La Ley N° 29733 de Protección de Datos Personales (LPDP) y su Reglamento constituyen el marco normativo fundamental para el tratamiento de datos personales en Perú. Con la creciente digitalización empresarial, el cumplimiento de esta normativa se ha vuelto crítico para evitar sanciones que pueden alcanzar las 50 UIT (S/ 247,500 en 2024).
Este artículo presenta una guía práctica y actualizada para el cumplimiento de la LPDP, incluyendo obligaciones, procedimientos y mejores prácticas.
Marco Normativo
Legislación Aplicable
Normativa principal:
| Norma | Descripción | Fecha |
|---|---|---|
| Ley N° 29733 | Ley de Protección de Datos Personales | 03/07/2011 |
| D.S. N° 003-2013-JUS | Reglamento de la Ley 29733 | 22/03/2013 |
| D.S. N° 011-2014-JUS | Modificatoria del Reglamento | 16/10/2014 |
| Directiva N° 01-2020-JUS/DGTAIPD | Lineamientos de seguridad | 06/02/2020 |
Autoridad de control:
La Autoridad Nacional de Protección de Datos Personales (APDP), adscrita al Ministerio de Justicia y Derechos Humanos, es el órgano competente para:
- Supervisar cumplimiento de la LPDP
- Imponer sanciones administrativas
- Administrar el Registro Nacional de Protección de Datos
- Resolver reclamaciones de titulares
- Emitir directivas y opiniones consultivas
Ámbito de Aplicación
La LPDP aplica a:
- ✅ Tratamiento de datos personales en territorio peruano
- ✅ Datos de personas naturales identificadas o identificables
- ✅ Tratamiento automatizado y no automatizado
- ✅ Bancos de datos públicos y privados
Exclusiones:
- ❌ Datos para uso exclusivamente personal o doméstico
- ❌ Datos anonimizados irreversiblemente
- ❌ Datos de personas jurídicas
- ❌ Información clasificada como secreta, reservada o confidencial por razones de seguridad nacional
Conceptos Fundamentales
Datos Personales
Definición (Art. 2.4 LPDP):
“Toda información sobre una persona natural que la identifica o la hace identificable a través de medios que pueden ser razonablemente utilizados”
Ejemplos de datos personales:
| Categoría | Ejemplos |
|---|---|
| Identificativos | DNI, nombre, dirección, email, teléfono |
| Biométricos | Huella dactilar, reconocimiento facial, iris |
| Económicos | Ingresos, deudas, historial crediticio |
| Laborales | Cargo, empleador, historial laboral |
| Académicos | Títulos, certificados, historial educativo |
| De salud | Historial médico, diagnósticos, tratamientos |
Datos Sensibles
Definición (Art. 2.5 LPDP):
Datos personales referidos a:
- Origen racial o étnico
- Opiniones o convicciones políticas, religiosas, filosóficas o morales
- Afiliación sindical
- Información relacionada a la salud o a la vida sexual
Protección reforzada:
- Requieren consentimiento expreso y escrito
- Solo pueden tratarse cuando la ley lo autoriza expresamente
- Prohibido crear bancos de datos con finalidad principal de almacenar datos sensibles
Actores del Tratamiento
1. Titular de datos personales:
- Persona natural a quien pertenecen los datos
- Ejerce derechos ARCO
2. Responsable del tratamiento:
- Decide sobre finalidad y medios del tratamiento
- Determina qué datos recopilar
- Responsable ante la APDP y titulares
3. Encargado del tratamiento:
- Trata datos por cuenta del responsable
- Actúa bajo instrucciones del responsable
- Ejemplos: proveedor de nóminas, hosting, call center tercerizado
Principios Rectores
Los 8 Principios de la LPDP
1. Principio de Legalidad (Art. 4):
- Tratamiento conforme a ley
