AyP Digital

Captura de Datos

Software ePaper A&P

Ver todos los servicios
Destacado

ePaper A&P

Gestión documental en la nube. Accede desde cualquier lugar.

Conocer más
Digitalización de Documentos Captura OCR / ICR Fichas Ópticas OMR ePaper A&P Desktop ePaper A&P SaaS
Blog Empresa Contacto
Contáctenos
Ciberseguridad

DS 016-2024-JUS: Nuevo Reglamento de Protección de Datos Personales — Impacto en Gestión Documental y Repositorios

DS 016-2024-JUS vigente desde el 30 de marzo de 2025: gestión documental como clave del cumplimiento, ODP, brechas 48 h, EIPD y privacidad por diseño.

Sebastián Herrera
13 min de lectura
Compartir:

Puntos Clave

  • El DS 016-2024-JUS (vigente desde el 30 de marzo de 2025) deroga al DS 003-2013-JUS y transforma la gestión documental en punto crítico de cumplimiento: el Documento de Seguridad obligatorio inventaría bancos de datos y mantiene logs de acceso por mínimo 2 años, requisito que es esencialmente de organización documental, no solo de TI.
  • El Oficial de Datos Personales (ODP) es obligatorio con cronograma escalonado: grandes empresas (ingresos superiores a 2,300 UIT) desde el 30 de noviembre de 2025; medianas (1,700–2,300 UIT) desde el 30 de noviembre de 2026; pequeñas (150–1,700 UIT) desde el 30 de noviembre de 2027. Supervisa minimización, privacidad por diseño y trazabilidad de accesos en repositorios.
  • Notificación de brechas a la ANPD y a los titulares dentro de 48 horas desde toma de conocimiento es obligatoria. Sin logs de acceso y trazabilidad documental clara, cumplir ese plazo es técnicamente imposible.
  • La destrucción certificada es requisito legal: la minimización exige eliminar datos al vencer la retención y demostrarlo. Las microformas digitales bajo NTP 392.030-2 permiten sustituir el original físico por un equivalente con valor legal y destruir el soporte certificadamente, cubriendo ese deber.

El 30 de marzo de 2025 entró en vigencia el Decreto Supremo N.° 016-2024-JUS, nuevo Reglamento de la Ley N.° 29733 de Protección de Datos Personales. Publicado en El Peruano el 30 de noviembre de 2024, deroga expresamente al DS 003-2013-JUS —vigente once años— y cambia el modelo de cumplimiento: ya no basta “tener políticas”, es necesario demostrar cumplimiento con documentación concreta, plazos específicos y responsables designados. Para gestión documental y archivos, el impacto es directo y técnico.

Este reglamento convierte al repositorio de documentos —físico o digital— en núcleo del cumplimiento normativo. El Documento de Seguridad, el inventario de bancos de datos, los logs de acceso con conservación mínima de 2 años, la destrucción certificada al vencer los plazos de retención, y la capacidad de exportar datos de titulares para atender la portabilidad son problemas de organización documental, no solo de TI abstracta.

Este análisis examina los cambios sustanciales del DS 016-2024-JUS desde la perspectiva de la gestión documental: qué actualizar concretamente en procesos de archivo y repositorio para cumplir, qué plazos rigen y qué errores detectaría una auditoría de la ANPD hoy.

Marco Normativo: DS 016-2024-JUS y Vigencia

El nuevo reglamento se articula sobre la Ley N.° 29733 (Ley de Protección de Datos Personales, 2011), que sigue vigente como base. El reglamento que la desarrolla cambia completamente: el DS 016-2024-JUS reemplaza en su totalidad al DS 003-2013-JUS, que no contemplaba cloud, transferencias internacionales detalladas ni la figura del Oficial de Datos Personales.

