La promulgación de la Ley N.º 7593/2025 representa el cambio más profundo en materia de privacidad que ha experimentado Paraguay en su historia legislativa. Para las empresas que operan en el país, esta norma no es solo una cuestión de tecnología o de sistemas informáticos: es, ante todo, un desafío de gestión laboral. Los legajos de empleados, los registros biométricos, las evaluaciones de desempeño y los sistemas de monitoreo interno quedan ahora sujetos a obligaciones concretas y a un régimen de sanciones que puede afectar significativamente la operación de cualquier organización. En este artículo, analizamos en profundidad qué cambia, qué riesgos enfrenta su empresa y qué acciones debe tomar de forma inmediata.

¿Qué es la Ley N.º 7593/2025 y por qué es relevante para los empleadores?

La Ley N.º 7593/2025 «De Protección de Datos Personales» es la norma marco que establece en Paraguay los derechos de las personas físicas en relación con el tratamiento de sus datos personales y las obligaciones de quienes los tratan. Su aprobación pone fin a un largo vacío normativo: hasta su promulgación, Paraguay carecía de una ley específica de protección de datos, contando únicamente con disposiciones dispersas en la Constitución Nacional (art. 33, 36 y 135), el Código Civil y algunas regulaciones sectoriales.

La norma se inspira en el Reglamento General de Protección de Datos (RGPD) de la Unión Europea -el estándar más exigente del mundo en la materia-, así como en la Ley N.º 25.326 de Argentina y en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares de México. Esta genealogía no es casual: Paraguay buscó alinearse con los estándares internacionales para facilitar los flujos de datos con sus principales socios comerciales y potenciar la atracción de inversión extranjera.

¿Por qué afecta de forma directa a la relación laboral?

La ley define «dato personal» como cualquier información referida a una persona física identificada o identificable. El trabajador es, en todo momento, una persona física cuyos datos la empresa trata de manera cotidiana: nombre, número de cédula, domicilio, salario, huella dactilar, historial de ausencias, evaluaciones, sanciones disciplinarias, correos electrónicos. Todos estos datos quedan dentro del ámbito de aplicación de la ley.

El empleador pasa a ser, en los términos de la ley, el «responsable del tratamiento»: la persona jurídica que decide los fines y los medios del tratamiento. Esto genera un conjunto de obligaciones que no existían antes en la legislación paraguaya y que se superponen -y deben armonizarse- con el Código Laboral (Ley N.º 213/93), la Ley N.º 1626/2000 de la Función Pública (para empleadores del Estado) y la normativa del Ministerio de Trabajo, Empleo y Seguridad Social (MTESS).

Principios clave de la Ley 7593/2025 que todo responsable de RRHH debe conocer

Antes de analizar el impacto por áreas, es fundamental comprender los principios rectores que la ley establece y que condicionan cada decisión de tratamiento de datos en el ámbito laboral:

El primero de ellos es el principio de licitud: el empleador solo puede tratar datos de sus trabajadores si existe una base jurídica que lo habilite, ya sea la ejecución del propio contrato de trabajo, el cumplimiento de una obligación legal -como los aportes al IPS-, el interés legítimo del empleador debidamente ponderado o, de manera excepcional, el consentimiento del trabajador.

Íntimamente ligado al anterior, el principio de transparencia exige que el trabajador sea informado, antes o en el momento de la recolección, sobre qué datos se recogen, con qué finalidad, durante cuánto tiempo y quién es el responsable de su tratamiento. La falta de información previa es, por sí sola, una infracción.

El principio de limitación de finalidad implica que los datos recabados para una finalidad concreta -por ejemplo, el pago del salario- no pueden utilizarse posteriormente para un propósito diferente -como el análisis de productividad o la elaboración de perfiles- sin contar con una nueva base jurídica que lo justifique.

En estrecha relación con el anterior, el principio de minimización establece que únicamente deben recogerse los datos estrictamente necesarios para la finalidad declarada. La recolección de información que exceda esa necesidad constituye ya una infracción desde el momento de la captación, con independencia del uso que se le dé posteriormente.

El principio de exactitud obliga a la empresa a mantener los datos de sus empleados actualizados y a corregir sin demora los que resulten inexactos o incompletos. El trabajador tiene reconocido el derecho de rectificación como garantía de este principio.

