Por Daniel Torres
Tu nombre. Tu número de cédula. Tu dirección. Tu historial financiero.
Todo eso podría estar circulando en internet sin que lo sepas.
En América Latina, la expansión de la economía digital ha transformado profundamente la forma en que se producen, almacenan y utilizan los datos personales. La digitalización de servicios públicos, el comercio electrónico y el uso masivo de plataformas digitales han multiplicado la generación de información personal. Sin embargo, la protección de esos datos no ha avanzado de manera homogénea en toda la región. Algunos países cuentan desde hace años con marcos normativos más consolidados, mientras que otros han llegado más tarde a la discusión sobre protección integral de datos personales.
En ese contexto desigual, se ha consolidado un fenómeno preocupante: la existencia de mercados digitales clandestinos donde datos personales son extraídos, organizados y vendidos sin autorización. El informe Identidades en venta documenta que en Brasil, Perú y Argentina se identificaron veintisiete grupos y canales activos dedicados a la comercialización de información personal mediante bots, pagos digitales y sistemas automatizados de consulta (Derechos Digitales, s.f., p. 4).
El problema no es solamente tecnológico. Es también político, económico e institucional. La venta ilegal de datos personales muestra cómo la identidad de las personas puede convertirse en mercancía cuando no existen controles suficientes, cuando las instituciones fallan en proteger la información y cuando los marcos legales llegan tarde o se implementan de forma débil.
¿Por qué hablamos de un mercado ilegal?
El mercado de datos personales no es nuevo. En la economía digital, los datos tienen valor porque permiten tomar decisiones, reducir incertidumbre, perfilar comportamientos y evaluar riesgos. Bancos, comercios, plataformas digitales y organismos públicos procesan información personal todos los días. Sin embargo, no todo tratamiento de datos es ilegal.
La diferencia central está en el consentimiento, la finalidad, la transparencia y la base legal. Una empresa o institución que trata datos personales debe informar para qué los usa, bajo qué condiciones, durante cuánto tiempo los conserva y qué derechos tiene la persona titular de esos datos. En cambio, los mercados clandestinos operan por fuera de cualquier marco de legitimidad: obtienen, cruzan y venden información sin autorización de las personas afectadas.
Por eso, este fenómeno no debe confundirse con el uso comercial regulado de datos por parte de empresas tecnológicas. Aunque las prácticas de las grandes plataformas también merecen discusión crítica, en los mercados clandestinos la persona no sabe que sus datos están siendo vendidos, no puede oponerse, no puede rectificar, no puede exigir eliminación y no conoce quién los compra ni con qué finalidad.
En ese sentido, la ilegalidad no se define solo por la existencia de una transacción económica, sino por la ausencia de consentimiento, la falta de transparencia, el posible origen ilícito de los datos y su utilización para fines como fraude, suplantación de identidad, extorsión o acoso. En Paraguay, este criterio se vincula con los principios que sustentan la Ley N.º 7593/2025, cuyo debate público fue impulsado por la Coalición de Datos Personales y organizaciones como TEDIC, que destacaron la necesidad de regular el uso de datos bajo consentimiento, responsabilidad y transparencia (TEDIC, 2025b).
Cómo funciona este mercado
El funcionamiento de estos mercados combina accesibilidad, automatización y pagos digitales. En muchos casos, las personas compradoras ingresan a canales o grupos, pagan por un acceso y utilizan bots para consultar datos específicos. El informe Identidades en venta describe modelos freemium, planes de suscripción y paquetes de consultas, con distintos precios según el nivel de acceso (Derechos Digitales, s.f., pp. 27-28).
¿Quién compra estos datos? Pueden ser personas o grupos vinculados a fraudes financieros, campañas de phishing, extorsión, marketing ilegal, robo de identidad o acoso. El valor de la información depende de su nivel de detalle. No vale lo mismo un nombre aislado que una base que combine número de documento, dirección, teléfono, información laboral, historial financiero o datos familiares.
