza de la ciberseguridad permanezca bajo conducción civil, garantizando la transparencia, la participación multisectorial y el respeto a los derechos humanos.
Organizaciones como Fundación Karisma, desde la sociedad civil latinoamericana, también han advertido sobre los riesgos de un abordaje militar de la ciberseguridad. Este tipo de enfoque tiende a priorizar la lógica del control, la vigilancia y la defensa del Estado, por encima de la protección de derechos individuales y la promoción de una internet libre, abierta e inclusiva. Además, refuerza estructuras cerradas, poco participativas y menos sujetas a mecanismos de rendición de cuentas.
La militarización de la ciberseguridad puede limitar el involucramiento de actores clave como la academia, el sector privado, la sociedad civil y organismos especializados en derechos humanos y tecnologías. También desalinea la legislación nacional de los principios de gobernanza democrática de internet, que exigen la inclusión de múltiples partes interesadas y la construcción de políticas públicas desde la transparencia, la deliberación pública y el enfoque de derechos.
La rectoría civil no solo es una cuestión administrativa: es un principio estructural que define el carácter democrático de la política pública de ciberseguridad. Sustituir ese enfoque por uno militar compromete no solo la legitimidad institucional del marco normativo, sino también su capacidad de generar confianza, articular sectores y construir respuestas eficaces, sostenibles y respetuosas de las libertades fundamentales.
2) Déficit en técnica legislativa, confusiones en la naturaleza de la ley y aplicaciones de principio de derecho administrativos y penal
Las tres propuestas adolecen de serias deficiencias en cuanto a técnica legislativa. Una ley que pretenda tener impacto real debe cumplir con una estructura normativa mínima: objetivos claros, ámbito de aplicación definido, principios rectores, un glosario de términos, responsabilidades diferenciadas entre los actores involucrados, entre otros elementos fundamentales.
En los proyectos analizados, estos componentes aparecen de forma fragmentada, desordenada, algunas innecesarias o, directamente, ausentes. Esta falta de rigurosidad no solo afecta la comprensión del texto legal, sino que también complica su futura implementación y control.
Ejemplos: En el anteproyecto de ley en sus artículos 1 y 2 habla sobre el objeto de ley y el ámbito de aplicación, sin embargo en toda la ley no existe ningún principio general que dice citarse en el artículo 1. Por otro lado, en el artículo 3, dentro del glosario conceptual, se introducen dos términos “inteligencia artificial generativa” y “ciberterrorismo”, pero no se vuelven a desarrollar ni referenciar en el resto del texto normativo. Se crean las normas de sanción pero no hay claridad.
Finalmente, se observa una tendencia preocupante a mezclar temas jurídicamente diferenciados, como ciberseguridad, protección de datos personales y ciberdelitos. Aunque estos temas se relacionan y pueden complementarse, cada uno responde a lógicas, principios y objetivos específicos.
El caso más evidente se da en una de las propuestas —que omitimos identificar aquí por ahora— que propone una ley conjunta de ciberseguridad y protección de datos personales, lo cual evidencia una falta de comprensión sobre la naturaleza distinta de estos marcos normativos. Esta fusión artificial además de ser confusa, es potencialmente peligrosa en términos de derechos.
También se observa una falta de coherencia terminológica en relación a los conceptos utilizados para referirse a las conductas ilícitas en el entorno digital. Aunque coloquialmente se emplean expresiones como “ciberamenazas” o “ciberdelitos”, estos términos no tienen un reconocimiento normativo claro ni en el Código Penal paraguayo ni en los tratados internacionales como el Convenio de Budapest sobre Ciberdelincuencia.
En este contexto, sería recomendable que la ley proponga una unificación conceptual que armonice el lenguaje jurídico con el marco penal vigente. Por ejemplo, en lugar de “ciberdelitos” o “delitos cibernéticos” —términos que no están definidos ni tipificados actualmente—, se debería emplear “delitos informáticos”, que es la categoría más reconocida tanto en la doctrina penal como en los instrumentos internacionales.
Asimismo, es fundamental unificar y clarificar el uso de términos como “ciberataques” y “ataques cibernéticos” dentro de las tres propuestas legislativas y anteproyecto. Para evitar interpretaciones inconsistentes, estos conceptos deben alinearse con figuras penales ya existentes, como el sabotaje informático, el acceso indebido a sistemas, o el daño a datos o infraestructuras digitales. En caso de que se propongan nuevas tipificaciones delictivas, resulta imprescindible establecer su relación con el marco penal vigente, asegurando así tanto su aplicabilidad efectiva como su compatibilidad jurídica con el ordenamiento nacional.
