En Paraguay, el uso de datos biométricos se expande rápidamente en sectores como seguridad, educación y servicios financieros, muchas veces sin el consentimiento explícito de los ciudadanos. Esta rápida adopción tecnológica genera riesgos significativos para los derechos individuales y la inclusión financiera y social.
La falta de un marco legal actualizado y una reglamentación clara para el tratamiento de estos datos sensibles exponen al país a posibles vulneraciones de privacidad y consecuencias socioeconómicas negativas. Frente a este escenario, el proyecto de ley de protección de datos personales representa un primer paso hacia la regulación.
Maricarmen Sequera, co-directora ejecutiva de Tedic, señala que la ley busca armonizar estándares internacionales con la realidad nacional, y enfatiza la necesidad de aplicar criterios de proporcionalidad. A su criterio, la implementación efectiva de la norma requiere reglamentación, transparencia e instancias que garanticen la protección ciudadana.
Los datos biométricos se definen como un proceso que identifica o reconoce características humanas mediante el escaneo de sus rasgos físicos o de comportamiento. Esto puede incluir huellas dactilares, escaneos faciales, reconocimiento de voz, escaneos del iris, huellas palmares o geometría de la mano.
Maricarmen Sequera, co-directora ejecutiva de Tedic, explicó que estos datos son considerados sensibles y su tratamiento requiere un enfoque especial. “Este tipo de información debe cumplir un estándar, justificando su uso, y si no cumple con los criterios de proporcionalidad y necesidad, lamentablemente no puede ser utilizada”.
Beneficios y desventajas del uso de tecnología biométrica
Uno de los principales beneficios de esta tecnología, es que con esta información no se necesita contar con una tarjeta o llave para acceder a un edificio, por ejemplo un banco, una empresa, un evento público o privado, o incluso un centro de asistencia médica.
Sin embargo, la biometría puede llegar a asociarse con el robo de identidad, que puede manipularse para el caso de fraudes financieros y el acceso a información personal; en cuanto a la privacidad, la preocupación sobre el uso de la biometría para disminuir la libertad ciudadana, es una preocupación constante.
Maricarmen Sequera subrayó que a diferencia de documentos tradicionales, si se fuga información del iris, movimientos corporales, voz o reconocimiento facial de las personas, no se puede volver a “imprimir” porque son datos intrínsecamente individuales.
“Si esto ocurre, cualquier persona podría utilizar esa información para hacer contratos o acceder a otros lugares, con graves consecuencias para los derechos humanos”, remarcó.
Cabe mencionar que de acuerdo con el Banco Mundial, la biometría puede impulsar la inclusión y eficiencia económica, pero advierte que sin regulación, controles de diseño y salvaguardas genera riesgos severos como la exclusión, discriminación, vigilancia y daños irreversibles.
Muchos países de la región ya legislaron o están modernizando sus marcos jurídicos para mitigar estos riesgos, pero la implementación técnica mediante evaluaciones, alternativas y transparencia todavía está pendiente y es de carácter fundamental.
La experta de Tedic advirtió asimismo, que la biometría debe ser aplicada con cautela, especialmente considerando las desigualdades y limitaciones tecnológicas del país, “porque podríamos parecer avanzados cuando en realidad existen desigualdades significativas”.
¿Qué países de la región tienen regulado el uso de datos personales y biométricos?
En la región, la mayoría de los países ya cuentan con leyes generales de protección de datos personales que incluyen o consideran a los datos biométricos como sensibles. La llegada de estas leyes responde principalmente a la necesidad de integración comercial digital, atracción de inversiones, exigencias de interoperabilidad internacional como los estándares de la UE, y riesgos crecientes por el uso masivo de datos.
Brasil, por ejemplo, cuenta con la LGPD (Lei Geral de Proteção de Dados) desde 2020; Argentina fue pionera con la Ley 25.326; Chile aprobó una nueva ley en diciembre de 2024; Perú y Colombia actualizaron sus regulaciones recientemente, incluyendo evaluaciones de impacto para datos biométricos. Uruguay y México también tienen marcos legales modernos.
