Publicaciones

Garrigues

ELIGE TU PAÍS / ESCOLHA O SEU PAÍS / CHOOSE YOUR COUNTRY / WYBIERZ SWÓJ KRAJ / 选择您的国家

Perú: Se publica el nuevo Reglamento de la Ley de Protección de Datos Personales

Perú - 

La nueva normativa, además de incluir muchas novedades no contempladas por la anterior versión del reglamento, desarrolla de manera específica temas que generaban dudas en la interpretación y determinación de obligaciones en materia de tratamiento de datos personales.  

Con fecha 30 de noviembre de 2024 fue publicado el Decreto Supremo No. 016-2024-JUS, mediante el cual se aprueba el nuevo Reglamento de la Ley de Protección de Datos Personales, que entra en vigor el 30 de marzo de 2025 (120 días desde su publicación), derogando la versión anterior publicada en 2013.

A continuación, las disposiciones más relevantes:

  • Se establecen reglas específicas para la aplicación territorial de la LPDP respecto de empresas no domiciliadas

Se incluye como supuesto de aplicación de la normativa peruana de protección de datos personales a todo responsable del tratamiento que no se encuentre en territorio peruano pero realiza (i) actividades relacionadas a la oferta de bienes o servicios dirigidos a los titulares de datos personales ubicados en territorio peruano y/o (ii) actividades orientadas al análisis de comportamiento de los titulares de datos personales ubicados en territorio peruano, así como la elaboración de perfiles que busquen predeterminar conductas, preferencias, hábitos o similares.

Todo responsable extranjero tiene la obligación de designar un representante en el territorio peruano o para el territorio peruano, el cual es el punto de contacto con la Autoridad Nacional de Protección de Datos Personales. Se concretan las maneras de comunicar acerca de esta representación.

  • Se precisan los criterios para determinar el nivel adecuado de protección de datos personales para el flujo transfronterizo

Se precisan las condiciones mínimas recurrentes que toma en cuenta la Autoridad de Protección de Datos Personales para determinar el nivel adecuado de protección de datos personales de un país: (i) la existencia de un marco jurídico legal de protección de datos personales, (ii) la existencia de principios para el tratamiento de los datos personales, (iii) la existencia de normas que reconozcan y garanticen los derechos de los titulares de datos y que puedan disponer de vías para ejercer los mismos; y (iv) la existencia de una autoridad encargada de la protección de datos personales, o de aquellas que cumplan esta función, para supervisar y sancionar por infracciones a la normativa.

  • Se implementan las obligaciones específicas para el tratamiento de datos para la publicidad y prospección comercial
    • No es lícito realizar un nuevo contacto o tratamiento de datos personales si después del primer contacto no se obtuvo consentimiento del titular de datos personales para dicho tratamiento.
    • Para el primer contacto, los datos personales pueden haber sido obtenidos de fuentes accesibles al público. En este caso, el responsable del tratamiento de la información debe poder informar acerca de esta fuente durante el primer contacto y a requerimiento del titular de los datos personales.
    • Se presume que la responsabilidad del tratamiento de datos personales para publicidad y prospección comercial es de aquel en cuyo interés se realiza tal tratamiento, salvo prueba en contrario. El titular de datos personales tiene derecho de negarse, revocar u oponerse al tratamiento de sus datos personales para estos fines a través de un procedimiento sencillo. Esta solicitud se debe atender dentro del plazo máximo de 10 días.
  • Nuevas obligaciones ante incidentes de seguridad de datos personales

Se implementa la obligación de notificar a la Autoridad Nacional de Protección de Datos Personales como máximo dentro de las 48 horas posteriores a haber tomado conocimiento o constancia de ello, aun cuando el responsable de tratamiento de datos personales considere que tal incidente ha sido subsanado o resuelto internamente.

Si el incidente se desarrolla en y/o mediante el entorno digital se debe notificar también al Centro Nacional de Seguridad Digital para su incorporación al Registro Nacional de Incidentes de Seguridad Digital.

Por su parte, el titular de los datos personales también debe ser informado del incidente dentro de las 48 horas sin dilación indebida, en un lenguaje sencillo y claro para su comprensión, así como de las medidas adoptadas para mitigar sus efectos. Cuando el incidente de seguridad de datos personales no produjo la afectación antes descrita y fue superado totalmente por las medidas adoptadas, no subsiste la obligación de comunicar dicho incidente al titular de los datos personales.

  • Se crea la figura de “oficial de datos personales”

Tanto el responsable como el encargado de tratamiento deben designar a un oficial de datos personales cuando: (i) sea una entidad pública, (ii) el responsable o el encargado de tratamiento realicen tratamientos de grandes volúmenes de datos personales, en cantidad o tipo de datos, o que pueda afectar a un gran número de personas; cuando se trate de datos sensibles; o cuando se produzca un perjuicio evidente a otros derechos o libertades del titular del dato personal; o (iii) el responsable o el encargado del tratamiento realicen actividades principales o de giro de negocio que comprendan el tratamiento de datos sensibles.

Esta designación debe ser comunicada a la Autoridad de Protección de Datos Personales dentro de los 15 días siguientes a la designación o actualización y los datos de este oficial deben ser visibles para todo titular de datos personales.

Un grupo empresarial puede nombrar un único oficial de datos personales siempre que sea fácil contactarlo desde cada establecimiento.

  • Nuevas medidas de seguridad obligatorias

Se precisan y desarrollan de manera más detallada las obligaciones en materia de seguridad.

Adicionalmente, se implementa la obligación de contar con un documento de seguridad que debe ser aprobado formalmente y contar con fecha cierta. Este documento debe estar actualizado y contener, como mínimo, los procedimientos de gestión de accesos, la gestión de privilegios y la verificación periódica de los privilegios asignados referentes a los sistemas de información, incluyendo plataformas tecnológicas, aplicaciones móviles y motores de bases de datos, entre otros, empleados para realizar el tratamiento de datos personales.

  • Modificación y precisión de las sanciones e infracciones.

Se modifican y precisan las sanciones e infracciones aplicables en caso de incumplimiento a la normativa de protección de datos personales. Se cuantifican las sanciones por incumplimiento de medidas coercitivas. Se regula de manera expresa el concepto de reincidencia.

 

En este enlace se puede descargar un documento con los aspectos más relevantes que trae el nuevo Reglamento de la Ley de Protección de Datos Personales

 

Perú, Laboral

Profesional de contacto

Franco Muschi

Contactar

  • +51 1 399 2600

    Lima

Consultar más profesionales

Servicios relacionados

Oficinas relacionadas

Buscar publicación

Date of publication

Buscador de noticias