by: tiendasPosted on:

Protección de datos personales: qué dice la ley peruana

La Ley de Protección de Datos Personales (LPDP 29733), vigente desde 2011, es el marco legal que protege los datos personales de los ciudadanos peruanos en manos de empresas, organizaciones públicas y privadas. En la era digital donde cada acción online genera datos (compras, perfiles, búsquedas, ubicación), esta ley establece derechos fundamentales sobre QUIÉN puede usar TUS datos, CÓMO pueden usarlos, y QUÉ derechos tienes si alguien abusa de ellos.​

Para un digital entrepreneur como tú —si recolectas datos de clientes en tu e-commerce, tiendas online, o plataformas— debes conocer esta ley a fondo o enfrentarás multas, demandas y cierre de operaciones. Esta guía cubre qué protege la ley, obligaciones legales, y derechos del consumidor.​

Definiciones Clave

Dato Personal:
Cualquier información que IDENTIFIQUE o PUEDA IDENTIFICAR a una persona:

  • ✅ Nombre, DNI, RUC
  • ✅ Fotografía, biometría (huella dactilar, iris)
  • ✅ Email, teléfono, domicilio
  • ✅ IP, cookie ID
  • ✅ Información financiera (cuenta bancaria)
  • ✅ Información médica, religiosa, política
  • ✅ Historial de compras, búsquedas, navegación

Datos Sensibles (Protección Especial):

  • 🔴 Origen racial/étnico
  • 🔴 Creencia religiosa
  • 🔴 Filiación política
  • 🔴 Datos de salud
  • 🔴 Orientación sexual
  • 🔴 Condena penal
  • 🔴 Biométricos (huella dactilar)

Encargado de Datos:
Empresa/persona que RECOLECTA y ALMACENA datos personales.

  • Si tienes tienda online: ERES encargado
  • Si usas analytics/cookies: ERES encargado
  • Si recopilas emails de clientes: ERES encargado

Titular de Datos:
Persona de quien son los datos (el cliente).

Principios Fundamentales de la LPDP 29733

La ley se basa en 8 principios que TODA empresa debe cumplir:​

1. Principio de Legalidad

  • Solo recolectar datos si tienes BASE LEGAL para hacerlo
  • Consentimiento del titular es casi siempre requerido
  • Excepciones: datos públicos, obligación legal (SUNAT), seguridad pública

2. Principio de Consentimiento Previo

  • DEBES obtener permiso ANTES de recopilar
  • Consentimiento debe ser:
    • Libre (sin presión)
    • Informado (sabe qué datos y por qué)
    • Expreso (activa, no pasiva; debe hacer click)
    • Inequívoco (claro, sin ambigüedad)

En sitios web: Requiere checkbox que dice «Acepto» (no «ya aceptaste»)

3. Principio de Finalidad

  • Solo usar datos para el propósito EXPLÍCITO declarado
  • Si dices «recolecto email para newsletter», NO puedes:
    • Vender lista a terceros
    • Usar para marketing directo de otros productos
    • Compartir con empresas relacionadas sin aviso
  • Cualquier USO NUEVO requiere NUEVO consentimiento

4. Principio de Proporcionalidad

  • Recolectar SOLO datos necesarios
  • No pedir más de lo necesario
  • Ejemplo:
    • ✅ Para envío: nombre, dirección, teléfono
    • ❌ No es proporcional pedir religión, orientación sexual

5. Principio de Acceso y Circulación Restringida

  • Datos NO pueden circular libremente
  • Solo personal autorizado accede
  • Requiere contrato de confidencialidad
  • Si compartes con terceros: consentimiento previo necesario

6. Principio de Seguridad

  • Proteger datos contra acceso no autorizado
  • Encripción requerida (especialmente datos sensibles)
  • Contraseñas, firewalls, backup
  • Responder a brechas de seguridad rápidamente

7. Principio de Conservación

  • Mantener datos solo mientras sea necesario
  • Después: ELIMINAR o ANONIMIZAR
  • Ejemplo: Datos de cliente inactivo 3 años → eliminar
  • NO guardar indefinidamente

