La soberanía de datos suena a problema de abogados o de los grandes ministerios de Lima. No lo es. Entre 2024 y 2025, el Estado peruano publicó cuatro decretos que cambian las reglas sobre dónde y cómo puede guardar su información, y varios de sus plazos vencen precisamente en 2026. La consecuencia es que el director de sistemas de una municipalidad provincial, el secretario general de un gobierno regional y el responsable de archivo de una superintendencia tienen hoy las mismas obligaciones de fondo que el CIO del organismo más grande del país.
El problema es masivo y silencioso. Miles de entidades subnacionales alojan datos personales de ciudadanos en sistemas contratados sin acuerdo formal de tratamiento de datos, sin un oficial de protección de datos designado y, en muchos casos, en servidores cuya ubicación física exacta nadie en la entidad conoce. Mientras eso era una zona gris, no pasaba nada. Con el reglamento de protección de datos vigente y multas que alcanzan seis cifras en soles, dejó de serlo.
Este artículo no está escrito solo para abogados ni para CIOs de grandes organismos. Es una guía operativa para quien toma decisiones reales con presupuesto limitado. Cubre el mapa normativo 2024-2026, las opciones concretas de nube —incluida la del propio Estado—, el proceso de microformas que casi todos confunden con digitalización, los errores que generan sanciones y una hoja de ruta paso a paso para ordenar la casa antes de que llegue una fiscalización.
1. Tres conceptos que los funcionarios públicos deben separar
Antes de discutir normas o proveedores, conviene distinguir tres ideas que suelen mezclarse en una sola conversación confusa. La mayoría de los errores de contratación de nube nacen de tratarlas como sinónimos.
1.1 Residencia de datos
La residencia de datos indica dónde está físicamente el servidor que almacena la información. Es una pregunta geográfica, no jurídica: un dato puede residir en Brasil aunque lo gestione una entidad peruana y lo consulten funcionarios desde Lima. Conocer la residencia es el primer paso, pero por sí sola no resuelve el cumplimiento normativo.
1.2 Soberanía de datos
La soberanía de datos responde a qué jurisdicción legal rige sobre esos datos y quién puede acceder a ellos por mandato judicial o regulatorio. Aquí aparece la complejidad real: un dato que reside en Chile puede quedar sujeto a legislación chilena o, según el contrato y la nacionalidad del proveedor, a normas extranjeras de alcance extraterritorial. La residencia dice dónde está el dato; la soberanía dice quién manda sobre él.
1.3 Control de datos
El control de datos es la capacidad operativa real de la entidad para acceder, mover, auditar o eliminar sus datos cuando lo necesite, sin depender de la buena voluntad ni de la continuidad de un proveedor privado. Una entidad puede tener residencia y soberanía formales y, aun así, perder el control si no dispone de las claves de cifrado, los respaldos exportables o las cláusulas de salida del contrato.
La distinción importa porque las tres dimensiones no siempre van juntas. Una entidad puede contratar una región LATAM y creer que está cubierta, cuando en realidad tiene residencia regional pero cero soberanía porque el contrato carece de las cláusulas adecuadas. A la inversa, puede tener soberanía sin residencia local si documenta correctamente el encuadre jurídico de la transferencia. La normativa peruana vigente regula las tres dimensiones de forma simultánea, pero lo hace con instrumentos distintos. Por eso conviene leer el mapa completo antes de tomar cualquier decisión de infraestructura.
2. El mapa normativo 2024-2026: qué exige cada norma y cuándo
2.1 DS 098-2025-PCM: las plataformas digitales del Estado pasan a ser obligatorias
Este decreto modifica el Reglamento del D.L. 1412 (Ley de Gobierno Digital) y establece una lista de plataformas de uso obligatorio sin convenio previo: NUBE PERÚ, SGD PERÚ, FIRMA PERÚ, ID GOB.PE, PIDE, PÁGALO.PE, MESA DIGITAL PERÚ y CASILLA ÚNICA PERÚ.
