Skip to content
General

Cumplimiento de protección de datos en Perú — GDPR, PDPL y buenas prácticas

November 11, 2025

Perú cuenta con la Ley Nº 29733, Ley de Protección de Datos Personales (LPDP), que garantiza el derecho fundamental a la protección de datos personales reconocido en la Constitución Política del Perú. El marco normativo acaba de actualizarse significativamente con el Decreto Supremo Nº 016-2024-JUS, publicado el 30 de noviembre de 2024, que introduce un nuevo Reglamento vigente desde el 30 de marzo de 2025. Este reglamento representa una profunda actualización que alinea la normativa peruana con estándares internacionales similares al GDPR de la Unión Europea.

La Autoridad Nacional de Protección de Datos Personales (ANPD) es la entidad competente para fiscalizar, sancionar y orientar el cumplimiento de estas normas.

Comparación: LPDP Peruana vs. GDPR Europeo

Aunque son leyes de diferentes jurisdicciones, la LPDP peruana y el GDPR europeo comparten objetivos fundamentales de protección de datos. La LPDP peruana ahora refleja muchos de los principios del GDPR, lo que significa que empresas con operaciones en ambas regiones pueden adoptar las mejores prácticas europeas en Perú.

Similitudes principales:

  • Ambos marcos exigen consentimiento informado para el tratamiento de datos
  • Reconocen derechos específicos del titular de datos
  • Requieren medidas de seguridad robustas
  • Establecen notificación de brechas de seguridad
  • Aplican a empresas extranjeras que procesan datos de residentes locales

Diferencias clave:

  • El GDPR tiene un alcance geográfico europeo, mientras que la LPDP se aplica en territorio peruano
  • Las multas del GDPR pueden alcanzar hasta 20 millones de euros, mientras que la LPDP opera con unidades impositivas tributarias (UIT)
  • La LPDP peruana ahora incluye figuras voluntarias como Códigos de Conducta y Evaluaciones de Impacto como atenuantes de responsabilidad

Principios Rectores del Tratamiento de Datos Personales

Todo responsable del tratamiento de datos personales en Perú debe cumplir con los siguientes principios establecidos en la LPDP:

Legalidad: La recopilación y tratamiento de datos debe realizarse de conformidad con la ley. Está estrictamente prohibido utilizar medios desleales, ilícitos o ilegales.

Consentimiento: El tratamiento de datos personales requiere consentimiento previo, libre, expreso, inequívoco e informado del titular. Para datos sensibles (biométricos, origen racial, opiniones políticas, información de salud, etc.), el consentimiento debe ser otorgado por escrito mediante firma manuscrita, digital, electrónica u otra modalidad que garantice voluntad.

Finalidad: Los datos deben recopilarse para una finalidad explícita, específica y lícita. No pueden utilizarse para fines distintos a los originalmente establecidos, salvo mediante anonimización o disociación.

Proporcionalidad: La recopilación debe ser pertinente, adecuada y no excesiva respecto a los fines establecidos.

Calidad: Los datos deben ser veraces, actualizados y precisos.

Seguridad: El responsable debe adoptar medidas técnicas, organizativas y legales para garantizar seguridad, evitando acceso, alteración, pérdida o tratamiento no autorizado.

Disposición de recursos: Debe haber mecanismos para que los titulares ejerzan sus derechos.

Nivel de protección adecuado: Para transferencias transfronterizas, se debe garantizar protección equivalente en el país destino.

Nuevas Obligaciones del Nuevo Reglamento (Vigentes desde Marzo 2025)

El nuevo reglamento introduce cambios significativos que redefinirán cómo las empresas gestionan datos personales:

Extensión Territorial de la Ley: Ahora aplica a empresas extranjeras que:

  • Ofrecen bienes o servicios dirigidos a peruanos
  • Realizan análisis de comportamiento de usuarios peruanos
  • Elaboran perfiles para predeterminar conductas, preferencias u hábitos

Estas empresas extranjeras deben designar un representante en Perú que sirva como punto de contacto con la ANPD.

Notificación de Incidentes de Seguridad: Dentro de 48 horas de conocer un incidente que implique:

  • Exposición de grandes volúmenes de datos
  • Grave perjuicio a los titulares

Se debe notificar a la ANPD y a los titulares afectados. Todo incidente debe documentarse.

Designación de Oficial de Protección de Datos Personales (DPO): Obligatorio cuando:

  • Se trata de autoridades u organismos públicos (de conformidad con Ley de Gobierno Digital)
  • Se realizan actividades de tratamiento que requieren observación habitual, sistemática y continua de datos a gran escala
  • El responsable realiza como actividades principales el tratamiento de datos sensibles

Se puede nombrar un único DPO para un grupo empresarial si es fácilmente contactable.

