¿Tu empresa ya cumple con el nuevo reglamento de datos personales en Perú?

Desde noviembre de 2024, el nuevo Reglamento de la Ley N.º 29733, aprobado mediante el Decreto Supremo N.º 016-2024-JUS, cambió las reglas del juego para todas las empresas que manejan información personal en el Perú.
Este reglamento, publicado por el Ministerio de Justicia y Derechos Humanos (MINJUSDH), busca fortalecer el consentimiento de los usuarios, mejorar la transparencia y elevar los estándares de seguridad.

En este blog te explicamos qué cambió, cómo te afecta y qué pasos tomar para cumplir con la norma.

1. ¿Por qué se actualizó el reglamento?

El MINJUS explicó que la actualización busca adaptar la ley a los nuevos retos digitales: comercio electrónico, inteligencia artificial, servicios en la nube y transferencias internacionales de datos.

También se busca alinear al Perú con estándares internacionales de privacidad como el Reglamento General de Protección de Datos (GDPR) europeo.

2. Principales cambios que tu empresa debe conocer

• Consentimiento reforzado
  El consentimiento debe ser expreso, previo e informado, y la empresa debe poder acreditar que fue otorgado libremente. El reglamento refuerza la prohibición de consentimientos tácitos, ambiguos o pre-marcados, especialmente en entornos digitales.
• Notificación obligatoria de incidentes de seguridad
  El reglamento establece la obligación de notificar a la Autoridad Nacional de Protección de Datos Personales los incidentes de seguridad que comprometan datos personales, especialmente cuando puedan afectar derechos de los titulares o involucren datos sensibles. 
• Oficial de Protección de Datos (DPO)
  El reglamento prevé la designación de un Oficial de Protección de Datos Personales en los casos en que el tratamiento de información, por su volumen, naturaleza o riesgo, lo justifique, como ocurre con datos sensibles o tratamientos masivos.
• Reglas para llamadas publicitarias y prospección comercial
  El reglamento limita las llamadas comerciales sin consentimiento previo, permitiendo una única llamada para solicitar autorización, siempre que los datos provengan de una fuente lícita.
• Transferencia internacional de datos
  En los casos de transferencia internacional de datos, el reglamento exige que el responsable garantice que el país o entidad receptora cuente con niveles adecuados de protección de datos personales, conforme a la normativa peruana.

3. ¿A quién aplica el nuevo reglamento?

A toda persona natural o jurídica, pública o privada, que trate datos personales de ciudadanos peruanos, incluso si la empresa opera desde el extranjero.

4. ¿Qué sanciones existen por incumplir la ley?

Las multas por infringir la Ley N.º 29733 o su reglamento pueden llegar hasta 100 UIT (más de S/ 515,000 según la UIT 2025).
El MINJUS ha advertido que se aplicarán sanciones severas, especialmente a quienes realicen llamadas comerciales sin consentimiento o no reporten incidentes de seguridad.

5. Cómo cumplir sin complicarte

1. Revisa tus políticas de privacidad y asegúrate de explicar con claridad qué datos recolectas y por qué.
2. Obtén consentimiento expreso en tus formularios, contratos y procesos digitales.
3. Evalúa si necesitas un DPO o un responsable de datos personales.
4. Implementa protocolos de seguridad (control de accesos, cifrado, backup y monitoreo).
5. Capacita a tu equipo para identificar riesgos y reportar incidentes.
6. Usa herramientas digitales seguras y certificadas, como Llama.pe, que ofrecen firmas digitales con respaldo legal y trazabilidad completa, facilitando el cumplimiento de la ley.