Si tu empresa maneja una base de clientes, envía correos de marketing, usa un CRM, tiene cámaras de seguridad o recoge datos por un formulario web, estás tratando datos personales y el marco legal peruano te obliga a cumplir una serie de reglas concretas. No es un tema legal abstracto: la Autoridad Nacional de Protección de Datos Personales (ANPD) impuso en 2024 multas por más de S/ 13 millones, y el tope sancionatorio por una infracción muy grave ronda los S/ 535,000 al valor actual de la UIT.
Esta guía te explica en lenguaje directo qué normas forman el marco peruano de protección de datos, qué obligaciones concretas tienes como empresa, qué riesgos enfrentas si no cumples y por dónde empezar a adecuarte. Está pensada para fundadores, gerentes, marketeros y responsables de TI que necesitan entender el panorama completo sin perderse en tecnicismos.
Tabla de Contenidos
- 1 El marco legal peruano en una sola mirada
- 2 Qué es un dato personal según la ley peruana
- 3 Los ocho principios que ordenan todo el sistema
- 4 Los derechos ARCO y los nuevos derechos digitales
- 5 Obligaciones concretas que toda empresa debe cumplir
- 5.1 Inscripción de bancos de datos en el RNPDP
- 5.2 Política de privacidad y avisos en cada punto de recolección
- 5.3 Contratos con encargados del tratamiento
- 5.4 Medidas de seguridad técnicas y organizativas
- 5.5 Notificación de brechas de seguridad
- 5.6 Oficial de Datos Personales (DPO)
- 5.7 Transferencias internacionales
- 6 Cuánto cuesta no cumplir
- 7 El cruce con la inteligencia artificial
- 8 Hoja de ruta de adecuación en seis pasos
- 9 Errores más frecuentes en pymes peruanas
- 10 Preguntas frecuentes
- 10.1 ¿La ley aplica a mi empresa si soy una pyme pequeña?
- 10.2 ¿Tengo que inscribir todas mis bases en el RNPDP?
- 10.3 ¿Qué pasa si uso Google Workspace o Microsoft 365?
- 10.4 ¿Necesito un DPO obligatoriamente?
- 10.5 ¿Cuánto tiempo puedo conservar los datos de un cliente?
- 10.6 ¿Puedo enviar publicidad por correo a mi base de clientes actuales?
- 10.7 ¿Qué hago si detecto una brecha de seguridad?
- 10.8 ¿Los chatbots y asistentes de IA entran en esta ley?
- 11 Cierre: el cumplimiento es alcanzable
- 12 Fuentes consultadas
El marco legal peruano en una sola mirada
La protección de datos en Perú no depende de una sola norma. Son cuatro piezas que encajan entre sí y que, juntas, definen todo lo que tu empresa puede y no puede hacer con la información de sus clientes, empleados y proveedores.
| Norma | Qué regula | Estado |
|---|---|---|
| Ley N° 29733 | Principios, derechos ARCO, obligaciones generales, sanciones | Vigente desde 2011, modificada por D.Leg. 1353 (2017) |
| D.S. 016-2024-JUS | Reglamento operativo que reemplazó al de 2013 | Vigente desde marzo de 2025 |
| Directiva de Seguridad + obligaciones técnicas del nuevo reglamento | Medidas de seguridad concretas, cifrado, control de accesos, notificación de brechas | Vigentes |
| Ley 31814 y D.S. 115-2025-PCM | Uso ético de IA cuando hay tratamiento automatizado de datos | Vigentes desde 2025 |
Cada pieza tiene su propio artículo detallado en este cluster. Si quieres ir directo al fondo de una norma específica, puedes revisar la explicación completa de la Ley 29733, el análisis del Reglamento D.S. 016-2024-JUS, la guía de medidas de seguridad y la guía de la Ley 31814 de IA.
Qué es un dato personal según la ley peruana
La definición legal es amplia y, por eso, atrapa más cosas de las que la gente cree. Dato personal es cualquier información que identifique o haga identificable a una persona natural. No hace falta que sea el DNI. Basta con que, sumando piezas, se pueda llegar a una persona concreta.
En un negocio típico peruano entran en la definición: nombres, DNI, correo electrónico, número de celular, dirección física, dirección IP del visitante de tu web, ubicación GPS, fotos y videos que muestren el rostro, voz grabada, fecha de nacimiento, hábitos de compra, historial de navegación y los identificadores de cookies publicitarias. El reglamento de 2024 fue explícito al incluir identificadores en línea y datos de localización.
Hay además una categoría reforzada que la ley llama datos sensibles: origen racial, ingresos económicos, opiniones políticas, convicciones religiosas, afiliación sindical, información sobre salud, vida sexual, datos biométricos que identifiquen de forma única (huella, rostro, iris) y datos genéticos. Para tratarlos necesitas consentimiento expreso y por escrito, y medidas de seguridad más estrictas. Clínicas, laboratorios, aseguradoras y cualquier negocio que use reconocimiento facial entran aquí.
