Evita Sanciones y Gana Confianza: Nuevas Reglas de Protección de Datos Personales que Toda Empresa Peruana Debe Cumplir

El 31 de marzo de 2025 entró en vigor el nuevo Reglamento de la Ley N.º 29733, Ley de Protección de Datos Personales, aprobado mediante el Decreto Supremo N.º 016-2024-JUS. Esta normativa refuerza el marco legal para la protección de datos personales en Perú, estableciendo obligaciones específicas para las empresas que manejan información sensible. Entre las principales medidas destacan la notificación de incidentes de seguridad, la designación de un Oficial de Datos Personales, la implementación del derecho de portabilidad de datos y la elaboración de documentos de seguridad. El incumplimiento de estas disposiciones puede conllevar sanciones significativas impuestas por la Autoridad Nacional de Protección de Datos Personales.

1. Introducción

La protección de datos personales es un derecho fundamental reconocido en el artículo 2, numeral 6, de la Constitución Política del Perú. Con la finalidad de garantizar este derecho en un entorno digital en constante evolución, se promulgó el nuevo Reglamento de la Ley de Protección de Datos Personales mediante el Decreto Supremo N.º 016-2024-JUS, publicado el 30 de noviembre de 2024 y vigente desde el 31 de marzo de 2025. Este reglamento establece obligaciones precisas para las empresas que tratan datos personales, especialmente aquellos considerados sensibles, con el objetivo de salvaguardar la identidad y privacidad de los ciudadanos.

1. Exposición de Datos Sensibles y Afectación de Derechos Fundamentales

Los datos sensibles incluyen información sobre origen racial o étnico, opiniones políticas, convicciones religiosas, filiación sindical, información relacionada con la salud o vida sexual, y datos biométricos. La exposición no autorizada de estos datos puede vulnerar derechos fundamentales como la privacidad y la identidad personal, generando consecuencias legales y reputacionales para las empresas responsables.

III. Sanciones Impuestas por la Autoridad Nacional de Protección de Datos Personales

La Autoridad Nacional de Protección de Datos Personales (ANPDP), adscrita al Ministerio de Justicia y Derechos Humanos, es el ente encargado de supervisar el cumplimiento de la normativa en materia de datos personales. El nuevo reglamento faculta a la ANPDP para imponer sanciones administrativas a las empresas que incumplan sus disposiciones, las cuales pueden incluir multas significativas y medidas correctivas.

1. Obligaciones Empresariales Clave

Para cumplir con el nuevo reglamento y proteger adecuadamente los datos personales, las empresas deben implementar las siguientes medidas:

1. Notificación de Incidentes de Seguridad:
   • Obligación: Informar a la ANPDP sobre cualquier incidente que comprometa la seguridad de los datos personales en un plazo máximo de 72 horas desde su detección.
   • Procedimiento: Establecer protocolos internos para la detección, gestión y reporte de incidentes de seguridad.
2. Designación de un Oficial de Datos Personales:
   • Obligación: Nombrar a un responsable encargado de supervisar el cumplimiento de la normativa de protección de datos dentro de la organización.
   • Perfil: Profesional con conocimientos especializados en legislación de protección de datos y experiencia en gestión de riesgos.
3. Procedimiento para el Derecho de Portabilidad de Datos:
   • Obligación: Facilitar a los titulares de datos personales la posibilidad de recibir sus datos en un formato estructurado y transmitirlos a otro responsable del tratamiento sin impedimentos.
   • Implementación: Desarrollar mecanismos técnicos y procedimientos que permitan la portabilidad de los datos de manera segura y eficiente.
4. Elaboración de Documentos de Seguridad:
   • Obligación: Crear y mantener actualizados documentos que describan las políticas y medidas de seguridad adoptadas para proteger los datos personales.
   • Contenido: Incluir análisis de riesgos, protocolos de actuación, controles implementados y procedimientos de auditoría.

1. Conclusión

La entrada en vigor del nuevo Reglamento de la Ley de Protección de Datos Personales impone a las empresas en Perú la responsabilidad de adoptar medidas proactivas para garantizar la seguridad y privacidad de los datos personales que manejan. El cumplimiento de obligaciones como la notificación de incidentes de seguridad, la designación de un Oficial de Datos Personales, la facilitación del derecho de portabilidad y la elaboración de documentos de seguridad no solo es esencial para evitar sanciones, sino también para fortalecer la confianza de los clientes y usuarios en la organización.