La tabla siguiente resume las diferencias de enfoque entre ambos reglamentos:

Aspecto DS 003-2013-JUS (derogado) DS 016-2024-JUS (vigente)
Enfoque general Obligaciones genéricas e interpretativas Prescriptivo con plazos y responsables concretos
Documento de Seguridad Mencionado vagamente Obligatorio con contenido mínimo definido y logs por 2 años
Oficial de Datos Personales No existía Obligatorio con cronograma escalonado
Notificación de brechas No regulada con plazo 48 horas desde toma de conocimiento
Cloud y transferencias internacionales No contempladas Reguladas: nivel adecuado o cláusulas contractuales tipo
Encargado del tratamiento Sin contrato obligatorio Contrato obligatorio con cláusulas mínimas definidas
Derecho de portabilidad Inexistente Vigente desde aproximadamente septiembre de 2025
Privacidad por diseño No mencionada Obligatoria en sistemas de tratamiento
Régimen sancionador RM 326-2020-JUS RM 476-2025-JUS (vigente desde el 1 de enero de 2026)

El cambio es claro: el DS 003-2013-JUS permitía un cumplimiento “en papel” con medidas formales mínimas. El DS 016-2024-JUS exige que cada obligación tenga respaldo documental verificable y auditable por la ANPD.

Cambios Sustanciales: De Obligaciones Generales a Requisitos de Gestión Documental

Documento de Seguridad: Inventario que Convierte el Repositorio en Objeto de Auditoría

El Documento de Seguridad es la obligación central en materia documental. Debe ser un instrumento formalmente aprobado con fecha cierta, que el responsable del tratamiento mantenga actualizado. Su contenido mínimo incluye:

  • Inventario de todos los bancos de datos personales tratados (ubicación, finalidades, medios, responsables, categorías de datos, destinatarios).
  • Medidas técnicas y organizativas implementadas para proteger los datos.
  • Registro de accesos (logs) conservados mínimo 2 años, que permitan identificar quién accedió, cuándo, desde qué dispositivo y qué acción realizó.

Esto exige que el repositorio documental —archivo físico digitalizado, sistema de gestión documental (SGD) o combinación de ambos— genere y conserve logs automáticamente. Un sistema que solo registra el ingreso de usuarios pero no las acciones específicas sobre documentos (descarga, modificación, eliminación) no cumple el requisito.

Notificación de Brechas en 48 Horas: Trazabilidad como Condición Técnica

La obligación de notificar a la ANPD y a los titulares afectados dentro de 48 horas de tomar conocimiento de un incidente de seguridad es uno de los cambios más exigentes. El plazo corre desde la toma de conocimiento, no desde la confirmación técnica del incidente.

Para cumplir, el repositorio debe permitir en tiempo real o casi real:

  • Identificar qué banco de datos fue comprometido.
  • Determinar qué registros y de qué titulares estaban en ese banco.
  • Exportar la lista de titulares para notificarles.

Sin logs de acceso e inventario estructurado de bancos, responder en 48 horas es técnicamente imposible. La omisión de notificación constituye infracción propia, sancionable como grave (5–50 UIT según RM 476-2025-JUS).

Encargado del Tratamiento: Contrato Obligatorio con Proveedores

Cualquier proveedor externo que acceda a datos personales en nombre del responsable —digitalización, proveedores cloud, BPO, consultoras TI— debe firmar contrato de encargado del tratamiento especificando:

  • Finalidades autorizadas del tratamiento.
  • Medidas de seguridad exigidas.
  • Obligación de confidencialidad.
  • Procedimiento de notificación de incidentes.
  • Qué ocurre con los datos al terminar el servicio (devolución o destrucción certificada).

Los subencargados quedan vinculados por cláusulas equivalentes. Esto afecta directamente a empresas que han tercerizado digitalización o que usan software de gestión documental alojado en servidores de terceros.

EIPD y Privacidad por Diseño

La Evaluación de Impacto en Protección de Datos (EIPD) es obligatoria antes de iniciar tratamientos de alto riesgo: videovigilancia masiva, perfilado automatizado con IA, tratamiento de datos biométricos a escala. La EIPD debe documentarse y puede requerir consulta previa a la ANPD.

La privacidad por diseño y por defecto exige que los sistemas de gestión documental incorporen controles de privacidad en su arquitectura desde el inicio, no como capa posterior. Las configuraciones más privadas deben ser el estándar predeterminado.

Oficial de Datos Personales: Cronograma y Responsabilidades Documentales

La designación del Oficial de Datos Personales (ODP) sigue un cronograma escalonado según los ingresos anuales de la empresa:

Categoría Ingresos anuales Fecha límite
Grande Más de 2,300 UIT 30 de noviembre de 2025
Mediana 1,700–2,300 UIT 30 de noviembre de 2026
Pequeña 150–1,700 UIT 30 de noviembre de 2027

Puede ser trabajador interno o asesor externo. Una vez designado, debe comunicarse a la ANPD dentro de 15 días hábiles. No designar ODP cuando es obligatorio constituye infracción leve (0.5–5 UIT según RM 476-2025-JUS).