Dos piezas concentran el impacto. SGD PERÚ es el sistema unificado de gestión documental que integra Mesa de Partes Digital, Expediente Electrónico y Archivo Digital; las entidades deben migrar hacia él. NUBE PERÚ es infraestructura IaaS y PaaS administrada por el Estado, gratuita para entidades públicas y diseñada explícitamente para recibir migraciones desde AWS, Azure y Huawei. En materia de identidad digital, el DNI digital y la firma remota sin token físico avanzan con plazos definidos para RENIEC hacia mediados de 2026.
Conviene precisar también lo que el decreto no dice: no prohíbe explícitamente alojar datos en servidores extranjeros. El mandato es de integración a plataformas nacionales, no de exclusión de la nube privada. La restricción real sobre dónde viven los datos proviene de otra norma.
2.2 DS 016-2024-JUS: el nuevo reglamento de protección de datos con dientes
Vigente desde el 30 de marzo de 2025, este reglamento es el que de verdad cambia los incentivos. Sus exigencias centrales:
- Oficial de Datos Personales (ODP): obligatorio desde el 30 de noviembre de 2025 para entidades que traten datos a escala o datos sensibles. Su omisión se sanciona con multa de 0.5 a 5 UIT.
- Transferencia internacional de datos: quien transfiere debe demostrar protección equivalente en el país de destino o establecer garantías contractuales. Si el servidor de nube está fuera de Perú, esta obligación se activa automáticamente, y la carga probatoria recae en la entidad pública, no en el proveedor.
- Notificación de brechas: 48 horas desde la detección del incidente para informar a la ANPD.
- Multa máxima: hasta 100 UIT, equivalente a alrededor de S/ 550,000 con el valor de UIT de 2026. La metodología de cálculo está en la RM N° 476-2025-JUS.
- Privacidad por diseño: obligatoria para tratamientos de alto riesgo como videovigilancia, perfilado con IA y datos biométricos.
2.3 DS 126-2025-PCM: Marco de Confianza Digital en vigor desde febrero 2026
Este decreto reglamenta el DU 007-2020 (Marco de Confianza Digital). Su impacto sobre la nube es directo: obliga a los prestadores de servicios digitales a reportar incidentes de seguridad en 48 horas. Cuando el incidente involucra datos personales, se activa en paralelo la obligación ante la ANPD, de modo que una sola brecha puede disparar dos deberes de notificación simultáneos. El marco también fija estándares de identidad digital y firma electrónica que los sistemas alojados en la nube deben cumplir.
2.4 NTP ISO/IEC 27001:2014: el estándar transversal obligatorio
Este estándar aplica a todas las entidades del Sistema Nacional de Informática. En el contexto de nube, cubre la gestión de activos de información —incluidos datos en servidores externos—, el control de acceso, la continuidad de servicios y la gestión de incidentes. El problema es de cumplimiento real: la mayoría de entidades subnacionales no lo implementan, lo que significa que ante cualquier brecha no pueden demostrar diligencia debida, agravando su posición frente al regulador.
2.5 Tabla resumen: normas, obligaciones, plazos y sanciones
| Norma | Obligación principal | Plazo clave | Sanción máxima |
|---|---|---|---|
| DS 098-2025-PCM | Usar SGD PERÚ y NUBE PERÚ | Vigente | No especificada en la norma |
| DS 016-2024-JUS | ODP obligatorio; DPA con proveedores de nube | 30 nov 2025 (ODP) | 100 UIT ≈ S/ 550,000 |
| DS 126-2025-PCM | Reporte de incidentes en 48 h | Vigente desde feb 2026 | Variable según prestador |
| NTP ISO/IEC 27001 | Implementar SGSI | Vigente | Responsabilidad ante brechas |
| D.L. 681 + NTP 392.030-2 | Microforma para valor legal | Vigente | Invalidez documental |
3. NUBE PERÚ vs. hiperescaladores: la decisión que ninguna entidad puede seguir postergando
3.1 Qué es la Plataforma Nacional de Gobierno Digital (PNGD) y cómo acceder
La PNGD ofrece dos capas. La de IaaS entrega máquinas virtuales para desplegar aplicaciones y bases de datos, sin costo para entidades públicas y sin convenio previo desde el DS 098-2025-PCM. La de PaaS aporta una capa de microservicios diseñada para recibir migraciones desde AWS, Azure y Huawei, según la documentación oficial.
