Todas las empresas del Perú que compilen datos personales para campañas de marketing deben inscribirlas ante el Registro Nacional de Protección de Datos Personales. Quienes no lo hagan serán multadas, pues se trata de una obligación regulada en el artículo 78 del Reglamento de la Ley de Protección de Datos Personales.

Artículo 78.- Obligación de inscripción
Las personas naturales o jurídicas del sector privado o entidades públicas que creen, modifiquen o
cancelen bancos de datos personales están obligadas a tramitar la inscripción de estos actos ante el Registro Nacional de Protección de Datos Personales.

Reglamento de la Ley 29733, Ley de Protección de Datos Personales

Esta obligación aplica para bases de datos de clientes y potenciales clientes registradas en Excel, landing page o algún sistema CRM que compile datos personales para darles tratamiento comercial o de marketing. La ANPD aplica las multas según la gravedad de la infracción:

• Infracciones leves: 0,5 UIT y 5 UIT. Aplica cuando la empresa no inscribe los bancos de datos personales, no rectifica o no suprime los datos.
• Infracciones graves: 5 UIT y 50 UIT. Aplica cuando no se atiende, impide o se obstaculiza el ejercicio de los derechos. También cuando se da tratamiento a los datos personales sin consentimiento o incumplir la obligación de confidencialidad.
• Infracciones muy graves: 50 UIT y 100 UIT. Aplica para quienes recopilan datos personales a través de medios fraudulentos, desleales o ilícitos.

Marketing sin inscribir base de datos personales

La Dirección de Protección de Datos Personales ha multado a varias empresas por no inscribir las bases de datos de sus clientes, potenciales clientes, etc. Uno de los casos más recientes fue resuelto en la Resolución Directoral 2960-2023-JUS/DGTAIPD-DPDP.

La empresa sancionada se dedicaba al telemarketing, usaban estrategias de marketing para captar potenciales clientes. A través de una landing page o página con formulario, los interesados rellenaban sus datos personales, pero no aceptaban ninguna política de privacidad, pues la empresa no contaba con una.

La empresa compiló dos bases de datos: clientes y potenciales clientes. Pero nunca registraron estas listas en el Registro Nacional de Protección de Datos Personales, lo que provocó que declararan su responsabilidad.

En el caso comentado no se interpuso una multa, pero sí una medida correctiva. Sin embargo, la dirección pudo haber interpuesto una multa, tal como lo hizo por no contar con política de privacidad, no pedir el consentimiento de los usuarios.

La dirección también ordenó medidas correctivas de seguridad para que los trabajadores no usen archivos de Excel descargados del correo electrónico de la empresa sin restricciones. Además, estas descargadas no podían ser registradas, es decir, no era posible identificar quién ingresaba.