En gestión documental, las responsabilidades del ODP son concretas:

  • Supervisar que el Documento de Seguridad esté vigente y completo.
  • Verificar que el inventario de bancos sea exhaustivo y actualizado.
  • Asegurar que los plazos de retención se cumplan y la destrucción sea certificada.
  • Auditar que los repositorios incorporen minimización y trazabilidad de accesos.
  • Coordinar la respuesta ante solicitudes ARCO y portabilidad, incluyendo la capacidad técnica del sistema para atenderlas en plazo.

Trazabilidad y Auditoría en Repositorios: Deber de Seguridad

El principio de seguridad del DS 016-2024-JUS exige que los sistemas de tratamiento —incluyendo repositorios documentales— cuenten con controles técnicos auditables. A efectos prácticos, el SGD o repositorio debe registrar:

  • Lectura/visualización: quién, cuándo, qué documento, desde qué IP o dispositivo.
  • Descarga: lo anterior más el hash del archivo descargado para verificar integridad.
  • Modificación: campos modificados, valor anterior y nuevo, usuario responsable.
  • Eliminación: quién autorizó, quién ejecutó, fecha y hora, método de eliminación.
  • Cambios de permisos: quién otorgó o revocó acceso sobre qué recursos.

Todos los registros se conservan mínimo 2 años y deben ser exportables en formato legible para una auditoría de la ANPD. Un repositorio que borre logs automáticamente a los 90 días, o que no distinga tipos de acceso, incumple ese deber.

Transferencias Internacionales y Almacenamiento en la Nube

El DS 016-2024-JUS establece que los servicios cloud con infraestructura fuera de Perú constituyen transferencia internacional de datos personales. Esto afecta a la mayoría de empresas que usan AWS, Azure o Google Cloud para alojar repositorios documentales.

Para que la transferencia sea lícita, debe cumplirse alguna de las siguientes condiciones:

  1. El país destino cuenta con nivel adecuado de protección de datos reconocido. La ANPD es la autoridad que determina qué países cumplen ese estándar. El MINJUS publicó una Guía de Implementación para este fin, aunque su contenido completo no está disponible abiertamente en todas las plataformas de consulta.
  2. La empresa suscribe cláusulas contractuales tipo aprobadas por la ANPD con el proveedor cloud.

El reglamento tiene alcance extraterritorial: empresas no domiciliadas en Perú que ofrecen servicios a residentes peruanos —incluyendo plataformas SaaS extranjeras que procesan datos de empleados o clientes peruanos— quedan sujetas a estas obligaciones y deben designar representante en Perú.

Para empresas que contratan digitalización o gestión documental con proveedores que usan cloud extranjero, esto exige revisar contratos vigentes y verificar la inclusión de las cláusulas exigidas.

Derechos ARCO y Portabilidad: Impacto en la Arquitectura del Repositorio

Los derechos clásicos de Acceso, Rectificación, Cancelación y Oposición (ARCO) se mantienen en el nuevo reglamento, amplificados por exigencias de plazo y certeza documental en su atención.

Se suma el derecho de portabilidad, vigente desde aproximadamente septiembre de 2025 (seis meses después de la vigencia general del reglamento, según información publicada por la IAPP). Este derecho permite al titular solicitar sus datos en “formato estructurado, de uso común y lectura mecánica” para trasladarlos a otro sistema.

Para un repositorio documental, la portabilidad tiene implicaciones técnicas directas: el sistema debe buscar por titular (nombre, DNI u otro identificador) a través de múltiples tipos de documentos —contratos, legajos, expedientes, formularios— y exportar todos los datos personales de ese titular en formato estructurado.

Si el repositorio carece de esa capacidad de búsqueda cruzada por titular, atender una solicitud de portabilidad en plazo legal es prácticamente imposible. Esto afecta especialmente a sectores con grandes volúmenes de expedientes:

  • Salud: historias clínicas digitales con datos sensibles.
  • Finanzas: expedientes crediticios y de clientes con retención mínima de 10 años (SBS).
  • Recursos humanos: legajos de personal, planillas y registros de evaluación.
  • Educación superior: expedientes académicos con datos de salud u origen étnico en becas focalizadas.

