El pasado viernes 4 de julio de 2025, desde TEDIC participamos activamente de la audiencia pública convocada por la Comisión de Ciencia, Tecnología, Innovación y Futuro del Senado, en el marco del análisis del proyecto de ley “De Protección de Datos Personales”. Este proyecto, aprobado en general y particular por la Cámara de Diputados en mayo de este año, representa un avance significativo en el proceso legislativo iniciado en 2021.
Desde TEDIC, en articulación con otras organizaciones, como parte de la Coalición por la Protección de Datos Personales en Paraguay, venimos acompañando este proceso desde su inicio, proveyendo análisis técnicos, propuestas normativas comparadas y alertas sobre los riesgos que conllevaría una ley débil o incompleta.
El proyecto de ley, expediente D2162170 fue presentado el 5 de mayo de 2021. Durante este periodo se llevaron a cabo 13 sesiones en las que se analizó el borrador de la ley. El 17 de diciembre de 2024, fue aprobada en general durante una sesión plenaria y remitida a comisiones para su análisis detallado, artículo por artículo. Durante los meses siguientes, las comisiones encargadas realizaron un exhaustivo estudio del proyecto e introdujeron diversas modificaciones. Finalmente, el 27 de mayo de 2025, fue aprobada en su totalidad, concluyendo así la primera etapa constitucional para la sanción de una ley.
Creemos firmemente que Paraguay necesita una legislación moderna, integral y efectiva en materia de protección de datos personales. Esta ley debe reconocer la privacidad como un derecho humano fundamental y establecer un marco normativo que no solo regule el tratamiento de datos por parte del sector privado, sino que imponga límites y obligaciones al Estado, especialmente en actividades que involucran datos sensibles y vigilancia.
¿Por qué es necesaria una ley de protección de datos personales?
En la era digital, nuestros datos personales son un recurso estratégico. Su uso indiscriminado puede tener consecuencias graves: desde discriminación algorítmica hasta persecución política, pasando por robo de identidad, estafas, vigilancia masiva, restricciones a la libertad de expresión y al derecho a la intimidad.
A nivel internacional, la tendencia es clara: los marcos normativos de protección de datos deben estar alineados con estándares de derechos humanos, como el Reglamento General de Protección de Datos (RGPD) de la Unión Europea o el Convenio 108+ del Consejo de Europa. Estos estándares reconocen principios fundamentales que deben regir cualquier tratamiento de datos personales: legalidad, finalidad, proporcionalidad, minimización, seguridad, transparencia y responsabilidad proactiva (accountability).
En América Latina, países como Uruguay, Argentina, Brasil, México y Chile han avanzado hacia legislaciones más modernas y coherentes. Paraguay, en cambio, aún carece de una ley integral y se encuentra rezagado en los rankings globales de protección de datos personales.
Para compartir esta información con tu círculo, te recomendamos este video donde explicamos el tema de forma resumida:
El proyecto actual: avances y desafíos
Reconocemos que el proyecto aprobado en Diputados representa un paso importante y necesario. Sin embargo, identificamos debilidades sustanciales que podrían comprometer la efectividad de la norma y dejar espacios de impunidad en sectores críticos.
A continuación, compartimos nuestras principales preocupaciones técnicas y jurídicas:
1. Exclusiones amplias e inconstitucionales del ámbito de aplicación
El artículo 2 del proyecto excluye totalmente del alcance de la ley el tratamiento de datos personales realizados por motivos de seguridad pública, defensa nacional, política migratoria y persecución penal. Esta exclusión, tal como está redactada, contradice estándares internacionales como el Convenio 108+ (que permite restricciones solo proporcionales y necesarias) y debilita la protección de datos precisamente en los ámbitos donde se manejan los datos más sensibles.
Propuesta: Reemplazar la exclusión absoluta por una excepción condicionada, que permita limitar ciertos derechos y obligaciones solo si es estrictamente necesario y proporcional, sin excluir la aplicación de los principios generales de protección de datos.
2. Ausencia del principio de conservación de datos
Uno de los pilares de una ley moderna de protección de datos es el principio de limitación temporal. Los datos personales no pueden conservarse indefinidamente. Deben eliminarse cuando hayan cumplido su finalidad. Esta norma básica evita abusos y acumulación innecesaria de información.
En el proyecto actual, este principio no figura como uno de los principios generales y aparece apenas mencionado en relación a la proporcionalidad. Esto debilita su aplicación.
Propuesta: Incorporar el principio de conservación de forma autónoma, estableciendo límites claros, diferenciando tipos de datos (personales, sensibles, financieros, videovigilancia, etc.), y habilitando la reglamentación técnica según el sector.
