LEY N° 6534

DE PROTECCIÓN DE DATOS PERSONALES CREDITICIOS

EL CONGRESO DE LA NACIÓN PARAGUAYA SANCIONA CON
FUERZA DE
LEY:
CAPÍTULO I
DISPOSICIONES GENERALES.
Artículo 1°.- OBJETO. La presente Ley tiene por objeto garantizar la protección
de datos crediticios de toda persona, cualquiera sea su nacionalidad, residencia o
domicilio.
También se busca regular la actividad de recolección y el acceso a datos de
información crediticia, así como la constitución, organización, funcionamiento,
derechos, obligaciones y extinción de las personas jurídicas que se dediquen a la
obtención y provisión de información crediticia, con el fin de preservar los
derechos fundamentales, la intimidad, la autodeterminación informativa, la
libertad, la seguridad y el trato justo de las personas, de conformidad con lo
establecido en la Constitución Nacional, la presente Ley y los Tratados suscritos y
ratificados por la República del Paraguay.
Artículo 2°.- ÁMBITO DE APLICACIÓN. Esta Ley es de aplicación obligatoria al
tratamiento de datos personales en registros públicos o privados recopilados o
almacenados en el territorio nacional en sistemas de información, archivos,
registros o bases de datos físicos, electrónicos o digitales a través de mecanismos
manuales, automatizados o parcialmente automatizados de recolección de datos.
Artículo 3°.- DEFINICIONES. A los efectos de la presente Ley, se entiende por:

a.Datos Personales: Información de cualquier tipo,

referida a personas jurídicas o personas físicas
determinadas o determinables. Se entenderá por
determinable la persona que pueda ser identificada
mediante algún identificador o por uno o varios elementos
característicos de la identidad física, fisiológica, genética,
psíquica, económica, cultural o social de dicha persona.
Los derechos y garantías de protección de datos
personales serán extendidos a personas jurídicas en
cuanto le sean aplicables.
b.Datos personales sensibles: Aquellos que se refieran
a la esfera íntima de su titular, o cuya utilización indebida
puedan dar origen a discriminación o conlleve un riesgo
grave para éste. Se consideran sensibles los datos
personales que puedan revelar aspectos como origen
racial o étnico; creencias o convicciones religiosas,
filosóficas y morales; afiliación sindical; opiniones
políticas; datos relativos a la salud, a la vida, preferencia u
orientación sexual, datos genéticos o datos biométricos
dirigidos a identificar de manera unívoca a una persona
física.
c.Titular de Datos: Persona física o jurídica, cuyos datos
son objeto de tratamiento.
d.Base de datos: Cualquier plataforma, archivo, registro
o banco de información que contenga de manera manual
o electrónica, o de cualquier otra índole que pudiera
surgir, información referida a las personas.
e.Tratamiento: Cualquier operación o conjunto de
operaciones efectuadas mediante procedimientos
manuales o automatizados realizadas sobre datos
personales, relacionadas de manera enunciativa más no
limitativa, con la obtención, acceso, registro, organización,
estructuración, adaptación, indexación, modificación,
extracción, consulta, almacenamiento, conservación,
elaboración, transferencia, cesión, difusión, posesión,
aprovechamiento y en general cualquier uso o disposición
de datos personales.
f.Responsable del Tratamiento: La persona física o
jurídica, autoridad pública u otro organismo que, solo o
junto con otros, determine los fines y medios del
tratamiento de los datos.
g.Encargado del Tratamiento: La persona física o
jurídica, autoridad pública, u otro organismo que trate
datos personales por cuenta del responsable del
tratamiento.
h.Información crediticia: Es aquella información,
positiva y negativa, relacionada con el historial crediticio
de personas físicas y jurídicas, acerca de actividades
crediticias, comerciales y otras de naturaleza análoga, que
sirva para identificar correcta e inequívocamente a la
persona, su domicilio, actividad comercial, determinar su
nivel de endeudamiento, de cumplimiento de sus
obligaciones y, en general, de riesgos crediticios en un
determinado momento.
a.Fuentes de información: Cualquier persona o entidad
pública o privada que en el ejercicio de sus funciones o
actividades, gestionen una base de datos personales o
crediticios.
j.Fuentes de información crediticia: Son las personas
públicas y privadas que, debido a sus actividades, poseen
información crediticia. A los efectos de esta Ley, serán
consideradas fuentes de información los Organismos y
Entidades del Estado, y Entidades Administradoras de
Fondos Previsionales que, por su naturaleza y funciones,
 posean información relevante para el análisis del riesgo
crediticio.