Los ocho principios que ordenan todo el sistema
Toda la Ley 29733 gira alrededor de ocho principios. Si los entiendes, entiendes el 80% del cumplimiento.
- Legalidad: solo puedes tratar datos si la ley lo permite.
- Consentimiento: necesitas permiso del titular, libre, informado, previo y específico.
- Finalidad: los datos se recogen para un fin concreto y no se pueden usar para otro distinto.
- Proporcionalidad: solo los datos necesarios para ese fin, ni uno más.
- Calidad: los datos deben ser exactos, actualizados y veraces.
- Seguridad: hay que protegerlos con medidas técnicas y organizativas.
- Disposición de recurso: el titular siempre puede reclamar y ejercer sus derechos.
- Nivel de protección adecuado: si transfieres datos al extranjero, el destino debe ofrecer protección equivalente.
Cuando la ANPD evalúa un caso, lo primero que mira es si el responsable respetó estos principios. Una política de privacidad impecable no sirve de nada si en la práctica usas los datos para algo que el cliente nunca autorizó.
Los derechos ARCO y los nuevos derechos digitales
Toda persona cuyos datos estén en tu base tiene derechos que puede ejercer contra ti. Los clásicos son los derechos ARCO: Acceso, Rectificación, Cancelación y Oposición. El reglamento de 2024 incorporó además derechos digitales: portabilidad, limitación del tratamiento y el derecho a no ser objeto de decisiones automatizadas con efectos significativos.
Tu empresa debe tener un canal visible y accesible para recibir estas solicitudes (correo, formulario web, ventanilla física) y responder en plazos breves contados en días hábiles. No responder a tiempo es una infracción independiente del fondo. Si el cliente pide acceso a sus datos y lo ignoras 30 días, la ANPD puede sancionarte solo por eso, sin entrar a discutir si tenías razón o no en el fondo del asunto.
Obligaciones concretas que toda empresa debe cumplir
Aquí es donde la teoría aterriza. Estas son las obligaciones mínimas que cualquier negocio con clientes o empleados debe atender.
Inscripción de bancos de datos en el RNPDP
La ley obliga a inscribir los bancos de datos personales en el Registro Nacional de Protección de Datos Personales (RNPDP). Las bases de clientes, empleados, proveedores y prospectos entran dentro de la obligación. Hay excepciones limitadas para usos estrictamente domésticos, pero cualquier base con fin comercial debe inscribirse. El trámite se hace en la plataforma del Banco de Datos Personales del Ministerio de Justicia.
Política de privacidad y avisos en cada punto de recolección
Cada formulario, cada caja de pago, cada landing page debe tener un aviso que informe quién recoge los datos, para qué, con quién los comparte y cómo ejercer los derechos. Además, la web necesita una política de privacidad enlazada desde el footer. Un formulario de contacto sin política de privacidad es una infracción directa. Si tu sitio no cumple, conviene empezar por un diseño web profesional con política de privacidad conforme a la Ley 29733.
Contratos con encargados del tratamiento
Si usas un proveedor que accede a tus datos (hosting, email marketing, CRM, contabilidad, agencia de publicidad), ese proveedor es un encargado del tratamiento. Necesitas un contrato que defina qué puede hacer con los datos, obligaciones de seguridad, prohibición de subcontratar sin autorización y devolución o destrucción al final del servicio. El reglamento de 2024 es explícito en esto.
Medidas de seguridad técnicas y organizativas
El reglamento clasifica los datos en tres niveles (básico, medio, alto) y exige medidas proporcionales. Contraseñas fuertes, control de accesos, cifrado en tránsito (HTTPS obligatorio), respaldo periódico, registro de accesos, política interna de seguridad y capacitación del personal son el mínimo. Para datos sensibles o bases grandes se exige cifrado en reposo y trazabilidad más estricta. Los detalles concretos los desarrolla la guía de medidas de seguridad de datos personales en Perú.
Notificación de brechas de seguridad
Si sufres un incidente que compromete datos personales, el reglamento te obliga a notificar a la ANPD en plazos cortos y, en ciertos casos, también a los afectados. El plazo de referencia es de 48 horas desde que tomas conocimiento, alineado con el estándar europeo. No notificar una brecha es una infracción grave por sí misma, al margen del daño causado por el incidente.
Oficial de Datos Personales (DPO)
El reglamento de 2024 introdujo la figura del Oficial de Datos Personales, equivalente al DPO europeo, como obligatorio para entidades públicas y para empresas privadas que traten datos sensibles a gran escala o hagan monitoreo sistemático. Para el resto de empresas es recomendable pero no obligatorio. El DPO puede ser interno o externo.