Sequera enfatizó al respecto la importancia de adaptar estas normativas al contexto paraguayo, “El proyecto actual busca armonizar estándares europeos como el GDPR con legislaciones de América Latina (Brasil, México, Argentina y Chile), pero adaptados a la realidad paraguaya. No podemos pedir cosas muy complejas en un contexto donde no existen ciertas capacidades institucionales”.
¿Paraguay realmente avanza en materia de ciberseguridad y ley de protección de datos personales?
Es importante recordar que, en Paraguay en los últimos años se dieron pasos importantes en materia de ciberseguridad, principalmente con la actualización de la Estrategia Nacional de Ciberseguridad 2025-2028.
Asimismo, el proyecto de ley de protección de datos personales, fue presentado en mayo de 2021 y desde su ingreso al Congreso, la propuesta atravesó un extenso recorrido legislativo, marcado por múltiples debates, postergaciones y revisiones.
Sobre el punto, vale mencionar que la Cámara de Diputados incluyó en su orden del día martes 14 de octubre, el tratamiento del proyecto de ley tras haber sido modificado por la Cámara de Senadores. En la jornada, el mismo fue ratificado rechazando las modificaciones y pasando nuevamente a la cámara alta.
La iniciativa busca llenar el vacío legal tras la derogación de la Ley 1682/2001 por la Ley N° 6534/2020, que dejó sin protección general a los datos personales de los paraguayos. Asimismo, una de sus principales innovaciones que se incluyen en el proyecto es la creación de la Agencia de Protección de Datos Personales, un organismo independiente con facultades de supervisión, investigación y sanción.
Klaus Pisttili, viceministro TIC del Ministerio de Tecnologías de la Información y Comunicación (Mitic), afirmó que con este documento, se establece la protección de los datos personales como un derecho fundamental, aplicable tanto a entidades públicas como privadas, y surge ante situaciones recurrentes en el país, como el envío de llamadas y mensajes no solicitados por empresas con las que los ciudadanos nunca tuvieron relación comercial.
Este proyecto de ley responde a la convicción de que contar con una normativa moderna de protección de datos es indispensable para el desarrollo soberano y seguro del Paraguay en el siglo XXI. En un mundo donde los datos son uno de los activos más valiosos, esta ley establecerá reglas claras que protejan a los ciudadanos y, al mismo tiempo, generen un entorno de confianza para la innovación y la inversión.
Maricarmen Sequera consideró que, si bien el proyecto representa un avance respecto a leyes anteriores, tiene limitaciones. “Se propuso una agencia independiente que controle tanto al sector público como el privado, pero hoy la capacidad del Estado de crear una nueva institución limita la autonomía y la aplicabilidad de la ley”.
Sin embargo, sostuvo que como primera propuesta o ley para el país “es un buen comienzo”, con principios ARCO (Acceso, Rectificación, Cancelación y Oposición) incluidos, criterios de transferencia internacional y medidas de seguridad más avanzadas que la ley anterior de 2002.
Uso de datos biométricos en Paraguay
De acuerdo con la Asociación de Tecnología, Educación, Desarrollo, Investigación, Comunicación (Tedic), en Paraguay el uso de tecnologías de vigilancia biométrica se está expandiendo sin que la ciudadanía lo sepa, sin debates públicos y sin marcos legales que garanticen el respeto de los derechos fundamentales.
Vale recordar que el desarrollo de la Expo Paraguay 2025, uno de los principales eventos económicos y sociales del país, estuvo marcado por la polémica debido a la implementación de un sistema de acceso digital que despertó fuertes cuestionamientos por su carácter excluyente y falta de garantías en materia de privacidad y protección de datos.
Para ingresar al predio, los visitantes debían registrarse obligatoriamente en la aplicación de una empresa privada, realizar los pagos a través del banco oficial del evento y validar su identidad mediante verificación biométrica. Esta situación dejó fuera a sectores de la población no bancarizados, adultos mayores o personas con bajo acceso tecnológico, generando críticas por parte de autoridades y especialistas que calificaron la medida como una forma de exclusión.
Maricarmen Sequera recalcó que la protección de la persona detrás del dato es fundamental, “los datos personales no son simplemente información. Son un derecho, que nace de la cuarta generación de los derechos humanos, relacionados con privacidad e intimidad”. A su criterio, el titular de los datos es quien debe definir cómo se comparten, bajo principios como necesidad, proporcionalidad, legitimidad y legalidad.