8. Principio de Disposición de Datos

  • Titular tiene derecho a saber dónde están sus datos
  • Acceso a copia de datos que tienes sobre él/ella
  • Rectificación si son incorrectos
  • Cancelación si ya no necesitas

Derechos del Titular de Datos

La ley peruana reconoce 4 derechos fundamentales:

Derecho 1: Acceso

  • Derecho a saber QUÉ datos tienes sobre mí
  • Puedes solicitar copia
  • Empresa tiene 10 días para responder
  • Plazo puede extenderse a 20 días si complejo
  • Respuesta debe ser por escrito, clara

Cómo ejercer:

  • Envía mail a [empresa]@privacy.com diciendo «Solicito acceso a todos mis datos»
  • Empresa DEBE responder

Derecho 2: Rectificación

  • Derecho a corregir datos INCORRECTOS
  • Si tienes su teléfono mal escrito → puede corregir
  • Si tu edad está incorrecta → puede actualizar
  • Empresa tiene 10 días para corregir

Ejemplo: En tu tienda online, cliente notifica dirección es incorrecta → DEBES corregir en 10 días

Derecho 3: Cancelación

  • Derecho a que ELIMINES sus datos
  • Si ya no necesitas datos → debe disponerse
  • Si consintió para propósito específico ya cumplido → debe cancelarse

Ejemplo: Cliente pide que elimines su email de lista newsletter → DEBES hacerlo en 10 días

Derecho 4: Oposición

  • Derecho a oponerse a que uses sus datos
  • Aunque haya consentido antes, puede oponerse
  • Específicamente para:
    • Perfilamiento (crear perfil de consumidor)
    • Marketing directo (publicidad dirigida)
    • Decisiones automatizadas

Obligaciones Legales para Empresas (Encargados)

Si TÚ recolectas datos personales (tienda online, app, formularios), tienes OBLIGACIONES LEGALES:​

Obligación 1: Avisar y Obtener Consentimiento

Debes tener POLÍTICA DE PRIVACIDAD que explique:

  • Quién eres (nombre empresa)
  • Qué datos recolectas
  • POR QUÉ los necesitas (finalidad explícita)
  • Cómo los proteges (medidas de seguridad)
  • Con QUIÉN los compartes
  • Derechos del titular (acceso, rectificación, cancelación)

La política debe estar:

  • ✅ Visible (link prominente en sitio web)
  • ✅ Accesible (fácil de leer, no 50 páginas letra chica)
  • ✅ Completa (cubre todos datos recolectados)

Consentimiento:

  • ✅ Checkbox debe estar UNCHECKED por defecto
  • ✅ Click activo requerido (no pre-tachado)
  • ✅ Lenguaje claro (sin jerga legal confusa)
  • ❌ NO es válido: «al hacer click aceptas todo» sin explicar qué

Obligación 2: Seguridad de Datos

Debes implementar medidas de seguridad:

  • ✅ Encripción de datos en tránsito (HTTPS/SSL en sitio web)
  • ✅ Encripción en reposo (si bases de datos)
  • ✅ Contraseñas seguras para personal
  • ✅ Limitar acceso (solo quien necesita)
  • ✅ Auditorías periódicas
  • ✅ Respuesta a incidentes (si hay brecha)

Incumplimiento: Si hay brecha (hackeo, robo) y no tenías medidas → RESPONSABILIDAD

Obligación 3: Responder Solicitudes de Derechos

Si titular solicita acceso/rectificación/cancelación:

  • ✅ Responder en máximo 10 días
  • ✅ Respuesta clara por escrito
  • ✅ Si rechazas: explica por qué con fundamento legal
  • ✅ Si aceptas: procede inmediatamente

Obligación 4: NO Compartir sin Consentimiento

Si compartes datos con TERCEROS:

  • ✅ Obtener consentimiento PREVIO
  • ✅ Explicar CON QUIÉN compartirás
  • ✅ Explicar PARA QUÉ lo usarán
  • ✅ Tercero debe cumplir LPDP también

Ejemplo: Tu e-commerce usa empresa X para envíos → DEBES avisar que darás datos a empresa X → DEBES obtener consentimiento

