Ley 29733 de Protección de Datos Personales: ¿Qué dice y cómo te afecta?

¿Qué es la Ley 29733 y por qué te afecta hoy mismo?

Si tienes un negocio en Perú, vendes por internet, manejas una base de clientes en Excel o tu agencia de marketing usa tu lista de correos para campañas, la Ley 29733 te aplica. No importa si eres una bodega de barrio en San Borja, una startup de software en San Isidro o un freelance que factura desde casa: si tratas datos de personas, esta ley te obliga.

La Ley N° 29733, Ley de Protección de Datos Personales, fue publicada en el Diario Oficial El Peruano el 3 de julio de 2011 y desarrolla el derecho fundamental reconocido en el numeral 6 del artículo 2 de la Constitución Política del Perú. Ese derecho dice, en lenguaje simple, que toda persona puede controlar qué información sobre sí misma circula y quién la usa.

La ley sigue plenamente vigente. Lo que cambió en 2024 fue su reglamento operativo, pero la ley madre es la misma: Ley 29733. Y esa ley es la que define los principios, los derechos de las personas y las obligaciones de quien maneja los datos.

Este artículo te explica qué dice la Ley 29733 sin lenguaje legalista, cómo te afecta en el día a día y qué tienes que hacer para no acabar con una multa de la Autoridad Nacional de Protección de Datos Personales (ANPD). Si quieres ver cómo encaja con las otras tres normas del marco peruano, revisa antes la guía completa de protección de datos personales en Perú.

Un poco de contexto: por qué el Perú tiene esta ley

Antes de 2011, el Perú no tenía un marco legal claro para proteger los datos personales. Las empresas hacían lo que querían: compraban bases de correos, llamaban sin permiso, vendían listas de clientes, exponían fotos sin consentimiento. La Constitución reconocía el derecho desde 1993, pero faltaba una ley que lo desarrollara.

La Ley 29733 llenó ese vacío. La idea era poner al Perú en línea con los estándares internacionales de protección de datos, sobre todo los europeos. En 2017 se modificó por el Decreto Legislativo N° 1353, que reforzó la institucionalidad de la autoridad de control. Y en 2024 se publicó un nuevo reglamento que la moderniza para la era de la inteligencia artificial y el ecommerce masivo.

El espíritu de la ley se resume en una frase: los datos personales son tuyos, no de la empresa que los recoge. La empresa los usa con tu permiso y para los fines que tú aceptaste. Si rompe ese acuerdo, hay sanciones.

Qué es un dato personal (y qué no)

Esta es la pregunta que más confunde a los emprendedores. La definición legal es amplia: dato personal es cualquier información que identifique o haga identificable a una persona natural. No tiene que ser tu DNI o tu nombre completo. Basta con que, sumando piezas, se llegue a ti.

Algunos ejemplos de datos personales típicos en un negocio:

• Nombre y apellidos
• DNI, RUC de persona natural, pasaporte
• Correo electrónico
• Número de celular o teléfono fijo
• Dirección física
• Dirección IP del visitante de tu web
• Ubicación GPS
• Foto o video que muestre el rostro
• Voz grabada
• Fecha de nacimiento
• Hábitos de compra y preferencias
• Identificadores de cookies y publicidad

El nuevo reglamento de 2024 fue explícito en incluir identificadores en línea y datos de localización. Eso significa que las cookies de seguimiento, los IDs publicitarios y la geolocalización del celular son datos personales, sin discusión.

Datos sensibles: la categoría reforzada

Hay un grupo de datos que la ley protege con más fuerza porque pueden generar discriminación o daños graves si se filtran. Se llaman datos sensibles y son:

• Origen racial y étnico
• Ingresos económicos
• Opiniones políticas
• Convicciones religiosas, filosóficas o morales
• Afiliación sindical
• Información sobre salud
• Vida sexual
• Datos biométricos que identifiquen de forma única (huella, rostro, iris)
• Datos genéticos

Para tratar datos sensibles necesitas consentimiento expreso y por escrito (o medios equivalentes), y debes aplicar medidas de seguridad reforzadas. Una clínica, un laboratorio, una empresa que use reconocimiento facial o un negocio que pida ingresos del cliente entran en esta categoría.

Los 8 principios rectores en cristiano

La Ley 29733 establece 8 principios que tienen que cumplirse siempre. Son la columna vertebral de toda la norma. Si entiendes estos 8, entiendes el 80% de la ley.

