Con el avance de la tecnología en virtualmente todos los aspectos de la vida humana, la protección de los datos personales se convierte en necesidad prioritaria para garantizar nuestra privacidad y seguridad. Diariamente, generamos datos al utilizar aplicaciones de nuestros bancos para realizar transferencias o cobrar nuestros sueldos, interactuar con plataformas de recursos humanos al buscar empleo en plataformas públicas o privadas y al buscar o adquirir propiedades a través de páginas inmobiliarias. Estos datos son recolectados, almacenados y tratados por el sector público y privado, quienes pueden acceder a esta información con diversos fines, como ofrecernos servicios, realizar análisis de mercado o tomar decisiones gubernamentales sobre un determinado tópico.
En Paraguay, esta realidad presenta un gran desafío: no existe una regulación integral que controle y limite cómo se recolectan, almacenan y utilizan estos datos. La legislación vigente es específica al ámbito crediticio, dejando un vacío significativo en la protección integral de nuestros datos personales y, por tanto, en la protección integral de nuestros derechos.
Nuestra nueva investigación, «Protección de Datos Personales en el Sector Privado en Paraguay: Un Estudio Exploratorio», realizada con el apoyo de INDELA, explora cómo ciertas empresas del sector privado manejan y protegen los datos personales de sus clientes. Para llevar a cabo esta exploración, revisamos la legislación actual sobre protección de datos personales a nivel nacional e internacional. Como parte del proceso, se realizaron entrevistas1 con personal calificado de empresas de tres rubros elegidos: fintech, recursos humanos y bienes raíces2, que en distintas escalas manejan datos personales. A partir de estas entrevistas3, evaluamos si estas empresas cumplen con los principios propuestos en el proyecto de ley de protección de datos personales4, con miras a entender cuales serán los cambios más tangibles y visibles tanto a corto plazo como cuando contemos con esta ley sancionada y aplicada en el territorio paraguayo.
Desafíos en la Implementación del Proyecto de Ley de Protección Integral de Datos Personales
Nuestra investigación revela que las prácticas actuales de empresas del sector privado en Paraguay no cumplen completamente con los principios de protección de datos personales propuestos en el proyecto de ley de protección integral de datos personales. Los principios mencionados en el proyecto de ley incluyen: licitud del tratamiento, exactitud de datos, finalidad, minimización, lealtad, transparencia, conservación, responsabilidad proactiva, seguridad, confidencialidad, consentimiento, así como los derechos de acceso, rectificación, oposición, supresión y portabilidad de los datos personales del titular (Derechos ARCOP).
A partir de entrevistas buscamos explorar el nivel de conocimiento y cumplimiento de estas empresas respecto a estos principios. En rasgos generales, la investigación revela que, a pesar de que algunas empresas hacen esfuerzos por proteger los datos de sus clientes, muchas de sus prácticas no cumplen con los estándares necesarios para una efectiva protección de los datos de las personas.
Uno de los principales hallazgos es la falta de un consentimiento informadosobre el uso y tratamiento de los datos personales de sus clientes. La mayoría de las empresas son reticentes a solicitar consentimiento, temiendo que esto impida la obtención de información necesaria para el desarrollo de su trabajo. Además, muchas empresas no cumplen con el principio de transparencia, ya que no informan adecuadamente a las personas titulares de estos datos sobre la finalidad y las condiciones del tratamiento sobre sus datos.
También identificamos problemas con los principios de minimización, finalidad y conservación. Estos principios no son aplicados correctamente. El principio de minimización establece que solo deben recolectarse los datos estrictamente necesarios. El principio de finalidad implica que los datos deben ser utilizados únicamente para el propósito específico para el cual fueron recolectados. El principio de conservación dicta que los datos no deben ser almacenados por más tiempo del necesario. Sin embargo, muchas empresas conservan datos por tiempo indeterminado, sin cumplir con la necesidad de tener una finalidad específica para el tratamiento de los mismos.
En resumen, las empresas tratan los datos personales sin seguir reglas claras, solo guiadas por la buena fe pero también por intereses particulares. No ven la protección de datos como un derecho fundamental de las personas ni como una obligación que deben cumplir.
