Sumario: I. Introducción.— II. Propiedad Intelectual y Datos Personales.— III. Implicancias para el sector privado y enfoque de cumplimiento.— IV. Conexión con mercados de capitales y Fintech.— V. Conclusión.
I. Introducción
Paraguay ha dado un salto cualitativo al sancionar la Ley N° 7593/2025 de Protección de Datos Personales. Promulgada el 27 de noviembre de 2025, la norma crea un marco integral y moderno, alineado con estándares internacionales, que regula por primera vez el tratamiento de datos personales tanto en el sector público como en el privado, un imperative en esta era digital en la que la información se ha convertido en un activo estratégico que requiere protección en todas las áreas del derecho, entre ellas en la esfera de la Propiedad Intelectual.
Esta modernización regulatoria coincide con un contexto macroeconómico favorable, en el que Paraguay ha alcanzado el «doble grado de inversión» por parte de las agencias Moody’s y S&P, factor que mejora el acceso al capital y refuerza su atractivo para proyectos intensivos en datos y tecnología. La ley redefine la relación entre organizaciones e individuos al situar los datos personales como un activo estratégico cuyo manejo responsable incide directamente en la confianza del mercado y en la reputación corporativa.
La ley se aplica a cualquier tratamiento de datos personales, automatizado o no, y abarca a responsables o encargados establecidos en Paraguay. Su alcance es extraterritorial, aplicándose también a responsables no establecidos que ofrezcan bienes o servicios a residentes o monitoreen el comportamiento de personas en territorio paraguayo, imponiendo, en ciertos casos, la obligación de designar un representante local. Quedan excluidos de su ámbito el tratamiento estrictamente doméstico y aquellos vinculados a la seguridad pública, la defensa nacional y las actividades penales, aunque estos últimos deben igualmente respetar los principios de la ley.
La ley adopta una taxonomía operativa, definiendo con precisión conceptos clave como «dato personal» (toda información sobre una persona física identificada o identificable), «tratamiento» (cualquier operación o conjunto de operaciones realizadas sobre datos personales), y «titular de datos», entre otros. Incluye categorías especiales como los «datos sensibles» (biométricos, genéticos, de salud), que exigen mayores garantías, e introduce herramientas de gestión de riesgos como la «evaluación de impacto» y la notificación de «incidentes de seguridad».
El tratamiento de los datos se rige por los principios de licitud, lealtad, transparencia, finalidad, minimización, exactitud, limitación de la conservación, seguridad y responsabilidad proactiva. Estos se traducen en obligaciones concretas, como informar en lenguaje claro, adoptar la privacidad desde el diseño y por defecto, y realizar evaluaciones de impacto cuando el tratamiento entrañe un alto riesgo para los derechos y libertades de los titulares.
Aplicado al ámbito de la Propiedad Intelectual, el nuevo marco exige integrar los principios arriba mencionados en los procesos de registro y gestión de derechos de autor y software, administración de licencias, operación de plataformas de contenidos, y en la ejecución de medidas de enforcement en línea, entre otros aspectos.
El tratamiento de datos personales solo es lícito si se funda en una de las siguientes bases legales: el consentimiento del titular para fines específicos; el cumplimiento de una obligación legal; el ejercicio de funciones públicas; la ejecución de un contrato a solicitud del titular; el ejercicio de derechos en procesos judiciales, administrativos o arbitrales; o la satisfacción del interés legítimo del responsable o de un tercero, siempre que no prevalezcan los derechos del titular.
La ley establece un marco robusto de gobernanza y gestión de riesgos. Los responsables y encargados deben implementar medidas técnicas y organizativas apropiadas y notificar a la autoridad de control y, en su caso, a los titulares, cualquier incidente de seguridad en un plazo máximo de 72 horas. Se introduce la obligación de realizar una Evaluación de Impacto relativa a la Protección de Datos (EIPD) previa a tratamientos que impliquen un alto riesgo. Asimismo, se contempla la designación de un Oficial de Protección de Datos (DPO), interno o externo, en los supuestos que defina la reglamentación. Esta profesionalización del cumplimiento que impulsa la ley alcanza de manera directa a los procesos de Propiedad Intelectual, en los que el tratamiento de datos personales es inherente a la creación, registro, explotación y observancia de activos intangibles.
