Leyes de Privacidad de Datos en Perú: Ley 29733, DS 016-2024-JUS y Guía del Reglamento 2025

Perú protege los datos personales bajo la Ley N.º 29733 (2011), fundamentada en el artículo 2(6) de la Constitución Política. El Decreto Supremo N.º 016-2024-JUS, vigente desde el 30 de marzo de 2025, actualizó el marco normativo con Oficiales de Protección de Datos obligatorios, notificación de brechas en 48 horas y derechos ARCO-PD ampliados.
El marco de protección de datos de Perú de un vistazo
Perú promulgó la Ley de Protección de Datos Personales (Ley N.º 29733) el 2 de julio de 2011, publicada en El Peruano, el diario oficial. La ley convirtió a Perú en uno de los primeros países de América Latina en adoptar un régimen legal integral de protección de datos. El reglamento de aplicación original, el Decreto Supremo N.º 003-2013-JUS, entró en vigencia en 2013 y rigió el cumplimiento durante más de una década.
El 30 de noviembre de 2024, Perú publicó en El Peruano el Decreto Supremo N.º 016-2024-JUS, aprobando un nuevo Reglamento integral de la Ley 29733. Este reglamento sustituyó por completo a la versión de 2013 y entró en vigor el 30 de marzo de 2025. El reglamento, de 135 artículos, moderniza el marco para la economía digital, abordando el comercio electrónico, la inteligencia artificial, el perfilamiento automatizado, las cookies y los datos de ubicación.
El derecho constitucional a la privacidad de datos se encuentra en el artículo 2(6) de la Constitución Política del Perú (1993), que garantiza el derecho de toda persona frente a los servicios informáticos que afecten la intimidad personal y familiar. El artículo 200(3) establece la acción de habeas data como el recurso judicial disponible cuando se vulnera ese derecho.
Para conocer cómo trata Perú la grabación de conversaciones, consulte nuestro artículo complementario sobre las leyes de grabación en Perú.

Fundamento constitucional y habeas data
Artículo 2(6): el derecho fundamental
El artículo 2(6) de la Constitución Política de Perú establece el fundamento de rango constitucional para toda la legislación de protección de datos en el país. La disposición reconoce que toda persona tiene derecho a que los servicios informáticos, computarizados o no, públicos o privados, no suministren información que afecte la intimidad personal y familiar. Este fundamento constitucional significa que la Ley 29733 no es meramente una norma regulatoria: implementa un derecho fundamental que prevalece sobre la legislación ordinaria.
El derecho constitucional cubre ampliamente la privacidad informativa. Protege contra la recopilación, el almacenamiento y la divulgación de información personal sin justificación legal, y otorga a los titulares legitimidad para impugnar el tratamiento ilícito tanto administrativamente (ante la ANPDP) como judicialmente (mediante habeas data).
Artículo 200(3): el habeas data como garantía constitucional
El artículo 200(3) de la Constitución establece el habeas data como una de las acciones de garantía constitucional de Perú, junto con el amparo y el hábeas corpus. La acción de habeas data puede promoverse ante un tribunal por cualquier persona cuyos derechos de privacidad de datos bajo el artículo 2(6) hayan sido vulnerados, particularmente cuando un servicio de información use indebidamente sus datos personales o suministre información que dañe la intimidad personal o familiar.
El habeas data es un recurso subsidiario. El peticionario debe, por lo general, agotar la vía administrativa ante la ANPDP antes de acudir a los tribunales constitucionales. En la práctica, esto significa presentar primero una denuncia ante la ANPDP. Si el procedimiento administrativo no logra reivindicar los derechos del peticionario, la acción de habeas data proporciona un respaldo constitucional ante el poder judicial.
La disponibilidad del habeas data es una característica significativa del marco peruano en comparación con muchos otros países de América Latina. Otorga a los titulares una herramienta de aplicación de rango constitucional que se sitúa por encima y más allá de los procedimientos administrativos de la ANPDP.

Ley N.º 29733: disposiciones centrales
Alcance y aplicación
La Ley 29733 se aplica al tratamiento de datos personales realizado por cualquier persona natural o jurídica, ya sea del sector público o privado, por medios automatizados o no automatizados. La ley cubre todas las etapas del tratamiento de datos: recopilación, registro, almacenamiento, conservación, organización, modificación, extracción, consulta, uso, bloqueo, eliminación y destrucción de datos personales.
La ley se aplica al tratamiento realizado en territorio peruano. El DS 016-2024-JUS amplía su alcance a los responsables extranjeros que ofrezcan bienes o servicios a personas ubicadas en Perú, o que realicen perfilamiento conductual de personas en Perú, incluso cuando el responsable no tenga un establecimiento físico en el país. Dichas entidades extranjeras deben designar un representante peruano responsable del cumplimiento.
