La protección de datos personales en Perú entra en una nueva etapa con la aprobación del nuevo Reglamento de la Ley N.º 29733, Ley de Protección de Datos Personales. La norma fue aprobada mediante el Decreto Supremo N.º 016-2024-JUS, publicado el 30 de noviembre de 2024, y reemplaza al reglamento anterior de 2013.
Este cambio normativo busca modernizar el marco legal peruano frente al crecimiento del comercio digital, el uso de plataformas tecnológicas, la inteligencia artificial, el marketing automatizado, la analítica de datos y los nuevos riesgos de ciberseguridad.
Para las empresas peruanas, el nuevo reglamento representa un llamado a revisar cómo recopilan, almacenan, utilizan, comparten y protegen la información personal de clientes, trabajadores, proveedores y usuarios.
Un nuevo marco para la privacidad en Perú
El nuevo Reglamento de la Ley de Protección de Datos Personales introduce obligaciones más claras para quienes tratan información personal. Según EY Perú, la norma entró en vigor el 31 de marzo de 2025 y trae cambios relevantes para empresas y organizaciones que manejan datos personales en el país.
Esto significa que las compañías ya no pueden tratar la privacidad como un asunto secundario o meramente documental. La protección de datos debe integrarse en los procesos internos, contratos, sistemas tecnológicos, campañas comerciales y políticas de atención al cliente.
La norma busca fortalecer principios como consentimiento, transparencia, seguridad, responsabilidad y respeto de los derechos de los titulares de datos.
Qué empresas deben prestar atención al nuevo reglamento
El nuevo reglamento impacta a cualquier empresa que recopile o utilice datos personales en Perú. Esto incluye comercios electrónicos, bancos, fintech, clínicas, colegios, universidades, inmobiliarias, aseguradoras, empresas de tecnología, agencias de marketing, call centers, marketplaces, hoteles, restaurantes, apps y negocios que gestionen bases de datos de clientes.
También afecta a empresas pequeñas y medianas que manejan información como nombres, correos electrónicos, teléfonos, direcciones, documentos de identidad, datos laborales, datos de salud, hábitos de consumo o información financiera.
El tamaño de la empresa no elimina la obligación de cumplir. Lo importante es si existe tratamiento de datos personales.
Consentimiento y transparencia: puntos clave para las empresas
Uno de los pilares de la protección de datos personales es el consentimiento. Las empresas deben informar de manera clara para qué recopilan los datos, cómo los usarán, durante cuánto tiempo los conservarán y si serán compartidos con terceros.
Esto es especialmente importante en formularios web, campañas de email marketing, registros de clientes, programas de fidelización, encuestas, contratos laborales y plataformas digitales.
Las cláusulas genéricas o poco claras pueden generar riesgos. En adelante, las empresas deben trabajar con avisos de privacidad más comprensibles y específicos, evitando recopilar información innecesaria o usarla para fines distintos a los informados.
Seguridad de la información y prevención de riesgos
El nuevo reglamento también exige a las empresas fortalecer las medidas de seguridad. Proteger datos personales no significa únicamente tener documentos legales; también implica contar con controles técnicos y organizativos.
Esto puede incluir contraseñas seguras, control de accesos, cifrado, copias de seguridad, capacitación al personal, protocolos frente a incidentes, revisión de proveedores y políticas internas de manejo de información.
En un contexto donde aumentan los ataques informáticos y filtraciones de datos, la seguridad se convierte en un elemento esencial para evitar sanciones, daños reputacionales y pérdida de confianza.
Oficial de Datos Personales: una nueva figura relevante
Uno de los cambios más importantes es la incorporación del Oficial de Datos Personales, una figura encargada de apoyar el cumplimiento de la normativa dentro de determinadas organizaciones. De acuerdo con EY Perú, desde el 30 de noviembre de 2025 las grandes empresas peruanas deben designar de forma obligatoria a un Oficial de Datos Personales, y el incumplimiento puede generar multas de hasta S/ 26,750.