Las transferencias internacionales de datos solo podrán realizarse a países u organizaciones que ofrezcan un nivel de protección adecuado, según determine la Agencia. En ausencia de una decisión de adecuación, las transferencias podrán efectuarse si el responsable ofrece garantías apropiadas, como cláusulas contractuales tipo o normas corporativas vinculantes. La ley también prevé excepciones para situaciones específicas, como la cooperación judicial internacional o la protección de intereses vitales del titular.
La ley amplía los derechos de los titulares, consagrando el derecho de acceso, rectificación, supresión, oposición y portabilidad de sus datos. Estos derechos deben poder ejercerse a través de procedimientos sencillos, gratuitos y expeditos, con un plazo de respuesta de 30 días corridos. La norma también refuerza el derecho a la información y establece salvaguardas frente a decisiones individuales automatizadas que produzcan efectos jurídicos o afecten significativamente al titular, garantizando el derecho a obtener intervención humana, expresar un punto de vista e impugnar la decisión. El ejercicio efectivo de estos derechos requerirá una mayor alfabetización digital por parte de la ciudadanía.
Se crea la Agencia Nacional de Protección de Datos Personales como una unidad desconcentrada del Ministerio de Tecnologías de la Información y Comunicación (MITIC), con autonomía funcional e independencia. Esta entidad ejercerá con exclusividad las facultades reglamentarias, de supervisión, sanción y control en materia de protección de datos personales en el país.
La Agencia podrá imponer sanciones y medidas correctivas. En el caso de instituciones públicas, puede ordenar el cese o corrección de la infracción y notificar a la máxima autoridad. La ley exige conciliar el acceso a la información pública (Ley N° 5282/2014) con la protección de datos, aplicando un testde proporcionalidad que evite la difusión excesiva de datos personales en actos de gobierno, pero sin desnaturalizar el control ciudadano. El intercambio de datos entre instituciones públicas se regula bajo criterios de necesidad, proporcionalidad y competencia legal.
La ley establece regímenes específicos para ciertos tratamientos. La videovigilancia, por ejemplo, contempla obligaciones de conservación mínima de grabaciones para su puesta a disposición ante ilícitos. El tratamiento de datos relativos a infracciones penales y administrativas se remite a su normativa especial, aunque debe respetar los principios generales de la ley.
El Poder Ejecutivo dispone de hasta 24 meses para reglamentar la ley, con una entrada en vigor general prevista para noviembre de 2027. Este período de adecuación es crítico para que las organizaciones diseñen sus marcos de cumplimiento, revisen contratos y adopten las tecnologías de soporte necesarias. El objetivo a mediano plazo es lograr la interoperabilidad con marcos como el RGPD, aspirando a una decisión de adecuación por parte de la Comisión Europea que facilite los flujos de datos y consolide la posición de Paraguay como un hub digital confiable.
II. Propiedad Intelectual y Datos Personales
La intersección en la que convergen el derecho de Propiedad Intelectual y la protección de los datos personales plantea importantes desafíos, que se traducen principalmente en garantizar que las obras originales, las innovaciones y las marcas estén resguardadas por derechos de autor, patentes y registros, respetando las normas de privacidad en el manejo de información. Estos desafíos implican la integración de prácticas de cumplimiento normativo, capacitación constante y el uso de tecnologías.Conforme a la ley, los tratamientos deberán reposar en bases legales adecuadas —consentimiento, cumplimiento legal, ejecución contractual, interés legítimo ponderado, entre otras— y observar salvaguardas reforzadas frente a decisiones automatizadas cuando se utilicen perfiles para detectar infracciones o monetizar catálogos mediante analítica e IA. En cadenas globales de explotación de PI, las transferencias internacionales requerirán decisiones de adecuación o garantías apropiadas (cláusulas tipo, normas corporativas vinculantes, códigos o certificaciones), asignando la carga de la prueba al exportador de datos.