Sobre el uso por parte del Estado, para esta información la especialista aseguró que, “por más que tenga mis derechos ARCO, no puedo decirle al Estado que no almacene mi información cuando es necesaria para otorgar derechos específicos, como acceso a servicios administrativos, salud o impuestos. La ley orienta cómo tratar esos datos de manera proporcional y segura”.
Klaus Pistilli añadió que desde el Mitic observan con atención y preocupación el uso creciente de datos biométricos en distintos ámbitos. “Nuestra postura es clara: el tratamiento de datos tan sensibles debe realizarse con el máximo rigor técnico y legal, y siempre con el consentimiento previo, expreso e informado del titular. Cualquier práctica que no respete este principio es inaceptable”.
Por ello, insistió en que es imprescindible contar con un marco legal que defina claramente qué son los datos personales sensibles y establezca los parámetros para su uso legítimo bajo consentimiento inequívoco. “Este marco nos permitirá pasar de una situación de desprotección a un sistema que empodera al ciudadano y exige responsabilidad a quienes tratan sus datos, fortaleciendo la confianza en el ecosistema digital”, dijo.
La normativa actual se plantea como una ley marco y obliga a que todas las instancias vayan adecuando sus protocolos bajo los criterios de la normativa. Sin embargo, según Sequera, el desafío será la reglamentación ya que sin ella, “no se puede aplicar la ley.”
Respecto a la biometría, la co-directora de Tedic afirmó que debe aplicarse solo cuando es necesario y proporcional. “Por ejemplo, si puedo identificar a una persona con su cédula de identidad, no es necesario usar biometría. El uso indebido o fuga de estos datos puede generar problemas graves a los derechos humanos”, dijo.
La mejor innovación es aquella que se construye sobre la base del respeto a los derechos fundamentales. No son fines contrapuestos, sino complementarios, una tecnología que vulnera la privacidad está destinada al fracaso por la desconfianza que genera.
Por eso, la normativa debe basarse no en tecnologías específicas que cambian rápidamente, sino en principios perdurables como la finalidad, la minimización, la licitud y la seguridad de los datos. Este enfoque permite que la innovación florezca dentro de un marco ético y legal sólido.
Al respecto, Pistilli remarcó que “incorporar conceptos como la privacidad desde el diseño y la privacidad por defecto es esencial, toda nueva tecnología, sea inteligencia artificial o un sistema de seguridad, debe integrar la protección de la privacidad desde su concepción inicial”.
Impacto económico de avanzar en una ley de protección de datos
De acuerdo con proyecciones del BID (2023), en Paraguay, el comercio electrónico representaba alrededor del 1,5% del PIB comercial en el año 2021 y en 2025 podría alcanzar el 4,6% del PIB. Sin embargo, resalta que esta expansión depende en gran parte de que existan garantías como la protección de los datos personales que generen confianza en consumidores y empresas.
Por su parte, según la base de datos Global Findex 2022 del Banco Mundial, menciona que Paraguay duplicó en tres años el porcentaje de adultos que utilizan pagos digitales. El documento señala que el 55% de los adultos realizó o recibió algún pago digital en 2024, ya sea a través del celular o transferencia electrónica.
De acuerdo con el organismo internacional, la tecnología, especialmente de teléfonos móviles fue fundamental para este avance. Con esto se puede afirmar que la digitalización financiera, que depende entre otras cosas de la seguridad jurídica y protección de datos, es una vía para cerrar la brecha de la bancarización e inclusión financiera.
Cabe remarcar que la ausencia de un marco legal sólido es una barrera silenciosa para el desarrollo digital de Paraguay y es por eso, que con la aprobación de esta ley, se espera generar beneficios económicos y sociales de gran alcance para toda la población, principalmente en el respeto de la privacidad y el cuidado de los usuarios.
En el plano económico, Pistilli afirmó que la ley permitirá atraer inversiones de empresas globales de tecnología, finanzas y otros sectores que dependen del manejo responsable de datos. Asimismo, fortalecerá el ecosistema local, impulsando la creación de nuevas empresas en áreas como la ciberseguridad, la consultoría en protección de datos y el desarrollo de tecnologías respetuosas de la privacidad, generando empleos de alta calificación.