Entre los datos identificados en este tipo de mercados se encuentran números de identificación, direcciones, información laboral, historiales financieros, vínculos familiares e incluso datos sensibles. El informe Identidades en venta señala que estos espacios permiten acceder a datos personales e incluso sensibles, como identificaciones, direcciones, historiales financieros, laborales, de salud o familiares (Derechos Digitales, s.f., p. 4). Esto demuestra que no se trata de filtraciones menores o aisladas, sino de sistemas organizados de explotación de información personal.
De dónde salen los datos
Uno de los aspectos más preocupantes es el posible origen de los datos. El informe de Derechos Digitales advierte que existen indicios de que parte de la información comercializada podría provenir de bases de datos públicas o registros estatales. También describe estructuras de datos con variables técnicas, múltiples registros por persona e información laboral que sugieren que algunas bases provienen de sistemas organizados y no de simples capturas aisladas (Derechos Digitales, s.f., p. 21).
Esto revela una falla estructural: los Estados y las empresas almacenan cada vez más información, pero muchas veces no cuentan con mecanismos equivalentes de seguridad, auditoría, minimización y control. Cuando una base de datos pública o privada se filtra, no desaparece. Puede ser copiada, revendida, combinada con otras bases y reutilizada durante años.
Por eso, la protección de datos personales no debe pensarse solo como una cuestión individual. También es una cuestión de infraestructura pública, seguridad institucional y confianza democrática.
Paraguay: entre avances legales y filtraciones recientes
En Paraguay, la discusión sobre datos personales ya no puede considerarse secundaria. En los últimos años, el país avanzó hacia una mayor digitalización de servicios públicos y privados, pero ese proceso también evidenció vulnerabilidades. TEDIC documentó que, en menos de una semana, Paraguay sufrió dos filtraciones masivas de datos personales provenientes de instituciones públicas: una vinculada al Tribunal Superior de Justicia Electoral, que expuso información de más de 7 millones de personas, y otra relacionada con el Ministerio de Hacienda, el Banco Central del Paraguay e Itaipú, que expuso más de 17.000 registros con datos sensibles sobre pagos, salarios, nombres completos y números de cédula (TEDIC, 2025a).
Estos hechos muestran que el riesgo no es abstracto. Los datos personales de la ciudadanía paraguaya ya han estado expuestos en incidentes concretos. TEDIC también recordó antecedentes como la filtración de datos de la Policía Nacional en 2023, que dejó al descubierto documentos, antecedentes penales, fotografías y datos personales de personas detenidas (TEDIC, 2025a).
Frente a este escenario, Paraguay dio un paso importante con la Ley N.º 7593/2025 de Protección de Datos Personales. La norma tiene como objeto la protección integral de los datos personales de las personas físicas, con el fin de garantizar el ejercicio pleno de sus derechos y el libre flujo de información (Biblioteca y Archivo Central del Congreso Nacional, 2026).
Pero la existencia de la ley no resuelve automáticamente el problema. El desafío está en su reglamentación, implementación y aplicación efectiva. TEDIC destaca que esta ley fue resultado de un proceso colectivo impulsado por la Coalición de Datos Personales, integrada por organizaciones de la sociedad civil, especialistas, academia y actores del sector público y privado. La organización también señala que la aprobación de la ley es un avance histórico para los derechos digitales en Paraguay, pero que el debate incluyó tensiones sobre autoridad de aplicación, principios de protección, responsabilidad proactiva, acceso a la información pública y transferencias internacionales (TEDIC, 2025b).
En otras palabras, Paraguay ya cuenta con una herramienta legal, pero todavía debe construir las condiciones institucionales para que esa herramienta funcione. Sin autoridad fuerte, recursos técnicos, mecanismos de fiscalización y cultura de protección de datos, la ley puede quedar como una promesa incompleta.
Riesgos para las personas
La comercialización ilegal de datos personales tiene consecuencias directas: suplantación de identidad, fraude financiero, extorsión, acoso digital y violencia facilitada por tecnologías. Cuando una persona pierde control sobre sus datos, también pierde capacidad de decidir quién puede conocer aspectos sensibles de su vida.
