El 29 de marzo de este año, entró en vigor en el Perú el Reglamento de la Ley N° 29733 - Ley de Protección de Datos Personales (LPDP), que modificó la anterior normativa para alinearse con estándares internacionales y las necesidades tecnológicas de coyuntura. Este nuevo reglamento (Decreto Supremo N° 016-2024-JUS) establece las bases para garantizar la privacidad de los datos personales, definiendo derechos para ciudadanos y obligaciones para las entidades públicas y privadas, implementando cambios significativos en la protección de datos personales.
De acuerdo con el reglamento, se entiende que los ciudadanos peruanos son los titulares de sus datos personales, por lo que tienen derecho a:
- Conocer los fines para los que sus datos son recogidos y procesados.
- Obtener acceso a la información sobre sí mismos que se encuentre en bancos de datos.
- Corregir datos personales que sean incompletos, inexactos o erróneos.
- La obligación de contar con un documento de seguridad que contenga información sobre los procedimientos de gestión de accesos y gestión de privilegios, entre otros.
- Solicitar la eliminación de sus datos personales en casos específicos y oponerse al tratamiento de sus datos bajo ciertas circunstancias.
La meta de esta nueva normativa es alinearse con los estándares y reglas internacionales (como la norma ISO27001) en la materia, al tiempo que refuerza su cumplimiento dentro del país, mientras obliga a las empresas extranjeras que recopilan datos de personas en el Perú a designar un representante nacional para cumplir con la ley. Por medio de este, también se estableció un régimen sancionador más preciso, con multas que varían según la gravedad de la infracción.
Para leer: Ley N° 20.241 de I+D en Chile: ¿Cómo aprovechar la extensión hasta 2035 para proyectos innovadores?
Julia Loret de Mola Cáceres, socia de Payet Rey Cauvi Pérez Abogados y líder de su área de Protección de Datos Personales, apunta que —desde que se publicó el reglamento— las compañías están tomando mayor conciencia e interés sobre la protección de datos personales, a la vez que hacen mayores esfuerzos por adecuarse tanto a la Ley N° 29733 como al Reglamento. Asimismo, cree que los titulares de los datos personales cada vez tienen mayor conocimiento sobre sus derechos y cómo pueden ejercerlos ante los responsables de su tratamiento y ante la Autoridad Nacional de Protección de Datos Personales (ANPDP).
Por esto, la experta predice que el próximo año habrá más compañías adecuándose a la normativa además de una mayor fiscalización y sanción por parte de la ANPDP, como ya lo han demostrado las cifras de fiscalización y sanción de la ANPDP para 2023 y 2024 que, tan solo en aplicación de multas por incumplimiento de la norma aumentaron casi al doble entre 2023 y 2024, alcanzando en 2024 13.424.590 millones de soles.
Otras entrevistas: ¿Cómo puede la propiedad intelectual impulsar el desarrollo en América Latina? Esto opina Luis Henríquez
Principales cambios que introdujo el nuevo reglamento en comparación con la legislación anterior
Para entender mejor el alcance de este nuevo régimen es necesario saber que este, a diferencia del anterior, destaca la obligación de designar a un Oficial de Datos Personales en supuestos en los que la cantidad o tipo de datos puedan afectar a un gran número de personas.
También crea un rol específico: el Oficial de Datos Personales, similar al Data Protection Officer de la normativa europea, que deberá contar con conocimientos y experiencia acreditada en protección de datos personales y cumplir con informar y asesorar al titular del banco de datos personales respecto de las obligaciones que les incumben en virtud de la Ley; verificar e informar sobre el cumplimiento de lo dispuesto en la ley y el reglamento; cooperar con la ANPDP, para el desempeño de sus fines y atribuciones; y actuar como punto de contacto de esta para cuestiones relativas al tratamiento de datos personales, entre otras labores.
Otro cambio fundamental son las obligaciones en materia de seguridad como la obligación de implementar diversas medidas de seguridad, de contar con un documento de seguridad y de documentar y notificar incidentes de seguridad a la ANPDP, cuando corresponda, dice la abogada. El reglamento también incorpora la obligación de informar directamente al titular de los datos personales afectados, cuando el incidente pueda impactar en otros de sus derechos o libertades. Esta comunicación debe realizarse igualmente dentro de las 48 horas.
Finalmente, otro de los cambios que consideramos más relevantes es la inclusión del derecho de portabilidad como manifestación del derecho de acceso que nos existía en la legislación anterior. Esto permite al titular solicitar sus datos en un formato estructurado, de uso común y lectura mecánica, así como requerir que se transmitan directamente a otro titular del banco de datos, siempre que sea técnicamente posible, aclara.
Para entender mejor qué significa para el Perú este nuevo reglamento, y cómo está modificando el panorama nacional, LexLatin conversó con Julia Loret de Mola, y esto es lo que nos dijo:
Relacionado: Aumento de litigios en materia de protección de datos en Brasil; apuntes de Anderson Araújo, de Goulart Penteado
- LexLatin: ¿Cómo ha sido la respuesta de la sociedad civil y las empresas ante la implementación de estas nuevas normativas?
Julia Loret de Mola: Se observa mayor interés y conciencia de las empresas sobre el tratamiento de los datos personales y también mayores esfuerzos por adecuarse a la normativa local y capacitar a sus colaboradores.