k.Sociedad de información crediticia: Conocida
también como Buró de Información Crediticia. Es la
sociedad cuyo objeto social es la prestación de servicios
de referencias crediticias sobre el titular de la información
crediticia, que se adecuen a los requisitos establecidos en
esta Ley.
l.Usuario de información crediticia: Toda persona,
física o jurídica, con interés legítimo que contrata la
prestación de servicios de referencias crediticias. El
interés legítimo está configurado por el empleo del crédito
bajo sus diversas modalidades o la intermediación para el
perfeccionamiento de este tipo de operaciones, como
herramienta habitual de gestión en la actividad económica
desarrollada, incluidos los contratos con prestaciones
diferidas que impliquen pagos periódicos de sumas de
dinero por plazos determinados, así como relaciones
comerciales que pudieran existir entre los usuarios y
titular del derecho.
m.Consentimiento: Toda manifestación de voluntad libre,
específica, informada e inequívoca por la que el titular de
datos acepta, ya sea mediante una declaración o una
clara acción afirmativa, el tratamiento de sus datos
personales.
Artículo 4°.- PROHIBICIÓN. Se prohíbe dar a publicidad o difundir datos
sensibles de personas que sean explícitamente individualizadas o
individualizables.
Artículo 5°.- DERECHO A LA AUTODETERMINACIÓN INFORMATIVA. Se
garantiza a toda persona el acceso a la información y a los datos sobre sí misma,
sobre quienes se hallen bajo su patria potestad y sobre personas que acredite se
hallen bajo su tutela o curatela, así como sobre sus bienes, que obren en registros
oficiales o privados de carácter público o en entidades que suministren
información sobre solvencia económica y situación patrimonial, así como conocer
el uso que se haga de los mismos o su finalidad y a requerir su acceso,
rectificación, cancelación y oposición.
Artículo 6°.- DEL CONSENTIMIENTO INFORMADO. Toda persona tiene derecho
a ser informada en forma expresa y clara sobre la finalidad que se dará a los datos
personales requeridos sobre ella, a fin de manifestar expresamente su
consentimiento para la obtención y utilización de sus datos personales, el cual
deberá ser expreso e inequívoco, en condiciones que no admitan dudas de su
otorgamiento y deberá constar de manera escrita, electrónica, digital u otro
mecanismo fehaciente. El consentimiento podrá ser revocado de forma expresa en
las mismas condiciones y a título gratuito. Este acto no generará efecto
retroactivo.
El tratamiento y la cesión de datos personales son ilícitos cuando el titular de los
datos no hubiere prestado su consentimiento libre, expreso y consciente.
En todos los casos, el responsable del tratamiento tiene la carga de demostrar que
el titular de los datos consintió el uso de sus datos personales.
Artículo 7°.- CALIDAD DE LA INFORMACIÓN. Los datos personales
recolectados o almacenados deberán ser lícitos, exactos, completos, veraces y
actualizados para el fin específico para los que fueron recolectados.
Artículo 8°.- EJERCICIOS DE LOS DERECHO DEL TITULAR DE DATOS. El
titular de datos o su representante tiene derecho a acceder a los datos personales
que de ella consten en registros mantenidos por personas físicas o jurídicas,
públicas o privadas, así como a conocer cualquier información relacionada con las
condiciones generales y específicas de su tratamiento.
Éste podrá solicitar, en cualquier momento al responsable, el acceso,
actualización, rectificación, la supresión, oposición y portabilidad de los datos
personales que le conciernen.
El responsable deberá establecer medios y procedimientos sencillos, expeditos,
accesibles y gratuitos que permitan al titular de datos ejercer sus derechos.
En caso de personas fallecidas, el ejercicio de los derechos establecidos en la
presente Ley corresponderá a sus herederos o legatarios.
Artículo 9°.- DERECHO AL OLVIDO DE DATOS CREDITICIOS. La conservación
de los datos personales, que puedan afectar a su titular, no deberá exceder el
plazo de 5 (cinco) años, desde la fecha de ocurrencia de los hechos registrados,
salvo disposición normativa especial que establezca otro plazo o porque el acuerdo
de las partes haya establecido un plazo menor. En caso que sea necesaria su
conservación, más allá del plazo estipulado, deberán ser desasociados los datos
personales de su titular.
