¿Por qué es importante este nuevo reglamento?
Vivimos en una era digital donde dejamos huella en cada clic. Desde comprar en línea hasta llenar formularios médicos, nuestros datos personales viajan constantemente. ¿Quién los protege? ¿Qué derechos tenemos? ¿Cómo estos cambios te afectan o benefician, tanto si eres una empresa, un profesional, o un ciudadano que usa internet? Este informe busca explicar, de forma clara y profesional, las nuevas reglas del juego en protección de datos personales en el Perú, con base en el reciente reglamento aprobado por el Decreto Supremo N.º 016-2024-JUS.
Base legal: ¿Qué respalda esta norma?
La Constitución Política del Perú, en su artículo 2, inciso 6, reconoce el derecho fundamental a la protección de los datos personales. Este derecho se desarrolla a través de la Ley N.º 29733, vigente desde 2011, y su reglamento, cuya nueva versión responde a la necesidad de armonizar la norma con los actuales desafíos tecnológicos, como la computación en la nube, el tratamiento masivo de datos y la inteligencia artificial.
El nuevo reglamento no solo actualiza disposiciones técnicas, sino que también establece procedimientos, plazos, medidas de fiscalización y principios operativos de cumplimiento obligatorio.
Las novedades clave (Y cómo te impactan)
1.Tratamiento digital con servicios externos ¿Y mis datos en la nube?
Hoy muchas empresas no almacenan datos en servidores propios, sino que contratan servicios como Google Cloud o Amazon Web Services. El nuevo reglamento permite esto, pero exige garantías claras:
- Seguridad.
- Confidencialidad.
- Eliminación segura cuando ya no se usen.
Ejemplo real: Una clínica privada que contrate un proveedor internacional de almacenamiento en la nube para gestionar historias clínicas deberá acreditar que dicho proveedor cumple con estándares de seguridad y protección equivalentes a los exigidos en Perú.
2. Rol del encargado del tratamiento: ¿Y si subcontrato a otros?
Si una empresa delega el manejo de sus bases de datos (como un call center que llama a clientes por encargo de otra empresa), esa empresa tercerizada se convierte en «encargado del tratamiento» y tiene obligaciones claras:
- Establecer medidas de seguridad.
- Informar sobre cualquier cambio en su política de privacidad.
- Evitar accesos no autorizados.
Dato útil: Este punto es vital en sectores como telecomunicaciones, salud, banca y marketing digital.
3. El consentimiento
El consentimiento sigue siendo el corazón del tratamiento de datos. Debe ser:
- Libre (sin presiones).
- Previo (antes del tratamiento).
- Expreso (de forma clara, no implícita).
- Informado (debes saber para qué se usan tus datos).
Ejemplo negativo: Si una tienda online incluye una casilla preactivada para enviarte publicidad, eso ya no es válido. Debes marcarla tú conscientemente.
Nuestro Servicio Legal en Ecovis Perú te ayuda a cumplir con la Ley N.° 29733.
Derechos del titular: Lo que nadie puede negarte
El reglamento reafirma tus derechos como titular de datos personales. Entre ellos están:
- Derecho de acceso: Saber qué datos tienen sobre ti y cómo los usan.
- Derecho de rectificación: Corregir información incorrecta o incompleta.
- Derecho de cancelación: Solicitar que borren tus datos cuando ya no sean necesarios.
- Derecho de oposición: Evitar que se usen tus datos para ciertos fines, como publicidad.
Caso práctico: Si un gimnasio al que ya no perteneces te sigue enviando promociones, puedes ejercer tu derecho de cancelación y oposición. Tienen la obligación de respetarlo.
Transferencia internacional de datos
Este es uno de los cambios más relevantes en la era digital globalizada. El reglamento detalla las condiciones para que una empresa peruana transfiera datos a otro país.
Requisitos clave:
- Que el país de destino ofrezca niveles adecuados de protección (como los establecidos por la Unión Europea).
- Que se firmen cláusulas contractuales tipo con garantías suficientes.
- Que el titular consienta expresamente esta transferencia.
Ejemplo real: Una startup peruana que contrate un proveedor de inteligencia artificial en EE.UU. para analizar perfiles de clientes debe asegurarse de cumplir con estos requisitos.
Registro de bancos de datos personales
El reglamento exige que todos los bancos de datos personales, automatizados o manuales, sean inscritos ante la Autoridad Nacional de Protección de Datos Personales.
Esto permite la fiscalización, garantiza la transparencia y fortalece la confianza en las entidades que tratan datos.
Medidas de seguridad: Proteger la información desde dentro
Toda organización que trate datos personales debe implementar medidas de seguridad organizativas, técnicas y legales.
Algunas medidas recomendadas son:
- Políticas internas de protección de datos.
- Cifrado de la información.
- Control de accesos.
- Auditorías periódicas.
Ejemplo práctico: Una clínica debe tener tanto software actualizado como personal capacitado para evitar fugas de datos de sus pacientes.
