El uso de formularios web, comercio electrónico, videovigilancia, sistemas de recursos humanos, CRM y servicios en la nube ha incrementado la información personal que administran las empresas. En este contexto, el reglamento de protección de datos personales exige revisar no solo los documentos legales, sino también cómo los datos se recopilan, almacenan, comparten, utilizan y eliminan.
El Decreto Supremo N.° 016-2024-JUS aprobó el nuevo reglamento de protección de datos personales, vigente desde el 31 de marzo de 2025. La norma desarrolla la Ley 29733 y reemplaza al reglamento de 2013, incorporando reglas sobre incidentes de seguridad, portabilidad, publicidad, bancos de datos, encargados de tratamiento y Oficial de Datos Personales.
Cumplir el reglamento de protección de datos personales no consiste únicamente en publicar una política de privacidad. La empresa debe identificar sus tratamientos, justificar cada finalidad, obtener consentimientos válidos cuando correspondan, controlar a sus proveedores y demostrar medidas de seguridad adecuadas.
Esta guía explica las principales obligaciones y propone una ruta práctica para que las empresas puedan evaluar su nivel de cumplimiento.
También te puede interesar: Contrato de servicio logístico: cláusulas para proteger las operaciones de tu empresa
¿Qué regula el reglamento de protección de datos personales?
El reglamento de protección de datos personales establece cómo debe aplicarse la Ley 29733 en entidades públicas, empresas privadas y personas que realizan tratamiento de información personal.
Su finalidad es garantizar el derecho de cada persona a controlar el uso de los datos que la identifican o pueden hacerla identificable, especialmente frente a los riesgos del entorno digital.
La ley de protección de datos personales y su reglamento se aplican a nombres, documentos de identidad, teléfonos, correos, imágenes, datos biométricos, información financiera, historial laboral y datos de salud, tanto en bases físicas como digitales.
Para una empresa, el reglamento de protección de datos personales puede intervenir en procesos comerciales, laborales, tecnológicos, logísticos y administrativos. Los datos de clientes, trabajadores, postulantes, proveedores y visitantes deben tratarse con una finalidad legítima, bajo medidas de seguridad y durante el tiempo necesario.
Ley 29733 y nuevo reglamento: ¿Qué cambió para las empresas?
La Ley 29733 continúa siendo la norma principal. El reglamento de protección de datos personales desarrolla sus principios, obligaciones y procedimientos.
Por eso, cuando una empresa busca un artículo de la ley de protección de datos personales, debe revisar tanto la ley como la disposición reglamentaria que explica su aplicación práctica.
Entre los cambios más relevantes se encuentran:
- La notificación de determinados incidentes de seguridad.
- La incorporación del derecho de portabilidad.
- La figura del Oficial de Datos Personales.
- Nuevas exigencias para el documento de seguridad.
- Reglas sobre publicidad y prospección comercial.
- Mayores controles para responsables y encargados del tratamiento.
- Disposiciones para el uso de datos en entornos digitales.
El reglamento de protección de datos personales también puede alcanzar a responsables que no estén establecidos en el Perú cuando ofrecen bienes o servicios a personas ubicadas en el país o analizan su comportamiento.
Esto resulta relevante para plataformas digitales y empresas extranjeras que recopilan información de usuarios peruanos.
Protección de datos personales en internet: Principales riesgos
La protección de datos personales en internet exige revisar formularios, chats, cuentas de usuario, compras, suscripciones, campañas y herramientas de analítica.
El primer riesgo aparece cuando se solicitan datos sin explicar responsable, finalidad, destinatarios y derechos. El reglamento de protección de datos personales exige que el consentimiento, cuando sea necesario, sea libre, previo, expreso, inequívoco e informado.
Otro riesgo surge al integrar servicios externos. Un proveedor de hosting, software o almacenamiento puede actuar como encargado del tratamiento. La relación debe documentar:
- Las instrucciones del responsable.
- Las finalidades autorizadas.
- Las medidas de seguridad.
- La obligación de confidencialidad.
- Las condiciones de subcontratación.
- La devolución o eliminación de la información.
La protección de datos personales en internet también implica controlar accesos, privilegios, respaldos y registros de actividad. Usar una plataforma reconocida no elimina la responsabilidad de la empresa sobre los datos que administra.
