Reglamento de la Ley 29733 de Protección de Datos Personales en Perú: consideraciones para el desarrollo de software
Seguridad y Datos

Reglamento de la Ley 29733: Qué Deben Implementar las Empresas (y sus Sistemas) en Perú

GlobalDev Peru··6 min de lectura

El 30 de noviembre de 2024 se publicó el Decreto Supremo N° 016-2024-JUS, el nuevo Reglamento de la Ley N° 29733, Ley de Protección de Datos Personales. Reemplaza al reglamento anterior (de 2013) y ya está vigente: entró en vigor a los 120 días calendario de su publicación, es decir, desde 2025.

Si su empresa tiene una página web con formularios, una tienda online, un sistema con usuarios, un CRM o cualquier software que recopile datos de personas (nombres, correos, DNI, teléfonos), esta norma le aplica. Y la mayoría de empresas todavía no está adecuada. Aquí le explicamos, sin tecnicismos, qué exige y -sobre todo- qué considerar al desarrollar o contratar software para cumplir.

Nota: este artículo es informativo y está orientado al desarrollo; no es asesoría legal. Para su caso puntual, consulte con un abogado especialista o con la Autoridad Nacional de Protección de Datos Personales (ANPD).

¿A quién le aplica y desde cuándo?

Aplica a cualquier organización que trate datos personales en Perú. Conviene tener claros dos roles que la norma define:

  • Responsable del tratamiento (el "titular del banco de datos"): quien decide para qué y cómo se usan los datos - normalmente, su empresa.
  • Encargado del tratamiento: quien trata los datos por cuenta del responsable - por ejemplo, el proveedor de software o la agencia que desarrolla y opera su sistema. Importante: su proveedor también tiene obligaciones.

Sobre las fechas: el reglamento rige desde los 120 días calendario posteriores a su publicación. Algunas obligaciones tienen plazos progresivos: la designación del Oficial de Datos Personales se exige de forma escalonada según el tamaño de la empresa (de 1 a 4 años desde la publicación, según ventas anuales en UIT), y la portabilidad de datos aplica a los 6 meses de la entrada en vigencia.

Lo que su software o web DEBE tener (Artículo 46)

Este es el corazón para quien desarrolla. El Artículo 46 establece que las plataformas, sitios web, aplicaciones móviles, servicios digitales y sistemas que tratan datos personales deben tener documentado e implementado:

  • Control de acceso real: gestión de usuarios desde el alta hasta la baja, identificación y autenticación, y revisión de privilegios al menos cada 6 meses. La norma menciona usuario-contraseña, certificados digitales y tokens - en la práctica, empuja a autenticación robusta (incluido segundo factor) y roles bien definidos.
  • Registros de trazabilidad (logs): evidencia de quién accede y qué hace con los datos - inicios y cierres de sesión, y acciones de visualización, modificación, eliminación, importación y exportación. Deben conservarse como mínimo 2 años y estar disponibles de inmediato.
  • Monitoreo periódico de las medidas de seguridad y capacitación del personal según su rol.
  • Medidas contra copias no autorizadas y control sobre el uso de correos, mensajería o redes no institucionales para mover datos.

Dicho simple: si su sistema no registra quién vio o modificó qué, no cumple. Y esto se diseña desde el inicio - agregar trazabilidad a un sistema ya construido es caro y lento.

Cifrado, respaldos y Documento de Seguridad (Artículos 47, 51 y 52)

  • Documento de Seguridad (Art. 47): la empresa debe contar con un documento formal, con fecha cierta y actualizado, que incluya sus procedimientos de accesos y privilegios y un inventario de los datos personales y sistemas (señalando si hay datos sensibles). La norma sugiere apoyarse en el estándar NTP-ISO/IEC 27001.
  • Copias de respaldo (Art. 51): al menos semanales, con verificación de integridad y capacidad de recuperación.
  • Cifrado en las transferencias (Art. 52): mover datos fuera de las instalaciones exige medidas como cifrado, firmas y certificados digitales para evitar accesos no autorizados o pérdidas en tránsito.

Notificación de brechas: tiene 48 horas (Artículos 34 a 36)

Una de las mayores novedades. Si ocurre un incidente de seguridad que exponga grandes volúmenes de datos, afecte a muchas personas o involucre datos sensibles:

  • Debe notificar a la ANPD dentro de las 48 horas de haber tomado conocimiento (si tarda más, hay que justificarlo). La obligación se mantiene aunque crea que ya lo resolvió internamente.
  • Debe comunicar a las personas afectadas también dentro de 48 horas, en lenguaje claro, indicando las medidas tomadas.
  • Si el incidente ocurre en el entorno digital, además se notifica al Centro Nacional de Seguridad Digital.
  • Si usted es proveedor de software (encargado), debe informar de inmediato a su cliente (el responsable) cualquier incidente que detecte (Art. 36), y todo incidente debe documentarse (Art. 35).

