Alcance territorial ampliado
Una de las novedades más importantes es que la regulación ya no se limita a empresas con presencia en Perú. Ahora también alcanza a compañías extranjeras que ofrezcan bienes o servicios a personas en el país o que elaboren perfiles de quienes se encuentren en territorio peruano. Estas organizaciones deberán designar un representante en Perú, que será el contacto directo ante la Autoridad Nacional de Protección de Datos Personales (ANPDP).
Transferencias internacionales
El reglamento establece criterios mínimos para reconocer si un país ofrece un nivel adecuado de protección, considerando su marco legal, principios de tratamiento, reconocimiento de derechos y existencia de una autoridad de control. Cuando un destino no cumpla con esos estándares, las empresas deberán aplicar salvaguardas adicionales.
Publicidad y prospección comercial
Se limita el uso de datos obtenidos de fuentes públicas: solo se permite un primer contacto, y si no hay consentimiento en esa instancia, no se puede insistir. Además, las organizaciones deben informar al titular sobre la fuente de sus datos y garantizar el derecho de oposición, el cual debe resolverse en un plazo máximo de 10 días.
Incidentes de seguridad
La obligación de notificar incidentes se refuerza: toda brecha debe comunicarse a la ANPDP dentro de las 48 horas siguientes a su detección, incluso si ya se encuentra controlada. En caso de incidentes digitales, también se debe reportar al Centro Nacional de Seguridad Digital. Cuando exista afectación, los titulares deberán ser informados en el mismo plazo, en un lenguaje claro y accesible.
Oficial de datos personales
El reglamento crea la figura obligatoria del oficial de protección de datos, que aplica a entidades públicas, a tratamientos de gran escala o a los que involucren datos sensibles. La designación debe comunicarse a la Autoridad en un plazo de 15 días y ser fácilmente identificable por los titulares. En el caso de grupos empresariales, es posible nombrar un único oficial, siempre que sea accesible para todas las sedes.
Medidas de seguridad reforzadas
Las organizaciones deberán contar con un documento formal de seguridad con fecha cierta, que detalle procedimientos sobre accesos, privilegios, auditorías y verificaciones periódicas en los sistemas que gestionan datos personales.
Lo que significa para las empresas
El nuevo marco impone obligaciones más exigentes: revisar políticas de privacidad, actualizar contratos, implementar protocolos de respuesta ante incidentes y capacitar al personal en todas las áreas que manejan información personal. También refuerza el rol de cumplimiento, tanto para compañías locales como para extranjeras.
Conclusión
Este reglamento marca un cambio profundo en la manera en que se gestionan los datos personales en el Perú. Para las empresas, no se trata solo de cumplir formalidades: deben anticiparse, reforzar su seguridad y garantizar prácticas transparentes frente a titulares y autoridades. Para los ciudadanos, representa una mayor protección de sus derechos y un marco más sólido para exigir responsabilidades.
