Derecho Corporativo2026-07-1514 min de lectura

Ley N° 7593/2025 de Protección de Datos Personales: la Guía de Cumplimiento para Empresas y Empleadores en Paraguay

Paraguay promulgó su primera ley integral de protección de datos personales. Con una vacatio legis de 24 meses, el período 2026-2027 es la ventana de adecuación para toda empresa que trate datos de clientes, proveedores o trabajadores. Explicamos las obligaciones concretas, los derechos de los titulares, la nueva Agencia de control y un régimen de multas que llega hasta 10.000 jornales mínimos.

Dr. José Ramón Pérez

Especialista en Derecho Corporativo

Ley N° 7593/2025 de Protección de Datos Personales: la Guía de Cumplimiento para Empresas y Empleadores en Paraguay

El 27 de noviembre de 2025 el Poder Ejecutivo promulgó la Ley N° 7593/2025 "De Protección de Datos Personales en la República del Paraguay", la primera normativa integral que regula el tratamiento de datos personales en el país, tanto en el sector público como en el privado. Hasta ahora Paraguay solo contaba con reglas fragmentarias —principalmente la Ley N° 6534/2020 sobre datos crediticios— y era uno de los pocos países de la región sin una ley general de privacidad. Ese vacío quedó cerrado.

Para las empresas la noticia no es la promulgación en sí, sino el reloj que empezó a correr. La ley establece una vacatio legis de 24 meses (art. 57): entra en plena vigencia recién a fines de noviembre de 2027. Eso significa que el período 2026-2027 es la ventana de adecuación, y que toda organización que trate datos de clientes, proveedores, usuarios o —muy especialmente— de sus propios trabajadores, tiene poco menos de dos años para poner su casa en orden antes de que la nueva autoridad de control comience a fiscalizar y sancionar.

En Avanzia Legal desglosamos a continuación qué exige la ley, a quién obliga, qué derechos crea, cuál es el nuevo régimen de multas y, sobre todo, qué debe hacer una empresa paraguaya —en particular en la gestión de recursos humanos— para llegar preparada a noviembre de 2027.

Infografía: régimen de multas de la Ley N° 7593/2025 según el tipo de datos — topes de 2.500, 5.000 y 10.000 jornales mínimos


1. Qué cambia: de la nada a un estándar tipo GDPR

La Ley N° 7593/2025 no es una reforma menor. Introduce, de una sola vez, el andamiaje completo que otras jurisdicciones construyeron a lo largo de años: principios rectores, bases de licitud, un catálogo de derechos de los titulares, obligaciones de seguridad y responsabilidad proactiva (accountability), reglas para transferencias internacionales, una autoridad de control independiente y un régimen sancionatorio propio.

El modelo se inspira claramente en el Reglamento General de Protección de Datos europeo (GDPR): alcance extraterritorial, privacidad desde el diseño y por defecto, evaluaciones de impacto, notificación de brechas en 72 horas y sanciones económicas de peso. Para el empresariado paraguayo esto implica dejar de tratar los datos como un activo de libre disposición y empezar a gestionarlos como lo que la ley ahora reconoce que son: información sujeta a los derechos de su titular.

La ley tiene 61 artículos organizados en 6 títulos, fue aprobada por la Cámara de Diputados el 14 de octubre de 2025 y por el Senado el 5 de noviembre de 2025, y derogó parcialmente varias disposiciones de la Ley N° 6534/2020 de datos crediticios (art. 59), cuyas funciones de control pasan a la nueva Agencia.


2. ¿A quién obliga la ley? Ámbito de aplicación

El ámbito de aplicación (art. 2) es amplio y tiene alcance extraterritorial. La ley se aplica a cualquier tratamiento de datos personales, total o parcialmente automatizado —y también al no automatizado cuando los datos formen parte de un archivo—, realizado por personas físicas o jurídicas, con independencia del país donde se encuentren los datos o la sede del responsable, cuando:

  • El responsable o encargado esté establecido en Paraguay, aunque el tratamiento se realice en el exterior; o
  • El responsable o encargado no esté establecido en el país, pero: (a) trate datos de personas situadas en territorio paraguayo, (b) ofrezca bienes o servicios dirigidos a residentes en Paraguay, o (c) monitoree el comportamiento de personas en territorio nacional.

En la práctica, esto alcanza a prácticamente toda empresa que opere en Paraguay, y también a proveedores tecnológicos del exterior (SaaS, plataformas, procesadores de pago) que presten servicios a compañías o consumidores locales.

