Un correo mal enviado, una notebook perdida o un proveedor sin controles pueden bastar para exponer datos personales. Con la Ley N.º 7593/2025, la respuesta ante un incidente deja de ser opcional.

Datos expuestos, confianza en riesgo: cómo responder ante una filtración
Un correo mal enviado, una notebook perdida o un proveedor sin controles pueden bastar para exponer datos personales. Con la Ley N.º 7593/2025, la respuesta ante un incidente deja de ser opcional.
00 Resumen ejecutivo
Las filtraciones de datos ya no son un riesgo lejano ni exclusivo de grandes empresas tecnológicas. Hoy cualquier organización que gestiona información de clientes, colaboradores, proveedores, alumnos, pacientes o usuarios puede enfrentar una brecha de seguridad.
Un incidente puede producirse por un ataque informático, pero también por errores simples y cotidianos: enviar un correo al destinatario equivocado, perder una notebook, compartir contraseñas, configurar mal una base de datos, no controlar los accesos internos o trabajar con proveedores tecnológicos sin requisitos claros de seguridad.
Con la Ley N.º 7593/2025 de Protección de Datos Personales, las organizaciones paraguayas deberán actuar con mayor responsabilidad. Ante un incidente de seguridad, no bastará con resolver el problema técnico. Será necesario identificar qué ocurrió, contener el daño, evaluar el riesgo para las personas, documentar las acciones tomadas y notificar cuando corresponda.
La verdadera pregunta ya no es si una empresa puede sufrir una filtración, sino si está preparada para responder correctamente cuando ocurra.
01 ¿Qué puede considerarse una brecha de seguridad?
Una brecha de seguridad ocurre cuando los datos personales se pierden, se alteran, se destruyen, se divulgan o son accedidos por personas no autorizadas. Esto puede afectar tanto información digital como documentos físicos.
Muchas veces las organizaciones asocian una brecha únicamente con un ciberataque sofisticado. Sin embargo, en la práctica, gran parte de los incidentes se originan en fallas de gestión, errores humanos, falta de controles o ausencia de procedimientos internos.
| Situación | Riesgo principal |
|---|---|
| Enviar una base de datos al correo equivocado | Exposición de información personal |
| Perder una notebook o celular corporativo | Acceso no autorizado a datos |
| Usar contraseñas débiles o compartidas | Ingreso indebido a sistemas |
| Sufrir un ataque de ransomware | Bloqueo, pérdida o secuestro de información |
| Mantener accesos de excolaboradores | Uso indebido de plataformas internas |
| No controlar a proveedores tecnológicos | Incidentes fuera del control directo |
| Guardar documentos sensibles sin protección | Acceso físico no autorizado |
| Usar plataformas gratuitas sin evaluación previa | Tratamiento inseguro de información |
Una filtración no siempre empieza con un hacker. Muchas veces comienza con una decisión interna mal gestionada.
02 Por qué una filtración afecta la confianza
Cuando una organización pierde el control sobre los datos personales, no solo enfrenta un problema técnico. También se pone en riesgo la confianza construida con clientes, colaboradores y partes interesadas.
Las personas entregan sus datos esperando que sean utilizados de manera responsable. Cuando esa información se expone, se pierde o se utiliza indebidamente, la organización puede enfrentar reclamos, pérdida de reputación, sanciones, interrupciones operativas y deterioro de su imagen pública.
| Impacto posible | Consecuencia para la organización |
|---|---|
| Pérdida de confianza | Clientes o usuarios dejan de compartir información |
| Daño reputacional | Afectación de la imagen institucional |
| Reclamos de titulares | Aumento de consultas, quejas o acciones legales |
| Interrupción operativa | Sistemas o procesos quedan temporalmente detenidos |
| Costos de recuperación | Gastos técnicos, legales y comunicacionales |
| Sanciones o investigaciones | Revisión por parte de autoridades competentes |
La seguridad de los datos no debe ser vista como un gasto, sino como una condición básica para operar con responsabilidad.
03 Responder rápido, pero no improvisar
Ante una filtración, las primeras horas son decisivas. La organización debe actuar con rapidez, pero también con orden. Una respuesta desorganizada puede agravar el problema, destruir evidencia, generar comunicaciones incorrectas o impedir una investigación adecuada.
