La Ley de Protección de Datos Personales de Perú, formalmente conocida como Ley N° 29733, representa un marco integral para la protección de los datos personales de las personas dentro del país. Promulgada en 2011 y complementada por su reglamento de aplicación mediante el Decreto Supremo 003-2013-JUS, esta legislación establece obligaciones claras para las organizaciones que recopilan, tratan y almacenan datos personales. Para las empresas que operan en Perú o manejan datos de ciudadanos peruanos, comprender esta ley es esencial para evitar sanciones regulatorias y mantener la confianza del consumidor.
Ámbito de aplicación
La Ley 29733 se aplica a todo dato personal contenido en o destinado a bancos de datos personales, ya sean administrados por entidades públicas o privadas dentro de Perú. La ley cubre el tratamiento de datos personales realizado en territorio peruano, incluyendo los casos en que un responsable del tratamiento no establecido en Perú utilice medios situados en el país para procesar datos. Existen ciertas exenciones para el uso personal o doméstico de datos, datos procesados con fines de seguridad nacional y datos contenidos en fuentes de acceso público.
La ley distingue entre los titulares del banco de datos personales, que determinan las finalidades y medios del tratamiento, y los encargados del tratamiento, que procesan datos por cuenta del titular. Ambos roles conllevan obligaciones distintas dentro del marco regulatorio.
Los ocho principios rectores
La Ley 29733 se sustenta en ocho principios fundamentales que rigen cómo deben manejarse los datos personales. Estos principios constituyen la base del cumplimiento y orientan todas las actividades de tratamiento.
1. Principio de legalidad
Todo tratamiento de datos personales debe realizarse conforme a la ley. Los datos deben recopilarse por medios lícitos y legítimos, y cualquier actividad de tratamiento debe tener una base legal válida. Este principio prohíbe el uso de métodos fraudulentos, engañosos o ilícitos para obtener datos personales.
2. Principio de consentimiento
Se requiere el consentimiento libre, previo, expreso, informado e inequívoco del titular de datos para el tratamiento de sus datos personales. El consentimiento debe obtenerse antes de la recopilación de datos y debe especificar las finalidades del tratamiento. Se aplican ciertas excepciones, como cuando el tratamiento es exigido por ley o cuando los datos se obtienen de fuentes de acceso público.
3. Principio de finalidad
Los datos personales deben recopilarse para una finalidad determinada, explícita y lícita. Los datos no deben tratarse de manera incompatible con la finalidad declarada. Si surge una nueva finalidad, debe obtenerse un nuevo consentimiento del titular, salvo que aplique una excepción legal.
4. Principio de proporcionalidad
El tratamiento de datos personales debe ser adecuado, pertinente y no excesivo en relación con la finalidad para la cual fueron recopilados. Las organizaciones deben recopilar únicamente la cantidad mínima de datos necesaria para cumplir el objetivo declarado.
5. Principio de calidad
Los datos personales deben ser exactos, completos, actualizados y necesarios para la finalidad del tratamiento. Los titulares de bancos de datos son responsables de garantizar la calidad de los datos que poseen y deben tomar medidas razonables para corregir o eliminar información inexacta o desactualizada.
6. Principio de seguridad
Los titulares de bancos de datos deben implementar medidas técnicas, organizativas y legales apropiadas para garantizar la seguridad de los datos personales y prevenir su alteración, pérdida, tratamiento no autorizado o acceso indebido. El nivel de seguridad debe ser proporcional a la naturaleza de los datos y los riesgos involucrados en su tratamiento.
7. Principio de disposición de recurso
Los titulares de datos deben contar con medios efectivos de recurso para ejercer sus derechos respecto a sus datos personales. Esto incluye el acceso a vías administrativas y judiciales para presentar quejas y buscar remedios cuando sus derechos de protección de datos hayan sido vulnerados.
8. Principio de nivel de protección
Para las transferencias internacionales de datos personales, el país receptor debe proporcionar un nivel de protección equivalente al establecido por la legislación peruana. Este principio garantiza que los datos personales no pierdan sus protecciones cuando se transfieren a través de fronteras.
Derechos de los titulares de datos (ARCO)
La Ley 29733 otorga a los titulares de datos un conjunto integral de derechos conocidos colectivamente por el acrónimo ARCO (Acceso, Rectificación, Cancelación, Oposición). Estos derechos facultan a las personas para mantener el control sobre su información personal.
- Derecho de acceso: Los titulares pueden solicitar información sobre los datos personales que se mantienen sobre ellos, incluyendo la finalidad del tratamiento y los destinatarios de los datos
- Derecho de rectificación: Las personas pueden solicitar la corrección de datos personales inexactos, incompletos o desactualizados
- Derecho de cancelación: Los titulares pueden solicitar la eliminación o supresión de sus datos personales cuando ya no sean necesarios para la finalidad para la cual fueron recopilados
- Derecho de oposición: Las personas pueden oponerse al tratamiento de sus datos personales cuando tengan motivos legítimos para hacerlo
Los titulares de bancos de datos deben responder a las solicitudes ARCO en un plazo máximo de veinte días hábiles. Nuestro módulo Gestor de Protección de Datos proporciona flujos de trabajo estructurados para gestionar estas solicitudes de manera eficiente y dentro de los plazos regulatorios.
Obligaciones de los titulares de bancos de datos
Las organizaciones que mantienen bancos de datos personales tienen obligaciones específicas bajo la Ley 29733. Estas incluyen registrar sus bancos de datos en el Registro Nacional, obtener el consentimiento válido antes de la recopilación de datos, implementar medidas de seguridad apropiadas y garantizar que los datos se procesen únicamente para las finalidades declaradas. Los titulares también deben designar a una persona responsable de atender las solicitudes de los titulares de datos y de mantener el cumplimiento de la ley.