Adicionalmente, por el lado de los titulares de los datos personales, también se percibe que cada vez están mejor informados sobre sus derechos y cómo pueden ejercerlos tanto ante los responsables del tratamiento de los datos personales como ante la ANPDP.
¿Se ha observado un aumento en la conciencia sobre la protección de datos personales entre la población?
Sin duda se percibe un aumento en la conciencia sobre la protección de datos personales en la población, debido a que hay más información sobre el tema a disposición de los ciudadanos en medios de prensa, en las mismas empresas que implementan lo necesario para adecuarse a la normativa e incluso debido al aumento y variedad de material y eventos académicos sobre el tema. Esto se evidencia en el incremento de denuncias de parte interpuestas ante la ANPDP. Por ejemplo, sólo en procedimientos trilaterales se han iniciado 142 durante el 2025, hasta el 14 de agosto.
¿Existen casos emblemáticos o situaciones concretas que ilustran los cambios más significativos generados por el reglamento?
Creo que las situaciones más concretas que ilustran estos cambios son dos: el incremento de incidentes de seguridad notificados desde la entrada en vigencia del reglamento (14 incidentes de seguridad notificados entre el 31 de marzo de 2025 y el 31 de julio de 2025) y la designación de oficiales de datos personales en las empresas.
De interés: Marcas tridimensionales: Registrar un lápiz de color triangular en Ecuador
¿Cómo han cambiado el rol y las facultades de la ANPDP con el nuevo reglamento?
En términos generales, el nuevo reglamento no introduce cambios sustanciales en los roles y facultades de la ANPDP. Sus funciones de supervisión, orientación y sanción permanecen prácticamente inalteradas respecto de la normativa anterior.
Lo que sí se aprecia es una ampliación en las conductas sancionables, en línea con las nuevas obligaciones que ahora recaen sobre los titulares de bancos de datos, como la designación de un Oficial de Datos Personales, la notificación de incidentes de seguridad o el respeto al derecho de portabilidad. Asimismo, se aprecia el aumento de sanciones para algunas infracciones. Esto otorga a la ANPDP un margen más amplio para actuar frente a incumplimientos específicos.
En la práctica, en los últimos años la ANPDP ya se caracterizaba por ser una autoridad activa y vigilante. Con este reglamento, ese rol se refuerza, pues cuenta con un marco normativo más robusto que le permite exigir mayores estándares de cumplimiento.
¿Qué tipo de infracciones son las más comunes y cómo se están abordando?
Los sectores más sancionados son el financiero y de telecomunicaciones, siendo las infracciones más frecuentes las vinculadas a la vulneración del deber de informar, del principio de consentimiento y del principio de seguridad. En el año 2025, el sector más sancionado es el sector financiero, y las infracciones más comunes son las vinculadas a la vulneración del deber de confidencialidad y del deber de informar.
¿Qué desafíos enfrenta la ANPDP para garantizar el cumplimiento del reglamento, especialmente en el ámbito digital?
Uno de los principales desafíos que enfrenta es la complejidad técnica de los tratamientos digitales. Hoy la recolección y uso de datos personales ocurre en entornos cada vez más sofisticados, como las plataformas en la nube, big data, IA y geolocalización, que demandan no solo un marco legal claro y, en algunos casos, específico, sino también capacidad técnica por parte de la ANPDP para auditar y fiscalizar con conocimiento de causa.
Asimismo, el nuevo ámbito de aplicación extraterritorial añade un desafío significativo. El nuevo reglamento será aplicable también cuando el titular del banco de datos no se encuentre establecido en Perú, pero ofrezca bienes o servicios a titulares de datos en el territorio nacional o realice actividades de análisis de comportamiento o elaboración de perfiles de dichos titulares. El problema práctico es cómo garantizar la ejecución de sanciones frente a empresas extranjeras.
En resumen, la ANPDP enfrenta el reto de cerrar la brecha entre norma y realidad digital, asegurando que el cumplimiento sea efectivo tanto en escenarios locales como en un entorno global y altamente tecnológico.
Clica aquí: Adidas vs Oaxaca: de la apropiación cultural, los huaraches zapotecos y las reformas pendientes en México
¿Cómo ha influido la normativa en las políticas de seguridad de la información de las organizaciones peruanas?
Siendo los temas de seguridad una de las principales incorporaciones al reglamento y uno de los temas que mayor relevancia tienen para la Autoridad, sin duda se observa un mayor esfuerzo de las empresas en adecuar sus sistemas de seguridad para cumplir con las exigencias de la normativa y en capacitar a su personal.
¿Se ha creado un nuevo ecosistema de consultores o expertos en protección de datos a raíz de la normativa? ¿Qué los distingue y en qué se han enfocado?
Considero que sí han aumentado la cantidad de consultores en protección de datos a raíz de la entrada en vigencia del reglamento, no sólo porque a raíz de ello se han incrementado las obligaciones legales para las compañías y es necesario que éstas se adecúen a la nueva normativa, sino porque además, a raíz del reglamento se genera la obligación para las empresas de contar con un Oficial de Datos. En consecuencia, vemos cada vez más personas educándose y especializándose en la materia.
Add new comment