El mundo digital avanza, y con \u00e9l, la necesidad de una normativa robusta que garantice la seguridad de la informaci\u00f3n personal. El Decreto Supremo No. 016-2024-JUS, publicado el 30 de noviembre de 2024, introduce un nuevo Reglamento para la Ley de Protecci\u00f3n de Datos Personales (LPDP) en Per\u00fa, con cambios cruciales que redefinir\u00e1n la forma en que las empresas gestionan la privacidad de los ciudadanos.<\/p>\n
Esta actualizaci\u00f3n entrar\u00e1 en vigor el 30 de marzo de 2025 y representa un paso fundamental en la evoluci\u00f3n del marco normativo de protecci\u00f3n de datos en Per\u00fa. Adem\u00e1s de reemplazar la versi\u00f3n de 2013, aborda de m\u00e1s detalladamente cuestiones que en el pasado generaban incertidumbre, estableciendo directrices claras sobre las responsabilidades de quienes manejan datos personales. Su objetivo no solo es armonizar la normativa nacional con los est\u00e1ndares internacionales, sino tambi\u00e9n ofrecer mecanismos de control m\u00e1s eficaces para garantizar que los derechos de los ciudadanos sean protegidos en un entorno digital en constante transformaci\u00f3n.<\/p>\n
Expansi\u00f3n del \u00c1mbito de Aplicaci\u00f3n Territorial<\/strong><\/p>\n Uno de los cambios m\u00e1s relevantes es la extensi\u00f3n del alcance de la normativa m\u00e1s all\u00e1 de las fronteras peruanas. Las empresas extranjeras que ofrezcan bienes o servicios a ciudadanos peruanos o realicen an\u00e1lisis de su comportamiento (incluyendo la elaboraci\u00f3n de perfiles y segmentaci\u00f3n de usuarios) estar\u00e1n sujetas a la normativa peruana. Esta ampliaci\u00f3n del marco legal busca evitar vac\u00edos regulatorios y garantizar que el tratamiento de los datos personales de los peruanos se realice bajo est\u00e1ndares adecuados, sin importar d\u00f3nde se encuentren los responsables de dicho tratamiento. Para ello, se exige que estas empresas designen un representante en Per\u00fa, quien servir\u00e1 como enlace con la Autoridad Nacional de Protecci\u00f3n de Datos Personales (ANPDP).<\/p>\n Principios de Transparencia y Responsabilidad Proactiva<\/strong><\/p>\n El nuevo reglamento refuerza los principios fundamentales que rigen el tratamiento de datos personales. La transparencia cobra un papel central, obligando a que la informaci\u00f3n sea clara, accesible y comprensible para los titulares. Esto implica detallar con precisi\u00f3n los fines, la base legal del tratamiento, los plazos de conservaci\u00f3n y los derechos que pueden ejercer los ciudadanos sobre su informaci\u00f3n. Por otro lado, la responsabilidad proactiva se convierte en un pilar esencial para las empresas, exigi\u00e9ndoles no solo cumplir con la normativa, sino tambi\u00e9n demostrarlo a trav\u00e9s de pol\u00edticas internas, medidas de seguridad y auditor\u00edas que evidencien su compromiso con la protecci\u00f3n de datos personales.<\/p>\n Protecci\u00f3n en el Flujo Transfronterizo de Datos<\/strong><\/p>\n Con el objetivo de garantizar la seguridad en la transferencia de datos fuera del territorio nacional, se han definido criterios claros para determinar si un pa\u00eds receptor ofrece un nivel adecuado de protecci\u00f3n. Para ello, la ANPDP evaluar\u00e1 la existencia de regulaciones espec\u00edficas sobre privacidad, la eficacia de sus mecanismos de supervisi\u00f3n y sanci\u00f3n, y la posibilidad de que los ciudadanos afectados ejerzan sus derechos de manera efectiva. Nuevas Normas para la Publicidad y la Prospecci\u00f3n Comercial<\/strong><\/p>\n El reglamento endurece las reglas sobre la recolecci\u00f3n y uso de datos con fines comerciales. Establece que, tras un primer contacto, si el titular no otorga su consentimiento expreso, el tratamiento de sus datos con fines publicitarios debe cesar inmediatamente. Adem\u00e1s, en caso de que los datos hayan sido obtenidos de fuentes accesibles al p\u00fablico, la empresa deber\u00e1 informar al titular sobre su origen y garantizar su derecho a oponerse a su uso. Las empresas deber\u00e1n implementar mecanismos efectivos para que los ciudadanos puedan revocar su consentimiento de manera sencilla y r\u00e1pida, asegurando su derecho a decidir sobre el uso de su informaci\u00f3n en un plazo m\u00e1ximo de 10 d\u00edas.<\/p>\n Reacci\u00f3n ante Incidentes de Seguridad<\/strong><\/p>\n El nuevo reglamento impone exigencias m\u00e1s estrictas para la notificaci\u00f3n de incidentes de seguridad que comprometan datos personales.Establece que las empresas deber\u00e1n informar a la ANPDP dentro de las 48 horas siguientes a la detecci\u00f3n del incidente, incluso si ya han tomado medidas correctivas internas. En el caso de incidentes digitales, ser\u00e1 obligatorio reportarlo tambi\u00e9n al Centro Nacional de Seguridad Digital, con el fin de fortalecer la ciberseguridad en el pa\u00eds. Si la filtraci\u00f3n de datos afecta los derechos de los titulares, estos deber\u00e1n ser informados de manera clara y sin dilaciones injustificadas, detallando las medidas adoptadas para mitigar los efectos del incidente.