Cada vez que completamos un formulario, enviamos un currículum, compramos por internet, ingresamos a una empresa, usamos una aplicación o aceptamos una política de privacidad, dejamos información personal en manos de terceros.
Durante años, esos datos circularon entre organizaciones, plataformas, sistemas y bases de datos sin que muchas personas supieran exactamente qué información se almacenaba, para qué se usaba o durante cuánto tiempo se conservaba.
La nueva Ley Paraguaya de Protección de Datos Personales introduce un cambio profundo: reconoce que la información personal no pertenece a las empresas, instituciones o plataformas que la administran, sino a las personas.
Sus datos,
sus derechos.
La nueva ley paraguaya de protección de datos personales introduce un cambio de paradigma: la información siempre perteneció a las personas. Ahora, la ley también lo reconoce.
Durante décadas, millones de personas entregaron su información personal a empresas, bancos, hospitales, universidades e instituciones públicas sin saber con claridad qué ocurría después. Los datos ingresaban a bases de datos y, a partir de ahí, el ciudadano perdía todo rastro y todo control. La Ley N.º 7593/2025 de Protección de Datos Personales cambia ese escenario de manera definitiva.
La información siempre fue nuestra
Cuando alguien compra un producto, solicita un empleo, abre una cuenta bancaria o completa un formulario en Internet, entrega parte de su información personal. Durante muchos años se asumió que, una vez entregados, esos datos pasaban a formar parte de las bases de datos organizacionales sin mayores cuestionamientos.
La evolución de la legislación internacional cambió completamente esa visión. Hoy el principio es claro: los datos personales pertenecen a las personas. Las organizaciones únicamente están autorizadas para tratarlos bajo condiciones específicas y respetando los derechos establecidos por la ley. Este principio constituye uno de los pilares tanto del GDPR europeo como de la nueva legislación paraguaya.
«Los datos personales pertenecen a las personas. Las organizaciones solo están autorizadas a tratarlos bajo condiciones específicas.»— Ley N.º 7593/2025 · Principio rector
La base del nuevo sistema de protección
Aunque la ley contempla diversos derechos, cuatro constituyen la columna vertebral del nuevo sistema. Cada uno responde a una necesidad concreta del ciudadano frente a las organizaciones que administran su información.
Derecho de Acceso
Permite a cualquier persona conocer qué información posee una organización sobre ella: una copia de los datos almacenados, la finalidad del tratamiento, el tiempo de conservación previsto, las categorías de información registradas y las personas u organizaciones con quienes fueron compartidos.
Ejemplo prácticoDerecho de Rectificación
Toda organización puede cometer errores: un domicilio desactualizado, un número telefónico incorrecto, un apellido mal escrito o información incompleta. Este derecho permite solicitar que esos datos sean corregidos para garantizar que la información utilizada sea exacta y vigente.
Ejemplo prácticoDerecho de Oposición
Existen situaciones en las cuales una persona puede manifestar que no desea que determinada información continúe siendo utilizada para ciertos fines. Este derecho aplica especialmente en contextos de campañas comerciales, marketing directo, perfilamiento y comunicaciones promocionales.
Ejemplo prácticoDerecho de Supresión
También conocido como «derecho al olvido», permite solicitar la eliminación de datos personales cuando ya no exista una finalidad legítima para conservarlos. Esto no significa que toda información pueda eliminarse de inmediato: obligaciones legales, laborales, tributarias o contractuales pueden exigir la conservación de ciertos registros durante períodos específicos. Cada solicitud debe analizarse individualmente.
