Ley de Protección de Datos Personales en Paraguay 2025: Todo lo que empresas y ciudadanos deben saber
El 27 de noviembre de 2025 marcó un antes y un después en la regulación digital paraguaya: el presidente Santiago Peña promulgó la Ley Nº 7593/2025 “De Protección de Datos Personales”, la primera normativa integral que regula el tratamiento de datos personales en el país.
En Pasmor Abogados le explicamos en detalle qué cambia, cuáles son los plazos, las obligaciones empresariales y cómo esta ley posiciona a Paraguay como destino atractivo para la inversión extranjera.
¿Por qué Paraguay necesitaba esta ley y qué beneficios trae?
Paraguay era uno de los pocos países de América Latina sin una ley general de protección de datos. La nueva normativa alinea al país con estándares internacionales como el RGPD europeo (GDPR) y las buenas prácticas de la OCDE y la LGPD de Brasil, generando:
- Mayor confianza para la inversión extranjera (especialmente europea y estadounidense).
- Facilitación de transferencias internacionales de datos.
- Reducción del riesgo reputacional y sanciones en mercados globales.
- Impulso al sector fintech, e-commerce y salud digital.
¿Qué garantiza la Ley Nº 7593/2025?
La ley protege el derecho constitucional a la intimidad y establece principios claros:
- Licitud, lealtad y transparencia
- Minimización de datos
- Limitación de la finalidad
- Exactitud y actualización
- Conservación limitada
- Seguridad y confidencialidad
- Responsabilidad proactiva (“accountability”)
Se complementa con normativas previas
Ley 6534/2020 sobre datos crediticios
La Ley Nº 6534/2020 “De Protección de Datos Crediticios” regula exclusivamente la información sobre solvencia patrimonial y cumplimiento de obligaciones financieras de las personas en Paraguay. Abarca tanto los burós de crédito privados como los registros públicos y aplica a bancos, financieras, comercios y cualquier entidad que maneje este tipo de datos en el país.
El titular puede, en cualquier momento y sin costo, acceder a su información crediticia, rectificarla, actualizarla, suponerla, oponerse a su tratamiento o solicitar su portabilidad. Todo tratamiento o cesión de datos crediticios es ilícito si no cuenta con el consentimiento libre, previo, expreso e informado del titular. Su fiscalización corresponde al Banco Central del Paraguay y sigue plenamente vigente junto con la nueva Ley 7593/2025 de protección de datos personales generales.
Ley Nº 4868/2013 de Comercio Electrónico en Paraguay
La Ley Nº 7593/2025, promulgada el 27 de noviembre de 2025, se complementa con la Ley Nº 4868/2013 de Comercio Electrónico, sin anularla ni derogarla en absoluto. Ambas normativas coexisten en un marco armónico, fortaleciendo el ecosistema digital paraguayo al abordar aspectos complementarios del entorno electrónico. Mientras que la Ley 4868/2013 regula el comercio y la contratación a través de medios electrónicos (transacciones a distancia, obligaciones de proveedores y protección general a usuarios), la Ley 7593/2025 se centra en el tratamiento específico de datos personales, incorporando salvaguardas de privacidad que enriquecen las operaciones comerciales digitales sin alterar el núcleo de la normativa anterior.
Esta complementariedad se alinea con el enfoque de la Ley 7593/2025, que explícitamente indica en su articulado (inspirado en estándares internacionales como el GDPR) que no deroga leyes sectoriales existentes, sino que las integra para una protección integral. Por ejemplo, en contextos de e-commerce, donde se recolectan datos como nombres, direcciones, preferencias de pago o historiales de navegación, la Ley 7593/2025 añade capas de responsabilidad en el manejo de esa información, pero respeta las disposiciones de la Ley 4868/2013 sobre validez de contratos electrónicos, plazos de entrega y derechos de retracto.