También conviene ser honestos sobre sus límites actuales: la PNGD no ofrece escala para cargas intensivas de IA o big data, ni un catálogo de servicios avanzados, ni SLAs enterprise equivalentes a los de los hiperescaladores. El acceso se gestiona a través del portal gob.pe y la Secretaría de Gobierno y Transformación Digital (SGTD), sin necesidad de convenio previo.
3.2 Cuándo usar AWS, Azure o GCP en LATAM y cómo hacerlo legalmente
Hay casos en que el hiperescalador sigue siendo la opción técnica correcta: servicios de IA y analítica avanzada, alta disponibilidad con SLAs exigentes e integraciones complejas con ecosistemas ya desplegados. Cabe recordar que ningún hiperescalador tiene región en territorio peruano a 2026. Las opciones más cercanas en latencia son AWS São Paulo (aproximadamente 45 ms desde Lima) y Microsoft Azure y Google Cloud en Chile (del orden de 30 a 35 ms).
Si se opta por nube en LATAM, el encuadre legal no es opcional. El mínimo defendible incluye:
- Firmar un Data Processing Agreement (DPA) con cláusulas de residencia de datos en LATAM.
- Documentar la equivalencia de protección del país anfitrión ante la ANPD.
- Implementar cifrado en tránsito y en reposo.
- Mantener logs de acceso auditables.
- Configurar políticas de gobierno técnico: AWS Control Tower, Azure Policy o Google Cloud Organization Policies.
3.3 La arquitectura recomendada: nube híbrida con clasificación de datos
Para la mayoría de entidades medianas y grandes, la respuesta no es elegir un bando, sino diseñar una nube híbrida con clasificación de datos: los datos sensibles de ciudadanos y los documentos con valor legal residen en la PNGD o en infraestructura local; las cargas analíticas y los servicios no sensibles se ejecutan en nube LATAM bajo DPA. Esta arquitectura equilibra la soberanía normativa con la capacidad tecnológica real disponible.
Implementarla requiere tres condiciones previas: una clasificación de datos realizada de antemano, gestión de identidad federada entre entornos y conectividad dedicada que evite exponer el tráfico sensible a redes públicas. Hay un dato que cambia el análisis económico para municipalidades con presupuesto tecnológico limitado: la gratuidad de NUBE PERÚ convierte la opción soberana en la más económica, no solo en la más segura.
3.4 Tabla comparativa: opciones de infraestructura
| Opción | Soberanía | Costo | Capacidad avanzada | Complejidad legal |
|---|---|---|---|---|
| PNGD / NUBE PERÚ | Alta | Gratuito | Limitada | Baja |
| Hiperescalador LATAM | Media | Medio-alto | Alta | Media (requiere DPA) |
| Híbrido (PNGD + LATAM) | Alta (datos sensibles) | Variable | Alta | Media |
| On-premise propio | Alta | Alto (CAPEX) | Variable | Baja |
4. Microformas con valor legal: la pieza que la mayoría de entidades omite
4.1 El error más costoso: confundir digitalización con validez legal
Escanear un documento y subirlo a un servidor no crea un equivalente legal al original físico. Sin un proceso de microforma certificado, el papel sigue siendo el único original válido para cualquier proceso judicial o administrativo. La consecuencia práctica puede ser grave: entidades que destruyeron papel confiando en sus escaneos han enfrentado después problemas probatorios sin forma de subsanarlos.
4.2 Qué es el proceso de microforma bajo D.L. 681 y NTP 392.030-2:2015
El proceso tiene una secuencia definida:
- La entidad contrata a un operador certificado (actualmente SGS Perú es la entidad acreditada por INACAL bajo NTP-ISO/IEC 17065 para este fin).
- Los documentos se digitalizan con el software ePaper bajo los parámetros de la NTP 392.030-2:2015: resolución, formato, metadatos e integridad.
- Un Fedatario Juramentado interviene para dar fe de la fidelidad del proceso.
