El Perú ha modernizado su régimen de protección de datos personales con la publicación del Decreto Supremo Nº 016-2024-JUS el 30 de noviembre de 2024, que aprueba un nuevo Reglamento de la Ley Nº 29733. Este marco actualizado, que entra en vigencia el 30 de marzo de 2025, representa un cambio fundamental en cómo se gestiona la privacidad digital en el país, alineándose con estándares internacionales similares al Reglamento General de Protección de Datos (GDPR) europeo.
Contexto y Antecedentes
La anterior regulación databa de 2013, un período anterior a la aceleración digital masiva y al surgimiento de nuevas tecnologías que generaron riesgos sin precedentes para la privacidad. El nuevo reglamento responde a la necesidad de “garantizar una adecuada tutela del derecho fundamental a la protección de datos personales frente a los riesgos que pueden generar el uso de las nuevas tecnologías digitales.” Durante 2024, la Autoridad Nacional de Protección de Datos Personales (ANPD) fiscalizó a 454 entidades, principalmente del sector financiero y telecomunicaciones, y propuso sanciones por más de S/ 13.4 millones, evidenciando la magnitud del problema de cumplimiento en el país.
Estructura Institucional y Autoridad de Control
La Autoridad Nacional de Protección de Datos Personales (ANPD) es el órgano responsable de garantizar el cumplimiento de la normativa. Opera a través de dos direcciones principales:
- Dirección de Protección de Datos Personales: Resuelve en primera instancia procedimientos sancionadores y administra el Registro Nacional de Protección de Datos Personales (RNPDP)
- Dirección de Fiscalización e Instrucción: Supervisa el cumplimiento de obligaciones e inicia procedimientos sancionadores
La ANPD ejerce funciones normativas, supervisoras, consultivas, resolutivas, fiscalizadoras y sancionadoras. Sus poderes incluyen la capacidad de iniciar investigaciones de oficio, requerir información, realizar auditorías, dictar medidas correctivas y asignar sanciones pecuniarias.
Principios Rectores
El nuevo reglamento se fundamenta en seis principios centrales para el tratamiento de datos personales:
- Legalidad: La recopilación y tratamiento debe realizarse conforme a ley, prohibiendo medios fraudulentos, desleales o ilícitos
- Consentimiento: Los datos se procesan solo previo consentimiento informado, expreso e inequívoco del titular, salvo autorización legal
- Finalidad: Los datos se recopilan para propósitos determinados, explícitos y lícitos, sin extensión a otras finalidades sin consentimiento adicional
- Transparencia y Responsabilidad Proactiva: Nuevos principios que refuerzan la obligación de informar claramente sobre el tratamiento y demostrar cumplimiento proactivo
- Seguridad: Implementación de medidas técnicas, organizativas y legales para proteger contra acceso, alteración, pérdida o procesamiento no autorizado
- Nivel de Protección Adecuado: Para transferencias transfronterizas, se debe garantizar protección equivalente en el país destino
Derechos de los Titulares de Datos (Derechos ARCO)
Los titulares de datos personales tienen derechos fundamentales que las organizaciones deben respetar:
- Acceso (A): Derecho a obtener información sobre qué datos se tienen y cómo se están utilizando
- Rectificación (R): Derecho a corregir datos inexactos, erróneos u obsoletos
- Cancelación (C): Derecho a solicitar la eliminación de datos, especialmente cuando ya no sean necesarios
- Oposición (O): Derecho a objetar al tratamiento de sus datos cuando existan motivos legítimos
Nuevo Derecho – Portabilidad: El reglamento introduce el derecho a la portabilidad de datos, permitiendo a los titulares recibir sus datos en formato estructurado y utilizable para transferirlos a otro responsable. Este derecho entra en vigencia seis meses después de la implementación general, es decir, a partir del 30 de septiembre de 2025.
Nuevas Protecciones en Decisiones Automatizadas: Los titulares tienen derecho a no ser sometidos a decisiones basadas únicamente en procesamiento automatizado que generen efectos jurídicos o que les afecten significativamente, como decisiones sobre empleo o salud.