Artículo 10.- SEGURIDAD DE LOS DATOS. El responsable del tratamiento de los
datos personales crediticios deberá garantizar la adopción e implementación de
medidas técnicas, organizativas y de seguridad necesarias para salvaguardar el
acceso y la integridad de los datos personales, a fin de evitar su alteración,
pérdida, consulta, comercialización o acceso no autorizado.
Artículo 11.- DEBER DE SECRETO. Las personas responsables, encargadas del
tratamiento de datos crediticios y quienes intervengan en cualquier fase de la
recolección, procesamiento, almacenamiento, utilización o circulación de datos con
fines crediticios están obligados a guardar el secreto respecto de los mismos, salvo
que requiera ser revelado por autoridad competente mediando orden judicial.
El deber de secreto se mantiene aun cuando la persona responsable cese en sus
funciones.
Esta obligación es extensible a las personas debidamente reconocidas como
usuarios o suscriptores de una Empresa de Información Crediticia, que tengan
acceso, de conformidad con lo establecido en la Ley, al historial de datos de un
titular; pues deberán guardar absoluta reserva y cuidado sobre la información
obtenida.
El deber de secreto no regirá cuando la información sea requerida por:
a.El Banco Central del Paraguay y sus órganos
de supervisión, en ejercicio de sus facultades
legales.
b.La autoridad judicial competente, en virtud
de resolución dictada en juicio en el que el
afectado sea parte. En tal caso, deberán
adoptarse las medidas pertinentes que
garanticen la reserva.
c.El Contralor General de la República, en el
marco de sus atribuciones, sobre la base de
las siguientes condiciones:

1.Debe referirse a una persona física o jurídica determinada.

2.Debe encontrarse en curso una auditoría o verificación patrimonial con
respecto a esa persona.
3.La misma deberá ser solicitada formalmente.
d.La máxima autoridad de la Subsecretaría de
Estado de Tributación y de la Dirección
Nacional de Aduanas, en el marco de sus
atribuciones, sobre la base de las siguientes
condiciones:

1.Debe referirse a un responsable o contribuyente determinado.

2.La información deberá ser solicitada formalmente.
3.Debe encontrarse en curso una verificación con respecto a ese
responsable o contribuyente.
e.La Fiscalía General del Estado y los agentes
fiscales que conforman el Ministerio Público,
en el marco de las atribuciones que le son
legalmente conferidas por la legislación.
f.La Secretaría de Prevención de Lavado de
Dinero o Bienes, en el marco de las
atribuciones que le son legalmente conferidas
por la legislación.
CAPÍTULO II
DE LOS SERVICIOS DE INFORMACIÓN CREDITICIA.
Artículo 12.- PRESTACIÓN DE SERVICIOS DE INFORMACIÓN
CREDITICIA. Las personas jurídicas que presten servicios de información crediticia
tanto del sector financiero como del no financiero, podrán tratar datos personales
de carácter patrimonial relativos a la solvencia económica y al crédito, obtenidos
de fuentes públicas o que procedan de informaciones facilitadas por el titular de
los datos o con su consentimiento, que permitan conocer el cumplimiento de sus
obligaciones y todo aquel que contribuya al análisis de su perfil crediticio y
determinar su capacidad de pago.
Igualmente se incluirán las morosidades de prestación alimenticia, desde el
momento de la iniciación de la demanda.
Artículo 13.- BURÓS DE INFORMACIÓN CREDITICIA. Los servicios de
referencias crediticias sólo podrán ser prestados por las sociedades de información
crediticia, las que serán conocidas como Burós de Información Crediticia y
autorizadas para operar como tales por el Banco Central del Paraguay.
La supervisión estará a cargo del Banco Central del Paraguay, de acuerdo a la
reglamentación que éste determine por resolución de carácter general. Los
requisitos que deberán contener las solicitudes de apertura de sociedades de
información crediticia, las inhabilidades, incompatibilidades de sus directores o
gerentes, así como los requisitos que deben reunir estas sociedades y sus
accionistas, serán reglamentados por el Directorio del Banco Central del Paraguay.
El capital social mínimo requerido para la constitución de las sociedades de
información crediticia será determinado por el Banco Central del Paraguay y
deberá estar íntegramente suscripto e integrado al momento de su constitución.
Artículo 14.- DE LOS USUARIOS. Las sociedades de información crediticia sólo
podrán prestar servicios de referencias crediticias a usuarios de información
crediticia debidamente identificados.