El Representante y el Oficial de Datos Personales: Figuras clave
1.Representante en territorio nacional
Una gran innovación del reglamento es la exigencia para los titulares de banco de datos o responsables del tratamiento que no tengan domicilio en el Perú, designen un representante legal domiciliado en el país. Esta figura tiene funciones específicas:
- Actuar como nexo entre el responsable extranjero y la Autoridad Nacional de Protección de Datos Personales.
- Recibir notificaciones.
- Asumir responsabilidades en caso de infracción de la normativa.
Ejemplo real: Una empresa de comercio electrónico con sede en España, pero que recoge datos de consumidores peruanos para vender productos, deberá designar un representante en Perú. Este representante podrá ser requerido para responder en procedimientos ante la Autoridad Nacional.
2. Oficial de protección de datos personales (DPO)
El nuevo reglamento recomienda –aunque no obliga– la designación de un oficial de protección de datos personales en organizaciones que realizan tratamiento a gran escala o de alto riesgo. Este perfil debe tener:
- Autonomía.
- Conocimientos técnicos y jurídicos.
- Acceso a los más altos niveles jerárquicos.
Funciones principales del DPO:
- Supervisar el cumplimiento normativo.
- Ser punto de contacto con la Autoridad.
- Promover buenas prácticas dentro de la entidad.
Por otro lado, el reglamento señala que el Oficial de Datos puede ser una persona que ya desempeñe otras funciones en la empresa o entidad pública, o incluso puede ser un profesional tercerizado.
Además, se autoriza que un grupo empresarial pueda tener un único Oficial de Datos Personales compartido, siempre que cada empresa del grupo garantice un canal sencillo para comunicarse con él desde cada establecimiento.
El reglamento establece un cronograma escalonado. Las organizaciones deberán designar a su Oficial de Datos en función a sus ingresos anuales:
- Empresas con ventas anuales mayores a 2,300 UIT (aproximadamente S/ 11 millones) deben cumplir con esta obligación a partir de diciembre del próximo año.
- Empresas más pequeñas tendrán entre uno y cuatro años para adecuarse según su tamaño.
Notificación de incidentes de seguridad
El nuevo reglamento introduce un deber inmediato y riguroso: toda entidad que detecte un incidente de seguridad que comprometa datos personales debe notificarlo sin demora injustificada. Esta obligación aplica tanto al titular del banco de datos como al responsable del tratamiento.
La notificación debe incluir:
- Una descripción clara del incidente.
- La fecha de ocurrencia.
- Los datos afectados.
- Las medidas adoptadas para mitigar el daño.
- Posibles consecuencias para los titulares.
Además, el reglamento establece que el encargado del tratamiento debe informar de manera inmediata al titular del banco de datos personales o al responsable del tratamiento sobre cualquier incidente de seguridad relacionado con los datos personales de los que tenga conocimiento.
Ejemplo real: Si una universidad sufre una filtración que expone notas y datos de contacto de estudiantes, deberá informar a la Autoridad Nacional de Protección de Datos Personales y a los titulares involucrados.
Esta transparencia busca minimizar riesgos, fortalecer la confianza pública y alentar una cultura preventiva.
Además, se prevé que la Autoridad podrá requerir información adicional o medidas correctivas inmediatas, según la gravedad del incidente. La omisión en la notificación también puede ser sancionada.
Fiscalización y régimen sancionador
La Dirección General de Protección de Datos Personales es el órgano competente para supervisar el cumplimiento del reglamento. Tiene la facultad de:
- Realizar inspecciones.
- Emitir recomendaciones.
- Imponer sanciones.
Multas: Van desde una amonestación hasta varios cientos de UIT, dependiendo de la gravedad de la infracción.
Ejemplo real: Una empresa que filtra sin consentimiento los correos de sus clientes para campañas publicitarias puede recibir una fuerte multa e incluso ser expuesta públicamente.
Recomendaciones para las empresas
- Revisa y actualiza tus políticas de privacidad.
- Capacita a tu personal en protección de datos.
- Implementa medidas de seguridad integrales.
- Designa un delegado o responsable de protección de datos.
- Solicita asesoría legal si manejas información sensible o realizas transferencias internacionales.
Conclusión
El nuevo reglamento de la Ley N.º 29733 marca un antes y un después en la protección de datos personales en el Perú. Aporta claridad, moderniza conceptos y busca garantizar que nuestros derechos digitales estén realmente protegidos.
Ya sea como usuario, consumidor, ciudadano o empresa, todos tenemos un rol. Cumplir y hacer cumplir estas normas no solo es una obligación legal, sino también una apuesta por la confianza y la ética en la era digital.
La protección de datos no es solo un deber, es un derecho. Y ahora, con este reglamento, contamos con mejores herramientas para ejercerlo.
Briyitt Zelayarán
Jefa del Área Legal – Ecovis Perú
Especialista en Derecho Corporativo, Laboral, Societario, Empresarial, Penal y Civil, con sólida experiencia asesorando a empresas en la prevención y gestión de contingencias legales, elaboración de contratos, cumplimiento normativo y solución de conflictos judiciales y extrajudiciales.
