Empresas y entidades públicas deben designar un Oficial de Datos Personales para reforzar la protección de la información. | Foto: Freepick
Empresas y entidades públicas deben designar un Oficial de Datos Personales para reforzar la protección de la información. | Foto: Freepick

El pasado 31 de noviembre el Ejecutivo publicó el Nuevo Reglamento a la Ley de Protección de Datos Personales, estableciendo disposiciones clave que buscan reforzar la seguridad y privacidad de la información personal en el país. La normativa, que entrará en vigor en un plazo de 120 días calendario, introduce cambios significativos para empresas, entidades públicas y ciudadanos.

Alejandro Morales, líder del área de Derecho y Nuevas Tecnologías en TYTL Abogados, destacó que este reglamento “marca un antes y un después en la manera en que las organizaciones gestionan los datos personales en el Perú. Ahora no basta con cumplir; hay que demostrar ese cumplimiento ante las autoridades”.

Principales novedades del reglamento

  1. Designación obligatoria de un Oficial de Datos Personales: Las entidades públicas, aquellas que procesen grandes volúmenes de datos o trabajen principalmente con datos sensibles, deberán designar un oficial encargado de garantizar el cumplimiento normativo. “La obligatoriedad de este rol refuerza la profesionalización en la gestión de datos y alinea al Perú con estándares internacionales”, señala Morales.
  2. Notificación obligatoria de incidentes de seguridad: Cualquier incidente que comprometa la seguridad de los datos deberá ser reportado a la Autoridad Nacional de Protección de Datos Personales en un plazo máximo de 48 horas tras su conocimiento. En ese sentido, Morales advierte que la rápida notificación será clave para minimizar los riesgos y garantizar la transparencia frente a los titulares de los datos.
  3. Incorporación del derecho a la portabilidad de datos personales: Este nuevo derecho permite a los ciudadanos solicitar la transferencia de sus datos a otro proveedor cuando el tratamiento esté basado en el consentimiento o una relación contractual.
  4. Nuevas medidas de seguridad y evaluaciones de impacto: Se establecen requisitos como la implementación de políticas de seguridad formalizadas y la realización de evaluaciones de impacto para tratamientos de datos de alto riesgo. “Estas medidas no solo atenúan sanciones, sino que fortalecen la confianza de los usuarios en las empresas”, subraya el abogado.
  5. Regulación de decisiones automatizadas y principios fundamentales: El reglamento obliga a informar sobre la existencia de decisiones automatizadas, incluida la elaboración de perfiles, y refuerza los principios de responsabilidad proactiva y transparencia. “El responsable del tratamiento debe demostrar su cumplimiento y garantizar que los titulares de los datos tengan acceso claro y sencillo a la información sobre el manejo de su información personal”, detalla Morales.
  6. Contacto inicial para consentimiento: Se regula expresamente la posibilidad de realizar un primer y único contacto con los titulares de datos personales, siempre que estos datos hayan sido obtenidos de fuentes accesibles al público y se busque obtener su consentimiento para tratarlos.

¿Cómo afecta esta normativa?

El nuevo reglamento representa un desafío para las empresas, que deberán actualizar sus procesos internos y capacitar a sus equipos para garantizar el cumplimiento. Sin embargo, también trae beneficios importantes, como un marco más claro para la protección de los derechos de los ciudadanos.

“Estamos frente a una oportunidad para que las organizaciones peruanas eleven sus estándares en privacidad de datos, una demanda cada vez más exigida tanto por la regulación como por el mercado”, enfatiza Alejandro Morales.

TE PUEDE INTERESAR