La protección de datos personales en el Perú es un derecho fundamental reconocido por la Constitución. Este derecho está regulado principalmente por la Ley de Protección de Datos Personales (Ley Nº 29733) y su reglamento. En marzo de 2024, el gobierno aprobó un nuevo reglamento mediante el Decreto Supremo N.º 016-2024-JUS, el cual introdujo cambios significativos que alinean la normativa peruana con estándares internacionales de privacidad.
La Autoridad Nacional de Protección de Datos Personales (ANPD), dependiente del Ministerio de Justicia, es la entidad encargada de supervisar el cumplimiento de esta legislación, incluyendo facultades de fiscalización y sanción. Este artículo analiza las principales implicancias del nuevo reglamento, el rol de la ANPD, las consecuencias legales del incumplimiento, su conexión con el compliance corporativo y su vínculo con otras normativas vigentes como la Ley Nº 31669.
Nuevo reglamento de la Ley de Protección de Datos Personales
El nuevo reglamento de la Ley Nº 29733, aprobado mediante el Decreto Supremo N.º 016-2024-JUS, reemplaza al anterior de 2013 e introduce una serie de innovaciones clave:
- Definición ampliada de datos personales, incluyendo información de geolocalización, identificadores en línea y otros datos sensibles relacionados con aspectos físicos o íntimos.
- Ámbito de aplicación extraterritorial, lo que significa que la ley aplica incluso a empresas extranjeras si recolectan datos personales mediante medios ubicados en el Perú.
- Nuevas obligaciones empresariales, como la designación obligatoria de un Oficial de Protección de Datos Personales (DPO) y la notificación de incidentes de seguridad dentro de las 48 horas a la ANPD.
Estos cambios obligan a las empresas a revisar y adaptar sus protocolos de privacidad, políticas internas y sistemas de gestión de datos personales.
Rol de la ANPD en la protección de datos
La Autoridad Nacional de Protección de Datos Personales (ANPD) es la entidad que garantiza la correcta aplicación de la Ley de Protección de Datos Personales. Entre sus funciones están:
- Fiscalizar a los responsables del tratamiento de datos.
- Instruir procedimientos sancionadores.
- Emitir resoluciones, guías técnicas y opiniones consultivas.
En 2024, la ANPD fiscalizó a 454 organizaciones, inició 133 procedimientos sancionadores y emitió 137 resoluciones en primera instancia, lo que demuestra una creciente actividad reguladora.
Consecuencias legales por el incumplimiento
El nuevo reglamento refuerza el régimen sancionador por infracciones en el tratamiento de datos personales. Las sanciones pueden ser:
- Infracciones leves, graves o muy graves, con multas que van desde 0.5 hasta 100 UIT (aproximadamente entre S/2,675 y S/535,000).
- Medidas correctivas como la suspensión del tratamiento de datos, bloqueo o eliminación de información personal vulnerada.
Estas sanciones buscan fomentar una cultura de respeto hacia los datos personales y prevenir filtraciones o usos indebidos de información.
Protección de datos corporativo
La protección de datos personales se ha convertido en un componente esencial del compliance corporativo. En la economía digital actual, los datos personales son un activo estratégico, y su gestión debe cumplir con estándares éticos y legales.
Las empresas deben incorporar políticas de privacidad claras, códigos de conducta y mecanismos de reporte y supervisión en sus programas de gobierno corporativo. La adopción de buenas prácticas en esta materia no solo evita sanciones, sino que también fortalece la confianza de clientes, inversionistas y entidades fiscalizadoras.
Este enfoque se complementa con otras normas peruanas recientes, como la Ley Nº 31669, que impulsa la participación de las MYPE en compras estatales, y que también exige a estas organizaciones adoptar prácticas de cumplimiento que incluyan la protección de datos como un eje transversal.
Conclusión
La actualización del reglamento de la Ley de Protección de Datos Personales marca un hito en la normativa peruana. El nuevo marco legal refuerza la necesidad de un cumplimiento riguroso por parte de empresas y entidades públicas, promoviendo una gestión responsable y segura de los datos personales.
Implementar un sistema de cumplimiento sólido en protección de datos ya no es una opción, sino una necesidad estratégica y legal. Las organizaciones que lo hagan no solo evitarán sanciones, sino que también consolidarán su reputación y competitividad en un entorno digital cada vez más exigente.
