La nueva Ley N.º 7593/2025 de Protección de Datos Personales representa un cambio significativo en la forma en que las organizaciones paraguayas deberán gestionar la información relacionada con las personas. Sin embargo, antes de hablar de cumplimiento, sanciones o sistemas de gestión, es necesario responder una pregunta fundamental:

¿Qué son exactamente los datos personales?

La respuesta es mucho más amplia de lo que la mayoría imagina. La ley no protege únicamente números de cédula o direcciones de correo electrónico. También alcanza fotografías, registros biométricos, datos de salud, ubicaciones, imágenes de cámaras de seguridad e incluso información generada durante nuestras actividades digitales.

Comprender qué información está protegida será el primer paso para que las organizaciones puedan prepararse adecuadamente para la entrada en vigor de la normativa en 2027.

---

Los datos personales están en todas partes

Cada día generamos una enorme cantidad de información.

Cuando realizamos una compra, completamos un formulario, enviamos un currículum, utilizamos una aplicación móvil o ingresamos a un edificio con control de acceso, dejamos rastros de información que pueden identificar directa o indirectamente a una persona.

Precisamente esa información es la que busca proteger la nueva legislación.

En términos simples, un dato personal es cualquier información que permita identificar a una persona o que pueda utilizarse para relacionarla con una determinada actividad, característica o situación.

Muchas veces pensamos únicamente en el nombre y apellido, pero la realidad es mucho más amplia.

---

¿Qué se considera un dato personal?

Algunos ejemplos son evidentes:

• Nombre y apellido.
• Número de cédula.
• Fecha de nacimiento.
• Correo electrónico.
• Número de teléfono.
• Dirección particular.

Sin embargo, también existen otros datos que muchas organizaciones recopilan diariamente sin ser plenamente conscientes de que están protegidos por la legislación.

Tipo de dato	Ejemplos
Identificación	Nombre, apellido, cédula, pasaporte
Contacto	Correo electrónico, teléfono, dirección
Laborales	Cargo, salario, historial profesional
Académicos	Certificados, títulos, evaluaciones
Financieros	Cuenta bancaria, historial de pagos
Tecnológicos	Dirección IP, usuario, registros de acceso
Imágenes	Fotografías, videovigilancia
Ubicación	GPS, registros de geolocalización

La ley protege todos estos datos cuando están vinculados a una persona identificada o identificable.

---

Cuando un dato parece inocente, pero no lo es

Uno de los errores más frecuentes consiste en pensar que solamente los datos «importantes» están protegidos.

Imaginemos el siguiente ejemplo:

Una empresa almacena únicamente:

• Nombre.
• Correo electrónico.
• Empresa donde trabaja.

A simple vista podría parecer información pública o inofensiva.

Sin embargo, al combinar estos datos es posible identificar a una persona específica y conocer aspectos relevantes sobre ella.

Por esta razón, la protección de datos no depende únicamente del tipo de información, sino también de la posibilidad de identificar a alguien mediante dicha información.

---

Los datos sensibles: una categoría especial

La nueva ley presta especial atención a determinados tipos de información considerados particularmente delicados.

Estos datos requieren mayores niveles de protección debido al riesgo que podría generar su uso indebido.

Entre ellos se encuentran:

• Datos de salud.
• Información biométrica.
• Datos genéticos.
• Información sobre menores de edad.
• Información relacionada con aspectos especialmente protegidos por la ley.

Por ejemplo:

• Huellas dactilares.
• Reconocimiento facial.
• Exámenes médicos.
• Certificados de aptitud laboral.
• Historial clínico.

La utilización de este tipo de información exigirá controles mucho más estrictos.

---

¿Qué ocurre con las cámaras de seguridad?

Una de las consultas más frecuentes tiene relación con los sistemas de videovigilancia.

Muchas organizaciones creen que las imágenes captadas por cámaras de seguridad son únicamente registros internos.

Sin embargo, desde la perspectiva de la protección de datos personales, una imagen que permite identificar a una persona también constituye un dato personal.

Por ello, las empresas deberán analizar cuidadosamente:

• Qué cámaras poseen.
• Con qué finalidad se utilizan.
• Quién accede a las grabaciones.
• Cuánto tiempo se conservan.
• Cómo se protegen los registros.

Este será uno de los temas que abordaremos en profundidad en futuros artículos de esta serie.

---

Los datos personales en Recursos Humanos

Pocas áreas gestionan tanta información personal como Recursos Humanos.

Un simple legajo puede contener:

• Documentos de identidad.
• Direcciones.
• Teléfonos.
• Datos bancarios.
• Historial laboral.
• Certificados médicos.
• Evaluaciones de desempeño.

Esto convierte a Recursos Humanos en una de las áreas más expuestas frente a los desafíos que plantea la nueva ley.

No se trata únicamente de almacenar información, sino de hacerlo bajo criterios adecuados de seguridad, confidencialidad y privacidad.

---

El desafío de la transformación digital

A medida que las organizaciones avanzan en sus procesos de digitalización, la cantidad de datos personales tratados aumenta significativamente.

Hoy muchas empresas utilizan:

• Plataformas en la nube.
• Sistemas ERP.
• CRM comerciales.
• Aplicaciones móviles.
• Formularios web.
• Herramientas de marketing digital.
• Sistemas de videovigilancia.
• Soluciones de inteligencia artificial.

Cada una de estas tecnologías puede implicar el tratamiento de información personal.

Por ello, la gestión de datos se está convirtiendo en una responsabilidad estratégica para las organizaciones.

---

¿Cómo ayuda ISO/IEC 27001?

Uno de los principales desafíos será garantizar que la información personal permanezca protegida frente a accesos no autorizados, pérdidas o filtraciones.

Aquí aparece el papel de ISO/IEC 27001.

Esta norma internacional proporciona un marco para proteger la información mediante controles relacionados con:

• Gestión de accesos.
• Gestión de incidentes.
• Seguridad física.
• Seguridad tecnológica.
• Gestión de riesgos.
• Continuidad operativa.

En otras palabras, ayuda a proteger la información que la ley busca resguardar.

---

¿Y dónde entra ISO/IEC 27701?

Mientras ISO 27001 se enfoca en la seguridad de la información, ISO/IEC 27701 amplía ese enfoque hacia la privacidad.

Esta norma ayuda a las organizaciones a gestionar adecuadamente los datos personales mediante controles específicos relacionados con:

• Consentimiento.
• Transparencia.
• Derechos de los titulares.
• Retención de datos.
• Eliminación de información.
• Transferencias internacionales.
• Responsabilidades de privacidad.

Por esta razón, ISO 27701 es considerada actualmente una de las principales herramientas internacionales para gestionar programas de privacidad alineados con regulaciones como el GDPR europeo.

---

La información tiene valor, pero también responsabilidad

Durante muchos años las organizaciones se enfocaron en recopilar datos.

Hoy el desafío ya no es obtener información.

El desafío es administrarla correctamente.

La nueva Ley de Protección de Datos Personales establece que los datos pertenecen a las personas y que las organizaciones tienen la responsabilidad de tratarlos de forma adecuada, transparente y segura.

Comprender qué información está protegida es el primer paso para cumplir con esta nueva realidad.

Porque nadie puede proteger aquello que ni siquiera sabe que está gestionando.