Esto evidencia la importancia y necesidad de informar e instruir a las empresas sobre los beneficios de contar con una ley integral, ya que, como mencionamos anteriormente, varios representantes de estas empresas creen que la ley podría perjudicar su relación con sus clientes. Sin embargo, una ley robusta en materia de protección de datos personales podría permitir ofrecer más seguridad, abriendo nuevas oportunidades de negocio a nivel nacional e internacional. Para lograr tal robustez, es imperativo asegurar que la ley se aplique de manera justa y equitativa para todos los actores involucrados. Es importante que desde el principio se haga cumplir la ley de manera efectiva para evitar vulneraciones y asegurar que las empresas cumplan con las normas de protección de datos.
Por otro lado, es necesario generar procesos de sensibilización para las personas sobre su derecho a la protección de datos personales. Las personas deben entender que este derecho protege su dignidad, libertad, privacidad y seguridad. Es importante que sepan cómo pueden exigir esta protección y qué recursos tienen si sus datos son vulnerados.
La ley actual versus el proyecto de ley de protección integral de datos personales
En 2020, se publicó la ley N° 6534 “De Protección de Datos Personales Crediticios”, que tiene por objeto garantizar la protección de datos crediticios de toda persona. Sin embargo, esta ley tiene un alcance limitado a la hora de garantizar la protección de datos personales en Paraguay. En primer lugar, porque el alcance de esta legislación se enfoca exclusivamente en los derechos personales de naturaleza “crediticia”. Su enfoque es meramente economicista, ya que regula casi exclusivamente los sistemas de información crediticia en las entidades bancarias y financieras, sin cubrir un enfoque social y comunitario de la información personal. Además del alcance limitado, otro problema de la actual legislación es la ausencia de una autoridad de control independiente.
En respuesta a estas limitaciones, desde la Coalición de Datos Personales, de la cual TEDIC es organización cofundadora, y en estrecha colaboración con la Comisión de Ciencia y Tecnología de la Cámara de Diputados, presentamos en 2021 un proyecto de ley que busca enmendar estas limitaciones, creando un conjunto de reglas claras para proteger los datos personales, que serían obligatorias tanto para el sector privado como para el sector público. La propuesta incluye una protección integral de los datos personales, siguiendo principios internacionales pero adaptándolos al contexto nacional. También considera aspectos como el libre flujo de información, la seguridad, mecanismos de autorregulación y una autoridad de aplicación con suficiente poder para supervisar e investigar, que sea independiente y esté sujeta a control judicial adecuado.
La necesidad de una ley integral de protección de datos personales
Nuestra investigación muestra que, aunque hay desafíos significativos, también hay un camino claro hacia adelante. Es necesario un esfuerzo conjunto para educar a las empresas y a las personas sobre la importancia de sus datos personales y la necesidad de protegerlos, como paso fundacional que asegure que la nueva ley sea aprobada e implementada de manera efectiva. Invitamos a todas las personas a sumarse a este esfuerzo y apoyar el proyecto de ley de protección de datos personales en Paraguay a través de la campaña #MisDatosMisDerechos. Juntos, podremos lograr que los datos personales de todas las personas en Paraguay estén protegidos y que el avance hacia una digitalización sea siempre responsable y segura, desde una perspectiva de derechos humanos.
¡Lee el estudio completo acá!
1 La muestra seleccionada para este estudio consistió en empresas del ámbito privado que, en distintos grados y para diversas aplicaciones, manejan o tratan datos personales. Por tanto, pueden ser consideradas representativas de este sector para determinar el contexto de prácticas actuales.
2Las empresas pertenecen a rubros de fintech, sector de bienes raíces y de recursos humanos, y fueron escogidas por su el grado de representatividad en sus respectivos rubros, con un plantel de empleados de entre 1 a 20 personas, en promedio.
3Las entrevistas fueron de carácter anónimo, para garantizar un ambiente de confianza a las personas entrevistadas y acceder así a información relevante sobre el tema en estudio.
4El proyecto de ley presentado por la coalición en 2021 está actualmente pendiente de tratamiento en la Cámara de Diputados (PROYECTO DE LEY #Expediente: D-2162170).
Inscribite para participar de la Hackerfem! 
«Protección de los procesos electorales en el entorno informativo» 
Data BootCamp 2020: Recuento de nuestra semana llena de periodismo y derechos digitales