Cumplir esto en la práctica exige, antes del incidente, poder detectarlo (de ahí los logs), tener un canal de notificación y un plan de respuesta. No se improvisa en 48 horas.

Consentimiento, derechos y "privacidad desde el diseño"

El reglamento refuerza el principio de privacidad desde el diseño y por defecto: la protección de datos no es un parche al final, se construye desde el primer boceto del sistema. En la práctica, para su web o software:

  • Consentimiento libre, previo, expreso e informado para recopilar datos: sus formularios y checkboxes importan y deben enlazar a su política de privacidad.
  • Derechos del titular: las personas pueden acceder, rectificar, cancelar u oponerse al uso de sus datos (y, más adelante, solicitar portabilidad). Su sistema debe permitir atender esas solicitudes.
  • Minimizar y dar de baja: recopilar solo lo necesario y poder eliminar datos cuando ya no se usan (el ciclo de vida del dato).

Oficial de Datos Personales

El reglamento consolida la figura del Oficial de Datos Personales, obligatorio para entidades públicas y, de forma progresiva, para empresas privadas según su tamaño (cronograma de 1 a 4 años desde la publicación, según ventas anuales en UIT). Es el punto de contacto interno responsable del cumplimiento.

Checklist práctico para el desarrollo

Si va a construir o contratar un sistema o web que maneje datos de personas, asegúrese de que contemple:

  • Autenticación robusta y roles/permisos con revisión periódica.
  • Logs de auditoría de accesos y acciones, conservados al menos 2 años.
  • Cifrado de datos en tránsito (y en reposo para datos sensibles).
  • Respaldos verificados y un plan de recuperación.
  • Un flujo para atender derechos (acceso, rectificación, cancelación, oposición) y eliminar datos.
  • Consentimiento claro en formularios + política de privacidad enlazada.
  • Un plan de respuesta a incidentes que permita notificar en 48 horas.
  • Si trabaja con un proveedor, un contrato de encargo de tratamiento que fije sus obligaciones.

En resumen

El Reglamento de la Ley 29733 ya no es opcional: convierte buenas prácticas de seguridad (accesos, trazabilidad, cifrado, respaldos, respuesta a incidentes) en obligaciones para cualquier empresa con presencia digital. La buena noticia: si su software se diseña con esto en mente desde el inicio, cumplir es natural y económico; intentarlo después es caro. En GlobalDev Peru desarrollamos sistemas y webs alineados a estos requisitos -control de accesos, cifrado, respaldo y trazabilidad- y le entregamos el código y los datos siempre a su nombre. Si quiere revisar si su sistema actual cumple, conversémoslo.

Este contenido es orientativo y no constituye asesoría legal. Para las obligaciones específicas de su organización, consulte con un abogado especializado o con la Autoridad Nacional de Protección de Datos Personales (ANPD), adscrita al Ministerio de Justicia y Derechos Humanos. Puede leer la norma oficial completa aquí: Decreto Supremo N° 016-2024-JUS - Reglamento de la Ley N° 29733.

Etiquetas
Ley 29733Protección de DatosSeguridadCumplimientoPerúDesarrollo
Compartir
Siga leyendo

Artículos relacionados

Cuánto cuesta una página web para empresas en Perú en 2026Páginas Web
31 de mayo de 2026

¿Cuánto Cuesta una Página Web en Perú? (Precios Reales 2026)

Cuánto cuesta realmente una página web en Perú en 2026: rangos de precios reales, qué factores mueven el costo, los gastos ocultos que casi nadie le explica y cómo saber si una cotización es justa.

Migración al ecosistema Microsoft 365 para empresasMicrosoft 365
14 de marzo de 2025

Cuándo es Momento de Migrar al Ecosistema Microsoft 365

Descubra las señales clave que indican que su empresa necesita dar el salto a Microsoft 365 y cómo esta plataforma puede transformar su productividad.

Comparación entre página web y redes sociales para empresasEstrategia Digital
19 de febrero de 2025

Página Web vs Redes Sociales: ¿Qué Necesita su Empresa Primero?

Analice si su negocio debe priorizar una página web propia o enfocarse en redes sociales, y entienda cuándo cada opción tiene más sentido.