Llamadas ‘spam': nuevas multas de hasta 100 UIT para empresas infractoras

El pasado 30 de noviembre se publicó oficialmente el nuevo Reglamento de la Ley de Protección de Datos Personales (LPDP), una actualización largamente esperada tras más de una década de vigencia del reglamento anterior. Entre los cambios más significativos, se incluyen nuevas obligaciones para los responsables del tratamiento de datos personales, el reconocimiento del derecho de portabilidad de datos y una regulación específica para la protección de los datos de niños, niñas y adolescentes.

Uno de los aspectos más relevantes del nuevo reglamento es su impacto en las llamadas publicitarias no autorizadas, también conocidas como ‘spam’. 

PUEDES VER: Revisa los candidatos y sus planes de gobierno

“En todos los casos, el titular de los datos personales tiene el derecho de negarse, revocar u oponerse al tratamiento de sus datos para fines de publicidad y prospección comercial”, explicó Hebert Tassano, Director de la Maestría en Derecho de la Competencia, el Consumo y la Propiedad Intelectual en la UPC, a La República. 

Para ello, el responsable del tratamiento debe ofrecer un medio sencillo y gratuito para gestionar dicha solicitud, la cual debe ser atendida en un plazo máximo de diez (10) días.

“Con una economía cada vez más globalizada, los acuerdos y alianzas estratégicas entre empresas (emisoras y receptores de datos personales) exigen la adopción de estándares mínimos en materia de protección de datos, a fin de garantizar la seguridad e integridad de la información”, agregó Bruno Mejía, senior manager en EY Law, a este diario. 

A continuación, las precisiones más importantes de acuerdo con ambos expertos. 

Nuevas obligaciones y buenas prácticas

El nuevo reglamento introduce cuatro nuevas obligaciones clave para las empresas:

1. Designación de un Oficial de Protección de Datos Personales (DPO).
2. Notificación de incidentes de seguridad de datos personales.
3. Implementación de un mecanismo para el derecho de portabilidad de datos.
4. Elaboración de un documento de seguridad aprobado formalmente.

Asimismo, se recomienda adoptar dos buenas prácticas:

• Realización de una Evaluación de Impacto en la Privacidad (PIA).
• Elaboración de un Código de Conducta en protección de datos.

Regulación de las llamadas ‘spam’ y consentimiento obligatorio

El reglamento establece que una empresa solo podrá realizar una única llamada para solicitar el consentimiento del titular de los datos, bajo condiciones específicas:

• Origen legítimo de los datos: La información debe haberse obtenido de forma lícita, ya sea por consentimiento expreso o desde fuentes públicas autorizadas.
• Finalidad exclusiva: La llamada inicial solo podrá usarse para solicitar la autorización del usuario, sin incluir promociones ni publicidad de productos o servicios.
• Derecho del usuario: El titular puede negarse, revocar u oponerse al tratamiento de sus datos personales para fines comerciales, y las empresas deben garantizar un procedimiento sencillo y gratuito para gestionar estas solicitudes.

Un aspecto novedoso es la introducción del “primer contacto”, que permite a las empresas comunicarse con los ciudadanos una única vez para obtener su consentimiento. Si el usuario no lo otorga, la empresa no podrá volver a contactarlo ni recopilar sus datos personales.

Fiscalización y sanciones por incumplimiento

Para garantizar el cumplimiento de estas disposiciones, el reglamento prevé multas significativas. En el caso de las llamadas ‘spam’, consideradas infracciones graves, las sanciones pueden oscilar entre cinco y cincuenta unidades impositivas tributarias (UIT), dependiendo de la magnitud de la falta. Específicamente:

• Leve: Multa máxima de 5 UIT (S/26.750).
• Grave: Multa máxima de 50 UIT (S/ 267,500).
• Muy grave: Multa máxima de 100 UIT (S/535.000).

Además, se establecen incentivos para el cumplimiento de la normativa. Las empresas que realicen una Evaluación de Impacto en la Privacidad (PIA) o implementen un Código de Conducta podrán recibir atenuantes en caso de sanciones.

Responsabilidad y fiscalización

La Autoridad Nacional de Protección de Datos Personales (ANPDP) será la entidad encargada de fiscalizar el cumplimiento del reglamento. Su eficacia dependerá de los recursos institucionales y la participación ciudadana en la denuncia de infracciones.

Los ciudadanos podrán denunciar a través de la web institucional de la ANPDP, que establece un procedimiento de tres etapas:

1. La Dirección de Fiscalización e Instrucción evaluará si hay mérito para iniciar un procedimiento sancionador.
2. Si se inicia el procedimiento, se enviará un Informe Final de Instrucción a la Dirección de Protección de Datos Personales.
3. La Dirección de Protección de Datos Personales emitirá una resolución final, que podrá ser apelada ante la Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales.

Impacto y desafíos

El impacto de esta normativa dependerá de la correcta implementación por parte de las empresas y la supervisión efectiva de la ANPDP. Si bien se espera una reducción en las llamadas ‘spam’, es posible que algunos vacíos legales permitan la continuidad de ciertas prácticas abusivas, especialmente mediante el uso de inteligencia artificial y bots.

Las empresas, en particular los call centers, podrían enfrentar resistencia inicial a la adaptación de sus estrategias de ventas. Sin embargo, capacitaciones y talleres podrían facilitar la transición hacia un modelo de contacto más respetuoso con los derechos de los consumidores.

Comparación con regulaciones en otros países

A nivel regional, Perú sigue una tendencia similar a la de otros países en protección de datos. Por ejemplo:

• Ecuador y Chile ya han regulado la figura del Oficial de Protección de Datos Personales (DPO) (en Chile será vigente en 2026).
• Colombia, Ecuador y Chile exigen la notificación de incidentes de seguridad de datos personales.
• La implementación de un Código de Conducta es una buena práctica recomendada en varios países.
• El Reglamento General de Protección de Datos (GDPR) de Europa ha sido una referencia clave en la formulación de estas normativas.

Perspectivas y recomendaciones

Para fortalecer la protección de los consumidores, se recomienda:

• Clarificar competencias entre INDECOPI y la ANPDP para evitar conflictos en la regulación de llamadas no autorizadas.
• Fomentar la capacitación continua de las empresas para asegurar el cumplimiento de la normativa.
• Facilitar mecanismos sencillos y accesibles para la denuncia ciudadana.

Según los expertos, esta normativa representa un avance significativo en la privacidad de los ciudadanos, pero se espera que en el futuro se refuerce aún más, adoptando principios como la privacidad desde el diseño y el derecho al olvido.

“La efectividad de la normativa dependerá de la vigilancia de la ANPDP, el compromiso de las empresas y la participación activa de los ciudadanos en el ejercicio de sus derechos”, finalizó Bruno Mejía.