Definiciones: datos personales y datos sensibles
La Ley 29733 define los datos personales como cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de otro tipo, relativa a una persona natural identificada o identificable. El DS 016-2024-JUS amplió esta definición para incluir explícitamente los datos de ubicación y los identificadores en línea (como las direcciones IP y los identificadores de cookies) como categorías de datos personales.
Los datos personales sensibles reciben una protección reforzada. El DS 016-2024-JUS actualizó las categorías de datos sensibles para incluir:
- Origen racial o étnico
- Opiniones políticas
- Creencias religiosas o filosóficas
- Afiliación sindical
- Datos de salud
- Orientación sexual e identidad de género
- Antecedentes penales
- Datos financieros y de ingresos
- Datos biométricos utilizados para identificación única
- Datos genéticos
- Datos emocionales (nuevo bajo el DS 016-2024-JUS)
El tratamiento de datos sensibles requiere el consentimiento expreso y por escrito del titular, salvo que aplique una excepción legal específica.
Principios que rigen el tratamiento de datos
La Ley 29733 establece ocho principios fundamentales que rigen todo tratamiento de datos personales en Perú:
- Legalidad: el tratamiento debe tener una base jurídica establecida por ley.
- Consentimiento: el consentimiento libre, previo, expreso, informado e inequívoco del titular es la base jurídica predeterminada para el tratamiento.
- Finalidad: los datos solo pueden recopilarse para una finalidad específica, explícita y lícita, y no pueden tratarse de manera incompatible con dicha finalidad.
- Proporcionalidad: el tratamiento debe ser adecuado, pertinente y no excesivo en relación con la finalidad declarada.
- Calidad de los datos: los datos deben ser exactos, completos y mantenerse actualizados.
- Seguridad: los responsables deben implementar medidas técnicas y organizativas para proteger los datos contra el acceso no autorizado, la pérdida y la destrucción.
- Nivel de protección: debe garantizarse una protección adecuada para las transferencias internacionales.
- Responsabilidad: el responsable es responsable del cumplimiento de la ley y debe poder demostrarlo.
Bases jurídicas para el tratamiento
Si bien el consentimiento es la base jurídica principal bajo la Ley 29733, la ley reconoce varias bases que no requieren consentimiento. Estas incluyen:
- El tratamiento necesario para el desempeño de las funciones de una entidad pública dentro de su competencia legalmente establecida
- El tratamiento de datos provenientes de fuentes de acceso público
- El tratamiento necesario para la ejecución de una relación contractual o precontractual con el titular
- El tratamiento necesario para la elaboración de estudios estadísticos con métodos anónimos
- El tratamiento relacionado con la salud pública, la epidemiología o la investigación científica de interés público
- El tratamiento autorizado por ley para fines específicos
El DS 016-2024-JUS aclaró y amplió estas bases, particularmente en el contexto de los servicios digitales y los sistemas automatizados. Reforzó que la base jurídica del tratamiento debe estar documentada y que los responsables deben poder demostrar qué base aplica a cada actividad de tratamiento.
Derechos de los titulares (ARCO-PD)
La Ley 29733 estableció originalmente los derechos ARCO: Acceso, Rectificación, Cancelación y Oposición. El DS 016-2024-JUS amplió esto a lo que los profesionales ahora describen como ARCO-PD, añadiendo la Portabilidad y la Desindexación:
Acceso: el derecho a obtener confirmación de si se están tratando datos personales y a recibir una copia de dichos datos, junto con información sobre su origen, finalidad y los destinatarios a quienes se han divulgado.
Rectificación: el derecho a que se corrijan o completen los datos personales inexactos o incompletos.
Cancelación: el derecho a solicitar la eliminación de los datos personales cuando ya no sean necesarios para la finalidad para la que fueron recopilados, cuando se retire el consentimiento, o cuando el tratamiento sea de otro modo ilícito.
Oposición: el derecho a oponerse al tratamiento de datos personales en determinadas circunstancias, incluido cuando el tratamiento se base en intereses legítimos o en la prospección comercial. El DS 016-2024-JUS reforzó este derecho para la prospección comercial: las organizaciones pueden contactar a posibles clientes utilizando datos de fuentes públicas solo una vez, y si no se obtiene el consentimiento en ese primer contacto, se prohíbe cualquier contacto adicional.
Portabilidad (nuevo, vigente desde el 30 de septiembre de 2025): el derecho a recibir los datos personales en un formato estructurado y de lectura automatizada, y a transmitirlos a otro responsable, cuando el tratamiento se base en el consentimiento, la necesidad contractual o medios automatizados. Se permite la transmisión directa entre responsables cuando sea técnicamente viable.
Desindexación (nuevo): el derecho a solicitar la eliminación de URLs o contenido que haga referencia a datos personales de los índices de motores de búsqueda.