El principio que más se viola en la práctica es el de finalidad. Una empresa pide el correo para enviar la factura y termina mandando promociones sin parar. Eso ya es una infracción. La finalidad original era facturar, no hacer marketing.

Los derechos ARCO-PI: lo que tus clientes pueden exigirte

Toda persona cuyos datos están en tu sistema tiene seis derechos. Se les conoce como derechos ARCO-PI por las siglas. Tú, como titular del banco de datos, tienes que atenderlos cuando te los pidan.

Acceso

El titular puede pedirte que le digas qué datos tienes sobre él, de dónde los obtuviste, para qué los usas y a quién se los compartes. Tienes que responder en plazos definidos por el reglamento.

Rectificación

Si los datos están equivocados, desactualizados o incompletos, el titular puede pedirte que los corrijas. Si una clienta cambió de domicilio y te avisa, estás obligado a actualizarlo.

Cancelación o supresión

El titular puede pedir que borres sus datos cuando ya no sean necesarios para la finalidad original o cuando se hayan recogido sin consentimiento. Esto se conoce popularmente como «derecho al olvido».

Oposición

El titular puede negarse a que sigas tratando sus datos por motivos legítimos. Por ejemplo, alguien que ya no quiere recibir tus correos comerciales puede oponerse al tratamiento con fines de marketing.

Información

Antes de recoger los datos, tienes que decirle al titular qué vas a hacer con ellos, quién los va a tratar, por cuánto tiempo y qué derechos tiene. Esto es lo que va en la política de privacidad y en el aviso de privacidad.

Portabilidad

Es un derecho nuevo, incorporado por el reglamento de 2024. Permite al titular llevar sus datos de un prestador a otro en un formato estructurado y reutilizable. Si tu cliente decide mudarse a la competencia, puede pedirte sus datos en un formato útil.

Titular del banco de datos vs. encargado del tratamiento

Esta distinción es importante porque define quién responde legalmente. La ley reconoce dos figuras:

• Titular del banco de datos personales: es quien decide para qué se tratan los datos. Por ejemplo, la empresa dueña del ecommerce que recoge los datos de sus clientes.
• Encargado del tratamiento: es quien procesa los datos por encargo del titular. Por ejemplo, la agencia de marketing que envía los correos, el proveedor de hosting, el CRM en la nube, la pasarela de pagos.

Ambos tienen responsabilidades legales y ambos pueden ser sancionados. Por eso, cuando contratas un servicio que va a tratar datos de tus clientes, necesitas un contrato de encargo con cláusulas específicas de protección de datos. No basta con un acuerdo verbal o un email.

Un caso típico: tienes un ecommerce y usas Mailchimp para enviar el newsletter. Tú eres el titular del banco de datos. Mailchimp es el encargado. Necesitas un contrato (o aceptar los términos de Mailchimp que ya cubran esto) que defina qué hace Mailchimp con esos datos, dónde los almacena, cuánto tiempo y qué pasa si hay una brecha.

Obligaciones concretas para el emprendedor

Aterrizando todo lo anterior, estas son las obligaciones que tienes que cumplir si manejas datos personales en tu negocio. No son opcionales.

1. Recoger datos solo con consentimiento válido

El consentimiento tiene que ser libre (sin presión), previo (antes de recoger), expreso (no tácito), informado (sabiendo qué se va a hacer) e inequívoco (sin ambigüedad). El reglamento de 2024 añadió que también debe ser demostrable: tienes que poder probar que la persona aceptó.

En la práctica esto significa:

• Checkboxes que no vienen premarcados.
• Texto claro al lado del checkbox explicando qué acepta el usuario.
• Registro técnico de cuándo y cómo se dio el consentimiento.
• Posibilidad de retirar el consentimiento con la misma facilidad con la que se dio.

2. Publicar una política de privacidad accesible

Tu política de privacidad debe estar visible en todas las páginas del sitio (típicamente en el footer), redactada en lenguaje claro y conteniendo todos los puntos exigidos por la ley. Tener una política copiada de internet es uno de los errores más comunes y más sancionables.

3. Mostrar un aviso de privacidad en los puntos de recolección

Cada vez que pides datos (formulario de contacto, checkout, suscripción al newsletter, registro de usuario), tienes que mostrar un aviso resumido que explique para qué los vas a usar y enlace a la política completa.