Nuevas Figuras Institucionales: El Oficial de Protección de Datos
El nuevo reglamento introduce la figura obligatoria del Oficial de Datos Personales (ODP), también conocido como Data Protection Officer (DPO). Esta posición es obligatoria para:
- Todas las entidades públicas
- Empresas privadas que procesen grandes volúmenes de datos personales
- Organizaciones cuyo tratamiento implique datos sensibles (genéticos, biométricos, de salud, etc.)
- Aquellas cuyas actividades principales consistan en tratamiento de datos sensibles
- Cualquier responsable cuyo tratamiento pueda afectar derechos fundamentales
El ODP debe contar con “conocimientos especializados en protección de datos y capacidad para gestionar riesgos asociados,” aunque el reglamento no especifica una formación particular. Sus funciones incluyen:
- Informar y asesorar a la dirección sobre obligaciones legales
- Supervisar la implementación de la normativa
- Capacitar al personal interno
- Gestionar solicitudes de derechos ARCO
- Servir como punto de contacto con la ANPD
- Investigar incidentes de seguridad y brechas de datos
Puede ser un trabajador interno o externo, sin exclusividad funcional requerida, y en grupos empresariales un único ODP puede servir múltiples entidades.
Cronograma de Implementación Progresiva del ODP:
| Tamaño de Empresa | Plazo de Designación |
|---|---|
| Grandes (>2,300 UIT en ventas anuales) | 30 de noviembre de 2025 |
| Medianas | 30 de noviembre de 2026 |
| Pequeñas | 30 de noviembre de 2027 |
| Microempresas | 30 de noviembre de 2028 |
El incumplimiento en designar un ODP constituye infracción grave, sancionable con multa de hasta 5 UIT (aproximadamente S/ 26,750).
Medidas de Seguridad Reforzadas
El nuevo reglamento establece obligaciones más rigurosas en materia de seguridad de la información:
- Documento de Seguridad Formal: Las empresas deben contar con un documento de seguridad aprobado formalmente y con fecha cierta (no autogenerada), que contenga procedimientos de acceso, gestión de privilegios, registros de auditoría y verificación periódica de mecanismos de protección
- Copias de Respaldo: Obligación de realizar respaldos semanales mínimos para asegurar recuperación ante incidentes
- Inventario de Datos: Mantenimiento de inventario actualizado de todos los datos y sistemas empleados
- Trazabilidad: Documentación detallada de accesos y movimientos de datos
- Medidas Técnicas y Organizativas: Implementación de controles de acceso, encriptación, segmentación de datos y procedimientos de respuesta a incidentes
Notificación Obligatoria de Incidentes de Seguridad
Una de las disposiciones más significativas es la obligación de notificar incidentes de seguridad. Las empresas deben:
- Reportar a la ANPD dentro de 48 horas de detectar cualquier incidente grave que comprometa datos personales
- Para incidentes digitales, también reportar al Centro Nacional de Seguridad Digital
- Informar directamente a los titulares afectados en el mismo plazo si hay riesgo significativo
- Proporcionar detalles del incidente, tipos de datos comprometidos, número estimado de afectados, consecuencias y medidas de mitigación
- Incluir datos de contacto del Oficial de Protección de Datos
El incumplimiento constituye infracción grave sancionable con multas de 5 a 50 UIT.
Aplicación Territorial Extensiva
Una novedad relevante es la extensión territorial del reglamento. Ahora aplica a entidades no domiciliadas en Perú que:
- Ofrecen bienes o servicios a personas ubicadas en territorio peruano
- Monitorean el comportamiento de usuarios peruanos
- Elaboran perfiles destinados a predeterminar conductas, preferencias u hábitos
Estas empresas extranjeras deben designar un representante legal domiciliado en Perú que actúe como nexo con la ANPD, reciba notificaciones y asuma responsabilidades ante incumplimientos.
