La promulgación de la Ley N° 7593/2025 de Protección de Datos Personales en Paraguay es un avance en materia de derechos humanos en el país. Esta ley es producto de un trabajo colectivo, diverso y multisectorial encabezado por la Coalición de Datos Personales y por diferentes entidades de la sociedad civil, la academia y expertos, tanto del sector público y el sector privado.
Este artículo busca reconstruir el camino recorrido desde la presentación del anteproyecto de ley en el año 2021, analiza los cambios en las diferentes versiones del proyecto, los aportes de los actores públicos y privados, y muestra la relación existente entre el planteamiento inicial de la Coalición y la proposición final que fue aprobada.
Un avance histórico para los derechos digitales
La aprobación de la Ley de Protección de Datos Personales es la consumación de cuatro años de incidencia sostenida. La Coalición de Datos Personales indicaba que Paraguay aún no contaba con un marco normativo que proteja legalmente la información personal y, por ello, era necesario introducir una ley de ‘talla internacional’ que permita un resguardo integral de los datos personales. TEDIC refiere que la elaboración de la propuesta de legislación incluyó un proceso de elaboración que consistió en una serie de charlas y actividades colaborativas para determinar los fundamentos de dicha legislación. Este proceso técnico y plural permitió articular evidencias, propuestas y acciones de defensa estratégica.
¿Cómo nació la propuesta legislativa de protección de datos personales?
En el 2021, la Coalición de Datos Personales -que surgió en 2017 como un espacio conjunto entre organizaciones de la sociedad civil, especialistas, academia, y el sector privado, conformadas por la Asociación Paraguaya de Derecho Informático y Tecnológico (APADIT), TEDIC, el Estudio Jurídico Abente Stewart, Internet Society Capítulo Paraguay y Puente– fue la que presentó la primera propuesta legislativa con el apoyo de la Comisión de Ciencia y Tecnología de la Cámara de Diputados. Esta coalición lideró el proceso de creación de un primer anteproyecto inclusivo, robusto y que aborde de manera efectiva la falta de una ley de datos personales moderna y que estuviera alineada con la legislación a nivel regional y mundial.
Este proceso duró varios años. En el 2020, se conformó la mesa de múltiples partes interesadas para la elaboración del proyecto de ley integral de protección de datos personales en Paraguay, el anteproyecto fue presentado oficialmente ante la Cámara de Diputados por la Coalición de Datos Personales. También se elaboraron materiales audiovisuales que documentaron la historia, motivaciones y construcción colectiva del espacio.
El trabajo coordinado de la Coalición allanó el camino para crear el primer borrador de la propuesta legal, dentro de un marco participativo que involucró grupos de trabajo técnicos, talleres de expertos, consulta pública y revisión legal colaborativa. Como culminación del proceso, el primer borrador fue presentado públicamente, y sentó los fundamentos conceptuales que se mantuvieron a lo largo de las sucesivas versiones de la propuesta.
El proyecto incorporaba elementos centrales: autoridad independiente de protección de datos, principios rectores alineados con estándares internacionales, derechos ARCO amplios, regulación estricta de datos sensibles, obligaciones claras para responsables y encargados, y mecanismos robustos de supervisión.
Primera etapa constitucional
El proyecto fue ingresado oficialmente al Congreso en 2021 y derivado a siete comisiones: Relaciones Exteriores; Industria, Comercio, Turismo y Cooperativismo; Asuntos Económicos y Financieros; Ciencia y Tecnología; Asuntos Constitucionales; Legislación y Codificación; Justicia, Trabajo y Previsión Social. Entre estas comisiones, fue en la de Ciencia y Tecnología (CyT), donde se mantuvo como punto recurrente del orden del día. TEDIC documentó progresivamente el seguimiento a este proceso legislativo.
Entre 2021 y 2024, el proyecto fue incluido en su primera etapa en el orden del día de la Cámara de Diputados en estas ocasiones:
Este extenso historial demuestra el sostenido interés político en el proyecto, aunque los avances fueron lentos durante esta etapa.
Durante este periodo, la Comisión de Ciencia y Tecnología asumió un papel central en la dirección política del proyecto. La Coalición continuó brindando apoyo técnico, pero el liderazgo parlamentario recayó en la comisión. Su participación hizo posible mantener un tema complejo y especializado en la agenda.
