Cada vez que un cliente presenta un reclamo, te entrega datos personales: nombre, DNI, teléfono, email, dirección, a veces incluso datos sensibles (historia clínica, cuenta bancaria, consumo específico). Eso significa que tu Libro de Reclamaciones es, legalmente, un banco de datos personales. Y como tal, está regulado por la Ley 29733 (Ley de Protección de Datos Personales) y su nuevo reglamento DS 016-2024-JUS vigente desde 2024.
En esta guía te explico qué cambió con el reglamento 2024, qué obligaciones específicas te trae el Libro de Reclamaciones Virtual, qué sanciones aplica la Autoridad de Protección de Datos Personales (APDP) y cómo cumplir sin volver loco a tu equipo.
Tabla de Contenidos
- 1 1. La Ley 29733 y por qué tu Libro de Reclamaciones es un banco de datos
- 2 2. Qué cambió con el DS 016-2024-JUS
- 3 3. Las 5 obligaciones específicas que te impone la Ley 29733 sobre tu Libro de Reclamaciones
- 4 4. Sanciones de la APDP por incumplimiento
- 5 5. Cómo cumplir sin contratar a un DPO (Data Protection Officer)
- 6 6. Datos sensibles: la zona crítica del Libro de Reclamaciones
- 7 7. Cómo se relacionan INDECOPI y APDP cuando hay un reclamo
- 8 8. Errores comunes que he visto en MYPE peruanas
- 9 Preguntas frecuentes
- 9.1 ¿Debo registrar mi Libro de Reclamaciones en la APDP aunque sea pequeño?
- 9.2 ¿Qué pasa si mi SaaS de Libro Virtual guarda datos en EEUU?
- 9.3 ¿Puedo publicar estadísticas de mis reclamos en mi web?
- 9.4 ¿Qué hago si un cliente me pide que borre sus datos antes de los 2 años?
- 9.5 ¿Cuánto cuesta incumplir esta ley?
- 9.6 ¿El SaaS de Libro Virtual incluye el cumplimiento de la Ley 29733?
- 9.7 ¿Debo tener DPO (Delegado de Protección de Datos)?
- 10 Cumple Ley 29733 con tu Libro Virtual en el mismo precio
- 11 Lectura relacionada
1. La Ley 29733 y por qué tu Libro de Reclamaciones es un banco de datos
La Ley 29733 (publicada en 2011) define «banco de datos personales» como cualquier conjunto organizado de datos de personas naturales. No importa si es una hoja Excel, un sistema CRM, un formulario web o un cuaderno físico: si tiene datos de clientes, es un banco de datos y aplica la ley.
Un Libro de Reclamaciones cumple los tres criterios:
- Conjunto organizado: cada reclamo es un registro con campos estructurados (número, fecha, datos del consumidor, detalle, respuesta).
- Datos personales: nombre, DNI, teléfono, email, dirección, monto reclamado.
- Tratamiento sistemático: se almacena, se consulta, se responde y se conserva por 2 años (mínimo legal del DS 011-2011-PCM).
Por lo tanto, si tienes Libro de Reclamaciones (físico o virtual), tienes un banco de datos. Y como titular de ese banco, la Ley 29733 te impone obligaciones concretas.
2. Qué cambió con el DS 016-2024-JUS
El Decreto Supremo 016-2024-JUS publicado en 2024 es el nuevo reglamento de la Ley 29733 y reemplaza al antiguo DS 003-2013-JUS. Los cambios más relevantes para ti son:
2.1. Registro obligatorio ante la APDP simplificado
Antes, todo banco de datos debía registrarse en la Autoridad de Protección de Datos Personales (APDP, entonces parte del MINJUS, hoy con autonomía). El DS 016-2024-JUS mantiene la obligación pero simplificó el trámite: ahora se hace 100 % en línea desde gob.pe y hay un silencio positivo si la APDP no responde en 30 días hábiles.
2.2. Tratamiento «por cuenta» queda regulado
Si contratas a un proveedor SaaS como ReclamaVirtual.com para gestionar tu Libro, estás haciendo «tratamiento por cuenta»: el proveedor procesa datos en tu nombre. El DS 016-2024-JUS te obliga a firmar un contrato de tratamiento de datos (DPA o Acuerdo de Encargo) con cláusulas específicas sobre seguridad, confidencialidad, finalidad y devolución o destrucción al término del contrato.
2.3. Incidentes de seguridad: aviso en 72 horas
Si hay una brecha (hackeo, filtración, pérdida de datos), debes notificar a la APDP en 72 horas y a los afectados si hay riesgo alto. Es una obligación nueva alineada con estándares internacionales tipo GDPR.
