PROTECCIÓN DE DATOS PERSONALES: OBLIGACIÓN LEGAL INMEDIATA PARA LAS EMPRESAS PERUANAS

Las empresas que manejan datos de clientes, empleados o proveedores enfrentan una realidad normativa que no puede postergarse más.

Por: Luis Fernando Gonzales Méndez ^[1]

La Ley N° 29733 de Protección de Datos Personales, vigente desde 2011, y su nuevo reglamento aprobado mediante Decreto Supremo N° 016-2024-JUS, establecen obligaciones concretas cuyo incumplimiento puede generar multas de hasta 100 UIT.

Una obligación que muchos ignoran

Desde julio de 2011, toda organización que recopile, almacene o procese datos personales debe cumplir con un marco legal específico. Sin embargo, muchas empresas operan sin conocer que cualquier lista de clientes en Excel, base de empleados o registro de proveedores constituye un banco de datos personales que debe estar inscrito en el Registro Nacional de Protección de Datos.

La Autoridad Nacional de Protección de Datos Personales, ejercida por el Ministerio de Justicia, ha intensificado sus acciones de fiscalización en los últimos dos años. Las denuncias por mal uso de datos personales o por impedimento en el ejercicio de derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) se han multiplicado, especialmente en sectores como salud, finanzas, educación y comercio electrónico.

Obligaciones que deben cumplirse sin demora

Entre las principales: inscribir todos los bancos de datos en el Registro Nacional gratuito; elaborar un Documento de Seguridad con fecha cierta que contenga procedimientos de acceso, inventario de datos y medidas implementadas; obtener consentimiento previo e informado para todo tratamiento, especialmente por escrito para datos sensibles; implementar medidas técnicas como copias de  respaldo semanales, control de accesos y registros de trazabilidad; establecer procedimientos ARCO con respuesta en 20 días; designación obligatoria de un Oficial de Datos Personales, acceso al derecho de portabilidad, que permitirá a los usuarios solicitar sus datos para transferirlos entre proveedores; y mantener políticas de privacidad transparentes.

Adicionalmente, el nuevo reglamento precisa la obligación de notificar incidentes de seguridad en 48 horas y refuerza los controles para entornos digitales.

Costos y beneficios de cumplir

Las multas van hasta 100 UIT; sin embargo, más allá de la sanción, las empresas que implementan adecuadamente la protección de datos reportan beneficios tangibles: mayor confianza de sus clientes, ventaja competitiva en licitaciones públicas y privadas, mejor organización interna de la información, y preparación para expandirse a mercados.

Recomendaciones

Para las empresas que aún no han implementado estas medidas, el camino es claro: realizar un diagnóstico inmediato de todos los datos personales que manejan; elaborar la documentación obligatoria con asesoría especializada; inscribir sus bancos de datos en el registro nacional; capacitar a su personal sobre el manejo adecuado de datos; e implementar las medidas técnicas y organizativas necesarias.

Es importante entender que cada día de incumplimiento aumenta el riesgo legal y reputacional.

La protección de datos personales es una obligación legal vigente que refleja el respeto por los derechos fundamentales de las personas. Las empresas que actúen ahora no solo evitarán sanciones significativas, sino que se posicionarán como organizaciones confiables en un mercado que valora cada vez más la privacidad y la seguridad de la información.

——————————————————————————————————–

[1] Socio fundador de HRG ABOGADOS. Especialista en Protección de Datos Personales. Docente en la Universidad Privada Antenor Orrego