Alerta de nuevo Reglamento de la Ley N° 29733, Ley de Protección de Datos Personales

El sábado 30 de noviembre de 2024, se publicó, mediante Decreto Supremo N° 16-2024-JUS, el nuevo Reglamento de la Ley N° 29733, Ley de Protección de Datos Personales (en adelante el “Reglamento”). A continuación, se detallan las principales novedades del Reglamento:

• • Notificación de incidentes de seguridad: Se debe notificar a la Autoridad Nacional de Protección de Datos Personales los incidentes de seguridad que involucren datos personales dentro de las 48 horas posteriores a su conocimiento.

• • Notificación a los titulares: Si el incidente afecta los derechos de los titulares, el responsable debe notificarles dentro de las 48 horas posteriores a su conocimiento.

• • Documentación de incidentes: El responsable del tratamiento debe documentar cualquier incidente de seguridad, incluyendo los hechos, efectos y medidas adoptadas

• • Designación de un Oficial de Datos Personales: Es obligatorio cuando se traten grandes volúmenes de datos personales, datos sensibles o cuando se afecten otros derechos.

• • Implementación de documento de seguridad: Debe incluir los procedimientos de gestión de accesos, gestión de privilegios y verificación periódica de los privilegios asignados, con fecha cierta.

• • Evaluación de impacto: Recomendada para tratamiento de datos sensibles, creación de perfiles personales, datos de personas en especial situación de vulnerabilidad (niños, adolescentes, pueblos indígenas en aislamiento, personas con discapacidad).

• • Portabilidad de datos personales: Derecho que puede ser ejercido cuando el tratamiento esté basado en el consentimiento o relación contractual y se realice mediante medios automatizados.

• • Representante en Perú: El responsable de tratamiento, ubicado en el Perú o en el extranjero, deberá designar un representante para el territorio peruano.

• • Publicidad: El tratamiento de datos para fines publicitario es lícito solo con el consentimiento previo del titular del dato.

• • Nuevos principios: (i) Transparencia: el tratamiento debe ser informado de manera clara, fácil y accesible; y (ii) Responsabilidad proactiva: el responsable de tratamiento debe cumplir y demostrar el cumplimiento efectivo de la normativa.

• • Transferencia de datos personales dentro de un grupo económico, afiliadas y vinculadas: Debe efectuarse previo consentimiento del titular de los datos, salvo excepciones legales.

• • Tratamiento de datos de menores de 14: Es lícito con el consentimiento de quienes ejercen la patria potestad o tutela.

• • Registro Nacional de Protección de Datos Personales: La inscripción de actos es gratuita y de aprobación automática.

• • Infracciones incorporadas:

• • Infracciones leves: (i) informar de forma incompleta el tratamiento de los datos personales señaladas en el artículo 18 de la Ley, (ii) atender fuera del plazo el ejercicio material de los derechos del titular de datos personales, y (iii) no designar al Oficial de Datos Personales, cuando corresponda.
    • Infracciones graves: (i) no inscribir o actualizar el Registro Nacional de Protección de Datos Personales, luego de que haya sido requerido por la Autoridad, (ii) obstruir el ejercicio de la función fiscalizadora de la Autoridad.

    • • Infracciones muy graves: (i) realzar tratamiento de datos personales sensibles incumpliendo las medidas de seguridad y generando con ello un perjuicio al titular del dato personal o una exposición no autorizada.

• • Entrada en vigor: El Reglamento estará vigente desde el 30 de marzo de 2025. Las obligaciones relacionadas con la implementación del Oficial de Datos Personales entrarán en vigor gradualmente según el siguiente cronograma:

Finalmente, el derecho de Portabilidad entra en vigor el 30 de setiembre de 2025.