Desde la citada comisión se requirieron varios informes de pareceres institucionales respecto al proyecto de ley, que fueron contestados tanto por instituciones públicas como privadas: Registro Civil; Ministerio de Salud Pública y Bienestar Social; MITIC; Ministerio de Relaciones Exteriores; Asociación de Bancos del Paraguay; Instituto de Previsión Social; Comisión Nacional de Valores; DINAPI, Ministerio del Interior; CODEHUPY; Banco Central; Ministerio Público; Ministerio de Hacienda; SEDECO; TSJE, etc. En esta primera etapa los principales comentarios recibidos fueron los referidos a delimitar de mejor manera el alcance de los términos, los procedimientos a ser aplicados, autoridad encargada de la aplicación y alcance de la ley, sugerencia de remisión de capítulos completos a reglamentación, como por ejemplo aquellos que establecían la parte procedimental de las sanciones y las sanciones en sí, para una mayor amplitud administrativa. Así como también se manifiesta la preocupación por establecer una Autoridad de aplicación independiente, ya que esto impactaba de manera directa en el presupuesto que venía comprometido por la emergencia sanitaria del COVID.
La Coalición de Datos Personales, se dio a la tarea de redactar otra versión del proyecto, como técnico especialista de la Comisión de Ciencia y Tecnología, en el cual recogió las sugerencias de las diversas instituciones, y en base a negociaciones con el Poder Ejecutivo respecto a la redacción de los artículos, finalmente presentó un documento, en el cual una de las principales diferencias se da en la autoridad de aplicación, que deja de ser una independiente con estructura propia para pasar a formar parte del Ministerio de Tecnologías de la Información y Comunicación (MITIC), con el rango de una Dirección General.
De las versiones que presentó la Coalición (88 artículos en el primer borrador y 85 en la segunda versión), la Cámara de Diputados aprobó y dio media sanción al proyecto con 60 artículos, dejando de lado varios puntos importantes, entre los cuales se pueden señalar al artículo 2: establece que, en relación a la seguridad pública, defensa nacional, política migratoria y persecución penal, el tratamiento de datos personales queda exento de la ley en su totalidad. Esta exclusión, tal y como está redactada, contradice la disposición del Convenio 108+ y a su vez, reduce la protección de datos en los ámbitos en que se encuentran los datos más sensibles.
Otro de los puntos fue la ausencia del principio de conservación de datos, el cual es base de la legislación moderna de protección de datos, puesto que estos no deben conservarse indefinidamente. Los datos deben ser eliminados tan pronto como se haya logrado el propósito. Esta regla elemental previene abusos y la retención innecesaria de datos.
También hubo falta de inclusión del principio de responsabilidad proactiva. El principio de responsabilidad proactiva significa que los responsables del tratamiento de datos no solo están obligados a cumplir con la ley, sino también a demostrar que la cumplen. Este es un compromiso activo, como auditorías, mantenimiento de registros, evaluación de impacto, nombramiento de oficiales de protección de datos, capacitación interna, etc. El proyecto sustituyó este principio por «diligencia debida», que no tiene el mismo peso legal ni alcance institucional.
Uno de los puntos más críticos en esta etapa constitucional, fue la inclusión en el articulo 24 de un proceso multicapa para el acceso público que contiene datos personales, incluyendo la notificación al titular de los datos y un dictamen no vinculante. Tal fórmula podría convertirse en un obstáculo sistemático a la transparencia, limitando el acceso a información de interés público, particularmente en lo que respecta a la contratación pública, los funcionarios públicos y el gasto de fondos públicos.
El proyecto con media sanción en la Cámara de Diputados fue discutido de una manera general, no hubo discusión punto por punto sobre cada artículo. Ni en su aprobación en general ni en su tratamiento en particular, que debía haber sido estudiado de manera minuciosa en el plenario, ya que es una ley íntimamente vinculada a derechos humanos.
Segunda, tercera y cuarta etapa constitucional
En estas siguientes etapas, el proceso se centró en cuestiones políticas tales como los intereses de ciertos actores del sector privado y público, la presión de la agenda internacional, porque junto a Bolivia eran los únicos países de América del Sur que no contaban con una ley de protección de datos.
El Senado recibe la propuesta el 11 de junio de 2025 y se gira a las comisiones de Familia, Niñez, Adolescencia y Juventud; Legislación, Codificación, Justicia y Trabajo; Ciencias, Tecnología, Innovación y Futuro; Asuntos Constitucionales; Defensa Nacional y Fuerza Pública; Derechos Humanos y Equidad y Género. Tres de estas comisiones presentaron dictámen aprobando el proyecto con modificaciones. La Comisión de Familia, Niñez, Adolescencia y Juventud por un lado y las comisiones de Legislación, Codificación; Justicia y Trabajo; y Ciencias, Tecnología, Innovación y Futuro, por otro, que dictaminaron de manera conjunta y recogieron en el mismo la mayoría de las sugerencias que la Coalición argumentó en un informe técnico presentado a la Cámara de Senadores. En ese documento la Coalición manifiesta su preocupación sobre algunos puntos de la versión aprobada por la Cámara de Diputados. Si bien, el proyecto aprobado fue un avance, el mismo presentaba falencias en cuanto a la efectiva protección de los datos personales. Los puntos a mejorar sugeridos por la Coalición, que se exponen en el informe, fueron los siguientes: 1) inconstitucionales y amplias exclusiones en el artículo 2 que dejan fuera de la ley tratamientos a los que la ley no tiene alcance, como los vinculados a seguridad pública y la persecución penal; 2) falta en el ordenamiento legal del principio de conservación, el cual es fundamental para la no retención indefinida de datos; 3) falta de responsabilidad proactiva, la cual es sustituida por un concepto bastante laxo de “diligencia debida”; 4) retrocesos en el acceso a la información pública al establecer procedimientos que son un verdadero cerrojo de la transparencia; 5) falta de criterios y de garantías en la ambigüedad de las transferencias internacionales; y 6) escaso tiempo de los mandatos propuestos para la dirección de la autoridad de control, lo que repercute en su independencia y en su continuidad.