3) Falta de armonización con otras normativas existentes y pendientes
Una ley de ciberseguridad no puede abordarse como una norma aislada. Debe formar parte de un ecosistema legal más amplio que incluya y dialogue con otras legislaciones afines. Sin embargo, en las propuestas actuales se observa una mezcla poco clara con otras normativas, como las de protección de datos personales o delitos informáticos, sin una adecuada diferenciación ni articulación.
Una política efectiva de ciberseguridad requiere, además de una ley específica, marcos legales complementarios como:
- La Ley de Protección de Datos Personales, aún en discusión en el Congreso.
- Un régimen legal sobre infraestructuras esenciales (a menudo denominadas “infraestructuras críticas”).
- Normativas sobre gobernanza de datos.
- La actualización de la Ley de Acceso a la Información Pública, para adecuarla a los desafíos del entorno digital.
- Desconexión con el Plan Estratégico de Ciberseguridad 2025–2028
Legislar sobre ciberseguridad sin considerar este contexto normativo más amplio genera el riesgo de superposiciones, vacíos legales y conflictos de competencias.
4) Gobernanza de ciberseguridad: una deuda estructural
Otro aspecto ausente en las propuestas legislativas actuales es el diseño de una gobernanza integral y participativa en materia de ciberseguridad. En contextos democráticos, los desafíos asociados a la protección del ciberespacio no pueden ser asumidos únicamente por el Estado, y mucho menos por una única institución pública. La ciberseguridad es un asunto transversal que atraviesa todos los sectores: empresas, universidades, medios de comunicación, organizaciones sociales y, por supuesto, la ciudadanía.
Si bien algunas propuestas mencionan la creación de comités o consejos institucionales, estos suelen estar limitados al aparato estatal, sin establecer mecanismos claros de participación de otros actores relevantes. Esta visión cerrada no solo limita la eficacia de las políticas, sino que también debilita la legitimidad del proceso de toma de decisiones.
Desde TEDIC creemos que una gobernanza efectiva en ciberseguridad debe construirse desde una lógica multiactor, reconociendo el rol y la responsabilidad de diversos sectores que ya participan —directa o indirectamente— en el diseño, uso, implementación y evaluación de tecnologías.
- Las empresas tecnológicas deben ser parte del diálogo, ya que muchas de ellas son las creadoras y administradoras de infraestructuras críticas, plataformas digitales y sistemas que procesan grandes volúmenes de datos.
- La academia aporta conocimiento técnico, capacidad de análisis crítico y formación de profesionales que serán responsables de aplicar estas políticas.
- La sociedad civil organizada, por su parte, garantiza la defensa de los derechos humanos, promueve la transparencia y vela por el interés público en la toma de decisiones tecnológicas.
Una política de ciberseguridad sostenible no puede limitarse a respuestas reactivas frente a las crisis. Debe incluir mecanismos de consulta permanente, espacios de deliberación pública y sistemas de evaluación y monitoreo participativo. Dejar a estos actores fuera del diseño normativo implica perder valiosos aportes técnicos, éticos y estratégicos que podrían fortalecer el esfuerzo del Estado y mejorar la protección de los derechos en el entorno digital.
5) Ciberseguridad no es (solo) defensa: el riesgo de una mirada punitiva y militarizada
Un patrón común en las tres propuestas legislativas analizadas es su enfoque marcadamente reactivo y securitista. La narrativa predominante es la de la crisis, el ataque y la amenaza, con respuestas que se centran casi exclusivamente en la prevención de delitos, la defensa del Estado y la protección de infraestructuras. Si bien estos elementos son parte del ecosistema de la ciberseguridad, no deberían ser el punto de partida ni el núcleo conceptual de una política pública en la materia.
En línea con esta mirada, la composición de los consejos o comités previstos en los proyectos se limita a instituciones del sistema penal, el Ministerio del Interior, fuerzas armadas, MITIC y órganos vinculados al control y la defensa. Este enfoque punitivo y militarizado reduce la complejidad del entorno digital a una cuestión de seguridad nacional, cuando en realidad lo que está en juego son también derechos fundamentales como la privacidad, la libertad de expresión, el acceso a la información y la igualdad.
