Proteccion de datos en Paraguay: la ley que la era de la IA necesita
En noviembre de 2027 van a pasar dos cosas al mismo tiempo en Paraguay. La primera: va a entrar en vigor la Ley 7593, la primera ley integral de protección de datos personales de la historia del país. La segunda: va a abrir sus puertas la primera fase de Yguazú Digital, el centro de datos de inteligencia artificial con Taiwán. Dos instituciones que van a convivir, una al lado de la otra, sin que nadie haya puesto sobre la mesa si la primera está a la altura de la segunda.
Paraguay fue, hasta noviembre de 2025, el último país de Sudamérica —junto con Bolivia— sin una ley integral de protección de datos. Tenía artículos sueltos en la Constitución (el 33, el 36, el 135 de habeas data), una ley de datos crediticios (la 6534/2020) y una de comercio electrónico (la 4868/2013). Pero no existía una autoridad nacional, no había obligación de notificar brechas de seguridad, no se sabía qué pasaba con los datos de un paraguayo si terminaban en un servidor en otro continente. La Ley 7593/2025 cambió eso. La pregunta es si cambió lo suficiente.
De la nada al GDPR criollo: qué trae la Ley 7593
La ley fue el resultado de cuatro años de trabajo de la Coalición de Datos Personales, una alianza de organizaciones civiles encabezada por TEDIC, APADIT, ISOC Paraguay, Abente Stewart y Puente. El proyecto pasó por 13 discusiones en Diputados, fue modificado en el Senado, volvió a Diputados, regresó al Senado, y finalmente se sancionó el 5 de noviembre de 2025 con 24 votos —el mínimo requerido era 23. El presidente Santiago Peña la promulgó el 27 de noviembre.
El resultado es un marco legal que, sobre el papel, está alineado con los estándares internacionales. La ley establece 10 principios para el tratamiento de datos (finalidad, adecuación, necesidad, transparencia, seguridad, entre otros), reconoce siete bases legales para procesar información personal (consentimiento, ejecución contractual, obligación legal, interés legítimo, etc.), y otorga a los ciudadanos los derechos ARCO clásicos —acceso, rectificación, cancelación, oposición— más el derecho a la portabilidad de datos.
También incluye obligaciones que eran inexistentes en Paraguay: notificación de brechas de seguridad en 72 horas, designación obligatoria de un Delegado de Protección de Datos (DPO) para ciertos responsables, evaluaciones de impacto de protección de datos (EIPD) para tratamientos de alto riesgo, y un régimen de transferencias internacionales que exige que el país receptor tenga un nivel adecuado de protección.
En términos de alcance geográfico, la ley es extraterritorial: se aplica a cualquier responsable o encargado que procese datos de personas que están en Paraguay, aunque la empresa no tenga presencia física en el país. En esto copia directamente al GDPR europeo. La aspiración declarada es que, eventualmente, la Comisión Europea le otorgue a Paraguay una decisión de adecuación —el sello que permite que los datos fluyan libremente desde la UE hacia el país sin necesidad de cláusulas contractuales adicionales. Argentina la tiene desde 2003, Uruguay desde 2012, Brasil la consiguió en enero de 2026. Paraguay quiere ser el cuarto.
Una autoridad sin dientes: el elefante en la sala
El problema no está en lo que la ley dice. Está en quién va a hacer que se cumpla.
El borrador original de la Coalición de Datos Personales proponía una autoridad independiente, con estructura, presupuesto y personal propios. El texto final que aprobó el Congreso degradó esa autoridad a una Dirección General dentro del MITIC, el Ministerio de Tecnologías de la Información y Comunicación. Una unidad desconcentrada, con autonomía funcional pero sin independencia estructural. En la práctica, compite por presupuesto con todas las demás prioridades del ministerio.
Las multas máximas son de 1.200 millones de guaraníes, unos 160.000 dólares. Para ponerlo en contexto: el GDPR europeo permite multas de hasta el 4% de la facturación global; la LGPD brasileña permite hasta 50 millones de reales por infracción. Las sanciones paraguayas son, literalmente, dos órdenes de magnitud más bajas.