Lo primero es confirmar si realmente hubo un incidente, contener el daño y registrar cada acción tomada. No se trata solo de «apagar el incendio», sino de gestionar el incidente con criterios técnicos, legales y organizacionales.
| Paso inicial | Objetivo |
|---|---|
| Detectar el incidente | Confirmar si hubo afectación de datos |
| Contener el daño | Evitar que la filtración continúe |
| Preservar evidencia | Mantener registros para la investigación |
| Evaluar el alcance | Identificar datos, sistemas y personas afectadas |
| Informar internamente | Activar responsables de tecnología, legal y dirección |
| Documentar decisiones | Demostrar trazabilidad y diligencia |
| Definir voceros | Evitar mensajes contradictorios |
| Revisar obligaciones legales | Determinar si corresponde notificar |
La improvisación es uno de los mayores enemigos en la gestión de incidentes. Por eso, toda organización debería contar con un protocolo definido antes de que ocurra el problema.
04 Preguntas clave durante las primeras horas
Cuando se detecta una posible filtración, la organización debe reunir información básica para comprender la situación. Esta evaluación inicial permite tomar decisiones más acertadas y evitar respuestas apresuradas.
- ¿Qué ocurrió?
- ¿Cuándo se detectó el incidente?
- ¿El incidente continúa activo?
- ¿Qué sistemas, carpetas, documentos o bases de datos fueron afectados?
- ¿Qué tipo de datos personales pudieron quedar expuestos?
- ¿Cuántas personas podrían estar involucradas?
- ¿Hubo acceso, copia, eliminación o modificación de información?
- ¿Existe participación de un proveedor externo?
- ¿Qué medidas inmediatas ya fueron tomadas?
- ¿Corresponde comunicar a la autoridad o a los titulares?
| Pregunta | Importancia |
|---|---|
| ¿Cuándo se detectó? | Permite establecer plazos de respuesta |
| ¿Qué datos fueron afectados? | Ayuda a medir la gravedad del incidente |
| ¿Cuántas personas están involucradas? | Permite determinar el alcance |
| ¿El incidente sigue activo? | Define la urgencia de contención |
| ¿Quién tuvo acceso? | Ayuda a identificar responsabilidades |
| ¿Qué medidas se aplicaron? | Permite demostrar actuación diligente |
Cuanta más información confiable se reúna en las primeras horas, mejor será la capacidad de respuesta.
05 Evaluar el riesgo para las personas
El centro de la respuesta no debe ser únicamente la empresa, sino las personas cuyos datos pudieron verse comprometidos.
No todos los incidentes tienen la misma gravedad. El nivel de riesgo dependerá del tipo de dato afectado, la cantidad de personas involucradas, la posibilidad de que la información sea utilizada indebidamente y las consecuencias que pueda generar.
No es lo mismo exponer una lista de correos electrónicos que filtrar documentos de identidad, datos bancarios, información médica, contraseñas o datos biométricos.
Cuanto más sensible sea la información, mayor deberá ser la rapidez, profundidad y formalidad de la respuesta.
06 Comunicar de forma clara y responsable
Una mala comunicación puede causar tanto daño como el propio incidente. Ocultar información, minimizar el problema o comunicar sin datos verificados puede afectar la confianza de clientes, colaboradores y partes interesadas.
Cuando corresponda informar a las personas afectadas, el mensaje debe ser claro, directo y comprensible. Las personas necesitan saber qué ocurrió, qué datos pudieron verse afectados, qué medidas tomó la organización y qué pueden hacer para protegerse.
Una comunicación responsable debería incluir
- Qué ocurrió
- Cuándo fue detectado
- Qué información pudo verse afectada
- Qué medidas tomó la organización
- Qué recomendaciones deben seguir los afectados
- Qué canal estará disponible para consultas
- Qué acciones se están implementando para evitar la repetición del incidente
| Comunicación inadecuada | Comunicación responsable |
|---|---|
| «No pasó nada grave» | «Estamos evaluando el alcance del incidente» |
| «Fue un error del sistema» | «Se activaron medidas de contención» |
| «Sus datos podrían estar seguros» | «Estos son los datos que podrían haberse visto afectados» |
| «Ya está solucionado» | «Además de contener el incidente, investigamos la causa raíz» |
| «No tenemos información» | «Actualizaremos por este canal oficial cuando existan novedades verificadas» |
La transparencia no elimina el incidente, pero ayuda a proteger la confianza y demuestra responsabilidad.
07 La obligación de notificar
La Ley N.º 7593/2025 establece que, ante un incidente de seguridad de datos personales, el responsable del tratamiento deberá notificar a la Autoridad de Control y, cuando corresponda, al titular del dato, en un plazo máximo de 72 horas desde que tuvo conocimiento del incidente.
Este punto obliga a las organizaciones a prepararse antes de que ocurra el problema. Si una empresa recién comienza a organizar su respuesta después de la filtración, probablemente llegará tarde.
