reglamento protección datos personales

El 30 de noviembre de 2024 marcó un punto de inflexión para la privacidad de datos personales en el Perú. Con la publicación del Decreto Supremo N.° 016-2024-JUS, se aprobó el nuevo Reglamento de la Ley N.° 29733, derogando la normativa anterior y abriendo una etapa de mayores exigencias y mayor responsabilidad empresarial.

Es importante hacer notar, que esta actualización no es meramente técnica: redefine cómo deben operar las empresas (dentro y fuera del Perú) cuando tratan datos personales.

A continuación, se presenta un análisis claro y práctico de los cambios más relevantes:

  1. Alcance extraterritorial

Por primera vez, la regulación peruana tendrá efecto más allá del territorio nacional.

El Reglamento se aplicará a empresas ubicadas en el extranjero cuando:

  • Dirijan ofertas de bienes o servicios a personas ubicadas en el Perú.
  • Analicen el comportamiento o elaboren perfiles de titulares ubicados en el Perú.

Es preciso añadir, que este cambio alinea al Perú con estándares internacionales, y exige a empresas globales adaptar sus políticas para evitar contingencias futuras.

  1. Representante en el Perú

Toda empresa (local o extranjera) deberá designar un representante de tratamiento en el Perú.

Es de hacer notar, que este representante será el canal formal ante la Autoridad Nacional de Protección de Datos Personales.

La designación puede realizarse mediante:

  • Su inclusión visible en la Política de Privacidad.
  • Una comunicación directa a la Autoridad.
  1. Mayor transparencia hacia los titulares

Es importante mencionar, que se debe informar al ciudadano no solo lo básico, sino también:

  • Si sus datos serán sometidos a decisiones automatizadas o perfiles.
  • La fuente de los datos, cuando no provengan directamente del titular.

La tendencia es clara: el Reglamento exige más claridad, más detalle y menos opacidad en el tratamiento.

  1. Protección reforzada para menores de edad

Toda plataforma o servicio digital deberá realizar verificaciones razonables para confirmar la identidad de quien otorga el consentimiento en nombre de un menor.

Tal obligación, implica invertir en mecanismos de control más sofisticados, especialmente en apps, plataformas educativas y videojuegos.

  1. Tratamiento de datos para fines publicitarios

El Reglamento permite obtener el consentimiento para publicidad durante el primer contacto con el titular.

Sin embargo, se exige mayor transparencia: cualquier persona podrá pedir que se revele la fuente de donde se obtuvo su información.

  1. Incidentes de seguridad: notificación obligatoria en 48 horas

Resulta imperioso destacar, que la gestión de incidentes se vuelve una obligación crítica: La empresa deberá notificar a la Autoridad dentro de 48 horas de tener conocimiento del incidente.

También deberá notificar al titular afectado en el mismo plazo, cuando sus derechos puedan verse comprometidos. Y, adicionalmente, documentar cada incidente en detalle.

  1. Oficial de Cumplimiento de Datos Personales

Se introduce la obligación de designar un Oficial de Datos Personales, especialmente cuando:

  • Se tratan grandes volúmenes de datos.
  • Se tratan datos sensibles.

Los grupos empresariales podrán designar un único Oficial para toda la organización, lo que abre oportunidades de estandarización.

  1. Nuevas medidas de seguridad obligatorias

Los responsables deberán:

  • Elaborar un inventario de datos personales y sistemas utilizados.
  • Realizar copias de seguridad semanales, salvo que no existan actualizaciones.
  1. Derecho de portabilidad

Los titulares podrán solicitar que sus datos sean transmitidos directamente a otra entidad cuando:

  • El tratamiento se base en consentimiento o contrato.
  • El tratamiento se ejecute por medios automatizados.

Este derecho renueva la obligación de las empresas de estructurar sus bases de datos de forma interoperable.

  1. Atenuantes de responsabilidad

El Reglamento reconoce como atenuantes:

  • La implementación de Códigos de Conducta.
  • La realización de una Evaluación de Impacto en Datos Personales (EIPD).

Cabe destacar que estos mecanismos, además de reducir riesgos, podrían limitar sanciones en procesos administrativos.

Reflexión final

Este Reglamento no es una simple actualización; redefine la forma en que las empresas deben gestionar la información en un entorno donde la privacidad es un valor estratégico. La transformación digital exige orden, trazabilidad y cumplimiento riguroso.

Y aquí viene lo esencial: no prepararse a tiempo, será más costoso que cumplir.

En Gálvez Monteagudo asesoramos a empresas en la adecuación integral al nuevo Reglamento, desde diagnósticos hasta la implementación de políticas, inventarios y procedimientos.

¿Quieres que tu organización cumpla con este reglamento? Estamos a tu plena disposición para ayudarte a evitar riesgos y fortalecer la confianza de tus clientes.