Em um contexto de amadurecimento regulatório na América Latina, o Paraguai se torna o mais novo país a adotar um marco geral para o tratamento de dados pessoais. A Lei 7.593/2025 representa a primeira legislação amplamente dedicada à proteção de dados no país, superando o histórico de normas pontuais, como a Lei de Dados Creditícios, e introduzindo princípios, deveres e direitos aos titulares.
A lei estabelece princípios centrais para orientar o tratamento de dados pessoais, como finalidade específica, minimização da coleta, transparência, qualidade dos dados e segurança. Ademais, a legislação reforça a responsabilidade dos agentes de tratamento em garantir a aplicação dos direitos dos titulares.
Com esse conjunto de diretrizes, o país se aproxima de padrões internacionais de proteção de dados, alinhando-se especialmente ao modelo consolidado pela União Europeia no Regulamento Geral de Proteção de Dados (GDPR), já refletido no ordenamento brasileiro por meio da Lei Geral de Proteção de Dados (LGPD).
Desse modo, conforme texto legal, a lei se aplica a:
- Controladores ou operadores estabelecidos no Paraguai, ainda que o tratamento ocorra no exterior;
- Agentes não estabelecidos no país quando: tratem dados de pessoas localizadas em território paraguaio (exceto em trânsito), ofereçam bens ou serviços aos residentes do país ou monitorem o comportamento de pessoas físicas no Paraguai.
Para controle e supervisão da aplicação da legislação, o artigo 34 determina a criação da Agência Nacional de Proteção de Dados Pessoais. Dentre as funções da Agência está a aplicação de sanções administrativas pelo descumprimento da legislação, podendo adotar medidas que vão desde advertências até penalidades mais severas.
Dentre as sanções, destacam-se as multas, que podem variar de 20 a 2.500 jornales mínimos para infrações gerais, chegando a 5 mil jornales mínimos quando envolverem dados sensíveis e alcançando até 10 mil jornales mínimos nos casos de tratamento irregular de dados sensíveis de crianças e adolescentes. A Agência também poderá determinar a suspensão das atividades de tratamento, sendo possível aplicar as sanções de forma isolada ou cumulativa, conforme a gravidade da infração e os riscos envolvidos.
A lei entra em vigor em 24 meses, período durante o qual empresas e organizações deverão revisar políticas internas, contratos, procedimentos de segurança e fluxos de tratamento, para alcançar conformidade.