Desde TEDIC creemos firmemente que la ciberseguridad debe abordarse desde una perspectiva integral y con enfoque de derechos humanos. Para lograrlo, es indispensable incorporar a actores institucionales que trabajan con sectores históricamente vulnerabilizados y que son especialmente afectados por las brechas digitales y los riesgos en línea. Por ejemplo:
- El Ministerio de la Mujer, para integrar una perspectiva de género que reconozca y combata la violencia de género facilitada por la tecnología.
- El Ministerio de Salud, para políticas de salud mental en Internet y los impactos a la vida de las personas desde la mirada de salud pública.
- Instituciones como el Ministerio de la Niñez y Adolescencia, la Secretaría de la Juventud y el Instituto Paraguayo del Indígena (INDI), que pueden aportar miradas fundamentales sobre el acceso, la inclusión y la protección de derechos en línea.
Una política de ciberseguridad moderna no puede construirse únicamente en clave de reacción ante ataques o amenazas externas. Debe ser, sobre todo, una herramienta para garantizar el acceso libre, seguro e igualitario a internet para todas las personas, especialmente aquellas en situaciones de mayor vulnerabilidad.
Abogar por una mirada inclusiva no es un obstáculo para la eficacia de las políticas de ciberseguridad, sino una condición esencial para su legitimidad, su sostenibilidad y su capacidad real de proteger tanto a las instituciones como a las personas.
6) Derechos humanos: una mención simbólica, sin enfoque real ni herramientas concretas
Aunque las tres propuestas legislativas mencionan los derechos humanos en distintos apartados —ya sea en los considerandos o como declaraciones generales de principios—, esa referencia no se traduce en un enfoque real, operativo ni transversal. La inclusión de los derechos fundamentales aparece más como una formalidad simbólica que como una guía estructural para el diseño de la norma.
Una política de ciberseguridad que se tome en serio los derechos humanos debe ir mucho más allá de mencionarlos: debe incorporarlos como eje rector del diseño normativo y técnico, estableciendo principios claros de proporcionalidad, legalidad, necesidad y rendición de cuentas. Pero también debe plasmarse en medidas concretas que protejan a las personas en su uso cotidiano del entorno digital.
Entre estas herramientas se encuentran:
- El cifrado de extremo a extremo, como garantía de confidencialidad en las comunicaciones personales y profesionales.
- El anonimato: especialmente relevantes para periodistas, activistas, comunidades vulnerables y cualquier persona que necesite proteger su identidad en línea.
- La privacidad desde el diseño (privacy by design) y por defecto, lo que implica que los sistemas tecnológicos minimicen por defecto la recolección de datos, y que prioricen la seguridad del usuario desde su concepción técnica.
- La promoción del software libre y auditable, que refuerza la transparencia, la autonomía tecnológica y reduce las dependencias de infraestructuras opacas o extranjeras.
Ninguna de las propuestas actuales incluye estos componentes, ni se refiere a ellos siquiera de manera tangencial. Tampoco se contemplan evaluaciones de impacto en derechos humanos para nuevas medidas de vigilancia o control digital. Esta omisión pone en riesgo la construcción de una política pública verdaderamente democrática y centrada en las personas.
Para concluir
Desde TEDIC sostenemos que una ley de ciberseguridad no puede ser legítima ni efectiva sin estar profundamente alineada con los estándares internacionales de derechos humanos. Esto incluye tanto salvaguardas jurídicas como el fomento de tecnologías protectoras de los derechos. Cualquier normativa que omita estos pilares corre el riesgo de convertirse en un instrumento de control, en lugar de una herramienta de protección y fortalecimiento de las libertades en el entorno digital.
Si querés conocer nuestros pareceres para cada propuesta podés descargar aquí:
1) Para la propuesta legislativa “ De Ciberseguridad, Protección de Datos y Prevención de Ciberdelitos», presentado por el diputado Germán Solinger. Esta propuesta de ley será reemplazada por el anteproyecto, según fuentes extraoficiales. Por tanto, desde TEDIC no profundizamos en el análisis.
2) Para la propuesta legislativa «De Ciberseguridad y Protección del Ciberespacio Paraguayo», del diputado Luis Federico Franco Alfaro.
3) Para el anteproyecto de Ley de Ciberseguridad de la Universidad Metropolitana.
La presente publicación ha sido financiada por la Unión Europea. Su contenido es responsabilidad exclusiva de TEDIC y no refleja necesariamente los puntos de vista de la Unión Europea.
Ciberseguridad en nuestras propias palabras – Online 
Re(x)sistentes a la deshumanización digital: TEDIC y la regulación de armas autónomas en el día internacional de los derechos humanos