- SGS audita el proceso y emite el Certificado de Idoneidad Técnica.
El resultado es que el documento digital adquiere el mismo valor legal que el original físico, y el papel puede destruirse legalmente. La certificación no es un trámite único: se renueva periódicamente, como lo demuestra la práctica de organismos que mantienen su acreditación al día mediante renovaciones sucesivas.
4.3 Qué entidades ya lo implementan y qué aprender de ellas
Varias entidades del Estado ya operan microformas y sirven de referencia. El Poder Judicial, mediante la Resolución Administrativa N° 00153-2024-GG-PJ, estableció el uso obligatorio de microformas en todas las cortes. OSITRAN mantiene su certificación SGS renovada y es un modelo para organismos reguladores. SERVIR la usa para documentos de recursos humanos del Estado, y Migraciones digitaliza expedientes con validez legal. En conjunto, alrededor de 70 organizaciones —entre sector público y privado— contaban con certificación hacia 2024.
4.4 Tabla: digitalización simple vs. microforma certificada
| Aspecto | Digitalización simple | Microforma (D.L. 681 + NTP 392.030-2:2015) |
|---|---|---|
| Valor legal | No equivalente al original | Equivalente al original físico |
| Permite destruir el físico | No (salvo norma específica) | Sí, con Fedatario Juramentado |
| Certificación requerida | No | SGS, acreditada por INACAL |
| Uso en procesos judiciales | Referencial | Valor probatorio pleno |
| Costo relativo | Bajo | Mayor (auditoría + certificación) |
| Recomendado para | Acceso y consulta interna | Eliminación del papel con validez legal |
4.5 Conexión con la estrategia de nube
Las microformas no operan al margen de la decisión de nube. Los documentos producidos como microformas deben almacenarse en medios WORM (Write Once Read Many) con los controles que establece la NTP, algo compatible tanto con la PNGD como con soluciones on-premise. La integración con SGD PERÚ cierra el ciclo: producción certificada, gestión documental unificada y valor legal garantizado dentro de un mismo flujo.
5. Los errores que generan sanciones: lista de verificación para entidades públicas
5.1 Los ocho errores más frecuentes
- Contratar nube extranjera sin DPA: la entidad es responsable del tratamiento aunque el proveedor sea reconocido globalmente.
- No tener inventario de sistemas con datos personales: sin inventario es imposible cumplir el DS 016-2024-JUS ni responder en 48 horas ante una brecha.
- No designar ODP: infracción exigible desde noviembre de 2025, con multa de 0.5 a 5 UIT.
- Confundir digitalización con valor legal: los documentos escaneados sin proceso de microforma no reemplazan al papel.
- Desconocer NUBE PERÚ: entidades que pagan por servicios externos que podrían obtener gratuitamente y con mayor cumplimiento normativo.
- Asumir que SGD PERÚ y NUBE PERÚ son opcionales: el DS 098-2025-PCM las convierte en obligatorias para el diseño de servicios digitales.
- No tener plan de respuesta a brechas: sin protocolo documentado, incumplir el plazo de 48 horas es casi automático ante cualquier incidente.
- Subestimar las multas de la ANPD: pueden llegar a aproximadamente S/ 550,000 con la metodología publicada en la RM N° 476-2025-JUS.
5.2 Check-list de cumplimiento para la entidad pública
| Control | Responsable sugerido | Estado posible | Norma que lo exige |
|---|---|---|---|
| Inventario de sistemas con datos personales | ODP / Jefe TI | Pendiente / Parcial / Completo | DS 016-2024-JUS |
| ODP designado formalmente | Alta dirección | Sí / No | DS 016-2024-JUS (desde nov 2025) |
| DPA firmado con proveedores de nube | ODP / Asesoría legal | Sí / No | DS 016-2024-JUS |
| Uso de SGD PERÚ para gestión documental core | Jefe TI / Secretaría | En migración / Activo / No iniciado | DS 098-2025-PCM |
| Acceso habilitado a NUBE PERÚ | Jefe TI | Sí / No | DS 098-2025-PCM |
| Plan de respuesta a brechas (48 h) | ODP | Documentado / No existe | DS 016-2024-JUS + DS 126-2025-PCM |
| Auditoría NTP ISO/IEC 27001 | CISO / Jefe TI | Al día / Pendiente | NTP ISO/IEC 27001:2014 |
| Línea de microformas certificada (si aplica) | Archivo / Jefe TI | Activa / No aplica | D.L. 681 + NTP 392.030-2:2015 |
6. Hoja de ruta práctica para 2026: seis pasos en orden lógico
Paso 1: Diagnóstico de inventario de datos y sistemas
Mapear todos los sistemas de información que la entidad opera o contrata, identificando qué datos personales de ciudadanos procesa cada uno y dónde están alojados físicamente. El resultado esperado es un inventario documentado que, además, constituye un requisito directo del DS 016-2024-JUS.