Transferencias internacionales
Si usas HubSpot, Salesforce, Google Workspace, Microsoft 365, Mailchimp o cualquier nube con servidores fuera del Perú, estás haciendo una transferencia internacional de datos. Tienes que verificar que el destino ofrezca un nivel adecuado de protección y firmar las cláusulas contractuales que los propios proveedores suelen tener listas. Ignorar este punto es uno de los errores más frecuentes en las pymes peruanas.
Cuánto cuesta no cumplir
La ANPD clasifica las infracciones en leves, graves y muy graves. Las sanciones son en UIT, por lo que cambian cada año con el valor que fija el MEF.
| Tipo | Rango en UIT | Equivalente aproximado 2026 |
|---|---|---|
| Leve | 0.5 a 5 UIT | S/ 2,675 a S/ 26,750 |
| Grave | 5 a 50 UIT | S/ 26,750 a S/ 267,500 |
| Muy grave | 50 a 100 UIT | S/ 267,500 a S/ 535,000 |
Los casos documentados por la ANPD en los últimos años incluyen bancos, aseguradoras, empresas de telefonía, retailers y hospitales con multas acumuladas que superan el millón de soles cuando varias conductas concurren. El registro público de sanciones de la ANPD permite ver los casos con nombre y apellido.
El cruce con la inteligencia artificial
Desde 2025, Perú tiene un marco específico para inteligencia artificial: la Ley 31814 y su reglamento, el D.S. 115-2025-PCM. Cuando tu empresa usa un sistema de IA que trata datos personales (scoring crediticio, segmentación automática, reconocimiento facial, chatbots que almacenan conversaciones, generación de contenido entrenada con datos de clientes), la Ley 31814 se superpone con la Ley 29733.
Las obligaciones nuevas incluyen: transparencia reforzada cuando hay decisiones automatizadas, evaluación de impacto algorítmico para usos de riesgo, supervisión humana significativa y la prohibición de ciertos usos clasificados como de riesgo inaceptable. La guía detallada de la Ley 31814 explica cómo se cruza con la protección de datos y qué debe hacer una empresa que ya usa IA en marketing, ventas o atención al cliente.
Hoja de ruta de adecuación en seis pasos
Si tu empresa está empezando de cero, este es el orden práctico que funciona en campo.
- Inventario de datos: lista todas las bases que tienes, dónde están, quién accede, para qué se usan y con quién se comparten.
- Base legal y consentimiento: revisa qué tratamientos tienen consentimiento válido y cuáles dependen de otra base legal (ejecución de contrato, interés legítimo, obligación legal).
- Documentación: redacta o actualiza la política de privacidad, los avisos en formularios, los contratos con proveedores y el registro interno de actividades de tratamiento.
- Medidas de seguridad: implementa contraseñas, control de accesos, HTTPS, respaldos, cifrado cuando corresponda y capacitación del equipo.
- Inscripción en RNPDP: registra los bancos de datos en la plataforma del Ministerio de Justicia.
- Canal de derechos ARCO: habilita un correo o formulario dedicado y define un procedimiento interno para responder en plazos.
El orden importa porque cada paso depende del anterior. No tiene sentido inscribir un banco de datos si primero no sabes qué datos tienes ni para qué los usas.
Errores más frecuentes en pymes peruanas
De los casos que se repiten en fiscalizaciones y consultas, estos son los que más se ven:
- Comprar o intercambiar bases de correos para marketing (infracción directa, sin matices).
- Formularios web sin aviso de privacidad ni casilla de consentimiento.
- Cámaras de seguridad sin cartel visible en la entrada del local.
- Uso de WhatsApp para enviar publicidad masiva sin consentimiento previo.
- Listas de clientes compartidas con agencias sin contrato de encargado.
- Empleados con acceso total a la base cuando solo necesitan acceso parcial.
- Backups sin cifrar guardados en discos externos o correos personales.
- CRMs internacionales usados sin evaluar transferencias internacionales.
- No tener canal de derechos ARCO o tenerlo y no responder.
Preguntas frecuentes
¿La ley aplica a mi empresa si soy una pyme pequeña?
Sí. La Ley 29733 no distingue por tamaño. Aplica a cualquier persona natural o jurídica que trate datos personales. Una bodega, un freelance o una agencia de dos personas tienen las mismas obligaciones de fondo que una corporación, aunque el nivel de formalidad exigido puede ser proporcional.
¿Tengo que inscribir todas mis bases en el RNPDP?
Como regla general, sí. Las bases de clientes, empleados, proveedores y prospectos deben inscribirse. Hay excepciones limitadas para uso doméstico, pero los bancos comerciales entran dentro de la obligación.
