Promulgación de la Ley de Protección de Datos Personales en la República del Paraguay

El 27 de noviembre de 2025 en la República del Paraguay fue promulgada la Ley 7593/2025 de Protección de Datos Personales la cual, si bien NO se encuentra en vigencia en razón de que deberá ser reglamentada en un periodo de 24 meses, genera el inicio de un régimen legal que anhela adecuarse a las pautas a nivel internacional.

Del texto de la misma se infiere que los sujetos obligados serán las personas tanto físicas como jurídicas, los sujetos cuyo bien jurídico se protege son las personas físicas.

La autoridad competente será la Agencia Nacional de Protección de Datos Personales tal como se estipula en el Título IV, incluso ocupará el rol que actualmente posee la Secretaría de Defensa del Consumidor y Usuario (SEDECO) en lo que respecta a la Ley 6534/2020 Protección de Datos Crediticios, la cual seguirá en vigencia salvo algunos artículos citados taxatavimente que serán derogados y también se aclara que esta ley será aplicada supletoriamente para cuestiones no previstas en la Ley 6534/2020. Dicha entidad poseerá autonomía funcional y su creación estará a cargo del Ministerio de Tecnologías de la Información y Comunicación (MITIC); deberá estar incluida en el Presupuesto General de Gastos de la Nacion.

Dando lectura al contenido podría colegirse que se busca garantizar el uso responsable de los datos de los ciudadanos, lo cual se encuentra constitucionalmente establecido ya que se considera a la intimidad como un bien jurídico protegido (artículo 33 de la Constitución Nacional de la República del Paraguay). Para esta ley los datos personales forman parte de los derechos a la intimidad, a la dignidad, a la privacidad, y al honor.

Se hace especial énfasis de que ninguna empresa o entidad (sea privada o pública, nacional o extranjera) está facultada a manipular los datos de una persona física sin un protocolo legalmente establecido, abarca los almacenamientos manuales o automatizados, los registros públicos y privados que se encuentren ubicados dentro o fuera del pais. Los cuidados se refuerzan al tratarse de datos de niños, niñas o adolescentes.

Tanto las entidades públicas como privadas – según el texto – deberán dar un tratamiento de transparencia y licitud a los datos; dar cumplimiento con lo estipulado con relación a la conservación, transferencia y documentación de los datos; extremar los recaudos con relación a la confidencialidad y seguridad en la manipulación de los datos.

En el artículo 4to se establecen los principios que deben primar en el tratamiento de los datos personales tales como: exactitud de datos, licitud, finalidad, minimización o proporcionalidad, limitación del plazo de conservación, lealtad y transparencia, conciliación de la transparencia pública y protección, diligencia debida, seguridad y confidencialidad.

Dentro del texto también se estipulan las condiciones tanto en lo concerniente al tratamiento de los datos como en el otorgamiento del consentimiento que debe prestar la persona física, artículos 5to y 6to.

Los datos incluso son categorizados en el Capítulo IV del Título I, disponiéndose prohibiciones, tratamientos especiales, condiciones, otros.

En la ley se establece claramente que los titulares de los datos contarán con mecanismos que les asegure el acceso, rectificación, oposición, portabilidad, la potestad de poder suprimirlos e incluso retirar/revocar en cualquier momento el consentimiento otorgado, podrán hacerlo por si mismos o incluso por intermedio de un representante.

El Capítulo V del Título I, genera especial interés en razón de que aquí se hace referencia al acceso a la información contenida en fuentes públicas que podrá ser denegada o limitada, se contempla la existencia de la excepción de acceso a la información pública, y taxativamente se enumeran cuando la excepción no es aplicable. Se describe un pequeño procedimiento con plazos en lo que respecta al ejercicio de los derechos del titular de los datos.

Los sujetos obligados por esta ley deberán contar con un oficial de protección de datos, sumado a los demás recaudos que deberán cumplir y a las prácticas que deberán adecuar. En el Capítulo II del Título II se establece lo relacionado a las obligaciones del responsable y del encargado del tratamiento.

La Ley en el Título V Capítulo I tipifica las conductas descriptas como infracciones leves y graves; previéndose sanciones que van desde el apercibimiento hasta las multas (estas están cuantificadas conforme a la calificación que reciban) también la suspensión de las actividades relacionadas con el tratamiento de los datos personales. Las multas serán destinadas a la propia autoridad de aplicación.

