El 31 de marzo de 2025 entra en vigor el nuevo Reglamento de Protección de Datos Personales, que marcará un antes y un después en materia de fiscalización y supervisión de información sensible y resguardo de los datos personales, lo que incluye la recopilación, tratamiento y medidas de seguridad implementadas por las compañías.
“Si bien varios países de la región ya cuentan con normas que regulan el tratamiento de datos personales, siendo la más antigua la de Chile, publicada en 1999; la regulación peruana que está pronta a entrar en vigor ha adoptado una serie de disposiciones contenidas únicamente en marcos normativos de países europeos. Esto la vuelve una de las más avanzadas de la región y convierte al Perú en un referente en esta materia a nivel de Latinoamérica”, comenta Bruno Mejía, Líder de Competencia y Mercados de EY Law.
De acuerdo con la experiencia de años anteriores, los sectores que han estado bajo una mayor supervisión son el financiero, de salud, educativo y retail. Esto se debe al elevado volumen de datos que gestionan, lo que implica un contacto mayor con información sensible de los clientes.
“La tendencia indica que el número de supervisiones irá en aumento con el nuevo reglamento. En 2023 la Autoridad Nacional de Protección de Datos Personales(ANPD) supervisó a 336 entidades, cifra que incrementó a 454 en 2024”, agrega Mejía.
La nueva normativa representa un significativo avance para el país, aunque también plantea desafíos operativos para las empresas. Esto se debe a que el reglamento introduce cambios sustanciales en la gestión de los datos personales, los cuales las compañías deben considerar cuidadosamente para evitar infracciones o sanciones. Entre los aspectos más destacados se encuentran.
- Contar con un Oficial de Datos Personales (ODP): El objetivo es que esta nueva posición personifique a la entidad fiscalizadora en la empresa, además de ser la encargada de intermediar entre ambos actores. Es requerida únicamente para las compañías que interactúen con grandes volúmenes de datos o traten datos sensibles (ej.: datos de salud, biométricos, afiliación sindical, entre otros) como actividad principal o giro de negocio. Su designación se debe realizar, de modo progresivo, en un plazo de 4 años, de acuerdo con el tamaño de la empresa. En el caso de las grandes empresas (ventas anuales superiores a 2,300 IT), tienen hasta un 1 año después de la fecha de publicación del Reglamento para designar a este oficial. Las empresas medianas (ventas anuales superiores a 1,700 UIT y hasta 2,300 UIT), tiene 2 años; las empresas pequeñas (ventas anuales superiores a 150 UIT y hasta 1,700 UIT) tienen 3 años; y las microempresas (ventas anuales hasta 150 UIT), tienen hasta 4 años. Asimismo, el oficial puede incorporarse como trabajador de la empresa, así como también por medio de la tercerización, a través de un proveedor.
- Notificar incidentes de seguridad en un plazo de 48 horas: En caso exista un incidente con respecto a la seguridad de las bases de datos, la empresa tendrá 2 días hábiles para notificarlo ante la autoridad. Si el incidente es notificado fuera de este plazo, se aplicará la multa respectiva, la cual dependerá del alcance del daño en el mercado (número de personas afectadas) y la duración de la infracción.
“Los primeros tres meses desde la entrada en vigor de la norma (periodo de abril a junio) serán fundamentales para que las empresas puedan adecuarse a los nuevos requerimientos, lo cual no descarta que se puedan realizar también en este periodo las primeras fiscalizaciones. No obstante, el periodo que será clave es entre julio y diciembre, donde la autoridad probablemente intensifique las actividades de supervisión, tomando en cuenta los nuevos parámetros de la norma”, finaliza Mejía.