Nuevas Medidas de Seguridad:

  • Elaborar un inventario de datos personales y sistemas de tratamiento
  • Realizar copias de respaldo semanales como mínimo (salvo sin actualizaciones)
  • Mantener un documento de seguridad aprobado formalmente
  • Este documento debe contener procedimientos de gestión de accesos, gestión de privilegios y verificación periódica de privilegios

Derecho de Portabilidad de Datos: Los titulares pueden solicitar que sus datos sean transmitidos a otro responsable cuando el tratamiento está basado en consentimiento, relación contractual o se ejerce mediante medios automatizados.

Derechos del Titular de Datos Personales (ARCO+)

Los titulares de datos personales cuentan con derechos fundamentales para proteger su privacidad:

Acceso: Derecho a conocer qué información sobre sí mismo existe en bancos de datos públicos o privados, cómo y por qué fue recopilada, y qué transferencias se han realizado o planean realizarse.

Rectificación: Derecho a modificar datos que sean inexactos, erróneos, falsos, incompletos, desactualizados u omitidos.

Cancelación o Supresión: Derecho a solicitar la eliminación de datos cuando ya no cumplan una finalidad, se haya revocado el consentimiento o haya vencido el plazo de tratamiento.

Oposición: Derecho a rechazar o cesar el tratamiento de datos personales en situaciones específicas y con causa fundada.

Derecho de Información: Derecho a ser informado sobre la finalidad del tratamiento, destinatarios y banco de datos donde se almacenan.

Revocatoria: Derecho a revocar el consentimiento de forma parcial o total en cualquier momento, sin justificación y sin efectos retroactivos.

Plazos de respuesta:

  • Solicitudes de acceso: 20 días hábiles
  • Rectificación, cancelación y oposición: 10 días hábiles

Obligaciones de Responsables y Encargados del Tratamiento

Las personas naturales, empresas privadas y entidades públicas que traten datos personales deben cumplir con obligaciones específicas establecidas en la LPDP:

  • Obtener consentimiento informado, expreso e inequívoco antes del tratamiento, salvo excepciones legales
  • No recopilar datos mediante medios fraudulentos, desleales o ilícitos
  • Recopilar solo datos actualizados, necesarios, pertinentes y adecuados para las finalidades establecidas
  • Almacenar datos de manera que permita ejercer derechos del titular
  • Suprimir, actualizar o completar datos cuando sean inexactos o incompletos
  • Mantener datos solo el tiempo necesario
  • Implementar medidas de seguridad apropiadas

Inscripción de Bancos de Datos Personales

Toda persona, entidad privada o pública que genere un banco de datos personales está obligada a inscribirlo en el Registro Nacional de Protección de Datos Personales (RNPD).

Cambios importantes desde marzo 2025:

  • Gratuito: Ya no hay costo de inscripción
  • Aprobación automática: El procedimiento es inmediato
  • Sujeto a fiscalización posterior

Proceso de inscripción:

  • Se realiza online a través de la plataforma SIPDP: https://sipdp.minjus.gob.pe/sipdp-virtual/public/login.xhtml
  • Se necesita crear cuenta de usuario con documento que acredite facultades de representación
  • Se completa formulario de inscripción con firma digital
  • Se obtiene constancia de inscripción y código del banco de datos

La inscripción permite que los titulares de datos tengan mayor visibilidad sobre quién administra su información y dónde se almacena.

Mecanismos Voluntarios de Responsabilidad Proactiva

El nuevo reglamento introduce instrumentos voluntarios que funcionan como atenuantes de responsabilidad en procedimientos sancionadores:

Evaluaciones de Impacto a la Privacidad: Análisis preventivo de riesgos inherentes al tratamiento de datos personales. Permiten identificar escenarios de riesgo y adoptar medidas de seguridad anticipadas.

Códigos de Conducta: Documentos que definen responsabilidades, procesos de manejo de datos y mecanismos de supervisión. Deben ser:

  • Claros y accesibles, redactados en lenguaje sencillo
  • Delimitados con precisión en su ámbito de aplicación
  • Incluir procedimientos facilitadores del ejercicio de derechos ARCO
  • Contener mecanismos de confidencialidad y supervisión de cumplimiento

Implementar estos mecanismos puede reducir significativamente las multas administrativas en caso de incumplimiento.

Sistema de Sanciones por Incumplimiento

La ANPD tiene facultad sancionadora y establece tres tipos de infracciones. Las multas en Perú se expresan en Unidades Impositivas Tributarias (UIT). Para 2025, 1 UIT equivale a aproximadamente S/ 5,150:

Infracciones Leves:

  • Multa: 0.5 a 5 UIT (aproximadamente S/ 2,575 a S/ 25,750)
  • Ejemplos: No inscribir bancos de datos, no rectificar o suprimir datos solicitados
  • Representan el 29% de los procedimientos sancionadores

Infracciones Graves:

  • Multa: 5 a 50 UIT (aproximadamente S/ 25,750 a S/ 257,500)
  • Ejemplos: No atender derechos ARCO, tratar datos sin consentimiento, violar confidencialidad
  • Esto incluye incumplimiento del principio de seguridad (20% de resoluciones)

Infracciones Muy Graves:

  • Multa: 50 a 100 UIT (aproximadamente S/ 257,500 a S/ 515,000)
  • Ejemplos: Recopilación mediante fraude, ilegalidad o deslealtad; suministro de información falsa a ANPD
  • La multa no puede exceder el 10% de ingresos brutos anuales del infractor

Fiscalización de la ANPD: En 2023 realizó 336 fiscalizaciones principalmente en sectores financiero y retail, imponiendo multas por más de S/ 8 millones en 2022. Se observa que 29% de infracciones corresponden a no inscripción de bancos de datos.