4. Atender los derechos ARCO-PI en plazo

Necesitas un canal claro (típicamente un correo dedicado tipo privacidad@tudominio.com) para que los titulares puedan ejercer sus derechos. Y tienes que responder en los plazos legales. Ignorar una solicitud ARCO es una de las infracciones más sancionadas por la ANPD.

5. Inscribir los bancos de datos en el RNPDP

El Registro Nacional de Protección de Datos Personales (RNPDP) es un registro público administrado por la ANPD. Las empresas que tratan datos personales deben inscribir sus bancos de datos. La inscripción es gratuita y se hace en línea.

6. Aplicar medidas de seguridad

HTTPS, contraseñas robustas, control de acceso, respaldos, cifrado de datos sensibles. Las medidas tienen que ser proporcionales al riesgo. Una base de datos con información médica necesita más controles que una lista de suscriptores a un newsletter.

7. Firmar contratos con encargados

Cualquier proveedor que toque los datos de tus clientes (hosting, email marketing, CRM, contabilidad en la nube, pasarelas de pago) tiene que estar cubierto por un contrato que defina cómo trata esos datos.

8. Notificar incidentes de seguridad

Si hay una filtración o un acceso no autorizado, tienes que notificar a la ANPD en 48 horas. Esta obligación se desarrolla en detalle en el reglamento de 2024, que se explica en el artículo sobre el nuevo reglamento de protección de datos.

Cómo inscribir un banco de datos en el RNPDP

El proceso es online y gratuito. Estos son los pasos generales:

1. Ingresar al portal del Banco de Datos en bancodatos.minjus.gob.pe.
2. Crear una cuenta como persona jurídica o natural.
3. Completar el formulario con la información del banco de datos: denominación, finalidad, categorías de titulares, categorías de datos, flujo transfronterizo (si lo hay), medidas de seguridad.
4. Adjuntar la documentación de respaldo.
5. Esperar la confirmación de inscripción.

Una empresa puede tener varios bancos de datos: uno de clientes, uno de proveedores, uno de empleados, uno de leads del marketing. Cada uno se inscribe por separado.

En 2024, la ANPD atendió 4,218 procedimientos relacionados con bancos de datos (inscripción, modificación, cancelación, archivo) e inscribió 2,701 nuevos bancos. La presión de cumplimiento es real y va en aumento.

Infracciones y multas: cuánto te puede costar incumplir

El régimen sancionador clasifica las infracciones en tres niveles. Los montos están expresados en UIT y se actualizan cada año. Para 2026, la UIT vale S/ 5,500, según el Decreto Supremo N° 301-2025-EF.

Además de la multa económica, la ANPD puede imponer medidas correctivas: bloqueo temporal de los datos, eliminación definitiva si no se puede revertir el daño, publicación de la sanción en el Registro de Sanciones (que es público) y rectificación del tratamiento indebido.

Cuánto está sancionando realmente la ANPD

Las cifras de la propia autoridad muestran que la fiscalización va en serio:

• 2022: S/ 8 millones en multas, 128 procedimientos sancionadores.
• 2023: S/ 7.6 millones en multas, 132 procedimientos, 336 entidades fiscalizadas.
• 2024: S/ 13.4 millones en multas (casi el doble que 2023), 133 procedimientos sancionadores, 454 entidades fiscalizadas.

Los sectores más fiscalizados son el financiero, telecomunicaciones, salud, educación y sitios web. Pero ningún sector está exento. Una bodega que ponga cámaras sin aviso, un restaurante que recoja correos para enviar promociones sin permiso o una agencia que use bases de datos compradas pueden ser denunciadas.

Checklist de cumplimiento básico

Si estás empezando, este checklist te da una hoja de ruta inicial. No reemplaza un análisis a medida, pero sí te pone en línea con los puntos críticos.

• Identifica qué datos personales recoges, dónde los almacenas y para qué los usas.
• Inventaría tus bancos de datos (clientes, proveedores, empleados, leads).
• Redacta una política de privacidad propia que cubra todos los puntos exigidos.
• Publica la política en el footer de tu sitio web.
• Pon un aviso de privacidad en cada formulario de recolección.
• Configura los checkboxes de consentimiento sin premarcar.
• Habilita un correo dedicado para solicitudes ARCO.
• Inscribe los bancos de datos en el RNPDP.
• Firma contratos de tratamiento con tus proveedores (hosting, email marketing, CRM, pasarelas de pago).
• Implementa medidas de seguridad básicas: HTTPS, contraseñas fuertes, respaldos, control de acceso.
• Documenta un procedimiento de gestión de incidentes con la plantilla de notificación a la ANPD.
• Forma a tu equipo: cualquier persona que toque datos personales debe entender lo básico.
• Revisa si estás obligado a designar un Oficial de Datos Personales.