El riesgo aumenta cuando se combinan datos provenientes de distintas fuentes. Un número de cédula puede parecer insuficiente por sí solo, pero si se cruza con dirección, teléfono, lugar de trabajo, información familiar o datos financieros, puede permitir ataques mucho más precisos. En ese punto, la información deja de ser un dato aislado y se convierte en una herramienta de vigilancia, presión o daño.
Además, estas filtraciones afectan la confianza en los sistemas digitales. Si la ciudadanía percibe que sus datos pueden terminar expuestos o vendidos, disminuye la confianza en trámites digitales, plataformas estatales, servicios financieros y mecanismos de modernización pública.
¿Qué se puede hacer?
El problema requiere respuestas en varios niveles. Primero, Paraguay necesita avanzar en la reglamentación e implementación efectiva de la Ley N.º 7593/2025. Segundo, las instituciones públicas deben adoptar estándares de seguridad, auditoría, minimización de datos y respuesta ante incidentes. Tercero, las empresas deben asumir obligaciones claras sobre el tratamiento, conservación y protección de información personal.
También es clave fortalecer la educación digital. Las personas deben conocer sus derechos, saber cómo actuar ante filtraciones y exigir transparencia sobre el uso de sus datos. Pero la responsabilidad no puede recaer únicamente en la ciudadanía. La protección de datos personales requiere instituciones capaces, empresas responsables y plataformas que no faciliten la circulación clandestina de información.
La experiencia paraguaya muestra que la aprobación de una ley es un paso fundamental, pero no final. El verdadero desafío está en convertir la norma en práctica cotidiana, con controles efectivos, sanciones proporcionales, respuesta rápida ante incidentes y participación social en el seguimiento de su implementación.
Conclusión
El mercado ilegal de datos personales evidencia una transformación profunda: la información personal se ha convertido en un activo económico explotable. En América Latina, este fenómeno se desarrolla en contextos regulatorios desiguales y con capacidades institucionales distintas. Por eso, hablar de la región exige matices.
En Paraguay, la discusión tiene una urgencia particular. Ya existen antecedentes de filtraciones masivas y también existe una nueva Ley de Protección de Datos Personales. El desafío ahora es convertir ese avance legal en protección efectiva.
La pregunta ya no es si los datos tienen valor. La verdadera pregunta es quién controla ese valor, bajo qué reglas y a qué costo para las personas.
Referencias
Biblioteca y Archivo Central del Congreso Nacional. (2026). Ley N.º 7593/2025 de protección de datos personales en la República del Paraguay. https://www.bacn.gov.py/leyes-paraguayas/12924/ley-n-75932025-de-proteccion-de-datos-personales-en-la-republica-del-paraguay
Derechos Digitales. (s.f.). Identidades en venta: El mercado ilegal de compra y venta de datos personales latinoamericanos en Telegram. https://www.derechosdigitales.org/wp-content/uploads/2026/03/Identidades-en-venta_ES.pdf
del Villar, R., Díaz de León, A., & Gil Hubert, J. (2001). Regulación de protección de datos y de sociedades de información: Una comparación de países seleccionados de América Latina, los Estados Unidos, Canadá y la Unión Europea. Banco de México. https://www.banxico.org.mx/publicaciones-y-prensa/documentos-de-investigacion-del-banco-de-mexico/%7B09FF50EF-5B16-9E2E-A3F3-0D1202682445%7D.pdf
Halperin, M. (2019). Datos personales: seguridad nacional y concertación internacional. La disyuntiva latinoamericana. Revista Aportes para la Integración Latinoamericana, 25(40). https://doi.org/10.24215/24689912e019
TEDIC. (2025a). Filtraciones masivas en Paraguay: Cuando nuestros datos quedan a la deriva. https://www.tedic.org/filtraciones2025/
TEDIC. (2025b). La ley sobre la protección de datos personales en Paraguay: Un logro colectivo basado en evidencia y participación plural. https://www.tedic.org/la-ley-sobre-la-proteccion-de-datos-personales-en-paraguay-un-logro-colectivo-basado-en-evidencia-y-participacion-plural/