Finalmente es importante referir que se pretende situar al país en análoga condiciciones legales que los paises donde la protección de los datos personales se encuentra legislada, pero para ello deben adecuarse numerosas prácticas y mecanismos que permitan que la anhelada protección no sea tergiversada ni manipulada.

Notificaciones Masivas de la DNIT: Garantías Constitucionales Frente a la Automatización Tributaria

I. Miles de Notificaciones; Una Pregunta Central

La Dirección Nacional de Ingresos Tributarios (DNIT) ha informado que realizará notificaciones a miles de contribuyentes sobre «inconsistencias» detectadas en sus declaraciones juradas. El mecanismo: cruces automatizados de información mediante análisis de datos masivos (big data). La reacción: alarma generalizada, confusión sobre cómo proceder, y en muchos casos, una sensación de indefensión frente a un sistema que parece haber «encontrado algo mal» en sus registros.

Pero hay un elemento fundamental que frecuentemente se pasa por alto en medio de la urgencia: estas notificaciones no son determinaciones definitivas. Son el inicio de un procedimiento administrativo en el cual el contribuyente cuenta con garantías constitucionales sólidas que obligan a la Administración a respetar su derecho a la defensa.

La pregunta que debemos hacernos es más profunda que «¿cómo respondo a tiempo?». La pregunta es: ¿Puede un algoritmo reemplazar el análisis humano en decisiones que afectan derechos fundamentales? ¿Qué pasa cuando la eficiencia administrativa colisiona con principios constitucionales irrenunciables?

Este artículo pretende resaltar por qué el uso de big data, por más sofisticado que sea, no elimina los derechos fundamentales de los contribuyentes, qué riesgos sistémicos presenta la implementación actual, y sobre todo, qué argumentos de defensa tienen disponibles.

II. El Problema: Cuando el Algoritmo Reemplaza (o Pretende Reemplazar) el Análisis Humano

A. ¿Qué Está Haciendo Exactamente la DNIT?

La DNIT ha implementado sistemas de análisis de datos masivos que cruzan información de múltiples fuentes, a saber:

  • Sus declaraciones juradas vs. retenciones informadas por terceros
  • Sus compras declaradas vs. ventas declaradas por sus proveedores
  • Sus ventas declaradas vs. compras declaradas por sus clientes
  • Patrones de comportamiento comparados con promedios sectoriales
  • Inconsistencias temporales entre períodos

En teoría, es una herramienta eficiente para detectar evasión fiscal. En la práctica, presenta riesgos significativos que debemos entender.

B. Los Tres Riesgos de la Automatización Sin Salvaguardas Adecuadas

1. Falsos Positivos: Cuando el Algoritmo «Ve» Problemas Donde No Los Hay

Los sistemas automatizados detectan correlaciones estadísticas, no comprenden realidad económica. Veamos ejemplos concretos:

Caso hipotético 1: La empresa de construcción

Una constructora declara compras por G. 500 millones en materiales durante el primer trimestre, pero sus proveedores solo informaron retenciones por G. 400 millones. El sistema detecta «inconsistencia» que genera la notificación.

La realidad que el algoritmo no ve:

  • Uno de los proveedores principales cometió error al informar sus ventas (digitó mal el RUC del cliente)
  • Otro proveedor presentó su declaración tardíamente, después del cruce del sistema
  • Un tercero es pequeño contribuyente que no está obligado a informar ciertas transacciones

¿Es esto evasión de la constructora? No. ¿El sistema lo detectó como tal? Sí.

En este caso, como se observa, el algoritmo genera una acusación automática que el contribuyente debe desvirtuar. Se invierte la carga de la prueba de facto, aunque no de iure.

2. Opacidad del Proceso: La Caja Negra Tributaria

Cuando recibe una notificación, típicamente se le informa:

  • Que «se detectó una inconsistencia»
  • El monto observado
  • El período fiscal afectado

Lo que frecuentemente NO se le informa:

  • ¿Qué fuentes específicas de información utilizó el sistema?
  • ¿Qué metodología exacta aplicó para el cruce?
  • ¿Con qué datos precisos comparó sus declaraciones?
  • ¿Qué umbrales, márgenes de error o parámetros utilizó el algoritmo?
  • ¿Hubo revisión humana antes de notificar, o fue proceso completamente automatizado?

Esta opacidad genera una asimetría informativa fundamental: la Administración «sabe» (o cree saber) algo sobre usted que le imputa como irregular, pero usted no puede verificar si esa «verdad algorítmica» es realmente cierta.