Para profundizar en cada punto técnico de seguridad, revisa el artículo sobre obligaciones técnicas de seguridad de datos personales.

Errores frecuentes que la ANPD sanciona

Estos son los descuidos que más caro salen y que se ven en la práctica de fiscalización:

• Enviar correos masivos a una base comprada o sin consentimiento verificable.
• Tener cámaras de videovigilancia sin aviso visible al público.
• Usar fotos de clientes en redes sociales sin autorización.
• Compartir datos de clientes con socios comerciales sin avisar.
• No responder solicitudes de acceso o cancelación dentro del plazo legal.
• Mantener una política de privacidad desactualizada o copiada de otro sitio.
• Almacenar bases de datos en hojas de Excel sin contraseña en computadoras compartidas.
• Pasar datos a proveedores sin contrato de tratamiento.
• Cobranzas que exponen el nombre del deudor en redes sociales o frente a vecinos.
• Filtraciones de bases de datos por falta de respaldo y cifrado.

Cómo se conecta la Ley 29733 con las otras normas

La Ley 29733 es la norma madre, pero no opera sola. El marco peruano de protección de datos tiene cuatro piezas:

• Ley 29733: establece principios, derechos y obligaciones generales.
• Decreto Supremo 016-2024-JUS: es el reglamento operativo, vigente desde marzo de 2025, que detalla cómo se cumple la ley en la práctica. Reemplazó al reglamento de 2013.
• Directiva de Seguridad de 2013 y obligaciones técnicas del nuevo reglamento: definen las medidas de seguridad concretas.
• Ley 31814 y su reglamento D.S. 115-2025-PCM: regulan el uso de inteligencia artificial y se cruzan con la Ley 29733 cuando hay tratamiento automatizado de datos.

Si quieres ver el mapa completo de las cuatro normas y cómo encajan entre sí, lo más práctico es empezar por la guía completa de protección de datos personales en Perú.

Preguntas frecuentes sobre la Ley 29733

¿La Ley 29733 aplica a los autónomos y freelancers?

Sí. La ley aplica a cualquier persona natural o jurídica que trate datos personales, sin importar el tamaño. Un freelance que tiene una lista de clientes, envía propuestas y guarda correos en Gmail está tratando datos personales y debe cumplir.

¿Necesito inscribir mi base de clientes en el RNPDP?

Como regla general, sí. La ley obliga a inscribir los bancos de datos personales en el Registro Nacional. Hay algunas excepciones limitadas (datos para uso doméstico, por ejemplo), pero los bancos de datos comerciales, laborales y de marketing entran dentro de la obligación.

¿Qué pasa si uso un CRM extranjero como HubSpot o Salesforce?

Estás haciendo una transferencia internacional de datos. Tienes que asegurarte de que el destino ofrezca un nivel adecuado de protección y cumplir con las condiciones del reglamento para transferencias. Habitualmente esto se cubre con las cláusulas contractuales que ofrecen los propios proveedores.

¿Tengo que pedir consentimiento para enviar un correo de bienvenida a un cliente nuevo?

Si el correo es operativo (confirmación de compra, factura, soporte) y necesario para ejecutar el contrato de venta, no necesitas consentimiento adicional. Si el correo es promocional o de marketing, sí necesitas consentimiento específico previo.

¿Cuánto tiempo tengo para responder una solicitud ARCO?

Los plazos están detallados en el reglamento. Como regla general, las solicitudes deben atenderse en plazos breves contados en días hábiles desde la recepción de la solicitud. No responder en plazo es una infracción independiente del fondo del asunto.

¿Las cámaras de seguridad de mi local necesitan aviso?

Sí. Tienes que colocar un aviso visible que informe que el local cuenta con videovigilancia, quién es el responsable del tratamiento y cómo ejercer los derechos. Las cámaras sin aviso son una de las infracciones más comunes que detecta la ANPD en sus fiscalizaciones.

¿Puedo comprar una base de datos para hacer marketing?

Por regla general, no. Los datos personales no se compran como una mercadería. Para usar una base de terceros tendrías que verificar que cada persona haya dado consentimiento específico para que sus datos se compartan con tu empresa para esa finalidad. En la práctica, comprar bases es una receta directa para una sanción.