2.4. Derechos ARCO + OPP reforzados
El reglamento refuerza los derechos ARCO (Acceso, Rectificación, Cancelación, Oposición) y agrega Portabilidad (O de «Out») y la Oposición al tratamiento automatizado. Cualquier consumidor puede pedir una copia de sus datos en tu Libro de Reclamaciones, rectificar errores o pedir la cancelación después del plazo legal.
2.5. Transferencias internacionales con más garantías
Si tu Libro Virtual guarda datos en servidores fuera de Perú, necesitas acreditar que el país destino tiene «nivel adecuado de protección» o aplicar cláusulas modelo. Esto golpea especialmente a SaaS alojados en AWS US East o Google Cloud sin región latinoamericana.
3. Las 5 obligaciones específicas que te impone la Ley 29733 sobre tu Libro de Reclamaciones
3.1. Consentimiento informado del consumidor
Al presentar un reclamo, el consumidor debe saber: quién trata sus datos (tu empresa), para qué (gestionar el reclamo), por cuánto tiempo (2 años mínimo), con quién se comparten (INDECOPI si aplica) y cómo ejercer sus derechos ARCO. La forma práctica: una cláusula clara antes del botón «Enviar» con un check de aceptación.
3.2. Finalidad específica
Solo puedes usar esos datos para gestionar el reclamo. No puedes añadir al reclamante a tu base de marketing sin consentimiento adicional específico. Si lo haces, es infracción grave.
3.3. Seguridad proporcional
Debes implementar medidas de seguridad razonables según el volumen y sensibilidad: cifrado en tránsito (HTTPS), cifrado en reposo, control de acceso, registro de actividad, copia de respaldo. Un Excel en Google Drive compartido con toda la oficina no cumple.
3.4. Conservación con plazo
Dos años es el mínimo legal del DS 011-2011-PCM (Libro de Reclamaciones). Pero la Ley 29733 dice que no puedes guardar los datos más tiempo del necesario para la finalidad. Si el reclamo ya se resolvió y pasaron 2 años, el consumidor puede ejercer su derecho de cancelación. Si guardas «por si acaso» 10 años, eso es sancionable.
3.5. Registro del banco de datos en APDP
Obligación formal. Inscribes tu Libro de Reclamaciones como banco de datos en gob.pe. El trámite es gratuito, en línea y toma 15-30 minutos. No hacerlo es sancionable.
4. Sanciones de la APDP por incumplimiento
Las multas son acumulativas: una misma empresa puede ser multada por INDECOPI (por el Libro en sí) y por APDP (por los datos dentro del Libro).
| Tipo de infracción | Tramo en UIT | Multa 2026 (S/) |
|---|---|---|
| Leve (ej: no registrar banco) | 0.5 – 5 | 2,750 – 27,500 |
| Grave (ej: tratar sin consentimiento) | 5 – 50 | 27,500 – 275,000 |
| Muy grave (ej: transferir datos sensibles) | 50 – 100 | 275,000 – 550,000 |
5. Cómo cumplir sin contratar a un DPO (Data Protection Officer)
La mayoría de MYPE no puede pagar un DPO dedicado. Con cinco pasos cubres el cumplimiento razonable:
Paso 1: Registra tu Libro de Reclamaciones como banco de datos en gob.pe/apdp. Trámite en línea, gratuito.
Paso 2: Publica una política de privacidad visible en tu web, con datos del titular del banco, finalidad, plazo, terceros y mecanismo para derechos ARCO.
Paso 3: Firma un Acuerdo de Encargo de Tratamiento con tu proveedor SaaS. ReclamaVirtual.com lo entrega listo para firma en el onboarding.
Paso 4: Activa consentimiento expreso en tu formulario: checkbox desmarcado por defecto con link a la política de privacidad.
Paso 5: Designa un responsable interno (puede ser el administrador, el CEO o tú mismo) para atender solicitudes ARCO y manejar incidentes.
6. Datos sensibles: la zona crítica del Libro de Reclamaciones
Si vendes servicios de salud (clínicas, farmacias), educación (colegios) o financieros, los reclamos suelen contener datos sensibles: historia clínica, notas escolares, movimientos de cuenta. La Ley 29733 les da protección reforzada:
- Consentimiento expreso y por escrito, no basta un check genérico.
- Medidas de seguridad reforzadas: cifrado obligatorio en reposo, log de accesos, segregación de roles.
- Sanciones mayores en caso de brecha.
