Nuevo Reglamento de la Ley de Protección de Datos Personales

2024-12-03T18:30:00
Perú
Se introducen cambios importantes en las obligaciones, requisitos y sanciones para las empresas que realicen tratamiento de datos personales.
Nuevo Reglamento de la Ley de Protección de Datos Personales
3 de diciembre de 2024

A fin de marzo de 2025 entró en vigor el nuevo Reglamento de la Ley de Protección de Datos Personales, publicado mediante Decreto Supremo No. 016-2024-JUS.

La mayoría de las obligaciones son exigibles a partir del 30 de marzo de 2025. No obstante, se ha establecido un plazo mayor para la designación del Oficial de Datos Personales y la incorporación del derecho de portabilidad.

Principales modificaciones del Nuevo Reglamento de la Ley de Protección de Datos Personales:

  • Principios rectores: Se añaden los principios de transparencia y responsabilidad proactiva como nuevos principios rectores.
  • Aplicación extraterritorial: Se contemplan situaciones específicas en las que la norma aplica extraterritorialmente, por ejemplo, en la oferta de bienes y servicios en territorio nacional, la elaboración de perfiles, análisis de comportamiento, etc.
  • Cumplimiento por entidades no domiciliadas: Se establecen lineamientos para el cumplimiento de la normativa por parte de entidades no domiciliadas, mediante la designación de un representante.
  • Notificación de incidentes de seguridad: Se incorpora la obligación de notificar los incidentes de seguridad a la Autoridad Nacional de Protección de Datos Personales dentro de las 48 horas posteriores a la detección de un incidente de seguridad.  
  • Documento de seguridad: Debe ser aprobado formalmente y contar con fecha cierta. El documento de seguridad debe contener políticas internas para la gestión y el tratamiento de los datos personales, así como un inventario de datos personales y de los sistemas empleados para el tratamiento debiendo especificar si se trata datos sensibles.
  • Oficial de Datos Personales: Se incluye la obligación de contar con un oficial de datos personales en el sector privado, la cual es aplicable para las empresas que traten grandes volúmenes de datos personales, que puedan afectar a un gran número de personas o que manejen datos sensibles.
    Esta obligación es progresiva, de acuredo con el siguiente detalle:
Titular del banco de datos personalesFecha de entrada en vigor de la obligación
Empresas con ventas anuales superiores a 2,300 UIT30 de noviembre de 2025
Empresas medianas con ventas anuales superiores a 1,700 y hasta 2,300 UIT30 de noviembre de 2026
Pequeñas empresas con ventas anuales superiores a 150 UIT y hasta 1,700 UIT30 de noviembre de 2027
Microempresas con ventas anuales hasta 150 UIT30 de noviembre de 2028
  • Portabilidad de Datos: Se incorpora el derecho de portabilidad de datos personales, como una manifestación del derecho de acceso. Esta obligación es exigible a partir del 30 de setiembre de 2025.
  • Consentimiento para fines publicitarios: Se valida el primer contacto para obtener el consentimiento con fines publicitarios y de prospección comercial.
  • Plataforma digital "Yo cuido mis datos personales": Se ordena la creación de la plataforma digital “Yo cuido mis datos personales” para la atención de reclamaciones y denuncias relacionadas con la protección de datos personales.
  • Evaluación de impacto relativo a la protección de datos personales: De manera facultativa y previa al tratamiento de datos personales, el titular del banco de datos puede realizar una evaluación de impacto relativo a la protección de datos personales.
3 de diciembre de 2024