Asimismo, la obligación de notificar incidentes de seguridad y de implementar medidas técnicas y organizativas desde el diseño y por defecto cobra especial relevancia para proteger información sensible de autores, inventores, licenciatarios, y secretos empresariales vinculados a know-how y datos no divulgados que integran el ecosistema de PI. Desde la perspectiva organizacional, las empresas deberán “repensar” su compliance e incorporar un responsable/Oficial de Protección de Datos con mandato transversal —figura clave para alinear la gestión de portafolios de PI y la observancia con estándares de privacidad—, mitigando riesgos legales y reputacionales.
Esta articulación debe coordinarse con el marco institucional y normativo de PI administrado por la Dirección Nacional de Propiedad Intelectual (DINAPI) —incluidas las leyes de derecho de autor, marcas, patentes, dibujos y modelos, y la protección de información no divulgada— a fin de que la observancia de derechos no desnaturalice garantías del titular de datos ni la transparencia en el uso de información personal. La experiencia comparada muestra que las acciones de defensa de la PI que impliquen recolección de identificadores (por ejemplo, direcciones IP en redes P2P) deben justificarse estrictamente, pues la protección de datos personales no puede ceder sin ponderación rigurosa del interés público y del contenido esencial del derecho fundamental.
III. Implicancias para el sector privado y enfoque de cumplimiento
Para las empresas, la adaptación a la ley exige un enfoque proactivo y documentado. Es fundamental realizar un inventario de los tratamientos de datos para mapear flujos, identificar las bases legales aplicables y definir plazos de conservación. Esto debe acompañarse de una revisión de las políticas de privacidad y los mecanismos de obtención de consentimiento para asegurar que sean claros e informados. Los contratos con encargados del tratamiento deben actualizarse para incluir cláusulas sobre seguridad, notificación de incidentes y auditorías. A nivel técnico, se requiere implementar medidas de seguridad adecuadas y protocolos de respuesta a incidentes que permitan cumplir con el plazo de notificación de 72 horas. Para grupos multinacionales, es clave revisar los flujos de datos transfronterizos y adoptar las garantías necesarias, además de anticipar la designación de un DPO y, si aplica, un representante local.
IV. Conexión con mercados de capitales y fintech
La modernización del mercado de capitales, supervisada por el Banco Central, exige a los participantes alinear el cumplimiento financiero con el de protección de datos. Para el pujante sector fintech, esto implica implementar seguridad y privacidad por diseño en los nuevos rieles de pagos interoperables, una obligación que se extiende a los proveedores de servicios, incluso si son transfronterizos.
V. Conclusión
La nueva ley de protección de datos posiciona a Paraguay en la vanguardia regulatoria regional, transformando la privacidad en un activo estratégico y una condición habilitante para la economía digital. Al reducir la incertidumbre y crear un marco predecible para los flujos de datos, la norma no solo protege derechos fundamentales, sino que también fortalece la seguridad jurídica.
Para el inversor extranjero, la combinación de una ley de datos de última generación con un clima de negocios favorable y el estatus de doble grado de inversión, crea una oportunidad para escalar operaciones intensivas en datos, siempre que el cumplimiento se aborde de manera proactiva, documentada y con una gobernanza efectiva.
Mientras que en el marco de la Propiedad Intelectual, la ley no solo establece obligaciones legales, sino que consolida pilares para generar una mayor confianza en las organizaciones y creadores y, promueve la integración entre estas áreas del derecho buscando fortalecerlas en un entorno digital cada vez más exigente.