Sólo podrán ser usuarios de información crediticia:
a) Las entidades de intermediación financiera y de crédito, supervisadas por
el Banco Central del Paraguay.
b) Las entidades controladas por el Instituto Nacional de Cooperativismo
(INCOOP).
c) Las personas físicas o jurídicas que en forma empresarial otorguen
crédito.
d) Las mutuales, casas de préstamos y casas de empeño.
e) Las personas físicas y jurídicas que cuenten con el Registro Único de
Contribuyentes y la patente (licencia) comercial actualizados, que se
dediquen de manera habitual a la venta a crédito de productos, así como
aquellas que presten servicios instrumentados en contratos de ejecución
diferida, que impliquen pagos periódicos de sumas de dinero por plazos
determinados, o que requieran analizar información crediticia para la toma
de decisiones de negocio.
f) Las personas físicas y jurídicas que cuenten con el Registro Único del
Contribuyentes y la patente (licencia) comercial actualizados y que
 mediante el uso de plataformas tecnológicas, funcionen como un canal o
medio para facilitar la intermediación o la conexión de los créditos ofrecidos
por los demás usuarios a los titulares de datos, permitiendo que éste pueda
acceder a la oferta de crédito que se ajuste a su perfil crediticio de forma
eficiente.
Para el eficaz funcionamiento del sistema de información crediticia, los usuarios de
información crediticia estarán obligados a proveer regularmente a las sociedades
de información crediticia los datos actualizados de los clientes de su cartera
crediticia, en especial la información de cumplimiento de obligaciones crediticias,
las que deberán ser notificadas en el plazo máximo de veinticuatro horas de
cancelación.
Artículo 15.- PROHIBICIONES. Está expresamente prohibido a los usuarios de
Información crediticia utilizar o proveer a terceros datos crediticios para que éstos
sean utilizados para la toma de decisiones laborales, acceso al empleo, promoción,
traslado o despido de personal.
Asimismo, queda expresamente prohibido el uso de la información crediticia para
negar o restringir el acceso a la medicina prepaga, así como negar o restringir al
acceso a la atención médica de urgencia a cualquier persona.
Artículo 16.- DERECHOS DE LOS TITULARES DE LA INFORMACIÓN
CREDITICIA. Los titulares de la información tendrán derecho a:
a) Conocer si en la base de datos de una sociedad de información crediticia
existe información sobre sí mismo y, si así fuere, acceder de forma personal
a ella sin restricción alguna.
b) Conocer de manera clara y precisa la condición en que se encuentra su
historial crediticio, a través de los reportes emitidos.
c) Exigir de la fuente de información crediticia, la actualización, rectificación
o eliminación de la información ilegal, inexacta, incompleta, que afecte sus
derechos constitucionales y comunicarla a la sociedad de información
crediticia para que ésta la rectifique.
La información debe ser suministrada en forma clara, exenta de codificaciones y,
en su caso, acompañada de una explicación, en lenguaje accesible. Además de
ello, la información debe versar sobre la totalidad del registro perteneciente al
titular, aun cuando el requerimiento sólo comprenda un aspecto de los datos
personales.
El acceso, la rectificación, actualización o supresión de datos personales inexactos
o incompletos que obren en registros públicos o privados se efectuará sin cargo
alguno para el titular del dato o la información.
Artículo 17.- OBLIGACIONES DE LOS BURÓS DE INFORMACION
CREDITICIA. Son obligaciones de las sociedades de información crediticia,
enunciativa y no limitativamente, las siguientes:
a) Manejar la información con altos estándares de ética, confidencialidad y
seguridad.
 b) Contar con medidas eficientes que impidan que la información crediticia
pueda perderse o ser alterada.
c) Reportar la información crediticia sin alteración o modificación alguna.
d) Rectificar la información crediticia, a pedido de la fuente o del titular de la
información. Las sociedades de información crediticia no pueden rectificar
de oficio la información que les ha sido transmitida, salvo que el error pueda
ser atribuido a las sociedades de información crediticia.
e) Canalizar hacia las fuentes de la información, los reclamos de los titulares
en relación a información ilegal, inexacta, errónea, cuando la ilegalidad,
inexactitud o error no sea atribuible a la sociedad de información crediticia.
f) Mantener actualizados los datos del registro que gestiona, referidos tanto
a información positiva o negativa.
g) Eliminar la información que hubiese caducado conforme a los términos de
la presente Ley.
h) Informar, a solicitud del titular de los datos, de manera verbal o escrita,
sobre el historial completo de datos personales crediticios. La información
deberá ser entregada dentro del plazo máximo de veinticuatro horas si no
estuviese disponible de manera inmediata.
i) No tramitarán ni divulgarán:
1.Los datos crediticios de deudas vencidas no reclamadas judicialmente que
hayan superado 3 (tres) años de inscripción.