Obligaciones del reglamento de protección de datos personales
Las obligaciones dependen de los tratamientos, del tipo de información y del tamaño de la empresa. Sin embargo, existen áreas mínimas que deberían formar parte de todo programa de cumplimiento del reglamento de protección de datos personales.
Identificar y registrar los bancos de datos personales
El reglamento de protección de datos personales obliga a las entidades públicas y privadas que crean, modifican o cancelan bancos de datos personales a inscribir esos actos en el Registro Nacional de Protección de Datos Personales.
La inscripción, modificación y cancelación son gratuitas, y la información registrada debe mantenerse actualizada.
Una empresa puede tener bancos de datos de:
- Clientes
- Trabajadores
- Postulantes
- Proveedores
- Usuarios de plataformas digitales
- Visitantes
- Videovigilancia
- Campañas comerciales
Antes del registro conviene elaborar un inventario con la finalidad, las categorías de datos, los destinatarios, los sistemas utilizados, los plazos de conservación y las transferencias internacionales.
En el reglamento de protección de datos personales, registrar un banco sin revisar la operación real puede generar inconsistencias. Lo declarado ante la autoridad debe coincidir con los formularios, contratos, avisos de privacidad y procedimientos internos.
Informar y obtener un consentimiento válido
La protección de datos personales exige transparencia. Antes de recopilar información, la empresa debe brindar las condiciones previstas en la Ley 29733 y conservar evidencia de que cumplió con el deber de informar.
El reglamento de protección de datos personales precisa que el consentimiento no es válido si se obtiene mediante presión, información incompleta o condiciones que obligan a entregar datos innecesarios.
Las casillas premarcadas, los textos ambiguos o las autorizaciones generales pueden resultar insuficientes para acreditar una manifestación válida de voluntad. En publicidad y prospección comercial, el tratamiento es lícito cuando el consentimiento se obtiene directamente del titular.
Puede realizarse un primer contacto para solicitarlo. Si no se obtiene, no corresponde efectuar un nuevo contacto para esa finalidad. La empresa también debe ofrecer un mecanismo sencillo y gratuito para que la persona pueda:
- Negarse al tratamiento.
- Revocar su consentimiento.
- Oponerse al uso de sus datos.
- Solicitar que se detengan las comunicaciones comerciales.
Esta solicitud debe atenderse dentro del plazo máximo de diez días.
Contar con un documento de seguridad actualizado
El reglamento de protección de datos personales obliga al responsable a contar con un documento de seguridad aprobado formalmente, con fecha cierta y actualizado.
Este documento debe incluir:
- Gestión de accesos.
- Asignación y revisión de privilegios.
- Inventario de datos personales.
- Inventario de sistemas y plataformas.
- Controles para el almacenamiento.
- Procedimientos de respaldo y recuperación.
- Reglas de conservación y eliminación.
- Políticas aplicables durante todo el ciclo de vida del dato.
El documento debe reflejar quién puede acceder, cómo se otorgan y retiran permisos y cómo se eliminan los datos que dejaron de ser necesarios.
La norma exige revisar los privilegios de acceso, como mínimo, cada seis meses. También establece que determinados registros de interacción lógica se conserven durante al menos dos años y estén disponibles para una eventual fiscalización.
Regular a proveedores y encargados del tratamiento
Cuando un tercero procesa información por cuenta de la empresa, el reglamento de protección de datos personales exige definir la relación entre el responsable y el encargado.
El contrato debe establecer:
- La finalidad autorizada.
- Las instrucciones de la empresa.
- Las medidas de seguridad.
- La confidencialidad.
- La atención de incidentes.
- Las condiciones de subcontratación.
- La devolución o supresión de la información.
Esta revisión es importante en servicios de nómina, CRM, call center, almacenamiento, marketing, videovigilancia y plataformas tecnológicas.
El proveedor no debe utilizar los datos para fines propios ni realizar tratamientos que no hayan sido autorizados.
Si la información se envía al extranjero, deben revisarse las reglas de flujo transfronterizo. Cuando el país receptor no ofrece un nivel adecuado de protección, el exportador debe implementar garantías para asegurar el tratamiento correcto.
Atender derechos y preparar la portabilidad
La ley de protección de datos personales reconoce los derechos de información, acceso, rectificación, cancelación y oposición.
La empresa debe contar con canales, responsables y plazos para responder, además de conservar evidencia de cada atención.
El reglamento de protección de datos personales incorporó la portabilidad como una manifestación del derecho de acceso.