Al contratar encargados del tratamiento de terceros, el titular del banco de datos sigue siendo responsable de garantizar el cumplimiento. Deben existir acuerdos de tratamiento que especifiquen el alcance del procesamiento, las medidas de seguridad y las obligaciones de confidencialidad.
Supervisión y cumplimiento de la ANPDP
La Autoridad Nacional de Protección de Datos Personales (ANPDP), que opera bajo el Ministerio de Justicia y Derechos Humanos, sirve como la autoridad supervisora de protección de datos de Perú. La ANPDP es responsable de supervisar el cumplimiento de la Ley 29733, mantener el Registro Nacional de Bancos de Datos Personales, resolver quejas, realizar investigaciones e imponer sanciones.
La ANPDP tiene la facultad de realizar inspecciones, solicitar información a los titulares de bancos de datos y emitir directivas vinculantes. Sus capacidades de cumplimiento se han fortalecido considerablemente desde su establecimiento, con un número creciente de investigaciones y sanciones cada año.
Decreto Supremo 003-2013-JUS
El reglamento de aplicación contenido en el Decreto Supremo 003-2013-JUS proporciona orientación detallada sobre cómo deben aplicarse en la práctica las disposiciones de la Ley 29733. Este reglamento desarrolla los requisitos de consentimiento, los procedimientos para ejercer los derechos ARCO, las medidas de seguridad, las transferencias internacionales de datos y el proceso de registro de bancos de datos personales. El decreto también establece plazos específicos de cumplimiento y define los estándares técnicos que las organizaciones deben cumplir.
Sanciones y régimen sancionador
La Ley 29733 establece un marco sancionador escalonado con tres categorías de infracciones. Las infracciones leves pueden resultar en multas de 0,5 a 5 UIT (Unidades Impositivas Tributarias). Las infracciones graves conllevan multas de 5 a 50 UIT. Las infracciones muy graves, como el tratamiento de datos sensibles sin consentimiento o la obstrucción de las funciones de supervisión de la ANPDP, pueden resultar en multas de 50 a 100 UIT. Más allá de las sanciones económicas, la ANPDP puede ordenar la suspensión de actividades de tratamiento de datos y exigir la implementación de medidas correctivas.
El valor de la UIT se ajusta anualmente por el gobierno peruano. A las tasas actuales, las sanciones máximas por infracciones muy graves representan una exposición financiera significativa para las organizaciones no conformes.
Registro de bancos de datos personales
Uno de los requisitos más distintivos del marco peruano de protección de datos es el registro obligatorio de los bancos de datos personales ante el Registro Nacional de la ANPDP. Todas las entidades públicas y privadas que mantienen bancos de datos personales deben registrarlos, proporcionando detalles sobre la finalidad del banco de datos, las categorías de datos almacenados, las medidas de seguridad implementadas y cualquier transferencia internacional de datos. La falta de registro constituye una infracción bajo la ley.
El proceso de registro requiere una documentación cuidadosa de las características de cada banco de datos. Nuestro Gestor de Protección de Datos ayuda a las organizaciones a mantener registros completos que facilitan este requisito de registro.
Pasos prácticos para el cumplimiento
Lograr el cumplimiento de la Ley 29733 requiere un enfoque estructurado que aborde todos los aspectos del marco regulatorio. Estos son los pasos esenciales que las organizaciones deben seguir:
- Realice un inventario de datos: Identifique todos los bancos de datos personales dentro de su organización, mapeando qué datos se recopilan, cómo se procesan, dónde se almacenan y quién tiene acceso
- Registre sus bancos de datos: Presente las solicitudes de registro ante el Registro Nacional de la ANPDP para todos los bancos de datos personales identificados
- Revise los mecanismos de consentimiento: Asegúrese de que se obtenga un consentimiento válido e informado antes de recopilar datos personales y documente todos los registros de consentimiento sistemáticamente
- Implemente medidas de seguridad: Despliegue salvaguardas técnicas y organizativas apropiadas a la sensibilidad de los datos procesados
- Establezca procedimientos ARCO: Cree flujos de trabajo claros para gestionar solicitudes de acceso, rectificación, cancelación y oposición dentro del plazo de veinte días hábiles
- Revise las transferencias internacionales: Evalúe si algún dato personal se transfiere fuera de Perú y asegure que existan protecciones adecuadas
- Capacite a su personal: Asegúrese de que los empleados comprendan sus obligaciones de protección de datos mediante programas regulares de formación en concienciación
- Designe un responsable de cumplimiento: Nombre a una persona o equipo responsable de supervisar el cumplimiento de la protección de datos, o considere contratar un servicio de DPD externalizado
- Documente todo: Mantenga registros detallados de las actividades de tratamiento, registros de consentimiento, medidas de seguridad y evidencia de cumplimiento
Conclusión
La Ley 29733 de Perú establece un marco robusto de protección de datos que exige un cumplimiento proactivo por parte de las organizaciones que manejan datos personales. Con la ANPDP intensificando sus actividades de cumplimiento y sanciones que conllevan consecuencias financieras significativas, las empresas no pueden permitirse ignorar sus obligaciones. Comprendiendo los ocho principios rectores, respetando los derechos de los titulares de datos e implementando medidas integrales de cumplimiento, las organizaciones pueden cumplir sus obligaciones legales mientras construyen una confianza duradera con los consumidores peruanos. Una plataforma digital de cumplimiento como el Mapa de Cumplimiento ResGuard puede agilizar este proceso centralizando la gestión de la protección de datos y proporcionando supervisión continua de su postura de cumplimiento.