Este rol puede ayudar a coordinar políticas internas, responder solicitudes de titulares, monitorear riesgos, capacitar equipos y servir como punto de contacto frente a la Autoridad Nacional de Protección de Datos Personales.
Aunque no todas las empresas estén obligadas en los mismos términos, contar con una persona responsable de privacidad puede ser una buena práctica para reducir riesgos.
Derechos de los titulares de datos personales
Las personas tienen derecho a conocer qué datos tiene una empresa sobre ellas, solicitar correcciones, pedir cancelación, oponerse a determinados tratamientos y ejercer otros derechos reconocidos por la normativa.
Por eso, las empresas deben contar con canales claros para recibir y atender solicitudes. No basta con publicar una política de privacidad; también es necesario tener procedimientos internos para responder dentro de los plazos aplicables.
Una mala gestión de estos derechos puede generar reclamos, fiscalizaciones y sanciones.
Impacto en marketing, ventas y comercio electrónico
El nuevo reglamento tiene un impacto directo en las áreas de marketing y ventas. Las empresas que usan bases de datos para enviar promociones, newsletters, mensajes por WhatsApp, llamadas comerciales o campañas segmentadas deben asegurarse de contar con una base legal adecuada.
También deben revisar si los datos fueron obtenidos correctamente, si el usuario fue informado y si existe autorización para fines comerciales.
En comercio electrónico, las tiendas online deberán cuidar especialmente sus formularios de registro, pasarelas de pago, cookies, políticas de privacidad, términos de uso y tratamiento de datos de clientes.
Proveedores y transferencia de datos
Muchas empresas comparten datos personales con terceros: agencias de marketing, plataformas de email, servicios cloud, procesadores de pago, call centers, consultores, sistemas CRM o proveedores tecnológicos.
El nuevo enfoque de cumplimiento exige revisar estos vínculos. Las empresas deben asegurarse de que sus proveedores traten la información de forma segura y conforme a la normativa.
Esto implica actualizar contratos, establecer obligaciones de confidencialidad, definir responsabilidades y evaluar si existen transferencias internacionales de datos.
Riesgos de incumplimiento para las empresas
El incumplimiento de la normativa de datos personales puede generar multas, fiscalizaciones, reclamos de usuarios y daños reputacionales. En 2026, EY informó que también se aprobó una metodología para el cálculo de multas en protección de datos personales, lo que refuerza la importancia de contar con programas de cumplimiento.
Más allá de la sanción económica, una mala gestión de datos puede afectar la confianza de clientes, socios comerciales e inversionistas. En sectores como banca, salud, educación, tecnología y ecommerce, la privacidad ya es parte de la competitividad empresarial.
Cómo prepararse para cumplir con el nuevo reglamento
Las empresas peruanas deberían comenzar por realizar un diagnóstico de datos personales. Esto implica identificar qué información recopilan, dónde se almacena, quién tiene acceso, para qué se usa y con quién se comparte.
Después, conviene actualizar políticas de privacidad, formularios de consentimiento, contratos con proveedores, protocolos de seguridad y procedimientos para atender derechos de titulares.
También es recomendable capacitar al personal. Muchas brechas de privacidad no ocurren por mala intención, sino por desconocimiento: envío de correos con datos sensibles, uso indebido de bases comerciales, acceso no autorizado o falta de control documental.
Conclusión
El nuevo Reglamento de la Ley de Protección de Datos Personales en Perú marca un cambio importante para el entorno empresarial. La privacidad deja de ser solo un requisito legal y se convierte en una responsabilidad estratégica para cualquier organización que maneje información personal.
Las empresas que se adapten a tiempo podrán reducir riesgos, mejorar la confianza de sus clientes y fortalecer su reputación. En cambio, aquellas que ignoren la normativa pueden enfrentar sanciones, reclamos y pérdida de credibilidad.
En una economía cada vez más digital, proteger los datos personales no es solo cumplir con la ley: es proteger el valor, la confianza y la sostenibilidad del negocio.