Protección de Datos Personales en Perú: nuevo reglamento y su impacto en las empresas peruanas

El nuevo reglamento de Protección de Datos Personales, vigente desde marzo de 2025, establece normas clave para la seguridad de la información.

El 28 de enero es el Día de la Protección de Datos Personales en nuestro país y este año cobra un significado especial con la reciente aprobación del nuevo Reglamento de la Ley de Protección de Datos Personales. A través del Decreto Supremo No. 016-2024-JUS, se introduce una normativa que entrará en vigor el 31 de marzo de 2025, reemplazando al reglamento publicado en 2013, y trae consigo una serie de cambios significativos para las empresas y organizaciones que manejan datos personales en el país.

Uno de los enfoques principales del nuevo reglamento es la adecuación del sistema de protección de datos al uso de tecnologías digitales. Una filtración de datos puede exponer información sensible, afectando derechos fundamentales como la privacidad e identidad y esto puede resultar en multas por parte de la Autoridad Nacional de Protección de Datos Personales (ANPDP). 

Para mitigar el daño, la ANPDP puede dictar medidas correctivas como el bloqueo de datos afectados mientras se resuelve el incidente o la supresión de datos filtrados cuando no sea posible revertir el acceso no autorizado. Con la nueva normativa, las empresas deberán adoptar medidas obligatorias como:

1. Notificación de incidentes de seguridad: Informar a la ANPDP sobre cualquier incidente de seguridad en datos personales, como máximo dentro de las 48 horas de haber tomado conocimiento o constancia de ello. Además, es importante mencionar que, si el incidente afecta directamente al titular de los datos, también se le deberá notificar en el mismo plazo.
2. Designación de un Oficial de Datos Personales (DPO): Nombrar a un responsable de la protección de datos, quien informará y asesorará sobre las obligaciones en materia de protección de datos, además, verificará el cumplimiento de las normas y políticas de protección de datos, y actuará como punto de contacto entre la organización y la ANPDP. Su rol es clave para garantizar que las empresas cumplan con las nuevas obligaciones y protejan adecuadamente los datos personales.
3. Procedimiento para el derecho de portabilidad de datos: Implementar un proceso para que los titulares puedan transferir sus datos.
4. Elaboración de un documento de seguridad: Crear un documento que detalle las medidas de seguridad implementadas. 

En cuanto a las inspecciones, aunque el reglamento no define una periodicidad fija, establece que estas pueden ser presenciales o en gabinete. Las inspecciones presenciales se realizan en las sedes de las empresas responsables del tratamiento, mientras que las inspecciones en gabinete implican el acceso y evaluación de manera remota, a través de medios digitales, de las actividades relacionadas con el manejo de datos. Para evitar sanciones y garantizar el cumplimiento, las empresas deben:

• Implementar un programa de formación en protección de datos personales.
• Actualizar sus políticas internas para adecuarse al nuevo reglamento.
• Realizar auditorías periódicas, tanto presenciales como digitales, para evaluar el manejo de los datos.

Este nuevo reglamento representa un avance significativo en la protección de datos personales en Perú, adaptándose a las nuevas tecnologías y estableciendo normas claras para el manejo de información personal. Por ello, es fundamental que las empresas se preparen para cumplir con estas nuevas disposiciones y garantizar la seguridad de los datos de sus clientes.