Nuevo Reglamento de la Ley de Protección de Datos Personales

El 30 de noviembre de 2024, se publicó en el Diario Oficial “El Peruano” el Decreto Supremo No. 016-2024-JUS, mediante el cual se aprobó el Reglamento de la Ley No. 29733, Ley de Protección de Datos Personales.

Principales modificaciones del Nuevo Reglamento de la Ley de Protección de Datos Personales:

• Principios rectores: Se añaden los principios de transparencia y responsabilidad proactiva como nuevos principios rectores.
• Aplicación extraterritorial: Se contemplan situaciones específicas en las que la norma aplica extraterritorialmente, por ejemplo, en la oferta de bienes y servicios en territorio nacional, la elaboración de perfiles, análisis de comportamiento, etc.
• Cumplimiento por entidades no domiciliadas: Se establecen lineamientos para el cumplimiento de la normativa por parte de entidades no domiciliadas, mediante la designación de un representante.
• Notificación de incidentes de seguridad: Se incorpora la obligación de notificar los incidentes de seguridad a la Autoridad Nacional de Protección de Datos Personales dentro de las 48 horas posteriores a la detección de un incidente de seguridad.  
• Documento de seguridad: Debe ser aprobado formalmente y contar con fecha cierta. El documento de seguridad debe contener políticas internas para la gestión y el tratamiento de los datos personales, así como un inventario de datos personales y de los sistemas empleados para el tratamiento debiendo especificar si se trata datos sensibles.
• Oficial de Datos Personales: Se incluye la obligación de contar con un oficial de datos personales en el sector privado, la cual es aplicable para las empresas que traten grandes volúmenes de datos personales, que puedan afectar a un gran número de personas o que manejen datos sensibles.
• Portabilidad de Datos: Se incorpora el derecho de portabilidad de datos personales, como una manifestación del derecho de acceso.
• Consentimiento para fines publicitarios: Se valida el primer contacto para obtener el consentimiento con fines publicitarios y de prospección comercial.
• Plataforma digital "Yo cuido mis datos personales": Se ordena la creación de la plataforma digital “Yo cuido mis datos personales” para la atención de reclamaciones y denuncias relacionadas con la protección de datos personales.
• Evaluación de impacto relativo a la protección de datos personales: De manera facultativa y previa al tratamiento de datos personales, el titular del banco de datos puede realizar una evaluación de impacto relativo a la protección de datos personales.

Es importante tener en cuenta que la mayoría de las obligaciones del Reglamento entrarán en vigor en 120 días calendario a partir del 30 de noviembre. No obstante, se ha establecido un plazo mayor para la designación del Oficial de Datos Personales y la incorporación de la portabilidad.