Los responsables deben responder a las solicitudes ARCO-PD dentro de los plazos establecidos por el reglamento. Las solicitudes de oposición deben resolverse dentro de 10 días hábiles.

La ANPDP: estructura y facultades
Estructura organizacional
La Autoridad Nacional de Protección de Datos Personales (ANPDP) es la autoridad administrativa responsable de supervisar y hacer cumplir la Ley 29733. La ANPDP no es una autoridad independiente. Opera como parte de la Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales dentro del Ministerio de Justicia y Derechos Humanos (MINJUS).
La ANPDP comprende tres unidades funcionales:
- Dirección de Fiscalización e Investigación: supervisa el cumplimiento de la ley, realiza inspecciones anunciadas y no anunciadas, inicia procedimientos sancionadores e investiga las denuncias presentadas por los titulares de datos.
- Dirección de Protección de Datos Personales: resuelve procedimientos sancionadores de primera instancia, administra procedimientos administrativos trilaterales (titular contra responsable) y administra el Registro Nacional de Bancos de Datos Personales.
- Dirección General: sirve como última instancia administrativa, resolviendo apelaciones y agotando la vía administrativa antes de que los asuntos puedan pasar a revisión judicial.
Facultades y funciones
La ANPDP posee amplias facultades regulatorias y de aplicación:
- Investigar denuncias presentadas por los titulares e iniciar investigaciones de oficio
- Realizar inspecciones a responsables y encargados del tratamiento, tanto anunciadas como no anunciadas
- Emitir directivas vinculantes que interpretan y complementan la Ley 29733
- Imponer multas administrativas dentro del marco sancionador de tres niveles
- Ordenar medidas correctivas, incluido el cese del tratamiento ilícito y la eliminación de datos retenidos ilícitamente
- Mantener el Registro Nacional de Bancos de Datos Personales
- Emitir orientación sobre la aplicación de la ley, incluso para sectores y tecnologías específicos
- Aprobar cláusulas contractuales estándar para las transferencias internacionales de datos
La autoridad ha aumentado progresivamente su actividad de aplicación, con una carga de casos creciente en los sectores de salud, servicios financieros, telecomunicaciones y educación.
Registro Nacional de Bancos de Datos Personales
Una de las características más distintivas del marco peruano es el registro obligatorio de los bancos de datos personales ante la ANPDP. Este requisito es anterior al reglamento de 2025 y se ha mantenido y simplificado bajo el DS 016-2024-JUS.
Toda entidad pública y privada que mantenga un banco de datos personales debe registrarlo en el Registro Nacional de Protección de Datos Personales antes de iniciar la recopilación de datos. El registro se realiza de forma gratuita mediante un procedimiento de aprobación automática a través de la plataforma del Sistema Integrado de Protección de Datos Personales (SIPDP), disponible en el sitio web oficial de la ANPDP. El registro debe incluir la finalidad del banco, las categorías de datos que contiene, las medidas de seguridad aplicables y los procedimientos para el ejercicio de los derechos de los titulares.
El DS 016-2024-JUS mantiene el requisito de registro y actualizó los procedimientos de inscripción para alinearlos con el nuevo reglamento. La falta de registro de un banco de datos personales se clasifica como una infracción grave, con multas de 5 a 50 UIT.
Decreto Supremo N.º 016-2024-JUS: qué cambió
Panorama de la reforma
El Decreto Supremo N.º 016-2024-JUS representa la reforma más integral del marco de protección de datos de Perú desde la Ley 29733 original. Publicado el 30 de noviembre de 2024 y vigente desde el 30 de marzo de 2025, el reglamento sustituye al reglamento de aplicación de 2013 en la totalidad de sus 135 artículos y seis disposiciones complementarias.
La reforma refleja una alineación regulatoria con los desarrollos del derecho de protección de datos latinoamericano y europeo, particularmente la influencia del Reglamento General de Protección de Datos de la UE y la Ley General de Protección de Datos de Brasil. Los principales cambios abarcan las obligaciones del DPO, la notificación de brechas, nuevos derechos de los titulares, el alcance ampliado, reglas reforzadas de consentimiento, la IA y la toma de decisiones automatizada, y el cumplimiento en materia de cookies.
Requisitos del Oficial de Protección de Datos
El DS 016-2024-JUS introduce una figura obligatoria de DPO que se activa en tres situaciones:
- El responsable es una entidad pública que trata datos personales.
- El responsable maneja grandes volúmenes de datos personales o trata datos sensibles que afectan los derechos fundamentales de los titulares.
- Las actividades principales del negocio del responsable consisten en el tratamiento de datos personales sensibles.
El DPO debe cumplir requisitos mínimos de calificación: al menos dos años de experiencia general en materia de privacidad de datos, más un año de experiencia específica en protección de datos, combinados con estudios de posgrado en privacidad de datos, un título académico en la materia, o una certificación reconocida. El DPO también debe demostrar integridad moral y ética, y debe contar con independencia funcional respecto de las entidades cuyas actividades de tratamiento supervisa.