La limitación del plazo de conservación supone que los datos no pueden mantenerse de forma indefinida. Una vez extinguida la relación laboral, la empresa debe haber definido previamente un plazo de retención para cada categoría de dato y proceder, al vencimiento de ese plazo, a su eliminación o anonimización. La acumulación de información sin criterio de borrado pasa a ser una práctica legalmente arriesgada.

El principio de integridad y confidencialidad exige adoptar medidas técnicas y organizativas adecuadas para proteger los datos de los empleados frente a accesos no autorizados, alteraciones, pérdidas o destrucción accidental. Este principio es el que sustenta la obligación de notificar las brechas de seguridad a la autoridad de control.

Finalmente, el principio de responsabilidad proactiva o accountability cierra el sistema: el cumplimiento no puede ser meramente reactivo. El empleador debe estar en condiciones de demostrar, en cualquier momento y ante cualquier requerimiento, que todas las operaciones de tratamiento que realiza se ajustan a la ley. Esto implica documentar decisiones, mantener registros actualizados y contar con políticas internas verificables.

Impacto en la gestión de legajos y archivos de Recursos Humanos de la Ley 7593/2025

El legajo del empleado bajo la lupa de la nueva ley

El legajo laboral es quizás el conjunto de datos personales más abarcador que maneja cualquier empresa. Contiene cédula de identidad, acta de nacimiento, certificados académicos, referencias laborales anteriores, historial de salario, evaluaciones de desempeño, sanciones, licencias médicas, documentación de accidentes laborales y, en muchos casos, datos familiares del trabajador.

Con la Ley N.º 7593/2025, el empleador debe revisar el contenido de cada legajo para verificar que todos los datos almacenados responden a una finalidad laboral legítima y que no se conservan datos innecesarios, desactualizados o desproporcionados. La práctica habitual de acumular documentación sin criterio de eliminación pasa a ser legalmente riesgosa.

Derechos del trabajador sobre sus propios datos

La ley reconoce al trabajador, como titular de sus datos, los siguientes derechos que el empleador está obligado a respetar y tramitar dentro de los plazos establecidos:

• Derecho de acceso: el empleado puede solicitar información sobre qué datos trata la empresa, con qué finalidad y durante cuánto tiempo.
• Derecho de rectificación: puede exigir la corrección de datos inexactos o desactualizados.
• Derecho de supresión («derecho al olvido»): puede solicitar la eliminación de datos que ya no sean necesarios para los fines para los que fueron recogidos. En el ámbito laboral, este derecho tiene limitaciones: la empresa puede conservar datos mientras existan obligaciones legales o plazos de prescripción de acciones laborales.
• Derecho de oposición: en ciertos tratamientos basados en interés legítimo, el empleado puede oponerse.
• Derecho a la portabilidad: el empleado puede solicitar sus datos en formato estructurado para llevarlos a otro empleador.

Plazos de conservación de datos laborales

Este es un tema sumamente sensible y que toda empresa debe prever, pues si bien la ley determina plazos de prescripción, ello no debe confundirse con la limitación del plazo de conservación. Son figuras sustancialmente distintas. En muchos casos se ha observado que Tribunales y hasta la propia Autoridad Adminstrativa del Trabajo intiman la presentación de documentación laboral con data de años considerable, por lo que eliminar documentos laborales considerando solo el plazo de prescripción (que se vincula solo al ejercicio de una acción en sede judicial) en todo caso puede considerarse sumamente riesgoso para el empleador, sobre todo en un sistema con poca seguridad jurídica. Recuérdese además que en todo proceso judicial la carga de la prueba del cumplimeinto de normas laboral incumbre al empleador, por lo que esta materia no puede ser soslayada sin la debida atención que merece. Es de esperar que la reglamentación que la propia ley impone se realice determine claramente plazos, términos y condiciones en materia especifica laboral.

Biometría en el lugar de trabajo tras la Ley 7593/2025: el área de mayor riesgo

¿Qué se entiende por dato biométrico?

La Ley N.º 7593/2025 incluye los datos biométricos dentro de la categoría de datos sensibles o de categoría especial, lo que implica un régimen de protección reforzado. Son datos biométricos aquellos obtenidos a partir de tratamiento técnico específico relativos a las características físicas, fisiológicas o conductuales de una persona que permitan su identificación única: huella dactilar, reconocimiento facial, iris, geometría de la mano, voz.