2.Las deudas canceladas de manera inmediata, una vez recibida la
notificación de la fuente de información.
3.Sobre juicios de convocatoria de acreedores después de 5 (cinco) años de
la resolución judicial que la admita.
El Banco Central del Paraguay podrá imponer otras obligaciones a través de
resoluciones generales.
Artículo 18.- OBLIGACIONES DE LOS USUARIOS. Son obligaciones de los
usuarios de los servicios de información crediticia, enunciativa y no
limitativamente, las siguientes:
a.Entregar a las sociedades de información crediticia la información
positiva y negativa de sus propios clientes.
b.Utilizar la información crediticia consultada a las sociedades de
información crediticia en forma confidencial y destinarla solo a la
evaluación de riesgos crediticios.
c.Informar sobre la venta o cesión de carteras de crédito a empresas
especializadas en la adquisición de deudas o a otros adquirentes o
cesionarios a las sociedades de información crediticia, con las cuales
tenga celebrado un contrato de prestación de servicios de información
crediticia, dentro de los 20 (veinte) días hábiles siguientes a la citada
notificación, debiendo mencionar el nombre, domicilio, Registro Único
 del Contribuyente y cualquier otro dato que permita identificar
plenamente al comprador o cesionario, así como la fecha en que se
celebró la cesión o venta.
d.En caso de denegación al titular de los datos de la celebración de un
contrato, solicitud de trabajo, servicio, crédito comercial o financiero,
basado en un informe crediticio, el usuario deberá informar tal
circunstancia, así como la de proveer el informe accedido, entregando
copia de éste.
Los usuarios de la información de crédito, deberán informar al titular de los datos
personales sobre la consulta a realizarse sobre su información crediticia, la
empresa que proveerá los datos, el uso que se dará a los datos accedidos, copia
del informe accedido en caso de que el titular de los datos lo requiera y los
derechos que le asisten.
El Banco Central del Paraguay podrá imponer otras obligaciones a través de
resoluciones de carácter general.
Artículo 19.- PLAZO DE CONSERVACIÓN DE LA INFORMACIÓN
CREDITICIA. La información crediticia podrá publicarse por un tiempo máximo de
5 (cinco) años, a contar desde la última información significativa, o desde el
vencimiento del plazo original de la operación de crédito de que se trate, el que
fuera mayor.
Se considera información significativa:
a.El momento en que se produce
la mora del deudor.
b.Las modificaciones en las
clasificaciones que otorgan al
deudor las entidades crediticias.
c.El inicio de la acción judicial de
cobro.
d.La sentencia judicial que
dispone el pago de la deuda.
e.La fecha de la apertura del
concurso de acreedores o de la
declaración de quiebra, en caso
de deudas verificadas o en
trámite de verificación en los
procesos de concursos
preventivos y quiebras
respectivamente.
f.Aquella otra información que
defina el órgano de control.
CAPÍTULO III
DISPOSICIONES ORGÁNICAS.
ÓRGANOS DE CONTROL.
Artículo 20.- AUTORIDADES DE APLICACIÓN. Serán autoridades de aplicación,
en el ámbito de su competencia:

a.BANCO CENTRAL DEL PARAGUAY. El Banco Central del

Paraguay, a través de la Superintendencia de Bancos; tendrá las
siguientes atribuciones y funciones:
1.Registrar a las Sociedades de Información Crediticia.
2.Reglamentar, interpretar y ejecutar la presente ley, en
cuanto atañe a información crediticia, así como aprobar el
protocolo de actuación de los Burós de Crédito.
3.Supervisar los mecanismos de guarda y utilización de
los datos de información crediticia por parte de los Burós
de Crédito y entidades reguladas por el Banco Central del
Paraguay.
4.Sancionar a los Burós de Crédito.
La Central de Información de la Superintendencia de Bancos del Banco Central del
Paraguay es regida por la legislación y su reglamentación específica.

b.SECRETARÍA DE DEFENSA DEL CONSUMIDOR Y EL

USUARIO. En lo que atañe a la presente Ley:
1.Velar por el cumplimiento de las disposiciones de la
presente Ley, y demás normas que rijan y tengan relación
en materia de protección al consumidor y el usuario.