Paso 2: Clasificar los datos por sensibilidad y régimen legal
Los datos públicos, reservados y confidenciales requieren controles distintos. Los datos sensibles —salud, tributarios, judiciales, biométricos— deben gravitar hacia infraestructura nacional o, si permanecen en nube extranjera, hacia controles adicionales documentados. En esta etapa también se evalúa qué documentos tienen potencial valor legal y, por tanto, podrían requerir proceso de microforma.
Paso 3: Designar el Oficial de Datos Personales
Obligatorio desde noviembre de 2025 para las entidades que califiquen; no es una opción discrecional. El ODP debe conocer el inventario de sistemas y liderar la relación con la ANPD. Puede ser un funcionario interno capacitado o un servicio externo contratado, según la capacidad de la entidad.
Paso 4: Migrar la gestión documental core a SGD PERÚ y habilitar NUBE PERÚ
El acceso es gratuito a través de la SGTD y no requiere convenio previo. Conviene priorizar Mesa de Partes Digital, Expediente Electrónico y Archivo Digital. Para entidades con sistemas propios preexistentes, la decisión clave es evaluar la integración vía API frente a una migración progresiva, según madurez técnica y criticidad de los procesos.
Paso 5: Certificar línea de microformas para documentos críticos
Identificar el acervo documental que requiere valor legal equivalente al papel —expedientes sancionadores, contratos, títulos— y contratar el proceso con SGS bajo la NTP 392.030-2:2015. El resultado se integra después con SGD PERÚ para una gestión unificada del ciclo documental completo.
Paso 6: Implementar ISO 27001 y activar el plan de respuesta a brechas
Sin un sistema de gestión de seguridad de la información implementado, todos los controles anteriores son frágiles ante un incidente real. El plan de respuesta a brechas debe estar documentado, ensayado y vinculado a los canales de la ANPD y del CERT-PE. Conviene revisarlo al menos una vez al año, porque el ritmo de cambio normativo en Perú es elevado.
Conclusión: soberanía de datos como decisión de gestión, no solo de cumplimiento
La soberanía de datos no es únicamente un requisito legal para evitar multas. Es la condición que permite al Estado peruano usar su propia información para mejorar servicios al ciudadano, alimentar modelos de inteligencia artificial gubernamentales y responder ante incidentes sin quedar atado a un tercero. Tratarla como un trámite defensivo es perder de vista su valor estratégico.
Esa dimensión se vuelve concreta con la ENIA 2026-2030 (Estrategia Nacional de Inteligencia Artificial), que presupone datos del Estado organizados, accesibles e interoperables. Las entidades que no ordenen su información hoy quedarán, en la práctica, fuera de esa capacidad mañana.
Vale cerrar con honestidad sobre la brecha de implementación, que es real: una proporción minoritaria de municipios cuenta con planes de gobierno digital activos, y el camino no es corto. Pero los pasos iniciales —inventario, designación del ODP y acceso a NUBE PERÚ— son accesibles incluso para entidades con recursos limitados, y son los que marcan la diferencia entre estar en regla o estar expuesto.
AyP Digital ofrece diagnóstico gratuito de gestión documental, evaluación de brecha normativa frente al DS 016-2024-JUS y al DS 098-2025-PCM, y producción de microformas certificadas SGS con el software ePaper. Contacto: ventas@aypdigital.com / +51 942 867 653.