¿Qué pasa si mi web tiene un formulario de contacto sin política de privacidad?

Es una infracción. Cualquier punto de recolección de datos debe tener su aviso y enlazar a la política de privacidad. Una web profesional construida con estándares de cumplimiento incorpora esto desde el diseño. Si necesitas adecuar tu sitio, conviene revisar opciones de diseño web profesional con política de privacidad conforme.

Cierre: la Ley 29733 no es opcional

Cumplir con la Ley 29733 dejó de ser una opción para las empresas medianas y grandes hace años, y desde el reglamento de 2024 también para las pequeñas. La ANPD fiscaliza, sanciona y publica los nombres de las empresas infractoras. Las multas pueden llegar a S/ 550,000 y, en sectores sensibles como finanzas, salud o ecommerce, las cifras son aún más altas porque suman varios procedimientos.

La buena noticia es que el cumplimiento básico es alcanzable. Una política de privacidad bien hecha, consentimientos válidos, contratos con proveedores, medidas de seguridad razonables y un canal de atención de derechos cubren la mayor parte del riesgo. Lo que no se puede hacer es ignorar el tema y esperar que no pase nada.

Si tu negocio recién está empezando o si nunca te has puesto al día con esto, lo más útil es revisar la guía completa de protección de datos personales en Perú, que conecta esta ley con las otras tres normas del marco y te da una hoja de ruta práctica.

Fuentes consultadas

1. Ley N° 29733, Ley de Protección de Datos Personales. Diario Oficial El Peruano, 3 de julio de 2011. https://spij.minjus.gob.pe
2. Decreto Supremo N° 016-2024-JUS, que aprueba el Reglamento de la Ley N° 29733. Diario Oficial El Peruano, 30 de noviembre de 2024. https://busquedas.elperuano.pe/dispositivo/SE/2349653-1
3. Decreto Legislativo N° 1353, que crea la Autoridad Nacional de Transparencia y Acceso a la Información Pública y fortalece el Régimen de Protección de Datos Personales. 7 de enero de 2017.
4. Decreto Supremo N° 301-2025-EF, que aprueba el valor de la UIT para 2026. Diario Oficial El Peruano, 17 de diciembre de 2025. https://lpderecho.pe/valor-uit-2026-decreto-supremo-301-2025-ef/
5. Constitución Política del Perú, artículo 2 numeral 6.
6. Autoridad Nacional de Protección de Datos Personales (ANPD). Portal oficial. https://www.gob.pe/anpd
7. Registro de Sanciones de la Autoridad Nacional de Protección de Datos Personales. https://www.gob.pe/institucion/anpd/informes-publicaciones/1255336-registro-de-sanciones-de-la-autoridad-nacional-de-proteccion-de-datos-personales
8. Banco de Datos Personales. Plataforma de inscripción del RNPDP. https://bancodatos.minjus.gob.pe/bancodatos/public/index.xhtml
9. Ministerio de Justicia y Derechos Humanos. «Autoridad Nacional de Protección de Datos Personales impuso multas por más de S/ 13 millones por infracciones a la normativa el año 2024». 10 de enero de 2025. https://www.gob.pe/institucion/minjus/noticias/1088896-autoridad-nacional-de-proteccion-de-datos-personales-impuso-multas-por-mas-de-s-13-millones-por-infracciones-a-la-normativa-el-ano-2024
10. SUNAT. Valor de la UIT. https://www.sunat.gob.pe/indicestasas/uit.html
11. EY Perú. «Multas por infracciones en materia de protección de datos personales». https://www.ey.com/es_pe/newsroom/2023/02/multas-infracciones-proteccion-datos-personales
12. Infobae Perú. «Empresas en Perú enfrentarán sanciones de hasta 535 mil soles por filtración de datos personales». 29 de enero de 2025. https://www.infobae.com/peru/2025/01/29/empresas-en-peru-enfrentaran-sanciones-de-hasta-535-mil-soles-por-filtracion-de-datos-personales-que-hacer-ante-ciberataques/
13. La República. «ANPD: ¿qué es y por qué es importante para la protección de datos personales?». https://larepublica.pe/datos-lr/respuestas/2022/03/21/anpd-que-es-y-por-que-es-importante-para-la-proteccion-de-datos-personales
14. LP Derecho. «Reglamento de la Ley de protección de datos personales [Decreto Supremo 016-2024-JUS]». https://lpderecho.pe/reglamento-ley-proteccion-datos-personales-decreto-supremo-016-2024-jus/