2.Difundir los derechos y deberes como también realizar
acciones de información y educación al consumidor.
3.Promover la formalización del mercado, evitando la
desprotección del titular de los datos.
4.Formular, realizar y fomentar programas de educación e
información al consumidor, a través de medios masivos de
comunicación, y de otros mecanismos disponibles.
5.Recibir y dar curso a las inquietudes, reclamos y
denuncias de los consumidores, para canalizarlas a través
del Banco Central del Paraguay.
6.Disponer la realización de inspecciones y pericias
vinculadas con la aplicación de esta ley.
7.Solicitar informes y opiniones a entidades públicas y
privadas con relación a las normas de protección del
consumidor y el usuario.
8.Mantener un Registro Nacional de Denuncias,
Inspecciones y de Infractores, a los efectos estadísticos y
para detectar posibles casos de reincidencia por parte de
los proveedores, en coordinación con el Banco Central del
Paraguay.
9.Promover el trabajo conjunto con las Autoridades de
Aplicación a nivel local en materia de protección al
consumidor.
10.Recopilar, elaborar, procesar, divulgar y publicar
información para facilitar al consumidor un mejor
 conocimiento de las características de la comercialización
de bienes o servicios que se ofrezcan en el mercado.
11.Realizar y promover investigaciones en el área de
consumo.
12.Solicitar, a través de la justicia, el auxilio de la fuerza
pública, la intervención del Ministerio Público o cuantas
diligencias fueran necesarias para el cumplimiento de sus
funciones.
13.Las demás atribuciones que compete a la Secretaría de
Defensa del Consumidor y el Usuario (SEDECO) por su ley
orgánica y que aplicarían al presente ámbito.
En cuanto sea pertinente, ambas autoridades deberán coordinar esfuerzos para
el cumplimiento de los postulados de la presente Ley.
CAPÍTULO IV
INFRACCIONES Y SANCIONES.
Artículo 21.- INFRACCIONES. El Banco Central del Paraguay y la Secretaría de
Defensa del Consumidor y el Usuario serán competentes, cada uno dentro de su
ámbito de competencia, para sancionar las infracciones administrativas a la
presente Ley y sus reglamentaciones.
Serán consideradas infracciones las siguientes:
1.El ejercicio de actividades establecidas en la presente Ley, sin la
autorización previa del Banco Central del Paraguay.
2.El ejercicio de actividades no contenidas en la autorización para operar o
en los estatutos sociales.
3.Recolectar datos personales para su uso en base de datos sin que se le
otorgue suficiente y amplia información a la persona interesada, de
conformidad con las especificaciones técnicas establecidas en el reglamento
de aplicación de la presente Ley.
4.Omitir información obligatoria o suministrar información incompleta o falsa
a la Central de Información de la Superintendencia de Bancos del Banco
Central del Paraguay.
5.Omitir información obligatoria o suministrar información total o
parcialmente falsa al Banco Central del Paraguay.
6.La excusa, negativa o resistencia a la actuación, y a las instrucciones o
requerimientos de obligada observancia de la Superintendencia de Bancos,
de los supervisores o inspectores, o la falta de provisión de la
documentación solicitada por estos en forma expresa y fehaciente.
7.Incumplir las limitaciones o prohibiciones temporales impuestas a la
entidad.
 8.El incumplimiento de las medidas correctivas, obligaciones legales o
reglamentarias exigidas por la Superintendencia de Bancos o el Directorio
del Banco Central del Paraguay.
9.Recolectar, almacenar y transmitir datos personales de terceros por medio
de mecanismos inseguros o que de alguna forma no garanticen la seguridad
e inalterabilidad de los datos.
10.No atender los derechos de acceso, rectificación, supresión, limitación del
tratamiento o a la portabilidad de los datos en tratamientos en los que no se
requiere la identificación del afectado, cuando éste, para el ejercicio de esos
derechos, haya facilitado información adicional que permita su
identificación.
11.El incumplimiento de la obligación de notificación relativa a la
rectificación o supresión de datos personales o la limitación del tratamiento.
12.El incumplimiento de la obligación de informar al afectado, cuando así lo
haya solicitado, de los destinatarios a los que se hayan comunicado los
datos personales rectificados, suprimidos o respecto de los que se ha
limitado el tratamiento.
13.El incumplimiento de la obligación de suprimir los datos referidos a una
persona fallecida cuando ello fuera exigible.