Las empresas con múltiples sedes pueden designar un único DPO accesible en todas las ubicaciones. Los datos de contacto del DPO deben publicarse (por ejemplo, en el aviso de privacidad de la organización) y notificarse formalmente a la ANPDP dentro de los 15 días siguientes a su designación, conforme a la Resolución Directoral N.º 100-2025-JUS-DGTAIPD.
La obligación del DPO se escalona por nivel de ventas anuales conforme a un calendario de cumplimiento gradual:
| Nivel de empresa | Umbral de ventas anuales | Plazo para el DPO |
|---|---|---|
| Grande (Nivel 1) | Superior a 2,300 UIT (aprox. S/12.6 millones) | 30 de noviembre de 2025 |
| Grande (Nivel 2) | De 1,700 a 2,300 UIT | 30 de noviembre de 2026 |
| Pequeña/Mediana | De 150 a 1,700 UIT | 30 de noviembre de 2027 |
| Micro | Menos de 150 UIT | 30 de noviembre de 2028 |
Notificación de brechas de seguridad
El DS 016-2024-JUS establece la primera obligación legal de notificación de brechas de Perú. Cuando ocurra un incidente de seguridad de datos personales que involucre grandes volúmenes de datos, datos personales sensibles, o que cause un perjuicio evidente a los derechos fundamentales de los titulares, el responsable debe:
- Notificar a la ANPDP dentro de las 48 horas siguientes a tener conocimiento del incidente. Existe un formulario de notificación dedicado disponible en https://reporte.cnsd.gob.pe/home/minjus.
- Notificar a los titulares afectados dentro de la misma ventana de 48 horas, en lenguaje claro y sencillo, explicando qué ocurrió, qué datos fueron expuestos y qué medidas está tomando el responsable.
- Si el responsable opera en un sector crítico, notificar adicionalmente al Centro Nacional de Seguridad Digital.
Las notificaciones tardías no se sancionan automáticamente, pero requieren una justificación documentada con evidencia de los motivos del retraso. La obligación de notificación de brechas se aplica desde la fecha en que el DS 016-2024-JUS entró en vigencia, el 30 de marzo de 2025.
Alcance extraterritorial ampliado
El reglamento de aplicación de 2013 tenía una orientación mayormente territorial. El DS 016-2024-JUS adopta un enfoque basado en efectos, alineado con los estándares internacionales modernos. El reglamento se aplica a los responsables extranjeros que:
- Ofrezcan bienes o servicios a personas ubicadas en Perú, independientemente de si se requiere pago, o
- Monitoreen o perfilen el comportamiento de personas ubicadas en Perú.
Los responsables extranjeros que se encuentren dentro de este alcance deben designar un representante peruano que pueda ser responsabilizado por incumplimientos. El requisito del representante entró en vigencia el 30 de marzo de 2025.
IA y toma de decisiones automatizada
El DS 016-2024-JUS aborda el uso de sistemas de inteligencia artificial que tratan datos personales. Las organizaciones que despliegan sistemas de IA para la toma de decisiones automatizada que afecten significativamente a los titulares deben:
- Informar a los titulares de que se está realizando un tratamiento automatizado y explicar su lógica
- Otorgar a los titulares el derecho de solicitar una revisión humana de las decisiones automatizadas que produzcan efectos significativos
- Implementar medidas de transparencia y responsabilidad proporcionales al riesgo del tratamiento
Estas disposiciones son consistentes con el contexto regulatorio más amplio de la IA en Perú en 2025. Por separado, la Ley N.º 32314 (discutida más adelante en Desarrollos recientes) se dirige al uso indebido penal de la IA, pero no modifica las obligaciones de la Ley 29733.
Cumplimiento en materia de cookies y datos de ubicación
El DS 016-2024-JUS designa explícitamente a los identificadores en línea (incluidas las cookies y las direcciones IP) y a los datos de ubicación como datos personales. Las cookies que van más allá de la funcionalidad estrictamente necesaria para operar un sitio web requieren el consentimiento previo del usuario. Los datos de ubicación requieren un consentimiento separado y específico, distinto del consentimiento general para el tratamiento de datos.
Esta disposición afecta directamente a los sitios web y las aplicaciones móviles que prestan servicio a usuarios en Perú o que se dirigen a residentes peruanos desde el extranjero.
