Nuevo reglamento de protección de datos en Perú: ¿cuáles son los cambios a la norma?
El Gobierno peruano ha emitido el Decreto Supremo N° 016-2024-JUS, que introduce el nuevo reglamento de la Ley de Protección de Datos Personales, en vigencia desde el 31 de marzo de 2025.
El Gobierno peruano publicó el Decreto Supremo N° 016-2024-JUS, que aprueba el nuevo reglamento de la Ley de Protección de Datos Personales (Ley N° 29733). Esta normativa, que reemplazará al reglamento vigente desde 2013, entrará en vigencia el 31 de marzo de 2025. El objetivo de esta actualización es adaptarse a los nuevos desafíos tecnológicos y fortalecer la protección de los datos personales de los ciudadanos peruanos.
“El reglamento había quedado desactualizado frente a los avances tecnológicos y digitales, así como a las modificaciones en las normativas internacionales. Era necesario una actualización del marco normativo en datos personales”, comentó Giancarlo Baella, socio de Hernández & Cía, a La República.
Además de actualizar las disposiciones anteriores, el nuevo reglamento incorpora una serie de medidas que buscan garantizar una mayor transparencia en el tratamiento de los datos, aumentar la responsabilidad de las entidades y ofrecer mayores derechos a los titulares de los datos personales.
¿Cuáles son los cambios a la norma?
El nuevo reglamento surge a partir de una publicación que facilitó un debate público sobre el tema, contó Giancarlo Baella. En ese contexto, la normativa incorpora las preocupaciones expresadas durante esa discusión, buscando, en la medida de lo posible, generar un consenso en torno a los cambios propuestos.
“El nuevo reglamento tiene como objetivo subsanar los vacíos regulatorios mediante la incorporación de nuevos conceptos y precisiones, lo que contribuye a una mayor predictibilidad en su aplicación”, señaló Baella.
Entre los principales cambios que introduce el reglamento, destaca la ampliación de su ámbito de aplicación, extendiendo su alcance a las entidades que, aunque no estén establecidas en el país, utilicen medios ubicados en territorio peruano para procesar datos personales. Asimismo, establece nuevas obligaciones para los responsables de los bancos de datos, como la designación de un representante ante la Autoridad Nacional de Protección de Datos Personales, cuando no se encuentren establecidos en el país.
¿Qué cambia para los titulares de datos?
Uno de los aspectos más relevantes del nuevo reglamento es la inclusión del derecho a la portabilidad de los datos, que permitirá a los titulares transferir sus datos personales a otro banco de datos en un formato estructurado, cuando se cumplan ciertos requisitos. Además, se amplía el deber de informar a los titulares sobre aspectos importantes del tratamiento de sus datos, como la existencia de decisiones automatizadas y la elaboración de perfiles, lo que refuerza la transparencia en el proceso.
PUEDES VER: Compras en línea de manera segura por Navidad y fin de año: evita estafas o robos cibernéticos
¿Cómo mejora la seguridad en el tratamiento de datos?
El reglamento introduce el principio de responsabilidad proactiva, que obliga a las entidades a adoptar medidas técnicas, legales y organizativas para garantizar el cumplimiento de la normativa. También se incorpora la obligación de notificar a la Autoridad Nacional de Protección de Datos Personales sobre incidentes de seguridad dentro de las 48 horas posteriores a su ocurrencia, en caso de que estos afecten la privacidad de los datos personales.
Asimismo, se establece la necesidad de designar un Oficial de Datos Personales en aquellas entidades que realicen determinados tipos de tratamiento, quien será responsable de asesorar y asegurar el cumplimiento de las disposiciones legales en materia de protección de datos.
¿Es suficiente el nuevo reglamento de protección de datos en Perú?
De acuerdo con Giancarlo Baella, en cuanto a aspectos debatibles, se observa que el nuevo reglamento, aunque busca desarrollar aspectos previstos en la ley, introduce obligaciones que no cuentan con respaldo legal directo. Por ejemplo, la obligación de contar con un oficial de cumplimiento o la de notificar incidentes de seguridad no están explícitamente establecidas en la ley. De manera similar, la creación del derecho a la portabilidad, a través del reglamento, carece de base legal sólida.
“Esta falta de fundamento legal podría llevar a que estos aspectos sean cuestionados en el futuro por los administrados”, sentenció Baella.
El reglamento, continuó Baella, también establece un plazo general de adecuación de 120 días calendario, con algunas excepciones. Sin embargo, muchas empresas podrían considerar que dicho plazo es insuficiente para cumplir con las nuevas disposiciones.
Además, al introducir nuevas obligaciones y cargas para los responsables del tratamiento de datos personales, como las empresas, hubiera sido ideal realizar un análisis de calidad regulatoria que evaluara los beneficios y costos asociados con la nueva regulación. “Sin embargo, en la práctica, este análisis no ha sido presentado”, finalizó.