¿Cómo puede defenderse efectivamente de una acusación cuando no conoce exactamente cómo se llegó a ella?

3. Presunción de Culpabilidad Implícita: El Sistema Ya «Decidió»

Aunque formalmente la notificación solo «inicia» un procedimiento, en la práctica comunica un mensaje claro: el sistema detectó que usted hizo algo mal, ahora demuestre que no es así.

Esto invierte sutilmente la lógica del debido proceso. La Constitución Nacional establece en su artículo 17, inciso 1: «que sea presumida su inocencia». En el procedimiento sancionador, esto significa que la Administración debe demostrar la infracción, no que el contribuyente debe demostrar su inocencia.

Pero cuando un algoritmo ya «detectó» algo y generó una notificación formal, la dinámica psicológica y práctica cambia: usted queda en posición de tener que «explicar» o «justificar» su actuación, en lugar de que la Administración pruebe su acusación.

C. El Riesgo del Colapso del Sistema: Una Consecuencia No Considerada

Hay un problema adicional, más sistémico, que merece atención: ¿qué sucede cuando se multiplican exponencialmente los sumarios administrativos y potenciales juicios?

La implementación masiva puede generar:

  1. Colapso administrativo en la propia DNIT:
    • Miles de sumarios simultáneos
    • Personal limitado para analizar defensas con el detalle que requieren
    • Presión para resolver rápido en lugar de resolver bien
    • Riesgo de decisiones administrativas con fundamentación insuficiente
  2. Colapso del sistema judicial:
    • Paraguay ya enfrenta mora judicial endémica
    • El Tribunal de Cuentas (Primera Sala) tiene recursos limitados
    • Si un porcentaje significativo de los contribuyentes notificados recurre judicialmente, el sistema puede saturarse
    • Esto afecta a TODOS los justiciables, no solo a los tributarios
  3. Litigiosidad masiva innecesaria:
    • Casos que podrían resolverse con análisis más cuidadoso ex ante terminan en juicio
    • Costos para el Estado (defensa jurídica)
    • Costos para contribuyentes (asesoría legal, tiempo, recursos)
    • Inseguridad jurídica prolongada

No estamos cuestionando la legitimidad de usar tecnología para fiscalizar. Estamos alertando sobre la necesidad de implementar salvaguardas que eviten que la eficiencia en la detección se convierta en ineficiencia en la resolución.

Un sistema masivo de notificaciones sin filtros robustos de revisión humana previa puede terminar generando más problemas (y costos) de los que resuelve.

III. Garantías Constitucionales: Cinco Líneas de Defensa

El mensaje central que el contribuyente debe comprender es este: la automatización NO elimina sus garantías fundamentales. La Constitución le protege incluso frente a sistemas de inteligencia artificial.

Defensa 1: Derecho a Conocer Cómo Se Tomó la Decisión (Transparencia Algorítmica)

Base normativa:

  • Artículo 17, inciso 7 de la Constitución Nacional: «la comunicación previa y detallada de la imputación»
  • Artículo 135 CN (Habeas Data): derecho a «conocer el uso que se haga de [sus datos] y de su finalidad»

Lo que significa: No basta que le digan «el sistema detectó una inconsistencia». Usted tiene derecho constitucional a saber:

  • ¿Qué datos específicos utilizó el sistema?
  • ¿De qué fuentes provienen esos datos?
  • ¿Qué metodología aplicó para compararlos?
  • ¿Qué reglas o parámetros usó para determinar que hay «inconsistencia»?

Defensa 2: Derecho a Revisión Humana de la Decisión Automatizada

Base normativa:

  • Artículo 16 CN: «Toda persona tiene derecho a ser juzgada por tribunales y jueces competentes, independientes e imparciales»
  • Principio de debido proceso: requiere evaluación individualizada del caso

Lo que significa: Un algoritmo puede detectar patrones, pero no puede juzgar. Su caso particular, con todas sus circunstancias específicas, debe ser analizado por un funcionario humano competente que evalúe:

  • El contexto económico de sus operaciones
  • Las particularidades de su sector
  • Las explicaciones que usted proporciona
  • La razonabilidad de su actuación

Defensa 3: Derecho a Cuestionar la Calidad y Completitud de los Datos

Base normativa:

  • Artículo 17, inciso 8 CN: «que ofrezca, practique, controle e impugne pruebas»

Lo que significa: Los datos que el sistema utilizó para detectar la «inconsistencia» son, en términos procesales, prueba de cargo contra usted. Y como toda prueba, usted tiene derecho constitucional a controlarla e impugnarla.