Obligaciones del Oficial de Protección de Datos: detalle práctico
El DPO bajo el DS 016-2024-JUS es un funcionario de cumplimiento interno, no un profesional colegiado o registrado como lo sería un abogado o un notario. Las responsabilidades principales del DPO son:
- Informar y asesorar a la organización y a sus empleados sobre sus obligaciones bajo la Ley 29733 y el DS 016-2024-JUS
- Supervisar el cumplimiento interno de las políticas y procedimientos de protección de datos
- Brindar asesoría sobre las evaluaciones de impacto en la protección de datos (EIPD) para el tratamiento de alto riesgo
- Servir como punto de contacto principal con la ANPDP en materia de tratamiento de datos personales
- Cooperar con las inspecciones e investigaciones de la ANPDP
Las organizaciones que designen un DPO deben seguir un procedimiento formal de dos pasos: (1) designación interna mediante un acto corporativo formal (resolución de accionistas o decisión del directorio), seguida de (2) notificación formal a la ANPDP. El DPO puede ser un empleado o un proveedor de servicios externo.
El nivel de calificación exigido, particularmente el requisito de estudios de posgrado o una certificación reconocida en privacidad de datos, plantea un desafío práctico dada la oferta relativamente limitada de profesionales de privacidad de datos formalmente capacitados en Perú. El calendario escalonado para las organizaciones más pequeñas refleja esta realidad y ofrece tiempo para que el mercado de educación profesional desarrolle capacidad suficiente.
Notificación de brechas: obligaciones y proceso
Qué activa la notificación
No todo incidente de seguridad activa la obligación de notificación en 48 horas. El DS 016-2024-JUS limita la notificación obligatoria a los incidentes que cumplan uno o más de los siguientes umbrales:
- El incidente expone grandes volúmenes de datos personales
- Los datos expuestos incluyen datos personales sensibles (salud, biométricos, genéticos, etc.)
- El incidente causa, o es probable que cause, un perjuicio evidente a los derechos fundamentales de los titulares (por ejemplo, riesgo de robo de identidad, riesgo de discriminación o daño financiero)
Cuando el incidente esté contenido y resuelto sin ningún riesgo material para los titulares, el responsable debe seguir documentándolo internamente, pero no está obligado a realizar una notificación externa.
Contenido de la notificación
La notificación a la ANPDP debe describir: la naturaleza del incidente; las categorías y el volumen aproximado de datos personales afectados; las consecuencias probables; las medidas tomadas o propuestas para abordar el incidente; y el nombre y los datos de contacto del DPO (si fue designado). Las notificaciones a los titulares afectados deben usar un lenguaje claro y sencillo, e indicarles qué ocurrió, qué datos fueron expuestos y qué medidas correctivas se están tomando o están disponibles.
Sectores críticos
Las organizaciones que operan en sectores de infraestructura crítica (energía, finanzas, salud, telecomunicaciones, agua) deben notificar adicionalmente al Centro Nacional de Seguridad Digital utilizando el formulario en https://reporte.cnsd.gob.pe/home/minjus. Esta obligación de doble notificación refleja el marco regulatorio paralelo de ciberseguridad de Perú.
Transferencias internacionales de datos
El requisito de adecuación
La Ley 29733 restringe las transferencias internacionales de datos personales a países u organizaciones internacionales que ofrezcan niveles adecuados de protección de datos. La ANPDP tiene la facultad de determinar qué países satisfacen este estándar, aunque a 2025 Perú no ha publicado una lista integral de adecuación equivalente al enfoque de la UE.
Mecanismos de transferencia cuando no existe adecuación
Cuando no existe una determinación de adecuación para el país de destino, el DS 016-2024-JUS permite las transferencias a través de los siguientes mecanismos:
- Cláusulas contractuales estándar: contratos escritos que obligan al receptor a proteger los datos conforme a las obligaciones de la Ley 29733. La ANPDP puede aprobar previamente cláusulas modelo.
- Normas corporativas vinculantes: para transferencias intragrupo entre entidades del mismo grupo corporativo.
- Tratados internacionales: cuando un tratado bilateral o multilateral establezca disposiciones de protección de datos.
- Cooperación judicial y de aplicación de la ley: transferencias necesarias para la cooperación judicial internacional o para fines de aplicación de la ley (terrorismo, narcotráfico, lavado de activos, corrupción, trata de personas, delincuencia organizada).
- Tratamiento médico: transferencias necesarias para proteger la salud o la seguridad física del titular.
- Necesidad contractual: transferencias requeridas para la ejecución de un contrato entre el titular y el responsable.
- Anonimización: cuando los datos han sido genuinamente anonimizados o disociados antes de la transferencia.
- Consentimiento: consentimiento expreso e informado del titular que autoriza específicamente la transferencia internacional al país de destino y al receptor nombrados.
El DS 016-2024-JUS actualizó el marco de evaluación de las transferencias internacionales. Los responsables deben evaluar el marco jurídico del país de destino, su reconocimiento de los principios de protección de datos, los derechos disponibles para los titulares en esa jurisdicción, y la existencia de una autoridad de supervisión.