“En el ámbito social, promoverá el empoderamiento ciudadano, devolviendo a las personas el control sobre su información personal y reduciendo riesgos de manipulación, fraude o usurpación de identidad. Además, fortalecerá la confianza en los servicios digitales públicos y privados, impulsando una transformación digital más inclusiva y segura”, sostuvo.
En este contexto, Sequera reiteró que el uso masivo de datos biométricos sin regulación genera exclusión y desigualdad, afectando principalmente a personas no bancarizadas, adultos mayores o quienes tienen menor acceso tecnológico. “La ley de datos personales va a limitar abusos del negocio de vigilancia y protegerá a la ciudadanía. Este derecho tiene que ser entendido por todas las personas para levantar el estándar de protección”.
Insistió asimismo, en que la aprobación de la ley marca un primer paso para el país, pero la verdadera transformación dependerá de su implementación efectiva. “Necesitamos reglamentación y que cada institución del Estado desarrolle sus políticas internas. Es necesaria una agencia independiente que monitoree y asegure la transparencia y es fundamental que los ciudadanos sepan cómo se usan sus datos y puedan denunciar abusos”, señaló.
Concluyó remarcando que esta ley «no es perfecta ni nos salvará de todo”, pero es un buen comienzo después de casi 10 años de impulso. “Ahora comienza el trabajo para construir una cultura de protección de datos y confianza digital en Paraguay”.
El papel de la IA en el uso y regulación de la biometría
Cabe mencionar asimismo que el avance de la inteligencia artificial (IA) está estrechamente ligado al desarrollo de tecnologías biométricas. Los algoritmos de aprendizaje automático son los que permiten que los sistemas de reconocimiento facial, de voz o de huellas dactilares logren altos niveles de precisión, reduciendo tiempos de verificación y costos operativos en distintos sectores.
En ese sentido, es importante entender que la IA puede ser una herramienta poderosa para mejorar la eficiencia y seguridad de los procesos digitales en Paraguay, especialmente en ámbitos como la banca, la salud, la educación o la gestión pública. Sin embargo, su aplicación sin controles adecuados mediante una regulación robusta, amplifica los riesgos ya existentes en torno al uso indebido de datos personales y la vigilancia masiva.
En el contexto actual del país, con ausencia de un marco legal robusto de protección de datos, la integración de sistemas basados en IA sin supervisión representa un desafío mayor. Esto se debe a la capacidad de estos modelos para procesar grandes volúmenes de información biométrica podría derivar en prácticas discriminatorias o sesgos algorítmicos si no se establecen criterios claros de transparencia y rendición de cuentas.
Organizaciones como la OCDE (Organización para la Cooperación y el Desarrollo Económicos) y la UNESCO promueven el principio de uso de inteligencia artificial responsable, que exige que todo desarrollo tecnológico respete los derechos humanos, la privacidad y la equidad.
Sin embargo, la IA también puede convertirse en una aliada estratégica para fortalecer la protección de datos, ya que existen modelos que permiten anonimizar información sensible o detectar vulneraciones en tiempo real, ayudando a las instituciones a prevenir filtraciones o accesos no autorizados.
En el marco de la creación de la Agencia de Protección de Datos Personales, la incorporación de herramientas basadas en inteligencia artificial, podría facilitar las auditorías automatizadas, gestión eficiente de denuncias y una evaluación de impacto de nuevas tecnologías. Con esto no solo se podría mejorar la capacidad de control del Estado, sino también a fomentar la confianza ciudadana en los entornos digitales.
Tal es así que el desafío no radica en frenar el avance de la inteligencia artificial, sino en garantizar que su uso se oriente bajo principios éticos y regulatorios sólidos mediante la combinación de una ley moderna de protección de datos, acompañada de políticas de alfabetización digital y gobernanza algorítmica, que permitan a Paraguay tener la oportunidad de sentar bases para un modelo de desarrollo tecnológico inclusivo, transparente y centrado en las personas.
Este material fue realizado en el marco del Programa por la Integridad de la Información (PIIN 2025) “El futuro de la información en la era de la IA” de La Precisa.