En Paraguay, el uso de lectores de huella dactilar para el control de asistencia y acceso a instalaciones se ha generalizado en las empresas durante la última década. La nueva ley cambia radicalmente el marco en que este uso es legítimo.

Requisitos para el tratamiento de datos biométricos de empleados

Para que el uso de biometría en el ámbito laboral sea conforme a la Ley 7593/2025, deben concurrir acumulativamente los siguientes requisitos:

1. Existencia de una base jurídica habilitante. El mero interés organizativo del empleador (comodidad, rapidez) no es suficiente. La base más frecuente en el ámbito laboral será el interés legítimo del empleador en controlar el cumplimiento del horario de trabajo -siempre que este interés no quede desplazado por los derechos del trabajador- o, en su caso, una obligación legal o convencional.
2. Evaluación de Impacto en Protección de Datos (EIPD). El tratamiento de datos biométricos a gran escala requiere, antes de su implementación, la realización de una EIPD que analice los riesgos para los derechos y libertades de los afectados y las medidas adoptadas para mitigarlos.
3. Información previa a los trabajadores. Deben ser informados, de manera clara y comprensible, sobre el sistema biométrico: qué datos se recogen, para qué finalidad, quién los trata, durante cuánto tiempo y cuáles son sus derechos.
4. Proporcionalidad y necesidad. El empleador debe poder demostrar que el sistema biométrico es necesario para la finalidad declarada y que no existe una alternativa menos intrusiva que permita lograr el mismo objetivo (ej. tarjeta magnética, firma manual).
5. Medidas de seguridad reforzadas. Los datos biométricos deben almacenarse cifrados y con acceso restringido. La brecha de seguridad de un sistema biométrico laboral tiene consecuencias gravísimas y de notificación obligatoria a la autoridad de control.

¿Puede el empleado negarse a facilitar su huella dactilar?

Esta es una de las preguntas más frecuentes que reciben los abogados laborales tras la promulgación de la ley. La respuesta no es simple: depende de si el tratamiento biométrico tiene una base jurídica suficiente y de si existe una alternativa. Si el sistema biométrico está correctamente implementado, tiene base jurídica en el interés legítimo del empleador (control de jornada) y se ha realizado la EIPD, el empleador puede, en principio, requerir su uso. Si el único fundamento fuera el consentimiento del trabajador, la negativa no podría tener consecuencias disciplinarias, porque el consentimiento en el ámbito laboral -dada la situación de dependencia- raramente puede considerarse libre.

Evaluaciones de desempeño y decisiones automatizadas: cambio tras la Ley 7593/2025

¿Qué cambia en la evaluación de empleados?

Las evaluaciones de desempeño generan datos personales sobre el rendimiento, aptitudes, actitudes y comportamiento del trabajador. La ley establece que estos datos solo pueden ser tratados para la finalidad para la que fueron recogidos -habitualmente, la gestión de la relación laboral y el desarrollo profesional- y no pueden ser compartidos sin base jurídica.

Decisiones automatizadas: una novedad con alto impacto

La Ley N.º 7593/2025 incorpora, siguiendo el modelo del RGPD europeo, el derecho a no ser objeto de decisiones automatizadas que produzcan efectos jurídicos significativos o que le afecten de manera análoga de forma significativa. Esta disposición tiene un impacto directo en las empresas que utilizan sistemas de software de gestión de RRHH con funciones de puntuación, ranking o evaluación algorítmica.

Un sistema que automáticamente bloquea el acceso de un empleado, decide su elegibilidad para una promoción o genera una alerta de despido basándose exclusivamente en el procesamiento algorítmico de sus datos, sin intervención humana, puede ser cuestionado bajo esta disposición. El trabajador tiene derecho a exigir intervención humana en la decisión, a expresar su punto de vista y a impugnar la decisión.

Monitoreo laboral: correo electrónico, navegación e internet

El debate clásico del derecho laboral, ahora con nueva regulación en la Ley 7593/2025

El monitoreo de las comunicaciones y la actividad digital de los empleados en el lugar de trabajo ha sido siempre una zona de tensión entre el poder de dirección del empleador y el derecho a la intimidad del trabajador. La Ley N.º 7593/2025 no resuelve definitivamente este debate, pero sí impone un marco de garantías que las empresas deben cumplir.