Sanciones y aplicación
El marco sancionador de tres niveles
La Ley 29733 establece tres niveles de infracciones, con multas expresadas en Unidades Impositivas Tributarias (UIT). El valor de la UIT es fijado anualmente por el Ministerio de Economía y Finanzas. Para 2026 es de S/5,500 (Decreto Supremo N.º 301-2025-EF).
| Nivel | Ejemplos | Rango de multa (UIT) | Rango de multa (S/) | Aprox. USD (2026) |
|---|---|---|---|---|
| Leve | Respuesta tardía a una solicitud ARCO; aviso de privacidad inadecuado | 0.5 a 5 UIT | S/2,750 a S/27,500 | USD 740 a USD 7,400 |
| Grave | Tratamiento sin consentimiento; falta de registro del banco de datos; transferencia internacional ilícita | 5 a 50 UIT | S/27,500 a S/275,000 | USD 7,400 a USD 74,000 |
| Muy grave | Tratamiento de datos sensibles sin consentimiento expreso; obstrucción de una inspección de la ANPDP; infracciones graves reiteradas | 50 a 100 UIT | S/275,000 a S/550,000 | USD 74,000 a USD 148,000 |
Ninguna multa puede exceder el 10% de los ingresos netos anuales de la entidad infractora del año anterior, lo que establece un tope que protege a las organizaciones más pequeñas de sanciones desproporcionadas, a la vez que permite sanciones significativas para infracciones a gran escala de grandes empresas.
Medidas correctivas
Además de las sanciones económicas, la ANPDP puede emitir órdenes correctivas que exijan a los responsables:
- Cesar de inmediato el tratamiento ilícito
- Eliminar los datos que fueron recopilados o tratados sin una base jurídica válida
- Implementar medidas técnicas u organizativas de seguridad específicas dentro de un plazo determinado
- Adoptar nuevas políticas y procedimientos internos
- Designar un DPO o implementar programas de cumplimiento
Postura de aplicación
La ANPDP ha fortalecido progresivamente su actividad de aplicación desde la promulgación de la ley. La aplicación se ha concentrado en sectores con tratamiento intensivo de datos personales: salud, servicios financieros, telecomunicaciones y educación. La autoridad ha llevado adelante tanto investigaciones motivadas por denuncias como procedimientos de oficio.
Se espera que la entrada en vigencia del DS 016-2024-JUS en marzo de 2025, con sus nuevas obligaciones de DPO, notificación de brechas y derechos ampliados, genere una nueva ola de actividad de aplicación a medida que la ANPDP evalúe el cumplimiento del marco actualizado.
Cumplimiento empresarial: lo que exige el reglamento de 2025
Las organizaciones que operan en Perú u ofrecen bienes y servicios a residentes peruanos deben revisar sus programas de protección de datos frente a los siguientes requisitos del DS 016-2024-JUS:
Registro de bancos de datos: todos los bancos de datos personales deben registrarse en el RNPDP a través de la plataforma SIPDP antes de iniciar el tratamiento. Los bancos existentes que no estaban registrados deben regularizar su cumplimiento. El registro es gratuito.
Designación del DPO: evalúe si su organización se encuentra dentro de los supuestos obligatorios del DPO (entidad pública, tratamiento de gran volumen o de datos sensibles como actividad principal). Si es así, identifique qué fase del plazo escalonado aplica según las ventas anuales y designe un DPO calificado antes del plazo.
Programa de notificación de brechas: implemente procedimientos internos para detectar, evaluar y reportar incidentes de seguridad de datos personales dentro de la ventana de 48 horas. Designe la responsabilidad de la notificación a la ANPDP y de la comunicación con los titulares. Conserve los registros de los incidentes.
Avisos de privacidad y mecanismos de consentimiento: actualice los avisos de privacidad para reflejar la definición ampliada de datos personales (datos de ubicación, identificadores en línea), los nuevos derechos (portabilidad, desindexación) y la base de cada actividad de tratamiento. Los mecanismos de consentimiento para cookies, prospección comercial y datos sensibles deben cumplir con los requisitos del DS 016-2024-JUS.
Revisión de transferencias internacionales: mapee todos los flujos internacionales de datos. Confirme que cada transferencia se beneficie de una determinación de adecuación, esté cubierta por salvaguardas contractuales, o esté respaldada por un consentimiento documentado del titular.
Cumplimiento extraterritorial: las organizaciones extranjeras que ofrezcan bienes digitales, servicios o publicidad dirigida a residentes peruanos deben evaluar si ahora están dentro del alcance de la norma. De ser así, designen un representante peruano y registren los bancos de datos relevantes.
Preparación para la portabilidad: el derecho a la portabilidad de datos entró en vigencia el 30 de septiembre de 2025. Los responsables deben poder atender las solicitudes de portabilidad proporcionando los datos en un formato estructurado y de lectura automatizada.