- No se pueden recopilar datos por medios fraudulentos
2. Principio de Consentimiento (Art. 5):
- Consentimiento libre, previo, expreso, informado e inequívoco
- Excepciones taxativas en la ley
3. Principio de Finalidad (Art. 6):
- Datos para finalidades determinadas, explícitas y lícitas
- No tratamiento para fines incompatibles
4. Principio de Proporcionalidad (Art. 7):
- Solo datos adecuados, relevantes y no excesivos
- Minimización de datos
5. Principio de Calidad (Art. 8):
- Datos exactos, completos y actualizados
- Posibilidad de rectificación y supresión
6. Principio de Seguridad (Art. 9):
- Medidas técnicas, organizativas y legales
- Protección contra tratamiento no autorizado
7. Principio de Disposición de Recurso (Art. 10):
- Mecanismos efectivos para ejercer derechos
- Acceso a tutela administrativa y jurisdiccional
8. Principio de Nivel de Protección Adecuado (Art. 11):
- Transferencias internacionales solo a países con nivel adecuado
- O con garantías apropiadas
Obligaciones del Responsable
Consentimiento
Requisitos del consentimiento válido:
- Libre: Sin coacción ni condicionamiento indebido
- Previo: Antes del tratamiento
- Expreso: Manifestación clara (escrita, verbal, electrónica)
- Informado: Conociendo finalidad, responsable, derechos
- Inequívoco: Sin dudas sobre la voluntad
Excepciones al consentimiento (Art. 14):
- Datos en fuentes accesibles al público
- Datos necesarios para relación contractual
- Datos de salud en emergencias
- Tratamiento por entidades públicas en ejercicio de funciones
- Datos para estudios históricos, estadísticos o científicos (anonimizados)
- Cuando ley autoriza expresamente
- Interés legítimo del responsable (con limitaciones)
Consentimiento para datos sensibles:
- Debe ser expreso y por escrito
- No cabe consentimiento tácito
- Documento separado si es en formulario
Deber de Información
Información obligatoria al titular (Art. 18):
Al momento de recopilar datos, informar:
- ✅ Identidad y domicilio del responsable
- ✅ Finalidad del tratamiento
- ✅ Destinatarios o categorías de destinatarios
- ✅ Existencia del banco de datos
- ✅ Carácter obligatorio u opcional de las respuestas
- ✅ Consecuencias de negarse a proporcionar datos
- ✅ Transferencia internacional prevista
- ✅ Derechos ARCO y cómo ejercerlos
Política de privacidad:
Documento público que debe contener:
- Información del Art. 18
- Medidas de seguridad implementadas
- Tiempo de conservación de datos
- Procedimiento para ejercer derechos
Registro de Bancos de Datos
Obligación de inscripción (Art. 29):
Todo banco de datos personales debe inscribirse ante la APDP.
Información del registro:
- Denominación del banco de datos
- Responsable del tratamiento
- Finalidad
- Categorías de datos y titulares
- Origen de los datos
- Destinatarios de transferencias
- Medidas de seguridad
Plazo: 30 días hábiles desde la creación del banco de datos
Procedimiento:
- Acceder al portal web de la APDP: https://www.minjus.gob.pe/proteccion-de-datos/
- Crear cuenta de usuario
- Completar formulario de inscripción
- Adjuntar documentos requeridos
- Pagar tasa (gratuito para MYPES)
Sanciones por no inscripción: Infracción grave (hasta 50 UIT)
Medidas de Seguridad
Directiva de Seguridad (Directiva N° 01-2020):
Medidas organizativas obligatorias:
- ✅ Designar responsable de seguridad de datos
- ✅ Política de seguridad documentada
- ✅ Capacitación al personal
- ✅ Acuerdos de confidencialidad con empleados