Buenas Prácticas Alineadas con GDPR

Para empresas peruanas que desean implementar estándares de clase mundial, se recomiendan las siguientes prácticas inspiradas en el GDPR europeo:

Gestión de Consentimiento:

  • Implementar banners o formularios claros que soliciten consentimiento antes de recopilar datos
  • Mantener registro documentado del consentimiento obtenido
  • Permitir que los usuarios revoquen el consentimiento fácilmente

Evaluaciones de Impacto:

  • Realizar antes de implementar nuevos tratamientos de datos
  • Documentar riesgos identificados
  • Implementar medidas mitigadoras

Transparencia y Comunicación:

  • Publicar políticas de privacidad accesibles y claras
  • Informar a usuarios sobre qué datos se recopilan y por qué
  • Mantener actualizada la información en bancos de datos registrados

Seguridad Técnica y Organizativa:

  • Implementar encriptación de datos en tránsito y en reposo
  • Realizar auditorías de seguridad periódicas
  • Capacitar al personal sobre protección de datos
  • Mantener documentación de medidas de seguridad formal

Derechos del Titular:

  • Crear procesos ágiles para atender solicitudes ARCO
  • Cumplir dentro de los plazos legales establecidos
  • Mantener registros de solicitudes y respuestas

Notificación de Brechas:

  • Implementar sistema para detectar incidentes
  • Establecer protocolo de respuesta en 48 horas
  • Documentar todos los incidentes, incluso menores

Transferencias Transfronterizas de Datos

El nuevo reglamento precisa criterios para transferencias internacionales de datos. Se puede transferir a países cuando existe nivel adecuado de protección, considerando:

  • Existencia de marco jurídico de protección
  • Garantías de privacidad
  • Mecanismos de cumplimiento

Para servicios cloud de empresas como Google o Microsoft, se debe verificar que el país destino garantice protección equivalente a la peruana.

Responsabilidades Específicas para Diferentes Tipos de Organizaciones

Empresas Extranjeras: Si operan en Perú, realizan negocios dirigidos a peruanos o analizan comportamiento de ciudadanos peruanos, deben:

  • Cumplir con LPDP peruana
  • Designar representante en Perú
  • Notificar ANPD sobre brechas en 48 horas
  • Contar con política de seguridad formal

Empresas Nacionales: Deben realizar todas las obligaciones mencionadas, incluyendo:

  • Inscripción de bancos de datos en RNPD
  • Designación de DPO si aplica
  • Mantener evaluaciones de impacto y códigos de conducta
  • Cooperación con ANPD en investigaciones

Autoridades Públicas: Tienen obligaciones adicionales de designar DPO obligatoriamente de conformidad con Ley de Gobierno Digital.

Cumplimiento Progresivo del Nuevo Reglamento

La entrada en vigencia del nuevo reglamento tiene diferentes fechas según obligaciones:

  • 30 de marzo de 2025: Vigencia general del reglamento
  • 30 de noviembre de 2025: Entrada en vigencia progresiva de obligación de designar Oficial de Cumplimiento de Datos Personales, basada en volumen de ventas anuales

Acciones Recomendadas para Empresas Peruanas

  1. Auditoría de Datos: Inventariar todos los bancos de datos que posee la organización
  2. Inscripción en RNPD: Registrar todos los bancos de datos antes del 30 de marzo de 2025
  3. Política de Seguridad: Desarrollar documento formal aprobado que detalle medidas de protección
  4. Designación de DPO: Si aplica según volumen de datos o tipo de datos sensibles
  5. Consentimiento Explícito: Revisar y actualizar mecanismos de consentimiento
  6. Evaluación de Impacto: Realizar evaluación de riesgos a la privacidad
  7. Capacitación: Entrenar personal en protección de datos
  8. Protocolos de Incidentes: Establecer sistema de detección y respuesta 48 horas
  9. Código de Conducta: Considerar adoptar código de conducta sectorial
  10. Asesoramiento Legal: Consultar con especialistas en compliance de datos

La protección de datos personales en Perú es ahora un área de compliance crítica, especialmente con la entrada en vigencia del nuevo reglamento el 30 de marzo de 2025. Las empresas que alineen sus operaciones con estándares similares al GDPR europeo no solo evitarán sanciones significativas de la ANPD, sino que también fortalecerán la confianza de clientes y posibles inversores internacionales. El nuevo marco regulatorio representa una oportunidad para que Perú se posicione a la vanguardia de protección de datos en América Latina.