Quedan excluidos (art. 2) únicamente el tratamiento con fines exclusivamente domésticos o familiares sin propósito comercial, y el realizado con fines de seguridad pública, defensa, seguridad nacional, ámbito migratorio y materia penal.

Dato importante: la ley protege únicamente a personas físicas (art. 1). Los datos de personas jurídicas no están amparados por esta norma.


3. Conceptos que toda empresa debe manejar (art. 3)

Antes de hablar de obligaciones, conviene fijar el vocabulario de la ley, porque de él dependen las responsabilidades:

Concepto Definición práctica
Dato personal Información de cualquier tipo referida a una persona física determinada o determinable.
Dato sensible Origen racial o étnico; convicciones religiosas, filosóficas o morales; afiliación sindical o política; salud; vida u orientación sexual; datos genéticos o biométricos; y todo dato cuyo uso indebido pueda causar discriminación o un riesgo grave.
Titular La persona física a quien corresponden los datos (su cliente, su empleado).
Responsable del tratamiento Quien decide los fines y medios del tratamiento. Normalmente, su empresa.
Encargado del tratamiento Quien trata datos por cuenta y bajo instrucciones del responsable (p. ej., su proveedor de nube, su estudio contable, la empresa de nómina).
Tratamiento Cualquier operación sobre datos: recolección, registro, almacenamiento, uso, transferencia, cesión, etc.

La distinción entre responsable y encargado es central: cuando su empresa terceriza la nómina, la facturación o el hosting, sigue siendo responsable frente al titular y debe encuadrar esa relación en un contrato (ver punto 7).


4. Los diez principios rectores (art. 4)

Todo tratamiento debe respetar los principios del artículo 4. No son declaraciones abstractas: son la vara con la que la Agencia medirá el cumplimiento.

  1. Exactitud — los datos deben ser correctos y estar actualizados.
  2. Licitud — el responsable debe poder acreditar que el tratamiento tiene base legal.
  3. Finalidad — fines determinados, explícitos, legítimos y de duración limitada.
  4. Minimización o proporcionalidad — recolectar solo los datos necesarios para esa finalidad.
  5. Limitación del plazo de conservación — no guardar datos indefinidamente.
  6. Lealtad y transparencia — informar al titular con claridad.
  7. Conciliación de la transparencia pública y protección — incluye la prohibición expresa de publicar datos sensibles.
  8. Diligencia debida — privacidad desde el diseño y por defecto, evaluaciones de impacto y designación de un oficial de protección de datos.
  9. Seguridad — medidas técnicas y organizativas adecuadas al riesgo.
  10. Confidencialidad — subsiste incluso después de terminada la relación con el titular.

5. Cuándo puede tratar datos: bases de licitud y consentimiento (arts. 5, 6 y 8)

Uno de los errores más comunes es creer que "para todo hace falta consentimiento". No es así. El artículo 5 enumera siete bases de licitud y basta con que se cumpla una de ellas:

  1. Consentimiento del titular para fines específicos;
  2. Cumplimiento de una obligación legal del responsable;
  3. Ejercicio de funciones públicas por organismos del Estado;
  4. Ejecución de un contrato o de tratativas precontractuales en las que el titular es parte;
  5. Ejercicio de derechos en procedimientos judiciales, administrativos o arbitrales;
  6. Interés legítimo del responsable o de un tercero (salvo que prevalezcan los derechos del titular, sobre todo si es niño o adolescente);
  7. Protección de la vida, integridad o salud del titular o de un tercero.

Cuando la base es el consentimiento, el artículo 6 exige que sea previo, libre, informado e inequívoco, para finalidades determinadas. Si se recoge dentro de un texto más amplio (por ejemplo, unos términos y condiciones), debe distinguirse claramente. Y hay dos reglas que las empresas suelen pasar por alto:

  • El titular puede revocar el consentimiento en cualquier momento, mediante mecanismos tan sencillos y gratuitos como los que usó para otorgarlo.
  • La carga de la prueba es de la empresa: es el responsable quien debe poder demostrar que obtuvo el consentimiento. Sin registro, no hay prueba.

El interés legítimo (art. 8) es una base poderosa pero exigente: requiere una relación pertinente y apropiada con el titular y ajustarse a sus expectativas razonables; el titular puede oponerse en cualquier momento y la Agencia puede pedir el análisis previo que lo justifique.