Regulación de Publicidad y Prospección Comercial
El nuevo reglamento establece reglas específicas para marketing y prospección:
- Se requiere consentimiento explícito y directo para el tratamiento de datos con fines publicitarios
- Se permite un “primer contacto” para recabar consentimiento, durante el cual se pueden utilizar datos obtenidos de fuentes públicas
- Prohibición de re-contacto: Si no se obtiene consentimiento en el primer contacto, no se permite insistir con nuevos contactos
- Esto fortalece los derechos de los consumidores frente a prácticas agresivas de marketing
Transferencias Internacionales de Datos
Para transferencias transfronterizas a países sin nivel adecuado de protección, el reglamento exige:
- Cláusulas Contractuales Modelo: Incorporación de cláusulas que garanticen protección equivalente (la ANPD ha aprobado cláusulas tipo de conformidad con estándares iberoamericanos)
- Mecanismos de Certificación: Verificación de que el país destino cumple estándares internacionales
- Nivel Adecuado: Garantía que el país receptora ofrece protecciones comparables a la peruana
- Consentimiento Explícito: Los titulares deben consentir expresamente la transferencia internacional
Para servicios cloud como Google Cloud o Amazon Web Services, las empresas deben acreditar que los proveedores cumplen con estándares equivalentes de seguridad y confidencialidad.
Sistema de Sanciones y Infracciones
El reglamento establece un régimen sancionador de tres niveles, cuantificado en función de gravedad y volumen de afectados.
Procedimiento Sancionador: La ANPD puede iniciar un procedimiento sancionador de oficio (por propia fiscalización) o de parte (por denuncia de ciudadanos). El proceso incluye:
- Etapa de Instrucción: Investigación por la Dirección de Fiscalización e Instrucción, máximo 90 días
- Requerimiento de Información: La autoridad puede solicitar datos complementarios, realizar auditorías y visitas
- Resolución de Instrucción: Pronunciamiento sobre existencia o no de elementos que sustenten la infracción
- Etapa Sancionadora: La Dirección de Sanciones determina infracción y sanciones
En caso de incumplimiento, la ANPD puede además de multar: ordenar bloqueo temporal de datos, eliminación de datos si no puede revertirse acceso no autorizado, suspensión de actividades relacionadas con tratamiento de datos, y órdenes de cese de prácticas ilegales.
Mecanismos Voluntarios de Responsabilidad Proactiva
El reglamento introduce instrumentos voluntarios que actúan como factores atenuantes en procedimientos sancionadores, permitiendo reducción significativa de multas:
- Códigos de Conducta Sectorial: Marco de autorregulación específico por industria
- Evaluaciones de Impacto en la Privacidad (PIA): Análisis preventivo de riesgos inherentes al tratamiento de datos, identificando escenarios de riesgo antes de que ocurran
Implementar estas herramientas demuestra compromiso genuino con la protección de datos y puede reducir sanciones sustancialmente si se implementan antes de iniciar procedimientos sancionadores.
