El 30 de noviembre de 2024 se publicó el Decreto Supremo N° 016-2024-JUS en el Diario Oficial “El Peruano”, que aprueba el nuevo Reglamento de la Ley N° 29733, Ley de Protección de Datos Personales (el “Reglamento”).

Este Reglamento introduce modificaciones clave que refuerzan la protección de datos personales y actualizan el marco normativo peruano a estándares internacionales. A continuación, se resumen los principales aspectos de la norma:

1. Vigencia y plazos de implementación:

El nuevo Reglamento de manera general entrará en vigencia a partir de los 120 días calendario siguientes a su publicación. No obstante, la designación del Oficial de Datos Personales, obligación contenida en el Reglamento, seguirá un calendario progresivo, basado en el volumen de datos tratados y la sensibilidad de estos:

• 1 año después de la publicación del Reglamento: Para empresas con ventas anuales superiores a 2300 UIT.
• 2 años después de la publicación del Reglamento: Para empresas medianas con ventas anuales superiores a 1700 UIT y hasta el monto máximo de 2300 UIT.
• 3 años después de la publicación del Reglamento: Para pequeñas empresas con ventas anuales superiores a 150 UIT y hasta el monto máximo de 1700 UIT
• 4 años después de la publicación del Reglamento: Para microempresas con ventas anuales hasta el monto máximo de 150 UIT y otros equivalentes.

Adicionalmente, la disposición referida a la portabilidad de datos personales surtirá efecto a partir de los 6 meses luego de la entrada en vigencia del Reglamento.

2. Oficial de Datos Personales (ODP):

Se establece la obligación progresiva de designar un ODP en un plazo de cuatro años. Esta figura será obligatoria para:

• Entidades públicas que realicen tratamientos de datos personales.
• Organizaciones que traten grandes volúmenes de datos personales.
• Entidades cuya actividad principal implique el manejo de datos sensibles, como información sobre salud, datos biométricos, afiliación sindical, entre otros.

El ODP será responsable de supervisar el cumplimiento normativo y actuar como punto de contacto con la Autoridad Nacional de Protección de Datos Personales (ANPD).

3. Reconocimiento del Derecho de Portabilidad:

El Reglamento amplía el entendimiento del derecho de acceso a datos personales, incorporando la portabilidad de los datos. Esto permite a los titulares solicitar la transferencia de su información personal a otros responsables o titulares de bancos de datos, reforzando su control sobre los mismos.

4. Evaluación de impacto relativo a la protección de datos:

El Reglamento introduce la Evaluación de Impacto relativa a la Protección de Datos Personales, que permite a los responsables del tratamiento identificar y mitigar riesgos antes de iniciar actividades que involucren datos personales. Es opcional, pero altamente recomendada para quienes manejen datos sensibles, datos de niños o adolescentes, o grandes volúmenes de información.

La evaluación se puede elaborar tomando como referencia la guía, lineamientos y procedimientos

Establecidos en la NTP-ISO/IEC 27005 y la NTP-ISO 31000 u otros estándares relacionados con

el análisis y la evaluación de riesgos para la protección de datos personales.

5. Códigos de conducta e incidentes de seguridad:

El Reglamento incentiva la implementación de Códigos de Conducta como herramientas voluntarias para reforzar el cumplimiento normativo. Estos documentos deberán incluir, entre otros, (i) las actividades a que el código se refiere y los tratamientos sometidos al mismo, (ii) el establecimiento de procedimientos que faciliten el ejercicio de los derechos, (iii) los mecanismos para asegurar la confidencialidad de los datos personales por parte de quienes los traten, (iv) las acciones de fomento y difusión en materia de protección de datos personales dirigidas a quienes los traten y (v) cláusulas para la obtención del consentimiento.

Por otro lado, se regula el reporte de incidentes de seguridad que involucren datos personales. Los titulares de bancos de datos o responsables de tratamiento quedan obligados a notificar incidentes de seguridad a la ANPD dentro de las 48 horas posteriores al conocimiento del hecho, salvo que existan motivos justificados para la demora. Además, deben informar a los afectados sobre el nivel de exposición de sus datos y las medidas adoptadas.

6. Actualización en seguridad y normas ISO:

El Reglamento actualiza los estándares de seguridad conforme a las normas más recientes, destacando la NTP-ISO/IEC 27001 sobre tecnologías de información. Esto refuerza la adopción de medidas alineadas con buenas prácticas internacionales para la gestión de riesgos y protección de datos.

7. Protección de derechos para niños, niñas y adolescentes:

El Reglamento incorpora disposiciones específicas para garantizar los derechos de menores de edad:

• Consentimiento para mayores de 14 años: Se establece que los adolescentes mayores de 14 años pueden prestar su consentimiento para el acceso a servicios digitales, siempre que las políticas de privacidad estén redactadas en un lenguaje adaptado y sencillo para su comprensión.
• Esfuerzos razonables para verificar edad: Se establece la obligación de adoptar medidas razonables, considerando la tecnología disponible, para identificar la edad de los usuarios y garantizar que el contenido y los servicios sean apropiados para ellos.
• Prohibición de recabar información a través de niños y adolescentes: Se prohíbe la recopilación de información sobre los demás miembros de su grupo familiar, como los relativos a la actividad profesional de sus progenitores, información económica, datos sociológicos o cualquier otro, sin el consentimiento de los titulares de tales datos.

8. Nivel adecuado de protección de datos personales:

El Reglamento introduce la regulación sobre lo que se debe entender por “nivel adecuado de protección de datos personales” en el marco de una transferencia internacional de los datos, señalado que para determinar el nivel de protección adecuado de un país, la Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales emite una resolución con el fin de determinar si este cuenta con una protección equiparable a lo dispuesto en la Ley de Protección de Datos Personales y el Reglamento. La mencionada resolución se emitirá de oficio o a solicitud de parte.

9. Responsables o titulares de bancos de datos situados fuera de Perú:

El Reglamento establece expresamente que le son aplicables las disposiciones de la Ley de Protección de Datos Personales y el Reglamento al titular del banco de datos personales o el responsable del tratamiento que no se encuentre establecido en Perú, pero utilice medios situados en dicho territorio; comprendiendo los siguientes supuestos:

• Cuando realiza actividades relacionadas a la oferta de bienes o servicios dirigidos a los titulares de datos personales ubicados en territorio peruano.
• Cuando realiza actividades orientadas al análisis de comportamiento de los titulares de datos personales ubicados en territorio peruano, así como la elaboración de perfiles para predeterminar conductas, preferencias, hábitos o similares.

Adicionalmente, en estos supuestos el titular del banco de datos personales o el responsable, deberá designar un representante en el territorio peruano o para el territorio peruano, quien será punto de contacto con la ANPD.

10. Simplificación del registro de bancos de datos personales:

Se simplifica el procedimiento para la inscripción, modificación y cancelación de bancos de datos personales ante el registro que administra la ANPD, el cual ahora será automático y gratuito.