6. Datos sensibles y el ámbito laboral (art. 20)

El artículo 20 parte de una prohibición general: "queda prohibido el tratamiento de datos personales sensibles", salvo que se configure una de las excepciones tasadas. Para los empleadores, dos de esas excepciones son decisivas:

  • Ámbito laboral y de la seguridad social (art. 20, num. 3): se permite tratar datos sensibles cuando sea necesario para cumplir obligaciones y ejercer derechos "en el ámbito del derecho laboral y de la seguridad social", con garantías adecuadas. Esta es la base que habilita, por ejemplo, la gestión de legajos de personal, aportes al IPS y documentación laboral que incidentalmente contiene datos sensibles.
  • Medicina laboral (art. 20, num. 8): se permite el tratamiento para medicina preventiva o laboral y evaluación de la capacidad laboral del trabajador, siempre a cargo de un profesional sujeto a secreto. Relevante para exámenes preocupacionales, reposos y certificados de aptitud.

Ahora bien, hay un punto que exige atención inmediata: la afiliación sindical es un dato sensible (art. 3). Todo registro que un empleador lleve sobre la pertenencia sindical de sus trabajadores queda sujeto a la prohibición del art. 20 salvo excepción legal —un terreno donde conviene ser especialmente cuidadoso.


7. Las obligaciones concretas de la empresa (arts. 9 a 18)

Aquí está el núcleo operativo de la ley. Estas son las obligaciones que su organización debe implementar durante la ventana de adecuación:

7.1. Medidas de seguridad y responsabilidad proactiva (arts. 9 y 16)

El responsable debe aplicar medidas técnicas y organizativas apropiadas al riesgo y, sobre todo, poder demostrar que cumple (accountability). La seguridad no es un acto único, sino un ciclo de monitoreo, revisión y mejora continua.

7.2. Contrato con el encargado (art. 11)

Si terceriza cualquier tratamiento (nube, nómina, marketing, cobranzas), la relación debe regirse por un contrato que fije objeto, duración, naturaleza, finalidad, tipo de datos, categorías de titulares y obligaciones del encargado. Tratar datos a través de un proveedor sin contrato escrito es, en sí mismo, una falta grave (art. 45).

7.3. Evaluación de impacto (arts. 14 y 15)

Es obligatoria cuando el tratamiento pueda suponer riesgos significativos, en particular: elaboración de perfiles con efectos jurídicos, tratamiento a gran escala de datos sensibles, u observación sistemática a gran escala de espacios públicos. Si la evaluación arroja un riesgo alto no mitigable, hay que hacer consulta previa a la Agencia y no iniciar el tratamiento hasta que esta se pronuncie (dispone de 30 días hábiles).

7.4. Oficial de Protección de Datos (art. 18)

La ley prevé la figura del oficial de protección de datos, pero su obligatoriedad queda diferida a la reglamentación: será exigible "en los casos a ser establecidos" por el decreto reglamentario. Un grupo empresarial puede designar uno solo, propio o externo. Aunque hoy no sea obligatorio para todos, es una pieza que conviene ir previendo.

7.5. Notificación de incidentes de seguridad: la regla de las 72 horas (art. 17)

Ante una brecha de seguridad (una filtración, un ataque, una pérdida de datos), el responsable debe notificar a la Agencia y, cuando corresponda, a los titulares afectados, en un plazo que no podrá exceder de setenta y dos (72) horas desde que tomó conocimiento. Cumplir este plazo exige tener protocolos de respuesta a incidentes definidos antes de que ocurra el incidente.


8. Los derechos de los titulares —y de sus trabajadores— (arts. 26 a 33)

La ley reconoce a toda persona un catálogo de derechos irrenunciables, que deben poder ejercerse por medios "sencillos, expeditos, accesibles y gratuitos". La empresa que reciba una solicitud tiene un plazo máximo de 30 días corridos para responder (art. 26).

  • Información (art. 27): al recolectar los datos, informar categorías, finalidades, base legal, transferencias, plazo de conservación, existencia de decisiones automatizadas y cómo ejercer los derechos.
  • Acceso (art. 28): obtener copia de los datos que la empresa trata.
  • Rectificación (art. 29): corregir datos falsos, erróneos o desactualizados; si hubo cesión, notificar la corrección al cesionario dentro del quinto día hábil.
  • Oposición (art. 30): cesar el tratamiento en 10 días hábiles (o 15 días hábiles si es para mercadotecnia directa).
  • Supresión (art. 31): eliminar los datos "sin demora injustificada" cuando ya no son necesarios, se revocó el consentimiento o el tratamiento fue ilícito, con excepciones tasadas.
  • Portabilidad (art. 32): transferir los datos de un responsable a otro.
  • Decisiones automatizadas (art. 33): derecho a solicitar revisión, expresar su punto de vista e impugnar decisiones tomadas exclusivamente por medios automatizados que afecten al titular.