3. Falta de incorporación del principio de responsabilidad proactiva
El principio de responsabilidad proactiva (accountability) implica que los responsables del tratamiento no solo deben cumplir la ley, sino demostrar ese cumplimiento. Esto exige medidas activas: auditorías, registros, evaluaciones de impacto, designación de oficiales de protección de datos, capacitación interna, etc.
El proyecto sustituye este principio por una vaga “diligencia debida”, que no tiene el mismo peso jurídico ni el mismo alcance institucional.
Propuesta: Recuperar el término y el contenido del principio de responsabilidad proactiva, como figura en el RGPD y en el Convenio 108+, especialmente para el sector público.
Otros puntos críticos a considerar
4. Retrocesos en el derecho de acceso a la información pública
El artículo 24 introduce un procedimiento complejo para acceder a información pública que contenga datos personales, incluyendo la notificación al titular y un dictamen no vinculante. Esta fórmula puede convertirse en una traba sistemática a la transparencia, debilitando el acceso a información de interés público, especialmente sobre contrataciones, funcionarios y uso de fondos estatales.
Propuesta: Reemplazar este procedimiento por un mecanismo basado en los principios de divisibilidad, test de daño y test de interés público, conforme al modelo establecido por la Ley N.º 5282/2014 de Acceso a la Información Pública.
5. Ambigüedades en las transferencias internacionales de datos
El proyecto menciona que, en ausencia de un país con nivel adecuado, el responsable debe garantizar el cumplimiento de la ley, pero no detalla qué mecanismos se deben adoptar: cláusulas estándar, normas corporativas vinculantes, códigos de conducta, etc. Tampoco especifica quién determina si un país tiene protección adecuada.
Propuesta: Incorporar un listado público actualizado de países con niveles adecuados (a cargo de la autoridad de control), y detallar las garantías aceptables para transferencias internacionales, conforme a modelos internacionales.
6. Mandato corto para la dirección de la autoridad de protección de datos
El artículo 40 establece un mandato de tres años para el Director General de la futura Agencia Nacional de Protección de Datos. Esta duración es demasiado breve para garantizar independencia, planificación estratégica y continuidad institucional.
Propuesta: Establecer un mandato de cinco años con posibilidad de una sola reelección, con un proceso de designación transparente y basado en mérito técnico.
Una ley de datos personales no es solo una norma tecnológica: es una herramienta de derechos humanos
En TEDIC creemos que el tratamiento de datos personales no debe abordarse solo como una cuestión técnica o administrativa. Se trata de un tema íntimamente vinculado a la democracia, la rendición de cuentas, el acceso a la justicia, la libertad de expresión y la equidad social.
Una ley sólida puede empoderar a la ciudadanía, proteger a grupos vulnerables, prevenir el uso arbitrario de tecnologías de vigilancia y promover un ecosistema digital basado en la confianza y el respeto a la dignidad humana.
En cambio, una ley débil puede normalizar prácticas abusivas, como la vigilancia sin orden judicial, el uso discriminatorio de inteligencia artificial, la acumulación masiva de datos por parte de empresas y la opacidad en la gestión pública.
El momento de fortalecer es ahora
El proceso legislativo aún no ha terminado. La Cámara de Senadores tiene ahora la posibilidad –y la responsabilidad– de mejorar el texto aprobado, incorporando estos ajustes técnicos y jurídicos fundamentales.
Desde TEDIC junto con la Coalición de Datos Personales, reiteramos nuestra disposición a colaborar con el Congreso Nacional, compartiendo insumos, propuestas comparadas y argumentos técnicos que ayuden a fortalecer esta ley. Seguiremos trabajando, junto con la sociedad civil y con todas las personas interesadas en defender los derechos digitales, para que Paraguay cuente con una Ley de Protección de Datos Personales que esté a la altura de los desafíos actuales y de las expectativas ciudadanas.
Porque proteger nuestros datos es también proteger nuestra libertad, nuestra intimidad y nuestra democracia.
Descargá el parecer legal de la Coalición de Datos Personales entregado a la Comisión de CyT del Senado el 14 de julio.
Referencias
Internet Bolivia (2025). Guia de Implementación de Protección de Datos y Uso Responsable de Inteligencia Artificial en Bolivia. En https://internetbolivia.org/wp-content/uploads/2025/05/guia_proteccion_datos_web.pdf
Federico Legal (2025) Opinión preliminar del experto en Acceso a la información pública. En https://x.com/federicolegal/status/1943048423302672822?s=48
Seminario Internacional “Construyendo igualdad: desafíos y estrategias para el acceso a la justicia” – Asunción 
Ciberseguridad en nuestras propias palabras – Online 
Contribuciones a la ONU para asegurar los derechos de la Asamblea y la Asociación en el entorno digital