En determinados tratamientos automatizados basados en consentimiento o contrato, el titular puede solicitar sus datos en un formato:
- Estructurado.
- De uso común.
- De lectura mecánica.
- Transferible a otro responsable cuando sea técnicamente posible.
La portabilidad ya se encuentra vigente. Por ello, las empresas deben revisar si sus sistemas permiten localizar y entregar la información sin comprometer datos de terceros.
Cómo reportar una filtración de datos personales en Perú
Uno de los cambios más importantes del reglamento de protección de datos personales es la gestión de incidentes de seguridad.
Cuando una vulneración expone grandes volúmenes, afecta a muchas personas, compromete datos sensibles o puede perjudicar otros derechos, el responsable debe notificar a la Autoridad Nacional de Protección de Datos Personales dentro de las 48 horas desde que toma conocimiento.
La comunicación debe describir:
- La naturaleza del incidente.
- Los tipos de datos comprometidos.
- El número aproximado de personas afectadas.
- Las posibles consecuencias.
- El punto de contacto.
- Las medidas adoptadas o propuestas.
Si el incidente afecta otros derechos del titular, también debe informársele dentro de 48 horas, empleando un lenguaje sencillo y claro.
Cuando el incidente ocurre en el entorno digital, la notificación también debe dirigirse al Centro Nacional de Seguridad Digital. Además, todo incidente debe documentarse, incluso cuando haya sido controlado internamente.
Para cumplir el reglamento de protección de datos personales, la empresa necesita un protocolo previo con responsables, criterios de evaluación, canales de escalamiento y modelos de reporte. Esperar a que ocurra una filtración para definir estas responsabilidades puede impedir que se cumpla el plazo legal.
Oficial de Datos Personales Perú: ¿Cuándo es obligatorio?
El reglamento de protección de datos personales exige designar un Oficial de Datos Personales en las entidades públicas y en organizaciones que realizan tratamientos:
- De grandes volúmenes de datos.
- Que pueden afectar a numerosas personas.
- Que incluyen datos sensibles.
- Que pueden perjudicar derechos o libertades.
- Que forman parte de la actividad principal de la empresa.
El Oficial de Datos Personales debe asesorar, supervisar el cumplimiento, promover la capacitación, cooperar con la autoridad y actuar como punto de contacto. Puede ser interno o externo y no necesariamente debe dedicarse de forma exclusiva a esa función. Sin embargo, debe contar con conocimientos acreditados y actuar con independencia.
La implementación es progresiva para las empresas privadas comprendidas en estos supuestos:
- Empresas con ventas anuales superiores a 2300 UIT: La obligación está vigente desde el 30 de noviembre de 2025.
- Empresas medianas con ventas superiores a 1700 UIT y hasta 2300 UIT: La obligación entra en vigor el 30 de noviembre de 2026.
- Pequeñas empresas con ventas superiores a 150 UIT y hasta 1700 UIT: La obligación entra en vigor el 30 de noviembre de 2027.
- Microempresas con ventas de hasta 150 UIT y otros equivalentes: La obligación entra en vigor el 30 de noviembre de 2028.
Evaluación de impacto de datos personales
El reglamento de protección de datos personales regula la evaluación de impacto como una herramienta facultativa previa al tratamiento.
No constituye una obligación general para todas las empresas. Sin embargo, resulta especialmente recomendable cuando se tratan:
- Datos sensibles.
- Grandes volúmenes de información.
- Datos para elaborar perfiles.
- Información de niños y adolescentes.
- Datos de personas vulnerables.
- Información biométrica.
- Datos de geolocalización.
La evaluación permite identificar riesgos antes de implementar proyectos de biometría, inteligencia artificial, videovigilancia, salud digital o segmentación. En el reglamento de protección de datos personales, esta evaluación es facultativa, pero puede demostrar diligencia.
Para que resulte útil, debe describir el tratamiento, su necesidad, sus riesgos, las medidas de mitigación y los responsables del seguimiento.
Multas por protección de datos personales y fiscalización
El reglamento de protección de datos personales clasifica las infracciones como leves, graves y muy graves.
Entre las conductas sancionables se encuentran:
- No actualizar bancos de datos.
- Incumplir medidas de seguridad.
- Tratar información sin consentimiento cuando sea necesario.
- Obstaculizar el ejercicio de derechos.
- No reportar incidentes cuando corresponda.
- No designar al Oficial de Datos Personales.