En la Sesión Ordinaria del 06 de agosto de 2025, la Cámara de Senadores aprobó con modificaciones el Proyecto de Ley de Protección de Datos Personales y lo devolvió a la Cámara de Diputados para su posterior deliberación. Algunos de los cambios relevantes fueron los siguientes:
- En el caso de menores de entre 16 y 18 años de edad, el consentimiento conjunto del menor y del titular de la autoridad parental, ejerciendo la autoridad parental, es necesario para el tratamiento de datos personales.
- En el caso de transferencias internacionales de datos, la futura Agencia Nacional de Protección de Datos tendrá la competencia para determinar si otro país tiene un nivel adecuado de protección.
- El mecanismo de sanciones también se refuerza: la ley ahora establece que cualquier acción o inacción que infrinja el marco de disposiciones regulatorias emitidas por la Agencia es un delito.
- En el derecho de acceso a la Información Pública, la enmienda establece que la autoridad tiene el derecho de negar el acceso si el riesgo para el interés protegido es mayor que el interés público en obtener la información.
Y se aceptaron la gran mayoría de los artículos sugeridos por la Coalición, salvo la eliminación del artículo 24 sobre el acceso a la información pública de funcionarios públicos.
Volvió a la Cámara de Diputados, donde fue incluido en las sesiones del 19 de agosto de 2025, el 23 de septiembre, siendo postergado el tratamiento y finalmente el 14 de octubre de 2025, cuando fueron rechazadas las modificaciones hechas en el Senado. Al momento de su tratamiento no hubo mucha discusión, solo dos diputadas intervinieron: Rocío Abed abogando por el rechazo de las modificaciones introducidas en el Senado, alegando que el proyecto ya fue hartamente estudiado en Diputados y que las modificaciones introducidas por el Senado eran impertinentes, y la diputada Rocío Vallejo argumentando en la necesidad de que el Presidente Peña vete el articulo 24 por considerar que iba en contra de la ley de acceso a la información pública y prefería la versión del Senado por ser el mal menor, pero que la solución era el veto del Poder Ejecutivo a ese artículo.
En esta última etapa, en la Cámara de Senadores fue incluida en tres sesiones: la del 29 de octubre de 2025, 05 de noviembre de 2025, siendo postergado en ambas ocasiones y finalmente fue sancionada la ley y remitida al Poder Ejecutivo para su promulgación en la sesión extraordinaria de la misma fecha. El proyecto en un principio estuvo en el Orden del Día de la Sesión Ordinaria del 05 de noviembre en el punto 3, luego fue convocada una sesión extraordinaria en la que solamente fue tratado este punto, debido al compromiso asumido públicamente por el Presidente del Congreso Basilio Núñez.
La propuesta aprobada mantuvo gran parte de la versión de la Coalición
En 2024, ante el poco progreso en la Cámara de Diputados, la Coalición preparó y presentó una propuesta de proyecto actualizada una vez más basada en procesos participativos. Esta versión consolidó el diseño institucional, los derechos y la modernización de principios, normas y obligaciones. La versión completa se encuentra disponible públicamente.
La versión 2024 se mantuvo en su versión inicial para incluir una agencia independiente. Mejoró los artículos para su creación, derechos ARCO ampliados, la obligación de evaluaciones de impacto en protección de datos, reportes obligatorios de incidentes, una regulación reforzada sobre datos sensibles, un régimen sancionatorio claro y proporcional y estándares de transparencia y supervisión. En esta versión se recogieron también varias de las sugerencias de las diversas instituciones consultadas respecto al Proyecto.
Estos ajustes permitieron contextualizar mejor la propuesta a la realidad de Paraguay, en el camino hacia marcos normativos regionales más robustos.
El Poder Ejecutivo presentó comentarios centrados en trasladar a reglamentación buena parte del articulado, por sobre todo lo referente a materia procesal administrativa, sugiriendo que la ley solo establezca criterios y garantías generales, buscando mayor flexibilidad administrativa. El sector privado también realizó aportes puntuales.
