Patricia E. Stanley Zarza*

La implementación de sistemas biométricos, como el sistema PIRS/MIDAS (Passenger Information and Registration System/Migration Information and Data Analysis System), en pasos fronterizos y aeropuertos de Paraguay y otros países del Mercosur, representa un avance significativo en la modernización de los controles migratorios y la seguridad fronteriza.

Sin embargo, la ausencia de un marco regulatorio integral y armonizado en el Mercosur para la protección de datos biométricos plantea desafíos importantes, especialmente en el contexto de los altos estándares establecidos por la Unión Europea (UE) a través del Reglamento General de Protección de Datos (GDPR).

Este artículo analiza la regulación actual de los datos biométricos en el Mercosur, con un enfoque en el sistema PIRS/MIDAS, los problemas derivados de la falta de normativa específica en Paraguay, los proyectos legislativos en curso, y las implicaciones para la cooperación con la UE, incorporando referencias a noticias recientes, como el caso Ueno, y a los estándares internacionales.

Contexto del Sistema PIRS/MIDAS en Paraguay

El sistema PIRS/MIDAS, implementado por la Organización Internacional para las Migraciones (OIM) en Paraguay, es una herramienta diseñada para registrar y analizar datos migratorios, incluyendo información biométrica como huellas dactilares y fotografías faciales, en pasos fronterizos y aeropuertos. Según la OIM, este sistema permite a las autoridades migratorias gestionar flujos migratorios, detectar irregularidades y mejorar la seguridad fronteriza.

En Paraguay, PIRS/MIDAS se utiliza en puntos clave como el Aeropuerto Internacional Silvio Pettirossi y pasos fronterizos como Ciudad del Este, donde se procesan datos de viajeros para verificar identidades y cumplir con requisitos internacionales de control migratorio.

Sin embargo, la implementación de PIRS/MIDAS en Paraguay opera en un vacío regulatorio, ya que la Ley Nº 6534/2020, que regula los datos crediticios, no abarca los datos biométricos ni establece directrices específicas para su recolección, almacenamiento, uso o eliminación. Esta carencia es particularmente preocupante dado que los datos biométricos son considerados sensibles por su capacidad de identificar de forma única a una persona y su naturaleza inmutable, lo que los hace especialmente vulnerables a usos indebidos, filtraciones o vigilancia masiva.

Regulación de Datos Biométricos en el Mercosur

A nivel del Mercosur, no existe una normativa unificada que regule específicamente la protección de datos biométricos, lo que contrasta con el marco del GDPR en la UE. Cada país miembro (Argentina, Brasil, Paraguay y Uruguay) tiene su propio enfoque, con diferencias significativas en el nivel de desarrollo legislativo:

– Argentina: La Ley de Protección de Datos Personales Nº 25.326/2000 incluye los datos biométricos como datos sensibles y establece principios de consentimiento, proporcionalidad y seguridad. Sin embargo, su implementación en sistemas biométricos fronterizos, como los utilizados en aeropuertos, no está completamente armonizada con los estándares del GDPR, lo que limita las transferencias de datos con la UE.

– Brasil: La Ley General de Protección de Datos (LGPD, Ley Nº 13.709/2018) es la más avanzada en el Mercosur, inspirada en el GDPR. Clasifica los datos biométricos como sensibles y exige consentimiento explícito, evaluaciones de impacto y una autoridad de control (Autoridad Nacional de Protección de Datos, ANPD). Brasil ha implementado sistemas biométricos en aeropuertos como Guarulhos, pero enfrenta desafíos en la interoperabilidad con otros países del Mercosur.

– Uruguay: La Ley Nº 18.331/2008 regula los datos personales y reconoce los datos biométricos como sensibles, con requisitos de consentimiento y supervisión por la Unidad Reguladora y de Control de Datos Personales (URCDP). Uruguay ha avanzado en la implementación de e-gates biométricos en el Aeropuerto de Carrasco, pero su marco legal no está plenamente alineado con el GDPR.

– Paraguay: Como se mencionó, Paraguay carece de una ley integral de protección de datos. La Ley Nº 6534/2020 no regula datos biométricos, y la Ley Nº 7177/2023, que reconoce las credenciales de identidad digital, no establece disposiciones específicas para su protección. Esto deja a sistemas como PIRS/MIDAS operando sin un marco claro, aumentando los riesgos de abuso o filtraciones.