Y hay un dato que ilustra mejor que cualquier comparación normativa el estado de preparación del país: según la Asociación Latinoamericana de Privacidad (ALAP), hay un solo profesional certificado en privacidad y protección de datos en todo Paraguay. Uno. El cargo de DPO —Delegado de Protección de Datos— es, como lo describió un análisis jurídico local, “un cargo inexistente en la estructura tradicional paraguaya”. Las empresas no saben qué es. No hay programas universitarios que lo enseñen. No hay un pool de talento del cual contratar.
La experiencia brasileña, que es el espejo más cercano, muestra que implementar una ley de este tipo lleva años incluso con recursos. La ANPD brasileña —que es un organismo autónomo, no una dirección dentro de un ministerio— tardó dos años en empezar a multar. Cuando lo hizo, las primeras siete sanciones fueron en su mayoría contra el sector público, que irónicamente no puede recibir multas (la ley se lo prohíbe, igual que la paraguaya). Las entidades públicas pueden violar la ley sin consecuencia financiera. Solo reciben recomendaciones.
Yguazú Digital y la ley de datos: dos trenes que llegan a la misma estación
La simultaneidad es incómoda. La Ley 7593 entra en vigor en noviembre de 2027. La fase 1 de Yguazú Digital —10 megavatios, 200 millones de dólares, enfocada en procesar datos del gobierno paraguayo: registros médicos, impositivos, sistemas de vigilancia— apunta a estar operativa para fines de ese mismo año.
En el análisis que publicamos sobre Yguazú Digital, detallamos la magnitud del proyecto: tres fases, de 10 MW a 1 GW, inversión total aspiracional de 40.000 millones de dólares, modelo de gestión binacional copiado de Itaipú. Lo que no mencionamos en ese artículo —porque no estaba en ningún documento público— es que el memorándum de entendimiento entre Paraguay y Taiwán no contiene una sola línea sobre protección de datos. Ni privacidad, ni autoridad de control, ni reglas de transferencia transfronteriza. Cero.
A esto se suma un problema jurisdiccional que la ley paraguaya no resuelve. Si Google, Microsoft o Amazon —empresas que el fondo taiwanés ICDF ya contactó para sondear interés— almacenan datos en Yguazú Digital, la ley estadounidense CLOUD Act permite que las autoridades de Estados Unidos exijan acceso a esos datos independientemente de dónde estén físicamente. Paraguay no tiene un acuerdo bilateral con Estados Unidos bajo el marco de la CLOUD Act que le permita negociar, condicionar o rechazar esos pedidos. Los datos estarían en suelo paraguayo, pero sujetos a una jurisdicción que Paraguay no controla.
El ejemplo de Estonia es instructivo, y en sentido inverso. Estonia almacena copias de sus datos gubernamentales en un centro de datos en Luxemburgo —su “embajada de datos”— bajo un acuerdo que establece explícitamente que esos datos retienen soberanía estonia aunque estén físicamente en Luxemburgo. Paraguay está en la situación opuesta: va a alojar datos extranjeros sin haber negociado qué soberanía se aplica. El modelo Itaipú, que el gobierno cita explícitamente como inspiración para la gobernanza del centro de datos, tiene un historial de operar con opacidad y fuera de los marcos regulatorios domésticos normales.
Lo que la ley previó sobre inteligencia artificial (y lo que no)
La Ley 7593 incorpora protecciones contra decisiones automatizadas que son, en espíritu, equivalentes al Artículo 22 del GDPR. Los ciudadanos tienen derecho a no ser objeto de decisiones basadas únicamente en tratamiento automatizado que produzcan efectos jurídicos o les afecten significativamente. Tienen derecho a intervención humana, a expresar su punto de vista y a impugnar la decisión. Las evaluaciones de impacto son obligatorias para tratamientos de alto riesgo.
Pero estas protecciones fueron diseñadas para un mundo donde la IA procesa datos personales, no para un mundo donde Paraguay es el país que aloja la infraestructura que entrena los modelos. La ley regula qué hacen las empresas paraguayas con los datos de los paraguayos. No regula —no puede regular— qué hacen las empresas extranjeras con datos extranjeros en servidores paraguayos. Esa es una laguna que ninguna ley nacional de protección de datos cubre, y que cobra una relevancia particular cuando tu país se propone ser un hub regional de almacenamiento y procesamiento.