Key Takeaways
-
El DS 098-2025-PCM hace obligatorio el uso de NUBE PERÚ y SGD PERÚ para los servicios digitales del Estado, pero no prohíbe explícitamente usar AWS o Azure. La restricción real proviene del DS 016-2024-JUS: cualquier dato de ciudadanos en un servidor fuera de Perú activa obligaciones de transferencia internacional que la entidad debe documentar y cumplir, bajo pena de multas que pueden alcanzar aproximadamente S/ 550,000.
-
Escanear documentos no equivale a digitalizarlos con valor legal. Para que un documento digital reemplace al original físico y permita su destrucción, debe producirse bajo el proceso de microforma del D.L. 681 y la NTP 392.030-2:2015, con intervención de un Fedatario Juramentado y certificación de SGS, la entidad acreditada por INACAL para este fin.
-
El Oficial de Datos Personales (ODP) ya es exigible y sancionable desde el 30 de noviembre de 2025. Las entidades que traten datos a escala o datos sensibles sin ODP designado están en infracción activa, con multas de 0.5 a 5 UIT solo por esa omisión.
-
La arquitectura recomendada para la mayoría de entidades medianas y grandes no es elegir entre NUBE PERÚ o un hiperescalador, sino adoptar una nube híbrida: datos sensibles y documentos con valor legal en la PNGD o infraestructura nacional, y cargas analíticas y servicios no sensibles en nube LATAM con DPA firmados y residencia de datos documentada.
Preguntas frecuentes
P1: El DS 098-2025-PCM, ¿prohíbe que las entidades públicas usen AWS o Google Cloud? No lo prohíbe explícitamente. Lo que hace es convertir NUBE PERÚ y SGD PERÚ en plataformas de uso obligatorio para los procesos de gestión documental y servicios digitales del Estado. El uso de hiperescaladores no está vedado, pero los datos que pasen por servidores fuera de Perú activan las obligaciones de transferencia internacional del DS 016-2024-JUS. Eso incluye firmar un DPA con el proveedor, documentar la equivalencia de protección del país anfitrión y notificar a la ANPD ante cualquier brecha en 48 horas.
P2: ¿Qué pasa si una municipalidad no puede afrontar el costo de certificar microformas? El proceso de microforma tiene un costo mayor que la digitalización simple, pero NUBE PERÚ es gratuita y SGD PERÚ es de acceso sin costo para entidades públicas. Una municipalidad puede empezar por habilitar el acceso a estas plataformas, designar un ODP —que puede ser un funcionario interno capacitado— y priorizar la certificación de microformas solo para el acervo de mayor riesgo legal: expedientes sancionadores, contratos, títulos de propiedad. La digitalización simple sigue siendo válida para acceso y consulta interna cuando no se requiere destruir el original físico.
P3: ¿Cómo sabe una entidad si debe designar un ODP obligatoriamente? El DS 016-2024-JUS establece la obligación para entidades que traten datos personales a escala (grandes volúmenes o tratamiento sistemático) o datos sensibles (salud, biométricos, judiciales, tributarios, origen étnico). En la práctica, casi cualquier entidad pública con padrones de beneficiarios, registros de personal, expedientes de ciudadanos o sistemas de videovigilancia califica. La recomendación es asumir que la obligación aplica y designar el ODP sin esperar una notificación del regulador.
P4: ¿Los documentos en SGD PERÚ ya tienen valor legal equivalente al papel sin necesidad de microformas? Depende del tipo de documento y del uso. El DS 098-2025-PCM establece que los documentos electrónicos gestionados bajo SGD PERÚ tienen plena validez en el marco de los procedimientos administrativos digitales del Estado. Sin embargo, para destruir el original físico conservando valor probatorio pleno en procesos judiciales, el marco más sólido sigue siendo el proceso de microforma del D.L. 681, con jurisprudencia y uso probatorio consolidados. Para documentos internos de trámite y expedientes administrativos, SGD PERÚ es suficiente. Para el acervo documental histórico que se quiera convertir en el único original legal, la microforma certificada es la ruta más segura.