Este último derecho tiene una implicancia directa en recursos humanos: los procesos de reclutamiento y evaluación de desempeño automatizados quedan alcanzados. Un candidato o un trabajador descartado por un algoritmo puede exigir intervención humana y explicación de los criterios.


9. Datos de niños, niñas y adolescentes (art. 7)

El artículo 7 impone reglas reforzadas, guiadas por el interés superior del niño:

  • Para menores de 16 años: se requiere el consentimiento previo, expreso e informado de quien ejerza la patria potestad, guarda o tutela.
  • Para adolescentes de 16 años o más, cuando se traten datos sensibles: se requiere el consentimiento del adolescente junto con la autorización del responsable legal.

Esto obliga a revisar todo producto o servicio dirigido a menores (plataformas educativas, apps, comercios con clientela joven).


10. Transferencias internacionales de datos (art. 19)

Como la mayoría de las empresas usa servicios en la nube alojados en el exterior, esta regla es transversal. El artículo 19 solo permite transferir datos fuera de Paraguay hacia países que ofrezcan un nivel de protección adecuado, según lo determine la Agencia Nacional de Protección de Datos Personales.

Si el país de destino no ofrece nivel adecuado, la empresa debe adoptar garantías apropiadas: cláusulas contractuales específicas o estándar, normas corporativas vinculantes, códigos de conducta o certificaciones. Hay excepciones puntuales (consentimiento expreso del titular, ejecución de un contrato, transferencias bancarias, cooperación judicial, entre otras). En concreto: conviene mapear hoy dónde se alojan sus datos y qué proveedores los procesan fuera del país.


11. La nueva autoridad: Agencia Nacional de Protección de Datos Personales (arts. 34 a 40)

La ley crea la Agencia Nacional de Protección de Datos Personales, como unidad desconcentrada del Ministerio de Tecnologías de la Información y Comunicación (MITIC), con rango de Dirección Nacional y autonomía funcional e independencia (art. 34). Estará a cargo de un Director General designado por decreto del Poder Ejecutivo, previo concurso público, por un período de tres años (arts. 37-40).

Sus atribuciones (art. 35) son extensas: supervisar y fiscalizar, dictar reglamentaciones, tramitar denuncias e instruir sumarios, realizar auditorías, imponer sanciones administrativas sin necesidad de acudir previamente al Poder Judicial, evaluar la adecuación de transferencias internacionales y homologar códigos de conducta. Su resolución agota la vía administrativa (art. 55) y solo puede recurrirse por acción contencioso-administrativa ante el Tribunal de Cuentas (art. 56).


12. El régimen de multas: hasta 10.000 jornales mínimos (arts. 43 a 49)

Aquí está el incentivo económico que cambia la ecuación. La ley clasifica las faltas en leves (prescriben en 1 año, art. 44) y graves (prescriben en 2 años, art. 45), y prevé las siguientes sanciones (art. 46), aplicables de forma indistinta o acumulativa:

  1. Apercibimiento, con plazo para adoptar medidas correctivas;
  2. Multa de 20 a 2.500 jornales mínimos para el régimen general;
    • Hasta 5.000 jornales mínimos si se trata de datos sensibles;
    • Hasta 10.000 jornales mínimos si se trata de datos sensibles de niños, niñas y adolescentes;
  3. Suspensión de las actividades de tratamiento de datos.

Para dimensionar el impacto, conviene traducir esos jornales a guaraníes. Con el jornal mínimo vigente de Gs. 117.077 (conforme al Decreto N° 6225/2026, vigente desde el 1 de julio de 2026), los topes de multa equivalen aproximadamente a:

Categoría Tope en jornales Equivalente aprox. (jul. 2026)
Régimen general 2.500 Gs. 292.700.000
Datos sensibles 5.000 Gs. 585.400.000
Datos sensibles de NNA 10.000 Gs. 1.170.800.000

Como el monto se calcula en jornales, crece automáticamente cada año con el reajuste del salario mínimo. Además de la multa, la Agencia puede ordenar medidas correctivas (art. 42): cese o suspensión del tratamiento y eliminación de datos, cuyo recurso no tiene efecto suspensivo. Las multas se pagan dentro de los 30 días hábiles de notificadas (art. 49).