La falta de armonización en el Mercosur complica la interoperabilidad de sistemas biométricos como PIRS/MIDAS entre los países miembros, especialmente en pasos fronterizos compartidos como el Puente de la Amistad entre Paraguay y Brasil.

Además, esta disparidad dificulta el cumplimiento de los requisitos de la UE para transferencias internacionales de datos, un aspecto crítico en el marco del Acuerdo de Asociación Mercosur-UE, que incluye cláusulas sobre protección de datos para facilitar el comercio electrónico y los flujos de datos transfronterizos.

Problemas por la Ausencia de Regulación de Datos Biométricos

La falta de una regulación específica para datos biométricos en Paraguay y la ausencia de un marco unificado en el Mercosur generan varios problemas:

– Riesgos de Privacidad y Seguridad: Los datos biométricos, como los recolectados por PIRS/MIDAS, son inherentemente sensibles. La filtración de una base de datos de la Policía Nacional en 2023, que incluyó información biométrica, evidenció la vulnerabilidad de estos sistemas en Paraguay (ABC Color, 15 de marzo de 2023). Sin una normativa que exija cifrado, minimización de datos y plazos de retención, los ciudadanos están expuestos a riesgos de robo de identidad y vigilancia masiva.

– Falta de Consentimiento Informado: El GDPR exige consentimiento explícito e informado para el procesamiento de datos biométricos. En Paraguay, sistemas como PIRS/MIDAS no garantizan que los viajeros comprendan cómo se utilizan sus datos, lo que vulnera su derecho a la autodeterminación informativa.

– Limitaciones en la Cooperación con la UE: La UE prohíbe la transferencia de datos personales a países que no ofrezcan un nivel de protección adecuado. La falta de regulación en Paraguay dificulta la interoperabilidad de sistemas biométricos con los de la UE, como el Sistema de Entrada/Salida (EES), que comenzará a requerir datos biométricos de viajeros no comunitarios a partir de 2025 (ID Tech, 21 de mayo de 2025).

– Discriminación y Sesgos: Los sistemas biométricos, como el reconocimiento facial, pueden generar falsos negativos o sesgos contra ciertos grupos étnicos, un problema señalado por el Consejo Europeo de Protección de Datos (EDPB) (EDPB, 24 de mayo de 2024). Sin regulaciones que exijan evaluaciones de impacto, estos riesgos no se abordan adecuadamente.

– La Ley Nº 7269/2024: En Paraguay, la reciente Ley Nº 7269/2024, que autoriza la recolección masiva de datos biométricos en eventos deportivos, ilustra los peligros de la falta de regulación. Según TEDIC, esta normativa, permite la recolección de datos biométricos sin consentimiento informado ni supervisión adecuada, lo que podría extenderse a sistemas como PIRS/MIDAS si no se implementan salvaguardas (TEDIC, 25 de septiembre de 2024). Hemingway). Este caso destaca la necesidad de una autoridad de control independiente para evitar abusos.

Avances Legislativos en Paraguay

Paraguay está trabajando en un proyecto de ley integral de protección de datos personales, presentado en 2021, que busca regular todos los datos personales, incluidos los biométricos, y establecer una Agencia de Protección de Datos. Este proyecto, discutido en la Comisión de Ciencia, Tecnología, Innovación y Futuro del Senado en enero de 2024 (ABC Color, 25 de enero de 2024), se inspira en el GDPR y propone:

– Consentimiento explícito para el procesamiento de datos biométricos.

– Evaluaciones de impacto para sistemas como PIRS/MIDAS.

– Creación de una Agencia de Protección de Datos para supervisar el cumplimiento.

– Derechos de los titulares, como el acceso, rectificación y eliminación de datos.

Sin embargo, el proyecto aún no ha sido aprobado, lo que refleja desafíos en la priorización legislativa. La Ley Nº 7177/2023, que regula las credenciales de identidad digital, no aborda específicamente los datos biométricos, dejando a sistemas como PIRS/MIDAS sin un marco claro.

Implicaciones para la Cooperación con la UE

La UE exige que los países que reciben datos de sus ciudadanos cumplan con estándares de protección equivalentes al GDPR, que clasifica los datos biométricos como sensibles y requiere medidas estrictas como el consentimiento explícito, la minimización de datos y la notificación de brechas de seguridad en 72 horas (Thales Group, 23 de mayo de 2023).