Metodología de Multas (RM 476-2025-JUS) y Riesgos Financieros

La RM 476-2025-JUS, publicada el 31 de diciembre de 2025 y vigente desde el 1 de enero de 2026, establece la nueva metodología de cálculo de multas, derogando la RM 326-2020-JUS. La escala es:

  • Leve (0.5–5 UIT, equivalente a aproximadamente S/ 2,750–27,500 con UIT 2026): ejemplo, no designar ODP cuando es obligatorio.
  • Grave (5–50 UIT, equivalente a aproximadamente S/ 27,500–275,000): ejemplo, no notificar brecha en plazo de 48 horas, no contar con Documento de Seguridad.
  • Muy grave (50–100 UIT, equivalente a aproximadamente S/ 275,000–550,000): ejemplo, transferencia internacional sin garantías, tratamiento de datos sensibles sin base legal.

La multa no puede superar el 10% de los ingresos anuales. Los criterios agravantes incluyen reincidencia, volumen de titulares afectados, tratamiento de datos sensibles y obstrucción a la ANPD. Los criterios atenuantes comprenden reconocimiento voluntario, adopción de medidas correctivas y colaboración con la autoridad.

Desde la gestión documental, las infracciones más probables en una auditoría son: ausencia o incompletitud del Documento de Seguridad (grave), falta de logs de acceso (grave), incapacidad de notificar brecha en 48 horas por falta de trazabilidad (grave), ausencia de contratos con encargados (grave a muy grave si hay datos sensibles).

Checklist de Adecuación por Fases

Fase 1 — Inmediata

  • Inventariar todos los bancos de datos personales: qué datos se tratan, dónde están, con qué finalidad, quién los administra y a quiénes se transfieren.
  • Mapear repositorios físicos y digitales que contienen datos personales.
  • Verificar que los contratos con proveedores de digitalización, cloud o BPO incluyan cláusulas de encargado del tratamiento.
  • Evaluar si el uso de cloud extranjero requiere gestión de transferencia internacional.

Fase 2 — Según Cronograma ODP

Grandes empresas: noviembre 2025; medianas: noviembre 2026; pequeñas: noviembre 2027.

  • Designar Oficial de Datos Personales (interno o externo) y comunicarlo a la ANPD en 15 días hábiles.
  • Redactar y aprobar formalmente el Documento de Seguridad con fecha cierta.
  • Implementar o verificar los logs de acceso en repositorios documentales (retención mínima 2 años).
  • Definir y documentar los plazos de retención para cada tipo de documento con datos personales.

Fase 3 — Paralela al Cronograma

  • Revisar y actualizar contratos con proveedores (cloud, outsourcing, digitalización).
  • Verificar que el repositorio permita búsqueda por titular para atender ARCO y portabilidad.
  • Implementar procedimiento documentado de respuesta a brechas (identificar, evaluar, notificar en 48 h).
  • Identificar tratamientos de alto riesgo que requieran EIPD (biometría, IA, videovigilancia).

Fase 4 — Continua

  • Revisar periódicamente el Documento de Seguridad e inventario de bancos de datos.
  • Ejecutar destrucción certificada de documentos cuyos plazos de retención han vencido.
  • Capacitar al personal que opera repositorios en los principios del nuevo reglamento.
  • Documentar cada solicitud ARCO y de portabilidad recibida y su atención.

Errores comunes a evitar: asumir que el cumplimiento del área TI cubre el cumplimiento legal (son complementarios, no equivalentes); no actualizar el Documento de Seguridad cuando cambian sistemas o proveedores; conservar documentos con datos personales indefinidamente “por si acaso” (el principio de minimización lo prohíbe); no documentar el proceso de destrucción (no basta borrar, hay que demostrarlo).

Destrucción Certificada y Minimización de Datos

El principio de minimización del DS 016-2024-JUS es claro: los datos personales solo se conservan el tiempo necesario para la finalidad que justificó su recopilación. Al vencer ese plazo, deben eliminarse. Y esa eliminación debe poder demostrarse.

Esto plantea un problema práctico para archivos documentales físicos: ¿cómo destruir un expediente físico con datos personales demostrando legalmente esa destrucción? ¿Cómo eliminar el original físico si el documento aún tiene valor probatorio?

