La ley incorpora principios, derechos para los titulares de los datos y obligaciones específicas para quienes los recolectan, almacenan, procesan o comparten. Prácticas habituales hasta hoy —como el uso de planillas en Excel, intercambios por WhatsApp o correos electrónicos sin controles— pasan a estar sujetas a un marco regulatorio estricto, con un régimen de sanciones ante incumplimientos.
Para analizar el impacto de esta normativa, InfoNegocios se comunicó con el abogado Stephan Vysokolan, especialista en protección de datos y privacidad.
De prácticas comunes a conductas reguladas
Vysokolan explicó que el alcance de la ley es amplio y no se limita a grandes bases de datos o sistemas complejos.
“La nueva Ley de Protección de Datos en Paraguay será aplicable a cualquier tratamiento de datos personales, total o parcialmente automatizado. Por ende, el intercambio entre personas físicas y jurídicas de cualquier archivo y/o documento que contenga datos personales deberá adecuarse necesariamente a los principios y derechos consagrados en la ley”, señaló.
En esa línea, advirtió que todas las industrias deberán revisar cómo gestionan la información:
“Todos los sectores que forman el ecosistema comercial, financiero, industrial, público y privado deberán comenzar a dimensionar la importancia de los datos que compartimos a terceros, como también los que recibimos”.
El fin de la compraventa informal de bases de datos
Durante años, la compra, venta o intercambio de bases de datos fue una práctica extendida en el mercado. Con la nueva ley, esa dinámica cambia.
“La ley establece y define roles en el flujo del dato. Todo tratamiento incorpora a personas físicas y jurídicas que pueden ser responsables y/o encargados del tratamiento, según cuál sea su participación”, explicó.
Y fue contundente respecto a su legalidad: “Cualquier transacción, cesión o transferencia de datos será considerada ilegal si no reúne todos los presupuestos de cumplimiento que la ley contempla”.
Errores frecuentes y riesgos legales
Según el especialista, muchas empresas hoy incurren en prácticas que, con la vigencia de la ley, serán sancionables. Entre los errores más comunes mencionó el tratamiento de datos sin consentimiento previo, la falta de claridad en la finalidad del uso de la información, la ausencia de medidas de seguridad, la inexistencia de manuales exigidos por la normativa y la falta de un Oficial de Protección de Datos idóneo.
“La ley es bastante amplia, técnica y compleja, lo que obliga a cumplir parámetros regulatorios rigurosos. Contratos sólidos, procesos claros y formación para empleados serán factores claves”, agregó.
Para Vysokolan, muchas empresas aún no dimensionan el impacto real de la normativa. “Considero que las empresas no están dimensionando el alcance de la Ley de Protección de Datos y el impacto transversal que tendrá en la estructura administrativa, legal y financiera”.
Anticipó que el 2026 será un año esencial para la adecuación: capacitación, reorganización interna y asesoramiento legal serán pasos necesarios antes de la entrada en vigencia plena de la ley en 2027.
Primeros pasos para adecuarse
Entre las medidas iniciales recomendadas, el abogado mencionó la elaboración de manuales exigidos por la ley, la adecuación estatutaria a esos documentos, la designación de un Oficial de Protección de Datos y la capacitación de todas las áreas de la empresa.
Como dato adicional, Vysokolan es el primer abogado en Paraguay con certificación internacional en protección de datos y privacidad y fue recientemente designado representante en Paraguay de la Asociación Latinoamericana de Privacidad y Protección de Datos.