La falta de regulación en Paraguay y la ausencia de un marco unificado en el Mercosur limitan la capacidad de la región para participar en sistemas como el EES de la UE, que utiliza datos biométricos para registrar viajeros no comunitarios (ID Tech, 21 de mayo de 2025).

Una ley integral en Paraguay, alineada con el GDPR, facilitaría la interoperabilidad de sistemas como PIRS/MIDAS con los de la UE, fortaleciendo el comercio y la cooperación.

Recomendaciones para el Mercosur y Paraguay

Para abordar los desafíos identificados, se proponen las siguientes acciones:

– Armonización en el Mercosur: Los países del Mercosur deben trabajar en un marco regional para la protección de datos biométricos, inspirado en el GDPR, que facilite la interoperabilidad de sistemas como PIRS/MIDAS y garantice la protección de datos en pasos fronterizos compartidos.

– Aprobación de la Ley Integral en Paraguay: La rápida aprobación del proyecto de ley de protección de datos personales, con disposiciones específicas para datos biométricos, es crucial para regular sistemas como PIRS/MIDAS y alinear al país con los estándares internacionales.

– Creación de una Autoridad de Control: Una Agencia de Protección de Datos independiente, como la propuesta en el proyecto de ley, debe supervisar el uso de datos biométricos y garantizar el cumplimiento de principios como el consentimiento y la minimización de datos.

– Transparencia y Educación: Las autoridades deben informar a los ciudadanos sobre el uso de sus datos biométricos en sistemas como PIRS/MIDAS y garantizar su derecho a revocar el consentimiento, en línea con el GDPR.

– Evaluaciones de Impacto: Antes de implementar o expandir sistemas biométricos, se deben realizar Evaluaciones de Impacto en la Protección de Datos (DPIA) para identificar y mitigar riesgos, como recomienda el EDPB (EDPB, 24 de mayo de 2024).

Conclusión

La implementación de sistemas biométricos como PIRS/MIDAS en pasos fronterizos y aeropuertos de Paraguay y el Mercosur ofrece oportunidades para mejorar la seguridad y eficiencia migratoria, pero la falta de una regulación integral de datos biométricos representa un riesgo significativo para los derechos de los ciudadanos y un obstáculo para la cooperación con la UE. En Paraguay, el caso Ueno y la Ley Nº 7269/2024 destacan los peligros de la recolección masiva de datos biométricos sin salvaguardas adecuadas, un problema que podría extenderse a sistemas como PIRS/MIDAS. La armonización legislativa en el Mercosur, la aprobación de una ley integral en Paraguay, y la creación de una autoridad de control independiente son pasos esenciales para alinear la región con los estándares del GDPR, proteger los datos biométricos y fortalecer las relaciones comerciales y tecnológicas con la UE.

Referencias:
ABC Color. (2023, 15 de marzo). “Filtración de datos de la Policía Nacional expone información biométrica”.
ABC Color. (2024, 25 de enero). “Proyecto de Ley de Protección de Datos Personales en análisis en el Senado”.
La Nación. (2023, 2 de febrero). “Apuntan a concretar una ley de protección de datos personales antes del final de período”.
TEDIC. (2024, 25 de septiembre). “Surveillance, censorship and punishment: warning about a new sports law in Paraguay”.
TEDIC. (2024, 7 de agosto). “Personal Data Protection in the Private Sector in Paraguay: An exploratory study”.
Ley Nº 6534/2020 de Protección de Datos Personales Crediticios.
Ley Nº 7177/2023.
Ley Nº 7269/2024.
Coalición de Datos Personales Paraguay. (2021). Borrador del Proyecto de Ley de Protección de Datos Personales.
ID Tech. (2025, 21 de mayo). “EU Launches Unified Biometric System for Border Security and Migration”.
EDPB. (2024, 24 de mayo). “Facial recognition at airports: individuals should have maximum control over biometric data”.
Thales Group. (2023, 23 de mayo). “Biometric data protection (privacy – EU, UK and US)”

*Patricia E. Stanley Zarza
Profesora de Derecho de Integración Facultad de Derecho y Ciencias Sociales Universidad Nacional de Asunción