Si tu sector maneja datos sensibles, el Plan Empresarial o Corporativo de ReclamaVirtual.com viene configurado con cifrado AES-256 en reposo y log de accesos por defecto.
7. Cómo se relacionan INDECOPI y APDP cuando hay un reclamo
INDECOPI fiscaliza tu cumplimiento del Libro (que exista, funcione y responda). La APDP fiscaliza el tratamiento de los datos dentro del Libro. Si hay un incidente (por ejemplo, publicaste reclamos con datos personales en tu web), las dos entidades pueden intervenir en paralelo. INDECOPI por mal manejo del procedimiento y APDP por violación de la Ley 29733.
En la práctica, la mayoría de casos se tramita solo en INDECOPI porque los consumidores denuncian ahí primero. Pero la denuncia en APDP está al alcance de un clic en gob.pe.
8. Errores comunes que he visto en MYPE peruanas
Error 1: Compartir por WhatsApp capturas del Libro al equipo. Estás transmitiendo datos personales por un canal no seguro. Riesgo: multa leve-grave.
Error 2: Publicar el reclamo en redes sociales para defender la marca. Aunque el cliente haya sido agresivo, publicar su nombre, DNI o detalles del reclamo sin consentimiento expreso es infracción muy grave.
Error 3: Usar los datos del reclamante para enviarle ofertas. Desviación de finalidad. Infracción grave.
Error 4: No tener política de privacidad en la web. Incumplimiento formal del artículo 18 de la Ley 29733. Infracción leve-grave.
Error 5: Guardar los reclamos en un Google Drive público o en un Excel compartido sin control de acceso. Incumple el artículo 16 (medidas de seguridad). Infracción grave.
Preguntas frecuentes
¿Debo registrar mi Libro de Reclamaciones en la APDP aunque sea pequeño?
Sí. La Ley 29733 no distingue por tamaño de empresa ni por volumen de datos. Si tratas datos personales, debes registrar el banco. El trámite es gratuito.
¿Qué pasa si mi SaaS de Libro Virtual guarda datos en EEUU?
Necesitas que el proveedor te entregue un Acuerdo de Encargo con cláusulas modelo o que acredite nivel adecuado de protección. De lo contrario, tú como titular del banco asumes la responsabilidad de la transferencia. En ReclamaVirtual.com los datos se alojan en servidores con región Lima (AWS sa-east-1 o equivalente).
¿Puedo publicar estadísticas de mis reclamos en mi web?
Solo datos agregados y anonimizados (por ejemplo: «el 80 % de reclamos de enero 2026 fueron resueltos a favor del cliente»). Nada de nombres, DNI o cualquier dato que identifique a personas concretas.
¿Qué hago si un cliente me pide que borre sus datos antes de los 2 años?
Analizas el caso. Si el reclamo ya está resuelto y cerrado, puedes argumentar que necesitas conservar los datos por el mínimo legal de 2 años (DS 011-2011-PCM). Si el reclamo tiene más de 2 años, debes cancelar. El plazo para responder la solicitud ARCO es 10 días hábiles desde recibida.
¿Cuánto cuesta incumplir esta ley?
Desde S/2,750 por no registrar el banco hasta S/550,000 por brecha grave con datos sensibles. La APDP viene endureciendo su enforcement desde 2024.
¿El SaaS de Libro Virtual incluye el cumplimiento de la Ley 29733?
Depende del SaaS. Los serios como ReclamaVirtual.com incluyen: Acuerdo de Encargo de Tratamiento, política de privacidad modelo, cifrado en reposo, control de acceso por roles, log de auditoría y soporte para responder solicitudes ARCO. Un SaaS barato genérico suele tener 2 de 6 de esos elementos.
¿Debo tener DPO (Delegado de Protección de Datos)?
La Ley 29733 no lo exige para MYPE, pero el DS 016-2024-JUS lo recomienda para empresas que traten datos sensibles de más de 10,000 titulares o procesen datos con alto riesgo. Si eres restaurante de barrio o tienda online mediana, basta con un responsable interno designado.
Cumple Ley 29733 con tu Libro Virtual en el mismo precio
Si hasta ahora pensabas que el Libro de Reclamaciones era solo INDECOPI, acabas de descubrir la otra mitad: la Ley 29733 también te aplica, con su propia autoridad y sus propias multas.
El Plan Empresarial de ReclamaVirtual.com a S/475 al año + IGV viene configurado con servidores en Perú, cifrado AES-256, política de privacidad modelo lista, Acuerdo de Encargo de Tratamiento, módulo para gestión de derechos ARCO y log de auditoría. Cotiza en reclamavirtual.com.