Ejemplo prácticoCuadro comparativo de derechos
| Derecho | ¿Qué permite? | ¿Cuándo aplica? | Ejemplo |
|---|---|---|---|
| Acceso | Conocer qué datos posee una organización sobre usted | En cualquier momento, sin necesidad de justificación | Solicitar copia del historial de cliente en un banco |
| Rectificación | Corregir datos incorrectos, incompletos o desactualizados | Cuando la información registrada no refleja la realidad actual | Actualizar domicilio o número de teléfono en RRHH |
| Oposición | Impedir el uso de datos para fines específicos no deseados | Frente a marketing directo, publicidad o perfilamiento | Solicitar exclusión de listas de envío comercial |
| Supresión | Solicitar la eliminación de datos sin finalidad legítima vigente | Cuando no existe obligación legal de conservación | Eliminar datos de campañas o bases comerciales inactivas |
Nuevas obligaciones y procedimientos
El reconocimiento de estos derechos implica desafíos concretos para empresas e instituciones. No será suficiente con conocer la ley: las organizaciones deberán desarrollar procedimientos internos documentados para atender cada tipo de solicitud de manera ordenada, trazable y dentro de los plazos establecidos.
| Solicitud recibida | Acción requerida | Evidencia a conservar |
|---|---|---|
| Acceso | Identificar y entregar la información conforme a los procedimientos legales | Registro de la solicitud, copia entregada y fecha de respuesta |
| Rectificación | Actualizar los registros con los datos correctos | Historial de modificaciones y confirmación al titular |
| Oposición | Suspender el tratamiento específico indicado en la solicitud | Registro de la oposición y evidencia de cese del tratamiento |
| Supresión | Analizar la base legal y eliminar o justificar conservación | Análisis documentado y resultado con justificación legal |
Plazos, trazabilidad y documentación
No será suficiente con responder las solicitudes. Las organizaciones deberán poder demostrar que las recibieron, analizaron y respondieron correctamente. La trazabilidad se convierte así en uno de los pilares del cumplimiento efectivo de la ley.
| Tipo de registro | Propósito |
|---|---|
| Formularios de solicitud | Documentar el ingreso formal de cada requerimiento ciudadano |
| Registros de seguimiento | Asegurar que cada solicitud avanza dentro del plazo legal |
| Evidencias de respuesta | Demostrar que la solicitud fue atendida correctamente |
| Historial de modificaciones | Registrar cada cambio realizado sobre los datos del titular |
| Controles de acceso | Acreditar quién consultó, modificó o eliminó información personal |
La ausencia de documentación puede ser tan problemática como el incumplimiento mismo. Ante una auditoría o reclamo, la organización debe poder demostrar que actuó correctamente — y la carga de la prueba recae sobre ella.
El rol de las normas ISO en el cumplimiento
Cumplir una ley no consiste únicamente en conocer su contenido. También implica desarrollar procesos, controles y mecanismos auditables. En este punto cobran protagonismo dos normas internacionales complementarias entre sí.
Establece un Sistema de Gestión de Seguridad de la Información (SGSI) que protege la confidencialidad, integridad y disponibilidad de los datos mediante controles de acceso, gestión de riesgos, continuidad operativa y respuesta ante incidentes.
Amplía el SGSI incorporando controles específicos de privacidad, conformando un Sistema de Gestión de Información de Privacidad (PIMS) completamente auditable. Mientras la ley define los derechos, esta norma define cómo gestionarlos de forma estructurada.
Más que un requisito: una oportunidad
Garantizar estos derechos no solo evita incumplimientos legales. También fortalece la relación entre organizaciones y ciudadanos. Un cliente que sabe que puede acceder a su información, corregirla o solicitar su eliminación percibe mayor transparencia y responsabilidad. En un mercado cada vez más exigente, la protección de datos comienza a convertirse en un diferenciador real de calidad del servicio.
La privacidad deja de ser únicamente un requisito jurídico para transformarse en un componente esencial de la experiencia del cliente y de la reputación organizacional. Las organizaciones que comiencen a construir sus procedimientos antes de la entrada en vigor plena de la ley en 2027 no solo reducirán riesgos: estarán mejor posicionadas para competir en un entorno digital cada vez más exigente en materia de confianza.
El período de adaptación no es una demora: es una ventana estratégica. Construir procedimientos, capacitar equipos y documentar procesos hoy es construir ventaja competitiva para mañana.