- ✅ Procedimiento de gestión de incidentes
Medidas técnicas obligatorias:
- ✅ Control de acceso (autenticación, autorización)
- ✅ Registro de accesos (logs)
- ✅ Cifrado de datos sensibles
- ✅ Copias de respaldo
- ✅ Protección contra malware
- ✅ Seguridad en comunicaciones
Medidas según volumen de datos:
| Categoría | Criterio | Medidas Adicionales |
|---|---|---|
| Básico | <10,000 registros | Medidas mínimas |
| Intermedio | 10,000-100,000 registros | + Auditorías anuales |
| Complejo | >100,000 registros | + ISO 27001 recomendado |
Derechos ARCO
Acceso
Derecho del titular a:
- Obtener información sobre si sus datos están siendo tratados
- Acceder a sus datos personales
- Conocer finalidad, origen y cesiones realizadas
Procedimiento:
- Titular presenta solicitud escrita al responsable
- Responsable responde en máximo 20 días hábiles
- Información gratuita (una vez al año)
Contenido de la respuesta:
- Datos personales tratados
- Origen de los datos
- Finalidades del tratamiento
- Cesiones realizadas o previstas
Rectificación
Derecho del titular a:
- Actualizar datos inexactos, incompletos o desactualizados
- Corregir errores
Procedimiento:
- Solicitud indicando datos a rectificar
- Responsable responde en máximo 10 días hábiles
- Notificación a cesionarios si hubo transferencia
Cancelación (Supresión)
Derecho del titular a:
- Eliminar datos cuando el tratamiento no se ajuste a la ley
- Suprimir datos innecesarios
Limitaciones:
- No aplica si existe obligación legal de conservación
- No aplica si hay relación contractual vigente
- No aplica a datos anonimizados
Procedimiento:
- Solicitud indicando datos a suprimir
- Responsable responde en máximo 10 días hábiles
- Bloqueo previo a eliminación definitiva
Oposición
Derecho del titular a:
- Oponerse al tratamiento por motivos legítimos
- Oponerse a decisiones automatizadas
Casos típicos:
- Marketing directo
- Elaboración de perfiles
- Tratamiento basado en interés legítimo
Efecto: Cese del tratamiento para la finalidad objetada
Ejercicio de Derechos
Requisitos de la solicitud:
- Identificación del titular (copia DNI)
- Especificación del derecho ejercido
- Documentos que sustenten la solicitud
- Dirección para notificaciones
Gratuidad: El ejercicio de derechos es gratuito para el titular
Negación de solicitud:
El responsable puede negar la solicitud cuando:
- No se cumplen requisitos formales
- Existe excepción legal aplicable
- Solicitud es manifiestamente infundada o excesiva
En caso de negación, el titular puede:
- Reclamar ante la APDP
- Iniciar acción de habeas data
Transferencias Internacionales
Regla General
Principio (Art. 15):
Prohibida la transferencia a países sin nivel adecuado de protección.
Países con nivel adecuado (según APDP):
- ✅ Estados miembros de la Unión Europea y EEE
- ✅ Argentina, Uruguay
- ✅ Suiza, Canadá, Israel, Nueva Zelanda
- ✅ Andorra, Guernsey, Isla de Man, Jersey, Islas Feroe
Estados Unidos: Empresas certificadas bajo Data Privacy Framework (DPF)
Excepciones
Transferencia permitida sin nivel adecuado cuando:
- Consentimiento previo, informado, expreso e inequívoco
- Necesaria para ejecución de contrato con el titular
- Necesaria para celebrar contrato en interés del titular
- Autorizada por ley expresa
- Cooperación judicial internacional
- Garantías contractuales adecuadas
Cláusulas contractuales tipo:
La APDP ha aprobado modelos de cláusulas que garantizan protección adecuada en transferencias.
