Desde la Cámara Nacional de Comercio y Servicios de Paraguay (CNCSP) compartimos un informe con los principales aspectos de la Ley de Protección de Datos Personales de Paraguay, normativa que establece un marco integral para garantizar los derechos de las personas físicas y promover un tratamiento responsable y transparente de la información. En este informe se detallan los conceptos clave, las obligaciones para las organizaciones, los derechos de los titulares, las figuras que deberán ser designadas para asegurar el cumplimiento, así como el funcionamiento de la nueva autoridad de control y el régimen de sanciones previsto.

1. Objeto y ámbito de aplicación

La presente ley tiene por objeto la protección integral de los datos personales de las personas físicas a fin de garantizar el ejercicio pleno de sus derechos y el libre flujo de la información

Se aplica a cualquier tratamiento de datos personales, total o parcialmente automatizado, así como al tratamiento no automatizado cuando se trate de datos personales que forman parte de un archivo, o estén destinados a serlo, realizado por personas físicas o jurídicas, independientemente del medio, país de su sede o el país donde se encuentren los datos.

Exige transparencia, obligando a informar la identidad del responsable, las finalidades del tratamiento, los plazos de conservación y los derechos del titular.

La ley además establece en su articulado un catálogo de definiciones y así mismo determina principios generales de protección de datos personales.

2. Consentimiento

Es toda manifestación de voluntad libre, expresa, específica, informada e inequívoca por la que una persona física acepta y autoriza, ya sea mediante una declaración o una clara acción afirmativa por escrito o por medios electrónicos, o por cualquier forma equivalente que la tecnología

El tratamiento de los datos personales de personas menores de dieciséis años, requerirá el consentimiento del titular de la patria potestad, guarda o tutela legal y en el caso de adolescentes que cuenten con dieciséis o más años y hasta su mayoría de edad, en el tratamiento de datos personales sensibles, se requerirá el consentimiento expreso del adolescente, conjuntamente con la autorización del titular de la patria potestad, guarda o tutela legal.

3. Datos personales sensibles

Son aquellos que se refieran a origen racial o étnico; creencias o convicciones religiosas, filosóficas y morales; afiliación sindical o política; datos relativos a la salud, a la preferencia u orientación sexual, datos genéticos o datos biométricos dirigidos a identificar de manera unívoca a una persona y todos aquellos datos cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para el titula

4. Tratamiento:

Cualquier operación o conjunto de operaciones efectuadas mediante procedimientos manuales, automatizados o parcialmente automatizados, realizadas sobre datos personales, relacionadas de manera enunciativa más no limitativa, con la obtención, acceso, recolección, registro, organización, estructuración, adaptación, indexación, modificación, extracción, consulta, almacenamiento, conservación, bloqueo, elaboración, transferencia, cesión, difusión, posesión, aprovechamiento y en general cualquier uso o disposición de datos personales. La ley además regula las transferencias internacionales, siendo las mismas posibles si se establece y garantiza una protección adecuada.

Tratamiento de datos sensibles.

Queda prohibido el tratamiento de datos personales sensibles salvo que el titular haya prestado su consentimiento y otras condiciones establecidas en el artículo 20 de la ley.

Tratamiento de datos de información crediticia.

La protección de datos crediticios, la regulación de la actividad de recolección y el acceso a datos de información crediticia, así como la constitución, organización, funcionamiento, derechos, obligaciones y extinción de las personas jurídicas que se dediquen a la obtención y provisión de información crediticia se regirán por la ley específica vigente al respecto.

Salvo las funciones y atribuciones expresamente asignadas al Banco Central del Paraguay, las demás otorgadas para la implementación de la ley que regula los datos crediticios, serán ejercidas por la autoridad de control y supervisión de la presente ley.

La presente ley será de aplicación supletoria para las cuestiones no previstas en la ley que regula los datos crediticios.

Toda referencia que dentro de la Ley N° 6534/2020 “DE PROTECCIÓN DE DATOS PERSONALES CREDITICIOS” se haga a la Secretaría de Defensa del Consumidor y el Usuario, a partir de la vigencia de la presente ley, se entenderá como una referencia a la Agencia Nacional de Protección de Datos Personales.