IA y toma de decisiones automatizada: si su organización utiliza sistemas de IA para tomar decisiones automatizadas que afecten significativamente a los titulares, implemente los mecanismos de transparencia y revisión humana exigidos por el DS 016-2024-JUS.
Desarrollos recientes (2024 a 2026)
DS 016-2024-JUS (noviembre de 2024 / marzo de 2025)
La promulgación y entrada en vigencia del DS 016-2024-JUS es el desarrollo más significativo en el marco de protección de datos de Perú desde 2013. La ANPDP ha emitido orientación complementaria, incluida la Resolución Directoral N.º 100-2025-JUS-DGTAIPD que aborda los procedimientos de registro del DPO.
Ley N.º 32314 (abril de 2025)
La Ley N.º 32314 se publicó el 29 de abril de 2025. Esta ley es una reforma de derecho penal, no una reforma de protección de datos. Refuerza la respuesta legal de Perú frente al uso indebido de la IA al: tratar el uso de la IA para cometer delitos como una circunstancia agravante en la sentencia penal; sancionar los deepfakes utilizados para material de abuso sexual infantil, fraude financiero o daño reputacional; reformar la Ley de Delitos Informáticos (Ley N.º 30096) para incluir a la IA como un medio de comisión de delitos; y reformar el artículo 217 del Código Penal para sancionar las obras generadas por IA que infrinjan derechos de autor.
La Ley 32314 no reforma la Ley 29733 y no altera la jurisdicción de la ANPDP. Sin embargo, las organizaciones que utilizan sistemas de IA para el tratamiento de datos en Perú deben considerar tanto las obligaciones de protección de datos bajo el DS 016-2024-JUS (transparencia, derechos de revisión humana) como la exposición a responsabilidad penal bajo la Ley 32314 (uso de la IA para cometer delitos como circunstancia agravante). Los dos marcos son complementarios y no se superponen.
Tendencias de aplicación
La ANPDP ha concentrado su atención en materia de aplicación en las prácticas de gestión del consentimiento en los servicios digitales y el marketing, las fallas de seguridad de datos en los sectores de salud y financiero, y las infracciones por falta de registro. Se espera que las obligaciones ampliadas bajo el DS 016-2024-JUS generen un nuevo enfoque de aplicación en el cumplimiento del DPO y las fallas de notificación de brechas a partir de 2025.
Este artículo presenta información legal general sobre el marco de protección de datos de Perú. No constituye asesoría legal. La Ley 29733 y el Decreto Supremo N.º 016-2024-JUS son fuentes primarias; las citas han sido verificadas contra publicaciones oficiales del gobierno peruano y comentarios secundarios autorizados. La información fue verificada al 19 de mayo de 2026. Las organizaciones deben consultar a un abogado autorizado para ejercer en Perú para obtener asesoría sobre su situación específica.
Preguntas frecuentes
¿Cuál es la principal ley de protección de datos de Perú?
La Ley N.º 29733, la Ley de Protección de Datos Personales, promulgada en 2011, es la norma integral de protección de datos de Perú. Se implementa mediante el Decreto Supremo N.º 016-2024-JUS, vigente desde el 30 de marzo de 2025, que reemplazó el reglamento de 2013. El fundamento constitucional es el artículo 2(6) de la Constitución Política de Perú.
¿Qué cambió el reglamento de 2025 (DS 016-2024-JUS)?
El Decreto Supremo N.º 016-2024-JUS, vigente desde el 30 de marzo de 2025, introdujo Oficiales de Protección de Datos obligatorios (escalonados por tamaño de empresa), notificación de brechas en 48 horas, derechos de portabilidad de datos (vigentes desde el 30 de septiembre de 2025), derechos de desindexación, un alcance extraterritorial ampliado que cubre a las empresas extranjeras que se dirigen a peruanos, una definición ampliada de datos sensibles que incluye datos emocionales y genéticos, requisitos de consentimiento de cookies, y reglas más estrictas de prospección comercial.
¿Necesita mi empresa un Oficial de Protección de Datos en Perú?
Un DPO es obligatorio si su organización es una entidad pública, maneja grandes volúmenes de datos personales o datos sensibles como parte de sus actividades principales, o tiene el tratamiento de datos sensibles como su principal función de negocio. El plazo depende de las ventas anuales: las empresas que superen las 2,300 UIT deben designar un DPO antes del 30 de noviembre de 2025; de 1,700 a 2,300 UIT, antes del 30 de noviembre de 2026; de 150 a 1,700 UIT, antes del 30 de noviembre de 2027; menos de 150 UIT, antes del 30 de noviembre de 2028.
¿Cuáles son los requisitos de notificación de brechas en Perú?
