El pasado 30 de noviembre de 2024, se publicó en el Diario Oficial El Peruano el Decreto Supremo nro. 016-2024-JUS, que aprueba el nuevo reglamento de la Ley nro. 29733, Ley de Protección de Datos Personales. Este reglamento introduce importantes cambios que buscan fortalecer el cumplimiento de las normativas en un entorno digital cada vez más desafiante.
A continuación, destacamos los aspectos más relevantes de este nuevo reglamento:
La normativa ahora aplica también a empresas no domiciliadas que:
Se reconocen los principios de:
El reglamento introduce requisitos específicos para el uso de datos personales en campañas publicitarias, como la obligación de obtener el consentimiento explícito de los titulares desde el primer contacto.
Se reconoce el derecho de los titulares de recibir sus datos personales en un formato estructurado, de uso común y de lectura mecánica, facilitando la transferencia entre diferentes responsables del tratamiento.
El reglamento exige la documentación e implementación de medidas de seguridad con un Documento de Seguridad que tenga fecha cierta, además de reportar incidentes graves de seguridad a la Autoridad Nacional de Protección de Datos Personales (ANPDP) en un plazo de 48 horas.
Establece criterios claros para garantizar un nivel adecuado de protección en el flujo de datos hacia otros países, considerando la legislación local y la existencia de una autoridad supervisora.
Se incorporan nuevas infracciones y se aclaran sanciones, como la omisión de informar incidentes de seguridad o no cumplir con las condiciones de tratamiento establecidas.
El reglamento también incluye nuevas obligaciones para los titulares de bancos de datos o responsables del tratamiento, con fechas específicas de entrada en vigencia:
Tipo de Empresa | Nuevas Obligaciones | Entrada en Vigencia | Infracción por Incumplimiento |
---|---|---|---|
Empresas con ventas anuales: - Superiores a 2,300 UIT - Entre 1,700 UIT y 2,300 UIT - Entre 150 UIT y 1,700 UIT - Hasta 150 UIT y microempresas |
Designar un oficial de Datos Personales |
|
Infracción Leve (0.5 - 5 UIT) |
Notificación de incidentes de seguridad de datos personales (48 horas) | 30 de marzo de 2025 | Infracción Grave (5 - 50 UIT) | |
Medidas de seguridad reforzadas con un Documento de Seguridad aprobado formalmente y de fecha cierta | 30 de marzo de 2025 |
|
|
Atender el derecho a la portabilidad de datos | 30 de septiembre de 2025 |
|
Como regla general, el reglamento entrará en vigencia 120 días después de su publicación. Sin embargo, algunas disposiciones específicas, como la designación del Oficial de Datos Personales (DPO) y la implementación del derecho de portabilidad, cuentan con plazos progresivos.
El nuevo reglamento de protección de datos personales marca un avance significativo para garantizar el manejo responsable y transparente de los datos personales en Perú. Desde el Estudio Suárez, te ayudamos a comprender y adaptarte a estos cambios normativos para proteger tu empresa y asegurar el cumplimiento con las regulaciones.
¿Quieres saber cómo implementar estas nuevas disposiciones en tu organización? Contáctanos y te asesoramos.