¿Qué pasa si uso Google Workspace o Microsoft 365?
Estás haciendo una transferencia internacional. Ambos proveedores ofrecen cláusulas contractuales estándar que cubren el requisito, pero tienes que aceptarlas expresamente y documentarlo.
¿Necesito un DPO obligatoriamente?
Solo si eres entidad pública, tratas datos sensibles a gran escala o haces monitoreo sistemático. Para el resto es recomendable pero no obligatorio.
¿Cuánto tiempo puedo conservar los datos de un cliente?
El tiempo necesario para cumplir la finalidad para la que se recogieron, más los plazos legales de conservación (tributarios, laborales). Pasado eso, los datos deben eliminarse o anonimizarse.
¿Puedo enviar publicidad por correo a mi base de clientes actuales?
Solo si en su momento dieron consentimiento específico para recibir comunicaciones comerciales. El consentimiento para recibir una factura no incluye el consentimiento para recibir promociones.
¿Qué hago si detecto una brecha de seguridad?
Documenta el incidente, contén el daño, evalúa qué datos se vieron afectados y notifica a la ANPD en plazo corto (referencia: 48 horas). Si la brecha puede causar daño a los titulares, también debes notificarles directamente.
¿Los chatbots y asistentes de IA entran en esta ley?
Sí, y además entran en la Ley 31814 de inteligencia artificial. Si tu chatbot almacena conversaciones con clientes, estás tratando datos personales y aplican ambas normas.
Cierre: el cumplimiento es alcanzable
La protección de datos en Perú dejó de ser un tema de grandes corporaciones hace años. Desde el reglamento de 2024 y con la ANPD fiscalizando activamente, cualquier empresa que maneje clientes o empleados está en el radar. La buena noticia es que el cumplimiento básico es alcanzable con documentación ordenada, medidas de seguridad razonables y procesos internos claros.
Si tu web es el primer punto de contacto con los datos de tus clientes, asegúrate de que esté construida con los estándares de cumplimiento desde el diseño. En KOM diseñamos sitios con política de privacidad conforme, avisos en formularios y estructura preparada para la Ley 29733. Puedes revisar nuestras opciones de diseño web profesional o nuestras tiendas virtuales con cumplimiento legal integrado.
Fuentes consultadas
- Ley N° 29733, Ley de Protección de Datos Personales. Diario Oficial El Peruano, 3 de julio de 2011. https://spij.minjus.gob.pe
- Decreto Supremo N° 016-2024-JUS, Reglamento de la Ley N° 29733. Diario Oficial El Peruano, 30 de noviembre de 2024. https://busquedas.elperuano.pe/dispositivo/SE/2349653-1
- Decreto Legislativo N° 1353, que fortalece el Régimen de Protección de Datos Personales. 7 de enero de 2017.
- Ley N° 31814, Ley que promueve el uso de la inteligencia artificial. Diario Oficial El Peruano, 5 de julio de 2023.
- Decreto Supremo N° 115-2025-PCM, Reglamento de la Ley 31814. 2025.
- Decreto Supremo N° 301-2025-EF, valor de la UIT para 2026. https://lpderecho.pe/valor-uit-2026-decreto-supremo-301-2025-ef/
- Constitución Política del Perú, artículo 2 numeral 6.
- Autoridad Nacional de Protección de Datos Personales. https://www.gob.pe/anpd
- Registro de Sanciones de la ANPD. https://www.gob.pe/institucion/anpd/informes-publicaciones/1255336-registro-de-sanciones-de-la-autoridad-nacional-de-proteccion-de-datos-personales
- Banco de Datos Personales, plataforma de inscripción del RNPDP. https://bancodatos.minjus.gob.pe/bancodatos/public/index.xhtml
- Ministerio de Justicia. «ANPD impuso multas por más de S/ 13 millones en 2024». 10 de enero de 2025. https://www.gob.pe/institucion/minjus/noticias/1088896
- LP Derecho. «Reglamento de la Ley de Protección de Datos Personales [D.S. 016-2024-JUS]». https://lpderecho.pe/reglamento-ley-proteccion-datos-personales-decreto-supremo-016-2024-jus/
- EY Perú. «Multas por infracciones en materia de protección de datos personales». https://www.ey.com/es_pe/newsroom/2023/02/multas-infracciones-proteccion-datos-personales
- Infobae Perú. «Empresas en Perú enfrentarán sanciones de hasta 535 mil soles por filtración de datos personales». 29 de enero de 2025. https://www.infobae.com/peru/2025/01/29/empresas-en-peru-enfrentaran-sanciones-de-hasta-535-mil-soles
- SUNAT. Valor de la UIT. https://www.sunat.gob.pe/indicestasas/uit.html