5. Figuras que deberán ser nombradas y establecidas en las empresas.

Es importante mencionar que las instituciones y empresas deberán revisar sus prácticas internas, y en dicha revisión analizar riesgos y establecer medidas de cumplimiento que aseguren la protección real de los datos personales, a ese efecto se establecen las siguientes figuras con diferentes responsabilidades:

Encargado del tratamiento: La persona física o jurídica, pública o privada, que trate datos personales por cuenta y bajo las instrucciones del responsable del tratamiento; el tratamiento en estos casos se regirá por un contrato u otro acto jurídico que autorice tal delegación con arreglo al ordenamiento jurídico, el que deberá establecer sin perjuicio de otros elementos, el objeto, la duración, la naturaleza y finalidad del tratamiento, el tipo de datos personales y categorías de titulares de datos y las obligaciones y derechos del responsable.

Responsable del tratamiento: La persona física o jurídica, pública o privada u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento de los datos, aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento se cumple en conformidad con la presente ley y su reglamentación. Dichas medidas se revisarán y actualizarán cuando sea necesario. La reglamentación determinará las medidas que correspondan según los tipos de datos, tratamientos y responsables, la oportunidad para su revisión y actualización, así como las medidas de protección desde el diseño y por defecto.

Oficial de protección de datos: Es la persona designada para colaborar y supervisar el cumplimiento de las normas relativas a la protección de datos personales. Los responsables y encargados del tratamiento deberán designarlo.

Un grupo empresarial podrá nombrar un único oficial de protección de datos siempre que cumpla con los parámetros previstos en esta norma y sea fácilmente accesible desde cada establecimiento.

6. Derechos vinculados.

Artículo 27.   Derecho a la información.

Artículo 28.   Derecho de acceso.

Artículo 29.   Derecho de rectificación.

Artículo 30.   Derecho de oposición.

Artículo 31.   Derecho de supresión.

Artículo 32.   Derecho a la portabilidad.

7. Del Acceso a la Información Pública y Protección de Datos.

El derecho de acceso a la información obrante en fuentes públicas podrá ser denegado o limitado, cuando tal medida resultase necesaria para evitar un perjuicio concreto a la protección de uno de los intereses privados inherentes a la protección de los datos personales.

Si el Organismo o Entidad del Estado al que se dirige la solicitud de acceso a la información advierte que la misma podría interferir con el derecho a la protección de datos personales, deberá notificar al titular de los datos concernidos.

8. Autoridad de control y supervisión.

La ley crea la Agencia Nacional de Protección de Datos Personales, como una unidad desconcentrada dentro de la estructura orgánica del Ministerio de Tecnologías de la Información y Comunicación, con rango de Dirección Nacional, que se constituye como autoridad de control y supervisión de la presente ley.

La Agencia Nacional de Protección de Datos Personales estará a cargo de un Director General. La Dirección Nacional estará auxiliada por un director adjunto en el que podrá delegar funciones en la forma y condiciones establecidas en la presente ley y su reglamentación.

9. Faltas

La ley establece en su artículo 44 una enumeración de nueve faltas leves y en su artículo 45 nombra treinta y siete faltas graves.

10. Sanciones

La aplicación de los distintos tipos de sanciones podrá ser indistinta o acumulativa.

     i. Apercibimiento

     ii. Multas: desde veinte hasta dos mil quinientos jornales mínimos para actividades diversas no especificadas en la República del Paraguay

Tratándose de infracciones cometidas en el tratamiento de datos sensibles, los montos de las sanciones podrán elevarse hasta cinco mil jornales mínimos. Tratándose de infracciones cometidas en el tratamiento de datos sensibles de niños, niñas y adolescentes, los montos de las sanciones podrán elevarse hasta diez mil jornales mínimos.

     iii. Suspensión de las actividades relacionadas con el tratamiento de datos personales.

11. Entrada en vigencia y Reglamentación.

La presente ley entrará en vigor luego de transcurridos veinticuatro meses de su publicación oficial y el Poder Ejecutivo reglamentará la presente ley dentro del plazo de veinticuatro meses computados a partir de su publicación en la gaceta oficial.

La ley delega en la reglamentación importantes delimitaciones y alcances en su aplicación, por lo que es de gran relevancia el acompañamiento de su proceso de realización.