- Utilizar datos para finalidades no autorizadas.
- Negarse a entregar información durante una fiscalización.
La Ley 29733 contempla multas desde 0.5 hasta 100 UIT, según la gravedad de la infracción. A fines de 2025, la autoridad aprobó una metodología actualizada para el cálculo de multas, incorporando criterios técnicos, agravantes y atenuantes.
La fiscalización puede ser presencial o realizarse en gabinete mediante requerimientos y evaluación remota. Por ello, el cumplimiento del reglamento de protección de datos personales debe demostrarse mediante contratos, consentimientos, registros, políticas, inventarios, reportes y evidencia de capacitación.
Checklist para cumplir el reglamento de protección de datos personales
Una adecuación ordenada puede comenzar con las siguientes acciones:
- Mapear los tratamientos: Identificar qué datos se obtienen, de quién proceden, para qué se utilizan, en qué sistemas se almacenan y con qué proveedores se comparten.
- Inventariar y registrar los bancos: Verificar que los bancos existentes estén inscritos, que su finalidad sea correcta y que la información declarada se encuentre actualizada.
- Revisar avisos y consentimientos: Alinear formularios, contratos, páginas web, campañas comerciales y procesos laborales con el deber de información.
- Actualizar contratos con proveedores: Incorporar obligaciones sobre seguridad, incidentes, subcontratación, confidencialidad, devolución y eliminación.
- Aprobar el documento de seguridad: Definir accesos, privilegios, respaldos, trazabilidad, conservación y procedimientos internos.
- Implementar derechos y portabilidad: Crear canales, responsables, plazos y evidencias para la atención de solicitudes.
- Preparar un protocolo de incidentes: Establecer cómo detectar, evaluar, documentar y notificar una vulneración dentro de las 48 horas.
- Evaluar la designación del Oficial: Considerar el volumen, la sensibilidad de los datos, la actividad principal, las ventas y el cronograma aplicable.
- Capacitar al personal: Incluir a recursos humanos, marketing, ventas, tecnología, administración y atención al cliente.
- Realizar revisiones periódicas: El reglamento de protección de datos personales exige un cumplimiento continuo. Los procesos deben revisarse cuando cambien los sistemas, proveedores, finalidades o datos tratados.
Preguntas frecuentes sobre el reglamento de protección de datos personales
¿Cuándo entró en vigencia?
El nuevo reglamento de protección de datos personales entró en vigencia el 31 de marzo de 2025 y reemplazó al reglamento aprobado en 2013.
¿Toda empresa debe registrar sus bancos de datos?
Las empresas que crean, modifican o cancelan bancos de datos personales deben tramitar su inscripción o actualización, salvo las excepciones legales aplicables.
¿Toda empresa debe designar un Oficial de Datos Personales?
No. Depende del tipo y volumen del tratamiento, del uso de datos sensibles, de la actividad principal y del cronograma progresivo por nivel de ventas.
¿La evaluación de impacto es obligatoria?
El reglamento de protección de datos personales la regula como facultativa, pero resulta recomendable para tratamientos sensibles, perfiles, personas vulnerables o grandes volúmenes.
¿Qué debe hacer una empresa ante una filtración?
Debe contener el incidente, documentarlo, evaluar su impacto y determinar si corresponde notificar a la autoridad, al Centro Nacional de Seguridad Digital y a las personas afectadas dentro de 48 horas.
¿Cuándo solicitar asesoría en protección de datos personales?
Una empresa debería solicitar apoyo legal cuando no identifica sus bancos, utiliza formularios desactualizados, comparte información con proveedores o carece de un protocolo de incidentes.
También conviene revisar el reglamento de protección de datos personales antes de:
- Lanzar una página o plataforma digital.
- Implementar sistemas biométricos.
- Migrar información a la nube.
- Realizar campañas comerciales.
- Transferir datos al extranjero.
- Contratar proveedores tecnológicos.
- Responder una fiscalización.
- Atender un incidente de seguridad.
En Lexy Asesores Legales ayudamos a evaluar procesos, identificar obligaciones, elaborar políticas, preparar cláusulas de consentimiento y avisos de privacidad, registrar bancos de datos e implementar medidas de cumplimiento con nuestra Asesoría en Protección de Datos Personales.
Una revisión preventiva del reglamento de protección de datos personales reduce contingencias y fortalece la confianza de clientes, trabajadores y proveedores.
