Oscar Montezuma Panez – CEO & Fundador de Niubox Legal
El 30 de noviembre, se publicó el nuevo reglamento de protección de datos personales en Perú, marcando un cambio significativo en la forma en que las empresas deben gestionar la información personal. Este reglamento representa una reforma integral de su versión anterior, introduciendo una serie de medidas diseñadas para fortalecer la seguridad, proteger la privacidad y garantizar los derechos de los ciudadanos en el entorno digital.
Salvo algunas excepciones puntuales, las organizaciones tienen un plazo general de 120 días calendario que se cumplen el 30 de marzo de 2025 para implementar los cambios, lo que implica realizar ajustes legales, operativos y tecnológicos.
A continuación, presentamos un análisis ejecutivo de las 10 principales novedades y su impacto en las empresas:
- Notificación obligatoria de incidentes de seguridad
Las empresas estarán obligadas a notificar a la Autoridad Nacional de Protección de Datos Personales sobre incidentes graves, como filtraciones o accesos no autorizados, dentro de las 48 horas posteriores a su detección. Esto busca minimizar los riesgos y garantizar una respuesta rápida ante vulneraciones.
- Designación obligatoria de un Oficial de Datos Personales (DPO)
Será obligatorio nombrar un DPO para las empresas públicas o privadas que manejen grandes volúmenes de datos o información sensible. Este profesional será clave para garantizar el cumplimiento normativo y actuar como enlace con la autoridad de protección de datos.
- Uso de datos personales en publicidad y prospección comercial
El reglamento exige el consentimiento explícito para el uso de datos en campañas de marketing. Además, si no se obtiene el consentimiento en el primer contacto, no se permite insistir, reforzando los derechos de los consumidores.
- Evaluaciones de impacto en privacidad (PIAs)
Se recomienda realizar evaluaciones de impacto en privacidad para tratamientos sensibles o que involucren a personas vulnerables. Estas evaluaciones, basadas en estándares internacionales, pueden ser utilizadas como atenuantes en caso de sanciones si están debidamente documentadas.
- Derecho a la portabilidad de datos
Los titulares ahora pueden solicitar sus datos en un formato utilizable para transferirlos a otra empresa. Las organizaciones tienen 6 meses para implementar esta medida, orientada a promover la competencia y la transparencia en el manejo de información.
- Condiciones para transferencias internacionales de datos
Cuando los datos personales se transfieran a países sin un nivel adecuado de protección, será obligatorio implementar cláusulas contractuales que garanticen la seguridad y privacidad de la información.
- Clasificación de nuevas infracciones
El reglamento incluye nuevas infracciones, como no inscribir bancos de datos en el registro nacional (grave) y tratar datos sensibles sin medidas de seguridad adecuadas (muy grave), exponiendo a las empresas a sanciones severas.
- Regulación de procesos automatizados
Los titulares tienen derecho a no ser sometidos a decisiones que les afecten significativamente (como en su empleo o salud) si estas se basan únicamente en procesos automatizados sin intervención humana.
- Refuerzo de medidas de seguridad
Se requiere que las empresas implementen políticas de seguridad con fecha cierta y garanticen trazabilidad en los procesos. Estas políticas deben prevenir accesos no autorizados y establecer procedimientos claros para gestionar incidentes.
- Representante en Perú para empresas no domiciliadas
Las empresas no domiciliadas que procesen datos personales de ciudadanos peruanos deberán designar un representante responsable de garantizar el cumplimiento del reglamento.
Como se puede ver, el nuevo reglamento plantea un desafío significativo para las empresas, que deberán revisar y actualizar sus políticas, procesos y sistemas tecnológicos. Esto implica desde la implementación de herramientas para la trazabilidad de datos hasta la designación de personal especializado como el DPO.
Cronograma de entrada en vigencia de obligaciones del reglamento (Cuadro elaborado por Fiorella Colonna, Country Manager de Niubox en Perú)
En una era cada vez más digital, donde todos estamos expuestos y vulnerables, este nuevo reglamento busca modernizar el marco normativo peruano. Su cumplimiento trasciende la mera obligación legal, convirtiéndose en una oportunidad clave para fortalecer la confianza y la competitividad digital. Las empresas que se anticipen y se adapten estarán mejor posicionadas para enfrentar los retos de un entorno tecnológico en constante transformación.
Niubox es una consultora que ofrece asesoría legal, consultoría estratégica en asuntos públicos y regulatorios e innovación legal. Conoce nuestros servicios en Perú, Ecuador y Colombia: tecnología y negocios digitales, innovación legal y legaltech, protección de datos personales y ciberseguridad, asuntos públicos y regulatorios, transformación digital, regulación fintech y de criptoactivos, telecomunicaciones y competencia, consumidor y propiedad intelectual.