Obligación 5: Eliminar Datos Oportunamente

No guardar «por si acaso»:

  • ✅ Establecer tiempo de retención (ej: 2 años)
  • ✅ Después del plazo: ELIMINAR
  • ✅ O ANONIMIZAR (imposible identificar persona)
  • ❌ Guardar indefinidamente es violación

Cookies y Tracking en Sitios Web

Este es tema crítico para e-commerce:

Qué son Cookies

Pequeños archivos que sitio web coloca en computadora del usuario para:

  • Recordar datos (login, carrito de compras)
  • Rastrear comportamiento (qué páginas visita)
  • Mostrar publicidad dirigida
  • Análisis de tráfico

Tipos de Cookies

Técnicas (Necesarias):

  • Funcionamiento básico del sitio
  • NO requieren consentimiento
  • Ejemplo: Cookie de sesión para mantener login

Marketing (Publicidad):

  • Rastrean comportamiento
  • REQUIEREN consentimiento PREVIO
  • Permiten publicidad dirigida
  • Ejemplo: Google Analytics, Facebook Pixel

Funcionales:

  • Mejoran experiencia (recordar preferencias)
  • REQUIEREN consentimiento generalmente

Obligación Legal sobre Cookies

Ley Peruana + Directiva UE (si clientes europeos):

✅ Informar: Aviso claro sobre cookies
✅ Consentimiento previo: Antes de colocar cookies de marketing
✅ Especificar: Qué cookies, cuál es finalidad, cuánto tiempo permanecen
✅ Opción de rechazo: Usuario puede rechazar cookies de marketing
✅ Fácil revocación: Usuario puede cambiar preferencias después

En tu sitio web:

MALO:

"Utilizamos cookies. Al continuar navegando aceptas."
→ No es consentimiento válido

BUENO:

BANNER CON:
"Utilizamos cookies de análisis (Google Analytics) para mejorar tu experiencia.
☐ Acepto cookies de marketing
☐ Acepto cookies de análisis
[Solo técnicas]  [Rechazar Todo]  [Personalizar]"

Penalización por incumplimiento:

  • Advertencia: S/5-50 UIT (~S/850-S/8,500)
  • Falta grave: S/50-500 UIT (~S/8,500-S/85,000)

Transferencia Internacional de Datos

¿Qué si tus servidores están FUERA de Perú?

Restricción importante:

  • No puedes transferir datos a país SIN protección equivalente
  • Perú considera adecuados: UE, Suiza, algunos otros
  • EEUU: depende (Privacy Shield/Data Transfer Agreement)
  • Países sin protección: NO SIN consentimiento explícito

Si usas servidor en EEUU:

  • Avisa al usuario
  • Obtén consentimiento específico
  • Asegura empresa USA cumple LPDP estándar

Datos Sensibles (Especial Protección)

Estos datos REQUIEREN protección MAYOR:

Dato SensibleProtección Adicional
SaludEncripción obligatoria, acceso muy limitado
ReligiónProhibido procesar sin consentimiento explícito
Origen étnicoProhibido procesar sin justificación
BiométricosEncripción + consentimiento + seguridad máxima
Condena penalSolo entidades públicas o con justificación

Si recolectas dato sensible SIN justificación: DELITO

Autoridad Competente: AEPD

La Autoridad Nacional de Protección de Datos Personales (AEPD) es la entidad que:**​

  • Supervisa cumplimiento de LPDP
  • Recibe denuncias de violaciones
  • Investiga incumplimientos
  • Emite sanciones/multas
  • Orienta a empresas

Cómo contactar AEPD:

Denuncias: Gratuitas, pueden ser anónimas

Sanciones por Incumplimiento

Ley establece multas según gravedad:

InfracciónMulta
Leve (ej: aviso privacidad incompleto)5-50 UIT (~S/850-S/8,500)
Grave (ej: no responder solicitud acceso)50-500 UIT (~S/8,500-S/85,000)
Muy Grave (ej: vender datos sin consentimiento)500-2,500 UIT (~S/85,000-S/425,000)