Defensa 4: Presunción de Inocencia – La Carga Probatoria es de la Administración

Base normativa:

  • Artículo 17, inciso 1 CN: «que sea presumida su inocencia»
  • Artículo 70, inciso 3 de la Ley 6715/2021: «Se presume la inocencia de las personas mientras no se demuestre lo contrario en idóneo procedimiento administrativo»

Lo que significa: La DNIT debe PROBAR que efectivamente existe una inconsistencia que constituye infracción tributaria. No basta con que un algoritmo «detecte» algo. Debe:

  • Acreditar que los datos son correctos
  • Demostrar que la comparación es metodológicamente válida
  • Probar que no hay explicación legítima
  • Desvirtuar sus argumentos de descargo

Usted NO tiene que probar su inocencia. La Administración tiene que probar su culpabilidad.

Defensa 5: Derecho a Controvertir la Validez de la «Prueba Algorítmica»

Base normativa:

  • Artículo 17, inciso 9 CN: «que no se le opongan pruebas obtenidas o actuaciones producidas en violación de las normas jurídicas»

Lo que significa: Si el algoritmo aplicó una metodología incorrecta, o si el proceso de recolección de datos violó normas (por ejemplo, si se usaron datos que debían estar protegidos, si se hicieron inferencias no autorizadas por ley o si la selección del contribuyente se realizó violando el principio de igualdad), esa «prueba» no puede ser usada contra usted.

IV. Entonces, ¿Qué Hago Si Recibo Una Notificación?

Paso 1: No Se Alarme. Esto Es el Inicio, No el Final

Respire. Una notificación no es una condena. Es el inicio de un procedimiento en el cual usted tiene múltiples oportunidades de defenderse y en el cual la Constitución le otorga garantías sólidas.

Paso 2: Analice Si la Inconsistencia Es Real o Aparente

Revise cuidadosamente sus registros. Hágase estas preguntas:

  • ¿El monto observado es correcto o hay diferencias?
  • ¿Tengo documentación que respalde lo que declaré?
  • ¿Hay explicación razonable para la diferencia detectada?
  • ¿El problema es mío o de información de terceros?

Si la inconsistencia es real (error genuino de su parte):

  • Considere rectificar voluntariamente su declaración
  • Puede haber beneficio en los intereses moratorios
  • Demuestra buena fe

Si la inconsistencia es aparente o cuestionable:

  • Prepare su defensa estructurada

Paso 3: Estructura Su Defensa en Tres Niveles

No presente un descargo genérico. Articule su defensa en capas:

Nivel 1 – Cuestione la metodología y los datos:

  • «Los datos que utilizó el sistema son incorrectos porque…»
  • «La comparación que hizo el sistema no es válida porque…»
  • «El sistema no consideró [factor relevante] que explica la diferencia…»

Nivel 2 – Demuestre la realidad económica:

  • Adjunte documentación completa y organizada
  • Explique el contexto de sus operaciones
  • Muestre que hay una explicación legítima

Nivel 3 – Invoque sus garantías constitucionales:

  • Exija transparencia sobre el análisis realizado
  • Solicite revisión humana del caso
  • Reclame presunción de inocencia
  • Pida acceso completo a la información utilizada

Una defensa sólida combina los tres niveles.

V. Conclusión: El Equilibrio Necesario

Reconozcamos lo evidente: El uso de big data es una herramienta legítima y potencialmente valiosa para combatir la evasión fiscal, mejorar la eficiencia administrativa y optimizar recursos públicos limitados. En un país con altos niveles de informalidad, herramientas tecnológicas que permitan ampliar la cobertura de fiscalización son, en principio, bienvenidas.

Pero admitamos también lo preocupante: La eficiencia no puede obtenerse a costa de garantías fundamentales que nuestra Constitución Nacional protege. Un sistema que genera miles de acusaciones automatizadas sin salvaguardas robustas de revisión humana previa, sin transparencia sobre su metodología, y sin considerar el riesgo de colapso del sistema de resolución de controversias, no es un sistema que esté encontrando el equilibrio correcto.

Mientras ese equilibrio no se alcance, los contribuyentes deben conocer y ejercer activamente las garantías que la Constitución les otorga.