Aprueban nuevo reglamento de la Ley N° 29733, Ley de Protección de Datos Personales

Mediante Decreto Supremo 016-2024-JUS, publicado el 30 de noviembre de 2024 en el Diario El Peruano, se aprobó el nuevo Reglamento de la Ley N.º 29733, Ley de Protección de Datos Personales. Este nuevo reglamento busca modernizar el marco normativo vigente, adaptándolo a los desafíos tecnológicos y la irrupción de las nuevas tecnologías, así como las prácticas más recientes adoptadas internacionalmente.

A continuación, se destacan los principales aspectos y novedades que incorpora el nuevo reglamento:

Ámbito de Aplicación Territorial
El reglamento establece expresamente que aplica a responsables de tratamiento que, sin estar establecidos en el Perú, realicen actividades dirigidas a titulares de datos personales ubicados en el país, ya sea mediante:
  • La oferta de bienes o servicios.
  • El análisis de comportamiento y elaboración de perfiles de dichos titulares
Nuevos Principios Rectores
El reglamento incorpora los siguientes principios:
  • Responsabilidad proactiva: Obliga a los responsables de bancos de datos a implementar medidas de seguridad adecuadas y demostrar el cumplimiento normativo.
  • Transparencia: Exige que la información sobre el tratamiento de datos sea accesible, comprensible y actualizada para los titulares.
Obligaciones para Responsables de Tratamiento
  1. Consentimiento informado: Se mantiene como requisito esencial, añadiendo la obligación de informar sobre decisiones automatizadas, incluidas las de elaboración de perfiles.
  2. Incluye la posibilidad de realizar un primer contacto para obtener el consentimiento en actividades de publicidad y prospección comercial.
  3. Designación de un Oficial de Datos Personales (OPD): Obligatorio para entidades públicas y empresas que traten grandes volúmenes de datos personales, que puedan afectar a un gran número de personas, cuando se produzca un perjuicio evidente a otros derechos o libertades del titular del dato personal, o cuando se traten datos sensibles.
  4. El OPD puede ser interno o externo y no necesita desempeñar exclusivamente esta función.
  5. Gestión de incidentes de seguridad:

     

    • Obligación de reportar a la ANPDP y al Centro Nacional de Seguridad Digital, incidentes que impliquen exposición de grandes volúmenes de datos personales, en cantidad o tipo de datos, que pueda afectar a un gran número de personas, cuando se trate de datos sensibles, o cuando se produzca un perjuicio evidente a otros derechos o libertades del titular del dato personal.
    • Notificación directa a los titulares afectados, en determinados
      escenarios.
Nuevos Derechos de los Titulares de Datos
  1. Derecho a la portabilidad: Permite a los titulares recibir sus datos en un formato estructurado y de uso común para transferirlos fácilmente a otro responsable, e inclusive solicitar que sus datos se transmitan directamente a otro responsable o titular de otro banco de datos, cuando sea técnicamente posible, no imponga una carga financiera o técnica excesiva, o resulte irrazonable.
  2. Gratuidad de trámites: Los procedimientos para inscripción, modificación o eliminación de banco de datos serán gratuitos.
  3. Derecho a no ser objeto de decisiones puramente automatizadas que produzcan consecuencias jurídicas o impacten de manera significativa.

Flujos Transfronterizos de Datos

Se establecen requisitos para la transferencia internacional de datos, exigiendo que el país de destino cuente con un nivel adecuado de protección de datos, evaluado por la ANPDP, según aspectos específicos, así como la posibilidad de medidas alternativas para garantizar la protección de los datos, como son la implementación de cláusulas contractuales modelo u otros instrumentos jurídicos con dicho fin.

Fortalecimiento del Régimen de Sanciones
El reglamento incorpora nuevas infracciones, como la omisión de notificar incidentes de seguridad. Además, se incentiva la adopción de Códigos de Conducta, los cuales pueden servir como atenuantes de sanciones administrativas.
Plazos para su Implementación
  • Entrada en vigor: 120 días calendario desde su publicación. (29 de marzo de 2025).
  • Implementación del Oficial de Datos Personales:
    • Grandes empresas: 1 año
    • Medianas empresas: 2 años.
    • Pequeñas empresas: 3 años.
    • Microempresas: 4 años.
  • Derecho de portabilidad de Datos: 6 meses posteriores a la implementación del Reglamento.

RECOMENDACIONES PARA LAS EMPRESAS

  1. Ingresar a SUNAT Operaciones en Línea con el Código de Usuario y la Clave SOL.
  2. Ubicar el formulario e ingresar la información correspondiente siguiendo las indicaciones.
  3. Los datos del Sistema de Emisión Electrónica se incorporarán de manera automática.
  4. En el caso que no hubiese sido emisor electrónico, deberá:
    • Informar sobre sus recibos por honorarios y notas de crédito emitidas en formatos impresos.
    • Informar sobre sus ingresos percibidos por las funciones de director de empresas, albacea, sindico, gestor de negocios, mandatario y actividades similares, incluyendo el desempeño de funciones de regidor municipal o consejero regional, por las cuales perciba dietas y se encuentre exceptuado de la obligación de emitir comprobantes de pago.

Finalmente, el Equipo Legal de Salazar & Zúñiga Abogados queda a su disposición para cualquier consulta o coordinación sobre este asunto. Para tales fines, por favor un mensaje a: hector.figari@sza.pe y sebastian.zorrilla@sza.pe.

Los invitamos a revisar ésta y otras novedades legales en Salazar & Zuñiga Abogados | LinkedIn

Saludos cordiales,

Equipo Legal