Después de años de espera y múltiples intentos por modernizar la normativa peruana en materia de protección de datos, el 30 de marzo de 2025 marca un hito: entra en vigor el nuevo Reglamento de la Ley Nº 29733, aprobado por Decreto Supremo N° 016-2024-JUS. Con él, el Perú da un paso decidido hacia la adopción de estándares más cercanos al Reglamento General de Protección de Datos europeo, apuntando a garantizar una tutela efectiva del derecho fundamental a la protección de datos personales, especialmente en entornos digitales.

Este nuevo Reglamento no solo actualiza conceptos, sino que también introduce obligaciones concretas, modifica el régimen de sanciones e incorpora nuevos supuestos de infracción. Su objetivo es claro: garantizar un tratamiento adecuado de los datos personales, ya sea por entidades públicas, privadas o personas naturales, especialmente cuando el tratamiento implique el uso de tecnologías digitales. Además, incorpora criterios atenuantes de responsabilidad —como la implementación previa de evaluaciones de impacto o medidas proactivas— y fomenta un enfoque preventivo, promoviendo que las organizaciones no solo reaccionen ante incidentes, sino que gestionen riesgos desde el diseño y por defecto.

Con la entrada en vigor del nuevo Reglamento, todas las organizaciones que traten datos personales deberán revisar sus políticas, procesos y documentación para asegurar su adecuación al nuevo marco normativo. La implementación de medidas concretas y verificables será clave no solo para cumplir con la Ley, sino también para demostrar diligencia ante eventuales fiscalizaciones. A continuación, se detallan las principales obligaciones que impone esta nueva normativa:

1. Documento de Seguridad: Uno de los pilares de esta nueva etapa es la obligación de contar con un Documento de Seguridad formalmente aprobado, con fecha cierta y de cumplimiento obligatorio para todo el personal. Este documento debe incorporar un inventario de datos personales, el cual consiste en una relación detallada de los datos que maneja la organización, indicando su ubicación, finalidades, medios de tratamiento, responsables y destinatarios. El inventario permite tener un mapa claro de qué datos existen, dónde se almacenan y cómo se protegen, lo que facilita la identificación de riesgos y la implementación de medidas de seguridad adecuadas. Además, el documento debe establecer controles sobre quiénes acceden a los programas, con qué privilegios y conservar registros de interacciones (logs) por al menos dos años.

2. Notificación y documentación de incidentes de seguridad: La notificación de incidentes será obligatoria ante la Autoridad Nacional de Protección de Datos Personales dentro de las 48 horas de haber tenido conocimiento de los hechos. Además, estos incidentes deben documentarse detalladamente, incluso si se considera que ya fueron resueltos. Si el incidente afecta los derechos de los titulares, también deben ser informados dentro del mismo plazo. Se sanciona con una multa de hasta 50 UIT la falta de notificación.

3. Actualización de formatos de consentimiento: El consentimiento deberá ser más transparente e informado. Ahora se exige indicar al titular si sus datos serán usados para elaboración de perfiles o decisiones automatizadas, así como la fuente de donde se obtuvieron, si no provienen directamente del titular.

4. Primer contacto para fines publicitarios: Una de las novedades más relevantes del nuevo Reglamento es la regulación del primer contacto telefónico para solicitar el consentimiento con fines publicitarios o de prospección comercial. Este solo será válido si los datos utilizados han sido obtenidos de una fuente lícita y si la llamada tiene como única finalidad solicitar el consentimiento del ciudadano, sin incluir ofertas específicas de productos o servicios antes de obtenerlo. El consentimiento debe ser previo a cualquier acción comercial, y en caso el titular manifieste su negativa a ser contactado con tales fines, no podrá ser llamado nuevamente.

5. Designación de un Oficial de Datos Personales: Otra obligación destacada es la designación de un Oficial de Datos Personales en determinados supuestos, que entra en vigencia a partir del 30 de noviembre. Esta figura será obligatoria para entidades del Estado, organizaciones cuya actividad principal implique el tratamiento de datos sensibles, o aquellas que manejen grandes volúmenes de datos personales —ya sea por su cantidad, tipo o posible impacto en los derechos de los titulares—. El Oficial puede ser un empleado interno o un consultor externo, no requiere dedicación exclusiva, pero sí debe contar con experiencia y conocimientos acreditados en la materia.

6. Derecho de Portabilidad: El nuevo Reglamento incorpora el derecho de portabilidad como una facultad reconocida al titular de los datos personales para recibir su información en un formato estructurado, de uso común y lectura mecánica, y trasladarla a otro responsable del tratamiento sin impedimentos. Para cumplir con el nuevo derecho de portabilidad reconocido en el Reglamento, las organizaciones deberán adaptar sus procedimientos internos de atención de derechos ARCO. Esto implica actualizar los formularios, manuales y protocolos que permiten a los titulares solicitar y recibir sus datos personales en un formato estructurado, de uso común y lectura mecánica, así como transmitirlos a otro responsable del tratamiento si así lo desean.

A modo de reflexión final, la protección de datos personales ya no es solo una cuestión técnica o legal: es una responsabilidad ética y estratégica. Las organizaciones que se anticipen a cumplir con este nuevo marco normativo no solo evitarán sanciones, sino que también fortalecerán la confianza de sus clientes, usuarios y ciudadanos. La cuenta regresiva terminó. Ahora, el cumplimiento será obligatorio y bajo observación.

Alejandro Rafael Morales Cáceres, Abogado Asociado Principal y Líder del Área de Derecho y Nuevas Tecnologías de Torres y Torres Lara Abogados

Fuente: Expreso