Procedimiento
Para transferencias a países sin nivel adecuado:
- Evaluar si aplica alguna excepción
- Si no hay excepción, solicitar autorización a APDP
- Documentar la transferencia
- Actualizar registro del banco de datos
Régimen Sancionador
Clasificación de Infracciones
Infracciones leves (hasta 5 UIT - S/ 24,750):
- Incumplir deber de información al titular
- No atender solicitudes ARCO dentro del plazo
- No inscribir banco de datos (primera vez)
Infracciones graves (hasta 50 UIT - S/ 247,500):
- Tratar datos sin consentimiento
- No inscribir banco de datos (reincidencia)
- No implementar medidas de seguridad
- Obstruir ejercicio de derechos ARCO
- Transferir datos a países sin nivel adecuado
Infracciones muy graves (hasta 100 UIT - S/ 495,000):
- Tratar datos sensibles sin consentimiento escrito
- Crear bancos de datos con finalidad de almacenar datos sensibles
- Suministrar documentos falsos a la APDP
Nota: UIT 2024 = S/ 4,950
Criterios de Graduación
Factores agravantes:
- Naturaleza de los datos (sensibles)
- Volumen de datos afectados
- Intencionalidad
- Reincidencia
- Beneficio obtenido
- Perjuicio causado
Factores atenuantes:
- Subsanación voluntaria
- Colaboración con la autoridad
- Primera infracción
- Ausencia de beneficio
Procedimiento Sancionador
Etapas:
- Inicio: De oficio o por denuncia
- Investigación: Recopilación de evidencia
- Descargos: 15 días hábiles para presentar defensa
- Resolución: Decisión de la APDP
- Recursos: Reconsideración y apelación
Prescripción: 5 años desde la comisión de la infracción
Casos Reales de Sanciones
Ejemplos de resoluciones de la APDP:
| Caso | Infracción | Sanción |
|---|---|---|
| Banco comercial | Filtración de datos de clientes | 50 UIT |
| Call center | Uso de base de datos sin consentimiento | 25 UIT |
| Clínica privada | Divulgación de historias clínicas | 45 UIT |
| Empresa retail | No atender derecho de cancelación | 8 UIT |
| Fintech | No inscribir banco de datos | 5 UIT |
Fuente: Resoluciones publicadas en portal APDP
Cumplimiento Práctico
Checklist de Cumplimiento
Documentación requerida:
- Política de privacidad publicada
- Cláusulas de consentimiento en formularios
- Contratos con encargados de tratamiento
- Registro de bancos de datos inscrito
- Política de seguridad de la información
- Procedimiento para atención de derechos ARCO
- Registro de incidentes de seguridad
- Acuerdos de confidencialidad con empleados
Procesos implementados:
- Mecanismo de obtención de consentimiento
- Proceso de atención de derechos ARCO
- Gestión de incidentes de seguridad
- Evaluación de transferencias internacionales
- Capacitación periódica al personal
- Auditorías de cumplimiento
Modelo de Política de Privacidad
Estructura recomendada:
1. IDENTIDAD DEL RESPONSABLE
- Razón social, RUC, domicilio
- Datos de contacto del DPO
2. DATOS RECOPILADOS
- Categorías de datos
- Datos sensibles (si aplica)
- Origen de los datos
3. FINALIDADES DEL TRATAMIENTO
- Finalidades principales
- Finalidades secundarias (marketing, perfilamiento)
4. BASE LEGAL
- Consentimiento
- Ejecución contractual
- Obligación legal
- Interés legítimo
5. DESTINATARIOS
- Categorías de cesionarios
- Transferencias internacionales
6. TIEMPO DE CONSERVACIÓN
- Plazos por tipo de dato
- Criterios de determinación
7. DERECHOS DEL TITULAR
- Acceso, rectificación, cancelación, oposición
- Procedimiento y contacto
8. MEDIDAS DE SEGURIDAD
- Descripción general
- Certificaciones
9. COOKIES Y TECNOLOGÍAS SIMILARES
- Tipos de cookies
- Gestión de preferencias
10. MODIFICACIONES
- Procedimiento de actualización
- Fecha última actualización
Modelo de Cláusula de Consentimiento
Para formularios web:
☐ He leído y acepto la Política de Privacidad
☐ Autorizo el tratamiento de mis datos personales para [finalidad principal]
☐ Autorizo el envío de comunicaciones comerciales y promocionales (OPCIONAL)
☐ Autorizo la transferencia de mis datos a [empresas del grupo/terceros]
para [finalidad] (OPCIONAL)
Para datos sensibles:
CONSENTIMIENTO EXPRESO PARA TRATAMIENTO DE DATOS SENSIBLES
Yo, [nombre completo], identificado con DNI [número], declaro que:
1. He sido informado sobre el tratamiento de mis datos de salud
por [nombre empresa].