Registro Nacional de Protección de Datos Personales
Toda persona, entidad privada o pública que genere un banco de datos personales debe inscribirlo en el RNPDP. Cambios importantes desde marzo 2025:
- Gratuito: Se eliminó la cuota de inscripción
- Aprobación Automática: El procedimiento es inmediato
- Sujeto a Fiscalización Posterior: Aunque aprobado automáticamente, la ANPD puede auditar en cualquier momento
Cronograma General de Implementación
| Fecha | Obligación | Aplicabilidad |
|---|---|---|
| 30 marzo 2025 | Entrada en vigencia general del reglamento | Todas las organizaciones |
| 30 marzo 2025 | Notificación de incidentes en 48 horas | Crítica |
| 30 marzo 2025 | Documento de Seguridad formal | Todas las organizaciones |
| 30 marzo 2025 | Registro de bancos de datos (gratuito) | Todas con bancos de datos |
| 30 septiembre 2025 | Derecho a Portabilidad de Datos | 6 meses post-entrada en vigencia |
| 30 noviembre 2025 | Designación ODP – Grandes Empresas | Ventas >2,300 UIT anuales |
| 30 noviembre 2026 | Designación ODP – Medianas Empresas | Progresivamente |
| 30 noviembre 2027 | Designación ODP – Pequeñas Empresas | Progresivamente |
| 30 noviembre 2028 | Designación ODP – Microempresas | Progresivamente |
Comparación con Estándares Internacionales (GDPR)
El nuevo reglamento peruano refleja muchos principios del GDPR europeo, facilitando que empresas con operaciones en ambas regiones adopten prácticas consistentes:
Similitudes Clave:
- Exigencia de consentimiento informado previo
- Reconocimiento de derechos de titulares (acceso, rectificación, cancelación, oposición)
- Obligación de medidas de seguridad robustas
- Notificación de brechas de seguridad
- Aplicabilidad a empresas extranjeras procesando datos locales
- Enfoque en responsabilidad proactiva y cumplimiento preventivo
Diferencias Significativas:
- Multas GDPR hasta €20 millones vs. sistema UIT en Perú (máximo 100 UIT = S/ 535,000 en 2025)
- DPO obligatorio GDPR para categorías amplias vs. cronograma progresivo en Perú
- Perú introduce códigos de conducta y PIAs como factores mitigantes, lo cual es menos característico del GDPR
Impacto Sectorial
Durante 2024, la ANPD intensificó fiscalización principalmente en sectores financiero, telecomunicaciones, educativo y comercio electrónico. Las prácticas más problematizadas han sido:
- Uso de información de centrales de riesgo para prospección sin consentimiento
- Validación incorrecta de identidad en servicios digitales permitiendo fraude
- Procesamiento de datos sensibles sin medidas de seguridad adecuadas
- Obstrucción de funciones fiscalizadoras
Grandes empresas como Telefónica del Perú han sido sancionadas con multas significativas por obstaculizar investigaciones.
Recomendaciones para Organizaciones
Para cumplir efectivamente con el nuevo marco, las organizaciones deben:
- Realizar Auditoría Inicial: Inventariar todos los bancos de datos, evaluar volumen y tipos de datos procesados
- Actualizar Políticas de Privacidad: Garantizar transparencia sobre finalidades, destinatarios, plazos de conservación y derechos
- Revisar Consentimientos: Asegurar que los mecanismos de obtención sean previos, expresos e inequívocos
- Implementar Seguridad: Desarrollar documentos de seguridad formales, copias de respaldo, acceso controlado y auditoría
- Establecer Protocolos de Incidentes: Crear sistemas de detección con respuesta dentro de 48 horas
- Designar ODP: Según cronograma, designar oficial con responsabilidades definidas y acceso adecuado
- Evaluar Transferencias Internacionales: Si usa servicios cloud, verificar conformidad del proveedor
- Implementar PIAs: Especialmente para tratamientos sensibles, como mecanismo atenuante
- Capacitar Personal: Entrenar equipos en protección de datos y manejo de privacidad
- Documentar Cumplimiento: Mantener registros que demuestren adecuación proactiva a la normativa
El nuevo Reglamento de la Ley de Protección de Datos Personales marca un punto de inflexión en la evolución del derecho de privacidad en Perú. Su entrada en vigencia el 30 de marzo de 2025 ha sido seguida de implementación activa, con la ANPD intensificando supervisión y las empresas acelerando procesos de compliance. Para aquellas ubicadas en San Pedro de Pilpa, Ica, o cualquier parte del Perú, la ley aplica con independencia de operaciones locales o remotas.
El marco busca garantizar que la privacidad, reconocida como derecho fundamental en la Constitución Política del Perú, sea protegida efectivamente en un entorno digital de rápida transformación tecnológica. Las multas potenciales de hasta S/ 535,000, sumadas al riesgo reputacional y restricciones operativas, incentivan cumplimiento genuino. Aquellas organizaciones que adopten este nuevo marco no solo evitan sanciones sino que fortalecen la confianza con clientes, proveedores e inversionistas en una economía cada vez más digitalizada.