Ley 6534/2020 Paraguay: protección de datos crediticios
Paraguay cuenta con la Ley Nº 6.534/2020 como principal marco normativo en materia de datos personales, aunque su alcance se limita específicamente a la información crediticia. No existe en el país una ley general de protección de datos personales. Esto significa que las empresas que operan en Paraguay y manejan datos de personas deben navegar un entorno regulatorio parcial, donde la protección principal proviene del Habeas Data constitucional y de marcos sectoriales.
¿Qué regula la Ley Nº 6.534/2020?
La Ley Nº 6.534/2020 regula la información de crédito en Paraguay. Su objetivo central es establecer reglas claras sobre cómo deben tratarse los datos crediticios de personas físicas y jurídicas: quién puede acceder a ellos, bajo qué condiciones y con qué responsabilidades.
Los aspectos clave de esta ley incluyen:
- Deberes de confidencialidad: las entidades que acceden a información crediticia están obligadas a mantener su reserva y no divulgarla más allá de los fines autorizados.
- Derechos ARCO: los titulares de los datos tienen derechos de Acceso, Rectificación, Cancelación y Oposición sobre su información crediticia. Esto permite que una persona consulte qué datos existen sobre ella, corrija errores y solicite la eliminación de información incorrecta o desactualizada.
- Limitación de uso: la información de crédito solo puede utilizarse para los fines legítimos previstos por la ley, principalmente la evaluación de la capacidad crediticia.
Es importante subrayar que esta ley no es una ley general de protección de datos personales. No cubre la totalidad de los datos que las empresas manejan sobre sus clientes, empleados o proveedores; solo el segmento específico de información crediticia.
Habeas Data Constitucional como protección base
Ante la ausencia de una ley general de protección de datos, la protección más amplia disponible en Paraguay proviene del Habeas Data constitucional. Este mecanismo permite a cualquier persona acceder a la información que existe sobre ella en registros públicos o privados, y solicitar su corrección, actualización o destrucción cuando sea incorrecta, falsa u obsoleta.
El Habeas Data constitucional tiene limitaciones importantes:
- Es un mecanismo reactivo: el ciudadano debe ejercerlo activamente.
- No establece obligaciones proactivas para las empresas en materia de seguridad de datos.
- No define sanciones administrativas específicas comparables a las de regímenes como el RGPD europeo o la Ley 1581 de Colombia.
Para las empresas, el Habeas Data establece un piso mínimo de respeto al derecho de acceso de las personas, pero no genera un marco de cumplimiento proactivo comparable al de otros países de la región.
Sin ley fintech específica en Paraguay
Paraguay no cuenta con una ley fintech específica. Las empresas del sector financiero tecnológico operan bajo los marcos generales de servicios financieros, supervisados principalmente por el Banco Central del Paraguay (BCP) y la Superintendencia Bancaria.
Esta ausencia implica que las fintech en Paraguay deben:
- Cumplir con la regulación financiera general aplicable a entidades supervisadas.
- Respetar la Ley Nº 6.534/2020 en lo relativo a datos crediticios.
- Aplicar el Habeas Data constitucional como referencia para el tratamiento de datos personales.
- Adoptar buenas prácticas internacionales, como el NIST Cybersecurity Framework, para estructurar su programa de seguridad.
Fortalecer una cultura de ciberseguridad dentro de la organización es especialmente relevante en este contexto, ya que la ausencia de regulación específica no exime de la responsabilidad de proteger los datos de los usuarios.
Sin compliance officer o DPO obligatorios
La regulación paraguaya actual no exige el nombramiento de un oficial de cumplimiento de privacidad (compliance officer) ni de un Delegado de Protección de Datos (DPO). Esto contrasta con regímenes como el RGPD de la Unión Europea o legislaciones recientes de otros países latinoamericanos que han adoptado ese requisito.
La falta de esta obligación no significa que sea innecesario contar con dicha función. Las organizaciones con volúmenes significativos de datos crediticios o clientes en múltiples países deben considerar:
- Designar internamente un responsable de privacidad.
- Documentar los procesos de tratamiento de datos.
- Implementar políticas claras de acceso y uso de información crediticia.
Qué implica para empresas que manejan datos de crédito en Paraguay
Para las empresas que gestionan información crediticia en Paraguay, la Ley Nº 6.534/2020 establece obligaciones concretas, aunque el marco general de protección de datos sigue siendo más limitado que en otros países de la región. Las implicaciones prácticas incluyen:
- Cumplimiento de los derechos ARCO: habilitar mecanismos accesibles para que los titulares ejerzan sus derechos de acceso, rectificación, cancelación y oposición.
- Confidencialidad de datos crediticios: implementar controles técnicos y organizacionales para garantizar que la información solo sea accesible a quienes tienen autorización.
- Precisión de los datos: mantener la información actualizada y corregir errores cuando el titular lo solicite.
- Preparación regulatoria: monitorear el avance legislativo en Paraguay, ya que la adopción de una ley general de protección de datos es un desarrollo posible en el mediano plazo.
Una gestión de vulnerabilidades sistemática y un enfoque proactivo de ciberseguridad ayudan a las organizaciones a cumplir con estos deberes y a proteger la información de sus clientes más allá de lo que la regulación exige mínimamente.
Para conocer el marco de ciberseguridad bancaria en Paraguay, incluyendo los requisitos de cloud computing del BCP, consulta el artículo sobre BCP Paraguay: ciberseguridad y cloud banking para entidades financieras.
¿Tu organización opera en Paraguay y necesita estructurar el cumplimiento normativo en materia de datos crediticios? Contáctanos para conocer cómo podemos ayudarte a implementar controles técnicos y organizacionales alineados con la Ley Nº 6.534/2020 y las mejores prácticas internacionales.