Hay otro problema, más sutil. La ley reconoce el derecho de supresión de datos personales, pero este derecho colisiona técnicamente con cómo se entrenan los modelos de inteligencia artificial: un modelo entrenado con datos no puede “desaprender” un dato específico sin reentrenarse por completo. El “machine unlearning” es un problema de investigación abierto. Si un ciudadano paraguayo ejerce su derecho de supresión sobre datos que ya fueron usados para entrenar un modelo, el responsable del tratamiento está ante una obligación que la tecnología actual no puede cumplir.
El Artículo 24: cuando los datos chocan con la transparencia
La ley tiene una cláusula que generó más controversia que todo el resto del texto junto. El Artículo 24 permite denegar el acceso a información pública cuando, según el texto legal, “el daño al interés protegido sea mayor al interés público de obtener la información”.
La senadora Esperanza Martínez, del Frente Guasu, la calificó de “versión Frankenstein y versión Drácula”. Los senadores Filizzola y Paredes denunciaron su inconstitucionalidad. Ezequiel Santagada, uno de los abogados más reconocidos en derecho de acceso a la información en Paraguay, advirtió que el artículo llevaría “a la anulación de las leyes de acceso a la información pública”. El presidente Peña no vetó el artículo.
El problema de fondo es real: toda ley de protección de datos tiene que resolver la tensión entre privacidad y transparencia. El GDPR lo hace, la LGPD lo hace, todas las leyes del mundo lo hacen porque los dos derechos —el derecho a la privacidad y el derecho a la información pública— pueden colisionar. La diferencia está en cómo se resuelve esa colisión. El Artículo 24 paraguayo usa un test de balance genérico, sin criterios objetivos, sin un órgano independiente que lo aplique, y en un contexto institucional donde la opacidad estatal no es una hipótesis sino una práctica documentada.
La Coalición de Datos Personales, que empujó la ley durante cuatro años, se encontró en la posición incómoda de celebrar la aprobación de un texto que incluye una cláusula que varias de sus organizaciones miembro consideran peligrosa. TEDIC lo expresó con diplomacia: “es un logro colectivo basado en evidencia y participación plural”, pero no ocultó que el texto final no era el que habían propuesto.
La Ley 7593/2025 es, al mismo tiempo, un avance histórico y un marco insuficiente. Es un avance porque Paraguay pasó de no tener nada a tener una ley alineada con el GDPR, con derechos para los ciudadanos y obligaciones para las empresas. Es insuficiente porque la autoridad que debería hacerla cumplir carece de independencia y recursos, porque las multas son demasiado bajas para disuadir a un actor grande, y porque la ley no fue diseñada para el escenario que Paraguay mismo está construyendo: el de un país que aloja datos del mundo sin tener todas las herramientas jurídicas para protegerlos.
En noviembre de 2027, cuando la ley entre en vigor, Yguazú Digital va a estar procesando sus primeros terabytes. La pregunta no es si Paraguay tiene una ley de protección de datos. La pregunta es si la ley que tiene basta para el Paraguay que se viene. La respuesta, por ahora, es que no.
Fuentes
- TEDIC — “La ley sobre la protección de datos personales en Paraguay: Un logro colectivo” (28 noviembre 2025)
- BACN — Ley Nº 7593/2025 de Protección de Datos Personales
- Senado.gov.py — “Senado ratificó su versión del proyecto de Protección de Datos Personales” (5 noviembre 2025)
- La Nación — “Ley de Protección de Datos: implicancias, desafíos e impacto transversal” (3 diciembre 2025)
- BKM Berkemeyer — “Análisis de la Ley N° 7593/2025 de Protección de Datos Personales” (noviembre 2025)
- DLA Piper — Data Protection Handbook: Paraguay (actualizado 30 marzo 2026)
- Bloomberg Línea — “Taiwán ayudará a financiar un centro de datos de IA de US$200 millones en Paraguay” (12 junio 2026)
- IAPP — “Lessons from Brazilian DPA sanctions to date” (8 octubre 2024)
- ABC Color — “Camino hacia la protección de datos en Paraguay” (4 junio 2025)