La respuesta técnica son las microformas digitales bajo NTP 392.030-2:2015 (estándar INACAL). Este marco técnico permite que la digitalización certificada tenga valor legal equivalente al documento original, habilitando la destrucción certificada del soporte físico sin pérdida de valor probatorio. Los organismos de producción de microformas deben estar certificados: AyP Digital cuenta con esa certificación otorgada por SGS, lo que significa que sus procesos de digitalización ya incorporan estructuralmente los requisitos de trazabilidad, integridad y cadena de custodia que el DS 016-2024-JUS exige.

Para una empresa con grandes volúmenes de archivo físico, este mecanismo permite cumplir simultáneamente tres obligaciones: conservar el valor probatorio del documento, reducir el riesgo de mantener datos personales en soportes físicos de difícil control de acceso, y demostrar la destrucción certificada del original cuando vence el plazo de retención.

El DS 016-2024-JUS no es una norma que se cumpla con una circular interna o una capacitación anual. Es un reglamento que exige infraestructura documental: inventarios actualizados, logs de acceso auditables, contratos con proveedores revisados, plazos de retención formalizados y destrucción certificada demostrable. Las empresas que ya estructuraron sus repositorios con esos criterios —por eficiencia operativa o exigencia sectorial previa— tienen ventaja real frente a quienes construyen esa infraestructura desde cero. Quienes no han comenzado enfrentan plazos concretos y una metodología de multas vigente desde el 1 de enero de 2026 que convierte la postergación en riesgo financiero cuantificable.

Etiquetas

DS-016-2024-JUS protección-datos gestión-documental ciberseguridad compliance-datos-personales ANPD privacidad-diseño

Preguntas Frecuentes

El DS 003-2013-JUS establecía obligaciones genéricas e interpretativas: bastaba 'tener políticas' de protección. El DS 016-2024-JUS, vigente desde el 30 de marzo de 2025, es prescriptivo: exige demostrar cumplimiento con documentación concreta. Para gestión documental, lo crucial es el Documento de Seguridad obligatorio (inventario de bancos, medidas técnicas, logs por 2 años mínimo), el cronograma de ODP y la obligación de notificar brechas en 48 horas. El reglamento anterior no contemplaba cloud, transferencias internacionales detalladas ni contrato obligatorio de encargado del tratamiento.
Es un instrumento formalmente aprobado con fecha cierta que el responsable debe mantener actualizado. Incluye: inventario detallado de bancos de datos personales (ubicación, finalidades, medios, responsables, destinatarios), medidas técnicas y organizativas implementadas, y registros de acceso (logs) conservados mínimo 2 años. Para un repositorio documental significa registrar quién accedió a qué documento, cuándo, desde qué equipo y qué acción realizó (lectura, descarga, modificación, eliminación), con información auditable y conservada al menos 2 años. Un sistema sin logs o sin capacidad de exportar inventario de bancos no cumple este requisito.
El cronograma es escalonado por ingresos anuales: grandes empresas (más de 2,300 UIT) designan desde el 30 de noviembre de 2025; medianas (1,700–2,300 UIT) desde el 30 de noviembre de 2026; pequeñas (150–1,700 UIT) desde el 30 de noviembre de 2027. Puede ser trabajador interno o asesor externo, y debe comunicarse a la ANPD dentro de 15 días hábiles de su designación. Sus responsabilidades documentales incluyen: supervisar que el Documento de Seguridad esté actualizado, verificar que el inventario de bancos sea completo, asegurar que los plazos de retención y la destrucción certificada se cumplan, y auditar que los repositorios incorporen minimización, privacidad por diseño y trazabilidad de accesos.
El DS 016-2024-JUS establece que los servicios cloud con servidores fuera de Perú (AWS, Azure, Google Cloud) constituyen transferencia internacional de datos personales. Para que sea lícita se requiere: (1) que el país destino cuente con nivel adecuado de protección reconocido, o (2) que la empresa suscriba cláusulas contractuales tipo aprobadas por la ANPD con el proveedor cloud. Cualquier proveedor que acceda a datos —digitalización, BPO, SaaS extranjero— debe firmar contrato de encargado especificando finalidades autorizadas, medidas de seguridad, confidencialidad, obligación de notificar incidentes y qué ocurre con los datos al terminar el servicio. El reglamento tiene alcance extraterritorial: empresas no domiciliadas en Perú que ofrecen servicios a residentes peruanos quedan sujetas a estas obligaciones.

¿Te interesa este tema?

Escribir por WhatsApp Enviar consulta por email
Sigue leyendo

Artículos Relacionados