Bajo el DS 016-2024-JUS, los responsables del tratamiento deben notificar a la ANPDP dentro de las 48 horas siguientes a tener conocimiento de un incidente de seguridad que exponga grandes volúmenes de datos, datos sensibles, o cause un perjuicio evidente a los derechos fundamentales de los titulares. Las personas afectadas también deben ser notificadas dentro de las 48 horas. Las organizaciones de sectores críticos deben notificar adicionalmente al Centro Nacional de Seguridad Digital.
¿Cuáles son las sanciones por infracciones de protección de datos en Perú?
Las multas se establecen en Unidades Impositivas Tributarias (UIT). Al valor de la UIT en 2026 de S/5,500: las infracciones leves conllevan multas de 0.5 a 5 UIT (S/2,750 a S/27,500); las infracciones graves conllevan de 5 a 50 UIT (S/27,500 a S/275,000); las infracciones muy graves conllevan de 50 a 100 UIT (S/275,000 a S/550,000). Ninguna multa puede exceder el 10% de los ingresos netos anuales.
¿Deben las organizaciones registrar sus bases de datos en Perú?
Sí. Perú exige que todas las entidades públicas y privadas registren sus bancos de datos personales en el Registro Nacional de Bancos de Datos Personales antes de iniciar la recopilación de datos. El registro es gratuito y se realiza a través de la plataforma SIPDP en el sitio web oficial de la ANPDP. La falta de registro es una infracción grave.
¿Se pueden transferir datos personales fuera de Perú?
Sí, con restricciones. Las transferencias están permitidas a países que la ANPDP considere que ofrecen una protección adecuada. Sin adecuación, las transferencias requieren salvaguardas contractuales (como cláusulas contractuales estándar aprobadas por la ANPDP), o el consentimiento expreso e informado del titular. El DS 016-2024-JUS exige que el responsable evalúe el marco jurídico del país de destino antes de cualquier transferencia.
¿Qué es el habeas data en Perú?
El habeas data es una acción de garantía constitucional establecida en el artículo 200(3) de la Constitución Política de Perú. Cualquier persona puede presentar una petición de habeas data ante un tribunal cuando un servicio de información use indebidamente sus datos personales o suministre información que dañe la intimidad personal o familiar. Es un recurso subsidiario: el peticionario debe primero agotar la vía administrativa ante la ANPDP antes de recurrir a los tribunales.
¿Qué es la Ley 32314 y cómo se relaciona con la protección de datos?
La Ley N.º 32314, publicada el 29 de abril de 2025, es una reforma de derecho penal. Aborda el uso indebido de la IA al tratar la comisión de delitos asistida por IA como una circunstancia agravante, sancionar los deepfakes, y reformar la Ley de Delitos Informáticos de Perú. No es una reforma a la Ley 29733 y no altera la jurisdicción de la ANPDP. Sin embargo, las organizaciones que usan IA en Perú deben cumplir ambos marcos: las obligaciones de protección de datos bajo el DS 016-2024-JUS y las reglas de responsabilidad penal bajo la Ley 32314.
¿Quién aplica la ley de protección de datos en Perú?
La Autoridad Nacional de Protección de Datos Personales (ANPDP), que opera dentro del Ministerio de Justicia y Derechos Humanos, aplica la Ley 29733. Comprende tres direcciones: la Dirección de Fiscalización e Investigación (investigaciones y sanciones); la Dirección de Protección de Datos Personales (procedimientos de primera instancia y el Registro Nacional); y la Dirección General (revisión administrativa de última instancia).
Fuentes y referencias
- Ley N.º 29733 de Perú - Diario Oficial El Peruano(diariooficial.elperuano.pe).gov
- Traducción al inglés de la Ley 29733 de Perú - NIH NIAID(clinregs.niaid.nih.gov).gov
- Decreto Supremo N.º 016-2024-JUS - El Peruano(busquedas.elperuano.pe).gov
- Texto del DS 016-2024-JUS - PDF oficial de la SMV(smv.gob.pe).gov
- ANPDP - Página oficial gob.pe(gob.pe).gov
- Registro de bancos de datos de la ANPDP - gob.pe(gob.pe).gov
- Campaña del nuevo reglamento de la ANPDP - gob.pe(gob.pe).gov
- DS 301-2025-EF Valor de la UIT 2026 - LP Derecho(lpderecho.pe)
- Protección de Datos en Perú - DLA Piper(dlapiperdataprotection.com)
- Análisis del nuevo reglamento de Perú - Thelema Abogados(thelemabogados.pe)
- Obligaciones del DPO en Perú - Financier Worldwide(financierworldwide.com)
- Actualización de protección de datos en Perú 2025 - Harris Gomez Group(hgomezgroup.com)
- Panorama del nuevo reglamento - CMS Law Perú(cms.law)
- Escáner de regulación de IA de Perú - CMS Law(cms.law)
- Plataforma de registro BANCODATOS - MINJUS(bancodatos.minjus.gob.pe).gov
- Campaña del nuevo reglamento de la ANPDP - gob.pe(gob.pe)