13. El punto ciego: la protección de datos en Recursos Humanos

Muchas empresas asocian la protección de datos con el marketing o el e-commerce, y descuidan el área donde acumulan más datos sensibles de forma cotidiana: Recursos Humanos. El legajo de cada trabajador contiene documentos de identidad, datos de salud, información de aportes, antecedentes, datos bancarios y, a veces, afiliación sindical. La ley impacta de lleno en su gestión:

  • Revisión de legajos: aplicando el principio de minimización (art. 4), el empleador debería revisar cada legajo y depurar los datos innecesarios, desactualizados o desproporcionados que conserva "por si acaso".
  • Derecho de acceso del trabajador: como titular de sus datos, el empleado puede pedir saber qué datos trata la empresa, con qué finalidad y por cuánto tiempo, y la empresa tiene 30 días para responder (art. 26).
  • Videovigilancia (art. 22): el uso de cámaras en el lugar de trabajo está habilitado para preservar la seguridad de personas y bienes, pero sujeto a reglas de información y conservación.
  • Reclutamiento y evaluación automatizados (art. 33): si utiliza software de selección o de medición de desempeño, debe garantizar el derecho a revisión humana e impugnación.
  • Proveedores de nómina y beneficios: cada tercero que procese datos de sus trabajadores debe estar cubierto por un contrato de encargado (art. 11).

La protección de datos, en definitiva, se integra a la cultura de cumplimiento laboral que ya venimos abordando en nuestra Guía de Compliance Laboral y Fiscalización del MTESS: dos caras de la misma diligencia empresarial.


14. Hoja de ruta de adecuación 2026-2027

La ventana de dos años puede parecer holgada, pero la adecuación real —mapear datos, renegociar contratos, capacitar equipos— toma tiempo. Un plan razonable incluye:

  1. Mapeo de datos (data mapping): identificar qué datos trata la empresa, dónde se almacenan, quién accede y a quién se transfieren.
  2. Análisis de bases de licitud: determinar bajo qué base del art. 5 se ampara cada tratamiento.
  3. Revisión de contratos con proveedores para incorporar cláusulas de encargado (art. 11) y transferencias internacionales (art. 19).
  4. Actualización de políticas de privacidad y avisos para cumplir el deber de información (art. 27).
  5. Rediseño de mecanismos de consentimiento y de ejercicio de derechos (canales, plazos, registros).
  6. Fortalecimiento de la ciberseguridad y diseño del protocolo de respuesta a incidentes (regla de las 72 horas, art. 17).
  7. Gobernanza: evaluar la necesidad de un oficial de protección de datos y definir responsabilidades internas.
  8. Depuración de legajos de RR.HH. y revisión de videovigilancia y procesos automatizados.
  9. Capacitación de las áreas que tratan datos (RR.HH., marketing, ventas, sistemas, atención al cliente).

15. Conclusión

La Ley N° 7593/2025 marca el ingreso de Paraguay al grupo de países con un marco moderno de protección de datos, alineado con estándares internacionales. Para las empresas, más que una carga, es una oportunidad de fortalecer la confianza de clientes y trabajadores y de competir en un entorno digital donde el buen manejo de la información se ha vuelto un activo reputacional.

Pero la adecuación no es automática ni trivial. Exige un diagnóstico honesto de cómo la organización recolecta, usa, comparte y protege datos —y decisiones que atraviesan lo jurídico, lo tecnológico y lo laboral. Empezar en 2026, con tiempo, es la diferencia entre llegar a noviembre de 2027 con un sistema ordenado o hacerlo a las apuradas y bajo la amenaza de multas que llegan a los 10.000 jornales mínimos.

Desde Avanzia Legal, nuestro equipo de Derecho Corporativo acompaña a empresas en el proceso completo de adecuación a la Ley N° 7593/2025: mapeo de datos, análisis de bases de licitud, redacción de políticas y contratos de encargado, diseño de protocolos de incidentes, revisión de la gestión de datos en Recursos Humanos y definición del modelo de gobernanza. En una materia nueva y aún pendiente de reglamentación, la asesoría especializada es lo que convierte una obligación legal en una ventaja competitiva.


¿Su empresa ya sabe qué datos personales trata y bajo qué base legal? ¿Tiene contratos con sus proveedores tecnológicos y un protocolo ante brechas de seguridad? Nuestro equipo puede realizar un diagnóstico de adecuación a la Ley N° 7593/2025 y diseñar su hoja de ruta de cumplimiento. Contáctenos al +595 21 490393 o escriba a contacto@avanzialegal.com


Fuentes consultadas

Herramientas Relacionadas

Utiliza estas herramientas para aplicar los conceptos de este artículo:

Guía Completa de Compliance Laboral y Fiscalización del MTESS

Auditoría laboral interactiva con checklist completo, matriz de riesgos, calculadora de multas y protocolo de actuación ante inspecciones del MTESS e IPS.

30 minutosGuíasDisponible

Asesoramos a su empresa

Brindamos soluciones legales integrales para el crecimiento seguro de su negocio.

Conozca nuestro servicio de Derecho Corporativo