Requisitos para el monitoreo legítimo

En primer lugar, la empresa debe contar con una política de uso de medios tecnológicos corporativos escrita y conocida por todos los empleados, que establezca claramente que el correo, internet y los dispositivos corporativos son herramientas de trabajo susceptibles de monitoreo y que defina el alcance exacto de ese control. Dicha política es el punto de partida de cualquier sistema de vigilancia legítimo: sin ella, cualquier monitoreo posterior carece de la transparencia que exige la ley.

En cuanto a la finalidad, el monitoreo debe responder a un propósito específico y proporcional -seguridad informática, prevención de fugas de información, cumplimiento normativo- y no puede derivar en una vigilancia indiscriminada de la vida privada del trabajador. Estrechamente vinculada a esto, la transparencia previa exige que el empleado conozca, antes de iniciar su relación laboral o en el momento de implementarse el sistema, que existe monitoreo y de qué tipo es.

La ley impone además dos límites materiales que no admiten excepción: la prohibición de monitorear comunicaciones claramente personales del empleado, incluso cuando estas se produzcan desde dispositivos corporativos, y la conservación limitada de los registros de actividad digital, que no pueden mantenerse de forma indefinida sino durante el tiempo estrictamente necesario para la finalidad que justificó su captación.

Videovigilancia en el lugar de trabajo

Las cámaras de seguridad en instalaciones laborales constituyen otro punto crítico bajo la Ley N.º 7593/2025. La norma exige, en primer término, señalización visible en todas las zonas bajo vigilancia, de modo que ningún empleado pueda desconocer que está siendo grabado. La finalidad debe ser estrictamente de seguridad: las grabaciones no pueden utilizarse para evaluar el rendimiento del trabajador si este uso no le fue expresamente informado con anterioridad. Quedan absolutamente prohibidas las cámaras en zonas de descanso, vestuarios, baños y cualquier otro espacio vinculado a la intimidad personal.

El acceso a las grabaciones debe estar restringido a las personas estrictamente autorizadas, y los registros no pueden conservarse más allá del tiempo necesario.

Transferencias de datos de empleados a terceros y al exterior

Prestadores de servicios de RRHH: el «encargado del tratamiento»

Cuando la empresa contrata un proveedor externo de servicios de nómina, reclutamiento, plataformas de formación, seguros médicos, o servicios de seguridad y salud ocupacional, ese proveedor puede acceder a datos de empleados. En estos casos, la ley exige suscribir un contrato de encargo del tratamiento que garantice que el proveedor solo tratará los datos según las instrucciones del empleador, adoptará medidas de seguridad adecuadas y no los usará para fines propios.

Transferencias internacionales de datos laborales

Muchas empresas que operan en Paraguay son filiales de grupos multinacionales que centralizan la gestión de RRHH en sus casas matrices. La transmisión de datos de empleados paraguayos a sistemas ubicados en el extranjero constituye una «transferencia internacional de datos» sujeta a requisitos específicos de la ley.

La norma permite estas transferencias hacia países o territorios que ofrezcan un nivel de protección equivalente al paraguayo (decisiones de adecuación) o cuando se adopten garantías adecuadas: cláusulas contractuales tipo, normas corporativas vinculantes o mecanismos de certificación. En ausencia de estas garantías, la transferencia puede ser ilícita, con independencia de que se produzca dentro de un mismo grupo empresarial.

El régimen sancionador en la Ley 7593/2025: ¿a qué riesgos se expone su empresa?

La Ley N.º 7593/2025 establece un régimen de infracciones y sanciones que supera con creces cualquier regulación anterior en Paraguay en este ámbito. Las infracciones se clasifican en leves, graves y muy graves, con sanciones que van desde apercibimientos hasta multas económicas de cuantía significativa.

Infracciones más frecuentes en el ámbito laboral

Entre las infracciones que con mayor frecuencia cometen las empresas en el ámbito laboral, la más habitual es el tratamiento de datos sin base jurídica habilitante, siendo el uso de sistemas biométricos sin justificación suficiente el ejemplo más recurrente en la práctica paraguaya. En la misma línea, la falta de información previa a los trabajadores sobre cómo se tratan sus datos constituye una infracción autónoma, independientemente de que el tratamiento en sí sea legítimo.

El incumplimiento de los plazos legales para responder a las solicitudes de ejercicio de derechos -acceso, rectificación o supresión- es otro foco de riesgo frecuente, al igual que la conservación de datos más allá del tiempo necesario, práctica extendida en departamentos de RRHH que acumulan información sin una política de retención definida.