<\/p>\n Creaci\u00f3n de la Figura del Oficial de Protecci\u00f3n de Datos Personales<\/strong><\/p>\n Con el fin de fortalecer la gobernanza de la privacidad, el reglamento introduce la figura del Oficial de Protecci\u00f3n de Datos Personales (ODP), cuya designaci\u00f3n ser\u00e1 obligatoria para empresas que manejen grandes vol\u00famenes de datos, informaci\u00f3n sensible o cuyo tratamiento pueda comprometer derechos fundamentales. El ODP deber\u00e1 garantizar la adecuada implementaci\u00f3n de la normativa, capacitar a los equipos internos y servir de punto de contacto con la ANPDP. Su designaci\u00f3n deber\u00e1 notificarse dentro de los 15 d\u00edas posteriores a su nombramiento, y sus datos de contacto deber\u00e1n ser f\u00e1cilmente accesibles para los ciudadanos.<\/p>\n Refuerzo en las Medidas de Seguridad<\/strong><\/p>\n El reglamento exige que las empresas implementen medidas de seguridad m\u00e1s s\u00f3lidas para evitar vulneraciones de datos personales. Ser\u00e1 obligatorio contar con un documento de seguridad aprobado formalmente, que deber\u00e1 incluir protocolos de acceso, control de privilegios, registros de auditor\u00eda y verificaci\u00f3n peri\u00f3dica de los mecanismos de protecci\u00f3n. Asimismo, establece la obligaci\u00f3n de realizar copias de seguridad semanales, garantizando la recuperaci\u00f3n de datos en caso de incidentes. Estas medidas buscan mitigar riesgos y fortalecer la capacidad de respuesta ante posibles ataques o brechas de seguridad.<\/p>\n Derecho de Portabilidad de Datos<\/strong><\/p>\n El reglamento introduce el derecho a la portabilidad, lo que permite a los titulares solicitar la transferencia de sus datos personales en un formato estructurado y de lectura automatizada. Este derecho es aplicable cuando el tratamiento de datos se basa en el consentimiento del titular o en la ejecuci\u00f3n de un contrato, facilitando la interoperabilidad entre servicios y aumentando el control de los ciudadanos sobre su informaci\u00f3n.<\/p>\n R\u00e9gimen Sancionador y Atenuantes<\/strong><\/p>\n El nuevo reglamento establece un r\u00e9gimen sancionador m\u00e1s preciso, cuantificando las multas en funci\u00f3n a la gravedad de la infracci\u00f3n y regulando el concepto de reincidencia. Como atenuantes, se considerar\u00e1 la implementaci\u00f3n previa de c\u00f3digos de conducta y evaluaciones de impacto, siempre que estos sean acreditados antes del inicio de un procedimiento sancionador.<\/p>\n Conclusi\u00f3n<\/strong><\/p>\n El nuevo Reglamento de la Ley de Protecci\u00f3n de Datos Personales representa un cambio significativo en el ecosistema legal y empresarial del pa\u00eds. Su enfoque en la protecci\u00f3n transfronteriza, la seguridad de los datos y el refuerzo de los derechos de los ciudadanos obliga a las empresas a adoptar un modelo m\u00e1s proactivo en la gesti\u00f3n de la privacidad. Ante su entrada en vigor en marzo de 2025, es crucial que las organizaciones inicien cuanto antes su adecuaci\u00f3n a estas exigencias, garantizando el cumplimiento normativo, y la confianza y lealtad de sus clientes en un mundo donde la privacidad es un activo estrat\u00e9gico.<\/p>\n","protected":false},"excerpt":{"rendered":"El mundo digital avanza, y con \u00e9l, la necesidad de una normativa robusta que garantice la seguridad de la informaci\u00f3n personal. El Decreto Supremo No. 016-2024-JUS, publicado el 30 de noviembre de 2024, introduce un nuevo Reglamento para la Ley de Protecci\u00f3n de Datos Personales (LPDP) en Per\u00fa, con cambios cruciales que redefinir\u00e1n la forma… Ver art\u00edculo<\/a>","protected":false},"author":28,"featured_media":2865,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[156],"tags":[],"class_list":["post-2864","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-alerta-normativa"],"_links":{"self":[{"href":"https:\/\/www.porto.legal\/blog\/wp-json\/wp\/v2\/posts\/2864","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.porto.legal\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.porto.legal\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.porto.legal\/blog\/wp-json\/wp\/v2\/users\/28"}],"replies":[{"embeddable":true,"href":"https:\/\/www.porto.legal\/blog\/wp-json\/wp\/v2\/comments?post=2864"}],"version-history":[{"count":1,"href":"https:\/\/www.porto.legal\/blog\/wp-json\/wp\/v2\/posts\/2864\/revisions"}],"predecessor-version":[{"id":2866,"href":"https:\/\/www.porto.legal\/blog\/wp-json\/wp\/v2\/posts\/2864\/revisions\/2866"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.porto.legal\/blog\/wp-json\/wp\/v2\/media\/2865"}],"wp:attachment":[{"href":"https:\/\/www.porto.legal\/blog\/wp-json\/wp\/v2\/media?parent=2864"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.porto.legal\/blog\/wp-json\/wp\/v2\/categories?post=2864"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.porto.legal\/blog\/wp-json\/wp\/v2\/tags?post=2864"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
\nAdem\u00e1s, las empresas deber\u00e1n implementar cl\u00e1usulas contractuales, certificaciones o garant\u00edas adicionales cuando transfieran datos a pa\u00edses que no cumplan con estos requisitos, asegurando as\u00ed un est\u00e1ndar m\u00ednimo de protecci\u00f3n internacional.<\/p>\n