Además de multa:

  • ✅ Orden de cese (dejar de hacer lo ilegal)
  • ✅ Orden de rectificar (corregir datos)
  • ✅ Orden de eliminar datos
  • ✅ Cierre temporal/permanente de operaciones

Casos extremos: Si hay venta de datos personales → TAMBIÉN delito penal (hasta 5 años cárcel)

Guía Práctica: Cumplimiento para Tu E-commerce

Si tienes tienda online en Perú, DEBES:

PASO 1: Redacta Política de Privacidad

Incluye:

  • Quién somos (nombre empresa, RUC)
  • Datos que recolectamos (nombre, email, dirección, teléfono, IP)
  • Finalidad (procesar pedidos, envíos, marketing si autoriza)
  • Retención (2 años después de última compra, después eliminamos)
  • Seguridad (encriptamos datos, acceso limitado)
  • Con quién compartimos (empresa logística, procesador pagos)
  • Derechos (acceso, rectificación, cancelación)
  • Contacto ARPU/legal si consultas

PASO 2: Implementa Consentimiento

  • Checkbox en checkout: «Acepto política privacidad»
  • Checkbox separado: «Deseo recibir ofertas por email»
  • AMBOS deschecked por defecto
  • Link a política visible
  • Fácil de entender

PASO 3: Asegura Datos

  • HTTPS/SSL en sitio (visible candado)
  • Encripción de transacciones
  • Contraseñas seguras (staff)
  • Limitar acceso (solo quien necesita)
  • Backup regular

PASO 4: Maneja Solicitudes

  • Crea email: privacidad@[tuempresa].com
  • Proceso: Recibir → Verificar identidad → Responder en 10 días
  • Documentar todas solicitudes

PASO 5: Cookies Correctamente

  • Banner claro al entrar
  • Diferenciar cookies técnicas vs marketing
  • Consentimiento PREVIO para marketing
  • Opción fácil de rechazar

PASO 6: Elimina Datos

  • Automatiza: cliente inactivo 24 meses → eliminar
  • O anonimizar (imposible identificar)
  • Mantén log de eliminaciones
  • NO guardar «por si acaso»

Casos Comunes: ¿Puedo o No Puedo?

Situación¿Puedo?Explicación
Vender lista emails a empresa marketing❌ NORequiere consentimiento nuevo + finalidad diferente
Usar Google Analytics en sitio web✅ SÍ (con aviso)Técnica de análisis, requiere consentimiento marketing
Guardar datos cliente 10 años «por si vuelve»❌ NOSolo guardar mientras necesario (típico 2-3 años)
Enviar publicidad a cliente que NO lo autorizó❌ NORequiere consentimiento PREVIO
Compartir datos con empresa logística✅ SÍ (con consentimiento)Necesario para envío; debes avisar finalidad
Usar foto cliente en publicidad sin permiso❌ NORequiere consentimiento adicional
Recolectar datos de menores de 14 años❌ PROBLEMARequiere consentimiento padre, mejor evitar

Cambios Legales Esperados 2025-2026

Perú está considerando:

  • Alineación mayor con GDPR europeo
  • Fortalecimiento de sanciones
  • Aumento de supervisión AEPD
  • Regulación específica de IA (uso de datos para algoritmos)
  • Protección de biométricos más estricta

La Ley de Protección de Datos Personales (LPDP 29733) te protege como ciudadano y te OBLIGA como empresario a:

✅ Recolectar datos CON consentimiento previo
✅ Usar datos SOLO para finalidad declarada
✅ Proteger datos con seguridad
✅ Responder solicitudes de titulares en 10 días
✅ NO compartir sin consentimiento
✅ Eliminar datos oportunamente

Para tu e-commerce: Invierte en política privacidad clara, consentimiento correcto, cookies bien configuradas, y seguridad de datos. El costo es mínimo (~S/1,000-S/2,000 en asesoría) comparado al riesgo de multa (S/85,000+) o demanda de cliente.

Recuerda: Los datos de tus clientes NO son tuyos. Son CONFIADOS a ti. Protégelos como si fuera información tuya personal.