Las multas por incumplimiento varían entre 0.5 y 50 UIT, según la gravedad.
En un reciente conversatorio realizado en Lima sobre brechas de ciberseguridad y protección de datos, los expertos Erick Iriarte, especialista en derecho digital, y Alberto Juárez, vicepresidente global de verificación de identidad y servicios de confianza en Sovos, analizaron la regulación vigente, los próximos plazos, las sanciones por incumplimiento y brindaron recomendaciones para implementar buenas prácticas de protección de datos personales en las empresas.
La digitalización acelerada que vive el país y el incremento de ciberataques han hecho imperativo contar con un marco normativo más estricto y actualizado para proteger la privacidad de millones de ciudadanos. En ese contexto, el nuevo Reglamento de la Ley N.º 29733 de Protección de Datos Personales entró en vigencia el 30 de marzo de 2025, introduciendo una serie de obligaciones que marcarán un antes y un después para las empresas peruanas, sin importar su tamaño o sector.
Uno de los cambios más relevantes es la obligatoriedad de contar con un Oficial de Datos Personales (ODP), una figura clave responsable de garantizar el cumplimiento normativo y gestionar incidentes de seguridad o reclamos de usuarios. Los plazos para cumplir con esta obligación varían según el tamaño de la empresa:
- Empresas grandes (más de 2,300 UIT): hasta el 30 de noviembre de 2025
- Medianas empresas (1,700 a 2,300 UIT): hasta el 30 de noviembre de 2026
- Pequeñas empresas (150 a 1,700 UIT): hasta el 30 de noviembre de 2027
- Microempresas (menos de 150 UIT): hasta el 30 de noviembre de 2028
No designar a un ODP en el plazo establecido puede generar sanciones de entre 0.5 y 5 UIT. Más allá de la multa, esta omisión puede traer consecuencias significativas, ya que el ODP también será corresponsable en caso de incumplimientos normativos.
Además, a partir del primer semestre de 2025, todas las organizaciones que manejen datos personales deberán:
- Notificar incidentes de seguridad a la Autoridad Nacional de Protección de Datos Personales (APDP) en un plazo máximo de 48 horas. Si el incidente ocurre en un entorno digital, también debe informarse al Centro Nacional de Seguridad Digital.
- Informar a los titulares de los datos cuando sus derechos hayan sido vulnerados.
- Implementar medidas de seguridad reforzadas, especialmente al tratar con datos sensibles.
- Atender el derecho a la portabilidad de los datos en tiempo y forma.
- Realizar evaluaciones de impacto (aunque estas son facultativas, pueden servir como atenuantes en caso de una sanción).
Las multas por incumplimiento varían entre 0.5 y 50 UIT, según la gravedad. Por ejemplo, no notificar un incidente grave puede costar hasta 50 UIT. Además, la falta de documentación interna sobre la gestión del incidente puede considerarse una obstrucción y agravar la sanción.
La figura del Oficial de Datos Personales (ODP)
Erick Iriarte explicó que el ODP debe ser un profesional capacitado que actúe como punto de contacto entre la empresa, la autoridad reguladora y los titulares de datos. Puede pertenecer al área legal, tecnológica o de compliance, y su designación debe ser formalmente documentada por la organización.
“El Oficial no solo debe responder solicitudes o incidentes, sino también promover políticas internas, evaluaciones de riesgo y capacitar al personal. Puede ser interno o tercerizado, pero tendrá responsabilidad funcional en caso de incumplimiento”, agregó el experto.
Buenas prácticas para evitar sanciones por filtración de datos personales
Alberto Juárez destacó que el principal reto para las empresas es lograr un equilibrio entre seguridad y protección de datos con experiencia del usuario.
“Una buena estrategia de protección de datos debe partir desde la concepción del producto. Se debe tener presente que cada dato que el usuario comparte es una llave de su identidad. Por ello, la privacidad no es un valor agregado, sino el núcleo sobre el cual debemos forjar la tecnología que nos permitirá identificarnos en una comunidad digital segura”, enfatizó.
Además, compartió un conjunto de recomendaciones clave para proteger adecuadamente los datos personales y evitar sanciones o daños reputacionales:
1. Autoevaluación y mejora continua: Realizar auditorías periódicas, aplicar estándares como ISO 27001 e identificar vulnerabilidades antes de que sean explotadas. La clave está en la prevención, la autoevaluación constante y la adaptación a nuevas amenazas.
2. Educación y capacitación: El cumplimiento normativo debe verse como una necesidad fundamental y el pilar para crear una cultura de seguridad digital, formando a empleados, aliados y clientes sobre los riesgos y buenas prácticas en la protección de datos.
3. Minimización de datos personales: Recoger solo la información estrictamente necesaria para la operación de la empresa. Evitar almacenar datos sensibles sin una justificación clara.
4. Transparencia en el manejo de datos: Redactar políticas de privacidad claras, simples y accesibles. Es esencial que el usuario comprenda por qué se recopilan sus datos, cómo se protegen y qué implicaciones tiene compartirlos.
5. Colaboración multisectorial: Trabajar con el Estado, gremios y ciudadanos para fortalecer un ecosistema digital seguro. Notificar intentos de fraude y compartir información sobre ataques para mejorar la defensa colectiva.
6. Cambio de mentalidad: Las empresas deben dejar de ver la seguridad como un costo y empezar a considerarla una inversión en confianza y reputación.
Al finalizar el evento, tanto Iriarte como Juárez coincidieron en que el nuevo entorno regulatorio peruano requiere madurez digital, liderazgo corporativo y una cultura de ciberseguridad transversal. Ya no basta con cumplir lo mínimo: se exige proactividad, transparencia y responsabilidad.
“Las compañías deben adoptar una actitud más preventiva y menos reactiva frente a los potenciales intentos de fraude o robo de datos personales. El solo hecho de que alguien vea a la seguridad como un costo y no como una inversión indica que no está entendiendo el problema”, concluyó el experto de Sovos.