14.La falta de formalización por los corresponsables del tratamiento del
acuerdo que determine las obligaciones, funciones y responsabilidades
respectivas, con respecto al tratamiento de datos personales y sus
relaciones con los afectados o la inexactitud en la determinación de las
mismas.
ñ. No poner a disposición de los afectados los aspectos esenciales del
acuerdo formalizado entre los corresponsables del tratamiento.
o. El incumplimiento por el encargado de las estipulaciones impuestas en el
contrato o acto jurídico que regula el tratamiento o las instrucciones del
responsable del tratamiento, salvo que esté legalmente obligado a ello
conforme a la legislación vigente o en los supuestos en que fuese necesario
para evitar la infracción de la legislación en materia de protección de datos y
se hubiese advertido de ello al responsable o al encargado del tratamiento.
16.La notificación incompleta, tardía o defectuosa a la autoridad de
protección de datos de la información relacionada con una violación de
seguridad de los datos personales.
17.Recolectar, almacenar, transmitir o de cualquier otra forma emplear
datos personales sin el consentimiento informado y expreso del titular de los
datos, con arreglo a las disposiciones de esta Ley. Transferir datos
personales a otras personas o empresas en contravención de las reglas
establecidas en la presente Ley.
 18.Recolectar, almacenar, transmitir o de cualquier otro modo emplear
datos personales para una finalidad distinta de la autorizada por el titular de
la información.
19.Negarse injustificadamente a dar acceso a un interesado sobre los datos
que consten en archivos y bases de datos, a fin de verificar su calidad,
recolección, almacenamiento y uso conforme a esta Ley.
20.Negarse injustificadamente a eliminar o rectificar los datos de una
persona que así lo haya solicitado por medio claro e inequívoco.
21.El tratamiento de datos personales de un menor de edad sin recabar su
consentimiento, cuando tenga capacidad para ello, o el del titular de su
patria potestad o tutela. No acreditar la realización de esfuerzos razonables
para verificar la validez del consentimiento prestado por un menor de edad o
por el titular de su patria potestad o tutela sobre el mismo.
5.La falta de adopción de aquellas medidas técnicas y organizativas que
resulten apropiadas para aplicar de forma efectiva los principios de
protección de datos desde el diseño, así como la no integración de las
garantías necesarias en el tratamiento.
23.La vulneración del deber de confidencialidad establecido en esta Ley.
10.La transferencia internacional de datos personales a un destinatario que
se encuentre en un tercer país o a una organización internacional, cuando no
concurran las garantías, requisitos o excepciones establecidos en esta Ley.
Artículo 22.- Son responsables de las faltas tipificadas en la presente Ley y su
reglamentación, tanto la persona física como la persona jurídica que cometió la
falta, como todos los miembros de los órganos de administración de la entidad en
cuestión y quienes ejerzan o realicen funciones asimilables a dichos cargos, salvo
que:
1.No hayan tenido conocimiento del hecho u omisión que se les impute, ni
directa ni indirectamente; así como que no pudieron llegar a tener indicios o
información del acto u omisión que suponga el incumplimiento de normas de
obligada observancia; o,
2.Que, habiendo tenido conocimiento de la supuesta falta, se hayan opuesto
por escrito a la actuación u omisión.
Artículo 23.- SANCIONES. La autoridad de control podrá imponer a los
responsables y encargados del tratamiento las siguientes sanciones:
a.Apercibimiento.
b.Multa de hasta 15.000
(quince mil) Jornales
Mínimos vigentes al
momento de la imposición
de la sanción.
c.En caso de reincidencia
de una misma infracción, la
 multa será el doble de la
multa inicial aplicada, la
que podrá elevarse hasta
50.000 (cincuenta mil)
Jornales Mínimos vigentes
al momento de la
imposición de la sanción
para la persona física o
jurídica que registre una
facturación anual superior a
G. 6.000.000.000
(Guaraníes seis mil
millones).
d.Suspensión de las
actividades relacionadas
con el tratamiento de datos
hasta por un término de 6
(seis) meses; en el acto de
suspensión se indicarán las
medidas correctivas que
deberán adoptarse.
e.Inhabilitación para
desempeñar un empleo,
cargo o comisión dentro del
sistema financiero,
crediticio y en sociedades
de información de datos
personales, por un período
de 6 (seis) meses hasta 5
(cinco) años.
f.Cierre temporal de las
operaciones relacionadas
con el tratamiento de datos
una vez transcurrido el
término de suspensión sin
que se hubieren adoptado
las medidas correctivas
ordenadas por la autoridad
de control.
g.Cierre inmediato y
definitivo de la operación
que involucre el tratamiento
de datos sensibles.
