New Regulations passed under Data Protection Law

Se aprueba nuevo Reglamento de la Ley de Protección de Datos Personales

05/12/2024

El 30 de noviembre se publicó el Decreto Supremo No. 016-2024-JUS que aprueba el nuevo Reglamento de la Ley 29733|Ley de Protección de

El 30 de noviembre se publicó el Decreto Supremo No. 016-2024-JUS que aprueba el nuevo Reglamento de la Ley 29733|Ley de Protección de Datos Personales. A continuación|reseñamos los puntos más resaltantes del nuevo Reglamento:

  • Se permite el Primer Contacto. El Nuevo Reglamento ratifica que es posible obtener el consentimiento para el tratamiento de datos personales mediante un primer contacto|luego del cual|si el consentimiento no se obtiene|no es lícito realizar un nuevo contacto o tratamiento de datos personales.
  • Responsabilidad en prospección comercial. Se presume que la responsabilidad del tratamiento de datos personales para publicidad y prospección comercial recae en el beneficiario de tal tratamiento|salvo prueba en contrario.
  • Reporte de incidentes de seguridad a la autoridad. En caso de un incidente de seguridad que cumpla con las condiciones del nuevo Reglamento|el responsable del tratamiento debe notificar a la Autoridad Nacional de Protección de Datos Personales dentro de las 48 horas posteriores a haber tomado conocimiento o constancia de ello. Esta obligación es exigible aun cuando se considere que el incidente haya sido resuelto internamente.
  • Reporte de incidentes de seguridad al titular de los datos. En caso de un incidente de seguridad que afecte al titular de los datos personales en otro de sus derechos|debe serle comunicado dentro de las 48 horas (de la toma de conocimiento o constancia del evento)|en un lenguaje sencillo y claro|así como las medidas adoptadas para mitigar sus efectos.
  • Designación de Oficial de Datos Personales. El titular del banco de datos personales o responsable y el encargado de tratamiento deben designar a un Oficial de Datos Personales cuando (i) el tratamiento sea llevado a cabo por una entidad pública|en el marco del Reglamento del Decreto Legislativo No. 1412; (ii) se realicen tratamientos de grandes volúmenes de datos personales|se pueda afectar a un gran número de personas|se trate de datos sensibles|o se produzca un perjuicio evidente a otros derechos o libertades de la persona; (iii) o cuando se realicen actividades principales o de giro de negocio que comprendan el tratamiento de datos sensibles.
  • Derecho de portabilidad. La persona puede solicitarle al responsable del tratamiento sus datos personales que le hayan sido facilitados|en un formato estructurado|de uso común y lectura mecánica|y que sean transmitidos directamente a otro responsable.
  • Designación de representantes. Los responsables de tratamiento que no se encuentren ubicados en territorio peruano deben designar un representante en o para el territorio peruano: ello puede ser informado públicamente en la política de privacidad respectiva|o comunicarse a la Autoridad Nacional de Protección de Datos Personales.
  • Entrada en vigencia. El nuevo Reglamento entra en vigencia a los 120 días calendario siguientes de su publicación en el diario oficial El Peruano (30 de marzo de 2025). En lo referido a la obligación para la designación del Oficial de Datos Personales|los plazos son los siguientes:

Tipo de empresa

Fecha de entrada en vigencia y carácter obligatorio

Para empresas con ventas anuales superiores a 2300 UIT

1 año después de la fecha de publicación del Nuevo Reglamento

Para empresas medianas con ventas anuales superiores a 1700 UIT y hasta el monto máximo de 2300 UIT

2 años después de la fecha de publicación del Nuevo Reglamento

Para pequeñas empresas con ventas anuales superiores a 150 UIT y hasta el monto máximo de 1700 UIT

3 años después de la fecha de publicación del Nuevo Reglamento

Para microempresas con ventas anuales hasta el monto máximo de 150 UIT y otros equivalentes

4 años después de la fecha de publicación del Nuevo Reglamento

En caso tenga alguna consulta sobre esta nota|por favor contactar a Enrique Felices (efelices@mafirma.com.pe)|Willy Pedreschi (wpedreschi@mafirma.com.pe) y/o Fiorella Zumaeta (fzumaeta@mafirma.com.pe).