En menos de una semana, Paraguay vivió dos filtraciones masivas de datos personales provenientes de instituciones públicas. La primera involucró al Tribunal Superior de Justicia Electoral (TSJE) y expuso información de más de 7 millones de personas. La segunda, afectó al Ministerio de Hacienda, el Banco Central del Paraguay e Itaipú, donde se hizo público un archivo con más de 17.000 registros con datos sensibles sobre pagos a funcionarios, salarios, nombres completos y números de cédula.
Pero estas filtraciones no son nuevas en Paraguay. En 2023, una filtración de la Policía Nacional dejó al descubierto documentos y datos personales de personas detenidas, junto con fichas con antecedentes penales y fotografías. En aquel momento, desde TEDIC ya advertíamos sobre la ausencia de respuestas institucionales y la urgente necesidad de contar con mecanismos de prevención y sanción. Estos hechos no solo evidencian una grave vulnerabilidad del Estado para proteger nuestra información, sino también la ausencia de una ley integral de protección de datos personales, una deuda histórica que en Paraguay ya no puede seguir esperando.
¿Qué pasó?
En el caso del TSJE, la filtración expuso información detallada del Registro Cívico Permanente, con datos como nombres completos, direcciones, sexo, afiliación política y otros elementos que, según estándares internacionales como los establecidos por la OCDE y la ONU, son considerados datos personales sensibles. Particularmente, la afiliación política es un dato que merece especial protección porque puede ser usado para discriminación, persecución o manipulación política.
Además, la propia legislación paraguaya ya reconoce esta sensibilidad: la Ley N° 6534/2020 de protección de datos crediticios clasifica expresamente la afiliación política como un dato sensible. Sin embargo, esta norma tiene limitaciones importantes: no establece mecanismos de responsabilidad para las instituciones que permiten la filtración de datos, y se enfoca únicamente en otorgar garantías al titular del dato para que tome acciones, lo que desplaza la carga de protección a las personas afectadas en lugar de exigir respuestas estructurales.
En paralelo, la filtración que afectó al Ministerio de Hacienda, el Banco Central del Paraguay e Itaipú divulgó información financiera y laboral de más de 17.000 personas funcionarias públicas. En ambos casos, no hay claridad sobre el origen exacto de la fuga, ni tampoco respuestas oficiales que asuman responsabilidades institucionales.
¿Qué está fallando?
Desde TEDIC venimos advirtiendo hace más de 10 años sobre la fragilidad del sistema paraguayo para proteger datos personales. Hoy, lo que vemos con estas filtraciones no es un incidente aislado, sino el resultado de una falta estructural de políticas públicas, una ley integral de protección de datos personales, inversión en infraestructura tecnológica y formación de recursos humanos especializados. Además, Paraguay no cuenta con una autoridad de control independiente, ni con un régimen de sanciones efectivas que permita exigir responsabilidades a quienes gestionan (y exponen) nuestros datos.
A esto se suma que el país aún no ha actualizado su Plan Nacional de Ciberseguridad, lo que limita seriamente la gobernanza y la capacidad de las instituciones —y también del sector privado— para prevenir fugas de información y proteger los datos que administran. Este vacío impide que existan protocolos claros, auditorías regulares y estándares mínimos de seguridad digital aplicables a todos los niveles del Estado.
¿Qué dice el marco legal actual?
Aunque Paraguay no cuenta con una ley general de protección de datos personales, sí existen normas fragmentadas. Por ejemplo, la Ley N° 6534/2020 de protección de datos crediticios reconoce explícitamente que la afiliación política es un dato sensible. Esto refuerza la urgencia de una legislación que extienda esta protección a todos los sectores, y no solo al financiero.
La falta de una ley integral permite que instituciones públicas gestionen grandes volúmenes de datos sin estándares mínimos de seguridad ni mecanismos de transparencia. Esto genera un terreno fértil para el abuso, la filtración, la comercialización y la pérdida de confianza ciudadana.
¿Y ahora qué?
Desde TEDIC reiteramos que la protección de datos personales es un derecho humano, y como tal, el Estado debe garantizar su ejercicio a través de:
- Una ley integral de protección de datos personales, con enfoque de derechos humanos, que incorpore principios como la minimización, el consentimiento informado y la portabilidad, y que además identifique y responsabilice a las instituciones y empresas que tratan nuestros datos personales cuando no los protegen.
- La creación de una autoridad de control independiente con facultades reales de fiscalización y sanción.
- Inversión sostenida en infraestructura tecnológica, ciberseguridad y capacitación de funcionarios públicos.
- Un compromiso institucional con la transparencia y la rendición de cuentas en la gestión de datos.
Estas medidas no pueden seguir postergándose. Recordamos que el 17 de diciembre de 2024, la Cámara de Diputados aprobó, en general, el proyecto de Ley de Protección de Datos Personales, lo que representa un avance importante. Sin embargo, el camino aún no está allanado.
El martes 4 de marzo, el proyecto estaba previsto como punto 4 del orden del día en la primera sesión del año, pero la falta de quórum impidió su tratamiento. En un contexto de filtraciones masivas y vulneraciones sistemáticas, esta ausencia resulta alarmante y revela una falta de compromiso institucional inadmisible ante una problemática que afecta a millones de personas.
El martes 1 de abril, las y los diputados tienen una nueva oportunidad para continuar el análisis artículo por artículo. Desde TEDIC seguiremos monitoreando, denunciando y proponiendo políticas públicas que protejan nuestros derechos digitales. Porque nuestros datos no son mercancía, ni deben estar expuestos por negligencia del Estado.
Las filtraciones masivas que hoy nos alarman pueden tener consecuencias irreparables para la vida de millones de personas si no actuamos con urgencia.
Curso virtual: S.O.S Periodista 
«Protección de los procesos electorales en el entorno informativo»