El mundo digital avanza, y con él, la necesidad de una normativa robusta que garantice la seguridad de la información personal. El Decreto Supremo No. 016-2024-JUS, publicado el 30 de noviembre de 2024, introduce un nuevo Reglamento para la Ley de Protección de Datos Personales (LPDP) en Perú, con cambios cruciales que redefinirán la forma en que las empresas gestionan la privacidad de los ciudadanos.

Esta actualización entrará en vigor el 30 de marzo de 2025 y representa un paso fundamental en la evolución del marco normativo de protección de datos en Perú. Además de reemplazar la versión de 2013, aborda de más detalladamente cuestiones que en el pasado generaban incertidumbre, estableciendo directrices claras sobre las responsabilidades de quienes manejan datos personales. Su objetivo no solo es armonizar la normativa nacional con los estándares internacionales, sino también ofrecer mecanismos de control más eficaces para garantizar que los derechos de los ciudadanos sean protegidos en un entorno digital en constante transformación.

Expansión del Ámbito de Aplicación Territorial

Uno de los cambios más relevantes es la extensión del alcance de la normativa más allá de las fronteras peruanas. Las empresas extranjeras que ofrezcan bienes o servicios a ciudadanos peruanos o realicen análisis de su comportamiento (incluyendo la elaboración de perfiles y segmentación de usuarios) estarán sujetas a la normativa peruana. Esta ampliación del marco legal busca evitar vacíos regulatorios y garantizar que el tratamiento de los datos personales de los peruanos se realice bajo estándares adecuados, sin importar dónde se encuentren los responsables de dicho tratamiento. Para ello, se exige que estas empresas designen un representante en Perú, quien servirá como enlace con la Autoridad Nacional de Protección de Datos Personales (ANPDP).

Principios de Transparencia y Responsabilidad Proactiva

El nuevo reglamento refuerza los principios fundamentales que rigen el tratamiento de datos personales. La transparencia cobra un papel central, obligando a que la información sea clara, accesible y comprensible para los titulares. Esto implica detallar con precisión los fines, la base legal del tratamiento, los plazos de conservación y los derechos que pueden ejercer los ciudadanos sobre su información. Por otro lado, la responsabilidad proactiva se convierte en un pilar esencial para las empresas, exigiéndoles no solo cumplir con la normativa, sino también demostrarlo a través de políticas internas, medidas de seguridad y auditorías que evidencien su compromiso con la protección de datos personales.

Protección en el Flujo Transfronterizo de Datos

Con el objetivo de garantizar la seguridad en la transferencia de datos fuera del territorio nacional, se han definido criterios claros para determinar si un país receptor ofrece un nivel adecuado de protección. Para ello, la ANPDP evaluará la existencia de regulaciones específicas sobre privacidad, la eficacia de sus mecanismos de supervisión y sanción, y la posibilidad de que los ciudadanos afectados ejerzan sus derechos de manera efectiva.
Además, las empresas deberán implementar cláusulas contractuales, certificaciones o garantías adicionales cuando transfieran datos a países que no cumplan con estos requisitos, asegurando así un estándar mínimo de protección internacional.

Nuevas Normas para la Publicidad y la Prospección Comercial

El reglamento endurece las reglas sobre la recolección y uso de datos con fines comerciales. Establece que, tras un primer contacto, si el titular no otorga su consentimiento expreso, el tratamiento de sus datos con fines publicitarios debe cesar inmediatamente. Además, en caso de que los datos hayan sido obtenidos de fuentes accesibles al público, la empresa deberá informar al titular sobre su origen y garantizar su derecho a oponerse a su uso. Las empresas deberán implementar mecanismos efectivos para que los ciudadanos puedan revocar su consentimiento de manera sencilla y rápida, asegurando su derecho a decidir sobre el uso de su información en un plazo máximo de 10 días.

Reacción ante Incidentes de Seguridad

El nuevo reglamento impone exigencias más estrictas para la notificación de incidentes de seguridad que comprometan datos personales.Establece que las empresas deberán informar a la ANPDP dentro de las 48 horas siguientes a la detección del incidente, incluso si ya han tomado medidas correctivas internas. En el caso de incidentes digitales, será obligatorio reportarlo también al Centro Nacional de Seguridad Digital, con el fin de fortalecer la ciberseguridad en el país. Si la filtración de datos afecta los derechos de los titulares, estos deberán ser informados de manera clara y sin dilaciones injustificadas, detallando las medidas adoptadas para mitigar los efectos del incidente.

Creación de la Figura del Oficial de Protección de Datos Personales

Con el fin de fortalecer la gobernanza de la privacidad, el reglamento introduce la figura del Oficial de Protección de Datos Personales (ODP), cuya designación será obligatoria para empresas que manejen grandes volúmenes de datos, información sensible o cuyo tratamiento pueda comprometer derechos fundamentales. El ODP deberá garantizar la adecuada implementación de la normativa, capacitar a los equipos internos y servir de punto de contacto con la ANPDP. Su designación deberá notificarse dentro de los 15 días posteriores a su nombramiento, y sus datos de contacto deberán ser fácilmente accesibles para los ciudadanos.

Refuerzo en las Medidas de Seguridad

El reglamento exige que las empresas implementen medidas de seguridad más sólidas para evitar vulneraciones de datos personales. Será obligatorio contar con un documento de seguridad aprobado formalmente, que deberá incluir protocolos de acceso, control de privilegios, registros de auditoría y verificación periódica de los mecanismos de protección. Asimismo, establece la obligación de realizar copias de seguridad semanales, garantizando la recuperación de datos en caso de incidentes. Estas medidas buscan mitigar riesgos y fortalecer la capacidad de respuesta ante posibles ataques o brechas de seguridad.

Derecho de Portabilidad de Datos

El reglamento introduce el derecho a la portabilidad, lo que permite a los titulares solicitar la transferencia de sus datos personales en un formato estructurado y de lectura automatizada. Este derecho es aplicable cuando el tratamiento de datos se basa en el consentimiento del titular o en la ejecución de un contrato, facilitando la interoperabilidad entre servicios y aumentando el control de los ciudadanos sobre su información.

Régimen Sancionador y Atenuantes

El nuevo reglamento establece un régimen sancionador más preciso, cuantificando las multas en función a la gravedad de la infracción y regulando el concepto de reincidencia. Como atenuantes, se considerará la implementación previa de códigos de conducta y evaluaciones de impacto, siempre que estos sean acreditados antes del inicio de un procedimiento sancionador.

Conclusión

El nuevo Reglamento de la Ley de Protección de Datos Personales representa un cambio significativo en el ecosistema legal y empresarial del país. Su enfoque en la protección transfronteriza, la seguridad de los datos y el refuerzo de los derechos de los ciudadanos obliga a las empresas a adoptar un modelo más proactivo en la gestión de la privacidad. Ante su entrada en vigor en marzo de 2025, es crucial que las organizaciones inicien cuanto antes su adecuación a estas exigencias, garantizando el cumplimiento normativo, y la confianza y lealtad de sus clientes en un mundo donde la privacidad es un activo estratégico.