El Proyecto de Ley de la Coalición incluía un texto significativamente más extenso con 88 artículos en el primer borrador y 85 en la segunda versión, la Cámara de Diputados aprobó y dio media sanción al proyecto con 60 artículos. El texto final, sancionado por el Congreso Nacional y remitido al Poder Ejecutivo, conforme a la fusión de capítulos o el traslado a reglamentación, quedo con 61 artículos.
Sin embargo, y a pesar de las modificaciones, gran parte del contenido conceptual introducido por la Coalición permanece, como los principios rectores, el reconocimiento de derechos, las obligaciones para los responsables y encargados, y el enfoque basado en estándares internacionales. El núcleo del sistema de datos protectores mantuvo la identidad que la Coalición había construido.
Es fundamental reconocer que los cambios incluyeron contribuciones útiles del sector privado y del Ejecutivo. El producto final es un proyecto de ley híbrido que mantiene el corazón conceptual de la Coalición e incorpora contribuciones de las diversas partes interesadas.
En el tramo final en la Cámara de Senadores (2025), el proyecto ingresó en tres sesiones del Senado como fuera ya supra mencionado. En ese estadío, la discusión de la Ley de Protección de Datos Personales estuvo marcada por la cuestión de privacidad y transparencia. Aunque el proyecto fue aprobado por 24 votos -ajustada votación, ya que se necesitaba 23 votos para la sanción-, la sesión estuvo caracterizada por varias abstenciones, lo que dio muestras de las dudas que se daba en el seno de los mismos bloques. Algunos senadores se mostraron preocupados por las posibles consecuencias del artículo 24, que establece de manera nueva y restrictiva el acceso a la información pública que contiene datos personales. La redacción que fue aprobada establece que el acceso a información pública se puede restringir si el “daño al interés protegido” es mayor que el interés público; esta disposición fue considerada un ataque por la oposición al artículo 28 de la Constitución Nacional que establece que la información de carácter público es de libre acceso.
Desde algunos sectores críticos, esta redacción fue calificada como una “versión Frankenstein” porque, en su opinión, mezcla partes contradictorias, lo cual genera márgenes de discrecionalidad, que son contrarios a la transparencia pública. En esta perspectiva, algunos legisladores han venido solicitando públicamente al presidente Santiago Peña el ejercicio de su veto porque la norma, en la redacción que contiene, podría debilitar de modo sumamente nocivo los dispositivos de control ciudadano que son clave en torno a la comprensión de la obligación de rendir cuentas en relación a lo que se contrata, lo que se declara, o se hace con los bienes de la nación. A pesar de esta oposición, el pleno avanzó en la aprobación, argumentando que la versión que había sido sancionada era la “menos regresiva” de las alternativas que se habían debatido. Con esa votación, el proyecto de ley fue enviado al Poder Ejecutivo, para su promulgación.
TEDIC, como miembro de la Coalición, celebró este avance, considerando que a pesar de ser una norma que todavía puede mejorarse, el hecho de que Paraguay cuente hoy con una Ley de Datos Personales es un gran paso hacia el reconocimiento de que los datos pertenecen a las personas y que su uso debe ser reglamentado bajo consentimiento, responsabilidad y transparencia.
El jueves 27 de noviembre el Poder Ejecutivo finalmente promulgó la Ley de Protección de Datos Personales y empieza el gran desafío de reglamentarla en los próximos dos años.
Una conquista colectiva y un nuevo punto de partida
La Ley de Protección de Datos Personales es una conquista que demuestra el valor de la incidencia políticamente articulada, basada en evidencias y sostenida en el tiempo. A pesar de que la versión final de la ley que se aprobó es diferente a la versión de borrador ideal que la Coalición presentó, la mayor parte de la conceptualización de la ley, los principios, la estructura de derechos y el alineamiento de la misma, están implícitamente y en gran parte, inspirados en el trabajo que se empezó a construir hace diez años atrás y oficialmente desde el 2021 en el Poder Legislativo.
Desde TEDIC, como miembro de la Coalición, reconocemos que esta ley aprobada es una norma perfectible y reafirmamos nuestro compromiso con la implementación efectiva de la ley, la participación en la reglamentación, la defensa de los derechos humanos en entornos digitales y la promoción futura de una autoridad independiente.
Hoy festejamos porque Paraguay tiene un nuevo derecho garantizado por el Estado paraguayo.
Ciberseguridad en nuestras propias palabras – Online 
EmpoderDATA: Conversatorio sobre seguridad y protección de datos personales – Ciudad del Este 
[Lanzamiento] Protección de datos personales en el sector privado en Paraguay: Un estudio exploratorio