En el plano de la seguridad, la ausencia de medidas técnicas y organizativas adecuadas que desemboque en una brecha de datos expone a la empresa a una doble sanción: por la falta de protección en sí y, de forma separada, por no notificar la brecha a la autoridad de control dentro de los plazos que establece la ley, obligación que muchas organizaciones desconocen o subestiman.

Cierran el cuadro de infracciones habituales las transferencias internacionales de datos sin las garantías requeridas -especialmente relevantes en grupos empresariales multinacionales con sede fuera de Paraguay- y la omisión de realizar la Evaluación de Impacto en Protección de Datos en los supuestos en que la ley la exige de forma preceptiva, como ocurre con los sistemas biométricos o de monitoreo a gran escala.

Doble exposición: protección de datos y contingencia laboral

En el ámbito laboral, el incumplimiento de la Ley 7593/2025 no solo expone a la empresa a sanciones de la autoridad de control de datos personales. Puede generar también contingencias laborales adicionales:

• Acciones de amparo constitucional del trabajador por vulneración de su derecho a la intimidad (art. 33 CN).
• Uso de la infracción como argumento en juicios laborales por despido injustificado o acoso.
• Inspecciones del MTESS motivadas por denuncias de trabajadores.
• Daño reputacional con impacto en la captación y retención de talento.

Plan de acción tras la entrada en vigencia de la Ley 7593/2025: ¿qué debe hacer su empresa ahora?

La entrada en vigencia de la Ley N.º 7593/2025 no admite espera. A continuación, Irún & Villamayor propone un plan de acción estructurado en fases:

Fase 1: Diagnóstico y mapeo de datos (inmediata)

• Identificar todos los tipos de datos personales de empleados que trata la empresa.
• Determinar, para cada categoría, la base jurídica que lo habilita.
• Elaborar o actualizar el Registro de Actividades de Tratamiento (RAT), obligatorio bajo la ley.
• Auditar los sistemas biométricos existentes y evaluar su adecuación.

Fase 2: Adecuación documental y de procesos (corto plazo)

• Redactar o actualizar el aviso de privacidad para empleados.
• Revisar contratos laborales, reglamentos internos y políticas de uso de medios tecnológicos.
• Implementar el procedimiento de atención de solicitudes de ejercicio de derechos de empleados.
• Revisar y formalizar los contratos con proveedores de RRHH (encargados del tratamiento).
• Establecer políticas de retención y eliminación de datos por categorías.

Fase 3: Seguridad y evaluaciones de impacto (mediano plazo)

• Realizar auditoría de seguridad de los sistemas que contienen datos de empleados.
• Implementar el protocolo de notificación de brechas de seguridad.
• Llevar a cabo las Evaluaciones de Impacto (EIPD) requeridas para sistemas biométricos y de monitoreo.
• Verificar el cumplimiento de los requisitos para transferencias internacionales de datos.

Formación y cultura de cumplimiento (continua)

• Formar a los responsables de RRHH, directores y encargados de tecnología en los principios y obligaciones de la ley.
• Establecer un canal interno de reporte de incidentes relacionados con datos personales.
• Designar, si procede, un delegado de Protección de Datos (DPD).

Conclusión: el cumplimiento de la Ley 7593/2025 es una decisión estratégica, no solo legal

La Ley N.º 7593/2025 transforma de manera estructural la manera en que las empresas paraguayas deben gestionar los datos de sus empleados. No se trata de un ajuste menor de procedimientos: implica repensar los legajos, los sistemas biométricos, las evaluaciones, el monitoreo y las relaciones con proveedores bajo una lógica de privacidad desde el diseño.

Las empresas que aborden esta adecuación de forma proactiva, con el acompañamiento de abogados laborales especializados, estarán mejor preparadas para operar en un entorno regulatorio cada vez más exigente y para atraer talento que valora su privacidad como activo fundamental.

En Irún & Villamayor, como firma exclusivamente dedicada al asesoramiento de empleadores en materia de Derecho Laboral en Paraguay, acompañamos a nuestros clientes en cada etapa de este proceso: desde el diagnóstico inicial hasta la implementación de políticas, la formación del equipo de RRHH y la defensa ante cualquier reclamación o sanción. La protección jurídica de su empresa comienza antes de que surja el conflicto.

Preguntas frecuentes (FAQ) sobre la nueva Ley 7593/2025

Abogado Félix Miguel Villamayor