Nuevo Reglamento de la Ley de Protección de Datos Personales

A fin de marzo de 2025 entró en vigor el nuevo Reglamento de la Ley de Protección de Datos Personales, publicado mediante Decreto Supremo No. 016-2024-JUS.

La mayoría de las obligaciones son exigibles a partir del 30 de marzo de 2025. No obstante, se ha establecido un plazo mayor para la designación del Oficial de Datos Personales y la incorporación del derecho de portabilidad.

Principales modificaciones del Nuevo Reglamento de la Ley de Protección de Datos Personales:

• Principios rectores: Se añaden los principios de transparencia y responsabilidad proactiva como nuevos principios rectores.
• Aplicación extraterritorial: Se contemplan situaciones específicas en las que la norma aplica extraterritorialmente, por ejemplo, en la oferta de bienes y servicios en territorio nacional, la elaboración de perfiles, análisis de comportamiento, etc.
• Cumplimiento por entidades no domiciliadas: Se establecen lineamientos para el cumplimiento de la normativa por parte de entidades no domiciliadas, mediante la designación de un representante.
• Notificación de incidentes de seguridad: Se incorpora la obligación de notificar los incidentes de seguridad a la Autoridad Nacional de Protección de Datos Personales dentro de las 48 horas posteriores a la detección de un incidente de seguridad.  
• Documento de seguridad: Debe ser aprobado formalmente y contar con fecha cierta. El documento de seguridad debe contener políticas internas para la gestión y el tratamiento de los datos personales, así como un inventario de datos personales y de los sistemas empleados para el tratamiento debiendo especificar si se trata datos sensibles.
• Oficial de Datos Personales: Se incluye la obligación de contar con un oficial de datos personales en el sector privado, la cual es aplicable para las empresas que traten grandes volúmenes de datos personales, que puedan afectar a un gran número de personas o que manejen datos sensibles.
  Esta obligación es progresiva, de acuredo con el siguiente detalle:
  

• Portabilidad de Datos: Se incorpora el derecho de portabilidad de datos personales, como una manifestación del derecho de acceso. Esta obligación es exigible a partir del 30 de setiembre de 2025.
• Consentimiento para fines publicitarios: Se valida el primer contacto para obtener el consentimiento con fines publicitarios y de prospección comercial.
• Plataforma digital "Yo cuido mis datos personales": Se ordena la creación de la plataforma digital “Yo cuido mis datos personales” para la atención de reclamaciones y denuncias relacionadas con la protección de datos personales.
• Evaluación de impacto relativo a la protección de datos personales: De manera facultativa y previa al tratamiento de datos personales, el titular del banco de datos puede realizar una evaluación de impacto relativo a la protección de datos personales.