A través del Decreto Supremo N° 016-2024-JUS, de fecha 30 de noviembre de 2024, se aprobó el nuevo Reglamento de la Ley 29733 – Ley de Protección de datos personales, el cual entra en vigor el 30 de marzo de 2025, derogando el Decreto Supremo N.º 003-2013-JUS.
A continuación detallaremos los principales cambios acontecidos por la presente normativa:
- Oficial de Datos Personales:
El nuevo reglamento establece la obligatoriedad de contar con un «oficial de datos personales» para entidades públicas y organizaciones que manejen grandes volúmenes de datos personales o información sensible, especialmente cuando esto pueda afectar derechos fundamentales de numerosos individuos.
Este oficial debe ser nombrado por el titular del banco de datos o el encargado de tratamiento, y comunicado a la Autoridad de Protección de Datos Personales en 15 días, manteniendo sus datos de contacto públicamente accesibles. Los grupos empresariales pueden designar un único oficial para todas sus empresas, siempre que sea fácilmente contactable.
- Derechos de los titulares de datos personales:
Los titulares de datos personales tienen derechos que deben ser garantizados por los responsables del tratamiento. Estos derechos incluyen:
- Acceso a la Información: Los titulares tienen derecho a acceder a sus datos en un formato claro y comprensible.
- Rectificación: Es derecho del titular solicitar la modificación de datos que sean inexactos, erróneos o falsos.
- Actualización: Los titulares pueden solicitar la actualización de sus datos, indicando las modificaciones necesarias y presentando la documentación que respalde su solicitud.
- Implementación de nuevas medidas de seguridad:
Entre las principales medidas de seguridad implementadas respecto a los responsables del tratamiento de datos están:
- La elaboración de un inventario que contendrá los datos personales y los sistemas empleados para el tratamiento de ellos así como la especificación de si se trata de un dato sensible.
- Realizar copias de respaldo con la debida actualización de datos personales mínimamente con una frecuencia semanal.
- Aplicación extraterritorial de la Ley de Protección de Datos Personales
Se establece la aplicación extraterritorial de la ley sobre los responsables del tratamiento de datos personales que no se encuentren en Perú, cuando estos realizan dos actividades específicas:
- Cuando ofrecen bienes o servicios dirigidos a titulares de datos personales ubicados en territorio peruano;
- Cuando efectúan análisis de comportamiento y elaboración de perfiles predictivos sobre titulares de datos personales que se encuentren en Perú.
En consecuencia, para los responsables extranjeros, la norma establece que deberán nombrar un representante legal “en” o “para” Perú. Este representante servirá como punto de contacto para la autoridad de protección de datos, y facilitará la comunicación y el cumplimiento de las nuevas regulaciones.
- Tratamiento de datos personales de niños, niñas y adolescentes en internet
En el marco del entorno digital, el nuevo reglamento establece obligaciones específicas para el titular del banco de datos personales o el responsable del tratamiento en relación con la verificación de identidad de quienes otorgan el consentimiento en dos escenarios particulares: En primer lugar, cuando se obtiene el consentimiento de adolescentes mayores de catorce años pero menores de dieciocho años; y en segundo lugar, cuando el consentimiento proviene de quienes ejercen la patria potestad o tutela sobre menores de catorce años.
- Notificación en caso de presentarse un incidente de seguridad:
Para poder detallar este punto, es necesario definir en qué consiste un incidente de seguridad. De conformidad con el artículo 16 del título preliminar del presente reglamento, un incidente de seguridad es toda vulneración que ocasione la destrucción, pérdida, alteración ilícita de los datos personales o la comunicación o exposición no autorizada a dichos datos. En caso de presentar un incidente de seguridad, este debe ser notificado a la Autoridad y al titular de los datos personales, sólo si dicho incidente afecta algún derecho, dentro de un plazo de 48 horas de haberse tomado conocimiento.
- Atenuantes de responsabilidad administrativa
Se aumentaron dos atenuantes de responsabilidad administrativa los cuales son:
- La implementación debidamente acreditada de un Código de Conducta
- La implementación previa al inicio del procedimiento administrativo sancionador de la Evaluación de Impacto relativa a la protección de datos personales
En conclusión, el Reglamento de la Ley N.º 29733 representa un avance significativo en la protección de la privacidad y la información personal en Perú. Al establecer un marco normativo claro y riguroso, se busca crear un entorno digital más seguro y confiable, reafirmando el compromiso del Estado peruano con la protección de los derechos fundamentales de los ciudadanos en la era digital. Este reglamento no solo protege a los individuos, sino que también fomenta una cultura de responsabilidad y transparencia en el manejo de datos personales.
Un dato importante de esta nueva normativa es que el reglamento es de aplicación al tratamiento de los datos personales, aun cuando no se encuentren en un banco de datos personales.
Ingresa a visualizar la nueva normativa a través del siguiente link: https://epdoc2.elperuano.pe/EpPo/VistaNLSE.asp?Referencias=MjM0OTY1My0xMjAyNDExMzA=