La notificación no debe verse solamente como una exigencia legal. También es una práctica de transparencia y una forma de proteger a las personas afectadas, especialmente cuando pueden tomar medidas para reducir el riesgo.
| Pregunta clave | Para qué sirve |
|---|---|
| ¿Cuándo se detectó el incidente? | Determinar el inicio del plazo de respuesta |
| ¿Qué datos fueron afectados? | Medir el nivel de riesgo |
| ¿Cuántas personas podrían estar involucradas? | Evaluar el alcance |
| ¿Qué medidas se tomaron? | Demostrar diligencia |
| ¿Corresponde notificar a la autoridad? | Cumplir con la obligación legal |
| ¿Corresponde informar a los titulares? | Proteger a las personas afectadas |
| ¿Qué evidencia existe? | Respaldar la actuación de la organización |
Una organización preparada debería tener definido quién evalúa el incidente, quién autoriza la notificación, quién comunica y quién conserva la documentación.
08 Después del incidente: corregir y mejorar
Contener una filtración no significa cerrar el caso. Después de controlar la situación, la organización debe investigar la causa raíz y aplicar acciones correctivas para evitar que el problema se repita.
La causa puede estar en una falla tecnológica, pero también en procesos mal diseñados, falta de capacitación, ausencia de controles, permisos excesivos, contratos débiles con proveedores o inexistencia de políticas internas.
La pregunta central debe ser: ¿qué debe cambiar para que esto no vuelva a ocurrir?
| Causa posible | Acción correctiva |
|---|---|
| Contraseñas débiles | Implementar autenticación multifactor |
| Falta de capacitación | Formar al personal en protección de datos |
| Exceso de permisos | Revisar perfiles y accesos |
| Sistemas desactualizados | Aplicar mantenimiento y parches |
| Proveedores sin control | Exigir cláusulas de seguridad y confidencialidad |
| Falta de procedimiento | Crear un protocolo de respuesta a incidentes |
| Copias de seguridad deficientes | Implementar respaldos periódicos y pruebas de recuperación |
| Ausencia de monitoreo | Establecer alertas y revisión de accesos |
Una respuesta madura no termina cuando se restablece el sistema. Termina cuando la organización aprende, corrige y fortalece sus controles.
09 El papel de las normas ISO
Las normas ISO pueden ser una herramienta útil para ordenar la gestión de incidentes, fortalecer la seguridad de la información y demostrar mejora continua.
| Norma | Aporte principal |
|---|---|
| ISO/IEC 27001 | Seguridad de la información |
| ISO/IEC 27701 | Gestión de privacidad |
| ISO 22301 | Continuidad del negocio |
| ISO 31000 | Gestión de riesgos |
| ISO 9001 | Mejora continua y acciones correctivas |
Estas normas no reemplazan la ley, pero ayudan a construir sistemas de gestión más sólidos, documentados y auditables.
10 Medidas preventivas recomendadas
La mejor respuesta ante una filtración comienza antes del incidente. Las organizaciones deben prepararse con políticas, controles, capacitación y responsabilidades claras.
No se trata únicamente de comprar herramientas tecnológicas, sino de construir una cultura de seguridad y protección de datos.
- Capacitación periódica
- Control de accesos
- Autenticación multifactor
- Cifrado de datos
- Copias de seguridad
- Evaluación de proveedores
- Simulacros de incidentes
- Políticas internas claras
- Auditorías internas
Una organización preparada no es aquella que promete que nunca tendrá incidentes, sino aquella que sabe prevenirlos, detectarlos y responder correctamente.
11 Conclusión
Las brechas de seguridad y filtraciones de datos representan uno de los mayores desafíos para las organizaciones modernas. No se trata solamente de proteger sistemas informáticos, sino de proteger la confianza de las personas.
La Ley N.º 7593/2025 marca un cambio importante en Paraguay: las empresas deberán demostrar que cuentan con medidas técnicas, organizativas y documentadas para responder ante incidentes de seguridad.
La gestión de una filtración debe incluir detección, contención, análisis del riesgo, comunicación responsable, notificación cuando corresponda, investigación de causa raíz y acciones correctivas.
Las organizaciones que comprendan este cambio estarán mejor preparadas no solo para cumplir con la ley, sino también para fortalecer su reputación, proteger a las personas y consolidar una cultura de seguridad basada en la prevención y la mejora continua.
En materia de datos personales, la confianza no se conserva negando los riesgos, sino respondiendo con rapidez, transparencia y responsabilidad.
— Sobre la gestión de filtraciones y la Ley N.º 7593/2025 de Protección de Datos Personales
