El 30 de noviembre de 2024, se publicó el Decreto Supremo N° 016-2024-JUS que aprueba el Reglamento de la Ley N° 29733, Ley de Protección de Datos Personales (la "Ley" y el "Reglamento", respectivamente), derogando el anterior a partir del 30 de marzo de 2025.
Los principales cambios normativos son los siguientes:
I. Aplicación extra territorial
La Ley y el Reglamento serán de aplicación a los titulares de bancos de datos o responsables del tratamiento que no se encuentren en territorio peruano, pero que realicen las siguientes actividades:
Actividades relacionadas a la oferta de bienes o servicios dirigidos a titulares de datos personales ubicados en territorio peruano.
Actividades orientadas al análisis de comportamiento de los titulares de datos personales ubicados en territorio peruano, así como a la elaboración de perfiles que buscan predeterminar conductas, preferencias, hábitos o similares.
II. Designación de un representante de tratamiento en el Perú
Los titulares de bancos de datos o responsables del tratamiento, ubicados en el territorio peruano o no, deben designar un representante en el territorio peruano que sea el punto de contacto con la Autoridad Nacional de Protección de Datos Personales (la "Autoridad") mediante las siguientes alternativas:
Informándolo públicamente en una Política de Privacidad.
Comunicándolo a la Autoridad.
III. Información adicional para el titular de los datos personales
Adicionalmente a la información establecida en el Artículo 18° de la Ley, a efectos de realizar el tratamiento de datos personales, se debe informar al respectivo titular lo siguiente:
Si sus datos serán sometidos a decisiones automatizadas, incluida la elaboración de perfiles.
La fuente de recopilación de sus datos personales en caso no hayan sido obtenidos directamente del titular.
IV. Tratamiento de datos personales de niños, niñas y adolescentes
El titular de un banco de datos o responsable del tratamiento en plataformas o servicios digitales, debe realizar esfuerzos razonables para verificar la identidad de quienes otorgan el consentimiento, a efectos de cumplir con las obligaciones relativas al tratamiento de datos de menores de edad.
V. Tratamiento de datos personales para fines publicitarios
Se puede obtener el consentimiento para fines publicitarios durante el primer contacto con el titular de los datos personales.
Se debe informar al titular de los datos personales la fuente de recopilación de su información cuando lo solicite.
VI. Notificación de incidentes de seguridad
Se considera un incidente de seguridad toda vulneración de la seguridad que ocasione la destrucción, pérdida, alteración ilícita de los datos personales o la comunicación o exposición no autorizada a dichos datos.
Se debe notificar el incidente de seguridad a la Autoridad dentro de las cuarenta y ocho (48) horas de haber tomado conocimiento.
Se debe notificar el incidente de seguridad al titular de los datos personales afectado dentro de las cuarenta y ocho (48) horas de haber tomado conocimiento de que puede afectar sus derechos.
Se debe documentar cualquier incidente de seguridad, incluyendo los hechos relacionados a ello, efectos y medidas adoptadas.
VII. Designación de oficial de datos personales
El titular de un banco de datos personales o responsable y encargado del tratamiento deben designar a un Oficial de Cumplimiento de Datos Personales cuando:
Realicen tratamiento de grandes volúmenes de datos personales, en cantidad o tipo de datos; o que puedan afectar a un gran número de personas; o cuando se trate de datos sensibles; o, cuando se produzca un perjuicio evidente a otros derechos o libertades del titular del dato personal.
Realicen actividades principales o de giro de negocio que comprendan el tratamiento de datos sensibles.
El titular de un banco de datos personales o responsable y encargado del tratamiento deben publicar los datos de contacto del Oficial de Datos Personales en un lugar visible. Estos datos también deben ser comunicados a la Autoridad.
Un grupo empresarial puede nombrar un único Oficial de Cumplimiento de Datos Personales.
VIII. Nuevas medidas de seguridad
Los responsables del tratamiento de datos personales deberán:
Elaborar un inventario de datos personales y de los sistemas empleados para el tratamiento debiendo especificar si se trata de datos sensibles.
Realizar copias de respaldo con una frecuencia semanal como mínimo, salvo que en dicho período no se hubiera producido ninguna actualización de los datos personales.
IX. Derecho de portabilidad de datos personales
El titular de los datos personales puede solicitar que los datos personales que facilitó al responsable o al titular del banco de datos sean trasmitidos a otro, cuando el tratamiento esté basado en el consentimiento o en una relación contractual o se ejerza mediante medios automatizados.
X. Atenuantes de responsabilidad
Bajo determinadas circunstancias, se podrá considerar como un atenuante de responsabilidad en un procedimiento administrativo sancionador:
La implementación de Códigos de Conducta.
La implementación de un informe de Evaluación de Impacto del tratamiento de datos personales efectuado.
El Reglamento entrará en vigencia el 30 de marzo de 2025. Las obligaciones referidas a la designación del Oficial de Cumplimiento de Datos Personales entrarán en vigencia progresivamente a partir del 30 de noviembre de 2025, en base a las ventas anuales.
Puede encontrar el texto completo del Reglamento aquí.
* * * * *
Si deseas conocer cómo esta norma impactará en tu organización, no dudes en contactarnos.