2. Conozco la finalidad: [describir finalidad específica].
3. Otorgo mi CONSENTIMIENTO EXPRESO Y ESCRITO para dicho tratamiento.
Fecha: ____________
Firma: ____________
Contrato con Encargados de Tratamiento
Cláusulas obligatorias:
- Objeto: Descripción del tratamiento encargado
- Duración: Vigencia del encargo
- Instrucciones: Tratar solo según instrucciones del responsable
- Confidencialidad: Obligación de personal del encargado
- Seguridad: Medidas a implementar
- Subcontratación: Prohibición o autorización previa
- Derechos ARCO: Colaboración para atenderlos
- Auditoría: Derecho del responsable a verificar cumplimiento
- Término: Devolución o destrucción de datos al finalizar
Casos Especiales
Tratamiento de Datos de Menores
Menores de 14 años:
- Consentimiento de padres o tutores obligatorio
- Verificación razonable de edad
14-17 años:
- Pueden consentir si tienen capacidad de discernimiento
- Recomendable consentimiento parental para datos sensibles
Videovigilancia
Requisitos:
- Cartel informativo visible
- Inscripción del banco de datos de imágenes
- Conservación máxima: 30 días (salvo investigación)
- Acceso restringido a personal autorizado
Cartel modelo:
ZONA VIDEOVIGILADA
Responsable: [Empresa]
Ante la APDP puede ejercer sus derechos
de acceso, rectificación, cancelación y oposición.
Marketing y Comunicaciones Comerciales
Requisitos para envío de publicidad:
- Consentimiento previo (opt-in)
- Identificación clara del remitente
- Mecanismo de baja fácil (opt-out)
- Respetar solicitudes de baja en 48 horas
Base de datos de exclusión:
La APDP mantiene un registro de personas que no desean recibir publicidad.
Tendencias y Actualizaciones
Proyecto de Modificación de la LPDP
Propuestas en discusión:
- Notificación obligatoria de brechas de seguridad
- Delegado de Protección de Datos obligatorio
- Evaluaciones de impacto en privacidad
- Incremento de sanciones
- Alineamiento con GDPR europeo
GDPR y su Influencia
Diferencias principales LPDP vs GDPR:
| Aspecto | LPDP Perú | GDPR UE |
|---|---|---|
| DPO obligatorio | No | Sí (ciertos casos) |
| Notificación de brechas | No obligatoria | 72 horas |
| Evaluación de impacto | No obligatoria | Sí (alto riesgo) |
| Sanciones máximas | 100 UIT (~€55K) | €20M o 4% facturación |
| Derecho al olvido | Limitado | Amplio |
| Portabilidad de datos | No regulado | Sí |
Tendencia: La normativa peruana evoluciona hacia mayor alineamiento con estándares internacionales.
Conclusiones
La Ley 29733 de Protección de Datos Personales establece un marco comprehensivo para el tratamiento de datos en Perú. El cumplimiento requiere:
- ✅ Consentimiento válido: Libre, previo, expreso, informado e inequívoco
- ✅ Transparencia: Políticas de privacidad claras y accesibles
- ✅ Seguridad: Medidas técnicas y organizativas adecuadas
- ✅ Registro: Bancos de datos inscritos ante APDP
- ✅ Derechos ARCO: Procedimientos para atender solicitudes
- ✅ Documentación: Contratos, políticas y registros actualizados
Riesgos de incumplimiento:
- Sanciones hasta S/ 495,000 (100 UIT)
- Daño reputacional
- Pérdida de confianza de clientes
- Acciones de habeas data
En AyP Digital ayudamos a empresas a cumplir con la Ley de Protección de Datos Personales:
- ✅ Diagnóstico de cumplimiento LPDP
- ✅ Elaboración de políticas de privacidad
- ✅ Inscripción de bancos de datos ante APDP
- ✅ Implementación de medidas de seguridad
- ✅ Capacitación a personal
- ✅ Gestión documental de consentimientos
¿Tu empresa cumple con la Ley 29733? Contáctanos para una evaluación inicial sin costo.
