Empresas deben cumplir nuevas regulaciones de protección de datos personales

Sepa aquí cómo implementarlas para evitar sanciones

ANDINA/Difusión

19:22 | Lima, may. 31.

La digitalización acelerada que vive el país y el incremento de ciberataques han hecho imperativo contar con un marco normativo más estricto y actualizado para proteger la privacidad de millones de ciudadanos.

En ese contexto, el nuevo Reglamento de la Ley N.º 29733 de Protección de Datos Personales entró en vigencia el 30 de marzo de 2025, introduciendo una serie de obligaciones que marcarán un antes y un después para las empresas peruanas, sin importar su tamaño o sector.

-Cinco soluciones tecnológicas para ahorrar dinero por consumo de luz

Uno de los cambios más relevantes es la obligatoriedad de contar con un Oficial de Datos Personales (ODP), una figura clave responsable de garantizar el cumplimiento normativo y gestionar incidentes de seguridad o reclamos de usuarios. Los plazos para cumplir con esta obligación varían según el tamaño de la empresa:

- Empresas grandes (más de 2,300 UIT): hasta el 30 de noviembre de 2025

- Medianas empresas (1,700 a 2,300 UIT): hasta el 30 de noviembre de 2026

- Pequeñas empresas (150 a 1,700 UIT): hasta el 30 de noviembre de 2027

- Microempresas (menos de 150 UIT): hasta el 30 de noviembre de 2028

No designar a un ODP en el plazo establecido puede generar sanciones de entre 0.5 y 5 UIT. Más allá de la multa, esta omisión puede traer consecuencias significativas, ya que el ODP también será corresponsable en caso de incumplimientos normativos.

Además, a partir del primer semestre de 2025, todas las organizaciones que manejen datos personales deberán:

- Notificar incidentes de seguridad a la Autoridad Nacional de Protección de Datos Personales (APDP) en un plazo máximo de 48 horas. Si el incidente ocurre en un entorno digital, también debe informarse al Centro Nacional de Seguridad Digital.

- Informar a los titulares de los datos cuando sus derechos hayan sido vulnerados.

- Implementar medidas de seguridad reforzadas, especialmente al tratar con datos sensibles.

- Atender el derecho a la portabilidad de los datos en tiempo y forma.

- Realizar evaluaciones de impacto (aunque estas son facultativas, pueden servir como atenuantes en caso de una sanción).

Las multas por incumplimiento varían entre 0.5 y 50 UIT, según la gravedad. Por ejemplo, no notificar un incidente grave puede costar hasta 50 UIT. Además, la falta de documentación interna sobre la gestión del incidente puede considerarse una obstrucción y agravar la sanción.

Erick Iriarte, especialista en derecho digital, explicó que el ODP debe ser un profesional capacitado que actúe como punto de contacto entre la empresa, la autoridad reguladora y los titulares de datos. Puede pertenecer al área legal, tecnológica o de compliance, y su designación debe ser formalmente documentada por la organización.

“El Oficial no solo debe responder solicitudes o incidentes, sino también promover políticas internas, evaluaciones de riesgo y capacitar al personal. Puede ser interno o tercerizado, pero tendrá responsabilidad funcional en caso de incumplimiento”, agregó el experto.

Alberto Juárez, vicepresidente global de verificación de identidad y servicios de confianza en Sovos, destacó que el principal reto para las empresas es lograr un equilibrio entre seguridad y protección de datos con experiencia del usuario.

“Una buena estrategia de protección de datos debe partir desde la concepción del producto. Se debe tener presente que cada dato que el usuario comparte es una llave de su identidad. Por ello, la privacidad no es un valor agregado, sino el núcleo sobre el cual debemos forjar la tecnología que nos permitirá identificarnos en una comunidad digital segura”, enfatizó.

Más en Andina:

??? La compañía Lima Airport Partners (LAP) aseveró que los sectores público y privado deben continuar trabajando en equipo a fin de potenciar la conectividad e infraestructura de transporte en el país. https://t.co/P570bjiU8W pic.twitter.com/dUk5a8GkEI
— Agencia Andina (@Agencia_Andina) May 31, 2025