Datos sensibles: protección reforzada
Se consideran datos sensibles y requieren mayor protección:
- Origen racial o étnico
- Opiniones políticas y convicciones religiosas
- Afiliación sindical
- Datos genéticos y biométricos
- Datos de salud y vida sexual
Derechos de los titulares (derechos ARCO ampliados)
- Acceso: saber qué datos se tratan
- Rectificación: corregir datos inexactos
- Cancelación/Supresión: derecho al olvido
- Oposición: rechazar tratamientos
- Portabilidad: recibir los datos en formato estructurado
- Revocación del consentimiento en cualquier momento
Obligaciones para empresas y entidades públicas
- Nombrar un Delegado de Protección de Datos (DPO) cuando sea obligatorio
- Realizar evaluaciones de impacto (EIPD)
- Llevar registro de actividades de tratamiento
- Notificar brechas de seguridad en 72 horas
- Implementar privacidad por diseño y por defecto
- Celebrar contratos con encargados de tratamiento
Multas y sanciones
Las infracciones podrán ser sancionadas con multas de:
- Para infracciones generales: multas de 20 a 2.500 jornales mínimos.
- Si involucran datos sensibles: hasta 5.000 jornales mínimos.
- Si involucran datos sensibles de niños, niñas y adolescentes: hasta 10.000 jornales mínimos.
* infracciones y sanciones de la ley (Título V, Capítulo II, De las Sanciones Administrativas).
«sanciones podrán elevarse hasta cinco mil jornales mínimos para actividades diversas no especificadas en la República del Paraguay. 2.2. Tratándose de tratamiento de datos personales sensibles, las sanciones podrán elevarse hasta diez mil jornales mínimos»
Fechas clave que debe conocer
- 27 de noviembre de 2025: promulgación.
- Noviembre 2027: entrada en vigencia plena (2 años de vacatio legis).
- 2026: creación y puesta en marcha de la Agencia Nacional de Protección de Datos Personales (ANPDP).
¿Afecta esta ley al acceso a la información pública?
Durante el debate legislativo surgió la duda sobre posibles limitaciones a la transparencia (datos salariales, declaraciones juradas, etc.). El ministro Gustavo Villate aclaró que la ley NO modifica ni deroga la Ley 5282/2014 de Acceso a la Información Pública. Ambas normas conviven y el equilibrio se resuelve caso por caso.
¿Cómo adaptarse antes de noviembre 2027?
En Pasmor Abogados, en alianza estratégica con nuestro partner tecnológico FF Informática y Comunicación, ofrecemos el servicio completo de adaptación a la Ley de Protección de Datos Personales en Paraguay.
Para empresas, instituciones u organizaciones que operan en Paraguay, públicas o privadas, la entrada en vigencia de esta ley implica un período de preparación y adecuación. En ese contexto, un despacho legal con enfoque en protección de datos como Pasmor Abogados, en colaboración con su partner tecnológico FF Informática y Comunicación, está especialmente calificado para ofrecer:
- Asesoramiento en adecuación a la normativa: diagnóstico inicial, análisis de procesos, identificación de riesgos, elaboración de políticas de privacidad, contratos con proveedores, medidas técnicas de seguridad.
- Servicios de “delegado / responsable de protección de datos” (DPO)* en caso de que la ley o reglamentación requiera designación especial (por ejemplo, para entidades públicas, tratamientos masivos o de alto riesgo), lo cual podría recaer en un despacho de abogados con soporte técnico.
- Preparación proactiva para transferencias internacionales de datos, cumplimiento con estándares globales y armonización de operaciones digitales con normativas internacionales (GDPR, LGPD, etc.).
- Auditorías internas, gestión de consentimientos, redacción de políticas de privacidad, formación del personal, protocolos de respuesta ante incidentes.
* El Artículo 36 de la ley establece que el DPO puede ser una persona física o jurídica, con independencia y expertise en derecho y tecnología, lo que explícitamente habilita el outsourcing a un despacho de abogados con soporte técnico, siempre que cumpla con los requisitos de autonomía, conocimiento legal y capacidad para supervisar el cumplimiento.
De esta forma, Pasmor Abogados puede ofrecer un servicio integral, combinando expertise legal y técnico, para asegurar que organizaciones paraguayas cumplan con la ley desde su entrada en vigor.
Fuente: LEY 7593/25 – DE PROTECCIÓN DE DATOS PERSONALES EN LA REPÚBLICA DEL PARAGUAY