Las sanciones administrativas son independientes de las medidas correctivas o
cautelares que dicten las autoridades de aplicación para salvaguardar el interés
público protegido por la presente Ley y la sana gestión de las sociedades
dedicadas al manejo de informaciones personales y crediticias.
Artículo 24.- PRESCRIPCIÓN. Las infracciones a la presente Ley prescriben a los
5 (cinco) años de la fecha en que se cometieron. En el caso de consistir la falta en
una actividad continuada, la fecha inicial del cómputo del plazo de prescripción
será la de la última actuación.
La prescripción se interrumpe, además de las causas previstas en el Código Civil,
por el inicio del sumario administrativo.
Artículo 25.- GRADACIÓN DE LAS SANCIONES. Las sanciones a ser impuestas
se determinarán según los siguientes criterios:
1.Naturaleza de la falta.
2.Gravedad del peligro o perjuicio causado.
3.Beneficio o ganancia, obtenidos como
consecuencia de la falta.
4.El reconocimiento oportuno de los hechos que
hayan configurado la falta.
5.Subsanación de la falta por iniciativa propia.
6.Conducta anterior de la entidad o del infractor,
considerando las sanciones que le hubieran sido
impuestos durante los últimos 5 (cinco) años. Al
efecto, las autoridades competentes establecerán el
registro público de sanciones.
Las autoridades competentes podrán establecer descuentos o reducir las multas
en función de parámetros generales que se determinen a través de reglamentos
dictados al efecto.
Artículo 26.- PROCEDIMIENTO SUMARIAL. Para todo lo relativo a la
investigación, trámite del sumario administrativo, medidas, recursos y atribuciones
de las autoridades de aplicación de la presente Ley, en materia de infracciones a
las disposiciones previstas en la presente Ley y su reglamentación, serán
aplicables las disposiciones legales y reglamentarias que las respectivas
instituciones tengan establecidos o dicten al efecto.
Artículo 27.- RECURSOS CONTRA LAS RESOLUCIONES
ADMINISTRATIVAS. Contra las resoluciones y sanciones recaídas se podrá
interponer la acción contencioso-administrativa.
La interposición de la acción contencioso-administrativa no tendrá efectos
suspensivos, salvo disposición expresa de la autoridad recurrida o del Tribunal
competente y bajo caución suficiente de los interesados, o cuando la resolución
apelada imponga multas.
Artículo 28.- El titular de los datos personales tiene derecho a un procedimiento
administrativo rápido y sencillo en los casos que representen una violación a los
derechos garantizados en la presente Ley y la Constitución Nacional, sin perjuicio a
los reclamos judiciales específicos que pudieran surgir.
CAPÍTULO V
DISPOSICIONES TRANSITORIAS Y FINALES.
Artículo 29.- DISPOSICIONES TRANSITORIAS. Todo ente público y privado,
responsable o encargado de los servicios de información crediticia y los de
información de datos personales creados con anterioridad a la vigencia de la
presente Ley, deberán ajustar sus estatutos sociales, su organización y
funcionamiento a lo previsto en esta Ley, en el plazo de 24 (veinte y cuatro)
meses, contados a partir de su publicación.
Artículo 30.- DEROGACIONES. Queda derogada la Ley N° 1682/2001 “QUE
REGLAMENTA LA INFORMACIÓN DE CARÁCTER PRIVADO” y sus respectivas Leyes
modificatorias.
Artículo 31.- Comuníquese al Poder Ejecutivo.
Aprobado el Proyecto de Ley por la Honorable Cámara de Senadores, a
los veinticuatro días del mes de octubre del año dos mil diecinueve,
quedando sancionado el mismo por la Honorable Cámara de Diputados, a
los veintiocho días del mes de abril del año dos mil veinte, de conformidad
con lo dispuesto en el Artículo 204 de la Constitución Nacional. Objetado
Parcialmente por Decreto del Poder Ejecutivo Nº 3652, de fecha 1 de junio de
2020. Rechazada la Objeción Parcial por la Honorable Cámara de Senadores en
fecha 23 de julio de 2020 y por la Honorable Cámara de Diputados en fecha 23 de
setiembre de 2020, de conformidad con lo establecido en el Artículo 208 de la
Constitución Nacional.