El 31 de marzo de 2025 entra en vigencia el Decreto Supremo N.º 016-2024-JUS que aprobó el nuevo Reglamento de la Ley de Protección de datos personales, Ley N.º 29733.
A continuación, te presentamos los aspectos más relevantes de la norma:
1) Definición y Ámbito de Aplicación
Definición ampliada de datos personales: Ahora se incluyen datos de localización e identificación en línea, así como información física, económica, cultural o social de las personas naturales.
Nuevos datos sensibles: Se incorpora la información neuronal a la lista de datos sensibles, ampliando la protección de datos altamente sensibles.
Ámbito de aplicación extendido: El reglamento cubre también a responsables fuera del país que procesen datos de personas en Perú, alineándose con estándares internacionales.
2) Principios y Derechos del Titular
Principios clave: Se incorporan los principios de transparencia y responsabilidad proactiva, que obligan a las empresas a demostrar las medidas de seguridad implementadas.
Derecho a la portabilidad de datos: Los titulares ahora pueden trasladar sus datos personales a otros responsables, lo que les otorga un mayor control sobre su propia información.
Publicidad y prospección comercial: Solo se permite el tratamiento de datos con fines publicitarios si el titular ha dado su consentimiento expreso.
3) Seguridad de los Datos Personales
Notificación obligatoria de incidentes de seguridad: Las empresas deberán notificar cualquier incidente de seguridad dentro de las 48 horas de su detección.
Medidas de seguridad más estrictas: Se obliga a documentar políticas de seguridad y mantener controles rigurosos sobre el acceso a áreas y equipos sensibles.
Protección de menores de edad: Se establecen reglas estrictas sobre el tratamiento de datos de niños y adolescentes.
4) Gestión Administrativa y Simplificación
Simplificación administrativa: Se elimina el costo de la inscripción y modificación de bancos de datos personales, lo que facilita la gestión administrativa para las empresas.
Flujo transfronterizo de datos: Las transferencias internacionales de datos solo se permitirán cuando existan garantías adecuadas de protección.
5) Infracciones y Multas
6) Oficiales de Datos Personales
Designación obligatoria de un Oficial de Datos Personales: Las empresas con grandes volúmenes de datos deben nombrar un Oficial de Datos Personales, que será responsable de velar por el cumplimiento de las políticas de protección de datos y servir como punto de contacto para los titulares de los datos.
Empresas grandes (ventas anuales superiores a 2300 UIT) tienen un plazo de 1 año para cumplir con esta obligación.
Empresas medianas (ventas anuales entre 1700 UIT y 2300 UIT) tienen 2 años.
Empresas pequeñas (ventas anuales entre 150 UIT y 1700 UIT) disponen de 3 años.
Microempresas (ventas anuales hasta 150 UIT) tienen 4 años para cumplir con esta normativa.
La adopción de las medidas de protección de datos personales, el reporte oportuno de incidentes, y la adecuación oportuna de las normas y procesos internos al cumplimiento de la norma, permitirá a las empresas evitar posibles sanciones, generando confianza y manteniendo su reputación de cumplimiento normativo frente a sus accionistas, clientes, proveedores y terceros.
En Estudio Carrión ofrecemos soluciones integrales en consultoría de protección de datos personales y cumplimiento normativo en general, te ayudamos a identificar aquellos cambios que requieren tus normas y procesos internos para adecuarse a las nuevas normas, los implementamos con eficiencia y capacitamos a tu equipo con la finalidad que el cumplimiento de la norma no solo quede en la actualización de documentos, sino que sea llevada a la práctica con éxito por cada uno de tus colaboradores.
Recuerda que la adecuación oportuna a los cambios normativos es un excelente indicador de cumplimiento normativo.
