Paraguay aún no cuenta con una ley de protección de datos personales. Un proyecto antiguo, que nunca se trató en el Congreso, se reactivó y se presentó otro actualizado. En el trabajo participaron organizaciones de sociedad civil, el Ministerio de Tecnología y Comunicación , la Comisión de Ciencia y Tecnología de la Cámara de Diputados y la Presidencia de la República.
Se hizo la actualización de un proyecto de ley que se presentó en el 2021. El Congreso nunca aprobó. El artículo 12 del proyecto corregido regula sobre el principio de conservación de datos personales. Al respecto establece: «No podrán conservarse o mantenerse los datos durante más tiempo del necesario para los fines del tratamiento. El Responsable del tratamiento deberá establecer los plazos para la supresión y/o revisión periódica».
El mismo artículo agrega que «cuando los datos personales hubieren dejado de ser necesarios para el cumplimiento de las finalidades
que motivaron su tratamiento, el responsable los suprimirá o eliminará de sus archivos, registros, bases de datos, expedientes o sistemas de información, o en su caso, los someterá a un procedimiento de anonimización. En la supresión de los datos personales, el responsable implementará métodos y técnicas orientadas a la eliminación definitiva y segura de éstos».
El anuncio del proyecto actualizado fue realizado por la Coalición de Datos Personales del Paraguay, conformada por APADIT, Internet Society capítulo Paraguay, Puente y TEDIC. El proyecto de ley podría tratarse dentro de 15 días en la Cámara de Diputados.
Principio de seguridad
El artículo 14 regula sobre el Principio de seguridad de los datos personales. Al respecto establece que «en el tratamiento de datos personales se deberán adoptar medidas técnicas y organizativas que garanticen la seguridad de los datos y que tendrán como finalidad evitar la alteración, pérdida, tratamiento o acceso no autorizado».
Agrega que «en el caso de datos definidos por esta ley como datos sensibles, se adoptarán medidas adicionales para garantizar la seguridad de estos ante los riesgos específicos relacionados al tratamiento de dichos datos. El responsable y el encargado del tratamiento llevarán a cabo una serie de acciones que garanticen el establecimiento, implementación, operación, monitoreo, revisión, mantenimiento y mejora continua de las medidas de seguridad aplicables al tratamiento de los datos personales, de manera periódica».
La parte final del artículo 14 establece que «la Autoridad de Control reglamentará las condiciones técnicas de seguridad e integridad mínimas que deberán ser aplicadas por los responsables y encargados del tratamiento».
Principio de confidencialidad
El artículo 15 regula sobre el Principio de confidencialidad. Establece que «los responsables y encargados del tratamiento de datos de carácter personal, así como toda persona que intervenga en cualquier fase de este estarán sujetas al deber de confidencialidad, obligación que subsistirá a un después de finalizar sus relaciones con el titular. Los mismos podrán ser relevados del deber de confidencialidad por resolución judicial u obligación legal».
